ISO 27001Pubblica amministrazione

Certificazioni e gare pubbliche: cosa chiede davvero la PA

AgID, qualificazioni, ISO 27001 / 27017 / 27018: la mappa aggiornata 2026 di cosa serve per partecipare alle gare PA.

2 min di lettura

TL;DR

Nelle gare PA italiane nel 2026, le certificazioni standard richieste sono ISO 9001 + ISO 27001:2022 + ISO 27017 + ISO 27018 per fornitori cloud/IT. AgID gestisce un elenco di provider qualificati. Senza le certificazioni si è esclusi a priori.

Le certificazioni richieste

Sempre

  • ISO 9001:2015 — sistema di gestione qualità.
  • ISO/IEC 27001:2022 — sicurezza dell'informazione.

Per servizi cloud

  • ISO/IEC 27017:2015 — sicurezza cloud.
  • ISO/IEC 27018:2019 — privacy nel cloud.

Per data center e hosting

  • ISO/IEC 27036 — supply chain.
  • ISO 22301 — continuità operativa (sostituibile con A.5.30 di 27001:2022).

Il ruolo di AgID

AgID gestisce il Marketplace delle qualificazioni: un elenco pubblico di fornitori qualificati per servizi alla PA. Per esserci servono:

  • visura camerale aggiornata;
  • certificazioni ISO valide (non scadute);
  • iscrizione a CONSIP / MePA;
  • in alcuni casi, qualificazione specifica AgID.

Tempi e budget per qualificarsi

  • ISO 9001 + 27001 da zero: 8-12 mesi;
  • aggiunta 27017 + 27018: 3-6 mesi;
  • iscrizione AgID e CONSIP: 1-2 mesi;
  • totale realistico: 12-18 mesi.

Budget: €25-50k complessivi al primo anno.

Cosa cambia nel 2026 con NIS2

NIS2 ha alzato l'asticella: per gare con enti soggetti a NIS2 essenziali, oltre alle ISO si chiede anche:

  • attestazione conformità NIS2 articolo 21;
  • referente cyber registrato in ACN;
  • procedura di notifica incidenti documentata.

In sostanza: la "qualifica AgID" si sta arricchendo di requisiti NIS2.

Errori frequenti nelle gare

  • certificazioni scadute al momento della gara: scarto immediato.
  • scope di certificazione non coerente col bando: scarto immediato.
  • mancanza di referenze nel settore: penalizza nel punteggio tecnico.

Sefthy nelle gare

Sefthy è certificato su tutte e tre le ISO cloud. Gli MSP che usano Sefthy possono dichiarare la conformità del loro stack DR.

FAQ

ISO 9001 basta?

Per servizi cloud no, serve almeno 27001. Per servizi non cloud (es. consulenza), spesso sì.

Le certificazioni di un fornitore valgono per il primo contraente?

In parte. Il primo contraente deve avere almeno 27001 propria, indipendentemente dai fornitori.

CONSIP è obbligatoria?

No, ma è la via più rapida per gare di importo medio.

Per le differenze fra ISO, ISO 27001 vs 27017 vs 27018. Per ISO MSP, ISO 27001 per MSP.

Vuoi vedere Sefthy in azione?

Stesso IP, stessa subnet, RTO in minuti. Provalo gratis per 7 giorni o parla con un nostro specialista.

Vedi i piani Richiedi una demo