Consultanță ISO 27001 București: prețuri și pași 2026

7 min citire · Elena Tudor · Actualizat: 19 aprilie 2026
Consultanță ISO 27001 București: prețuri și pași 2026

În 2025, ANSPDCP a aplicat 105 amenzi GDPR care au totalizat peste 2,5 milioane de lei, iar amenzile NIS2 prevăzute prin OUG 155/2024 pot ajunge la 500.000 lei pentru entitățile esențiale. În București este concentrată cea mai mare parte a pieței IT, fintech și SaaS din România, iar presiunea pe firmele care procesează date a crescut vizibil.

Consultanța ISO 27001 pentru o firmă din București costă între 2.000 și 25.000 lei + TVA în 2026, în funcție de ce pornești: pachet scurt de coaching pentru audit, hibrid pentru un sistem de management al securității informației (SMSI) parțial existent sau implementare completă de la zero.

Identifică de ce ai nevoie de consultant

Cererea vine de obicei din patru direcții:

  • Firme IT care fac outsourcing pentru clienți din UE, UK și SUA, unde ISO 27001 este cerință de contract.
  • Fintech și SaaS care procesează date de plăți sau date personale și trebuie să demonstreze controale tehnice la un audit extern.
  • Companii care intră sub incidența NIS2 (entități importante sau esențiale, peste 50 de angajați ori cifră de afaceri peste 10 milioane EUR).
  • Firme care prelucrează date personale la scară și vor să reducă riscul de amendă GDPR printr-un cadru formal de securitate.

Dacă te regăsești în oricare dintre cele patru categorii și nu ai un SMSI documentat, consultantul îți aduce trei lucruri concrete: metodologia de evaluare a riscurilor, modelul de documente (politici, proceduri, Declarația de Aplicabilitate) și experiența de a trece de un audit extern fără neconformități majore.

Vezi ce cuprinde consultanța

Un pachet serios pentru o firmă din București acoperă 6 elemente:

  • Analiza inițială: unde ești față de cerințele ISO 27001:2022 și ce lipsește.
  • Evaluarea riscurilor pe active informaționale și matricea de risc.
  • Declarația de Aplicabilitate (SoA) cu justificarea fiecărui control din Anexa A. Standardul are 93 de controale, grupate pe 4 teme: 37 organizaționale, 8 pentru persoane, 14 fizice și 34 tehnologice.
  • Politicile și procedurile cerute: politica de securitate, control acces, gestionare incidente, backup, dezvoltare software sigură, lucru cu furnizori.
  • Training de conștientizare pentru angajați și instructaj pentru echipa de management.
  • Auditul intern înainte de auditul extern și suport în timpul auditului.

Un consultant bun nu îți livrează documente gata făcute și pleacă. Le adaptează la procesele tale reale și le verifică la audit intern. Documentele generice sunt prima cauză de neconformitate la auditul extern.

Compară prețurile pentru București 2026

Prețurile variază mult în funcție de complexitatea firmei și de cât e deja implementat.

Tip consultanțăSituație tipicăCost 2026Durată
Coaching scurtAi deja SMSI, vrei verificare înainte de audit2.000-4.500 lei + TVA1-3 zile
HibridAi politici parțiale, lipsește SoA și training4.500-9.000 lei + TVA4-8 săptămâni
Implementare completăPornești de la zero, firmă IT 20-50 angajați10.000-25.000 lei + TVA3-6 luni
NIS2 integratEntitate importantă sau esențială, conformitate DNSC25.000-60.000 lei + TVA4-8 luni

Certificarea propriu-zisă e o taxă separată, plătită organismului de certificare. Pentru cât costă ISO 27001 în variantă online, prețul pornește de la 1.500 lei + TVA pentru un standard.

Peste 2.500 de companii din România au obținut certificarea online, cu prețuri între 1.500 și 2.500 lei + TVA pe standard. Detalii la onlineiso.ro.

Verifică consultantul în 6 puncte

Piața din București are sute de firme care se numesc consultanți ISO. Cere următoarele înainte să semnezi contract:

  1. Referințe verificabile din domeniul tău (IT, fintech, SaaS). Două nume de clienți pe care îi poți suna.
  2. CV-urile oamenilor care vor lucra efectiv, nu profilul firmei. Cine face evaluarea riscurilor? Cine scrie SoA?
  3. Model de livrabile: SoA anterior anonimizat, o politică de securitate reală, un raport de audit intern făcut de el.
  4. Contract scris cu scop, etape, livrabile, preț total fără TVA, condiții de plată și penalități pentru întârziere.
  5. Suport pentru auditul extern. Consultantul serios te asistă în ziua auditului, nu te lasă singur.
  6. Plan post-certificare: cine monitorizează controalele, cine face auditul intern anual, cum gestionezi incidentele.

Dacă un consultant refuză să răspundă la oricare din cele 6 puncte, caută altul.

Alege între onsite și remote în funcție de firmă

Consultantul poate lucra la sediul tău, complet remote sau hibrid. Alegerea depinde de cum funcționează firma.

Onsite are sens dacă ai peste 20 de angajați, procese operaționale critice (data center propriu, servere on-prem) sau vrei ca echipa ta să învețe procedurile noi direct cu consultantul. Un consultant bun din București poate ajunge la tine în 30-60 de minute, indiferent de sector.

Remote funcționează dacă echipa ta e deja remote-first, lucrezi cloud-native (AWS, Azure, GCP) și documentația se poate face prin call-uri și repository-uri partajate. Costă tipic cu 15-25% mai puțin și accelerează procesul cu 1-2 săptămâni.

Hibrid e soluția obișnuită pentru firme IT medii: 2-3 zile onsite pentru evaluarea riscurilor și auditul intern, restul remote. Majoritatea proiectelor din Pipera și Floreasca merg pe acest model.

Planifică un calendar realist pentru SMSI

Scenariu concret: ai un SRL din Pipera cu 35 de angajați, produs SaaS, clienți din UE și Marea Britanie. Clientul tău german cere ISO 27001 până în 6 luni. Calendarul arată așa:

  1. Săptămâna 1-2: analiză inițială și inventar active informaționale.
  2. Săptămâna 3-4: evaluarea riscurilor și Declarația de Aplicabilitate.
  3. Săptămâna 5-10: politici, proceduri, training angajați, configurare controale tehnice.
  4. Săptămâna 11-12: audit intern și corectarea neconformităților.
  5. Săptămâna 13-14: audit extern etapa 1 (documentație).
  6. Săptămâna 15-16: audit extern etapa 2 (implementare).
  7. Săptămâna 18: emitere certificat.

Costul estimat pentru scenariul de mai sus este de 12.000 până la 18.000 lei + TVA consultanță și 1.500 până la 2.500 lei + TVA certificarea. Pentru firme de acest tip, ghidul de implementare ISO 27001 în România detaliază fiecare etapă.

Dacă firma ta e în fintech sau domeniul bancar, timeline-ul se prelungește cu 4-8 săptămâni pentru integrarea cu DORA și cerințele BNR. Pentru companiile care au deja o componentă GDPR consistentă, citește ghidul ISO 27001 și GDPR pentru a vedea ce se suprapune și ce rămâne de acoperit separat.

Consultantul pregătește firma, organismul certifică. Sunt două decizii distincte: vezi și cum alegi o firmă de certificare ISO în București după ce SMSI-ul e pus la punct.