Cyber security pentru companii românești: ISO 27001 fără birocrație inutilă

01Ce s-a schimbat în ISO 27001:2022 față de 2013

Revizia 2022 a redus numărul de controale din Annex A de la 114 la 93, organizate în patru categorii: organizational controls, people controls, physical controls și technological controls. Schimbarea nu este doar cosmetică; multe controale au fost consolidate sau actualizate pentru a reflecta realitățile cloud-native și ale lucrului hibrid. Au fost adăugate 11 controale noi, printre care threat intelligence, cloud services security, ICT readiness for business continuity și data masking.

Pentru o companie românească care implementează ISO 27001 prima oară în 2026, abordarea directă pe versiunea 2022 este logica. Companiile certificate pe 2013 au avut termen până în octombrie 2025 să tranziteze; orice certificat valid în 2026 este pe versiunea 2022. Daca un consultant îți propune încă să lucrezi pe documentație 2013, este un semn că nu este la zi cu standardul.

Echipa Blackbone integrează în implementări noile controale din 2022 ca elemente naturale, nu ca add-ons. Threat intelligence se rezolvă cu un abonament la o sursă comercială plus o procedură săptămânală de review; cloud services security se rezolvă cu un registru documentat al furnizorilor cloud și cu un proces clar de evaluare. Niciunul nu cere documentație de 50 de pagini.

• →93 controale Annex A organizate în 4 categorii
• →11 controale noi: threat intel, cloud security, data masking, ICT readiness
• →Termen tranziție de la 2013: octombrie 2025, complet expirat în 2026
• →Audit-uri reale focusate pe efectivitate, nu doar prezența documentelor

02Pragmatic vs birocratic: cum eviți capcana documentației inutile

Cea mai comună capcană pentru companii românești care implementează ISO 27001 prima oară este să producă sute de pagini de documente generice copiate dintr-un template. Auditorii experimentați recunosc imediat aceste documente și pun întrebări concrete despre cum sunt aplicate în realitate. Răspunsul este de obicei evaziv, iar conformitatea aparentă se prăbușește la prima întrebare punctuală.

Recomandarea Blackbone este să produci documente scurte, specifice afacerii tale și conectate la fluxuri operaționale reale. O Information Security Policy de 4 pagini, scrisă în limba pe care o folosește echipa ta, este mai valoroasă decât o policy de 50 de pagini copiată de pe internet. Auditorii caută dovezi că politicile sunt aplicate, nu volumul lor.

Procedurile cheie pe care orice ISMS sănătos le are: gestionarea incidentelor de securitate, gestionarea acceselor, backup și restore, change management, gestionarea furnizorilor terți, business continuity. Pentru o companie de 30 de angajați, fiecare procedură poate fi între 1 și 3 pagini, plus checklists clare folosite la momentul aplicării. Total documentație nucleară: aproximativ 30-50 de pagini, nu 500.

03Cost real de certificare în România în 2026

Costurile certificării ISO 27001 pentru o companie românească de 30-50 angajați se împart în trei categorii. Prima este consultanța sau implementarea internă: dacă o faci cu consultant extern, prețul tipic este între 8.000 și 20.000 EUR în funcție de complexitate și de nivelul de maturitate al inițial. Dacă o faci intern cu suport ocazional, costul direct scade la sub 5.000 EUR dar cere între 200 și 400 ore de muncă din echipa ta.

A doua categorie este auditul propriu-zis efectuat de un organism de certificare acreditat. În România, prețurile uzuale pentru un audit Stage 1 plus Stage 2 sunt între 4.000 și 8.000 EUR pentru o companie sub 50 angajați, plus auditurile anuale de supraveghere la aproximativ 50% din această sumă. Total pe ciclu de 3 ani: aproximativ 8.000-14.000 EUR doar pe certificare.

A treia categorie este tooling-ul: un sistem de management al vulnerabilităților, un EDR, un SIEM ușor, un password manager corporate. Pentru o companie mică, total tooling sub 500 EUR lunar este realist și suficient pentru a îndeplini majoritatea controalelor tehnice. Firma de IT Blackbone recomandă o combinație Wazuh self-hosted plus Crowdstrike sau SentinelOne pentru EDR plus 1Password Business pentru passwords.

04Controale Annex A esențiale pentru companii românești de IT

Toate cele 93 controale din Annex A trebuie evaluate în Statement of Applicability, dar nu toate sunt egal de critice pentru o companie românească de IT. Controalele pe care echipa Blackbone le tratează prioritar în primele 3 luni de implementare sunt cele care produc valoare reală imediată: access control granular, secure development lifecycle, incident management, backup și restore testat, third-party risk management.

Pentru companii românești de IT care au clienți enterprise externi, controalele despre data protection in transit and at rest, despre cryptographic controls și despre logging și monitoring trebuie să fie temeinic implementate. Audit-urile externe se concentrează des pe aceste zone pentru că sunt foarte vizibile și ușor de evaluat obiectiv.

Pentru companii care au angajați care lucrează remote din România, controalele despre teleworking, despre endpoint protection și despre awareness training sunt critice. Echipa Blackbone integrează în implementări un program de phishing simulation lunar și un training continuu de două ore pe trimestru, ceea ce acoperă elegant aproape toate cerințele people controls.

• →Access control: MFA obligatoriu, principle of least privilege, review trimestrial
• →Secure development: SAST în CI, dependency scanning, threat modeling per epic
• →Incident management: runbook clar, exerciții simulate de două ori pe an
• →Backup: 3-2-1 rule, restore testat lunar, encryption la rest
• →Third-party risk: registru furnizori, evaluare anuală, contractual SLAs

05Plan realist de implementare pe 6 luni

Luna 1 și 2 sunt despre cadru: definește scope-ul ISMS, identifică contextul, fă gap analysis cu controalele Annex A, scrie politica de securitate principală și obține buy-in de la conducere. Această etapă este greșită des: companiile care încep cu controale tehnice fără un cadru de management clar termină cu efort fragmentat și fără direcție.

Luna 3 și 4 sunt despre implementare: rulează un risk assessment serios, prioritizează controalele tehnice și organizatorice, implementează MFA peste tot, configurează backup-uri testate, formalizează procedurile de incident response. La sfârșitul lunii 4, ar trebui să ai majoritatea controalelor relevante implementate și documentate, plus dovezi de aplicare reală.

Luna 5 este pentru internal audit și management review. Verifici intern că totul funcționează cum trebuie, ridici constatări, le tratezi. Luna 6 este pentru auditul de certificare extern: Stage 1 documentary review urmat de Stage 2 implementation audit. Cu o pregătire serioasă, rata de succes la prima încercare este peste 90% pentru companii de IT serioase. Firma de IT Blackbone a livrat în 2025 trei implementări consecutive cu succes la prima încercare.

06Capcane comune și cum le eviți

Prima capcană este consultantul care promite certificarea în 3 luni cu efort minim al echipei tale. ISO 27001 cere implicare reală din partea echipei tehnice și de management; un consultant bun te ajută să prioritizezi și să eviți greșeli, dar nu poate substitui munca internă. Dacă cineva îți spune că poate face totul în locul tău, este un semnal de alarmă major.

A doua capcană este să tratezi ISO 27001 ca un exercițiu de cosmetică, fără să schimbi nimic real în operațiuni. Auditorii experimentați identifică rapid această abordare prin întrebări punctuale către echipa tehnică. Răspunsurile evazive sau contradicțiile cu documentația duc la majore care pot bloca certificarea.

A treia capcană este să subestimezi mentenanța post-certificare. Auditurile anuale de supraveghere verifică dovezi de aplicare continuă: incident logs, training records, vulnerability scans, change tickets. Dacă lași sistemul să decadă între audituri, vei avea probleme la următoarea evaluare. Echipa Blackbone recomandă o rutină lunară clară de 4-6 ore dedicate ISMS pentru a menține sistemul activ și sănătos între audituri.