Aggiornato: maggio 2026
Quando si valuta un fornitore in ottica NIS2 o TPRM, ISO 27001 è spesso la prima certificazione che viene richiesta. Ma richiedere il certificato senza sapere cosa verificare — e senza integrare quella verifica nel processo di gestione del rischio — offre una falsa sicurezza. La certificazione è necessaria, ma non sufficiente.
Punti chiave
- ISO 27001 certifica un ISMS su un perimetro definito: il perimetro deve includere i servizi che il fornitore ti eroga
- Secondo l' ISO Survey 2023, l'Italia conta oltre 6.000 certificazioni ISO 27001 attive — ma la verifica rimane rara
- NIS2 non richiede che i fornitori siano certificati ISO 27001, ma richiede che l'organizzazione valuti il loro rischio in modo strutturato
- La verifica passa per il registro ACCREDIA: non fidarsi del solo documento PDF
Cos'è ISO 27001
ISO 27001 è lo standard internazionale per i Sistemi di Gestione della Sicurezza delle Informazioni (ISMS — Information Security Management System). Definisce i requisiti per istituire, implementare, mantenere e migliorare continuamente un sistema strutturato per la gestione dei rischi legati alla sicurezza delle informazioni.
La certificazione viene rilasciata da enti accreditati a seguito di un audit condotto da un auditor terzo indipendente. In Italia, gli enti di accreditamento sono supervisionati da ACCREDIA. La versione corrente dello standard è ISO 27001:2022, che ha aggiornato i controlli dell'Annesso A introducendo nuove categorie legate a sicurezza cloud, intelligence sulle minacce e continuità operativa.
La certificazione ha validità triennale, con audit di sorveglianza annuali obbligatori. Un certificato scaduto o non rinnovato non garantisce la conformità attuale del fornitore.
Certificazione vs. conformità effettiva
Il principale errore nella valutazione di un fornitore ISO 27001 è trattare il certificato come prova sufficiente di sicurezza. Non lo è. Tre limitazioni strutturali spiegano perché.
Il problema del perimetro. ISO 27001 certifica un perimetro specifico, non tutta l'azienda. Un fornitore può essere certificato per la divisione sviluppo software ma non per i data center che ospitano il tuo dato. Se il perimetro della certificazione non include il servizio che eroga a te, il certificato non ti protegge.
Il problema della validità. I certificati hanno una data di scadenza. Un fornitore può presentarti un certificato scaduto da mesi o non rinnovato dopo un audit di sorveglianza fallito. Senza verifica sulla fonte ufficiale, non puoi saperlo.
Il problema dell'aggiornamento. La certificazione fotografa il momento dell'audit. Nel frattempo, il fornitore può aver subito incidenti, cambiato personale chiave, modificato la propria infrastruttura. Una certificazione non aggiornata non dice nulla sullo stato attuale della sicurezza.
Cosa chiedere a un fornitore certificato ISO 27001
Cinque domande e documenti da richiedere sistematicamente — e cosa fare con le risposte.
- Richiedi il certificato con numero di registrazione e perimetro. Il certificato deve indicare chiaramente il perimetro (scope) certificato. Verifica che includa i servizi che il fornitore ti eroga. Se lo scope dice "sviluppo applicativo" ma il fornitore gestisce la tua infrastruttura cloud, il certificato non copre la tua esposizione.
- Verifica la validità su ACCREDIA. Il registro pubblico ACCREDIA consente di verificare se una certificazione è attiva e rilasciata da un ente accreditato. Un certificato non rintracciabile nel registro è un segnale di allarme.
- Chiedi il piano di trattamento dei rischi (Risk Treatment Plan). ISO 27001 richiede che l'organizzazione produca un risk treatment plan che documenta come vengono gestiti i rischi identificati. Richiederne un estratto — anche solo il riepilogo esecutivo — dà una misura della maturità del processo.
- Verifica la politica di gestione degli incidenti. Chiedi al fornitore come notifica gli incidenti ai clienti e in che tempi. Questo è rilevante sia per NIS2 (che impone obblighi di notifica entro 24-72 ore) sia per il tuo piano di risposta agli incidenti interno.
- Chiedi l'elenco dei sub-fornitori rilevanti. ISO 27001 richiede la gestione della sicurezza nella catena di fornitura. Sapere quali sub-fornitori hanno accesso ai dati o ai sistemi del tuo fornitore è essenziale per valutare il rischio effettivo della relazione.
Come verificare la certificazione
La verifica di un certificato ISO 27001 richiede tre passi concreti.
Passo 1 — Verifica ACCREDIA. Accedi al portale ACCREDIA e cerca l'ente certificatore indicato sul certificato del fornitore. Verifica che l'ente sia accreditato per ISO 27001 e che il certificato sia attivo nel loro registro clienti.
Passo 2 — Confronto con il certificato originale. Confronta i dati del certificato (numero, date, perimetro, nome dell'ente) con quanto trovato nel registro. Qualsiasi discrepanza merita approfondimento.
Passo 3 — Documentazione nel registro fornitori. Registra il numero del certificato, la data di scadenza e l'esito della verifica nel registro fornitori. Configura un alert per la scadenza — le certificazioni ISO vanno rinnovate ogni tre anni con audit intermedi.
ISO 27001 vs. altre certificazioni di sicurezza
Nel contesto europeo e italiano, ISO 27001 non è l'unica certificazione di sicurezza rilevante. La tabella seguente aiuta a orientarsi.
| Certificazione | Cosa copre | Rilevanza NIS2 | Riconoscimento IT |
|---|---|---|---|
| ISO 27001:2022 | ISMS completo su perimetro definito | Alta | Molto alto |
| SOC 2 Type II | Controlli per SaaS/cloud (AICPA) | Media | Limitato (origine USA) |
| ISO 27017 | Sicurezza cloud (estensione 27001) | Alta per cloud provider | Alto |
| ISO 22301 | Business Continuity Management | Alta (continuità operativa) | Alto |
Per i fornitori con accesso a infrastrutture critiche, la combinazione più solida nel contesto NIS2 è ISO 27001 + ISO 22301. La prima copre la sicurezza delle informazioni, la seconda la continuità operativa — entrambe aree esplicitamente citate dall'Art. 21 della Direttiva.
Per approfondire gli obblighi NIS2 sulla supply chain, consulta la guida su NIS2 e gestione dei fornitori.
Domande frequenti
Cosa garantisce ISO 27001 per un fornitore?
ISO 27001 certifica che il fornitore ha implementato un ISMS conforme allo standard internazionale, su un perimetro definito, sottoposto ad audit da un ente accreditato. Non garantisce l'assenza di vulnerabilità, ma dimostra che esistono processi strutturati per identificare e gestire i rischi informativi.
Come verificare se un fornitore è davvero certificato ISO 27001?
Richiedere il certificato con numero di registrazione e verificare nel database ACCREDIA che sia attivo e rilasciato da un ente accreditato. Controllare che il perimetro includa i servizi forniti. Un certificato non rintracciabile nel registro ufficiale non offre garanzie.
ISO 27001 è sufficiente per la conformità NIS2?
No. ISO 27001 è una base solida ma NIS2 richiede un processo di TPRM strutturato che include valutazione del rischio specifico, contrattualizzazione dei requisiti di sicurezza, capacità di notifica degli incidenti e monitoraggio continuo. La certificazione del fornitore è uno degli input, non l'unico.
Cosa fare se il fornitore non ha ISO 27001?
L'assenza di ISO 27001 non esclude automaticamente un fornitore, ma richiede misure compensative: questionario di autovalutazione sulla sicurezza, verifica di politiche documentate e procedure per la gestione degli incidenti. Per i fornitori critici, l'assenza di certificazione dovrebbe essere trattata come fattore di rischio elevato e documentata nel registro.