Una dintre cele mai frecvente întrebări la workshop-urile cu CISO și AI Governance Officer: „Avem nevoie de ambele standarde sau doar de unul?". Răspunsul scurt este: depinde dacă operezi sisteme AI cu impact asupra persoanelor. Răspunsul lung este aici.
În două propoziții
ISO/IEC 27001:2022 — Sistem de Management al Securității Informației. Acoperă cum proteji orice tip de informație (date personale, secrete comerciale, IP).
ISO/IEC 42001:2023 — Sistem de Management al AI. Acoperă cum guvernezi ciclul de viață al sistemelor AI (bias, drift, oversight, impact pe drepturi fundamentale).
Tabel comparativ
| Aspect | ISO 27001:2022 | ISO 42001:2023 |
|---|---|---|
| Tip sistem | ISMS (Information Security) | AIMS (AI Management) |
| Numărul de controale Anexa A | 93 (4 teme) | 39 (9 categorii A.2-A.10) |
| Vechime standard | Stabilizat din 2005, revizuit 2022 | Publicat 2023, în consolidare |
| Risc principal acoperit | Confidențialitate, integritate, disponibilitate | Bias, drift, hallucinations, lack of oversight |
| Aliniere regulatorie | GDPR Art. 32, NIS2, DORA, SOC 2 | EU AI Act, NIST AI RMF, GDPR Art. 22 + 35 |
| Cost certificare manuală (an 1) | 75K-150K EUR | 100K-200K EUR |
| Cost cu platforma noastră | 490 EUR / an (Starter) | 690 EUR / an (Starter) |
Suprapunere: 75% controale comune
O surpriză plăcută pentru organizațiile care vor ambele certificări: aproximativ 75% din controalele ISO 42001 reutilizează direct controalele ISO 27001 (securitate, vendor management, audit trail, training, incident management).
Concret, dacă ai deja ISO 27001, certificarea ISO 42001 necesită în plus să implementezi:
- AI Systems Inventory cu lifecycle și risk class EU AI Act
- AI Impact Assessments (AIA) — distinct de Risk Assessment
- Bias / Fairness Tests cu metrici cuantificate
- Human Oversight Logs append-only
- Data Provenance pentru datasets
- AI Vendor due diligence specifică (OpenAI, Anthropic, HuggingFace etc.)
Când ai nevoie de ambele
Ai nevoie de ambele dacă:
- Operezi sisteme AI clasificate high-risk per EU AI Act (credit, HR, healthcare, public)
- Procesezi date personale (GDPR) și faci decizii automate Art. 22
- Clienții tăi enterprise / sector public cer ambele certificări
- Vrei să eviți două audituri separate — folosești același organism și un singur ciclu de certificare
Ai nevoie doar de ISO 27001 dacă:
- Nu operezi sisteme AI proprii sau folosești AI doar pentru productivitate internă (chatbot suport, asistenți)
- Sectorul tău nu intră sub EU AI Act high-risk
Ai nevoie doar de ISO 42001 dacă:
- Esti companie pure-AI (foundation model lab, MLOps platform) și deja ai un ISMS bazat pe alt standard (SOC 2, NIST CSF)
- În practică, această situație este rară — majoritatea companiilor AI au și nevoie de ISO 27001
Bundle 27001 + 42001 — economia reală
Pentru organizațiile care au nevoie de ambele, oferim un bundle cu reducere de 25% pe abonamentul anual al platformei. Beneficiile reale:
- Audit unificat — același organism (BSI / TÜV / DNV / Bureau Veritas) auditează ambele cu o singură vizită
- Documentație partajată — politici de securitate, training, vendor management se reutilizează
- Un singur Account Manager + Lead Auditor care înțelege contextul tău
- Raportare unificată consiliu — un singur tablou de bord cu KPI-urile ambelor sisteme
Calcul exemplificativ: 27001 Pro (1.990) + 42001 Pro (2.990) = 4.980 EUR/an. Bundle: 3.735 EUR/an. Economie 1.245 EUR/an = 3.735 pe 3 ani.
Verifică pe unde stai mai bine
Recomandăm să faci ambele auto-evaluări (10 min fiecare) și să compari scorurile:
→ Quiz ISMS (ISO 27001) — vezi gap-uri pe Anexa A 27002.
→ Quiz AIMS (ISO 42001 + EU AI Act) — vezi gap-uri pe Art. 9-15 + 27.
Sau cere ofertă de bundle direct: → Cere ofertă bundle 27001 + 42001.