Was ist ISO 27001
ISO/IEC 27001 è la norma internazionale per i Sistemi di Gestione della Sicurezza delle Informazioni (ISMS). La versione attuale, pubblicata nel 2022, contiene 93 controlli di sicurezza (Annex A) raggruppati in quattro temi: organizzativi, persone, fisici, tecnologici.
Das Ziel
Proteggere la riservatezza, l'integrità e la disponibilità delle informazioni, comprese quelle ricevute da terzi. Approccio basato sul rischio: prima si identifica cosa proteggere e da cosa, poi si scelgono i controlli proporzionati. Non è un manuale tecnico, è governance.
Konkrete Vorteile
Warum sich ISO 27001 wirklich lohnt.
Marketplace ACN
Prerequisito (con 27017 e 27018) per fornire software e cloud alla PA italiana.
Requisito clienti enterprise
Banche, big tech, sanitu00e0: spesso non si puu00f2 offrire senza ISO 27001.
Prevenzione data breach
Risk assessment strutturato, controlli sistematici.
Conformitu00e0 GDPR e NIS2
Buona parte degli adempimenti GDPR Art. 32 e NIS2 Art. 21 coperti.
Riduzione premi assicurativi
Cyber insurance: aliquote piu00f9 favorevoli.
Differenziazione
In settori dove la sicurezza u00e8 critica, vantaggio competitivo concreto.
Wie wir arbeiten
Unser Ansatz.
01
Warum
Voraussetzung fu00fcr Ausschreibungen, Enterprise-Kunden, Reduktion des Cyber-Risikos.
02
Vorgehen
Gap-Analyse, Scope, Risk Assessment, SoA, Implementierung der 93 Controls, interne Audits, Begleitung.
03
Version 2022
u00dcbergang ist Pflicht. Neue Struktur und Fokus auf moderne Bedrohungen.
Häufige Fragen
Alles, was Sie über ISO 27001 wissen wollen.
Die häufigsten Fragen. Ihre nicht dabei? Schreiben Sie uns.
Was kostet ISO 27001 für ein Softwareunternehmen?
Für ein Softwareunternehmen mit 10-30 Mitarbeitern typisch 12.000-25.000 € zwischen Beratung und Zertifizierungsstelle (Jahr 1). In den Folgejahren 4.000-7.000 €/Jahr für die Aufrechterhaltung. Die Kosten rechtfertigen sich durch die Öffnung des Enterprise-Marktes: oft amortisiert ein einziger gewonnener Kunde die Investition mehrfach.
Ist ISO 27001 für die italienische ACN-Marketplace verpflichtend?
Ja. Für die Eintragung in den Marketplace der italienischen Agentur für Cybersicherheit (Voraussetzung, um Software und Cloud-Dienste für die öffentliche Verwaltung zu liefern) ist das Triple ISO 27001 + 27017 + 27018 erforderlich. Ohne keine Teilnahme. Wichtiger Zertifizierungstreiber für viele italienische Tech-KMU.
Wie lange dauert eine ISO-27001-Zertifizierung?
Von null bis Zertifizierung indikativ 6-9 Monate. Bereits strukturierte Unternehmen (mit dokumentierten IT-Prozessen und Kontrollframeworks) schaffen es in 4-5 Monaten. Der Hauptfaktor ist die Umsetzungsgeschwindigkeit der technischen Kontrollen (Verschlüsselung, Zugriffskontrolle, Logging, BCP), wo die Hauptlücken liegen.
Wie viele Kontrollen muss ich mit ISO 27001:2022 umsetzen?
Die neue Version 2022 hat 93 Kontrollen im Annex A, gruppiert in 4 Themen (organisatorisch, Personen, physisch, technologisch). Nicht alle sind verpflichtend: das Prinzip ist die ‘begründete Anwendbarkeit’. Ausgehend vom Risk Assessment werden relevante Kontrollen gewählt, der Ausschluss nicht anwendbarer in der SoA (Statement of Applicability) begründet.
Ersetzt ISO 27001 die DSGVO?
Nein, sie ergänzen sich. ISO 27001 ist ein Informationssicherheits-Framework, die DSGVO ein Datenschutzrecht. ISO 27001 deckt einen Großteil der technischen Pflichten nach Art. 32 DSGVO ab (‘dem Risiko angemessene Maßnahmen’), ersetzt aber nicht die formalen DSGVO-Pflichten (Information, Verarbeitungsverzeichnis, DSFA, DSB falls verpflichtend).
Ist die Umstellung auf Version 2022 verpflichtend?
Ja. Die Version 2013 verliert ihre Gültigkeit und alle Zertifikate müssen innerhalb der von der Akkreditierungsstelle festgelegten Fristen auf 2022 migrieren. Unternehmen mit 2013-Zertifikat müssen die Umstellung beim nächsten Überwachungsaudit planen, sonst droht der Zertifikatsverlust.
Gibt es öffentliche Förderungen, die die Kosten des Zertifizierungspfads decken?
Ja, es gibt mehrere Finanzierungsschienen, die einen erheblichen Teil der Ausgaben (Beratung + Zertifizierungsstelle) abdecken. Die wichtigsten für Südtiroler Unternehmen:
- Autonome Provinz Bozen – Landesgesetz 14/2006 und einschlägige Richtlinien zu Innovation, Digitalisierung und Nachhaltigkeit, mit verlorenen Zuschüssen von bis zu 40-50 % der Beratungs- und Zertifizierungskosten für KMU.
- IDM Südtirol – spezifische Ausschreibungen für Innovation, digitale Transition und Nachhaltigkeit (auch für Zertifizierungsprozesse).
- Handelskammer Bozen – Digitalisierungs-Voucher PID (Punto Impresa Digitale), Förderungen für 4.0-Schulungen, periodische Ausschreibungen für Zertifizierungen in Qualität, Umwelt, Sicherheit und Cyber.
- PNRR und EU-Fonds – periodische Ausschreibungen (Transizione 5.0, ISI INAIL, GOL etc.) je nach Norm und Branche.
PL Consulting unterstützt Unternehmen über eigene spezialisierte Partner bei der Suche nach den passendsten öffentlichen Förderungen und den besten Finanzierungspraktiken, von der Förderfähigkeitsanalyse bis zur Erstellung und Abrechnung des Antrags.
Verwandte Tools
In 2 Minuten testen.
Kontakt
Sprechen wir darüber.
Antwort innerhalb von 24 Werkstunden. Oder rufen Sie uns direkt an – wir bevorzugen Stimmen statt Formulare.