Назад към блога
ISO 2700122 мин четене

ISO 27001 за българска компания през 2026 г.: реална цена, времева линия и кога си струва

A

Alexander Sverdlov

Анализатор по сигурността

1.06.2026 г.
ISO 27001 за българска компания през 2026 г.: реална цена, времева линия и кога си струва

ISO 27001 · България · 2026

ISO 27001 за българска компания през 2026 г.: реална цена, времева линия и кога си струва

Колко струва ISO 27001 в България през 2026 г. за компания от 30, 100 или 300 души? Какъв е реалистичният срок от старт до сертификат? Кои са трите акредитирани български органа? Кога ISO 27001 ви носи договори, а кога е скъп лукс? Този материал отговаря на тези въпроси с реални числа от 18 проекта за български клиенти през последните 24 месеца.

Най-важното накратко

  • Реалната цена на ISO 27001 за българска компания от 30 души е 32 000-58 000 лв. първоначално, плюс 14 000-22 000 лв. годишно за поддръжка и надзорни одити. За 100-човешка компания: 58 000-110 000 лв. първоначално. За 300 души: 110 000-230 000 лв.
  • Срокът от стартиране на проект до получаване на сертификат е 6-9 месеца при дисциплинирана работа. По-кратко (4-5 месеца) е възможно само за компании, които вече имат изграден ИТ ред. По-дълго (12+ месеца) почти винаги означава проблем с обхвата или с ресурсите.
  • Сертификатът се издава от акредитиран сертификационен орган, не от консултант. В България акредитирани от Българската служба по акредитация (БСА) за ISO/IEC 27001 са няколко международни органа с представителства (Bureau Veritas, TUV Rheinland, SGS, DEKRA, LL-C). Цената на сертификационния одит обикновено е 15-30% от целия бюджет.
  • ISO 27001 си струва, когато: имате договори със западни (особено DACH, скандинавски, US) клиенти, които го изискват; работите в регулирани сектори (финанси, здравеопазване, енергетика); подавате оферти по обществени поръчки със скоринг за сигурност; или сте под обхвата на НИС2/ЗКС и искате да покриете две задължения с една рамка.
  • ISO 27001 НЕ си струва, когато: единствените ви клиенти са на българския вътрешен пазар без формално изискване, нямате персонал който да поддържа системата след сертификация, или искате сертификат „за фасадата" - той не е витрина, а оперативна тежест на годишна база.
  • Петте най-чести грешки на български компании при ISO 27001: прекалено широк първоначален обхват, наемане на консултант на час вместо фиксирана цена, отлагане на вътрешния одит до последния момент, неподготвеност на доказателствата при сертификационния одит, и пропуск на разпоредбите от ISO/IEC 27001:2022 (новата версия с 93 контрола вместо старите 114 от 2013 г.).

Изпълнителен директор на 42-човешка софтуерна компания в Пловдив ни се обади в края на февруари. Имаше готова оферта от голям немски корпоративен клиент - годишен договор на стойност 940 000 евро, който чакаше подпис. В договора, на трета страница, едно изречение: „Доставчикът трябва да поддържа сертификация по ISO/IEC 27001 или еквивалент в срок до 9 месеца от подписването". Той беше първи в България в неговата ниша, нямаше никаква формална сигурностна рамка, и въпросът към нас беше простичък: „Колко ще ми струва и можем ли да го направим?"

Беше получил три оферти преди да ни се обади. Първата - от голям международен консултант - 187 000 лв. за 12-месечен проект. Втората - от български „консултант" работещ на хонорар - 280 лв. на час с „приблизителна оценка 480 часа". Третата - от компания продаваща „автоматизация" - 4 600 лв./месец за 18 месеца, всичко включено. Числата варираха от 39 000 до 187 000 лв., разликата беше четирикратна, и нито една от трите оферти не звучеше очевидно манипулативна. Той не знаеше коя е правилната.

Отговорихме му с тази статия в три имейла за два дни. Реална цена за неговия размер беше 38 000-48 000 лв. първоначално (вкл. сертификационен одит), 16 000 лв./година след това. Срок беше 7 месеца с малък буфер до неговите 9 месеца. Голямата оферта от 187 000 лв. беше с обхват от 80% от ИТ систематa плюс работа извън ISO 27001 (като пълно DPIA, SOC 2 review и пр.). Нискобюджетните автоматизирани оферти обикновено не довеждаха до сертификат при компании от тази големина. Подписа договора с немската компания през март. Получи сертификат през октомври. Договорът работи и до днес.

Този материал е дългата версия на тези три имейла. От 18 проекта за български компании от 12 до 850 души през последните 24 месеца, конкретни цени, конкретни срокове, конкретен план за съответствие, и петте грешки които правят проекта по-скъп без да го правят по-сигурен. Ако ISO 27001 е във вашата пътна карта за тази година, прочетете това преди да подпишете каквато и да е оферта.

📊

Контекст

Какво всъщност е ISO 27001 и защо български компании го искат през 2026 г.

ISO/IEC 27001 е международен стандарт за управление на информационната сигурност. Текущата валидна версия е от 2022 г. (ISO/IEC 27001:2022), която замени версията от 2013 г. с преходен период до 31 октомври 2025 г. От 1 ноември 2025 г. всички нови сертификации и ре-сертификации са по 2022 г. Това е важно за български компании, които започват проекта днес - няма смисъл да се правят политики по старата версия, тя вече не се сертифицира.

Сертификатът удостоверява, че компанията има изградена и опериращата Система за управление на информационната сигурност (СУИС/ISMS), която покрива:

  • Контекст и заинтересовани страни (клаузи 4) - кои са заинтересованите страни, какви са техните изисквания за сигурност, какъв е обхватът на СУИС
  • Лидерство и ангажираност на ръководството (клауза 5) - политика по сигурност одобрена от ръководството, ясни роли и отговорности
  • Планиране (клауза 6) - оценка на риска, план за третиране на риска, Statement of Applicability (Декларация за приложимост)
  • Поддръжка (клауза 7) - ресурси, компетентност, осведоменост, документация
  • Дейност (клауза 8) - оперативно изпълнение на плана
  • Оценка на ефективността (клауза 9) - мониторинг, измервания, вътрешни одити, преглед от ръководството
  • Подобрение (клауза 10) - коригиращи действия и непрекъснато подобрение
  • Анекс А (93 контрола, разпределени в 4 области) - организационни (37), хора (8), физически (14), технологични (34)

През 2026 г. в България има пет основни сценария, в които компанията започва ISO 27001 проект. Знанието кой от тях е вашият променя цялата икономика на проекта - бюджетът, обхватът, и кой консултант има смисъл да наемете.

Петте сценария на български компании за ISO 27001 през 2026 г. Петте сценария за стартиране на ISO 27001 проект Извадка от 18 български проекта (2024-2026) 1. Голям западен клиент изисква (39% от случаите) - DACH, скандинавски, US клиенти в договорите - Срок обикновено 6-12 месеца от подписване - ROI ясен - блокира договор от 6-цифрена сума 2. Регулиран сектор (28% от случаите) - Финанси (КФН/БНБ), здравеопазване, енергетика - НИС2/ЗКС покритие - двойна цел с една рамка - Често и DORA за фин. сектор успоредно 3. Обществени поръчки (17% от случаите) - ЗОП оферти с тегло на сертификати - Услуги на държавна администрация - ROI зависи от обема на печелените поръчки 4. Pre-IPO/M&A due diligence (11%) - Подготовка за инвеститор или купувач - Срок диктуван от транзакцията (3-6 м.) - Висока цена прието, висок темп очакван 5. „Висяща" нужда без конкретен задвижващ фактор (5%) - почти винаги грешен старт - Без конкретен клиент, регулатор, или поръчка - често импулсна покупка - Без вътрешен ресурс за поддръжка след сертификата - ROI неясен, рискът сертификатът да изтече без подновяване е голям - Препоръка: започнете с вътрешен преглед на риска, а не с цел сертификат - Ако наистина искате стандарт - помислете за ISO 27001 Foundation training преди проект
Фигура 1. Петте сценария за стартиране на ISO 27001 проект в българска компания. Първите четири имат ясен ROI; петият рядко завършва добре.

Знаенето на сценария ви помага да оразмерите проекта правилно. Компания в сценарий 1 (договор за 940 000 евро) има огромна толерантност към 50 000 лв. цена - тя е 1.5% от стойността на договора, а цената на загубата на договора е 100% от стойността. Компания в сценарий 5 (без конкретен задвижващ фактор) трябва да си зададе друг въпрос - не „колко струва?", а „какъв е положителният връщан резултат?".

💵

Цените

Реална цена на ISO 27001 за българска компания през 2026 г.

Числата по-долу са от 18 реални проекта в периода 2024-2026 г. Включват всичко - консултантска работа, сертификационен одит, обучения, и оценка на вътрешното време на служителите на компанията по техните средни работни заплати. Не включват инвестиции в инструменти (EDR, MDM, секретен мениджър) - те се правят при всеки сериозен ИТ оперативен план, не само за ISO 27001.

Размер на компанията Първоначална цена (лв.) в т.ч. сертиф. одит Годишна поддръжка Времева линия
10-30 души (СУ) 22 000 - 38 000 6 500 - 9 500 10 000 - 16 000 5-7 месеца
31-80 души (М) 38 000 - 70 000 9 500 - 14 000 14 000 - 22 000 6-9 месеца
81-200 души (М+) 70 000 - 130 000 14 000 - 22 000 22 000 - 38 000 7-10 месеца
201-500 души (Г) 130 000 - 240 000 22 000 - 38 000 38 000 - 65 000 9-14 месеца
500+ души (КГ) 240 000+ 38 000+ 65 000+ 12-18 месеца

Към тези числа трябва да добавите вътрешния си ангажимент. За компания от 50 души с правилен ритъм проектът отнема приблизително 180-260 човеко-часа вътрешна работа разпределени за 6-9 месеца. Разпределението е: ИТ ръководител 80-110 ч., изпълнителен директор/собственик 25-40 ч., HR 20-30 ч., адвокат/юрист 15-25 ч., оперативни ръководители 40-55 ч. Това е разход от 15 000-25 000 лв. в средни работни заплати, който почти никога не се включва в офертите на консултанти, но винаги се случва.

Защо разликата между 22 000 и 38 000 за 30-човешка компания е реална

Минималната цена от 22 000 лв. предполага, че компанията вече има: централизирана идентификация (Microsoft 365 или Google Workspace), MDM на устройствата, разписана политика за пароли с MFA, и формално управление на доставчиците. Ако всичко това липсва, цената от 38 000 лв. е по-реалистична - тогава консултантът трябва не само да напише политиките, а и да помогне с конфигурирането и въвеждането им. Това НЕ е лошо качество - просто отразява, че проектът включва и базова ИТ хигиена, а не само документация. Винаги питайте офертата какво приема за вече налично.

Сертификационният одит е отделна линия с фиксирана цена, която сертификационният орган обявява публично (по официална тарифа). За 30-човешка софтуерна компания един от водещите международни органи дава 6 500-9 500 лв. за първоначална сертификация (двуетапен одит, етап 1 преглед на документи, етап 2 одит на място/дистанционно). Тази цена не подлежи на договаряне с консултанта - тя отива директно на сертификационния орган и е предсказуема.

📅

Срокът

Реална времева линия за 6-9-месечен проект

Това е графикът за типична българска софтуерна или сервизна компания от 40-80 души, която стартира от практически нулева формална рамка за сигурност. Срокът е реалистичен. Не претендира за рекорд - претендира за качество, което минава одита от първия път.

Времева линия на типичен ISO 27001 проект (6-9 месеца) Времева линия на 7-месечен ISO 27001 проект Българска компания, 40-80 души, стартиране от нула Месец 1: Подготовка - Дефиниране на обхват (SoA) - Преглед на текущи политики - Анализ на разликите (gap) - План за изпълнение Месеци 2-3: Оценка на риска - Регистър на активите - Анализ на риска и заплахите - План за третиране на риска - Декларация за приложимост Месец 4: Политики - 27 задължителни политики - Процедури за реакция - Договори с доставчици - Обучение на персонала Месец 5: Изпълнение - Внедряване на контролите - Първи събрани доказателства - Тест на инцидентен план - Първи мониторинг отчети Месец 6: Вътрешен одит - Вътрешен одит (задължителен) - Преглед от ръководството - Корекции на находки - Подготовка за сертификация Месец 7: Сертификация - Етап 1 на одита (документи) - Затваряне на пропуски - Етап 2 на одита (място) - Получаване на сертификат Месец 8+: Подкрепа след сертификация Надзорни одити година 2 и 3 (1 ден всеки), пълно ре-сертифициране в края на 3-та година
Фигура 2. Реалистична 7-месечна времева линия за ISO 27001 проект в българска компания от 40-80 души. Сертификатът е валиден 3 години с надзорни одити в края на първата и втората година.

Двете най-чести причини проектът да отнеме повече от 9 месеца са: първо, прекалено широк първоначален обхват (компанията решава да включи цялата дейност, а не само критичните системи), и второ, забавяне на вътрешния одит. Вътрешният одит е задължителен преди сертификационния и не може да бъде пропуснат. Ако компанията го отложи до Месец 7, времевата линия се удължава с минимум месец, защото намерените находки изискват време за корекция.

ROI

Кога ISO 27001 си струва - и кога не

ISO 27001 не е универсално добро решение. Той е специфично добър за определени бизнес профили. От 18-те проекта, които сме завършили, можем да изброим случаите кога е била силно правилно решение, и случаите когато е било преразход на бюджет.

Силно си струва: западен корпоративен клиент в договора

Договор с немски, скандинавски, холандски или US корпоративен клиент почти винаги включва клауза за ISO 27001 или еквивалент. Един договор за над 200 000 лв. годишно вече покрива целия проект за първа година. Това е най-чистият ROI - блокирате конкретна сделка от блокиращ риск. Не са нужни сложни изчисления.

Силно си струва: НИС2/ЗКС покритие за съществен или важен субект

Закона за киберсигурност в България (в сила от 13 февруари 2026 г.) изисква 13-те минимални мерки по чл. 21 на NIS2. ISO 27001 покрива над 85% от тези мерки чрез своите контроли. Ако обхваща задължения по два режима (ЗКС и западен клиент), целият бюджет се разпределя върху по-голяма стойност и проектът става силно ефективен.

Силно си струва: обществени поръчки със скоринг за качество

В обществените поръчки за ИТ услуги по ЗОП често има скоринг (10-15% от общия резултат) за сертификати по управление на качеството и сигурността. Ако вашата компания участва в 5-10 поръчки годишно и сертификатът ви носи 1-2 допълнителни поръчки, той се изплаща многократно. Това е особено валидно за български интегратори, които работят за държавна и общинска администрация.

Не си струва: само вътрешен български пазар без специфично изискване

Компания работеща изцяло на български пазар без западни клиенти, без участие в обществени поръчки, и без задължение по ЗКС, рядко получава измерим ROI от ISO 27001. Българските клиенти в по-голямата си част не четат сертификати. Алтернативата е по-евтина и по-полезна базова ИТ хигиена (CIS Controls първи 8 контрола) без сертификация.

Не си струва: без вътрешен ресурс за поддръжка след сертификата

Сертификатът е валиден 3 години, но изисква действащ ISMS на ежедневна основа. Ако компанията няма поне един човек, който отделя 15-25% от времето си за това (или vCISO/външен консултант), сертификатът на втората година ще бъде в риск от загуба или ще трябва да се „кризно" подновявано със скъп пускинг преди надзорния одит. По-добре е такава компания да отложи проекта до момента, в който има ресурса.

Грешки

Петте грешки, които оскъпяват проекта без да го правят по-сигурен

Грешка 1. Прекалено широк първоначален обхват

Компанията включва всичко - всички локации, всички продукти, всички процеси. Резултатът: проектът се удвоява по време и цена. Правилен подход: обхват само върху ключовия продукт или услуга, която поражда нуждата за сертификат. Останалата дейност може да се добави при ре-сертификация след 3 години. Икономия: 25-40% от първоначалната цена.

Грешка 2. Консултант на часова ставка вместо фиксирана цена

280 лв. на час с „предварителна оценка 480 часа" обикновено завършва на 720-820 часа, защото консултантът няма стимул да бъде ефективен. Фиксирана цена за пакет (с конкретно описани крайни резултати) дава предсказуем разход и стимулира консултанта да работи бързо. Дори ако цената на пакета е малко по-висока от теоретичния минимум на часовата работа, на практика винаги излиза по-евтина.

Грешка 3. Отлагане на вътрешния одит до последно

Вътрешният одит е задължителен преди сертификационния. Не може да го пропуснете. Ако го отложите до месец 7, намерените находки изискват време за корекция, и сертификацията се измества за месец 9 или по-късно. Правилен подход: вътрешен одит планиран в месец 6, със заделено време за корекции преди сертификационния одит.

Грешка 4. Подготовка на доказателства в последната седмица

Сертификационният одитор иска да види доказателства, не само политики. „Имаме политика за патч мениджмънт" е едно. „Ето отчет от Intune за септември, ноември и декември показващ 96% патч покритие" е друго. Ако доказателствата се изфабрикуват за одита, одиторът ще го забележи (опитните одитори имат шесто чувство за подреден post-hoc материал). Правилен подход: автоматизирано събиране на доказателства от Месец 5 нататък.

Грешка 5. Сертификация по стара версия (ISO/IEC 27001:2013)

Преходният период приключи на 31 октомври 2025 г. Всички нови сертификации от 1 ноември 2025 г. са по ISO/IEC 27001:2022. Ако консултант ви предлага шаблони и контроли от старата версия (114 контрола разпределени в 14 области), той работи с остарели материали. Новата версия има 93 контрола разпределени в 4 области (организационни, хора, физически, технологични). Винаги проверявайте версията на материалите преди подписване.

🎖

Органите

Сертификационни органи в България - кой издава валидния сертификат

Важно разграничение: консултантът не издава сертификат. Консултантът ви помага да се подготвите. Сертификатът се издава от независим, акредитиран сертификационен орган. Българската служба за акредитация (БСА) е националният акредитационен орган. Сертификационните органи акредитирани от БСА (или от еквивалентен международен акредитационен орган като UKAS, ANAB, DAkkS) за ISO/IEC 27001:2022 в България през 2026 г. включват:

  • Bureau Veritas Bulgaria - представителство на френския сертификационен гигант, акредитация и от COFRAC, и от БСА. Цена за 30-човешка компания: 7 500-9 500 лв. за първоначална сертификация.
  • TUV Rheinland Bulgaria - немски орган, силно разпознаваем при работа с DACH клиенти. Цена за 30-човешка компания: 8 500-11 000 лв. за първоначална сертификация.
  • SGS Bulgaria - швейцарски орган, голямо присъствие в България. Цена за 30-човешка компания: 7 000-9 000 лв. за първоначална сертификация.
  • DEKRA Certification Bulgaria - немски орган с акредитация по DAkkS. Цена за 30-човешка компания: 8 000-10 500 лв. за първоначална сертификация.
  • LL-C (Certifications) - чешки орган с регионално присъствие в България. По-достъпен ценово (5 800-7 500 лв. за 30 души), но проверете дали акредитацията се приема от вашия конкретен клиент.
  • Други международни органи като BSI, DNV, и Lloyd's Register също работят в България, обикновено директно от международните си офиси или чрез партньорска мрежа.

Изборът на орган трябва да бъде направен преди да започне самият проект, защото различните органи имат различни тарифи за дни на одита (зависят от размера на компанията и обхвата). За договор с немски корпоративен клиент препоръчваме Bureau Veritas, TUV Rheinland или DEKRA - тяхното име се разпознава мигновено. За договор с US клиент Bureau Veritas, SGS, или BSI са най-удобни. За обществени поръчки в България всеки акредитиран от БСА или еквивалентен международен орган работи, тъй като ЗОП изисква само „акредитирана сертификация".

Внимание към „сертификати" от неакредитирани органи

В България (и в региона) има малки фирми, които продават „ISO 27001 сертификати" за 2 500-4 000 лв. без реален одит и без акредитация. Такъв сертификат не се приема от никой сериозен клиент или регулатор. Проверка: всеки валиден сертификат има акредитационен знак (UKAS, DAkkS, COFRAC, ANAB, БСА) и серийния номер може да се намери в базата данни на акредитиращия орган. Без тези два елемента документът е без юридическа стойност.

FAQ

Често задавани въпроси

Каква е разликата между ISO 27001 и SOC 2 за българска компания?

ISO 27001 е международен сертификат, който се признава в Европа (особено DACH и скандинавските страни) и в Азия. SOC 2 е американска одиторска атестация, която се признава главно в САЩ. За българска компания, която продава на западноевропейски клиенти - ISO 27001. За българска компания, която продава на US клиенти - SOC 2 Type 2. Около 70% от случаите изискват ISO 27001 за нас. Двата стандарта могат да се правят паралелно (със 60-70% припокриване на контролите), но рядко си струва за компания под 80 души.

Можем ли да направим ISO 27001 само с автоматизирана платформа (Vanta, Drata)?

За 60-70% от контролите - да, тези платформи събират автоматично доказателства от облачни системи (Microsoft 365, AWS, GitHub, и т.н.) и пишат базови политики. Слабостите им за български контекст: оценката на риска е шаблонна, договорите с доставчици трябва да са на български или двуезични, вътрешният одит изисква реален одитор, а опитът показва, че компании които правят „само с платформата" обикновено отиват към сертификация с 4-8 проблема, които трябва да се коригират в последния момент. Правилно решение: платформата + външен консултант/vCISO за месеците на проекта.

Колко струва да се поддържа ISO 27001 след сертификацията?

Сертификатът е валиден 3 години с надзорни одити в края на първата и втората година. Цена на надзорен одит: около 50-60% от цената на първоначалната сертификация. Плюс вътрешно време от 15-20% от времето на ИТ ръководителя или назначения отговорник за ISMS (или vCISO retainer за 1 200-2 800 лв./месец). За компания от 50 души общата годишна цена за поддръжка е 14 000-22 000 лв.

Кой написва политиките - ние, консултантът или платформата?

Политиките трябва да бъдат собственост на компанията - подписани от ръководството и истинно прилагани. Шаблоните могат да дойдат от консултанта или платформата (90% от съдържанието е шаблонно), но всяка политика трябва да бъде адаптирана към вашата компания и одобрена от вашия УС. Сертификационен орган, който види 27 политики идентични с тези на друга компания, ще задава много въпроси. Правилен модел: консултантът дава шаблоните, ИТ ръководителят адаптира, УС одобрява.

Можем ли да изключим една локация или продукт от обхвата?

Да, и това е препоръчителен подход за първа сертификация. Обхватът се дефинира в Statement of Applicability (Декларация за приложимост) и може да включва само определени локации, продукти или процеси. Важното е изключването да е логично и аргументирано - например „сертификираме само нашия Plovdiv център за разработка и нашия SaaS продукт X; нашият физически офис в София за продажби и нашите вътрешни ERP системи са извън обхвата". Голям западен клиент обикновено иска само продуктът, който му се продава, да е в обхвата.

Колко често одиторите намират findings (несъответствия) на първа сертификация?

Почти винаги има поне 1-3 minor findings (несъществени несъответствия) на първа сертификация. Major findings (съществени) се случват в около 15-20% от проектите и обикновено означават удължаване с 30-60 дни. Целта на добра подготовка и вътрешен одит е minor findings под 5 и нула major. Ако консултант ви обещае „нула findings гарантирано", той или работи с предварително уговорен одитор (което не е валидно), или ви лъже.

Разговор с експерт

Имате договор, който изисква ISO 27001 в следващите 6-9 месеца?

Работим с български компании от 25 до 350 души за подготовка за ISO 27001 сертификация. Фиксирана цена, конкретна времева линия, и сертификат на първото минаване на одита в 16 от 18 проекта. Донесете офертата, която имате - ще я прочетем заедно за 30 минути.

Запазете 30 минути за безплатна консултация
Александър Свердлов

Александър Свердлов

Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.