Un client din vestul Europei trimite un chestionar de securitate. Punctul 3: „Aveți certificare ISO 27001?” Bifezi „Nu” și pierzi contractul. Scenariul ăsta se repetă săptămânal în firmele de IT din România. Implementarea ISO 27001 durează între 3 și 12 luni, în funcție de complexitatea organizației, și costă între 7.000 și 20.000+ EUR pe un ciclu complet de 3 ani.
Identifică problema pe care o rezolvi
ISO 27001 nu este un exercițiu birocratic. Este răspunsul la trei presiuni concrete din piața din România în 2026:
Clienții cer dovada. Firmele de IT outsourcing, fintech și furnizorii de servicii cloud primesc ISO 27001 ca precondiție contractuală de la clienți din vestul Europei și SUA. Fără certificat, nu intri pe lista scurtă.
NIS2 te obligă la măsuri similare. OUG 155/2024 (transpunerea Directivei NIS2), aprobată prin Legea 124/2025, cere entităților esențiale și importante să implementeze măsuri de securitate cibernetică. ISO 27001 acoperă aproximativ 70% din cerințele NIS2. DNSC (Directoratul Național de Securitate Cibernetică) monitorizează conformitatea, iar amenzile ajung la 10.000.000 EUR pentru entități esențiale.
GDPR și ISO 27001 se suprapun. ASRO confirmă că ISO 27001 acoperă o mare parte din cerințele GDPR atunci când prelucrarea datelor personale este identificată ca element al securității informației. ANSPDCP (autoritatea de protecție a datelor) verifică tocmai aceste măsuri tehnice și organizatorice.
Parcurge cele 6 faze de implementare
Implementarea completă urmează structura clauzelor 4 prin 10 din standard.
Faza 1: contextul organizației (clauzele 4 și 5)
Definești domeniul de aplicare al sistemului de management: ce locații, procese și sisteme IT acoperă. Obții angajamentul conducerii și aloci buget. La final ai documentul „Scope of ISMS” și politica de securitate a informației.
Faza 2: evaluarea riscurilor (clauza 6.1.2)
Identifici activele informaționale (servere, baze de date, documente, aplicații), amenințările și vulnerabilitățile asociate. Fiecărui risc îi atribui un proprietar, o persoană concretă. La final ai registrul de riscuri cu nivel de risc calculat. Pentru metodologia completă cu matrice de risc și exemple IT, citește ghidul de evaluare a riscurilor de securitate ISO 27001.
Faza 3: planul de tratare și Declarația de Aplicabilitate (clauzele 6.1.3 și 6.2)
Decizi pentru fiecare risc: îl reduci, îl transferi, îl accepți sau îl eviți. Selectezi controalele relevante din cele 93 de controale din Anexa A și justifici de ce le-ai inclus sau exclus. La final ai planul de tratare a riscurilor și Declarația de Aplicabilitate (Statement of Applicability).
Faza 4: implementarea controalelor (clauzele 7 și 8)
Pui în practică controalele selectate. Asta înseamnă configurări tehnice (criptare, backup, control acces), proceduri operaționale, training pentru angajați și conștientizare. Aici intră și procedura de gestionare a incidentelor de securitate, obligatorie dacă firma ta intră sub NIS2. La final ai proceduri documentate și dovezi de implementare.
Faza 5: audit intern (clauza 9.2)
Verifici tu însuți că sistemul funcționează. Auditorul intern (poate fi o persoană din firmă sau un consultant extern) verifică dacă controalele sunt implementate și respectate. La final ai raportul de audit intern cu neconformități identificate.
Faza 6: analiza managementului și certificare (clauzele 9.3 și 10)
Conducerea analizează rezultatele auditului intern și decide acțiuni corective. După remediere, contactezi un organism de certificare acreditat care efectuează auditul de certificare în două etape: analiza documentației și auditul pe teren. La final primești certificatul ISO 27001, valabil 3 ani.
Estimează corect timeline-ul
Nu toate firmele parcurg fasele în același ritm. Diferența vine din complexitatea IT și numărul de angajați.
Ai o firmă de software cu 25 de angajați, un singur birou și infrastructură în cloud. Aplicațiile le dezvolți pentru clienți din Germania care cer ISO 27001. Ai deja politici informale de securitate, folosești autentificare multi-factor și faci backup zilnic. În cazul ăsta, implementarea durează 3 până la 4 luni: prima lună pentru faze 1 prin 3 (context, riscuri, SoA), a doua lună pentru implementarea controalelor care lipsesc, a treia lună pentru audit intern și corecții, iar în luna a patra vine auditul de certificare. Costul total: aproximativ 4.000 EUR consultant + 2.000 EUR audit, deci sub 7.000 EUR.
O companie cu 200 de angajați, mai multe locații și sisteme legacy are nevoie de 8 până la 12 luni și un buget de 15.000 până la 20.000+ EUR.
Calculează costurile reale
Costul implementării ISO 27001 în România depinde de mai mulți factori. Iată intervalele pentru 2026:
| Componenta | Cost estimat |
|---|---|
| Consultant extern (documentație și implementare) | 2.000 până la 8.000 EUR |
| Audit de certificare (etapa 1 + etapa 2) | 1.500 până la 5.000 EUR |
| Audit de supraveghere anual | 800 până la 2.500 EUR |
| Recertificare (la 3 ani) | similar auditului inițial |
| Timp intern echipă | 3 până la 6 luni (cost de oportunitate) |
La acestea se adaugă costul instrumentelor: software de management al riscurilor, soluții de backup, eventual upgrade-uri de infrastructură. Pentru o firmă mică, bugetul total pe primul an este de regulă între 5.000 și 10.000 EUR. Pentru detalii despre costurile certificării, vezi ghidul dedicat.
Evită cele mai frecvente greșeli
Mulți încep implementarea direct cu procedurile, fără să facă evaluarea de risc. Rezultatul: documente care nu reflectă riscurile reale ale firmei. La audit, certificatorul observă imediat că Declarația de Aplicabilitate nu se leagă de registrul de riscuri și emite neconformitate majoră. Fix: parcurge întotdeauna fazele 2 și 3 înainte de a scrie orice procedură.
O altă greșeală e să tratezi ISO 27001 ca proiect al departamentului IT. Standardul cere implicarea conducerii (clauza 5.1) și acoperă controale organizaționale, fizice și tehnologice deopotrivă. Dacă directorul general nu participă la analiza managementului, auditorul va ridica observație.
Întrebări frecvente
Pot implementa ISO 27001 fără consultant extern?
Da, dacă ai experiență internă cu sisteme de management. Multe firme de IT cu echipe de securitate reușesc singure, dar alocă mai mult timp intern (6 până la 9 luni în loc de 3 până la 4). Consultantul accelerează procesul și reduce riscul de neconformități la audit.
ISO 27001 este obligatoriu în România?
Nu prin lege. Dar OUG 155/2024 (NIS2) cere măsuri echivalente pentru entitățile vizate. Certificarea ISO 27001 demonstrează conformitatea cu aceste cerințe.
Ce legătură are ISO 27001 cu GDPR?
ISO 27001 acoperă cerințele GDPR privind măsurile tehnice și organizatorice de protecție a datelor (Art. 32 GDPR). Implementarea standardului te ajută la conformitatea cu Regulamentul GDPR și cu Legea 190/2018.
Cât durează auditul de certificare?
Auditul are două etape. Etapa 1 (analiza documentației) durează 1 până la 2 zile. Etapa 2 (auditul pe teren) durează 2 până la 5 zile, în funcție de dimensiunea firmei. Între cele două etape trec de regulă 2 până la 4 săptămâni.