ISO 22301 certifică planul de continuitate al afacerii. ISO 27001 certifică protecția informațiilor. Cele două standarde acoperă zone diferite, dar se completează reciproc, mai ales de când NIS2 cere ambele categorii de măsuri.
Ce acoperă fiecare standard?
| Criteriu | ISO 22301 | ISO 27001 |
|---|---|---|
| Ce protejează | Continuitatea operațiunilor | Confidențialitatea, integritatea și disponibilitatea datelor |
| Tip de standard | BCMS (Business Continuity) | ISMS (Information Security) |
| Versiune curentă | SR EN ISO 22301:2020 | SR EN ISO/IEC 27001:2023 |
| Certificate active global | ~4.595 | ~71.549 |
| Se aplică în | Orice industrie | Orice industrie (frecvent IT, financiar) |
| Răspunde la | Ce faci când se întâmplă ceva grav? | Cum împiedici accesul neautorizat la date? |
| Cerință NIS2 | Da (planuri de continuitate) | Da (măsuri de securitate cibernetică) |
Cum se leagă de NIS2?
OUG 155/2024, completată de Legea 124/2025, transpune Directiva NIS2 în România. Legislația cere entităților esențiale și importante două categorii de măsuri: securitate cibernetică și continuitate a activității.
ISO 27001 acoperă aproximativ 70% din cerințele NIS2: evaluarea riscurilor, controlul accesului, gestionarea incidentelor, securitatea rețelelor. Lacuna principală este continuitatea afacerii. ISO 27001 are o singură cerință legată de continuitate (Annex A.5.30), care acoperă doar continuitatea IT.
ISO 22301 completează exact acest gol. Acoperă continuitatea întregii afaceri: personal, sediu, furnizori, procese operaționale, nu doar serverele. Dacă activitatea ta intră sub NIS2, combinația celor două standarde acoperă practic toate cerințele tehnice.
Amenzile NIS2 ajung la 10.000.000 EUR pentru entități esențiale și 7.000.000 EUR pentru entități importante.
Când ai nevoie de unul, celălalt sau ambele?
Dacă ești firmă IT cu 30 de angajați care dezvoltă software pentru clienți din UE, ai nevoie în primul rând de ISO 27001. Clienții îl cer contractual, iar NIS2 se aplică dacă oferi servicii digitale. ISO 22301 vine pe locul doi, dacă vrei conformitate completă NIS2 sau dacă ai avut deja incidente care ți-au oprit activitatea.
Dacă operezi în energie, transporturi sau sănătate, ai nevoie de ambele. Aceste sectoare sunt entități esențiale sub NIS2 și necesită atât securitate cibernetică, cât și planuri de continuitate documentate.
Dacă ai o firmă de producție sau servicii fără expunere digitală mare, ISO 22301 singur poate fi suficient pentru a-ți documenta planurile de recuperare. ISO 27001 devine necesar doar dacă gestionezi date sensibile sau lucrezi cu parteneri care îl cer.
Cât costă în 2026?
| Opțiune | Preț orientativ | Reînnoire/an |
|---|---|---|
| ISO 27001 singur | 1.500-2.500 lei + TVA | 800-1.500 lei |
| ISO 22301 singur | 1.500-2.500 lei + TVA | 800-1.500 lei |
| Pachet ISO 27001 + ISO 22301 | 2.800-4.000 lei + TVA | 1.400-2.000 lei |
Pachetul de 2 standarde este mai avantajos decât certificarea separată. Documentația de bază se suprapune parțial, iar auditul combinat reduce costul total.
De ce se integrează ușor?
Cele două standarde folosesc aceeași structură de 10 clauze. Procedurile comune (evaluarea riscurilor, audit intern, acțiuni corective, controlul documentelor) se scriu o singură dată și se aplică în ambele sisteme. Un singur responsabil de sistem poate gestiona atât BCMS, cât și ISMS.
ISO 27001 include deja business continuity?
Parțial. ISO 27001 conține controlul A.5.30 (pregătirea IT pentru continuitate), dar acesta acoperă doar partea de infrastructură IT. Nu include planuri pentru personal, sediu fizic, furnizori sau procese operaționale non-IT. ISO 22301 acoperă toate aceste elemente. Citește mai mult despre ce înseamnă ISO 22301.
Ce costuri suplimentare am cu implementarea?
Prețurile din tabel sunt pentru certificare. Dacă ai nevoie și de consultanță pentru elaborarea documentației (analiza de impact, planuri de continuitate, politici de securitate), costul total poate ajunge la 5.000-12.000 lei + TVA. Citește detalii despre cât costă ISO 22301 și cât costă ISO 27001.