Hvad er tidslinjen for overgangen til ISO 27701:2025?
ISO/IEC 27701:2025 blev udgivet i oktober 2025. Organisationer, der er certificeret til 2019-udgaven, har en en treårig overgangsperiode, der slutter i oktober 2028.
| Milestone | Dato | Hvad det betyder |
|---|---|---|
| 2025-udgaven udgivet | oktober 2025 | Nye certificeringer kan udstedes for begge udgaver |
| Overgangsperiode | Oktober 2025 - Oktober 2028 | Organisationer kan planlægge og udføre overgangen til 2025 |
| Overgangsfrist | oktober 2028 | Alle 2019-certifikater udløber; kun 2025-certificeringer er gyldige |
Hvis din næste overvågnings- eller recertificeringsrevision falder inden for overgangsvinduet, er det værd at drøfte det med din certificeringsorgan om overgangen skal kombineres med den planlagte revision.
Det er afgørende at vælge den rigtige revisor – se vores guide om hvordan man vælger et ISO 27701:2025 certificeringsorgan.
Hvad er de vigtigste overgangsfrister og henstandsperioder?
Det treårige overgangsvindue giver organisationer fleksibilitet, men forskellige milepæle kræver handling på forskellige tidspunkter. Her er en praktisk oversigt over, hvad du skal gøre, og hvornår:
| Dato | Hvad sker | Handling påkrævet |
|---|---|---|
| oktober 2025 | ISO 27701:2025 er udgivet. Nye certificeringer kan udstedes i henhold til begge udgaver. | Begynd at planlægge din overgang. Foretag en gap-analyse i forhold til 2025-kravene. |
| Oktober 2025 – oktober 2026 (1. klasse) | Tidlig overgangsperiode. Certificeringsorganer opdaterer deres revisionsordninger. | Bekræft, at dit certificeringsorgan er klar til at auditere frem mod 2025. Hvis din overvågningsaudit falder i denne periode, så drøft at kombinere den med overgangen. |
| Oktober 2026 – oktober 2027 (2. klasse) | Midt i overgangsperioden. De fleste certificeringsorganer er fuldt operationelle i 2025-udgaven. | Færdiggør dine dokumentationsopdateringer og interne revision i forhold til 2025-strukturen. Planlæg din overgangsrevision. |
| Oktober 2027 – oktober 2028 (3. klasse) | Sidste overgangsår. Hastighederne stiger for organisationer, der endnu ikke har gennemført overgangen. | Færdiggør din overgangsrevision inden oktober 2028. Tilgængeligheden af certificeringsorganer kan blive mindre, efterhånden som deadline nærmer sig. |
| oktober 2028 | Deadline. Alle ISO 27701:2019-certifikater udløber. Kun certifikater fra 2025-udgaven er gyldige. | Hvis du ikke har overgået til en ny ansøger, bortfalder din certificering. Du skal certificeres som ny ansøger, hvilket potentielt kan kræve en fuld fase 1- og fase 2-revision. |
Hvad sker der, hvis du overskrider deadline?
Hvis dit ISO 27701:2019-certifikat udløber i oktober 2028 uden overgang:
- Dit certifikat er ikke længere gyldigt — Kunder, tilsynsmyndigheder og indkøbsteams, der er afhængige af din certificering, vil betragte den som udløbet.
- Du kan ikke bare forny — 2019-udgaven vil blive trukket tilbage. Der er ingen mulighed for at recertificere sig imod den.
- Du starter som ny ansøger — Dit certificeringsorgan vil behandle dig som en førstegangsansøger til 2025-udgaven, hvilket typisk betyder en fuld fase 1- og fase 2-revision i stedet for en overgangsrevision. Dette koster mere og tager længere tid.
- Kommerciel indvirkning — Alle kontrakter, udbud eller kundeaftaler, der refererer til din ISO 27701-certificering, kan blive påvirket.
Praktiske råd om timing
Den mest omkostningseffektive tilgang er at afstemme din overgang med en planlagt revision:
- Hvis din næste overvågningsrevision er før oktober 2027 — Kombinér overgangen med det pågældende tilsynsbesøg. Dette undgår et separat gebyr for overgangsrevision.
- Hvis din recertificering skal indsendes før oktober 2028 — Overgang ved recertificering. Du betaler allerede for en fuld revision; tilføjelsen af kravene fra 2025-udgaven er trinvis.
- Hvis du ikke har en planlagt revision før slutningen af 2028 — Vent ikke. Book en overgangsaudit tidligt for at undgå hastværket, når deadline nærmer sig. Tilgængeligheden af certificeringsorganer vil blive snævret ind i de sidste seks måneder.
Uanset hvilket tidspunkt du vælger, så start din mangelanalyse og dokumentationsopdateringer mindst seks måneder før din planlagte overgangsrevisionDokumentationsændringerne er håndterbare, men kræver grundighed – at forhaste dem øger risikoen for afvigelser.
Vores trin-for-trin vejledning til gapanalyse guider dig gennem vurderingsprocessen for 2025-udgaven.
Hvilke strukturelle ændringer er det vigtigt at forstå?
2025-udgaven er ikke en mindre revision. Standardens arkitektur har ændret sig fundamentalt. Forståelse af disse strukturelle ændringer er det første skridt i planlægningen af din overgang.
Krav til ledelsessystemer er nu selvstændige
2019-udgaven udvidede ISO 27001-klausulerne med privatlivsspecifikke tilføjelser. 2025-udgaven har sine egne komplette krav til ledelsessystemer i klausul 4 til 10, der følger ISO's harmoniserede struktur. Hvis du også har ISO 27001, kan du stadig integrere begge systemer, men ISO 27701 afhænger ikke længere af det.
Kontroller er flyttet fra klausuler til bilag
Dette er den ændring, der påvirker din dokumentation og din anvendelighedserklæring mest:
| 2019 placering | 2025 placering | Beskrivelse |
|---|---|---|
| Punkt 6 (90+ underklausuler) | Tabel A.3 (29 kontroller) | Delte informationssikkerhedskontroller for personoplysninger |
| Punkt 7 | Tabel A.1 (31 kontroller) | PII-controllerkontroller |
| Punkt 8 | Tabel A.2 (18 kontroller) | PII-processorkontroller |
| Indlejret i klausuler 6-8 | Bilag B | Implementeringsvejledning (spejle) Bilag A) |
Bilag F korrespondancetabel kortlægger hver kontrol i 2019 til dens tilsvarende kontrol i 2025, hvilket gør gap-analyse praktisk.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvordan skal man udføre en gap-analyse?
En struktureret gapanalyse er fundamentet for en vellykket overgang. Her er en praktisk tilgang:
Trin 1: Kortlæg dine nuværende kontroller til 2025
Brug Bilag F korrespondancetabel at identificere, hvor hver af dine eksisterende 2019-kontroller er placeret i 2025-strukturen. Mange kontroller har direkte ækvivalenter, men nogle er blevet konsolideret, og andre er fjernet helt.
Vær opmærksom på kontroller markeret med "N/A" i Bilag F — dette er 2019-kontroller, der ikke har nogen direkte tilsvarende for 2025. Du skal afgøre, om intentionen allerede er dækket af en anden 2025-kontrol, eller om du trygt kan trække dokumentationen tilbage.
Trin 2: Identificer nye krav
Gennemgå kravene til ledelsessystemet for 2025 (punkt 4 til 10) i forhold til din nuværende PIMS-dokumentation. Vigtige områder at kontrollere:
- Punkt 4.1 og 4.2 — Klimaforandringer er nu en obligatorisk overvejelse i din kontekstanalyse og vurdering af interesserede parter
- Punkt 5.2 — Krav til privatlivspolitik er nu uafhængige (ikke en udvidelse af din ISMS-politik)
- Klausul 6.1.2 / 6.1.3 — Krav til vurdering af risikoen for privatlivets fred og behandling er selvstændige
- Punkt 6.3 — Planlægning af ændringer er udtrykkeligt påkrævet
Trin 3: Genopbyg din anvendelighedserklæring
Din eksisterende erklæring om anvendelighed henviste til kontrolbestemmelser i punkt 6, 7 og 8. 2025-udgaven kræver en ny erklæring om anvendelighed baseret på 78 Bilag A kontrollermed begrundelser for eventuelle undtagelser [se punkt 6.1.3 e)].
Trin 4: Opdater dokumentationen
Som minimum skal følgende dokumenter opdateres:
- PIMS-omfangserklæring (nu selvstændig, refererer ikke til ISMS-omfang)
- Privatlivspolitik (selvstændig, i henhold til paragraf 5.2)
- Metode til risikovurdering af privatlivets fred (i henhold til klausul 6.1.2)
- Anvendelseserklæring (ny struktur i bilag A)
- Intern revisionsprogram (dækker punkt 4-10 plus gældende bilag A-kontroller)
- Input og output fra ledelsens gennemgang (i henhold til punkt 9.3)
Trin 5: Udfør en intern revision i forhold til 2025
Før din overgangsrevision, skal du udføre en fuld intern revision i forhold til 2025-kravene. Dette validerer din gap-analyse, tester din opdaterede dokumentation og giver din ledelsesgennemgang meningsfuld input om overgangsparathed.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilke kontroller blev fjernet eller konsolideret?
Klausul 6 i 2019-udgaven henviste til over 90 ISO 27002-underklausuler med PII-specifik vejledning. 2025-udgaven konsoliderer disse i 29 fokuserede kontroller i Tabel A.3Mange underafsnit fra 2019, der blot sagde "ingen yderligere vejledning", er blevet fjernet.
Kontroller, der ikke havde nogen PII-specifik vejledning (fysisk sikkerhed, kabling, forsyningsvirksomheder, malwarebeskyttelse osv.), er ikke længere anført separat. Dette betyder ikke, at de er uvigtige – det betyder, at standarden nu fokuserer specifikt på kontroller, der kræver PII-relateret implementeringsvejledning.
Bilag F, tabel F.1 og F.2, viser den komplette kortlægning i begge retninger, så du kan verificere præcis, hvilke af dine eksisterende kontroller der skal kortlægges på ny, og hvilke der kan fjernes fra dit PIMS-område.
Hvorfor vælge ISMS.online til din ISO 27701-overgang?
ISMS.online gør overgangen praktisk og sporbar:
- Forudkortlagt rammeværk — ISO 27701:2025 kontroller, krav og dokumentation kortlagt og klar til brug
- Støtte til gapanalyse — Sammenlign jeres eksisterende PIMS med 2025-strukturen, og spor, hvad der skal opdateres
- Erklæring om anvendelighedsbygger — Generer din nye SoA baseret på de 78 Annex A-kontroller med begrundelser
- Dokumenthåndtering — Versionsstyring af dine opdaterede politikker, procedurer og optegnelser på ét sted
- Interne revisionsværktøjer — Planlæg og udfør din revision før overgangen med sporing af korrigerende handlinger
- Understøttelse af dobbelt framework — Kør ISO 27701 og ISO 27001 side om side uden at duplikere arbejde
Ofte Stillede Spørgsmål
Kan jeg overgå tidligt til ISO 27701:2025?
Ja. Nye certificeringer kan udstedes i henhold til 2025-udgaven fra oktober 2025 og fremefter. Hvis din næste planlagte audit er lige om hjørnet, skal du drøfte med dit certificeringsorgan, om det skal kombineres med overgangen.
Skal jeg starte helt forfra?
Nej. Meget af dit eksisterende arbejde overføres. Kontrollerne er blevet reorganiseret, ikke fundamentalt omskrevet. Brug bilag F til at knytte dine nuværende kontroller til den nye struktur, opdatere din dokumentation, så den afspejler den nye nummerering, og udfyld eventuelle huller, der er identificeret i din gap-analyse.
Hvad sker der, hvis jeg misser fristen i oktober 2028?
Din ISO 27701:2019-certificering vil ikke længere være gyldig efter oktober 2028. Du skal certificere i forhold til 2025-udgaven som en ny certificering i stedet for en overgang, hvilket muligvis kræver en fuld fase 1- og fase 2-revision.
Har jeg stadig brug for ISO 27001 for at overgå?
Nej. Da ISO 27701:2025 er en selvstændig standard, kan du overgå til en anden standard end ISO 27001. Hvis du i øjeblikket har begge certificeringer, kan du vælge at beholde begge certificeringer uafhængigt af hinanden eller fortsætte med at køre et integreret ledelsessystem.
Hvor lang tid tager overgangen typisk?
Dette afhænger af modenheden af jeres eksisterende PIMS og omfanget af nødvendige dokumentationsændringer. Organisationer med velholdte systemer kan have brug for et par uger til gap-analyse og dokumentationsopdateringer, efterfulgt af en intern revisionscyklus. Selve overgangsrevisionen kombineres typisk med et overvågnings- eller recertificeringsbesøg.
For organisationer, der ønsker at handle hurtigt, dækker vi den hurtigste vej til ISO 27701:2025-certificering.
