Cât costă certificarea ISO 27001 pentru o firmă IT?

Cât costă certificarea ISO 27001 pentru o firmă IT în 2026? Între 1.500 lei (certificare simplă, firmă sub 20 angajați) și 60.000 lei și peste (implementare completă pentru un SaaS mijlociu cu cont AWS și obligații NIS2). Diferența o face scope-ul ISMS, nu organismul de certificare.

Pentru un software house de 35 de oameni cu produs propriu, bugetul realist pentru anul 1 este 18.000-30.000 lei. Pentru o firmă de outsourcing IT cu 100+ angajați și clienți din UE, urcă la 35.000-60.000 lei.

Cum stabilești scope-ul ISMS pentru o firmă IT

Scope-ul este variabila care îți dictează prețul. La o firmă de servicii generale, ISMS acoperă birou, e-mail, contabilitate. La o firmă IT, intră lucruri care nu există altundeva.

Pentru o firmă IT/SaaS, scope-ul tipic include:

• Repository-uri de cod sursă (GitHub, GitLab) și politica de acces la branch-uri
• Pipeline-uri CI/CD și secrete (GitHub Actions, Jenkins, vault-uri)
• Infrastructura cloud (AWS, Azure, GCP) cu separare pe medii dev/staging/prod
• Bazele de date cu date clienți și backup-urile lor
• Endpoint-urile dezvoltatorilor (laptopuri cu acces la cod și producție)
• API-uri publice și autentificare
• Procese de release și gestionare a vulnerabilităților

Decizia care contează: incluzi în scope tot produsul SaaS sau doar un modul. Dacă ai 5 produse și certifici doar unul, costul scade cu 30-40%, dar certificatul nu îți acoperă restul. Clienții enterprise întreabă fix asta când văd certificatul.

Dacă scope-ul include date personale, automat se suprapune cu GDPR și ISO 27001, iar controalele tehnice acoperă aproximativ 80% din cerințele Regulamentului UE 2016/679.

Prețul certificării pe mărime de firmă IT

Tabelul de mai jos sintetizează intervalele observate în piața românească pentru anul 1 (implementare + certificare). Reînnoirea anuală este aproximativ 50% din costul inițial.

Mărime firmă IT	Doar certificare	Cu consultanță	Implementare completă
Sub 20 angajați (startup, SaaS mic)	1.500-2.500 lei	5.000-10.000 lei	10.000-18.000 lei
20-100 angajați (SaaS / outsourcing mediu)	2.500-4.000 lei	10.000-18.000 lei	18.000-35.000 lei
100+ angajați (firmă IT mare)	4.000-8.000 lei	18.000-30.000 lei	35.000-60.000+ lei

“Doar certificare” presupune că ai deja documentația ISMS scrisă, evaluarea de riscuri făcută și controalele aplicate. Pentru firme IT care pornesc de la zero, este nerealist să bugetezi doar pe coloana asta.

Dacă ai nevoie și de ISO 9001 sau ISO 14001 pentru licitații publice (cerute frecvent în pachet la achizițiile IT din SEAP), pachetul reduce costul total cu 20-30%. Un pachet de 3 standarde ISO costa intre 3.500 si 5.000 lei + TVA prin furnizori online precum onlineiso.ro.

Costuri ascunse pe care firmele IT le omit

Cea mai frecventă greșeală: bugetul include doar certificatul, nu și ce trebuie făcut ca să-l obții. Apoi auditorul cere dovezi pentru fiecare control din Anexa A și firma rămâne fără răspuns.

Penetration testing extern este o cerință de facto pentru firmele SaaS. În piața românească, un pentest pe o aplicație web costă 8.000-25.000 lei, în funcție de complexitate. Auditorul nu îl face el, îl ceri de la un furnizor specializat și prezinți raportul.

Training-ul angajaților pe securitatea informației e obligatoriu și recurent. Pentru 30 de oameni, o sesiune anuală costă 2.000-5.000 lei, plus timpul lor (3-4 ore per persoană). Fără evidența training-ului, auditorul ridică non-conformitate.

Software de gestiune ISMS (Vanta, Drata, soluții locale) accelerează implementarea, dar adaugă 3.000-15.000 lei/an. Pentru o firmă cu 50+ angajați, devine rentabil. Pentru un startup de 8 oameni, e overkill.

Cum bugetezi pe 3 ani

Anul 1 înseamnă implementare plus certificare. Pentru un SaaS de 35 angajați cu produs hostat în AWS, distribuția realistă a bugetului arată așa:

1. Audit de gap și analiză de risc: 3.000-6.000 lei
2. Documentație ISMS (politici, proceduri, declarația de aplicabilitate): 4.000-8.000 lei
3. Consultanță pe controale tehnice (cloud, cod, acces): 5.000-10.000 lei
4. Pentest extern pe aplicație: 8.000-15.000 lei
5. Audit de certificare: 2.500-4.000 lei

Total an 1: 22.500-43.000 lei. La care adaugi training și eventual licențe de software ISMS.

Anul 2 și 3 sunt audituri de supraveghere anuale. Costă tipic 800-1.500 lei pe standard plus 1.500-3.000 lei pentru menținerea ISMS (revizuiri politici, training, evidențe). Bugetul anual: 2.500-5.000 lei.

Anul 4 e recertificare completă. Auditul e mai amplu decât supravegherea, costă 60-70% din auditul inițial. Dacă firma a crescut între timp, scope-ul se ajustează și prețul urcă.

De ce costă mai mult la firme IT decât la firme de servicii generale

ISO 27001 are 93 de controale în Anexa A, grupate pe 4 teme: organizaționale, ale persoanelor, fizice, tehnologice. La o firmă de servicii care lucrează în Excel, controalele tehnologice se reduc la antivirus și parolă pe Windows. La o firmă IT, fiecare control tehnologic generează documentație separată.

Câteva exemple concrete care urcă bugetul la o firmă IT:

• Controlul A.8.25 (ciclul de dezvoltare securizat) cere proceduri scrise pentru code review, branching, testing
• Controlul A.8.28 (codare securizată) presupune dovezi de training pe OWASP și tooling de scanare
• Controlul A.8.9 (managementul configurațiilor) acoperă infrastructure as code, secrets management, versionare
• Controlul A.5.23 (servicii cloud) cere contracte și due diligence pe fiecare furnizor cloud (AWS, Stripe, SendGrid)

Implementarea ISMS-ului pentru o firmă IT cu 30-50 angajați durează tipic 4-6 luni. La o firmă de transport sau curățenie, același ISMS se face în 6-8 săptămâni. Diferența vine din complexitatea analizei de risc pe asset-uri tehnice și din numărul de proceduri pe care le scrii.

Cum se leagă prețul de obligațiile NIS2

Dacă firma ta intră sub OUG 155/2024 (transpunerea Directivei NIS2 în România, în vigoare de la 31 decembrie 2024) sau Legea 124/2025, costurile cresc indirect. NIS2 nu îți cere ISO 27001, dar cere măsuri de securitate pe care ISO 27001 le acoperă deja, plus raportare incidente la DNSC în 24 de ore (notificare inițială) și 72 de ore (raport detaliat).

Sancțiunile NIS2 ajung la 10.000.000 EUR sau 2% din cifra de afaceri pentru entități esențiale, respectiv 7.000.000 EUR sau 1,4% pentru entități importante. La calculul ROI, ISO 27001 devine o investiție mică.

Furnizorii de servicii cloud, datacentere, marketplace-uri online și platforme SaaS intră sub NIS2 dacă depășesc pragurile de mărime. Pentru detalii pe scope-ul aplicabil, vezi ghidul ISO 27001 și Directiva NIS2.

Întrebări frecvente

Pot certifica doar un produs din portofoliu?

Da. Scope-ul ISMS poate fi limitat la un produs, o echipă sau o locație. Costul scade proporțional, dar certificatul menționează explicit ce e acoperit. Clienții care fac due diligence verifică declarația de aplicabilitate, nu doar certificatul.

Trebuie să am toate cele 93 de controale aplicate?

Nu. Fiecare control e fie aplicat, fie justificat în declarația de aplicabilitate. La o firmă fără server fizic propriu, controalele de securitate fizică pe datacenter se exclud cu motivare. Auditorul verifică logica excluderilor.

Cât durează de la decizie până la certificat pentru un SaaS de 30 oameni?

Realist, 4-6 luni dacă pornești de la zero și 2-3 luni dacă ai deja documentație de securitate (de exemplu, dacă ai trecut printr-un audit SOC 2 sau ai implementat GDPR riguros). Auditul propriu-zis durează 2-5 zile lucrătoare, în funcție de scope.

Ce se schimbă pentru firmele IT care lucrează cu clienți din SUA?

Clienții americani cer adesea SOC 2 Type II în loc de ISO 27001. Cele două se suprapun pe ~70% din controale. O firmă care țintește ambele piețe implementează ISMS-ul ISO 27001 ca bază și adaugă cerințele specifice SOC 2. Vezi comparația ISO 27001 vs SOC 2 pentru detalii.

Reînnoirea costă cât?

Audituri de supraveghere anuale: 800-1.500 lei pe standard. Recertificare la 3 ani: 60-70% din costul auditului inițial. Mentenanța ISMS (revizuiri politici, training, evidențe interne) e cheltuiala recurentă pe care o subestimează cele mai multe firme IT.