A ISO 27001 entrou em vigor em outubro de 2022. O prazo de transição para empresas certificadas na versão anterior encerrou em outubro de 2025. Estamos em maio de 2026, e empresas que ainda não fizeram a adequação estão operando com uma certificação expirada ou correndo o risco de perdê-la na próxima auditoria.
Isso não é teoria. É o estado atual de qualquer organização que não concluiu a transição.
O que mudou na ISO 27001: os 4 grupos e os 11 novos controles
A principal alteração da ISO 27001 está no Anexo A, que concentra os controles de segurança da informação. A versão anterior tinha 114 controles distribuídos em 14 domínios. A versão 2022 reorganizou tudo em 4 categorias e reduziu o total para 93 controles, sendo que 11 são completamente novos.
A redução de 114 para 93 não significa que controles foram eliminados. A maioria foi mesclada e renomeada. O que importa é o que foi adicionado: 11 controles criados especificamente para endereçar ameaças que não existiam ou não eram prioritárias em 2013.
As 4 categorias do Anexo A na versão 2022:
| Categoria | Controles | Código |
| Organizacionais | 37 | A.5 |
| Tecnológicos | 34 | A.8 |
| Físicos | 14 | A.7 |
| Humanos | 8 | A.6 |
Os 11 novos controles:
| Código | Controle |
| A.5.7 | Inteligência de ameaças |
| A.5.23 | Segurança da informação para uso de serviços em nuvem |
| A.5.30 | Prontidão de TIC para continuidade dos negócios |
| A.7.4 | Monitoramento de segurança física |
| A.8.9 | Gerenciamento de configurações |
| A.8.10 | Exclusão e descarte de informações |
| A.8.11 | Mascaramento de dados |
| A.8.12 | Prevenção contra vazamento de dados (DLP) |
| A.8.16 | Atividades de monitoramento |
| A.8.23 | Filtragem da web |
| A.8.28 | Programação e criptografia segura |
Esses controles refletem o ambiente atual: nuvem, DLP, inteligência de ameaças e continuidade de negócios passaram de boas práticas para requisitos formais da norma.
O prazo encerrou. O que isso significa para a sua empresa agora
O cronograma de transição foi claro desde o início. A partir de outubro de 2023, novas certificações e recertificações passaram a exigir obrigatoriamente a versão 2022. O prazo final para transição das certificações existentes era outubro de 2025.
Estamos em maio de 2026.
Isso significa que qualquer empresa que ainda não concluiu a transição está em uma das seguintes situações:
Certificação expirada ou cancelada, sem que os responsáveis necessariamente tenham sido notificados com clareza. Risco de reprovação na próxima auditoria de manutenção ou recertificação. Exposure legal e contratual, especialmente em setores onde a ISO 27001 é requisito de fornecedores como a Microsoft, que exige a norma de parceiros e fornecedores de TI.
O ISMS.online documenta que empresas com certificação ISO 27001 ativa reportam vantagem direta em processos de homologação com grandes clientes e contratos governamentais. Perder essa certificação não é só um problema de compliance interno.
As mudanças nas cláusulas que a maioria ignora
Além do Anexo A, a versão 2022 alterou cláusulas centrais da norma que definem como o SGSI deve ser gerenciado. São mudanças menores em texto, mas com impacto prático relevante.
A cláusula 4.2 agora exige que a organização determine explicitamente quais requisitos das partes interessadas serão endereçados dentro do SGSI. A cláusula 6.3, completamente nova, adiciona o planejamento de mudanças como requisito formal. A cláusula 9.3 foi reorganizada em três subcláusulas para estruturar melhor a análise crítica pela direção.
Outro ponto de atenção: os objetivos de controle, que existiam na versão 2013, foram removidos. Isso altera a forma como a Declaração de Aplicabilidade (SoA) deve ser estruturada.
Os controles que sua empresa provavelmente ainda não implementou
Para organizações que migraram da versão 2013 sem um gap analysis estruturado, os controles novos são o principal ponto de risco. Alguns deles exigem investimento em ferramentas ou processos que podem não estar no radar do time de TI.
A.5.23: Segurança em nuvem. Essencial para qualquer empresa que usa SaaS, IaaS ou PaaS. Exige controles específicos sobre contratos com provedores, gestão de acessos e classificação de dados em ambientes cloud.
A.8.12: Prevenção contra vazamento de dados (DLP). Crítico para conformidade com LGPD e GDPR. Requer ferramentas e processos para monitorar e bloquear transferências não autorizadas de dados sensíveis.
A.5.7: Inteligência de ameaças. Exige que a organização colete, analise e atue com base em informações sobre ameaças relevantes ao seu ambiente. Vai além de apenas ter um antivírus atualizado.
A.5.30: Prontidão de TIC para continuidade. Integra segurança da informação com o plano de continuidade de negócios, exigindo testes e validações regulares da capacidade de recuperação.
Segundo o NIST Cybersecurity Framework, organizações que integram inteligência de ameaças e continuidade de negócios em seus programas de segurança reduzem significativamente o tempo de resposta a incidentes. A ISO 27001 formaliza exatamente essa integração.
As 4 etapas para adequação agora
Se sua empresa ainda não concluiu a transição, o caminho é estruturado em quatro etapas. Quanto mais cedo começar, menor o risco de impacto em auditorias ou contratos.
Etapa 1: Capacitação. A equipe responsável pelo SGSI precisa entender o que mudou na norma. Isso inclui as cláusulas, os novos controles e a forma como a SoA deve ser atualizada.
Etapa 2: Gap Analysis. Identificar quais dos 11 novos controles ainda não estão implementados, quais controles existentes precisam ser adaptados e onde a Declaração de Aplicabilidade precisa ser revisada.
Etapa 3: Implementação. Atualizar a SoA, implementar os novos controles conforme aplicabilidade ao negócio e documentar justificativas para qualquer controle omitido. Realizar auditoria interna e análise crítica da direção.
Etapa 4: Auditoria de transição. Solicitar formalmente a transição na próxima auditoria de manutenção ou recertificação. O organismo certificador verificará as mudanças, a SoA atualizada e a avaliação de riscos.
O DNV Brasil detalha o processo formal de transição e os critérios de auditoria aplicáveis a cada etapa.
Sua certificação ainda está válida?
Se a sua empresa foi certificada na ISO 27001:2013 e não realizou a auditoria de transição, a resposta mais provável é: não.
Certificações ISO 27001:2013 que não foram migradas até outubro de 2025 foram canceladas pelos organismos certificadores. Isso significa que qualquer proposta, contrato ou declaração que mencione ISO 27001 como certificação ativa pode estar baseada em informação incorreta, com risco legal e reputacional associado.
A adequação agora não é sobre manter um certificado na parede. É sobre garantir que os controles de segurança do seu ambiente estão alinhados com os riscos reais do mercado atual, e que sua organização pode comprovar isso em qualquer auditoria ou processo de homologação.
A El Canary conduz o processo de adequação à ISO 27001 de ponta a ponta: gap analysis, implementação de controles, atualização da SoA e suporte à auditoria de transição. Se sua empresa ainda não fez a migração, o momento de agir é agora.
