ISO/IEC 27001:2022 blir Norsk Standard første kvartal 2023

Den populære standarden for IT-sikkerhet ISO/IEC 27001 kom i ny utgave i år, men den norske versjonen er ennå ikke klar. Vi forklarer hvorfor.

Når ISO lanserer en ny standard eller en ny utgave av en eksisterende standard, kan andre standardiseringsorganisasjoner adoptere ISO-standarden og gi den ut selv. I Norge gjør vi dette ved å legge til forkortelsen NS som står for Norsk Standard. Når Standard Norge gjør dette, sier vi at vi fastsetter ISO-standarden som Norsk Standard, og den blir da NS-ISO.

ISO/IEC 27001 må først bli europeisk standard

ISO/IEC 27001:2022 er utkommet og Standard Norge skal adoptere den, men den skal først adopteres som europeisk standard av de europeiske standardiseringsorganisasjonene CEN og CENELEC.  Standarden blir da antageligvis utgitt som EN ISO/IEC 27001. Vi er forpliktet til å utgi alle europeiske standarder som Norsk Standard.  Det er derfor Standard Norge venter på den europeiske versjonen.

Akkurat når den europeiske versjonen kommer, er ikke avklart av CEN og CENELEC, men ifølge våre kilder skjer det i første kvartal i 2023. Den norske versjonen – NS-EN ISO/IEC 27001 – kommer kun dager etter det, og da i både på norsk og engelsk.

Vi kan ikke legge til ISO/IEC-versjonen midlertidig

Selv om Standard Norge ikke fastsetter ISO/IEC 27001 som Norsk Standard ennå, vil selve innholdet være uendret når den norske versjonen kommer. Det er altså ingenting som hindrer virksomheter i å kjøpe ISO/IEC 27001. Vi har derimot ikke anledning til å legge den til midlertidig i abonnement til de kundene som abonnerer på NS-EN ISO/IEC 27001 ettersom den ikke enda er Norsk Standard. Vi må i tilfellet betale vederlag til ISO/IEC, og det vil bli en betydelig kostnad.

Betydning for sertifiserte virksomheter

Sertifiserte virksomheter mister ikke sin sertifisering selv om det kommer en ny utgave av NS-EN ISO/IEC 27001. Sertifiseringen gjelder imidlertid kun for 2017-utgaven og vil gå ut tre år etter at den nye utgaven ble utgitt, og det skjedde 25. oktober 2022. Sertifiserte virksomheter må derfor resertifiseres innen 25. oktober 2025, og da etter den nye utgaven, for å opprettholde sin sertifisering.

Resertifisering  foretas hvert tredje år ogvirksomheter som ble sertifisert i 2020 vil være de første til å måtte resertifisere seg etter den nye utgaven i 2023. Disse virksomhetene bør altså allerede nå begynne å implementere endringene, men om virksomheten under resertifisering får avvik på endringene i 2022-utgaven, vil de ikke miste sertifiseringen fra 2017-utgaven.

Virksomheter som sertifiserte seg i 2022, trenger ikke resertifisere seg før innen 25. oktober 2025. Men om disse ønsker å resertifisere seg før dette, kan de be sitt sertifiseringsorgan om det.

Forskjellen på versjonene fra 2013, 2017 og 2022

ISO/IEC 27001 har ikke endret seg mye fra 2013 til 2022. I stor grad er det Tillegg A som viser til ISO/IEC 27002 som har blitt endret. Dette handler om sikkerhetskontroller og hvordan disse er organisert og skal brukes.

Les mer om endinger i NS-EN ISO 27002.

Den forrige utgaven av ISO/IEC 27001 er for øvrig fra 2013, mens den forrige versjonen av EN ISO/IEC 27001 er fra 2017. Disse er helt like, men CEN/CENELEC fastsatte ikke standarden som europeisk standard (EN) før i 2017. Derfor fikk den fått et nytt årstall. 

I tillegg til at du får kjøpt de to versjonene ISO/IEC og NS-EN ISO/IEC får du også kjøpt en NEK-EN ISO/IEC-versjon. Dette er Norsk Elektroteknisk Komite sin versjon, som er det norske medlemmet av IEC.

Innholdet i de ulike versjonene av samme standard er altså helt likt, men de fleste av våre kunder bruker NS-EN ISO/IEC 27001, og norske sertifiserte virksomheter bruker denne som grunnlag. Det er også kun denne utgaven som foreligger både på norsk og engelsk. Disse versjonene brukes også i vårt populære produkt “Standardsamling for IT-sikkerhet".

Bli varslet når NS-EN ISO/IEC 27001 kommer

Meld deg på vårt nyhetsbrev om IKT og hold deg oppdatert om når NS-EN ISO/IEC 27001 er tilgjenglig.

Sist oppdatert: 2022-11-23

NOK 1 914,00 (eks. mva)

Information security, cybersecurity and privacy protection — Information security management systems — Requirements

SpråkEngelskUtgave: 3 (2022-10-25)

Produktinformasjon

Information Overvåk standarden
basket Skriv ut på papir basket Trykket og innbundet
Få nettbasert tilgang