Sicurezza 21 aprile 2026 · Milan Cák · 9 min čítania

ISO 27001 per le PMI: cosa significa in pratica

Guida pratica a ISO 27001 per le PMI europee — quando è necessaria, 3 fasi di certificazione, costi (8k-25k EUR primo anno), cosa ereditano i clienti e quando NON investire.

Súčasť série: Sicurezza e compliance in cloud ERP 2026: Guida completa per le PMI

In sintesi: ISO 27001 è lo standard internazionale per la gestione della sicurezza delle informazioni (ISMS). Per le PMI non è obbligatoria per legge, ma diventa necessaria quando i clienti enterprise la richiedono o quando si lavora in settori regolamentati. Il costo del primo anno è 8.000-25.000 EUR; il processo richiede 6-12 mesi. Non sempre ha senso: valutare con il test “vale il costo per i contratti che porta.”

Questo articolo fa parte della serie Sicurezza e compliance per ERP cloud.

Cos’è ISO 27001

ISO/IEC 27001 è lo standard internazionale che definisce i requisiti per implementare, mantenere e migliorare continuamente un ISMS (Information Security Management System) — un sistema di gestione della sicurezza delle informazioni.

Non prescrive soluzioni tecniche specifiche, ma richiede un processo sistematico di:

Identificare gli asset informativi e i rischi
Implementare controlli per mitigare i rischi
Monitorare l’efficacia dei controlli
Migliorare continuamente (ciclo PDCA)

Lo standard è strutturato in 114 controlli (Annex A) raggruppati in 14 aree, dall’accesso fisico alla gestione degli incidenti.

Quando ISO 27001 è necessaria o utile

Quando è “de facto” obbligatoria

Clienti enterprise — molte grandi aziende e PA richiedono ISO 27001 come requisito di qualificazione per i fornitori IT/SaaS. Se il tuo target sono enterprise, la certificazione può sbloccare contratti altrimenti inaccessibili.

Settori regolamentati — sanità, finanza, difesa, pubblica amministrazione: queste autorità di vigilanza considerano ISO 27001 una buona pratica minima (anche se non obbligatoria per legge).

Tender pubblici e privati — sempre più RFP/bandi richiedono documentazione della sicurezza, e ISO 27001 è il documento più riconoscibile.

Contratti con clausole di sicurezza — se i contratti con i clienti includono requisiti di sicurezza specifici, ISO 27001 dimostra la conformità in modo oggettivo.

Quando ISO 27001 porta valore ma non è obbligatoria

Maturità interna — il processo di certificazione forza l’organizzazione a documentare, testare e migliorare i processi di sicurezza. Questo valore esiste indipendentemente dal pezzo di carta.

Differenziazione competitiva — in mercati dove la sicurezza è un criterio di acquisto, la certificazione differenzia dal concorrente non certificato.

Base per altri framework — ISO 27001 è compatibile con NIS2, DORA, SOC 2 Type II. La base ISMS accelera la conformità agli altri framework.

Quando ISO 27001 NON vale l’investimento

PMI B2C con dati non sensibili e clienti non enterprise
Aziende < 20 dipendenti senza clienti enterprise o requisiti regolatori specifici
Settori dove la certificazione non è un differenziale (es. commercio locale)
Quando il budget IT è < 50k EUR/anno — ci sono investimenti di sicurezza con ROI migliore

Test rapido: “ISO 27001 ci porterebbe contratti che valgono > 25.000 EUR nei prossimi 3 anni?” Se sì, ha senso. Se no, probabilmente no.

3 fasi di certificazione

Fase 1: Implementazione dell’ISMS (3-9 mesi)

1.1 Scope definition Definire l’ambito della certificazione: tutta l’azienda? Solo un reparto? Solo un prodotto? Più ristretto è lo scope, più facile e meno costosa la certificazione (ma anche meno valore per i clienti).

1.2 Gap analysis Confrontare la situazione attuale con i 114 controlli ISO 27001. Identificare i gap.

1.3 Gestione del rischio

Inventario degli asset informativi
Risk assessment: probabilità × impatto per ogni scenario di minaccia
Statement of Applicability (SoA) — quali controlli si applicano e perché

1.4 Implementazione dei controlli Implementare i controlli mancanti identificati nel gap analysis. Esempi pratici:

Definire e documentare la policy di accesso
Implementare MFA
Configurare il backup testato
Creare il processo di incident response
Formare i dipendenti

1.5 Documentazione ISO 27001 richiede documentazione specifica: policy di sicurezza, procedure, record. Non esagerare — “document what you do, do what you document.”

Fase 2: Audit Stage 1 (1-2 mesi dopo implementazione)

L’ente certificatore accreditato esegue una revisione documentale — verifica che la documentazione ISMS sia completa e conforme allo standard. Non ancora in loco.

Risultato: lista di “non conformità” da correggere prima dello Stage 2.

Fase 3: Audit Stage 2 (1-2 settimane)

L’ente certificatore viene in loco (o virtualmente) e verifica che i processi documentati siano effettivamente implementati. Interviste con i dipendenti, verifica dei controlli, test dei processi.

Se l’audit è superato: certificazione ISO 27001 emessa.

Dopo la certificazione:

Audit di sorveglianza annuale (più leggero) — verifica la continuità
Audit di ricertificazione ogni 3 anni — nuovo audit completo

Costi realistici

Per una PMI italiana con 20-100 dipendenti:

Voce	Costo stimato
Consulente implementazione ISMS	5.000-15.000 EUR
Ente certificatore (Stage 1 + Stage 2)	3.000-8.000 EUR
Strumenti aggiuntivi (SIEM, vulnerability scanner)	1.000-5.000 EUR
Formazione interna	500-2.000 EUR
Totale primo anno	8.000-25.000 EUR
Audit sorveglianza annuale	2.000-5.000 EUR/anno

Fattori che alzano il costo: più sedi, complessità IT elevata, punto di partenza basso (no sicurezza esistente), scelta di enti certificatori premium.

Fattori che abbassano il costo: buona base di sicurezza esistente (già hanno 2FA, backup, patch management), scope limitato, consulente efficiente.

Cosa ereditano i clienti di Modulario

Modulario è certificato ISO 27001. Per le aziende clienti questo significa:

Indagine fornitore semplificata — la certificazione risponde alla maggior parte delle domande del questionario di sicurezza del cliente enterprise
Documentazione tecnica disponibile — per compilare i questionari di sicurezza dei clienti
Controlli tecnici già implementati — il fornitore ha implementato i 114 controlli ISO 27001; il cliente non deve farlo nel proprio ERP
Audit annuale indipendente — un ente certificatore terzo verifica la sicurezza ogni anno

Cosa ISO 27001 del fornitore NON copre per il cliente:

La sicurezza dei processi interni del cliente (es. come i dipendenti usano l’ERP)
I sistemi del cliente fuori dall’ERP
La formazione dei dipendenti del cliente

Piano di implementazione pratico

Se decidete di procedere con ISO 27001:

Mese 1-2: Preparazione

Selezionare un consulente ISO 27001 con esperienza in PMI del vostro settore
Definire lo scope
Fare il gap analysis

Mese 3-5: Implementazione priorità alte

Implementare 2FA (controllo A.9)
Configurare backup testati (A.12.3)
Patch management formalizzato (A.12.6)
Incident response procedure (A.16)
Formazione dipendenti (A.7.2.2)

Mese 6-8: Documentazione e controlli rimanenti

Completare la documentazione ISMS
Implementare i controlli meno urgenti
Eseguire audit interni

Mese 9-10: Pre-audit

Simulazione di audit interno
Correzione delle non conformità identificate

Mese 11-12: Audit certificazione

Stage 1, correzione, Stage 2
Certificazione

Domande frequenti

ISO 27001 è obbligatoria per le PMI? No, è volontaria. Diventa de facto obbligatoria quando i clienti enterprise la richiedono nei tender, o in settori regolamentati. Per PMI < 50 dipendenti senza clienti enterprise è spesso un investimento sproporzionato.

Quanto tempo richiede la certificazione? 6-12 mesi realistici per una PMI da zero. Le aziende con buona base di sicurezza esistente possono essere più veloci. Dopo: audit sorveglianza annuale, ricertificazione ogni 3 anni.

Quali sono i costi? Primo anno: 8.000-25.000 EUR (consulente + ente certificatore + strumenti + formazione). Anni successivi: 2.000-5.000 EUR/anno per i soli audit di sorveglianza.

Milan Cák

Modulario

📚 Pillar článok

Sicurezza e compliance in cloud ERP 2026: Guida completa per le PMI

Guida completa alla sicurezza cloud ERP nell'UE per il 2026 — ISO 27001, GDPR, NIS2, DORA, audit log, DPIA, CLOUD Act vs. quadro giuridico UE. Per le PMI europee.

Prečítať komplet →

Často kladené otázky

ISO 27001 è obbligatoria per le PMI?

No, ISO 27001 non è obbligatoria per legge per le PMI in Italia o nell'UE (a differenza di NIS2 per i settori critici o DORA per il finanziario). È uno standard volontario. Diventa 'de facto' obbligatoria quando: (1) i clienti enterprise la richiedono nei tender/RFP come requisito di qualifica, (2) la dichiara nella documentazione contrattuale, (3) si lavora in settori regolamentati dove le autorità la considerano buona pratica minima. Per le PMI sotto i 50 dipendenti che non lavorano con clienti enterprise o in settori regolamentati, ISO 27001 è spesso un investimento sproporzionato.

Quanto tempo richiede ottenere la certificazione ISO 27001?

Per una PMI da 0 (nessuna base) a certificazione: 6-12 mesi è il range realistico. Il processo si divide in tre fasi principali: (1) implementazione dell'ISMS (3-9 mesi, dipende dalla complessità), (2) audit Stage 1 — revisione documentale dall'ente certificatore (1-2 mesi dopo l'implementazione), (3) audit Stage 2 — audit in loco (1-2 settimane). Le aziende che partono da una buona base di sicurezza esistente possono essere più veloci. Dopo la certificazione: audit di sorveglianza annuale, audit di ricertificazione ogni 3 anni.

Cosa include il costo di certificazione ISO 27001?

Costi tipici per una PMI italiana (20-100 dipendenti): Consulente implementazione ISMS: 5.000-15.000 EUR (dipende dalla complessità e dal punto di partenza); Ente certificatore (Stage 1 + Stage 2): 3.000-8.000 EUR; Strumenti e tecnologia aggiuntiva: 1.000-5.000 EUR; Formazione interna: 500-2.000 EUR. Totale primo anno: 8.000-25.000 EUR. Anni successivi (audit sorveglianza): 2.000-5.000 EUR/anno. Il costo varia significativamente in base alla complessità dell'organizzazione, al numero di sedi e alla scelta dell'ente certificatore.