Un tuo cliente enterprise ti chiede la certificazione ISO 27001 come requisito per continuare a lavorare insieme. Oppure stai cercando di capire se conviene certificarsi prima che diventi un obbligo di fatto. In entrambi i casi, sei nel posto giusto. In questa guida ti spiego la versione aggiornata ISO 27001:2022 in modo pratico: i 93 controlli dell'Annex A, il processo di certificazione in 8 fasi, costi e tempistiche realistiche per PMI italiane, e come sfruttare la sinergia con la direttiva NIS2.
Cos'è la ISO 27001 e Perché È Importante nel 2026
La ISO/IEC 27001:2022 è lo standard internazionale per i Sistemi di Gestione della Sicurezza delle Informazioni (ISMS — in pratica, un sistema strutturato per proteggere i dati aziendali). Definisce i requisiti per creare, attivare, mantenere e migliorare continuamente un sistema che protegga la riservatezza, l'integrità e la disponibilità delle tue informazioni aziendali.
La versione 2022 ha sostituito la precedente ISO 27001:2013, introducendo una riorganizzazione completa dei controlli dell'Annex A: da 114 controlli in 14 categorie a 93 controlli in 4 temi. Non si tratta solo di un restyling: sono stati aggiunti 11 controlli completamente nuovi che riflettono le minacce attuali, tra cui threat intelligence, sicurezza del cloud, data masking e monitoraggio della sicurezza fisica.
Perché Certificarsi: I Vantaggi Concreti per le PMI
Ok, la certificazione non è obbligatoria per legge. Ma sta diventando un requisito de facto in tantissimi contesti. In pratica: senza, perdi opportunità. Ecco i vantaggi concreti:
Vantaggio Competitivo
In gare d'appalto pubbliche e private, la certificazione ISO 27001 è sempre più spesso un requisito obbligatorio o un criterio premiante. Nelle forniture verso la PA, vale punteggio aggiuntivo in molte gare Consip e MEPA.
Requisito Clienti Enterprise
Multinazionali e grandi aziende richiedono la certificazione ai propri fornitori come prerequisito contrattuale. Senza ISO 27001, si viene esclusi dalla vendor list. Il trend è in forte crescita dal 2024.
Sinergia con NIS2
Essere certificati ISO 27001 copre circa il 70-80% dei requisiti della direttiva NIS2. Il percorso di adeguamento è significativamente più rapido e meno costoso per le aziende già certificate.
Riduzione del Rischio
Un ISMS strutturato riduce concretamente il rischio di data breach, ransomware e incidenti di sicurezza. Secondo IBM, le aziende con framework di sicurezza strutturati risparmiano in media 1,5M€ per breach.
Conformità GDPR Semplificata
Molti controlli ISO 27001 soddisfano direttamente i requisiti del GDPR (art. 32 — misure tecniche e organizzative adeguate). La certificazione è una dimostrazione concreta di accountability.
Cyber Insurance Vantaggiosa
Le compagnie assicurative applicano premi significativamente più bassi alle aziende certificate ISO 27001. Alcune polizze cyber richiedono la certificazione come prerequisito per la copertura completa.
Il dato chiave
Secondo l'ultimo rapporto Accredia, le certificazioni ISO 27001 in Italia sono cresciute del 38% nel biennio 2024-2025, trainate dall'obbligo NIS2 e dalle richieste delle supply chain enterprise. Le PMI rappresentano il segmento in maggiore crescita.
I 93 Controlli dell'Annex A: I 4 Temi della ISO 27001:2022
L'Annex A della ISO 27001:2022 contiene 93 controlli organizzati in 4 temi (nella versione vecchia erano 114 in 14 categorie). La buona notizia: non devi per forza attivarli tutti. Devi valutare quali sono applicabili alla tua realtà tramite la Statement of Applicability (SoA) — un documento dove elenchi cosa applichi e perché.
Controlli Organizzativi
Tema 5-8 · 37 controlli
Il gruppo più ampio, copre governance, policy, gestione del rischio, relazioni con fornitori, incident management e continuità operativa. Sono i controlli che richiedono più documentazione.
Controlli sulle Persone
Tema 6 · 8 controlli
Controlli relativi al ciclo di vita dei dipendenti: dall’assunzione alla cessazione, inclusa formazione continua e gestione del lavoro remoto. Fondamentali per l’aspetto E-E-A-T.
Controlli Fisici
Tema 7 · 14 controlli
Protezione fisica di sedi, data center, apparecchiature e supporti. Includono controllo accessi, videosorveglianza, protezione ambientale e politiche di clear desk.
Controlli Tecnologici
Tema 8 · 34 controlli
I controlli più tecnici: endpoint protection, cifratura, backup, logging, segmentazione di rete, DLP, sviluppo sicuro. Qui serve competenza tecnica specialistica.
I 11 controlli nuovi introdotti nella versione 2022 meritano particolare attenzione perché le aziende che avevano la vecchia certificazione devono integrarli. Tra i più rilevanti: Threat intelligence (raccolta proattiva di informazioni sulle minacce), Sicurezza del cloud (controlli specifici per servizi cloud), Filtraggio web, Data masking e Monitoraggio della sicurezza fisica.
Il Processo di Certificazione in 8 Fasi
Il percorso per ottenere la certificazione è lungo ma prevedibile. Serve metodo, competenza e il coinvolgimento attivo di chi guida l'azienda. Ecco le 8 fasi, con i tempi reali per una PMI italiana:
Analisi del contesto e definizione dello scope
Il primo passo è comprendere il contesto dell'organizzazione: stakeholder interni ed esterni, requisiti legali e contrattuali, obiettivi di business. Si definisce il perimetro dell'ISMS (scope): quali processi, sedi, sistemi e informazioni saranno coperti. Per una PMI è spesso consigliabile partire con uno scope limitato (es. un solo processo core) e poi espanderlo.
Timeline: 2-3 settimane
Gap analysis e risk assessment
Si confronta lo stato attuale con i requisiti ISO 27001 e i 93 controlli dell'Annex A per identificare i gap. Parallelamente, si conduce il risk assessment: identificare gli asset informativi, le minacce, le vulnerabilità e calcolare il livello di rischio. Si definisce il risk appetite e i criteri di accettazione. Questa fase è critica: un risk assessment superficiale compromette tutto il percorso.
Timeline: 3-4 settimane
Progettazione dell'ISMS e Statement of Applicability
Si definiscono: politica di sicurezza delle informazioni, obiettivi misurabili, ruoli e responsabilità (incluso il responsabile ISMS), processi di gestione. Si redige la Statement of Applicability (SoA) che elenca tutti i 93 controlli dell'Annex A indicando per ciascuno: applicabile/non applicabile, giustificazione, stato di implementazione. La SoA è il documento più importante dell'ISMS.
Timeline: 2-3 settimane
Implementazione dei controlli
La fase più lunga e impegnativa. Si implementano i controlli selezionati nella SoA: misure tecniche (MFA, cifratura, backup, segmentazione rete, EDR, logging), procedure organizzative (gestione incidenti, gestione fornitori, change management), controlli sulle persone (formazione, NDA, screening) e fisici (controllo accessi, videosorveglianza). Un MSP come BullTech può accelerare significativamente questa fase.
Timeline: 3-6 mesi
Documentazione e formazione
Tutta la documentazione richiesta dallo standard deve essere creata e approvata: policy, procedure, istruzioni operative, registrazioni. Si avvia un programma di formazione per tutto il personale coinvolto: awareness generale sulla sicurezza, formazione specifica sui processi ISMS, training per auditor interni. La documentazione deve essere "viva", non un esercizio burocratico.
Timeline: 2-3 mesi (in parallelo con fase 4)
Audit interno e riesame della direzione
Prima dell'audit di certificazione, si conduce un audit interno completo dell'ISMS. L'auditor interno (che può essere esterno all'azienda ma indipendente dall'implementazione) verifica la conformità a tutti i requisiti. I risultati vengono presentati alla direzione nel riesame di direzione, che approva le azioni correttive e conferma l'impegno dell'organizzazione.
Timeline: 2-4 settimane
Audit di Stage 1 (documentale)
L'ente di certificazione accreditato (es. DNV, BSI, Bureau Veritas, TÜV) conduce la prima fase dell'audit. Si concentra sulla revisione della documentazione: policy, SoA, risk assessment, procedure. Verifica che l'ISMS sia stato progettato correttamente e che l'organizzazione sia pronta per lo Stage 2. Vengono identificate eventuali osservazioni o non conformità minori da risolvere.
Timeline: 1-2 giorni + 4-8 settimane per risolvere osservazioni
Audit di Stage 2 (certificazione)
L'audit finale: l'ente verificatore valuta l'effettiva implementazione dell'ISMS sul campo. Include interviste al personale, verifica delle evidenze, test dei processi, ispezione delle sedi. Se non emergono non conformità maggiori, viene emesso il certificato ISO 27001 con validità triennale. Eventuali non conformità minori vanno risolte entro 90 giorni.
Timeline: 2-5 giorni (in base alla dimensione)
Costi e Tempi Realistici per PMI Italiane
Arriviamo alla domanda che tutti fanno: quanto costa? La risposta varia parecchio in base alla dimensione della tua azienda, alla complessità dei tuoi sistemi e a quanto sei già messo bene in partenza. Ecco i numeri reali per il mercato italiano:
| Voce di costo | PMI 10-30 dip. | PMI 30-100 dip. | PMI 100-250 dip. |
|---|---|---|---|
| Consulenza implementazione ISMS | 12.000-20.000 € | 20.000-35.000 € | 35.000-60.000 € |
| Strumenti e tecnologie | 3.000-8.000 € | 8.000-15.000 € | 15.000-30.000 € |
| Formazione personale | 2.000-4.000 € | 4.000-8.000 € | 8.000-15.000 € |
| Audit di certificazione (Stage 1+2) | 4.000-7.000 € | 7.000-12.000 € | 12.000-20.000 € |
| Tempo interno dedicato | Equivalente 0,5 FTE per 6 mesi | Equivalente 1 FTE per 9 mesi | Equivalente 1-2 FTE per 12 mesi |
| TOTALE CERTIFICAZIONE | 21.000-39.000 € | 39.000-70.000 € | 70.000-125.000 € |
| Costo annuo mantenimento | 6.000-12.000 € | 12.000-20.000 € | 20.000-35.000 € |
| Tempistica certificazione | 6-9 mesi | 9-12 mesi | 12-18 mesi |
Il costo che nessuno ti dice: il tempo delle tue persone
La voce più sottovalutata è il tempo del tuo personale dedicato al progetto. Il responsabile ISMS, chi si occupa di IT e la direzione dovranno investire ore in riunioni, revisioni di documenti, formazione e supporto agli auditor. Affidarti a un MSP esperto come BullTech ti alleggerisce parecchio: gestiamo noi la parte tecnica e la documentazione.
ISO 27001 vs NIS2: Tabella Comparativa
Domanda frequente: “Ma se mi certifico ISO 27001, sono a posto anche con la NIS2?” Non esattamente, ma le due cose si completano a vicenda. Ecco le differenze:
| Aspetto | ISO 27001:2022 | NIS2 (D.Lgs. 138/2024) |
|---|---|---|
| Natura | Standard internazionale volontario | Direttiva europea recepita in legge nazionale |
| Obbligatorietà | Volontaria (ma spesso requisito contrattuale) | Obbligatoria per soggetti essenziali e importanti |
| Ambito | Sicurezza delle informazioni a tutto tondo (CIA triad) | Cybersecurity e resilienza operativa delle reti e sistemi |
| Approccio | Risk-based con controlli specifici (93 Annex A) | Risk-based con requisiti generali (art. 24 D.Lgs. 138) |
| Certificazione | Rilasciata da ente accreditato, validità 3 anni | Nessuna certificazione: compliance verificata da ACN |
| Notifica incidenti | Gestione incidenti obbligatoria, notifica opzionale | Notifica obbligatoria entro 24h (pre-notifica) e 72h (completa) |
| Supply chain | Controlli sui fornitori (A.5.19-A.5.23) | Requisito esplicito e stringente di supply chain security |
| Responsabilità CDA | Il management deve dimostrare leadership | Il CDA è personalmente responsabile, obbligo di formazione |
| Sanzioni | Nessuna (al massimo perdita della certificazione) | Fino a 10M€ o 2% del fatturato globale |
| Sovrapposizione | Copre circa il 70-80% dei requisiti NIS2 | Riconosce ISO 27001 come framework di riferimento |
La strategia vincente: ISO 27001 + NIS2 insieme
Per le aziende soggette alla NIS2, il percorso più efficiente è implementare la ISO 27001 come framework di base e poi integrare i requisiti specifici NIS2 che non sono coperti (notifica incidenti entro 24h, supply chain security avanzata, formazione obbligatoria del CDA). In questo modo si ottengono due risultati con un unico investimento: la certificazione ISO 27001 come vantaggio competitivo e la conformità NIS2 come obbligo di legge. BullTech offre un percorso integrato che copre entrambi: scopri il nostro servizio di adeguamento NIS2.
Come Mantenere la Certificazione: Il Ciclo Triennale
Hai ottenuto il certificato? Bene, ma non è finita. Il certificato ISO 27001 dura 3 anni, e ogni anno l'ente certificatore viene a controllare che tu stia effettivamente mantenendo e migliorando il sistema.
Anno 1: Sorveglianza
- Audit di sorveglianza (1-2 giorni)
- Verifica azioni correttive dal Stage 2
- Campionamento di controlli Annex A
- Verifica del miglioramento continuo
- Riesame della direzione aggiornato
Anno 2: Sorveglianza
- Secondo audit di sorveglianza
- Controlli diversi dall'anno 1
- Verifica gestione cambiamenti
- Risk assessment aggiornato
- Efficacia della formazione
Anno 3: Ricertificazione
- Audit completo di ricertificazione
- Revisione totale dell'ISMS
- Tutti i controlli SoA verificati
- Nuova valutazione del rischio
- Emissione nuovo certificato triennale
Tra un audit e l'altro, l'azienda deve mantenere attive le attività dell'ISMS: audit interni (almeno annuali), risk assessment aggiornato quando cambiano minacce o contesto, gestione degli incidenti con registrazione e analisi, formazione continua del personale, riesame della direzione con KPI misurabili. Un MSP come BullTech può gestire tutto il ciclo di mantenimento in outsourcing, liberando risorse interne.
I 6 Errori Più Comuni nel Percorso di Certificazione
Dopo aver seguito decine di PMI lombarde nel percorso, ti dico quali sono gli errori che fanno perdere tempo, soldi, o — nel caso peggiore — far bocciare l'audit:
Scope troppo ampio al primo tentativo
Includere tutta l'azienda nello scope alla prima certificazione è ambizioso ma rischioso. Meglio partire da un perimetro gestibile (es. il processo core o una singola sede) e poi estenderlo. L'auditor preferisce uno scope piccolo ben gestito a uno ampio mal implementato.
Risk assessment superficiale o copiato
Il risk assessment è il cuore dell'ISMS. Se è generico, non calibrato sulla realtà aziendale o palesemente copiato da un template, l'auditor lo nota immediatamente. Deve riflettere le minacce reali, gli asset specifici e i rischi concreti dell'organizzazione.
Documentazione creata solo per l'audit
Policy e procedure scritte all'ultimo momento e mai utilizzate dal personale. Gli auditor fanno domande ai dipendenti: se non conoscono le procedure, la non conformità è automatica. La documentazione deve essere parte della vita aziendale quotidiana.
Mancato coinvolgimento della direzione
La ISO 27001 richiede esplicitamente la "leadership" del top management (clausola 5). Se la direzione non partecipa attivamente al riesame, non approva le policy o non conosce gli obiettivi di sicurezza, è una non conformità maggiore.
Ignorare il miglioramento continuo
L'ISMS non è un progetto con inizio e fine: è un ciclo PDCA (Plan-Do-Check-Act) continuo. Non avere evidenza di azioni correttive, non tracciare i KPI, non aggiornare il risk assessment sono tutti segnali di un sistema "morto" che non supererà la sorveglianza.
Sottovalutare la formazione del personale
Tutti i dipendenti coinvolti nello scope devono essere formati e consapevoli dei propri ruoli nella sicurezza. Non basta un'email: servono sessioni formative documentate, test di verifica e aggiornamenti periodici. Include anche la formazione specifica per auditor interni.
Il Ruolo dell'MSP nel Percorso di Certificazione
Diciamolo chiaramente: per una PMI, fare tutto da soli è quasi impossibile. Ti mancano le competenze specifiche, il tempo e gli strumenti. Un Managed Service Provider esperto ti copre la maggior parte dei requisiti tecnici e organizzativi, tagliando tempi e costi in modo significativo.
Gap Analysis e Risk Assessment
BullTech conduce l'analisi iniziale con metodologie certificate, mappando lo stato attuale rispetto ai 93 controlli e valutando i rischi con framework ISO 27005.
Implementazione Tecnica Completa
Dall'MFA alla segmentazione di rete, dal backup immutabile al SIEM: implementiamo tutti i controlli tecnologici richiesti dall'Annex A senza impegnare il team interno.
Documentazione e Policy
Redigiamo tutta la documentazione richiesta personalizzata sulla realtà aziendale: policy, procedure, SoA, registri, piani di continuità e disaster recovery.
Formazione e Awareness
Programmi di formazione certificata per tutto il personale: awareness generale, formazione specifica per ruoli chiave, preparazione auditor interni.
Supporto Audit e Sorveglianza
Affianchiamo il team durante gli audit di certificazione e sorveglianza, rispondendo alle domande tecniche e fornendo le evidenze richieste dagli auditor.
Mantenimento Continuo dell'ISMS
Gestiamo il ciclo di vita dell'ISMS: audit interni, aggiornamento risk assessment, gestione non conformità, riesame della direzione, preparazione alla ricertificazione.
Il bello di affidarti a BullTech? I servizi che ti forniamo già — monitoraggio proattivo, backup e disaster recovery, sicurezza informatica, endpoint management — soddisfano già decine di controlli Annex A. Non devi costruire niente da zero: si tratta di documentare e formalizzare quello che facciamo già. Per una panoramica completa, dai un'occhiata alla pagina compliance IT.
Checklist Rapida: Sei Pronto per la ISO 27001?
Prima di partire, fai un rapido test. Se rispondi “sì” ad almeno 7 di queste 10 domande, sei già a buon punto:
Esiste una policy di sicurezza informatica approvata dalla direzione?
C'è un inventario aggiornato di tutti gli asset informativi (hardware, software, dati)?
Viene eseguito regolarmente un backup con test di ripristino documentati?
L'autenticazione multi-fattore (MFA) è attiva su tutti gli accessi critici?
Esiste un processo di gestione degli incidenti di sicurezza documentato?
Il personale riceve formazione periodica sulla sicurezza informatica?
I fornitori IT vengono valutati per la sicurezza delle informazioni?
Esiste un processo di patch management con SLA definiti?
I log di sicurezza vengono raccolti e conservati in modo centralizzato?
La direzione partecipa attivamente alle decisioni sulla sicurezza informatica?
Meno di 5 “sì”? Niente panico, il percorso sarà più lungo ma si fa. Il primo passo è una analisi delle lacune per capire esattamente dove intervenire. Se devi anche adeguarti al GDPR, leggi la nostra checklist GDPR e sicurezza informatica per trovare le sovrapposizioni e risparmiare fatica.
Domande Frequenti sulla Certificazione ISO 27001
Quanto costa la certificazione ISO 27001 per una PMI?
Dipende dalla dimensione, ma per darti un ordine di grandezza: una PMI italiana da 20 a 100 dipendenti spende tra 25.000 e 80.000 euro complessivi. Ci rientrano la consulenza per costruire l'ISMS (15.000-50.000 euro), gli strumenti tecnici da attivare (5.000-15.000 euro) e l'audit di certificazione vero e proprio (5.000-15.000 euro). Poi ogni anno servono 8.000-20.000 euro per il mantenimento (audit di sorveglianza + aggiornamenti). Sembra tanto, ma se lo confronti con il costo di perdere un cliente enterprise perché non sei certificato, i conti tornano.
Quanto tempo serve per ottenere la certificazione ISO 27001?
Se parti da zero, metti in conto 9-18 mesi. Se la tua azienda ha già un buon livello di sicurezza e qualche policy scritta, puoi farcela in 6-9 mesi. Le fasi che portano via più tempo sono l'attivazione dei controlli tecnici (3-6 mesi) e la documentazione (2-3 mesi). Farti seguire da un consulente esperto accorcia i tempi in modo significativo.
Qual è la differenza tra ISO 27001 e NIS2?
In breve: la ISO 27001 è uno standard volontario che certifica come gestisci la sicurezza delle informazioni. La NIS2 è una direttiva europea obbligatoria per certi settori (energia, sanità, trasporti, ecc.). Se ti certifichi ISO 27001, copri circa il 70-80% dei requisiti NIS2, ma ti mancano pezzi specifici come la notifica obbligatoria degli incidenti entro 24 ore e i requisiti sulla supply chain. La strategia migliore? Fare entrambe le cose insieme, risparmiando.
La certificazione ISO 27001 è obbligatoria?
Sulla carta no, è volontaria. Nella pratica, sta diventando obbligatoria di fatto in tanti contesti: gare d'appalto pubbliche, contratti con clienti enterprise e multinazionali, supply chain di settori come finanza, sanità ed energia. In più, dimostra la conformità a molti requisiti della NIS2, che invece è obbligatoria per davvero.
Come si mantiene la certificazione ISO 27001 dopo averla ottenuta?
Il certificato dura 3 anni, ma non puoi metterlo nel cassetto e dimenticartene. Ogni anno l'ente certificatore fa un audit di sorveglianza per verificare che il sistema funzioni davvero. Tu devi fare audit interni almeno una volta l'anno, aggiornare il risk assessment quando cambia qualcosa, gestire le non conformità e far revisionare tutto dalla direzione. Dopo 3 anni, audit di ricertificazione completo. BullTech può seguirti in tutto il ciclo, così non devi pensarci tu.