Certificazione ISO/IEC 27001: come funziona e perché la chiedono tutti
La ISO/IEC 27001:2022 è la norma di riferimento per chi deve dimostrare di proteggere le informazioni in modo serio e verificabile. Non certifica che i tuoi sistemi siano inviolabili (nessuna norma può farlo), ma che hai un sistema di gestione per la sicurezza delle informazioni (SGSI): un modo strutturato di capire quali dati e quali sistemi sono a rischio, decidere come proteggerli e controllare nel tempo che le difese funzionino davvero. Serve a chi gestisce dati di clienti, proprietà intellettuale, servizi digitali o infrastrutture critiche, e a chiunque debba rispondere a clienti, gare o filiere che chiedono garanzie sulla sicurezza.
Cosa chiede davvero la norma
Il cuore della ISO/IEC 27001:2022 è la valutazione e il trattamento del rischio. L'organizzazione individua i propri asset (dati, applicazioni, infrastrutture, persone), le minacce a cui sono esposti e le vulnerabilità che potrebbero essere sfruttate, poi decide cosa fare di ogni rischio: ridurlo, accettarlo, trasferirlo o eliminarlo. È un lavoro che parte dalla realtà dell'azienda, non da una lista calata dall'alto.
Da questa analisi nasce la scelta dei controlli dell'Allegato A: misure organizzative e tecniche che coprono ambiti come la gestione degli accessi, i backup, la cifratura, la gestione delle vulnerabilità, la registrazione e il monitoraggio dei log, la gestione degli incidenti e il controllo dei fornitori ICT. Non si applicano tutti a tutti: ogni organizzazione sceglie quelli pertinenti al proprio profilo di rischio. Questa selezione viene formalizzata nella Dichiarazione di Applicabilità (SoA), il documento che elenca i controlli e motiva perché alcuni sono inclusi e altri esclusi. La SoA è il punto in cui la norma diventa concreta: spiega, controllo per controllo, le scelte fatte.
Come ci si certifica, passo dopo passo
- Gap analysis: si fotografa la situazione attuale e si misura la distanza dai requisiti della norma. È il momento in cui emergono le mancanze, dalle policy assenti ai controlli tecnici scoperti.
- Valutazione del rischio e SoA: si costruisce il metodo di analisi del rischio, si valutano asset, minacce e vulnerabilità, si scelgono i controlli dell'Allegato A e si redige la Dichiarazione di Applicabilità.
- Implementazione dei controlli: si mettono in pratica le misure decise, dalle procedure di accesso ai backup, dalla gestione degli incidenti ai contratti con i fornitori ICT, e si forma chi le deve applicare.
- Audit interno e riesame: si verifica internamente che il sistema funzioni come previsto e la direzione lo riesamina per correggere ciò che non va prima del giudizio esterno.
- Verifica in due fasi: un organismo di certificazione accreditato conduce lo Stage 1, l'esame documentale che controlla impianto e SoA, e lo Stage 2, la verifica sul campo che osserva i controlli all'opera e le evidenze reali.
Superata la verifica, il certificato dura tre anni, con sorveglianze annuali che confermano la tenuta del sistema e un rinnovo al termine del triennio. Conta a chi ci si rivolge: solo un organismo accreditato rilascia un certificato riconosciuto da clienti e committenti.
Quanto tempo serve
Dipende dal punto di partenza. Un'organizzazione che ha già policy di sicurezza, controllo degli accessi e gestione dei backup ben strutturati lavora soprattutto sulla formalizzazione e arriva al traguardo più in fretta. Chi parte da zero, senza un inventario degli asset né procedure scritte, ha davanti un percorso più lungo, perché la parte più impegnativa non è il documento ma la messa in opera reale dei controlli e la raccolta delle evidenze che gli auditor vorranno vedere.
I vantaggi concreti, oltre al bollino
La certificazione è il modo più riconosciuto per dimostrare di gestire la sicurezza delle informazioni, e clienti, gare e filiere la chiedono sempre più spesso come requisito d'ingresso. Ma il valore non si esaurisce nel certificato. Funziona come l'inventario di magazzino: finché nessuno conta cosa c'è davvero sugli scaffali si naviga a memoria, e ci si accorge dei buchi solo quando manca il pezzo nel momento sbagliato; la valutazione del rischio costringe invece a sapere quali dati esistono, dove stanno e chi può toccarli, prima che sia un incidente a rivelarlo.
C'è poi un aggancio normativo che pesa. La ISO/IEC 27001:2022 è la base operativa per gli obblighi di NIS2 (D.Lgs 138/2024) e, per il settore finanziario, di DORA: gran parte dei controlli richiesti da questi quadri coincide con quelli dell'Allegato A. Avere un SGSI già in piedi significa affrontare quegli adempimenti partendo da un sistema collaudato anziché da un foglio bianco.
Un solo sistema, più certificazioni
La ISO/IEC 27001:2022 condivide con le altre norme di sistema la struttura comune dell'Annex SL, e questo rende l'integrazione naturale. La ISO/IEC 27701 estende il SGSI alla gestione della privacy ed è l'aggancio diretto agli obblighi del GDPR; la ISO 22301 aggiunge la continuità operativa, perché proteggere i dati e saper ripartire dopo un'interruzione sono due facce dello stesso problema; la ISO/IEC 20000-1 copre la gestione dei servizi IT; la ISO 9001 porta il sistema qualità. Avere più norme su un'unica impalcatura permette un audit integrato: meno giornate di verifica, documentazione condivisa e una sola logica di gestione invece di tanti sistemi paralleli che si ignorano.
Domande frequenti
È obbligatoria? No, la certificazione ISO/IEC 27001:2022 è volontaria. Diventa di fatto necessaria quando un cliente, una gara o un committente la richiede come requisito, ed è spesso lo strumento con cui si dimostra di avere i controlli che NIS2 o DORA presuppongono.
Quanto dura il certificato? Tre anni, con sorveglianze annuali che verificano la tenuta del sistema e un rinnovo al termine del triennio.
Cos'è la Dichiarazione di Applicabilità? È il documento (SoA) che elenca i controlli dell'Allegato A, indica quali sono stati adottati e motiva inclusioni ed esclusioni rispetto al profilo di rischio dell'organizzazione. È il ponte tra l'analisi del rischio e le misure concrete.
Accreditato o non accreditato? Solo un organismo di certificazione accreditato rilascia un certificato realmente riconosciuto da clienti e committenti. Un attestato non accreditato ha un valore di mercato molto inferiore e spesso non è accettato nelle gare.
Prima di muoverti conviene capire a che punto sei davvero: la checklist di autovalutazione qui sotto ripercorre i requisiti punto per punto, dalla valutazione del rischio alla Dichiarazione di Applicabilità fino ai controlli dell'Allegato A, così individui le lacune prima che lo faccia un auditor.
Ti interessa questo argomento?
Parla con Evidy per approfondire o richiedere un preventivo per le certificazioni.
🔗 Guide alle norme integrabili
Approfondisci gli schemi con cui questa norma si integra: dove condividono la struttura HLS (Annex SL), certificarli insieme significa un solo sistema documentale e un audit integrato — meno giornate e meno costi.
ISO 9001 — Sistema di gestione per la qualità · HLS ISO 22301 — Sistema di gestione della continuità operativa · HLSArticoli Correlati
ISO/IEC 27001: guida alla certificazione, sicurezza e NIS2
Scopri cos’è la certificazione ISO 27001, a chi serve, requisiti, iter, tempi e vantaggi. Percorso chiaro per PMI e grandi imprese con focus NIS2 e GDPR.
ISO 27001 è obbligatoria con NIS2? Guida 2026
NIS2 non impone ISO 27001, ma usarla aiuta la conformità. Chi rientra, requisiti, roadmap, costi e tempi per ridurre il rischio sanzioni.
ISO/IEC 27701: estensione privacy a ISO 27001 per GDPR by design
Guida pratica alla certificazione ISO 27701: come integrare privacy e sicurezza (ISO 27001) per dimostrare accountability GDPR e accelerare le due diligenc