75-80% din industria IT din Romania este outsourcing. Clientii din vestul Europei, SUA si UK cer tot mai frecvent ISO 27001 ca cerinta de baza inainte sa semneze un contract. Fara certificat, nici nu ajungi pe lista scurta.
ISO 27001 certifica modul in care firma ta protejeaza informatiile. Nu verifica codul sursa si nu auditeaza proiectele. Verifica ca ai politici, proceduri si controale prin care protejezi datele la care ai acces.
De unde vine presiunea pe firmele IT
Cererea de ISO 27001 in Romania a crescut cu ~45% in 2025 fata de 2024, iar estimarile pentru 2026-2027 indica o crestere de inca ~70%. In IT, presiunea vine din trei directii.
Clientii straini. Companiile din UK, Germania, Olanda si SUA au departamente de procurement care cer ISO 27001 de la toti furnizorii care ating datele lor. Daca faci outsourcing sau SaaS pentru piata externa, certificarea e conditie de contract, nu diferentiator.
NIS2 (OUG 155/2024). Romania a transpus Directiva NIS2 prin OUG 155/2024, completata de Legea 124/2025. Firmele IT cu peste 50 de angajati sau cifra de afaceri peste 10 milioane EUR sunt clasificate ca entitati esentiale sau importante. Amenzile ajung la 10 milioane EUR (2% din cifra de afaceri) pentru entitatile esentiale si 7 milioane EUR (1,4%) pentru cele importante. DNSC (Directoratul National de Securitate Cibernetica) este autoritatea de control.
GDPR si contractele cu date personale. ISO 27001 si GDPR nu sunt acelasi lucru, dar certificarea demonstreaza ca ai “masuri tehnice si organizatorice adecvate” pe care le cere regulamentul. In 2025, ANSPDCP a aplicat 85 de sanctiuni GDPR in Romania.
Ce acopera ISO 27001 in practica pentru o firma IT
ISO 27001:2022 are 93 de controale in Anexa A, organizate in 4 categorii: organizationale (37), personal (8), fizice (14) si tehnologice (34). Versiunea din 2022 a inlocuit structura veche cu 114 controale si a adaugat 11 controale noi, orientate pe cloud, threat intelligence si securitatea dezvoltarii software.
Pentru o firma IT, cele mai relevante controale sunt:
- Controlul accesului la repositoare de cod, servere si medii cloud
- Securitatea in ciclul de dezvoltare software (dev, test, prod separate)
- Gestionarea incidentelor de securitate (plan de raspuns documentat)
- Criptarea datelor in tranzit si in repaus
- Managementul vulnerabilitatilor si patch-urilor
- Backup si recuperare in caz de dezastru
- Autentificare multi-factor si managementul conturilor
Nu trebuie sa implementezi toate cele 93 de controale. Faci o evaluare a riscurilor si selectezi controalele aplicabile prin Declaratia de Aplicabilitate (SoA).
Ce trebuie sa pregateasca o firma IT inainte de certificare
Organismul de certificare nu vine sa iti spuna ce sa faci. Trebuie sa ai deja pregatite:
- Politica de securitate a informatiei (cine e responsabil, ce date protejezi, cum le clasifici)
- Evaluarea riscurilor (identifici amenintarile, probabilitatea si impactul)
- Declaratia de Aplicabilitate (care din cele 93 de controale se aplica si de ce)
- Proceduri de control acces (cine are acces la ce sisteme, cum se revoca accesul la plecare)
- Procedura de gestionare incidente (cum raportezi, cine decide, in cat timp)
- Planul de backup si disaster recovery (unde, cat de des, cum testezi restaurarea)
Daca folosesti cloud (AWS, Azure, GCP), ai nevoie si de documentatie privind responsabilitatea partajata cu furnizorul de cloud.
Cat costa ISO 27001 pentru o firma IT
| Pachet | Cost certificare | Reinnoire anuala |
|---|---|---|
| ISO 27001 (1 standard) | 1.500-2.500 lei + TVA | 800-1.500 lei |
| ISO 27001 + ISO 9001 (2 standarde) | 2.800-4.000 lei + TVA | 1.400-2.000 lei |
Pachetul de 2 standarde e recomandat daca participi si la licitatii publice, unde ISO 9001 apare frecvent ca cerinta de calificare. Economisesti 20-30% fata de certificari separate.
Unii furnizori ofera certificare 100% online, cu proces accelerat de la 3 zile lucratoare si fara deplasari (onlineiso.ro). Pentru o firma IT obisnuita cu lucrul remote, varianta online e cea mai practica.
Legatura cu NIS2 si ce ramane descoperit
ISO 27001 acopera o parte din cerintele NIS2 (OUG 155/2024), dar nu pe toate. Exista cerinte NIS2 pe care certificarea singura nu le rezolva:
- Raportarea incidentelor semnificative catre DNSC in termene scurte (24 ore notificare initiala, 72 ore raport complet)
- Securitatea lantului de aprovizionare (evaluarea furnizorilor tai, nu doar a proceselor interne)
- Instruirea obligatorie in securitate cibernetica pentru membrii conducerii
Daca firma ta intra sub incidenta NIS2 (peste 50 de angajati sau peste 10 milioane EUR cifra de afaceri), ISO 27001 e un punct bun de plecare, dar va trebui sa completezi cu proceduri suplimentare.
ISO 27001 versus ISO 9001 pentru firme IT
Sunt standarde diferite si nu se exclud reciproc. ISO 27001 protejeaza informatia. ISO 9001 certifica procesele de management al calitatii. Multe firme IT le obtin pe amandoua: ISO 27001 pentru clientii enterprise si ISO 9001 pentru licitatii. Citeste comparatia detaliata ISO 9001 vs ISO 27001 pentru diferente specifice.
Certificatul e valabil 3 ani, cu audit de supraveghere anual. Daca e obligatoriu ISO 27001 pentru firma ta depinde de marimea companiei, tipul de clienti si sectorul in care activezi.