ISO/IEC 27000:2026 in dirittura d'arrivo: cosa cambia davvero (spoiler: meno di quello che ti diranno)

Ogni volta che il numero di una norma cambia, parte la stessa scena: email dai fornitori, webinar «urgenti», la sensazione che il tuo certificato sia scaduto nella notte. ISO/IEC 27000:2026 è ormai in dirittura d'arrivo e il copione si ripeterà. La versione breve: se sei certificato ISO/IEC 27001, non devi fare nulla. La versione utile è capire perché — e sta tutta in una distinzione che quasi nessuno spiega.
Il fatto: la sesta edizione è in dirittura d'arrivo
ISO/IEC 27000 è arrivato alla sesta edizione, indicata da ISO come 2026-07. Al 7 luglio 2026, però, lo status ufficiale sulla pagina ISO è ancora «under publication» (stage 60.00): il testo è nella fase finale del processo di pubblicazione — non significa che esista una transizione certificativa già aperta.
La sostanza, comunque, non cambia. ISO/IEC 27000 è il documento «ombrello» della famiglia degli standard di sicurezza delle informazioni — la serie 27k — quello che spiega concetti, principi e relazioni tra gli altri standard. È storicamente offerto gratuitamente da ISO e, soprattutto, non è uno standard certificabile.
La distinzione che quasi nessuno fa: 27000 non è 27001
Qui nasce tutta la confusione. Nella serie 27k due numeri vicinissimi fanno cose opposte:
- ISO/IEC 27000 — Overview. Panoramica e (storicamente) vocabolario. Nessun requisito certificativo autonomo, nessun obbligo di transizione. Storicamente offerto gratis da ISO.
- ISO/IEC 27001 — Requirements. I requisiti del sistema di gestione della sicurezza delle informazioni (ISMS). È lo standard contro cui ti certifichi, ed è tuttora nell'edizione 2022.
Ti certifichi sul 27001. Il 27000 lo leggi, al più, per orientarti. Una nuova edizione del 27000 non tocca i requisiti su cui sei valutato — per lo stesso motivo per cui riscrivere la prefazione di un manuale non cambia le regole scritte nei capitoli.
Cosa è cambiato davvero nel 27000:2026
La sesta edizione è soprattutto una ripulitura:
- cambia il focus: overview, concetti, principi e relazioni tra gli standard, più che elenco di termini (il titolo perde «and vocabulary»);
- il glossario esteso non è più il centro del documento: secondo l'analisi di ISO27001security la nuova edizione mantiene solo una dozzina di termini chiave, mentre le definizioni ufficiali restano consultabili su ISO OBP e IEC Electropedia;
- il risultato è un documento snello, ~11 pagine, che riassume la famiglia 27k in poche clausole.
Utile come mappa introduttiva. Ma non introduce nuovi requisiti auditabili per una certificazione ISO/IEC 27001.
Se sei certificato ISO/IEC 27001:2022: cosa devi fare
Nulla, per via del 27000. Il tuo certificato dipende dai requisiti del 27001:2022 (con l'emendamento «climate action» del 2024) e dai 93 controlli dell'Annex A: nessuno di questi si muove perché è uscito il 27000:2026. Nessuna transizione, nessun ri-audit, nessun nuovo controllo.
L'unica transizione che contava — dal 27001:2013 al 27001:2022 — aveva una scadenza reale, il 31 ottobre 2025 (IAF MD 26), ormai passata: da allora tutti gli audit sono già sulla 2022. Se l'hai gestita, sei a posto. Se non l'hai gestita, il problema non è il 27000:2026: è che un certificato accreditato non transizionato entro il termine IAF non è più valido secondo il percorso di transizione alla 27001:2022.
E gli auditor? Devono ricertificarsi?
No — non per il 27000:2026. Ed è corretto separare ciò che è documentato da ciò che è ragionamento:
- Fatto: la competenza di un auditor ISMS è ancorata al 27001 (i requisiti), alle linee guida di audit ISO 19011 e alle regole di accreditamento ISO/IEC 17021-1. Non al 27000.
- Inferenza fondata: un documento di overview, non normativo e privo di requisiti, non genera obblighi di ri-formazione o ri-certificazione per gli auditor. Nessuna fonte impone il contrario.
Ciò che davvero richiedeva un aggiornamento era il passaggio alla 27001:2022, non l'uscita del 27000. E il mantenimento della qualifica personale (schemi come PECB, IRCA, Exemplar Global) dipende dai crediti formativi (CPD) e dalle regole dello schema, non da questa nuova edizione.
Il punto: conformità guidata da evidenze, non da allarmismo
La morale non è «ignora gli aggiornamenti». È distinguere il segnale dal rumore. Un aggiornamento di overview è un'occasione per rileggere la mappa della famiglia 27k, non un'emergenza di certificazione. Ogni volta che qualcuno ti dice «devi ricertificarti», la domanda giusta è una sola: contro quale requisito? Se la risposta è «nessuno, è cambiato l'overview», puoi tornare a lavorare. La conformità seria si misura su evidenze e requisiti, non sull'ansia da numero di versione.
Fonti
Conformità senza allarmismo: partiamo dai requisiti veri
Tomato aiuta le PMI a leggere gli aggiornamenti normativi per quello che sono, e a tradurre ISO 27001, NIS2 e AI Act in controlli ed evidenze concrete — senza vendere emergenze.
Parla con noi →