Ai certificat ISO 27001:2013 și nu știi dacă mai este valabil? De la 31 octombrie 2025, versiunea din 2013 nu mai este recunoscută. Dacă nu ai făcut deja tranziția la ISO 27001:2022, certificatul tău a expirat.
Versiunea 2022 restructurează controalele de securitate (93 în loc de 114), adaugă 11 controale noi pentru amenințări moderne și simplifică structura în 4 teme. Mai jos găsești toate diferențele, ce trebuie să faci și cât costă.
Tabel comparativ: 2013 vs 2022
| Criteriu | ISO 27001:2013 | ISO 27001:2022 |
|---|---|---|
| Număr controale | 114 | 93 |
| Structură | 14 domenii (A.5-A.18) | 4 teme |
| Controale noi | n/a | 11 |
| Controale eliminate | n/a | 0 (consolidate) |
| Standard în România | SR ISO/IEC 27001:2014 | SR EN ISO/IEC 27001:2023 |
| Publicat | 2013 | 25 octombrie 2022 |
| Adoptat ASRO | 2014 | 31 august 2023 |
Cele 4 teme din versiunea 2022: controale organizaționale (37), de personal (8), fizice (14) și tehnologice (34). În 2013, aceleași controale erau împărțite în 14 domenii mai greu de navigat.
56 de controale din versiunea 2013 au fost consolidate în 24. Asta nu înseamnă că s-au eliminat cerințe, ci că s-au grupat logic.
Ce controale noi aduce versiunea 2022
Cele 11 controale noi sunt:
- A.5.7 Informații despre amenințări (threat intelligence): colectarea și analiza datelor despre amenințări de securitate
- A.5.23 Securitatea serviciilor cloud: evaluarea riscurilor și monitorizarea furnizorilor de cloud
- A.5.30 Pregătirea IT pentru continuitatea afacerii: planuri de reziliență IT în situații de criză
- A.7.4 Monitorizarea securității fizice: sisteme CCTV, alarme, detectare intruziuni
- A.8.9 Managementul configurațiilor: controlul setărilor hardware și software
- A.8.10 Ștergerea informațiilor: eliminarea securizată a datelor la finalul ciclului de viață
- A.8.11 Mascarea datelor: protecția datelor sensibile în medii de test sau dezvoltare
- A.8.12 Prevenirea scurgerilor de date: detectarea și blocarea transferurilor neautorizate
- A.8.16 Activități de monitorizare: analiza logurilor pentru detectarea anomaliilor
- A.8.23 Filtrarea web: restricționarea accesului la site-uri periculoase
- A.8.28 Dezvoltare software sigură (secure coding): prevenirea vulnerabilităților prin practici de codare
Aceste controale reflectă realitatea din 2022: cloud, lucru de la distanță, ransomware și atacuri asupra lanțului de aprovizionare. Versiunea 2013 nu acoperea niciunul dintre aceste scenarii.
Ce s-a schimbat în clauzele principale (4-10)
Modificările în corpul standardului (clauzele 4-10) sunt minore. Cea mai importantă: clauza 4.4 cere acum să definești procesele din SMSI și interacțiunile dintre ele. În 2013, era suficient să ai un SMSI. În 2022, trebuie să documentezi cum funcționează procesele împreună.
Restul modificărilor sunt alinieri de limbaj cu alte standarde ISO.
De ce contează tranziția pentru firmele din România
Termenul de 31 octombrie 2025 a trecut. Dacă încă ai certificat ISO 27001:2013, acesta nu mai este valid. Pentru licitații SEAP și contracte cu companii mari, ai nevoie de versiunea 2022.
În plus, OUG 155/2024 a transpus Directiva NIS2 în legislația românească (aprobată prin Legea 124/2025). Entitățile esențiale și importante trebuie să implementeze măsuri de securitate cibernetică. ISO 27001 acoperă aproximativ 70% din cerințele NIS2, ceea ce face certificarea un punct de plecare logic. Amenzile NIS2 pot ajunge la 10 milioane EUR.
Cât costă tranziția sau certificarea nouă
Dacă ai deja ISO 27001:2013 și vrei să treci la 2022, procesul presupune un audit de tranziție. Dacă pornești de la zero, obții direct versiunea 2022.
| Situație | Cost estimat |
|---|---|
| Certificare nouă ISO 27001:2022 (1 standard) | 1.500-2.500 lei + TVA |
| Recertificare/tranziție | 800-1.500 lei + TVA |
| Pachet cu alt standard (ex. ISO 9001) | 2.800-4.000 lei + TVA |
Unii furnizori oferă certificare 100% online, cu proces accelerat de la 3 zile lucrătoare. Vezi onlineiso.ro pentru prețuri actualizate.
Cum faci tranziția
Pașii sunt:
- Analizează diferențele (gap analysis) între ce ai documentat pentru 2013 și ce cere 2022
- Actualizează Declarația de Aplicabilitate (Statement of Applicability) cu cele 93 de controale
- Implementează cele 11 controale noi care se aplică organizației tale
- Revizuiește politicile și procedurile existente
- Fă un audit intern înainte de auditul de certificare
- Contactează un organism de certificare pentru auditul de tranziție
Dacă ai făcut totul corect pentru versiunea 2013, majoritatea documentației se reutilizează. Efortul real este pe cele 11 controale noi și pe actualizarea Declarației de Aplicabilitate.
Întrebări frecvente
Mai pot folosi certificatul ISO 27001:2013?
Nu. De la 31 octombrie 2025, certificatele pe versiunea 2013 nu mai sunt recunoscute. Trebuie să obții certificarea pe versiunea 2022.
Câte controale au dispărut?
Zero. Niciun control nu a fost eliminat. 56 de controale au fost consolidate în 24, iar 11 noi au fost adăugate. Rezultatul: 93 de controale față de 114.
ISO 27001:2022 este obligatoriu pentru NIS2?
Nu direct. Dar OUG 155/2024 cere măsuri de securitate pe care ISO 27001 le acoperă în proporție de aproximativ 70%. Este cel mai eficient mod de a demonstra conformitatea.