Certificare ISO pentru firme IT si servicii software
Ce certificari ISO ai nevoie pentru o firma de servicii IT sau dezvoltare software: ISO 9001, 27001, 20000. Costuri, NIS2 si profil firma.
Pentru o firma de servicii IT sau dezvoltare software, combinatia uzuala este ISO 9001 + ISO 27001, completata cu ISO 20000-1 daca oferi servicii IT gestionate. Ce alegi depinde de tipul de clienti, modelul de livrare si daca firma intra sub incidenta NIS2.
Ce standarde alegi in functie de profilul firmei
| Profil firma | Standarde recomandate |
|---|---|
| Software house cu clienti enterprise (UK, DE, US) | ISO 27001 + ISO 9001 |
| Outsourcing si staff augmentation | ISO 27001 + ISO 9001 |
| SaaS B2B cu date personale | ISO 27001 (si ISO 27701 pentru GDPR extins) |
| MSP, managed services, IT operations | ISO 20000-1 + ISO 27001 |
| Web agency sau dev shop mic | ISO 9001 (plus 27001 daca atingi date sensibile) |
| Firma IT sub incidenta NIS2 | ISO 27001 in practica |
Daca livrezi pentru clienti din vestul Europei sau SUA, ISO 27001 e prima cerinta in procurement. Daca participi si la licitatii publice in Romania, ISO 9001 e necesar separat. Daca operezi servicii continue cu SLA (helpdesk, hosting gestionat, monitorizare), ISO 20000-1 documenteaza ceea ce promiti contractual.
Contextul industriei software din Romania
Industria IT&C a inchis 2024 cu 23,6 miliarde EUR cifra de afaceri si 195.929 angajati, conform datelor ANIS. Aproximativ 75-80% din activitate este outsourcing pentru clienti din vestul Europei, SUA si UK. Exporturile IT au depasit 10 miliarde EUR in 2025, iar sectorul a devenit primul exportator de servicii al tarii.
De aici vine presiunea pentru ISO 27001: clientii corporate cer certificat ca pre-conditie de contract, nu ca diferentiator. Pentru o firma cu venituri externe, certificarea scurteaza ciclul de procurement si elimina chestionare lungi de securitate la fiecare client nou.
ISO 9001 pentru servicii software
ISO 9001 certifica procesele prin care livrezi software, nu codul. Auditul verifica:
- Cum gestionezi cerintele clientului si modificarile de scope
- Cum testezi si validezi inainte de release
- Cum tratezi defectele in productie si actiunile corective
- Cum masori satisfactia clientului si imbunatatesti procesul
Pentru o firma de outsourcing, ISO 9001 documenteaza ce un client extern verifica oricum in due diligence: estimari, sprint planning, testare, deployment. Vezi diferentele ISO 9001 intre servicii si productie.
De ce ISO 27001 e standard de facto in IT
ISO 27001 protejeaza informatia, nu produsul. Pentru o firma de servicii software, controalele cu impact zilnic sunt:
- Acces la repository de cod (cine, cum se revoca la plecare)
- Separare dev, test si productie, plus gestionarea secretelor
- Backup si restaurare testata periodic
- Plan de raspuns la incidente cu termene clare
- Criptare date in tranzit si in repaus
- Autentificare multi-factor pe toate sistemele expuse
Scenariu. O firma de outsourcing cu 35 de developeri, sediu in Cluj, livreaza pentru un client din Munchen. Clientul german cere ISO 27001 inainte de prelungirea contractului anual de 1,2 milioane EUR. Implementarea politicilor si declaratiei de aplicabilitate dureaza 6 saptamani cu un consultant intern. Auditul de certificare se face online in 2 zile. Comparat cu pierderea contractului, calculul e simplu.
ISO 27001:2022 are 93 de controale in Anexa A, organizate in 4 categorii (organizationale, personal, fizice, tehnologice). Nu trebuie aplicate toate. Declaratia de aplicabilitate (SoA) selecteaza ce se aplica si motiveaza ce excluzi.
Cand ai nevoie de ISO 20000-1
ISO 20000-1 certifica managementul serviciilor IT. E relevant cand vinzi servicii continue, nu doar proiecte de dezvoltare:
- Managed services (administrare infrastructura, monitorizare, helpdesk)
- SaaS cu obligatii de SLA si suport extins
- Servicii cloud gestionate
- Outsourcing IT cu service desk dedicat
Standardul e aliniat cu cadrul ITIL, dar cere certificare formala. Diferenta fata de ISO 27001: 27001 protejeaza informatia, 20000-1 garanteaza ca livrezi serviciul la nivelul promis. Vezi comparatia ISO 20000 vs ISO 27001 si ISO 20000 vs ITIL.
Daca firma ta face doar dezvoltare la comanda, fara obligatii continue de operare, ISO 20000-1 nu aduce valoare suplimentara.
NIS2 si firmele de software (OUG 155/2024)
OUG 155/2024 a intrat in vigoare la 31 decembrie 2024 si a transpus Directiva NIS2 in Romania. Pentru sectorul software, obligatiile depind de codul CAEN si de marime.
Coduri CAEN frecvent vizate:
- 6201 dezvoltare software la comanda
- 6202 consultanta IT
- 6203 management mijloace de calcul
- 6209 alte activitati IT
- 6311 procesare date si hosting
- 6312 portaluri web
Firmele cu peste 50 de angajati sau cifra de afaceri peste 10 milioane EUR care opereaza sub aceste CAEN-uri sunt clasificate ca entitati esentiale sau importante. Inregistrarea la DNSC se face in 30 de zile de la momentul in care obligatia devine aplicabila.
Amenzile sunt severe. Pentru entitati esentiale, pana la 10.000.000 EUR sau 2% din cifra de afaceri globala. Pentru cele importante, pana la 7.000.000 EUR sau 1,4%.
ISO 27001 nu e obligatoriu legal pentru NIS2, dar e modul cel mai rapid de a demonstra controale documentate. Mai multe in ghidul ISO 27001 si Directiva NIS2.
Costuri si pachete
Pentru firme software, varianta uzuala e pachet de 2 sau 3 standarde, nu certificari separate. Pachetul combinat (9001 + 27001) acopera majoritatea cererilor de la clientii enterprise. Pachetul de 3 (cu ISO 20000-1 in plus) e specific pentru MSP si SaaS cu suport continuu.
Greseala frecventa: incepi cu ISO 9001 pentru ca pare mai accesibil, apoi un client german cere ISO 27001 in trimestrul urmator si refaci documentatia de la zero. Daca ai deja clienti enterprise in lista de prospecti, incepe cu ISO 27001 si adauga ISO 9001 in acelasi audit combinat.
Pentru cifre actuale pe pachete combinate, vezi costurile detaliate de certificare.
Intrebari frecvente
Auditorul ISO verifica codul sursa?
Nu. Auditul verifica procesele, nu codul. Se confirma ca exista code review, testare automata, separare dev/test/prod, gestionare secrete. Codul ramane confidential.
Pot lua doar ISO 27001 fara ISO 9001?
Da, sunt standarde independente. Multe firme IT incep cu 27001. ISO 9001 devine util cand intri in licitatii publice sau lucrezi cu clienti corporate care au cerinte de calitate explicite in contract.
ISO 27001 inlocuieste un audit SOC 2?
Nu. Sunt cadre diferite. SOC 2 e cerut de obicei de clientii americani, ISO 27001 de cei europeni. Vezi comparatia ISO 27001 vs SOC 2.
Cat dureaza implementarea pentru o firma de 30 de developeri?
Tipic 6-10 saptamani pentru ISO 27001 daca exista deja procese mature, plus 2-4 zile pentru auditul de certificare. Pentru ISO 9001 in paralel, 2-3 saptamani in plus.
Documentatia trebuie scrisa in romana sau engleza?
In limba in care opereaza echipa. Firmele cu clienti internationali tin documentatia bilingva sau direct in engleza. Auditorul accepta orice limba in care echipa intervievata raspunde fluent.
Elena este specializată în securitatea informației și protecția datelor. Ajută companiile IT și fintech să obțină certificarea ISO 27001 și să demonstreze conformitatea GDPR.
Vezi toate articolele