Назад към блога
Регулации21 мин четене

ISO 27001 или SOC 2 за български SaaS със западен клиент: точното решение според вашия пайплайн

A

Alexander Sverdlov

Анализатор по сигурността

5.06.2026 г.
ISO 27001 или SOC 2 за български SaaS със западен клиент: точното решение според вашия пайплайн

ISO 27001 · SOC 2 · Юни 2026

ISO 27001 или SOC 2 за български SaaS със западен клиент: точното решение според вашия пайплайн

Английски корпоративен клиент в дискавъри фаза иска "сертификация за информационна сигурност". Френска банка иска DORA артикул 30 с препратка към ISO 27001. Американска SaaS компания иска SOC 2 Type 2. Един и същи български стартъп. Кой стандарт от двата избирате и кога двата заедно? Това е разбивка от 23 реални ангажимента с български софтуерни компании от 18 до 280 души през последните 24 месеца.

Ключови изводи

  • ISO 27001 и SOC 2 покриват около 70 на сто от едни и същи контроли. Дублирането НЕ е "купи и двете на цена 2 пъти" - правилният подход спестява 40-55 на сто от съвместния бюджет
  • Изборът зависи от географията на купувача, а не от размера на компанията. ЕС/ОБ клиенти искат ISO 27001 в 78 на сто от случаите, САЩ клиенти искат SOC 2 в 84 на сто от случаите
  • За българска компания SOC 2 Type 2 е 2.1 до 2.6 пъти по-скъп от ISO 27001 - не защото е по-сложен, а защото одиторите са САЩ-базирани и работят в USD на час
  • Първата сертификация отнема 6 до 9 месеца. Втората (ако решите да я добавите) отнема 3 до 5 месеца благодарение на споделените контроли. Никога не ги стартирайте паралелно от нула
  • Реалната пълна цена за 50-човешка българска SaaS компания: ISO 27001 е 28 000 до 45 000 EUR за първия цикъл, SOC 2 Type 2 е 62 000 до 110 000 EUR. Двата заедно правилно структурирани са 85 000 до 130 000 EUR (а не сборът)
  • Има трета възможност за стартъпи с първи западен клиент и без бюджет: Third-Party Security Attestation Letter от уважавана фирма като мост за 6 до 12 месеца преди пълната сертификация

През март тази година ни се обади съосновател на 32-човешка софтуерна компания в София. Продават SaaS платформа за анализ на финансови данни. Имаха два големи отворени разговора едновременно. Германска корпоративна клиентка беше изпратила Vendor Information Security Assessment с 184 въпроса и изричен ред в имейла: "Моля предоставете ISO 27001 сертификат или подробен план за такава сертификация в следващите 12 месеца." Американска инвестиционна компания, в напреднала фаза, беше поискала "current SOC 2 Type 2 report or readiness assessment."

Двата клиента заедно представляваха 1.4 милиона EUR годишен приход в първата година с тригодишен опционен договор. Бюджетът, който беше готов да отдели за сертификации, беше 35 000 EUR. Времето до отговор по двата разговора - 60 дни.

Той ни попита кое да направи първо. Истинският въпрос обаче беше различен. Не "ISO 27001 или SOC 2", а "колко далеч мога да стигна с 35 000 EUR за 60 дни, без да загубя нито един от двата договора". Отговорът, който му дадохме в петък следобед, не беше нито един от двата стандарта. Той пусна и двете подготовки в правилния ред с правилния мост помежду им, договори се по двата клиента, затвори и двата за 11 седмици.

По-долу е дълга версия на онзи 90-минутен разговор. Какво всъщност изисква всеки от двата стандарта, как се решава кой ви трябва, кога двата заедно, и кога Third-Party Attestation е по-разумна първа стъпка от която и да е сертификация.

🌐

Стъпка 1

Какво всъщност е разликата между двата стандарта

ISO 27001 и SOC 2 често се описват като "същото нещо, само различно име". Това не е вярно и води до сериозни грешки в планирането. Двата стандарта решават различен корпоративен проблем, имат различен одитен модел, и струват различни пари.

ISO 27001 е международен сертификационен стандарт, разработен от ISO и IEC. Сертификацията се изпълнява от акредитиран сертификационен орган (CB), който провежда двуфазен одит (фаза 1 - документен преглед, фаза 2 - оперативен одит) и издава тригодишен сертификат с ежегодни наблюдателни одити. Резултатът е сертификат на стена и в LinkedIn. Този сертификат е разпознаваем от френска банка, германски корпоративен клиент, ОЕЦ, КЗЛД, БНБ, КФН и всеки европейски регулатор. В контекста на ЗКС в България ISO 27001 е "одобрена практика" по чл. 21 за минимални мерки.

SOC 2 е американски одиторски стандарт, разработен от AICPA. Не е сертификация, а атестационен доклад, който подписва лицензиран CPA в САЩ. Има два типа: Type 1 (фотография на контролите в един ден) и Type 2 (наблюдение в реална работа за 6 до 12 месеца). Резултатът е доклад на 40 до 90 страници, който се споделя под NDA с купувача. Type 2 е стандартът, който действително искат американски корпоративни клиенти.

Разликата в моделите създава реалния избор: ISO 27001 е "имаме система за управление", SOC 2 е "ето доказателства, че контролите ни работиха в последните 6 до 12 месеца". И двете са валидни, но решават различен корпоративен въпрос.

ISO 27001 vs SOC 2: паралелно сравнение ISO 27001 срещу SOC 2: паралелно сравнение Не са взаимозаменяеми. Решават различен корпоративен проблем. ISO 27001 Европейски стандарт · Сертификат Кой иска: Германия, Франция, Австрия, ЮКР регулирани сектори (DORA, NIS2) Какво получава: Сертификат за 3 години + годишен наблюдателен одит Цена за 50 души: 28 000 - 45 000 EUR първи цикъл 12 000 - 18 000 EUR/год поддръжка Време: 6 до 9 месеца от старт до сертификат Силна страна: Глобална разпознаваемост, регулаторна SOC 2 Type 2 Американски стандарт · Доклад Кой иска: САЩ, Канада, UK финтех, SaaS-към-SaaS B2B сделки Какво получава: Доклад за 6-12 месечен период обновяване всяка година Цена за 50 души: 62 000 - 110 000 EUR първи цикъл 35 000 - 55 000 EUR/год повторение Време: 12 до 16 месеца до пълен Type 2 Силна страна: Подробен текст, който procurement чете
Фигура 1. ISO 27001 и SOC 2 покриват сходна територия, но имат различни купувачи и различни цени.
🎯

Стъпка 2

Как географията на купувача определя избора

Анализирахме разпределението на исканията от 87 западни корпоративни клиента в подписани сделки с български SaaS през последните 24 месеца. Резултатите бяха достатъчно ясни, че могат да се използват като ръководство при планирането на сертификационна стратегия.

Произход на купувача Иска ISO 27001 Иска SOC 2 Приема двете
Германия, Франция, Австрия 86% 12% 2%
САЩ корпоративни (над 1000 души) 8% 88% 4%
САЩ SMB финтех/SaaS 14% 79% 7%
Великобритания финансови 47% 38% 15%
Холандия, Скандинавия SaaS 52% 31% 17%
Глобални платежни (Visa, Stripe, Adyen vendor) 21% 28% 51%

Двата ясни паттерна: ако вашият първи голям западен клиент е немска корпорация или европейска банка, ISO 27001 е почти задължителен. Ако е американска корпорация над определен размер, SOC 2 Type 2 е "няма дискусия". Ако пайплайнът ви смесва ЕС и САЩ (типичен сценарий за български SaaS с глобална амбиция), двата стандарта стават необходими в рамките на 18 до 24 месеца, но НЕ паралелно от старта.

Българска специфика: Местни корпоративни клиенти (УниКредит, ОББ, Тhe Mobile, А1, Овергаз и подобни) приемат ISO 27001 в 94 на сто от случаите и SOC 2 в 38 на сто. Регулаторите (КЗЛД, ОЕЦ, БНБ, КФН) официално разпознават ISO 27001 като "одобрена практика" за изпълнение на минимални мерки по ЗКС и за GDPR чл. 32. SOC 2 не е официално разпознат от никой български регулатор.

💰

Стъпка 3

Реалната цена за българска компания

Цените, които циркулират в LinkedIn и блогове на чужди консултанти, не съвпадат с реалните разходи за българска компания. Българската пазарна реалност има два структурни фактора: ISO 27001 е сравнително евтин (има локални акредитирани сертификационни органи, които работят на достъпни цени), а SOC 2 е сравнително скъп (одиторите са САЩ, работят на USD на час, и таксуват пътувания или dedicated remote audit time).

По-долу е реалната разбивка от 23 завършени ангажимента с български SaaS компании в последните 24 месеца. Числата са в EUR за първи цикъл (от старт до издаден сертификат или доклад), за компания от 50 души с един SaaS продукт като скоуп.

Разход ISO 27001 (EUR) SOC 2 Type 2 (EUR)
Външен консултант (gap анализ, политики, имплементация) 12 000 - 18 000 22 000 - 38 000
Одиторска такса (фаза 1 + фаза 2 за ISO, readiness + Type 2 за SOC) 8 500 - 14 000 28 000 - 52 000
Инструменти (compliance platform, log retention, IDP) 3 500 - 6 000 8 000 - 14 000
Вътрешно време (CTO + IT + HR + правен) 4 000 - 7 000 4 000 - 6 000
Общо за първи цикъл 28 000 - 45 000 62 000 - 110 000
Годишна поддръжка (наблюдателен одит / повторен Type 2) 12 000 - 18 000 35 000 - 55 000

Защо SOC 2 е 2.1 до 2.6 пъти по-скъп: одиторите са лицензирани CPA в САЩ и работят на 350 до 550 USD на час за по-малки CPA фирми и 600 до 850 USD на час за по-разпознаваемите имена (A-LIGN, Schellman, Coalfire). Type 2 одитът на 50-човешка SaaS изисква 80 до 160 часа одиторско време. Българските сертификационни органи за ISO 27001 работят на 80 до 140 EUR на час за същия тип работа.

Скрит разход в SOC 2 за български компании: Българските компании плащат допълнителни 8 000 до 14 000 EUR за SOC 2 поради три фактора, които често не са в първоначалната оферта на одитора. Първо, преводът на ключови документи и политики на английски (одиторът чете на английски, не на български). Второ, преструктуриране на договори с подизпълнители, които съдържат български правни форми, които американският одитор не разпознава. Трето, преструктуриране на доказателства от системи (Atlassian, GitLab, M365), които използват българскоезични интерфейси за screenshot evidence.

🔗

Стъпка 4

Припокриването на контролите: 70 на сто е една и съща работа

Когато решите да направите и двата стандарта, основният финансов рисковете фактор е дублирането на работа. Ако вашата консултантска фирма ви обещае ISO 27001 за 35 000 EUR и SOC 2 Type 2 за 90 000 EUR като два отделни проекта, тя или не разбира припокриването, или предпочита да го укрие от вас.

Анализирахме контролите на ISO 27001:2022 (Annex A, 93 контрола) срещу SOC 2 Common Criteria (около 64 точки от 2017 TSC). Резултатите по-долу се потвърждават и от публичните crosswalk таблици на AICPA, Vanta, Drata и Schellman.

Припокриване между ISO 27001 и SOC 2 Припокриване на контролите Споделените контроли са основата на 40-55% спестявания при правилно планиране ISO 27001 Само ISO 28 контрола - ИСМС структура - Преглед на ръководството - SoA, риск треатмент СПОДЕЛЕНИ ~70% Достъп, MFA, лог Криптиране, бекъпи Инцидент рекция Vendor оценка SDLC, BCP SOC 2 Само SOC 2 12 контрола - Type 2 наблюдение - CC textual narrative - Privacy/Availability TSC Двата заедно правилно структурирани = 85 000 - 130 000 EUR, не 90 000 + 35 000
Фигура 2. Около 70 на сто от контролите на ISO 27001 и SOC 2 са едни и същи. Правилното планиране спестява 40-55 на сто.

Контролите, които наистина се различават, са структурни (а не технически): ISO 27001 изисква официална Система за управление на информационната сигурност (ИСМС), документиран Statement of Applicability, преглед от ръководството, риск треатмент план - всички "общи" документи. SOC 2 изисква Type 2 период от 6 до 12 месеца наблюдение на оперативната ефективност, подробен текстов разказ за всеки контрол, и подбор на услуги от пет Trust Services Criteria (Security е задължителен, останалите четири са по избор).

Техническите контроли обаче са идентични: MFA на всички системи с привилегирован достъп, криптиране на данни в покой и в транзит, ротация на ключове, RBAC за достъп, мониторинг на привилегировани действия, защитен SDLC, vendor security assessment, инцидент рекция с дефинирани SLA, бекъпи с тествано възстановяване, бизнес непрекъснатост и DR план.

📋

Стъпка 5

Дървото на решението: кой стандарт първо

Този алгоритъм е практическата извадка от 23 завършени български SaaS проекта. В 19 от 23 (83 на сто) той правилно предсказа какво купувачът на компанията е готов да приеме като достатъчно доказателство за сертификационна стратегия.

Дърво на решенията: ISO 27001 vs SOC 2 Дърво на решенията Правилен в 19 от 23 проекта Кой е първият западен клиент? (най-голяма опция в pipeline) ЕС корп. / банка / регулатор DE/FR/AT/NL/SE САЩ корп. / банка / SaaS над 200 души SMB САЩ или ЕС или само български ISO 27001 ПЪРВО 6-9 месеца, 28-45 хил. EUR SOC 2 след 6 месеца ако САЩ pipeline се развие SOC 2 ПЪРВО Type 1 за 3-4 месеца като мост Type 2 след 9-12 месеца ISO 27001 ако ЕС банка дойде ATTESTATION LETTER 2 седмици, 4-7 хил. EUR Мост до пълна сертификация когато бизнесът оправдае Override правила: - Ако сте в обхват на DORA или NIS2 - ISO 27001 неотложно - Ако имате 3+ конкурентни SOC 2 искания в текущ pipeline - SOC 2 неотложно - Ако пред-Серия А и под 25 души - почти винаги Attestation Letter първо
Фигура 3. Дървото на решенията използва географията на купувача като основен критерий.
📅

Стъпка 6

Кога двата заедно и в какъв ред

За българска SaaS компания с глобална амбиция (целеви pipeline 30+ корпоративни клиенти, годишен ARR над 3-4 милиона EUR в 18 месеца), двата стандарта стават необходими. Въпросът е НЕ "дали", а "в какъв ред и за какъв период".

Препоръчителната последователност, базирана на 11 компании, които сме провели през двете в рамките на 18 месеца:

Месец Какво правите Какво получавате
Месец 1-2 Gap анализ срещу комбиниран контролен лист (ISO Annex A + SOC 2 CC), Statement of Applicability чернова Карта на пропуските, обхват, бюджет
Месец 2-5 Имплементация на споделените технически контроли (MFA, RBAC, лог, криптиране, vendor) Технически основи, които служат и на двата стандарта
Месец 5-7 ИСМС структура, политики на български и английски (двуезични), вътрешен одит, преглед от ръководството Готовност за ISO фаза 1
Месец 7-9 ISO 27001 фаза 1 + фаза 2 одит. SOC 2 Type 1 readiness паралелно ISO 27001 сертификат. SOC 2 Type 1 доклад (моментен снимок)
Месец 9-15 SOC 2 Type 2 observation период (6 месеца) Активни доказателства, че контролите работят
Месец 15-17 SOC 2 Type 2 одит SOC 2 Type 2 доклад

Обща цена за този комбиниран път за 50-човешка компания: 85 000 до 130 000 EUR за 17 месеца (вместо 90 000 + 35 000 = 125 000 EUR ако се правят отделно, без споделяне на работа, плюс допълнително 6-9 месеца).

Ключово правило за реда: Винаги ISO 27001 преди SOC 2 Type 2 за български SaaS. Причина: ISO 27001 предоставя структурната рамка (ИСМС, риск регистър, SoA), която улеснява изграждането на narrative-driven SOC 2 контроли. Обратният ред (SOC 2 първо, ISO 27001 второ) е по-скъп с 18 до 25 на сто, защото SoA и ИСМС в края трябва да се изграждат от нула, а не извличат от вече съществуваща структура.

📝

Стъпка 7

Третата възможност: Attestation Letter за стартъпи без бюджет

Има реалистична трета опция за компании, които не са в позиция да платят 28-45 хил. EUR за ISO или 62-110 хил. EUR за SOC 2 в следващите 60 дни, но имат конкретна западна сделка на масата. Third-Party Security Attestation Letter от уважавана независима фирма, описващ съществуващите контроли с честна оценка на пропуските, се приема в около 65 на сто от B2B SaaS-към-SaaS сделки като мост за 6 до 12 месеца, докато планирате реалната сертификация.

Реална цена: 4 000 до 7 000 EUR. Време: 2 до 3 седмици от старт до доставено писмо. Не работи за: регулирани сектори (банки, здравеопазване с обхват HIPAA), големи enterprise купувачи (Fortune 500), DORA и NIS2 преки изисквания. Работи за: SaaS-към-SaaS B2B, SMB pipeline под 500 души компании, прекия пред-Серия А контекст с първи западен клиент.

Българският контекст добавя още един фактор: писмото трябва да е от фирма с независима репутация (НЕ от вашия одитор, НЕ от вашия консултант). За съжаление, броят на български фирми, чието писмо procurement екип на западна компания ще приеме сериозно, е малък. Изборът на правилната фирма е критичен.

ЧЗВ

Шест въпроса, които получаваме на всеки първи разговор

Vanta и Drata вършат ли работа за български компании?

Частично. Те автоматизират около 40 до 55 на сто от тривиалното събиране на доказателства (screenshots, конфигурации, логове) и работят добре за английскоезични тенант среди (Workspace, M365, AWS, GitHub). Те НЕ работят добре за български правни документи, договори на български, специфики на КЗЛД проверки, или интеграции с локални системи (български счетоводен софтуер, Microinvest, Bulgarian banking APIs). За българска SaaS препоръката е: използвайте Vanta/Drata за collection layer, но не очаквайте, че ще ви заместят консултанта. Реална допълнителна полза: 30 до 45 на сто намаление на ръчното време за подготовка, а не "автоматичен SOC 2 за 6 месеца" както твърди маркетинга.

Кой е най-евтиният валиден път за първа сертификация?

За българска SaaS с под 30 души и един западен клиент на масата: Third-Party Attestation Letter (4-7 хил. EUR) като 12-месечен мост, паралелно начало на ISO 27001 подготовка с цел сертификат до месец 14. Общата 18-месечна инвестиция: 32 до 50 хил. EUR. Това е значително по-евтино от опитите за бърза SOC 2 Type 1 ускорена в 4 месеца (която често струва над 60 хил. EUR и не носи реално доверие).

Българската версия на ISO 27001 различава ли се от международната?

Не. БДС EN ISO/IEC 27001:2022 е идентична с международния стандарт - изданието просто се локализира за националния каталог. Сертификат, издаден от български акредитиран орган (Atlant Sertifikacia, EAS Certif, MOODY International BG и подобни), се признава международно чрез акредитационните споразумения (IAF MLA). Германска банка ще приеме сертификат от български CB, акредитиран от ИА БСА. Имайте предвид, че някои големи западни клиенти предпочитат CB с по-глобална репутация (BSI, DNV, TÜV), което може да повиши одиторската такса с 30 до 50 на сто, но улеснява първоначалното им procurement приемане.

SOC 2 Type 1 има ли смисъл за българска SaaS?

Само като временен мост към Type 2 в стриктно дефинирана ситуация: имате конкретна американска сделка, която иска "SOC 2 evidence" в 4-5 месеца, не можете да чакате 12-14 месеца за Type 2, и не сте готови да продавате без формално доказателство. Type 1 е "снимка" - той потвърждава, че контролите СА налични в един ден, не че са работили във времето. Цена: 25 до 40 хил. EUR. В останалите случаи Type 1 е изхвърлен бюджет: ISO 27001 е по-евтин (28-45 хил.) и по-полезен за бъдещ pipeline.

Какво се случва с нашия ISO 27001 ако пропуснем годишен наблюдателен одит?

Сертификатът се спира (suspended). Имате обикновено 90 дни да изправите ситуацията с допълнителен одит, преди да бъде окончателно отнет. Купувачи, които активно проверяват валидността на сертификати в публичните регистри на CB (тенденция, която нараства през 2026), ще видят статуса. Резултатът обикновено е затваряне на текущи сделки и изискване за нов одит преди подновяване. Цената за реактивация е 70 до 130 на сто от стойността на годишен наблюдателен одит плюс одиторска такса за допълнителното време. Стратегията е никога да не пропускате наблюдателен одит - календирайте го 4 месеца предварително.

Има ли смисъл да добавим ISO 27017 (cloud) или ISO 27018 (privacy in cloud) към ISO 27001?

За българска SaaS - в около 70 на сто от случаите ДА, особено ако имате европейски клиенти, регулирани в DORA или NIS2, или ако предлагате multi-tenant SaaS архитектура. Допълнителна цена за добавяне на 27017 и 27018 заедно с 27001 е малка (4 до 7 хил. EUR за първоначален одит, минимална за наблюдателните), защото 27001 одиторите вече посещават обхвата. Тези два допълнителни сертификата носят ясна стойност в RFP/RFI процеси с регулирани купувачи и често преминават "minimum requirements" филтри, които прост 27001 не преминава. ISO 27701 (privacy management system) има отделен случай: добавя 12 до 18 хил. EUR и е препоръчителен само ако имате обхват на GDPR контролер/обработчик с висока сложност.

Следваща стъпка

Не сте сигурни кой стандарт ви трябва?

90-минутен безплатен разговор с фиксиран изход: какъв е правилният стандарт за вашия конкретен pipeline, какъв е реалистичният бюджет, кога Attestation Letter е по-разумна първа стъпка от пълна сертификация. Без задължение за продължение.

Запазете разговор →
Александър Свердлов

Александър Свердлов

Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.