ISO/IEC 27001:2022

Guida · Certificazione ISO 27001

ISO 27001: cos'è e come ci si arriva,
passo dopo passo.

ISO/IEC 27001:2022 è lo standard internazionale per certificare che la tua azienda gestisce in modo strutturato la sicurezza delle informazioni. In questa pagina spieghiamo cosa sia davvero un ISMS, come si svolge il percorso di certificazione, quanto costa indicativamente e quanto tempo serve per arrivarci. Tutto pensato per le PMI italiane.

A colpo d'occhio

Cosa è

Standard ISO

Volontario, certificabile, internazionale

Cosa contiene

93 controlli

Annex A, suddivisi in 4 temi

Quanto serve

6–12 mesi

Per una PMI media

Cos'è ISO 27001

ISO/IEC 27001 è lo standard internazionale che definisce i requisiti per costruire, gestire e migliorare nel tempo un Sistema di Gestione della Sicurezza delle Informazioni (ISMS). È pubblicato congiuntamente da ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) ed è oggi il riferimento più diffuso al mondo per dimostrare in modo formale di trattare le informazioni in modo sicuro.

La versione vigente è ISO/IEC 27001:2022, pubblicata il 25 ottobre 2022. Le organizzazioni già certificate sulla versione 2013 hanno avuto una finestra di transizione conclusa nell'ottobre 2025: oggi il riferimento operativo è solo la versione 2022.

Un sistema ISMS non è un software né un set di firewall. È un insieme coordinato di policy, processi, ruoli, controlli tecnici e organizzativi pensato per ridurre in modo dimostrabile i rischi sulla riservatezza, integrità e disponibilità delle informazioni. La certificazione di terza parte attesta che questo sistema esiste, è documentato e funziona davvero.

A chi serve davvero

ISO 27001 è uno standard volontario, ma in molti contesti è diventato di fatto obbligatorio. Ecco i tre profili tipici di chi la persegue.

Vuoi vendere a clienti grandi

Bandi pubblici, gare per la PA, capitolati di banche, assicurazioni, sanità, manifattura strutturata: la certificazione è sempre più spesso un prerequisito contrattuale. Senza, semplicemente non partecipi.

Sei nella catena di fornitura NIS2

Anche se non sei direttamente soggetto NIS2, i tuoi clienti che lo sono devono valutare la sicurezza dei loro fornitori (art. 25). La certificazione ISO 27001 è la risposta più rapida e standardizzata che puoi dargli.

Vuoi un impianto di compliance riusabile

L'ISMS costruito per ISO 27001 ti serve come base per coprire NIS2, GDPR, DORA, requisiti contrattuali. Una volta fatto bene il lavoro, non lo rifai per ogni nuova normativa.

ISO 27001 vs NIS2 vs GDPR

Le tre cornici sono spesso confuse ma rispondono a logiche diverse. Capirne la differenza serve a evitare di fare tre volte lo stesso lavoro.

ISO 27001 NIS2 GDPR
Natura Standard volontario Direttiva UE cogente Regolamento UE cogente
Oggetto Tutte le informazioni Servizi essenziali / importanti Solo dati personali
Certificazione Sì, ente accreditato No, registrazione ACN No
Sanzione max Perdita certificato 10M€ o 2% fatturato 20M€ o 4% fatturato
Vigilanza Ente certificatore ACN Garante Privacy

I tre impianti si sovrappongono per circa il 60–70% dei controlli: chi parte da ISO 27001 copre la maggior parte dei requisiti tecnici di NIS2 e una buona quota degli adempimenti GDPR sulla sicurezza del trattamento (art. 32). È quasi sempre la strategia più efficiente per una PMI multi-obbligo.

Cosa contiene lo standard

ISO 27001:2022 è strutturato in due parti, entrambe obbligatorie per la certificazione.

Parte 1 · Clausole 4–10

Il sistema di gestione (ISMS)

Sette clausole che definiscono come va impostato e gestito il sistema: contesto e parti interessate (4), leadership (5), pianificazione e risk assessment (6), supporto e risorse (7), operatività (8), valutazione delle prestazioni (9), miglioramento continuo (10). Sono la parte "metodologica" e non si possono escludere.

Parte 2 · Annex A

93 controlli in 4 temi

L'Annex A elenca 93 controlli concreti raggruppati in quattro categorie: A.5 Organizzativi (37 controlli, dalle policy ai contratti), A.6 Persone (8 controlli, dallo screening alla disciplina), A.7 Fisici (14 controlli, accessi, sicurezza ambientale, supporti), A.8 Tecnologici (34 controlli, gestione accessi, crittografia, sviluppo, monitoraggio).

Statement of Applicability (SoA). Per ognuno dei 93 controlli devi dichiarare se lo applichi, perché, e come lo applichi. Il documento risultante (la SoA) è il cuore della certificazione: è la prima cosa che l'auditor leggerà.

Il percorso di certificazione

Sette passaggi tra l'idea e il certificato. I primi cinque li costruisci tu (con o senza supporto esterno). Gli ultimi due li firma un ente accreditato.

  1. 1

    Gap analysis

    Mappatura dello stato attuale rispetto ai requisiti delle clausole 4–10 e dei 93 controlli Annex A. Output: una lista prioritizzata di lacune con stima dello sforzo per chiuderle. Tempo tipico: 2–4 settimane.

  2. 2

    Risk assessment e Statement of Applicability

    Identificazione degli asset, valutazione delle minacce e delle vulnerabilità, stima del rischio residuo. Da qui nasce la SoA, che lega ogni controllo Annex A a un rischio identificato. Senza questo legame il controllo è ingiustificato.

  3. 3

    Implementazione policy e controlli

    Adozione delle policy mancanti, configurazione dei controlli tecnici, formazione del personale, assegnazione formale dei ruoli. È la fase più lunga: dai 3 ai 6 mesi tipicamente per una PMI.

  4. 4

    Audit interno

    Verifica indipendente prima dell'ente accreditato. Lo conduce un auditor interno o un consulente esterno qualificato (Lead Auditor). Serve a scoprire le non conformità prima dell'ente certificatore, quando puoi ancora correggerle senza impatti.

  5. 5

    Riesame della direzione

    La direzione esamina formalmente i risultati dell'audit interno, lo stato dei rischi, l'efficacia dei controlli e approva il piano di miglioramento. È un atto formale obbligatorio (clausola 9.3) e deve essere documentato.

  6. 6

    Stage 1 — audit documentale

    L'ente di certificazione (DNV, BSI, RINA, Bureau Veritas, TÜV, ecc.) esamina la documentazione del tuo ISMS: politiche, risk assessment, SoA, registro delle non conformità. Se ci sono lacune, ti vengono comunicate prima dello Stage 2.

  7. 7

    Stage 2 — audit operativo

    L'auditor verifica sul campo che i controlli siano operativi: intervista i dipendenti, controlla i log, ispeziona i processi. Se tutto torna emette il certificato, valido tre anni con audit di sorveglianza annuali e ricertificazione completa al terzo anno.