La certificazione ISO 27001 è diventata un asset strategico per le PMI italiane. Non è più solo un “bollino di qualità”: è un requisito contrattuale per lavorare con grandi aziende, un acceleratore per l'adeguamento alla direttiva NIS2 e un vantaggio competitivo misurabile. In questa guida analizziamo la versione aggiornata ISO 27001:2022 — i 93 controlli dell'Annex A, il processo di certificazione in 8 fasi, costi e tempistiche realistiche per PMI italiane, e come sfruttare la sinergia con la NIS2.
Cos'è la ISO 27001 e Perché È Importante nel 2026
La ISO/IEC 27001:2022 è lo standard internazionale per i Sistemi di Gestione della Sicurezza delle Informazioni (ISMS — Information Security Management System). Pubblicato dall'ISO (International Organization for Standardization) e dall'IEC, definisce i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione che protegga la riservatezza, l'integrità e la disponibilità delle informazioni aziendali.
La versione 2022 ha sostituito la precedente ISO 27001:2013, introducendo una riorganizzazione completa dei controlli dell'Annex A: da 114 controlli in 14 categorie a 93 controlli in 4 temi. Non si tratta solo di un restyling: sono stati aggiunti 11 controlli completamente nuovi che riflettono le minacce attuali, tra cui threat intelligence, sicurezza del cloud, data masking e monitoraggio della sicurezza fisica.
Perché Certificarsi: I Vantaggi Concreti per le PMI
La certificazione ISO 27001 non è obbligatoria per legge, ma sta diventando un requisito de facto in numerosi contesti di business. Ecco i vantaggi concreti e misurabili:
Vantaggio Competitivo
In gare d'appalto pubbliche e private, la certificazione ISO 27001 è sempre più spesso un requisito obbligatorio o un criterio premiante. Nelle forniture verso la PA, vale punteggio aggiuntivo in molte gare Consip e MEPA.
Requisito Clienti Enterprise
Multinazionali e grandi aziende richiedono la certificazione ai propri fornitori come prerequisito contrattuale. Senza ISO 27001, si viene esclusi dalla vendor list. Il trend è in forte crescita dal 2024.
Sinergia con NIS2
Essere certificati ISO 27001 copre circa il 70-80% dei requisiti della direttiva NIS2. Il percorso di adeguamento è significativamente più rapido e meno costoso per le aziende già certificate.
Riduzione del Rischio
Un ISMS strutturato riduce concretamente il rischio di data breach, ransomware e incidenti di sicurezza. Secondo IBM, le aziende con framework di sicurezza strutturati risparmiano in media 1,5M€ per breach.
Conformità GDPR Semplificata
Molti controlli ISO 27001 soddisfano direttamente i requisiti del GDPR (art. 32 — misure tecniche e organizzative adeguate). La certificazione è una dimostrazione concreta di accountability.
Cyber Insurance Vantaggiosa
Le compagnie assicurative applicano premi significativamente più bassi alle aziende certificate ISO 27001. Alcune polizze cyber richiedono la certificazione come prerequisito per la copertura completa.
Il dato chiave
Secondo l'ultimo rapporto Accredia, le certificazioni ISO 27001 in Italia sono cresciute del 38% nel biennio 2024-2025, trainate dall'obbligo NIS2 e dalle richieste delle supply chain enterprise. Le PMI rappresentano il segmento in maggiore crescita.
I 93 Controlli dell'Annex A: I 4 Temi della ISO 27001:2022
L'Annex A della ISO 27001:2022 contiene 93 controlli organizzati in 4 temi (rispetto ai 14 domini della versione 2013). Ogni organizzazione deve valutare quali controlli sono applicabili al proprio contesto tramite la Statement of Applicability (SoA). Non tutti i 93 controlli devono essere necessariamente implementati: l'importante è giustificare la scelta.
Controlli Organizzativi
Tema 5-8 · 37 controlli
Il gruppo più ampio, copre governance, policy, gestione del rischio, relazioni con fornitori, incident management e continuità operativa. Sono i controlli che richiedono più documentazione.
Controlli sulle Persone
Tema 6 · 8 controlli
Controlli relativi al ciclo di vita dei dipendenti: dall’assunzione alla cessazione, inclusa formazione continua e gestione del lavoro remoto. Fondamentali per l’aspetto E-E-A-T.
Controlli Fisici
Tema 7 · 14 controlli
Protezione fisica di sedi, data center, apparecchiature e supporti. Includono controllo accessi, videosorveglianza, protezione ambientale e politiche di clear desk.
Controlli Tecnologici
Tema 8 · 34 controlli
I controlli più tecnici: endpoint protection, cifratura, backup, logging, segmentazione di rete, DLP, sviluppo sicuro. Qui serve competenza tecnica specialistica.
I 11 controlli nuovi introdotti nella versione 2022 meritano particolare attenzione perché le aziende che avevano la vecchia certificazione devono integrarli. Tra i più rilevanti: Threat intelligence (raccolta proattiva di informazioni sulle minacce), Sicurezza del cloud (controlli specifici per servizi cloud), Filtraggio web, Data masking e Monitoraggio della sicurezza fisica.
Il Processo di Certificazione in 8 Fasi
Ottenere la certificazione ISO 27001 è un percorso strutturato che richiede metodo, competenza e il coinvolgimento attivo della direzione. Ecco le 8 fasi del percorso, con tempistiche realistiche per una PMI italiana:
Analisi del contesto e definizione dello scope
Il primo passo è comprendere il contesto dell'organizzazione: stakeholder interni ed esterni, requisiti legali e contrattuali, obiettivi di business. Si definisce il perimetro dell'ISMS (scope): quali processi, sedi, sistemi e informazioni saranno coperti. Per una PMI è spesso consigliabile partire con uno scope limitato (es. un solo processo core) e poi espanderlo.
Timeline: 2-3 settimane
Gap analysis e risk assessment
Si confronta lo stato attuale con i requisiti ISO 27001 e i 93 controlli dell'Annex A per identificare i gap. Parallelamente, si conduce il risk assessment: identificare gli asset informativi, le minacce, le vulnerabilità e calcolare il livello di rischio. Si definisce il risk appetite e i criteri di accettazione. Questa fase è critica: un risk assessment superficiale compromette tutto il percorso.
Timeline: 3-4 settimane
Progettazione dell'ISMS e Statement of Applicability
Si definiscono: politica di sicurezza delle informazioni, obiettivi misurabili, ruoli e responsabilità (incluso il responsabile ISMS), processi di gestione. Si redige la Statement of Applicability (SoA) che elenca tutti i 93 controlli dell'Annex A indicando per ciascuno: applicabile/non applicabile, giustificazione, stato di implementazione. La SoA è il documento più importante dell'ISMS.
Timeline: 2-3 settimane
Implementazione dei controlli
La fase più lunga e impegnativa. Si implementano i controlli selezionati nella SoA: misure tecniche (MFA, cifratura, backup, segmentazione rete, EDR, logging), procedure organizzative (gestione incidenti, gestione fornitori, change management), controlli sulle persone (formazione, NDA, screening) e fisici (controllo accessi, videosorveglianza). Un MSP come BullTech può accelerare significativamente questa fase.
Timeline: 3-6 mesi
Documentazione e formazione
Tutta la documentazione richiesta dallo standard deve essere creata e approvata: policy, procedure, istruzioni operative, registrazioni. Si avvia un programma di formazione per tutto il personale coinvolto: awareness generale sulla sicurezza, formazione specifica sui processi ISMS, training per auditor interni. La documentazione deve essere "viva", non un esercizio burocratico.
Timeline: 2-3 mesi (in parallelo con fase 4)
Audit interno e riesame della direzione
Prima dell'audit di certificazione, si conduce un audit interno completo dell'ISMS. L'auditor interno (che può essere esterno all'azienda ma indipendente dall'implementazione) verifica la conformità a tutti i requisiti. I risultati vengono presentati alla direzione nel riesame di direzione, che approva le azioni correttive e conferma l'impegno dell'organizzazione.
Timeline: 2-4 settimane
Audit di Stage 1 (documentale)
L'ente di certificazione accreditato (es. DNV, BSI, Bureau Veritas, TÜV) conduce la prima fase dell'audit. Si concentra sulla revisione della documentazione: policy, SoA, risk assessment, procedure. Verifica che l'ISMS sia stato progettato correttamente e che l'organizzazione sia pronta per lo Stage 2. Vengono identificate eventuali osservazioni o non conformità minori da risolvere.
Timeline: 1-2 giorni + 4-8 settimane per risolvere osservazioni
Audit di Stage 2 (certificazione)
L'audit finale: l'ente verificatore valuta l'effettiva implementazione dell'ISMS sul campo. Include interviste al personale, verifica delle evidenze, test dei processi, ispezione delle sedi. Se non emergono non conformità maggiori, viene emesso il certificato ISO 27001 con validità triennale. Eventuali non conformità minori vanno risolte entro 90 giorni.
Timeline: 2-5 giorni (in base alla dimensione)
Costi e Tempi Realistici per PMI Italiane
Quanto costa realmente ottenere la certificazione ISO 27001? I costi variano significativamente in base alle dimensioni dell'azienda, alla complessità dell'infrastruttura e al livello di maturità iniziale. Ecco una stima realistica per il mercato italiano:
| Voce di costo | PMI 10-30 dip. | PMI 30-100 dip. | PMI 100-250 dip. |
|---|---|---|---|
| Consulenza implementazione ISMS | 12.000-20.000 € | 20.000-35.000 € | 35.000-60.000 € |
| Strumenti e tecnologie | 3.000-8.000 € | 8.000-15.000 € | 15.000-30.000 € |
| Formazione personale | 2.000-4.000 € | 4.000-8.000 € | 8.000-15.000 € |
| Audit di certificazione (Stage 1+2) | 4.000-7.000 € | 7.000-12.000 € | 12.000-20.000 € |
| Tempo interno dedicato | Equivalente 0,5 FTE per 6 mesi | Equivalente 1 FTE per 9 mesi | Equivalente 1-2 FTE per 12 mesi |
| TOTALE CERTIFICAZIONE | 21.000-39.000 € | 39.000-70.000 € | 70.000-125.000 € |
| Costo annuo mantenimento | 6.000-12.000 € | 12.000-20.000 € | 20.000-35.000 € |
| Tempistica certificazione | 6-9 mesi | 9-12 mesi | 12-18 mesi |
Attenzione al costo nascosto: il tempo interno
La voce più sottovalutata è il tempo del personale interno dedicato al progetto. Il responsabile ISMS, l'IT manager e la direzione dovranno investire ore significative in riunioni, revisioni documentali, formazione e supporto agli auditor. Un MSP esperto come BullTech può ridurre drasticamente questo impegno gestendo l'implementazione tecnica e la documentazione.
ISO 27001 vs NIS2: Tabella Comparativa
Molte aziende si chiedono quale sia il rapporto tra la certificazione ISO 27001 e la direttiva NIS2. Sono complementari, non alternative. Ecco un confronto dettagliato:
| Aspetto | ISO 27001:2022 | NIS2 (D.Lgs. 138/2024) |
|---|---|---|
| Natura | Standard internazionale volontario | Direttiva europea recepita in legge nazionale |
| Obbligatorietà | Volontaria (ma spesso requisito contrattuale) | Obbligatoria per soggetti essenziali e importanti |
| Ambito | Sicurezza delle informazioni a 360° (CIA triad) | Cybersecurity e resilienza operativa delle reti e sistemi |
| Approccio | Risk-based con controlli specifici (93 Annex A) | Risk-based con requisiti generali (art. 24 D.Lgs. 138) |
| Certificazione | Rilasciata da ente accreditato, validità 3 anni | Nessuna certificazione: compliance verificata da ACN |
| Notifica incidenti | Gestione incidenti obbligatoria, notifica opzionale | Notifica obbligatoria entro 24h (pre-notifica) e 72h (completa) |
| Supply chain | Controlli sui fornitori (A.5.19-A.5.23) | Requisito esplicito e stringente di supply chain security |
| Responsabilità CDA | Il management deve dimostrare leadership | Il CDA è personalmente responsabile, obbligo di formazione |
| Sanzioni | Nessuna (al massimo perdita della certificazione) | Fino a 10M€ o 2% del fatturato globale |
| Sovrapposizione | Copre circa il 70-80% dei requisiti NIS2 | Riconosce ISO 27001 come framework di riferimento |
La strategia vincente: ISO 27001 + NIS2 insieme
Per le aziende soggette alla NIS2, il percorso più efficiente è implementare la ISO 27001 come framework di base e poi integrare i requisiti specifici NIS2 che non sono coperti (notifica incidenti entro 24h, supply chain security avanzata, formazione obbligatoria del CDA). In questo modo si ottengono due risultati con un unico investimento: la certificazione ISO 27001 come vantaggio competitivo e la conformità NIS2 come obbligo di legge. BullTech offre un percorso integrato che copre entrambi: scopri il nostro servizio di adeguamento NIS2.
Come Mantenere la Certificazione: Il Ciclo Triennale
Ottenere la certificazione è solo l'inizio. Mantenerla richiede un impegno continuo e strutturato. Il certificato ISO 27001 ha validità triennale, ma l'ente certificatore verifica ogni anno che il sistema di gestione sia effettivamente mantenuto e migliorato.
Anno 1: Sorveglianza
- Audit di sorveglianza (1-2 giorni)
- Verifica azioni correttive dal Stage 2
- Campionamento di controlli Annex A
- Verifica del miglioramento continuo
- Riesame della direzione aggiornato
Anno 2: Sorveglianza
- Secondo audit di sorveglianza
- Controlli diversi dall'anno 1
- Verifica gestione cambiamenti
- Risk assessment aggiornato
- Efficacia della formazione
Anno 3: Ricertificazione
- Audit completo di ricertificazione
- Revisione totale dell'ISMS
- Tutti i controlli SoA verificati
- Nuova valutazione del rischio
- Emissione nuovo certificato triennale
Tra un audit e l'altro, l'azienda deve mantenere attive le attività dell'ISMS: audit interni (almeno annuali), risk assessment aggiornato quando cambiano minacce o contesto, gestione degli incidenti con registrazione e analisi, formazione continua del personale, riesame della direzione con KPI misurabili. Un MSP come BullTech può gestire tutto il ciclo di mantenimento in outsourcing, liberando risorse interne.
I 6 Errori Più Comuni nel Percorso di Certificazione
Dall'esperienza con decine di PMI lombarde, ecco gli errori che allungano i tempi, aumentano i costi o fanno fallire l'audit di certificazione:
Scope troppo ampio al primo tentativo
Includere tutta l'azienda nello scope alla prima certificazione è ambizioso ma rischioso. Meglio partire da un perimetro gestibile (es. il processo core o una singola sede) e poi estenderlo. L'auditor preferisce uno scope piccolo ben gestito a uno ampio mal implementato.
Risk assessment superficiale o copiato
Il risk assessment è il cuore dell'ISMS. Se è generico, non calibrato sulla realtà aziendale o palesemente copiato da un template, l'auditor lo nota immediatamente. Deve riflettere le minacce reali, gli asset specifici e i rischi concreti dell'organizzazione.
Documentazione creata solo per l'audit
Policy e procedure scritte all'ultimo momento e mai utilizzate dal personale. Gli auditor fanno domande ai dipendenti: se non conoscono le procedure, la non conformità è automatica. La documentazione deve essere parte della vita aziendale quotidiana.
Mancato coinvolgimento della direzione
La ISO 27001 richiede esplicitamente la "leadership" del top management (clausola 5). Se la direzione non partecipa attivamente al riesame, non approva le policy o non conosce gli obiettivi di sicurezza, è una non conformità maggiore.
Ignorare il miglioramento continuo
L'ISMS non è un progetto con inizio e fine: è un ciclo PDCA (Plan-Do-Check-Act) continuo. Non avere evidenza di azioni correttive, non tracciare i KPI, non aggiornare il risk assessment sono tutti segnali di un sistema "morto" che non supererà la sorveglianza.
Sottovalutare la formazione del personale
Tutti i dipendenti coinvolti nello scope devono essere formati e consapevoli dei propri ruoli nella sicurezza. Non basta un'email: servono sessioni formative documentate, test di verifica e aggiornamenti periodici. Include anche la formazione specifica per auditor interni.
Il Ruolo dell'MSP nel Percorso di Certificazione
Per una PMI, affrontare il percorso ISO 27001 con le sole risorse interne è spesso impraticabile: mancano le competenze specialistiche, il tempo e gli strumenti. Un Managed Service Provider esperto può coprire la maggior parte dei requisiti tecnici e organizzativi, riducendo drasticamente tempi e costi.
Gap Analysis e Risk Assessment
BullTech conduce l'analisi iniziale con metodologie certificate, mappando lo stato attuale rispetto ai 93 controlli e valutando i rischi con framework ISO 27005.
Implementazione Tecnica Completa
Dall'MFA alla segmentazione di rete, dal backup immutabile al SIEM: implementiamo tutti i controlli tecnologici richiesti dall'Annex A senza impegnare il team interno.
Documentazione e Policy
Redigiamo tutta la documentazione richiesta personalizzata sulla realtà aziendale: policy, procedure, SoA, registri, piani di continuità e disaster recovery.
Formazione e Awareness
Programmi di formazione certificata per tutto il personale: awareness generale, formazione specifica per ruoli chiave, preparazione auditor interni.
Supporto Audit e Sorveglianza
Affianchiamo il team durante gli audit di certificazione e sorveglianza, rispondendo alle domande tecniche e fornendo le evidenze richieste dagli auditor.
Mantenimento Continuo dell'ISMS
Gestiamo il ciclo di vita dell'ISMS: audit interni, aggiornamento risk assessment, gestione non conformità, riesame della direzione, preparazione alla ricertificazione.
Il vantaggio di affidarsi a BullTech è la convergenza tra servizi MSP e compliance: i servizi che già eroghiamo — monitoraggio proattivo, backup e disaster recovery, sicurezza informatica, endpoint management — soddisfano direttamente decine di controlli Annex A. Non si tratta di implementare qualcosa da zero, ma di documentare e formalizzare ciò che già facciamo. Per una panoramica completa, visita la nostra pagina compliance IT.
Checklist Rapida: Sei Pronto per la ISO 27001?
Prima di avviare il percorso di certificazione, verifica dove si posiziona la tua azienda. Se rispondi “sì” ad almeno 7 di queste 10 domande, hai una buona base di partenza:
Esiste una policy di sicurezza informatica approvata dalla direzione?
C'è un inventario aggiornato di tutti gli asset informativi (hardware, software, dati)?
Viene eseguito regolarmente un backup con test di ripristino documentati?
L'autenticazione multi-fattore (MFA) è attiva su tutti gli accessi critici?
Esiste un processo di gestione degli incidenti di sicurezza documentato?
Il personale riceve formazione periodica sulla sicurezza informatica?
I fornitori IT vengono valutati per la sicurezza delle informazioni?
Esiste un processo di patch management con SLA definiti?
I log di sicurezza vengono raccolti e conservati in modo centralizzato?
La direzione partecipa attivamente alle decisioni sulla sicurezza informatica?
Se hai risposto “sì” a meno di 5 domande, il percorso sarà più lungo ma non impossibile. L'importante è iniziare con una gap analysis strutturata per capire esattamente dove intervenire. Per chi deve anche adeguarsi al GDPR, consigliamo di leggere la nostra checklist GDPR e sicurezza informatica per identificare le sovrapposizioni e ottimizzare lo sforzo.
Domande Frequenti sulla Certificazione ISO 27001
Quanto costa la certificazione ISO 27001 per una PMI?
Per una PMI italiana da 20 a 100 dipendenti, il costo complessivo varia tra 25.000 e 80.000 euro. Questo include: consulenza per l'implementazione dell'ISMS (15.000-50.000 euro), strumenti e tecnologie necessarie (5.000-15.000 euro), audit di certificazione da parte dell'ente accreditato (5.000-15.000 euro). I costi annuali di mantenimento si aggirano tra 8.000 e 20.000 euro, includendo audit di sorveglianza e aggiornamenti continui.
Quanto tempo serve per ottenere la certificazione ISO 27001?
Per una PMI che parte da zero, il percorso richiede mediamente 9-18 mesi. Se l'azienda ha già un buon livello di sicurezza informatica e alcune policy in essere, i tempi possono ridursi a 6-9 mesi. Le fasi più lunghe sono l'implementazione dei controlli (3-6 mesi) e la documentazione (2-3 mesi). Affidarsi a un consulente esperto può accelerare significativamente il processo.
Qual è la differenza tra ISO 27001 e NIS2?
ISO 27001 è uno standard internazionale volontario che certifica il Sistema di Gestione della Sicurezza delle Informazioni (ISMS). La NIS2 è una direttiva europea obbligatoria per i soggetti essenziali e importanti. La ISO 27001 copre la sicurezza delle informazioni a 360°, la NIS2 si concentra sulla cybersecurity e la resilienza operativa. Essere certificati ISO 27001 copre circa il 70-80% dei requisiti NIS2, ma servono integrazioni specifiche per la notifica incidenti e la supply chain.
La certificazione ISO 27001 è obbligatoria?
No, la certificazione ISO 27001 è volontaria. Tuttavia, sta diventando un requisito de facto in molti contesti: gare d'appalto pubbliche e private, requisiti contrattuali di clienti enterprise e multinazionali, supply chain di settori regolamentati (finanza, sanità, energia). Inoltre, la certificazione dimostra la conformità a molti requisiti della NIS2, semplificando significativamente il percorso di adeguamento alla direttiva europea.
Come si mantiene la certificazione ISO 27001 dopo averla ottenuta?
La certificazione ha validità triennale. Per mantenerla servono: audit di sorveglianza annuali (anno 1 e anno 2) da parte dell'ente certificatore, audit interni periodici (almeno annuali), riesame della direzione almeno annuale, aggiornamento continuo di risk assessment e Statement of Applicability, gestione delle non conformità e azioni correttive. Alla scadenza dei 3 anni si effettua l'audit di ricertificazione completo. BullTech può gestire tutto il ciclo di mantenimento come MSP dedicato.