Home  ›  Aktualności  ›  Przejście na ISO/IEC 27001:2022 – Terminy graniczne i obowiązki organizacji w 2025 roku

Przejście na ISO/IEC 27001:2022 – Terminy graniczne i obowiązki organizacji w 2025 roku

Wyślij link znajomemu

Terminy graniczne i obowiązki organizacji w 2025 roku

Certyfikacja zgodna z normą ISO/IEC 27001:2017 mogła być stosowana wyłącznie do 30 kwietnia 2024 roku w przypadku nowych certyfikacji oraz recertyfikacji. Od 1 maja 2024 wszystkie nowe certyfikaty muszą być wydawane wyłącznie na podstawie wersji ISO/IEC 27001:2022.

Z kolei 31 października 2025 roku to ostateczny termin ważności wszystkich istniejących certyfikatów wydanych zgodnie z ISO/IEC 27001:2017. Po tej dacie żadna organizacja nie będzie mogła utrzymać certyfikatu opartego na starszej wersji normy — wszystkie audyty nadzoru, recertyfikacje i przeglądy muszą już uwzględniać wymagania ISO/IEC 27001:2022.

W praktyce wiele firm koncentruje się na aktualizacji zabezpieczeń na podstawie normy ISO/IEC 27002:2022, często pomijając istotną zmianę w zakresie zarządzania ryzykiem. Tymczasem nowa wersja normy ISO/IEC 27005:2022, obowiązująca w Polsce jako PN-EN ISO/IEC 27005:2025-01, wprowadza zupełnie inne podejście do identyfikacji, analizy i monitorowania ryzyka.

To oznacza, że organizacje muszą nie tylko zaktualizować dokumentację i środki bezpieczeństwa, ale również zweryfikować zgodność swojej metodyki analizy ryzyka z nowymi wymaganiami. Brak dostosowania się może skutkować negatywnym wynikiem audytu i koniecznością przejścia całego procesu certyfikacji od początku.

Do kiedy ważny jest certyfikat ISO/IEC 27001:2017 i jak go zaktualizować?

Firmy, które posiadają certyfikat w wersji ISO/IEC 27001:2017, powinny do końca października 2025 roku przejść na nową wersję normy. Po tym terminie jednostki certyfikujące nie będą mogły przedłużać ani odnawiać certyfikatów opartych na starszych wymaganiach.

Proces aktualizacji powinien obejmować:

  • analizę nowych wymagań zawartych w klauzulach 4–10 ISO/IEC 27001:2022,
  • dostosowanie systemu zarządzania do nowych zabezpieczeń zgodnych z ISO/IEC 27001:2022, opisanych szczegółowo w normie 27002:2022,
  • przegląd i aktualizację polityk, procedur oraz rejestrów zgodności,
  • sprawdzenie, czy podejście do analizy ryzyka jest zgodne z ISO/IEC 27005:2022.

Właśnie ten ostatni element – nowa metodyka analizy ryzyka – bywa często pomijany, choć może przesądzić o wyniku audytu certyfikacyjnego.

Nowe zabezpieczenia w ISO/IEC 27001:2022 – co się zmieniło?

Jednym z kluczowych kroków podczas dostosowania się do wymagań ISO/IEC 27001:2022 jest aktualizacja katalogu stosowanych zabezpieczeń. Nowa wersja normy zawiera Załącznik A, który określa 93 zabezpieczenia. Ich układ oraz zawartość bazują na ISO/IEC 27002:2022, która stanowi dokument wspomagający – z opisami, celami i wskazówkami implementacyjnymi dla każdego zabezpieczenia.

W nowej strukturze wprowadzono m.in.:

  • konsolidację niektórych dotychczasowych zabezpieczeń,
  • 11 nowych zabezpieczeń, które odzwierciedlają aktualne zagrożenia i technologie.

Oto przykładowe z nich:

  • 5.7 Rozpoznanie zagrożeń – pozyskiwanie i analiza informacji o zagrożeniach,5.23 Bezpieczeństwo informacji dotyczące stosowania usług w chmurze – kontrola nad bezpieczeństwem korzystania z usług chmurowych,
  • 5.30 Gotowość ICT do zapewnienia ciągłości działania – zapewnienie odporności systemów IT w przypadku zakłóceń,
  • 8.10 Usuwanie informacji – bezpieczne i trwałe usuwanie informacji,
  • 8.12 Zapobieganie wyciekom danych – ograniczanie ryzyka nieautoryzowanego ujawnienia informacji,
  • 8.28 Bezpieczne kodowanie – bezpieczne praktyki programistyczne.

Warto zwrócić uwagę, że chociaż normy zrezygnowały z przedrostka „A.” (stosowanego w ISO/IEC 27001:2017), wiele organizacji nadal używa tej notacji pomocniczo, ze względu na istniejące odwołania w dokumentacji.

Dostosowanie się do nowych zabezpieczeń może wymagać:

  • przeglądu i aktualizacji istniejących polityk oraz rejestrów,
  • wdrożenia nowych narzędzi technicznych,
  • szkoleń dla zespołów odpowiedzialnych za bezpieczeństwo informacji.

Zgodnie z wymaganiami art. 8 DORA i art. 4 RTS 2024/1774, BIA powinna dostarczyć następujące kluczowe udokumentowane informacje:

  • wykaz funkcji biznesowych wspieranych przez systemy ICT,
  • rejestr zasobów ICT, ich konfiguracji oraz wzajemnych powiązań,
  • lista procesów zależnych od dostawców usług ICT, kluczowych dla operacyjnej ciągłości działania.

ISO/IEC 27005:2022 – jak zaktualizować podejście do analizy ryzyka?

Norma ISO/IEC 27005:2022 została opublikowana przez ISO w październiku 2022 roku i oficjalnie przyjęta jako PN-EN ISO/IEC 27005:2025-01. Jej numeracja w Polsce może sugerować, że jest to nowość z 2025 roku, jednak treść dokumentu odpowiada wersji międzynarodowej z 2022.

W porównaniu do wersji z 2018 roku, nowa norma:

  • ma czytelniejszą strukturę i spójniejszą terminologię,
  • wprowadza scenariusze ryzyka – czyli opisy możliwych zdarzeń, ich przyczyn i skutków,
  • wyróżnia dwa podejścia do identyfikacji ryzyka: na podstawie zasobów (aktywa) oraz na podstawie zdarzeń,
  • dopuszcza częściowo ilościowe metody oceny ryzyka – gdy wymagany jest większy poziom precyzji,
  • kładzie nacisk na ciągłe monitorowanie ryzyka – nie tylko w ramach okresowych przeglądów, ale także na bieżąco (zgodnie z klauzulą A.2.7).

Nowy model scenariuszowy – etapy i zależności

Diagram: Elementy scenariusza ryzyka według ISO/IEC 27005:2022 (przyczyna–zdarzenie–konsekwencja–wpływ na cel) z przykładami dla każdej kategorii. ISO 27001 - Nowy model scenariuszowy

ISO/IEC 27001

To nie są jedynie kosmetyczne zmiany. Nowe podejście zakłada, że analiza ryzyka nie jest jednorazową oceną, lecz ciągłym, świadomym procesem decyzyjnym. W wielu organizacjach dokumentacja analizy ryzyka wciąż bywa formalnością – raportem zamkniętym w szufladzie, który nie odzwierciedla faktycznego stanu operacyjnego. Tymczasem brak kluczowych elementów, takich jak scenariusze czy konsekwencje, może skutkować odrzuceniem analizy jako niezgodnej z wymaganiami normy ISO/IEC 27005:2022.

Dwa przykłady ilustrujące praktyczne zastosowanie modelu scenariuszowego:

  • Ryzyko wycieku danych spowodowane błędną konfiguracją dostępu do chmury publicznej.
  • Ryzyko niedostępności systemu ERP w wyniku nieplanowanej aktualizacji systemu operacyjnego.

Nowy model scenariuszowy pozwala przedstawić ryzyko jako ciąg przyczynowo–skutkowy: co może się wydarzyć, dlaczego i z jakimi konsekwencjami – co znacznie ułatwia dobór adekwatnych środków zaradczych.

W odróżnieniu od wcześniejszych podejść, norma ISO/IEC 27005:2022 rozróżnia:

  • konsekwencję zdarzenia (np. wyciek danych),
  • wpływ tej konsekwencji na cele organizacyjne (np. naruszenie umowy, kara administracyjna za naruszenie RODO, utrata zaufania klientów).

Takie podejście umożliwia ocenę nie tylko skutków technicznych, ale również rzeczywistego wpływu ryzyka na funkcjonowanie organizacji – zgodność z przepisami, ciągłość działania, reputację oraz stabilność finansową.

W załączniku A.2.6 normy wskazano cztery przykładowe kategorie celów organizacyjnych, które mogą być naruszone w wyniku zmaterializowanego ryzyka:

  • zachowanie zgodności z przepisami,
  • zapewnienie ciągłości działalności,
  • utrzymanie rentowności i płynności,
  • ochrona reputacji i zaufania interesariuszy.

Powiązanie konsekwencji z celami strategicznymi organizacji stanowi nową jakość w analizie ryzyka i jest kluczowym elementem dojrzałego podejścia zgodnego z ISO/IEC 27005:2022.

Jak sprawdzić, czy analiza ryzyka jest zgodna z ISO/IEC 27005:2022?

Wiele organizacji, które przeszły już na ISO/IEC 27001:2022, wciąż bazuje na podejściu znanym z ISO/IEC 27005:2018 – pomijając zmiany wprowadzone w wersji z 2022 roku. Może to prowadzić do niezgodności z wymaganiami aktualnej normy, takich jak:

  • brak dokumentacji scenariuszy ryzyka,
  • nieuwzględnienie zdarzeń jako punktu wyjścia analizy,
  • ograniczenie się wyłącznie do klasycznego podejścia aktywowego („zasób – zagrożenie – podatność”),
  • brak ciągłego monitorowania ryzyka i zmian operacyjnych.

Nowe podejście zakłada, że analiza ryzyka to proces ciągły – nie raport „do szuflady”, ale narzędzie podejmowania decyzji. Kluczowa jest identyfikacja zdarzeń i konsekwencji oraz ich wpływu na cele organizacji, a nie tylko suche techniczne skutki.

Zadaj sobie (i swojemu zespołowi) kilka prostych pytań. Jeżeli choć na jedno odpowiesz „nie” – warto zaktualizować podejście:

  • Czy uwzględniasz scenariusze ryzyka – przyczyna, zdarzenie, konsekwencja, wpływ?
  • Czy Twoje podejście łączy identyfikację ryzyk zarówno na podstawie zasobów (asset-based), jak i zdarzeń (event-based)?
  • Czy analizujesz konsekwencje ryzyka (np. wyciek danych, przestój usług), a nie tylko ogólny „wpływ”?
  • Czy odnosisz te konsekwencje do celów strategicznych organizacji (ciągłość, zgodność, reputacja)?
  • Czy stosujesz częściowo ilościowe podejście, gdy wymagany jest większy poziom precyzji?
  • Czy prowadzisz bieżący monitoring ryzyka, a nie tylko okresowe przeglądy?
  • Czy dokumentujesz i przeglądasz decyzje ryzykowne w czasie?

Weryfikację zgodności z ISO/IEC 27005:2022 można przeprowadzić poprzez audyt wewnętrzny, analizę luk (gap analysis) lub ekspercką ocenę metodyki. Nawet jeśli posiadasz certyfikat ISO/IEC 27001:2022, nie oznacza to automatycznie, że spełniasz wymagania normy 27005. Nowa wersja wymaga świeżego spojrzenia – i dobrze przygotowanej dokumentacji.

Co grozi organizacji, która nie dostosuje systemu?

Brak aktualizacji certyfikatu ISO/IEC 27001 oraz niezgodność z nowym podejściem do analizy ryzyka może prowadzić do:

  • negatywnego wyniku audytu recertyfikacyjnego lub nadzoru,
  • utraty certyfikatu i konieczności przeprowadzenia procesu od nowa,
  • ograniczenia możliwości uczestnictwa w przetargach i współpracy z wymagającymi partnerami,
  • wzrostu ryzyka operacyjnego, reputacyjnego i prawnego.

Dodatkowo, w przypadku incydentów związanych z bezpieczeństwem informacji, brak zgodności z aktualnymi standardami może być potraktowany jako uchybienie organizacyjne.

Jakie działania warto rozważyć? Audyt przejściowy i analiza ryzyka IT

W zależności od aktualnego stanu systemu zarządzania bezpieczeństwem informacji, organizacja może potrzebować:
 
1. Audytu przejściowego do ISO/IEC 27001:2022
Dla organizacji posiadających jeszcze certyfikat na podstawie wersji 2017, niezbędne będzie kompleksowe sprawdzenie zgodności z nowymi wymaganiami. Taki audyt obejmuje:

  • przegląd dokumentacji,
  • ocenę wdrożenia nowych zabezpieczeń,
  • analizę luki względem wymagań normatywnych i kontrolnych,
  • rekomendacje dotyczące planu aktualizacji.

2. Samodzielnej analizy ryzyka IT
Dla organizacji, które już wdrożyły ISO/IEC 27001:2022, ale nie zaktualizowały metodyki analizy ryzyka, warto rozważyć niezależne zweryfikowanie zgodności podejścia z ISO/IEC 27005:2022. Taka usługa może obejmować:

  • ocenę dotychczas stosowanej metodyki,
  • dopasowanie procesu do podejścia scenariuszowego,
  • pomoc w dokumentowaniu i monitorowaniu ryzyka zgodnie z aktualnymi standardami.

Niezależnie od wybranej ścieżki, warto zadbać o to, aby nie tylko posiadać certyfikat, ale mieć realne przekonanie, że system zarządzania bezpieczeństwem informacji działa zgodnie z najlepszymi praktykami i aktualnymi wymaganiami norm.

Podsumowanie

Zbliżający się termin 31 października 2025 roku to nie tylko formalność związana z ważnością certyfikatu ISO/IEC 27001:2017. To moment, w którym organizacje muszą zdecydować, czy ich system zarządzania bezpieczeństwem informacji jest realnie dopasowany do aktualnych wyzwań i standardów.

Dostosowanie się do ISO/IEC 27001:2022 i ISO/IEC 27005:2022 to nie tylko wymóg formalny, ale przede wszystkim inwestycja w bezpieczeństwo, stabilność operacyjną i wiarygodność organizacji. Warto zadbać o to z odpowiednim wyprzedzeniem, aby uniknąć stresujących i kosztownych korekt na ostatnią chwilę.

Jeśli chcesz zweryfikować, czy Twoje obecne podejście do analizy ryzyka i struktura systemu zarządzania spełniają wymagania aktualnie obowiązujących norm – zapraszamy do kontaktu. Nasi eksperci pomogą Ci bezpiecznie i skutecznie przejść przez proces aktualizacji lub ocenić, czy Twój certyfikat ISO/IEC 27001:2022 rzeczywiście uwzględnia wszystko, co istotne.

Wiesław Krawczyński