Revisione delle norme di certificazione

Revisione delle norme di certificazione

EN ISO/IEC 27006-1:2024
Sicurezza delle informazioni, cybersicurezza e protezione della privacy – Requisiti per gli organismi che effettuano audit e certificazione dei sistemi di gestione per la sicurezza delle informazioni – Parte 1: Generalità

Informazioni di base

La norma è stata pubblicata il 1° novembre 2024.

La norma stabilisce i requisiti per gli organismi di certificazione accreditati per svolgere audit e certificare i sistemi di gestione per la sicurezza delle informazioni (ISMS).

L’organismo di certificazione AUDISO a.s. ha aggiornato le proprie procedure e la documentazione correlata, in modo da essere conforme ai requisiti della EN ISO/IEC 27006-1:2024.

Nel gennaio 2026 si svolgerà presso la società un regolare audit di sorveglianza da parte dell’Istituto Ceco di Accreditamento (Český institut pro akreditaci, o.p.s.), che verificherà l’implementazione delle modifiche e la conformità delle procedure di AUDISO a.s. ai requisiti della presente norma.

Sintesi delle principali modifiche

Aggiornamento dell’allineamento alla EN ISO/IEC 17021-1:2015.

Adeguamento della terminologia in conformità alla EN ISO/IEC 27001:2023.

Nuovi requisiti relativi alle competenze degli auditor nell’ambito della gestione del rischio.

Maggiore precisione dei requisiti riguardanti il processo di valutazione dell’imparzialità.

Inserimento di riferimenti alla ISO/IEC TS 27006-2:2021 per la certificazione nell’ambito dei servizi cloud.

Cosa significa questa modifica per i clienti certificati

Le organizzazioni che hanno un sistema di gestione per la sicurezza delle informazioni certificato secondo la EN ISO/IEC 27001:2023 non devono apportare alcuna modifica al proprio ISMS in relazione alla pubblicazione della EN ISO/IEC 27006-1:2024. L’aggiornamento riguarda principalmente i requisiti per gli organismi di certificazione e le loro procedure; per i clienti certificati non introduce nuovi obblighi oltre a quelli previsti dalla norma ISO/IEC 27001.

ISO/DIS 9001:2026

1–3 (scopo, riferimenti, termini e definizioni)

• Terminologia “documented information” (rispetto a ISO 9001:2015): nella bozza ISO 9001:2026 (DIS) in alcuni requisiti compare la formulazione più precisa “available as documented information” (“disponibile come informazione documentata”). Rispetto a ISO 9001:2015 questo di norma significa una definizione più chiara di quando un determinato risultato o evidenza deve essere disponibile come informazione documentata (quindi dimostrabile in audit). Non si tratta di un aumento generalizzato della documentazione, ma di un chiarimento nei punti in cui il requisito deve essere dimostrabile.

• Chiarimento di termini e definizioni: si prevede un allineamento delle interpretazioni (in particolare in relazione al concetto di rischi e opportunità).

4. Contesto dell’organizzazione (Capitolo 4)

• Cambiamento climatico come tema: l’organizzazione dovrà valutare esplicitamente se il cambiamento climatico è rilevante per sé (ad es. per forniture, prezzi, rischi, regolamentazione).

• Parti interessate (chi ha aspettative): maggiore enfasi sul rendere chiaro cosa si aspettano dall’organizzazione clienti, fornitori, Stato/autorità di regolamentazione, ecc. (incluse possibili aspettative di mercato o legate al clima).

• Campo di applicazione del sistema qualità: l’organizzazione dovrà descrivere chiaramente cosa copre esattamente il proprio sistema di gestione per la qualità (QMS) e perché è definito in questo modo (per evitare aree “fuori sistema” senza motivazione).

• Interazione tra processi: il testo della norma dovrebbe essere più preciso per rendere più semplice descrivere come i processi sono collegati tra loro (chi dipende da cosa, input/output).

5. Leadership (Capitolo 5)

• Cultura della qualità ed etica: la direzione dovrà sostenere attivamente la “cultura della qualità” (cioè la qualità come prassi quotidiana, non solo documenti) e un comportamento etico. Non basta avere una politica “appesa al muro”: deve essere evidente che la direzione la applica concretamente.

• Questo tema compare anche in altre parti della bozza, quindi in audit sarà tipicamente valutato trasversalmente in azienda (non solo in un singolo punto).

6. Pianificazione (Capitolo 6)

• Rischi vs. azioni: la norma vuole distinguere più chiaramente due aspetti:

  • come l’organizzazione identifica rischi e opportunità,

  • come pianifica poi azioni concrete per gestire i rischi e sfruttare le opportunità.

• Gestione delle modifiche: maggiore attenzione al fatto che l’organizzazione non gestisca le modifiche “in corsa”, ma che per le modifiche importanti valuti in anticipo scopo, impatti, risorse e come verificare che la modifica funzioni.

7. Supporto (Capitolo 7)

• Consapevolezza del personale: nella formazione e nella comunicazione interna si darà più peso al fatto che le persone capiscano non solo “cosa fare”, ma anche “perché” (cultura della qualità, comportamento etico, aspettative legate al ruolo).

• Si conferma la tendenza per cui alcune informazioni devono essere dimostrabilmente disponibili come “informazione documentata” (cioè deve esistere un’evidenza rintracciabile quando necessario).

8. Operatività (Capitolo 8)

• Modifiche nelle attività operative: maggiore enfasi sulla capacità di gestire anche cambiamenti non pianificati (ad es. indisponibilità di un fornitore, cambiamento tecnologico, sostituzioni di personale, ecc.).

• Comunicazione con il cliente in caso di problemi: si sottolinea che la comunicazione deve coprire anche situazioni di interruzione di forniture/servizi e l’introduzione di soluzioni alternative.

• Fornitori esterni: chiarimento delle aspettative su come l’organizzazione gestisce fornitori e provider esterni (per definire cosa è “loro” e cosa resta responsabilità dell’organizzazione).

9. Valutazione delle prestazioni (Capitolo 9)

• Misurazione → miglioramento: maggiore attenzione affinché misurazione e valutazione non siano fini a se stesse, ma rendano immediatamente chiaro cosa migliorare.

• Audit interni: struttura dei requisiti più chiara (requisiti generali vs. programma di audit) – enfasi sul fatto che il programma di audit interno abbia obiettivi e sia impostato con logica.

• Riesame della direzione: struttura più chiara (input / svolgimento / output) per rendere evidente cosa la direzione valuta e cosa ne deriva.

10. Miglioramento (Capitolo 10)

• Miglioramento continuo: maggiore collegamento con dati e output reali del sistema di gestione (non “miglioriamo perché lo dice la norma”).

• Azioni correttive: requisito più chiaro di valutare se il problema può ripetersi e di verificare che l’azione adottata funzioni davvero.

• Le modifiche possono portare anche a una struttura più semplice di alcune parti rispetto a ISO 9001:2015 (più “riordino” che nuove attività).

Allegato A (Annex A – guida/interpretazione)

• Allegato ampliato con spiegazioni aggiuntive: aiuta ad uniformare come interpretare la norma e come applicarla in modo pratico durante gli audit.

ISO FDIS 14001:2026 – cambiamenti per capitoli (in modo comprensibile)

Capitolo 4 – Contesto dell’organizzazione (dove opera l’azienda e cosa la influenza)

• Più attenzione al “mondo esterno”: l’azienda dovrà descrivere meglio i fattori esterni rilevanti dal punto di vista ambientale (ad es. disponibilità di risorse, inquinamento, richieste del mercato, condizioni locali).

• Cambiamento climatico in modo esplicito: l’azienda dovrà indicare chiaramente se il cambiamento climatico è rilevante per lei e, se sì, in che modo (ad es. rischi nelle forniture, eventi meteo estremi, nuove richieste dei clienti o regolamentazione).

• Parti interessate: maggiore enfasi sul sapere chi si aspetta cosa dall’azienda (clienti, autorità, proprietari, pubblico…) e cosa ciò comporta.

• Campo di applicazione dell’EMS “cosa è dentro e cosa no”: dovrà essere spiegato meglio cosa comprende il sistema di gestione ambientale (EMS) e perché.

• Dimostrabilità: per alcuni punti si richiederà maggiormente che l’azienda abbia informazioni dimostrabilmente disponibili (non necessariamente più documenti, ma evidenze più chiare).

Capitolo 5 – Leadership (ruolo della direzione)

• La direzione deve “vedersi nella pratica”: ci si aspetta un coinvolgimento reale della direzione (non solo una politica formale).

• Linguaggio più preciso sul rispetto degli obblighi: formulazioni più chiare sul fatto che l’azienda debba rispettare i propri obblighi (in particolare legislativi e altri impegni).

Capitolo 6 – Pianificazione (rischi, obiettivi, modifiche)

• Gestione più chiara di rischi e opportunità: la norma mira a rendere più comprensibile come l’azienda:

  • identifica rischi/opportunità,

  • pianifica misure concrete.

• Gestione delle modifiche più strutturata: le modifiche nell’EMS devono essere più “gestite” (valutare in anticipo impatti, risorse e come verificare che la modifica funzioni).

• Migliore distinzione delle situazioni: più chiarezza tra funzionamento normale, “fuori standard” e vera emergenza.

Capitolo 7 – Supporto (persone, comunicazione, evidenze)

• Enfasi su comunicazione e coinvolgimento: per far sì che i dipendenti sappiano cosa fare e perché, e che il sistema non sia solo “compito dell’ambiental manager”.

• Evidenze e documenti: alcuni requisiti spingeranno di più affinché risultati e registrazioni siano rintracciabili (ancora una volta: chiarimenti più che “valanghe di carta”).

Capitolo 8 – Operatività (attività, produzione/servizi e fornitori)

• Visione più ampia sulle forniture esterne: maggiore enfasi sulla gestione di ciò che l’azienda non controlla direttamente ma che la influenza (fornitori, servizi esterni, subappalti).

• Gestione più pratica degli impatti: maggiore chiarezza su come l’azienda controlla gli impatti ambientali nelle attività operative e come affronta il tema con i fornitori chiave (in modo proporzionato).

• Preparazione alle emergenze: collegamento con i rischi: non solo “avere un piano”, ma sapere per cosa è il piano e quando attivarlo.

Capitolo 9 – Valutazione delle prestazioni (misurazioni, audit, riesame della direzione)

• Misurare per decidere: enfasi sul fatto che la misurazione serva a capire cosa migliorare (non “misurare per misurare”).

• Audit interni con obiettivi: il programma di audit deve essere impostato in modo utile (perché si fa l’audit, cosa si vuole verificare, cosa deve risultare).

• Riesame della direzione più chiaro: struttura più ordinata per capire cosa si valuta in ingresso, come avviene la valutazione e quali sono gli output (decisioni, compiti).

Capitolo 10 – Miglioramento (non conformità e azioni correttive)

• Miglioramento più legato alla realtà: i risultati di misurazioni e audit dovrebbero portare più chiaramente a miglioramenti.

• Azioni correttive “per evitare che succeda di nuovo”: enfasi sulla verifica dell’efficacia: non solo correggere, ma verificare che non si ripeta.

Allegato A – Guida (Annex A)

• Più spiegazioni su “come interpretare”: allegato ampliato e più pratico per rendere l’interpretazione più uniforme e l’audit più comprensibile.

Nota finale: si tratta di cambiamenti attesi nell’ambito della revisione ISO 14001:2026 / ISO 9001:2026. Il testo finale potrebbe ancora subire piccole modifiche.