Dlaczego SaaS i ISO 27001 to coraz częstszy temat
Jeszcze kilka lat temu pytania o ISO 27001 przychodziły głównie od banków, firm produkcyjnych i instytucji publicznych. Dziś większość zapytań, które dostaję, pochodzi od firm SaaS startupów, scale-upów i software house’ów, które nagle trafiają na wymóg certyfikatu w procesie sprzedaży do klienta enterprise.
To nieprzypadkowe. Działy zakupów w dużych firmach mają standardowe checklisty bezpieczeństwa i ISO 27001 pojawia się na nich coraz częściej. Jeśli nie masz certyfikatu, wypadasz z procesu albo utkniesz na etapie security questionnaire, który zamiast jednej strony ma sto.
Jednocześnie regulacje DORA, NIS2, RODO nakładają na firmy przetwarzające dane rosnące obowiązki, które ISO 27001 pomaga spełnić systemowo. Dla rosnącej liczby polskich firm SaaS pytanie nie brzmi już „czy ISO 27001”, tylko „kiedy i jak”.
Kiedy firma SaaS naprawdę potrzebuje certyfikatu
Nie każda firma SaaS potrzebuje ISO 27001 od razu. Oto sytuacje, w których certyfikat jest realnie potrzebny:
Klient enterprise wymaga certyfikatu jako warunku umowy. To najczęstszy powód, z którym trafiają do mnie klienci. Są w procesie sprzedaży, dostali duże zapytanie i nagle w wymaganiach pojawia się ISO 27001. Certyfikacja trwa 7–12 miesięcy. Zaczynanie jej pod presją konkretnego kontraktu to najgorszy możliwy moment.
Wchodzisz na rynki Europy Zachodniej lub do sektora regulowanego. Firmy z DACH, Skandynawii i Beneluxu traktują ISO 27001 jako standard, nie wyróżnik. Podobnie sektor finansowy, healthcare IT i administracja publiczna. Bez certyfikatu ciężko w ogóle zacząć rozmowę z procurement.
Przetwarzasz wrażliwe dane klientów na dużą skalę. Jeśli Twój SaaS przetwarza dane osobowe, dane finansowe, dane zdrowotne lub dane objęte tajemnicą zawodową ISO 27001 daje systemową odpowiedź na pytanie „jak je chronisz?” i jest znacznie silniejszym dowodem niż wypełniony kwestionariusz.
Inwestor pyta o bezpieczeństwo przed rundą. Fundusze VC, szczególnie z zachodnich rynków, coraz częściej zadają pytania o cyberbezpieczeństwo w trakcie due diligence. Certyfikat ISO 27001 lub zaawansowany proces wdrożenia skraca te rozmowy i sygnalizuje dojrzałość operacyjną.
Planujesz certyfikację w przyszłości i chcesz zbudować fundament. ISO 27001 wdrożone raz działa przez lata. Firmy, które zaczęły wcześnie, mają certyfikat kiedy jest potrzebny a nie kiedy jest wymagany „na wczoraj”.
Co ISO 27001 daje firmie SaaS konkretne korzyści
Poza oczywistym „mamy certyfikat” co ISO 27001 realnie zmienia w firmie SaaS?
Skrócenie procesu sprzedaży do klientów enterprise. Security questionnaire przestaje być blokadą. Zamiast wypełniać po raz setny 150 pytań o polityki bezpieczeństwa, wysyłasz certyfikat i raport z audytu. To realne skrócenie cyklu sprzedaży o tygodnie.
Porządek w procesach, który jest widoczny dla całej organizacji. Wdrożenie ISO 27001 wymusza zdefiniowanie: kto ma dostęp do czego, jak zarządza się hasłami i kontami uprzywilejowanymi, co się dzieje z danymi klienta przy offboardingu pracownika, jak reaguje się na incydenty. To rzeczy, które w szybko rosnących firmach SaaS często są robione „jakoś” ISO 27001 wymusza zrobienie ich porządnie.
Redukcja ryzyka kosztownych incydentów. Jeden wyciek danych u klienta enterprise może zakończyć kontrakt i uruchomić postępowanie odszkodowawcze. ISO 27001 nie eliminuje ryzyka, ale znacznie je redukuje i udokumentowuje, że firma działała z należytą starannością.
Fundament pod dalsze wymagania regulacyjne. Jeśli Twoi klienci podlegają DORA, NIS2 lub HIPAA ISO 27001 u Ciebie jako dostawcy SaaS jest częścią ich własnej zgodności. To argument, który coraz częściej pojawia się w rozmowach o onboardingu nowych dostawców.
Przewaga przy ubezpieczeniu cyber. Ubezpieczyciele coraz częściej wymagają lub premiują posiadanie ISO 27001 przy wycenie polis cyber liability.
Ile kosztuje ISO 27001 dla firmy SaaS?
To pytanie, które zawsze pojawia się na pierwszej rozmowie. Odpowiedź jest nieunikniona: to zależy ale dam Ci konkretne widełki.
Koszty wdrożenia ISO 27001 różnią się znacznie w zależności od tego, z kim pracujesz i jak dużą firmą jesteś. Poniżej realne widełki dla polskiego rynku w 2026 roku.
Koszt wdrożenia z konsultantem (bez audytu certyfikującego):
Mała firma SaaS, 10–30 osób:
- 60 000–100 000 PLN netto
Firma SaaS, 30–80 osób:
- 80 000–180 000 PLN netto
Audyt certyfikujący przez akredytowaną jednostkę :
- Małe firmy (do 30 osób): 8 000–14 000 PLN netto za audyt certyfikujący (Stage I + Stage II)
- Firmy 30–80 osób: 12 000–20 000 PLN netto
Koszty wewnętrzne: czas pracowników to realnie kilkanaście do kilkudziesięciu roboczodni zazwyczaj niedoceniany element budżetu.
Co wpływa na koszt:
- Wielkość organizacji i liczba lokalizacji
- Złożoność infrastruktury (chmura, on-premise, hybrydowa)
- Zakres SZBI certyfikacja całej firmy vs. konkretnego produktu/obszaru
- Stan punktu startowego im więcej procesów bezpieczeństwa już masz, tym mniej pracy
Tańszą opcją wejściową jest Gap Analysis (analiza luk) koszt 6 000–15 000 PLN która powie Ci dokładnie, jak daleko jesteś od certyfikacji, zanim zdecydujesz się na pełne wdrożenie.
Jak długo trwa certyfikacja?
Standardowy czas od startu projektu do uzyskania certyfikatu to 7–18 miesięcy dla firmy SaaS. Tempo zależy od kilku rzeczy:
- Punkt startowy – firmy, które mają już część procesów bezpieczeństwa (polityki, zarządzanie dostępem, backupy) idą szybciej
- Zaangażowanie zarządu – ISO 27001 wymaga aktywnego udziału kierownictwa, nie tylko działu IT. Bez tego projekt zwalnia
- Zasoby dedykowane do projektu – czy jest ktoś wewnętrznie, kto prowadzi projekt, czy wszystko leży na konsultancie zewnętrznym
- Złożoność zakresu – certyfikacja całej firmy versus konkretnego produktu SaaS
Certyfikat po uzyskaniu jest ważny 3 lata, z corocznym audytem nadzoru.
ISO 27001 a SOC 2 co wybrać jako polska firma SaaS?
To pytanie pojawia się regularnie, szczególnie u firm celujących w rynek amerykański. Krótka odpowiedź:
ISO 27001 to standard uznawany globalnie w Europie, Azji, na Bliskim Wschodzie. Jest certyfikacją zewnętrzna, akredytowana jednostka potwierdza zgodność. Certyfikat jest jasnym, rozpoznawalnym dokumentem.
SOC 2 to standard amerykański, opracowany przez AICPA. Raport SOC 2 Type II to audyt przeprowadzany przez biegłego rewidenta, oceniający kontrole w zakresie bezpieczeństwa, dostępności i poufności. Jest bardziej rozpoznawalny u klientów z USA i Kanady.
Co wybrać:
- Jeśli Twój rynek to Europa – ISO 27001
- Jeśli celujesz w USA i Kanadę, szczególnie w enterprise – SOC 2 Type II (lub oba)
- Jeśli masz klientów w sektorze finansowym w UE ISO 27001 jest częściej wymagany jako standard
Obie certyfikacje nie wykluczają się część firm SaaS posiadających duże ambicje rynkowe robi obie. Ale jeśli zaczynacie i macie wybierać jedno dla polskiej firmy SaaS z europejskim rynkiem to ISO 27001.
Co musi mieć firma SaaS przed certyfikacją?
Wiele firm myśli, że zanim zaczną, muszą mieć „wszystko poukładane”. To nieprawda cały sens projektu to doprowadzenie do tego stanu. Ale kilka rzeczy przyspiesza projekt:
Zaangażowanie zarządu. ISO 27001 to nie projekt IT. Wymaga decyzji na poziomie zarządu: co jest zakresem SZBI, jakie ryzyko jest akceptowalne, kto jest odpowiedzialny za bezpieczeństwo informacji. Bez tego projekt utyka.
Osoba wewnętrzna prowadząca projekt. Może to być CTO, Head of Engineering, Office Manager lub dedykowany koordynator ds. bezpieczeństwa. Ktoś, kto zbiera dokumenty, organizuje przeglądy, pilnuje harmonogramu. Konsultant zewnętrzny może dostarczyć wiedzę i dokumentację, ale nie zastąpi wewnętrznego właściciela projektu.
Podstawowe praktyki bezpieczeństwa już działające. Jeśli firma nie ma żadnych polityk dostępu, nie zarządza kontami użytkowników i nie robi backupów projekt będzie dłuższy. Nie niemożliwy, ale dłuższy.
Gotowość na dokumentację. ISO 27001 wymaga pisemnych polityk, procedur i zapisów. Dla firm, które działają „z głowy” i nie lubią dokumentowania to zmiana kulturowa, która wymaga czasu.
Jak wygląda wdrożenie w praktyce?
Standardowy przebieg projektu dla firmy SaaS:
Etap 1: Gap Analysis (2–4 tygodnie) Oceniamy obecny stan bezpieczeństwa organizacji względem wymagań ISO 27001:2022. Wynik to raport z lukami, priorytetami i szacunkowym harmonogramem. Na tym etapie wiesz dokładnie, ile pracy przed tobą.
Etap 2: Zakres i planowanie (2–3 tygodnie) Definiujemy zakres SZBI czy certyfikujemy całą firmę, konkretny produkt, czy wybrany obszar. Budujemy harmonogram projektu z kamieniami milowymi i wyznaczamy osoby odpowiedzialne.
Etap 3: Wdrożenie wymagań i dokumentacja (3–6 miesięcy) To największa część projektu. Wdrażamy polityki, procedury i kontrole bezpieczeństwa. Budujemy rejestr ryzyka, politykę bezpieczeństwa, procedury zarządzania incydentami, dostępem, dostawcami. Dokumentacja jest pisana pod realia konkretnej organizacji nie są to szablony wklejone z internetu.
Etap 4: Audyt wewnętrzny i przegląd zarządzania (2–4 tygodnie) Przed audytem certyfikującym przeprowadzamy audyt wewnętrzny weryfikujemy zgodność, identyfikujemy niezgodności do usunięcia. Organizujemy przegląd zarządzania z udziałem zarządu.
Etap 5: Audyt certyfikujący Akredytowana jednostka certyfikująca przeprowadza dwuetapowy audyt Stage 1 (przegląd dokumentacji) i Stage 2 (audyt na miejscu). Po pozytywnym wyniku certyfikat ważny 3 lata.
Podsumowanie
ISO 27001 dla firmy SaaS przestało być wyróżnikiem staje się wymaganiem wejściowym na wiele rynków i do wielu klientów. Firmy, które zaczęły wdrożenie wcześnie, mają certyfikat kiedy jest potrzebny. Firmy, które czekają na konkretny kontrakt zaczynają za późno.
Jeśli chcesz wiedzieć, jak daleko jesteś od certyfikacji i ile realnie zajmie projekt w Twojej organizacji, zacznij od sprawdzenia gotowości:
👉 ISO Readiness Check – sprawdź gotowość w kilka minut
Jeśli wolisz porozmawiać o konkretach umów bezpłatną konsultację 30 min. Przeprowadziliśmy firmy SaaS przez cały proces certyfikacji ISO 27001 od gap analysis po audyt certyfikujący.
