Guida · Certificazione ISO 27001
ISO 27001: cos'è e come ci si arriva,
passo dopo passo.
ISO/IEC 27001:2022 è lo standard internazionale per certificare che la tua azienda gestisce in modo strutturato la sicurezza delle informazioni. In questa pagina spieghiamo cosa sia davvero un ISMS, come si svolge il percorso di certificazione, quanto costa indicativamente e quanto tempo serve per arrivarci. Tutto pensato per le PMI italiane.
A colpo d'occhio
Cosa è
Standard ISO
Volontario, certificabile, internazionale
Cosa contiene
93 controlli
Annex A, suddivisi in 4 temi
Quanto serve
6–12 mesi
Per una PMI media
Cos'è ISO 27001
ISO/IEC 27001 è lo standard internazionale che definisce i requisiti per costruire, gestire e migliorare nel tempo un Sistema di Gestione della Sicurezza delle Informazioni (ISMS). È pubblicato congiuntamente da ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) ed è oggi il riferimento più diffuso al mondo per dimostrare in modo formale di trattare le informazioni in modo sicuro.
La versione vigente è ISO/IEC 27001:2022, pubblicata il 25 ottobre 2022. Le organizzazioni già certificate sulla versione 2013 hanno avuto una finestra di transizione conclusa nell'ottobre 2025: oggi il riferimento operativo è solo la versione 2022.
Un sistema ISMS non è un software né un set di firewall. È un insieme coordinato di policy, processi, ruoli, controlli tecnici e organizzativi pensato per ridurre in modo dimostrabile i rischi sulla riservatezza, integrità e disponibilità delle informazioni. La certificazione di terza parte attesta che questo sistema esiste, è documentato e funziona davvero.
A chi serve davvero
ISO 27001 è uno standard volontario, ma in molti contesti è diventato di fatto obbligatorio. Ecco i tre profili tipici di chi la persegue.
Vuoi vendere a clienti grandi
Bandi pubblici, gare per la PA, capitolati di banche, assicurazioni, sanità, manifattura strutturata: la certificazione è sempre più spesso un prerequisito contrattuale. Senza, semplicemente non partecipi.
Sei nella catena di fornitura NIS2
Anche se non sei direttamente soggetto NIS2, i tuoi clienti che lo sono devono valutare la sicurezza dei loro fornitori (art. 25). La certificazione ISO 27001 è la risposta più rapida e standardizzata che puoi dargli.
Vuoi un impianto di compliance riusabile
L'ISMS costruito per ISO 27001 ti serve come base per coprire NIS2, GDPR, DORA, requisiti contrattuali. Una volta fatto bene il lavoro, non lo rifai per ogni nuova normativa.
ISO 27001 vs NIS2 vs GDPR
Le tre cornici sono spesso confuse ma rispondono a logiche diverse. Capirne la differenza serve a evitare di fare tre volte lo stesso lavoro.
| ISO 27001 | NIS2 | GDPR | |
|---|---|---|---|
| Natura | Standard volontario | Direttiva UE cogente | Regolamento UE cogente |
| Oggetto | Tutte le informazioni | Servizi essenziali / importanti | Solo dati personali |
| Certificazione | Sì, ente accreditato | No, registrazione ACN | No |
| Sanzione max | Perdita certificato | 10M€ o 2% fatturato | 20M€ o 4% fatturato |
| Vigilanza | Ente certificatore | ACN | Garante Privacy |
I tre impianti si sovrappongono per circa il 60–70% dei controlli: chi parte da ISO 27001 copre la maggior parte dei requisiti tecnici di NIS2 e una buona quota degli adempimenti GDPR sulla sicurezza del trattamento (art. 32). È quasi sempre la strategia più efficiente per una PMI multi-obbligo.
Cosa contiene lo standard
ISO 27001:2022 è strutturato in due parti, entrambe obbligatorie per la certificazione.
Parte 1 · Clausole 4–10
Il sistema di gestione (ISMS)
Sette clausole che definiscono come va impostato e gestito il sistema: contesto e parti interessate (4), leadership (5), pianificazione e risk assessment (6), supporto e risorse (7), operatività (8), valutazione delle prestazioni (9), miglioramento continuo (10). Sono la parte "metodologica" e non si possono escludere.
Parte 2 · Annex A
93 controlli in 4 temi
L'Annex A elenca 93 controlli concreti raggruppati in quattro categorie: A.5 Organizzativi (37 controlli, dalle policy ai contratti), A.6 Persone (8 controlli, dallo screening alla disciplina), A.7 Fisici (14 controlli, accessi, sicurezza ambientale, supporti), A.8 Tecnologici (34 controlli, gestione accessi, crittografia, sviluppo, monitoraggio).
Statement of Applicability (SoA). Per ognuno dei 93 controlli devi dichiarare se lo applichi, perché, e come lo applichi. Il documento risultante (la SoA) è il cuore della certificazione: è la prima cosa che l'auditor leggerà.
Il percorso di certificazione
Sette passaggi tra l'idea e il certificato. I primi cinque li costruisci tu (con o senza supporto esterno). Gli ultimi due li firma un ente accreditato.
- 1
Gap analysis
Mappatura dello stato attuale rispetto ai requisiti delle clausole 4–10 e dei 93 controlli Annex A. Output: una lista prioritizzata di lacune con stima dello sforzo per chiuderle. Tempo tipico: 2–4 settimane.
- 2
Risk assessment e Statement of Applicability
Identificazione degli asset, valutazione delle minacce e delle vulnerabilità, stima del rischio residuo. Da qui nasce la SoA, che lega ogni controllo Annex A a un rischio identificato. Senza questo legame il controllo è ingiustificato.
- 3
Implementazione policy e controlli
Adozione delle policy mancanti, configurazione dei controlli tecnici, formazione del personale, assegnazione formale dei ruoli. È la fase più lunga: dai 3 ai 6 mesi tipicamente per una PMI.
- 4
Audit interno
Verifica indipendente prima dell'ente accreditato. Lo conduce un auditor interno o un consulente esterno qualificato (Lead Auditor). Serve a scoprire le non conformità prima dell'ente certificatore, quando puoi ancora correggerle senza impatti.
- 5
Riesame della direzione
La direzione esamina formalmente i risultati dell'audit interno, lo stato dei rischi, l'efficacia dei controlli e approva il piano di miglioramento. È un atto formale obbligatorio (clausola 9.3) e deve essere documentato.
- 6
Stage 1 — audit documentale
L'ente di certificazione (DNV, BSI, RINA, Bureau Veritas, TÜV, ecc.) esamina la documentazione del tuo ISMS: politiche, risk assessment, SoA, registro delle non conformità. Se ci sono lacune, ti vengono comunicate prima dello Stage 2.
- 7
Stage 2 — audit operativo
L'auditor verifica sul campo che i controlli siano operativi: intervista i dipendenti, controlla i log, ispeziona i processi. Se tutto torna emette il certificato, valido tre anni con audit di sorveglianza annuali e ricertificazione completa al terzo anno.
Come ti accompagniamo verso la certificazione
Due binari complementari: la piattaforma per tenere in ordine ISMS, evidenze e SoA, e il supporto diretto di un Lead Auditor ISO 27001 certificato BSI per gli audit interni e di seconda parte.
Piattaforma · Comprova
Evidenze, policy, SoA, Audit Pack
L'impianto documentale ISMS in piedi dal primo giorno: vault delle prove, Policy Kit editabile, Risk Register, controlli Annex A tracciati uno per uno, Audit Pack con hash SHA-256 da consegnare all'ente certificatore.
Scopri Comprova →
Servizio · Lead Auditor
Audit interno e di seconda parte
Il founder è Lead Auditor ISO 27001 certificato BSI Group. Conduce audit di prima parte (interni aziendali, gap analysis, pre-certificazione) e di seconda parte (audit di filiera sui fornitori del cliente).
Richiedi una call →