Daca firma ta prelucreaza date ale clientilor, opereaza sisteme informatice sau livreaza servicii digitale, exista un standard care certifica modul in care protejezi aceste informatii. ISO 27001 inseamna un standard international pentru sistemul de management al securitatii informatiei (SMSI), publicat de ISO si adoptat in Romania ca SR EN ISO/IEC 27001:2023.
Ce certifica ISO 27001
ISO/IEC 27001:2022 este versiunea actuala (editia a 3-a, publicata pe 25 octombrie 2022). Standardul certifica ca organizatia ta are un sistem structurat pentru protejarea informatiilor din trei perspective:
- Confidentialitate (informatiile sunt accesibile doar persoanelor autorizate)
- Integritate (informatiile sunt corecte si complete)
- Disponibilitate (informatiile sunt accesibile cand este nevoie de ele)
Versiunea din 2022 contine 93 de controale organizate in 4 categorii: organizationale (37), de personal (8), fizice (14) si tehnologice (34). Versiunea anterioara din 2013 avea 114 controale in 14 grupuri. Termenul de tranzitie la versiunea 2022 a fost 31 octombrie 2025.
GDPR, NIS2 si legislatia din Romania
ISO 27001 nu este obligatoriu prin lege. Dar in Romania exista mai multe acte normative care cer masuri de securitate a informatiei pe care ISO 27001 le acopera.
GDPR
Art. 32 din Regulamentul UE 2016/679 cere masuri tehnice si organizatorice adecvate pentru securitatea prelucrarii datelor personale. ASRO confirma ca ISO 27001 acopera o mare parte din cerintele GDPR atunci cand prelucrarea datelor personale este identificata ca element al securitatii informatiei.
NIS2 in Romania
Legea 362/2018 a transpus prima directiva NIS (UE 2016/1148) si a stabilit cadrul initial pentru securitatea retelelor in Romania. OUG 155/2024 (adoptata pe 30 decembrie 2024) transpune Directiva NIS2 (UE 2022/2555), iar Legea 124/2025 (in vigoare din 10 iulie 2025) a consolidat cadrul. Ordinele DNSC nr. 1/2025 si nr. 2/2025 (din 20 august 2025) reglementeaza procesul de inregistrare si evaluarea riscurilor. DNSC (Directoratul National de Securitate Cibernetica) este autoritatea responsabila.
NIS2 acopera sectoarele: energie, transport, bancar, infrastructura pietelor financiare, sanatate, apa potabila, infrastructura digitala, administratie publica, spatiu, sector alimentar. Entitatile esentiale risca amenzi de pana la 10 milioane EUR sau 2% din cifra de afaceri anuala globala. Entitatile importante risca pana la 7 milioane EUR sau 1,4%.
ISO 27001 nu garanteaza conformitatea NIS2 sau GDPR. Dar ofera un cadru care acopera cerinte comune: evaluarea riscurilor, masuri tehnice si organizatorice, notificarea incidentelor, documentatia de securitate. Citeste analiza completa in ISO 27001 si Directiva NIS2 in Romania: ce acopera si ce lipseste.
Cine are nevoie de ISO 27001 in Romania
Romania este un hub de outsourcing IT in Europa. Clientii straini (din UE si SUA) cer frecvent ISO 27001 ca dovada de securitate. Iata industriile in care certificarea conteaza cel mai mult:
| Industrie | De ce conteaza ISO 27001 |
|---|---|
| IT si outsourcing software | Cerinta clientilor straini, protectia codului si a datelor |
| Fintech si servicii financiare | Protectia datelor financiare, cerinte de reglementare |
| Sanatate si date medicale | Date sensibile ale pacientilor, conformitate GDPR |
| Telecom si servicii digitale | Entitati esentiale conform NIS2, obligatii DNSC |
| Servicii cloud si hosting | Securitatea infrastructurii clientilor, audituri frecvente |
Pentru IT si software, ISO 27001 este practic un filtru de calificare. Fara certificat, multe companii din UE si SUA nu te accepta ca furnizor.
Legea 98/2016, Art. 179 permite si autoritatilor contractante din Romania sa solicite certificate de management al securitatii in licitatii publice.
Cat costa certificarea ISO 27001
| Optiune | Pret | Durata |
|---|---|---|
| Certificare simpla | 1.500-3.500 lei | 1-7 zile |
| Cu consultanta | 4.000-8.000 lei | 2-4 saptamani |
| Implementare completa | 8.000-15.000+ lei | 1-3 luni |
Reinnoirea costa aproximativ 50% din pretul initial (de exemplu, 800–1.500 lei/an pentru un singur standard). Certificatul este valabil 3 ani, cu audituri de supraveghere anuale. Mai multe despre valabilitatea certificatului.
Pretul depinde de numarul de angajati, numarul de sisteme informatice si complexitatea activitatii. Detalii in ghidul de preturi.
Cum se obtine certificarea
- Analiza initiala. Se identifica activele informatice (servere, baze de date, aplicatii, documente) si riscurile asociate.
- Documentare. Se elaboreaza politica de securitate, declaratia de aplicabilitate si procedurile de control.
- Implementare. Se aplica controalele: acces pe baza de roluri, criptare, backup, monitorizare, instruirea angajatilor.
- Audit intern. Se verifica daca sistemul functioneaza si se corecteaza problemele gasite.
- Audit de certificare. Organismul de certificare auditeaza si emite certificatul.
Procesul dureaza de la cateva zile (certificare simpla) pana la cateva luni (implementare de la zero). Vezi cat dureaza certificarea sau citeste ghidul complet pentru obtinerea ISO 27001.
ISO 27001 si celelalte standarde ISO
ISO 27001 foloseste aceeasi structura de clauze ca ISO 9001 si ISO 14001, ceea ce permite integrarea in acelasi sistem de management. Firmele din IT obtin frecvent ISO 27001 impreuna cu ISO 9001.
Diferentele:
- ISO 9001 certifica managementul calitatii
- ISO 14001 certifica managementul mediului
- ISO 45001 certifica sanatatea si securitatea muncii
- ISO 27001 certifica securitatea informatiei
Intrebari frecvente
ISO 27001 este obligatoriu in Romania?
Nu. Este un standard voluntar. Dar devine obligatoriu de facto in anumite situatii. Citeste analiza completa: este ISO 27001 obligatoriu? pentru detalii despre NIS2, GDPR si licitatii publice.
Ce obligatii aduce NIS2 pentru firma mea?
Entitatile vizate de NIS2 trebuie sa se inregistreze la DNSC in 30 de zile, sa desemneze un responsabil cu securitatea cibernetica, sa implementeze masuri tehnice si organizatorice si sa notifice incidentele in maximum 24 de ore.
Ce diferenta e intre ISO 27001 si GDPR?
GDPR este un regulament european cu forta de lege. ISO 27001 este un standard voluntar de certificare. Se completeaza reciproc: ISO 27001 ofera cadrul tehnic si organizatoric care ajuta la respectarea cerintelor GDPR privind securitatea datelor. Citeste analiza detaliata cu tabel de mapare in ISO 27001 si GDPR in Romania: ce acopera si ce nu.
Informatii complete despre ISO 27001: pagina dedicata ISO 27001