Băncile, IFN-urile, firmele fintech și asigurătorii din România au nevoie de minim ISO 27001, iar din ianuarie 2025 intră în ecuație și Regulamentul DORA, care cere reziliență digitală. Prețul este între 1.500 și 2.500 lei + TVA pentru un singur standard.
De ce ai nevoie de certificare ISO în sectorul financiar?
Trei motive care nu au legătură cu „imaginea firmei”:
- Regulamentul DORA (UE 2022/2554) se aplică direct din 17 ianuarie 2025 și acoperă 21 de tipuri de entități financiare: bănci, instituții de plată, firme de investiții, asigurători, furnizori de servicii crypto și alții.
- Legea 124/2025 (transpunerea NIS2 în România) clasifică sectorul bancar și financiar ca entități esențiale, cu amenzi de până la 10.000.000 EUR sau 2% din cifra de afaceri globală.
- Regulamentul BNR nr. 2/2020 cere prestatorilor de servicii de plată să facă gap analysis pe securitatea informației, audituri interne și externe ale sistemelor IT, și raportare anuală către BNR (până la 31 martie).
ISO 27001 acoperă o parte din aceste cerințe. Nu le acoperă pe toate, dar fără el nu ai de unde să începi.
Ce standarde ISO se potrivesc fiecărui tip de instituție?
Nu toate firmele din sectorul financiar au aceleași nevoi.
| Tip de entitate | ISO 27001 | ISO 9001 | ISO 22301 | Altele |
|---|---|---|---|---|
| Bancă / instituție de credit | Da (obligatoriu practic) | Recomandat | Da (cerut de DORA) | PCI-DSS pentru procesare carduri |
| IFN (Registrul Special BNR) | Da | Recomandat | Recomandat | Legea 93/2009 reglementează accesul la activitate |
| Fintech / procesator plăți | Da | Da | Recomandat | PCI-DSS obligatoriu |
| Societate de asigurare | Da | Recomandat | Recomandat | ASF colaborează cu BNR și DNSC pe DORA |
| Broker / intermediar | Recomandat | Opțional | Opțional | Depinde de volumul de date |
EuPlatesc, procesator de plăți românesc, deține ISO 27001, ISO 9001 și PCI-DSS Level 1. E un exemplu concret de cum arată combinarea mai multor certificări în fintech.
Ce acoperă ISO 27001 din cerințele DORA (și ce nu)
ISO 27001:2022 are 93 de controale organizate în 4 categorii: organizaționale, personal, fizice și tehnologice. Multe se suprapun cu cerințele DORA.
Ce acoperă ISO 27001:
- Politici de securitate a informației
- Controlul accesului la sisteme
- Gestionarea incidentelor de securitate
- Evaluarea riscurilor
Ce nu acoperă (și ai nevoie de supliment):
- Raportarea incidentelor ICT în 4 ore de la clasificare și 24 de ore de la descoperire. DORA e mai strict decât GDPR, care permite 72 de ore.
- Testarea rezilientei digitale (penetration testing periodic, scenarii de stres ICT)
- Managementul riscurilor de la furnizori ICT terți
Pentru continuitatea activității, ISO 22301 completează ce lipsește din ISO 27001. DORA cere explicit planuri de continuitate și recuperare în caz de incident ICT.
Ce reglementări se aplică și cum se leagă de ISO?
| Reglementare | Ce cere | Ce standard ISO ajută |
|---|---|---|
| DORA (UE 2022/2554) | Reziliență digitală, raportare incidente 4h/24h, testare ICT | ISO 27001 + ISO 22301 |
| NIS2 / Legea 124/2025 | Securitate cibernetică pentru entități esențiale | ISO 27001 |
| BNR Reg. 2/2020 | Gap analysis securitate, audituri IT, raportare anuală | ISO 27001 |
| GDPR | Protecția datelor personale | ISO 27001 (parțial) |
| PCI-DSS v4.0 | Securitatea datelor de card (procesatori de plăți) | Complementar cu ISO 27001 |
Legea 124/2025 prevede cooperarea DNSC cu BNR și ASF pentru evaluarea riscurilor cibernetice în sectorul bancar (Art. 37 alin. 3).
Cât costă certificarea ISO pentru o firmă din sectorul financiar?
| Pachet | Preț | Reînnoire anuală |
|---|---|---|
| ISO 27001 (1 standard) | între 1.500 și 2.500 lei + TVA | 800–1.500 lei |
| ISO 27001 + ISO 9001 (2 standarde) | între 2.800 și 4.000 lei + TVA | 1.400–2.000 lei |
| 3 standarde (27001 + 9001 + 22301) | între 3.500 și 5.000 lei + TVA | 1.800–2.500 lei |
Organismele tradiționale cu audit on-site percep între 5.000 și 15.000 EUR pentru ISO 27001 în sectorul financiar. Prețul variază în funcție de numărul de angajați și complexitatea sistemelor IT.
Un pachet de 2 standarde (ISO 27001 + ISO 9001) costă între 2.800 și 4.000 lei + TVA, 100% online. Vezi certificarestandarde.com pentru detalii.
Cum obții certificarea?
- Alegi standardele de care ai nevoie (vezi tabelul de mai sus pe tipul de entitate)
- Pregătești documentația: politici de securitate, evaluarea riscurilor, proceduri de incident
- Organismul de certificare face auditul și emite certificatul
- Reînnoire anuală și audituri de supraveghere
Certificarea online se finalizează în 3–5 zile lucrătoare. Implementarea completă (cu consultanță, instruiri, testare) durează 1-3 luni, în funcție de cât de pregătită e firma.
Întrebări frecvente
ISO 27001 e suficient pentru DORA?
Nu. ISO 27001 acoperă securitatea informației, dar DORA cere și testarea rezilientei digitale, raportare rapidă a incidentelor (4 ore) și managementul furnizorilor ICT. Ai nevoie și de ISO 22301 pentru continuitate și, posibil, de proceduri suplimentare.
IFN-urile au nevoie de ISO 27001?
IFN-urile din Registrul Special BNR au cerințe de supraveghere mai stricte (Legea 93/2009). ISO 27001 le ajută să demonstreze conformitatea cu BNR Reg. 2/2020, care cere gap analysis și audituri de securitate IT.
Ce legătură are NIS2 cu sectorul financiar?
Legea 124/2025 clasifică băncile și instituțiile financiare ca entități esențiale. Amenzile pot ajunge la 10.000.000 EUR. ISO 27001 acoperă majoritatea cerințelor tehnice din NIS2. Citește mai mult în ghidul ISO 27001 și Directiva NIS2.
Citește mai multe: