Seleziona una pagina

ISO 27001:2022 – Guida alle novità e ai nuovi controlli durante gli audit

da | Mar 3, 2026 | certificazioni iso, Continuità operativa, ISO 9001

Tra la fine del 2025 e l’inizio del 2026, migliaia di organizzazioni certificate secondo la ISO/IEC 27001:2013 stanno affrontando il primo audit secondo la nuova versione ISO/IEC 27001:2022.
Con la scadenza definitiva fissata dalle autorità di accreditamento per ottobre 2025, l’inizio del 2026 segnerà per molti il primo vero “test sul campo” con i nuovi criteri.

La transizione, stabilita dall’International Accreditation Forum (IAF) con un periodo di adeguamento di tre anni dalla pubblicazione della norma, è ormai entrata nella sua fase più concreta: quella dell’audit, ed è proprio lì che stanno emergendo le differenze più significative.

In Iso Cert, abbiamo già affiancato diverse imprese in questo passaggio. Quello che abbiamo notato non è solo una lista di adempimenti ma una nuova visione della sicurezza: meno burocratica, più tecnologica e decisamente più vicina alle sfide quotidiane di CTO e responsabili IT.
Non si tratta un semplice aggiornamento formale ma di un aggiornamento culturale e tecnologico.

In questo articolo esploreremo come affrontare il primo audit post-transizione senza improvvisazioni, concentrandoci sui nuovi controlli che riflettono il mondo reale: quello del Cloud, delle minacce ibride e della resilienza digitale.

Perché la ISO 27001:2013 non era più sufficiente?

La versione 2013 della norma era stata concepita in un contesto profondamente diverso dall’attuale. Quando è stata pubblicata:

  • il lavoro remoto non era lo standard;
  • il Cloud era in crescita ma non dominante;
  • le minacce ransomware non avevano l’impatto sistemico che conosciamo oggi.

Oggi, con l’integrazione diffusa di servizi as-a-service, infrastrutture distribuite e intelligenza artificiale, il modello precedente era diventato progressivamente “stretto”.

Secondo l’ultimo (Rapporto Clusit sulla sicurezza ICT in Italia, nel 2023 gli attacchi cyber gravi sono aumentati del 65% rispetto all’anno precedente, con una crescita significativa nei settori manifatturiero, servizi e sanità e con l’Italia che si conferma un bersaglio sensibile.

A livello globale, il IBM Cost of a Data Breach Report evidenzia un costo medio di violazione dati pari a 4,45 milioni di dollari, il più alto mai registrato.

In questo scenario, la ISO 27001:2022 non rappresenta uno stravolgimento della filosofia del Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), ma un adeguamento necessario alla complessità tecnologica attuale.
Non cambia l’impianto metodologico. Cambia la profondità con cui viene analizzato il rischio.

Da 114 a 93 controlli: meno ridondanza, più focus. Cosa significa davvero?

Uno dei primi aspetti che genera più domande è la riduzione numerica dei controlli, da 114 a 93 controlli.

Non si tratta di una riduzione dell’attenzione ma di una razionalizzazione. Molti controlli sono stati accorpati per evitare duplicazioni inutili e riorganizzati in 4 macro-categorie: Organizzativi, Persone, Fisici, Tecnologici.

La vera novità risiede però negli 11 nuovi controlli introdotti, pensati per colmare le lacune emerse con la digitalizzazione accelerata. Ed è proprio su questi che gli audit stanno concentrando maggiore attenzione.

Focus sui “Nuovi Protagonisti”: cosa guarda l’auditor oggi?

Con la ISO/IEC 27001:2022 l’audit non si limita più a verificare la presenza di procedure formalmente corrette.

I nuovi controlli spostano l’attenzione sulla capacità reale dell’organizzazione di prevenire, reagire e adattarsi alle minacce digitali. È qui che si gioca la differenza tra una conformità “di carta” e un sistema di gestione realmente integrato nella strategia IT e nella continuità operativa.

Ecco i punti chiave emersi dai primi audit di transizione:

1. Threat Intelligence (Controllo 5.7): saperne di più per difendersi meglio

Non basta più difendersi. Occorre anticipare. La nuova norma richiede che l’organizzazione:

  • raccolga informazioni sulle minacce emergenti
  • analizzi fonti affidabili,
  • integri queste informazioni nel processo di valutazione del rischio.

Il nostro consiglio: durante l’audit non sarà sufficiente dimostrare l’esistenza di sistemi tecnici aggiornati. Oltre ai solo log tecnici, l’auditor vorrà vedere come l’azienda interpreta i dati esterni per prevenire gli attacchi per tradurli in azioni preventive. Essere proattivi significa ridurre drasticamente il tempo di reazione.

2. Sicurezza dei servizi Cloud (Controllo 5.23)

Il Cloud non è più percepito come un’infrastruttura esterna ma è riconosciuto come parte integrante dell’ecosistema informativo aziendale.

Secondo i dati ISTAT sulla digitalizzazione, oltre il 60% delle imprese italiane utilizza servizi cloud di livello intermedio o alto. L’organizzazione deve pertanto dimostrare:

  • valutazione dei rischi specifici dei provider,
  • controllo del ciclo di vita dei servizi SaaS, IaaS, PaaS,
  • gestione contrattuale e monitoraggio continuo.

Il nostro consiglio: la ISO 27001:2022 richiede una gestione chiara dell’intero ciclo di vita dei servizi acquisiti (AWS, Azure, SaaS). In sede di audit possono emergere domande concrete, ad esempio: come gestisci l’exit strategy? Chi ha accesso ai tuoi dati nel cloud del fornitore? Quali garanzie sono previste in caso di incidente?

Ricorda: il Cloud non è più un’opzione. È un elemento critico di business continuity.

3. ICT Readiness for Business Continuity (Controllo 5.30)

Non si tratta solo di backup, ma di resilienza digitale. Durante gli audit stiamo osservando domande molto più concrete:

  • Quanto tempo impiega la tua infrastruttura a tornare online dopo un incidente?
  • Avete testato realmente il piano?
  • Avete misurato RTO e RPO?

Il nostro consiglio: ad oggi, non è più sufficiente avere un documento ma serve dimostrare capacità operativa. Qui la norma si incrocia con le esigenze di continuità operativa richieste dai grandi stakeholder e dalle assicurazioni.

4. Secure Coding (Controllo 8.28)

Per le organizzazioni che sviluppano software o gestiscono piattaforme proprietarie, questo controllo è centrale e impatta direttamente sulla qualità del prodotto finale e sulla fiducia del cliente.

La sicurezza deve essere scritta nel codice (Security by Design) attraverso:

  • linee guida di codifica sicura;
  • test di sicurezza;
  • gestione strutturata delle vulnerabilità.

Secondo il report OWASP Top 10, le vulnerabilità applicative restano tra le principali cause di compromissione dei sistemi informativi.

Il nostro consiglio: negli audit post-transizione, la domanda non è più “avete una policy?” ma “come viene applicata e verificata concretamente nel ciclo di sviluppo?”.

Il sistema degli “Attributes” (Tagging): la rivoluzione silenziosa

Una delle novità più apprezzate dai team IT è l’introduzione degli Attributes (tagging dei controlli).

Ogni controllo può essere classificato per:

  • Tipo di rischio (Preventivo, Investigativo, Correttivo)
  • Proprietà di sicurezza (Riservatezza, Integrità, Disponibilità)
  • Capacità operative (Governance, Asset Management, Protezione)

Per chi gestisce ambienti complessi o multi-sede, questo significa:

  • maggiore precisione nella mappatura,
  • migliore integrazione con sistemi GRC,
  • maggiore tracciabilità nei database di compliance.

Questa “chicca tecnica” trasforma la compliance da un faldone di carta a un database dinamico e interrogabile, permettendo al management di avere una visione chiara di dove si stanno concentrando gli investimenti in sicurezza. (ATTENZIONE: il sistema degli Attributes è uno strumento potente ma va compreso e utilizzato correttamente).

Cosa abbiamo notato nei primi audit post-transizione: verso la transizione con trasparenza e metodo

Dall’esperienza diretta emerge un elemento chiave: le organizzazioni che hanno trattato la migrazione come un semplice aggiornamento documentale incontrano maggiori criticità.

Al contrario, quelle che hanno:

  • eseguito una Gap Analysis strutturata,
  • rivisto il risk assessment,
  • aggiornato il piano di trattamento del rischio,
  • coinvolto l’area IT e la direzione,

affrontano l’audit con maggiore serenità.

La transizione alla ISO 27001:2022 non deve essere infatti vissuta come un ostacolo burocratico; la differenza non è nella burocrazia ma nella consapevolezza del rischio.

Il nostro consiglio pratico: non aspettare l’ultimo minuto. Con il calendario audit 2025–2026 già in pianificazione, il momento per intervenire è ora. Il primo passo concreto è una Gap Analysis tecnica sulla ISO 27001:2022 focalizzata focalizzata su:

  • nuovi controlli,
  • revisione del risk assessment,
  • aggiornamento dell’Annex A,
  • verifica dell’integrazione Cloud e cyber-resilience.

La sicurezza oggi non è conformità: è continuità operativa, e ISO Cert la garantisce

Nel contesto attuale – tra ransomware, supply chain attack e dipendenza dal Cloud – la differenza tra conformità e resilienza è sempre più sottile.

Affrontare il primo audit post-transizione con preparazione significa:

  • proteggere il patrimonio informativo,
  • garantire continuità ai clienti,
  • rafforzare la reputazione aziendale.

In Iso Cert, crediamo che dietro ogni controllo ci sia una persona e un processo da proteggere e che la certificazione non debba essere percepita come un ostacolo burocratico, ma come un percorso di crescita strutturata.

Come organismo di certificazione, i nostri tecnici sono specializzati nel supportare la tua azienda in questo passaggio evolutivo, Il nostro approccio si basa infatti su:

  • analisi preventiva delle criticità,
  • affiancamento tecnico trasparente,
  • preparazione concreta all’audit,
  • aggiornamento costante sui trend normativi e tecnologici.

in modo da trasformare la sicurezza informatica in un sistema da governare e l’audit in un momento di crescita.