Dacă firma ta prelucrează date personale ale clienților sau angajaților și lucrezi cu parteneri din UE, probabil ai auzit de ambele standarde. ISO 27001 certifică securitatea informațiilor. ISO 27701 certifică modul în care protejezi datele personale. Cele două se completează, dar acoperă lucruri diferite.
Compară cele două standarde
| Criteriu | ISO 27001 | ISO 27701 |
|---|---|---|
| Ce certifică | Securitatea informațiilor (confidențialitate, integritate, disponibilitate) | Protecția datelor personale (PIMS) |
| Versiune curentă | ISO/IEC 27001:2022 | ISO/IEC 27701:2025 |
| Versiune în România | SR EN ISO/IEC 27001:2023 | SR ISO/IEC 27701 |
| Tip standard | Standard de sine stătător | Extensie la ISO 27001 (versiunea 2019) sau standard independent (versiunea 2025) |
| Număr controale | 93 de controale în 4 categorii | Controale suplimentare pentru controlori (Anexa A) și operatori de date (Anexa B) |
| Legătură cu GDPR | Acoperă cerințele art. 32 (securitate) | Include mapare directă pe articolele GDPR (Anexa D) |
| Legătură cu NIS2 | Acoperă ~70% din cerințele NIS2 | Completează ISO 27001 pentru entitățile care prelucrează date personale |
| Preț certificare | între 1.500 și 2.500 lei + TVA | între 2.800 și 4.000 lei + TVA (pachet cu ISO 27001) |
Ce face fiecare standard
ISO 27001
ISO 27001 certifică sistemul de management al securității informației (SMSI). Protejează toate tipurile de informații: date de afaceri, proprietate intelectuală, date financiare, date ale clienților. Versiunea curentă (2022) conține 93 de controale organizate în 4 categorii: organizaționale (37), de personal (8), fizice (14) și tehnologice (34).
Este cel mai cerut standard de securitate în contractele de outsourcing IT și în licitațiile publice pentru servicii digitale. Citește ce înseamnă ISO 27001 pentru detalii complete.
ISO 27701
ISO 27701 adaugă un strat de protecție a datelor personale peste ISO 27001. Definește un PIMS (Privacy Information Management System) cu controale specifice pentru:
- Controlori de date personale (firmele care decid scopul prelucrării)
- Operatori de date personale (firmele care prelucrează date în numele altora)
Versiunea 2025 a adus o schimbare importantă: ISO 27701 poate fi acum implementat ca standard independent, fără a necesita obligatoriu certificarea ISO 27001. Tranziția de la versiunea 2019 la 2025 trebuie finalizată până în octombrie 2028.
Când ai nevoie de ISO 27701 pe lângă ISO 27001
ISO 27001 singur este suficient pentru multe companii. ISO 27701 devine necesar în situații specifice:
ISO 27001 singur este suficient dacă:
- Protejezi informații de afaceri, cod sursă sau proprietate intelectuală
- Clienții tăi cer dovada securității informațiilor
- Vrei să acoperi cerințele NIS2 (OUG 155/2024, completată de Legea 124/2025)
- Participi la licitații publice pentru servicii IT
Adaugă ISO 27701 dacă:
- Prelucrezi date personale la scară mare (platforme online, servicii de marketing, HR externalizat)
- Clienți din UE cer dovada conformității GDPR printr-un certificat recunoscut
- Ești operator de date personale pentru alte companii (procesezi date în numele lor)
- Vrei să demonstrezi conformitatea cu art. 42 din GDPR, care recunoaște certificarea ca mecanism de demonstrare a conformității
Firmele din IT și software care lucrează cu date ale utilizatorilor europeni sunt cele mai frecvente candidate pentru ambele standarde.
Ce spune legislația din România despre datele personale
Regulamentul GDPR (UE 2016/679) se aplică direct în România. Legea 190/2018 completează GDPR cu prevederi naționale, inclusiv regimul de sancțiuni.
ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) aplică activ amenzi. În primele 4 luni din 2025, autoritatea a emis 52 de amenzi totalizând 1,13 milioane lei (aproximativ 230.500 EUR).
Amenzile GDPR pot ajunge la 20.000.000 EUR sau 4% din cifra de afaceri anuală globală pentru încălcări grave (art. 83 GDPR). Pentru autoritățile publice din România, Legea 190/2018 prevede amenzi de la 10.000 lei la 200.000 lei.
ISO 27001 acoperă cerințele art. 32 din GDPR (măsuri tehnice și organizatorice de securitate). ISO 27701 merge mai departe și oferă un cadru complet pentru protecția datelor personale, cu mapare directă pe cerințele GDPR.
Pe lângă GDPR, entitățile vizate de NIS2 trebuie să respecte OUG 155/2024 (completată de Legea 124/2025). ISO 27001 acoperă aproximativ 70% din cerințele NIS2. Detalii în analiza ISO 27001 și Directiva NIS2.
Cât costă certificarea în 2026
| Opțiune | Cost | Reînnoire/an |
|---|---|---|
| ISO 27001 singur | între 1.500 și 2.500 lei + TVA | 800–1.500 lei |
| ISO 27001 + ISO 27701 (pachet 2 standarde) | între 2.800 și 4.000 lei + TVA | 1.400–2.000 lei |
| Pachet 3 standarde (ISO 27001 + ISO 27701 + ISO 9001) | între 3.500 și 5.000 lei + TVA | 1.800–2.500 lei |
Pachetul de două standarde este mai avantajos decât certificarea separată. Există furnizori care oferă certificarea 100% online, cu proces accelerat — de la 3 zile lucrătoare. Vezi prețuri actualizate la onlineiso.ro.
Merită ISO 27701 dacă am deja ISO 27001?
Dacă prelucrezi date personale și ai clienți care cer conformitate GDPR, da. Pachetul ISO 27001 + ISO 27701 este semnificativ mai avantajos decât două certificări separate. Cât costă ISO 27001 separat, vezi în ghidul dedicat.
Ce se schimbă cu versiunea ISO 27701:2025?
Versiunea 2025 permite implementarea ISO 27701 ca standard independent. Dacă ai deja certificarea pe versiunea 2019, ai termen până în octombrie 2028 pentru tranziție. Dacă te certifici acum, organismul de certificare va stabili pe care versiune te evaluează.
Pot obține doar ISO 27701 fără ISO 27001?
Cu versiunea 2025, da. Versiunea anterioară (2019) era doar o extensie la ISO 27001 și necesita certificarea ISO 27001 ca bază. Practic, majoritatea organizațiilor aleg ambele standarde, pentru că sistemul de securitate a informației (ISO 27001) este fundația logică pentru protecția datelor personale.
Citește mai departe: