ISO 27001:2022 για ελληνικές ΜΜΕ: Ρεαλιστικός Οδηγός Υλοποίησης

Ο πιο συχνός λόγος που οι ελληνικές ΜΜΕ αποτυγχάνουν στην ISO 27001 δεν είναι τεχνικός — είναι στρατηγικός. Αγοράζουν templates 200 σελίδων που δεν έχουν σχέση με τον τρόπο που λειτουργούν, πληρώνουν consultants που παραδίδουν documentation χωρίς operational reality, και βρίσκονται σε ένα κύκλο theatre compliance που καμία έκδοση του προτύπου δεν ζήτησε. Αυτός ο οδηγός δείχνει πώς γίνεται πραγματικά — με βάση την έκδοση 2022 και την πραγματικότητα των ελληνικών οργανισμών.

Τι είναι το ISO 27001:2022

Το ISO/IEC 27001:2022 είναι το διεθνές πρότυπο για Information Security Management Systems (ISMS). Δεν είναι τεχνικός οδηγός — είναι management system standard, δηλαδή ορίζει πώς ένας οργανισμός πρέπει να διακυβερνά συστηματικά την ασφάλεια των πληροφοριών του. Η πιστοποίηση κατά ISO 27001 σημαίνει ότι ανεξάρτητος φορέας (accredited certification body) έχει επαληθεύσει ότι το ISMS σας ανταποκρίνεται στις απαιτήσεις του προτύπου.

Το σώμα του προτύπου χωρίζεται σε clauses 4-10 (context, leadership, planning, support, operation, performance evaluation, improvement) — το γνωστό Annex SL pattern που ακολουθούν όλα τα ISO management standards. Το Annex A παρέχει τον κατάλογο 93 controls που χρησιμοποιούνται στο Statement of Applicability (SoA).

Τι άλλαξε από την έκδοση 2013

Η έκδοση 2022 αντικατέστησε την 2013 με ουσιώδεις αλλαγές στο Annex A:

Από 114 σε 93 controls — αλλά με σημαντική ανα-οργάνωση, όχι απλή μείωση.
Η παλιά δομή σε 14 domains αντικαταστάθηκε από 4 themes: Organizational (37 controls), People (8), Physical (14), Technological (34).
Προστέθηκαν 11 νέα controls: threat intelligence, ICT readiness for business continuity, physical security monitoring, configuration management, information deletion, data masking, data leakage prevention, monitoring activities, web filtering, secure coding, cloud services.
Νέα attribute-based classification (#Preventive/#Detective/#Corrective + CIA + Cybersecurity concepts + Operational capabilities + Security domains) — επιτρέπει customization του SoA.

Οι οργανισμοί που είχαν πιστοποίηση 2013 έπρεπε να μεταβούν στην 2022 μέχρι 31 Οκτωβρίου 2025. Μετά από αυτή την ημερομηνία, τα πιστοποιητικά 2013 έληξαν.

Γιατί ενδιαφέρει τις ελληνικές ΜΜΕ τώρα

Τρεις συγκεκριμένες δυνάμεις κάνουν το ISO 27001 πιο σχετικό από ποτέ για τις ελληνικές ΜΜΕ:

NIS2: Το ISO 27001 καλύπτει περίπου το 80% των τεχνικών απαιτήσεων του Άρθρου 21 και της ΚΥΑ 1689/2025. Για οργανισμούς που εμπίπτουν στο πεδίο εφαρμογής της NIS2, η πιστοποίηση αποτελεί την πιο καθαρή απόδειξη συστηματικής συμμόρφωσης.
Προμηθευτικές αλυσίδες: Όλο και περισσότερες ευρωπαϊκές εταιρείες απαιτούν ISO 27001 από προμηθευτές τους. Χωρίς αυτό, χάνετε B2B contracts — ιδιαίτερα στον κλάδο SaaS, professional services, και health tech.
Κόστος κυβερνοπεριστατικών: Οι δικηγορικές εταιρείες, τα λογιστικά γραφεία, οι ιατροτεχνολογικές και οι SaaS εταιρείες έχουν γίνει στόχοι. Η έλλειψη δομημένου ISMS κοστίζει πολύ περισσότερο από την υλοποίησή του.

Τα 93 Controls του Annex A — πώς να τα δουλέψετε

Το κλειδί: δεν χρειάζεται να εφαρμόσετε και τα 93. Το Statement of Applicability (SoA) είναι η τεκμηριωμένη απόφαση ποια controls εφαρμόζονται στην περίπτωσή σας και ποια όχι (με αιτιολόγηση). Ωστόσο, η αιτιολόγηση μη-εφαρμογής πρέπει να είναι τεκμηριωμένη και λογική.

Πρακτικά σημεία για ΜΜΕ:

Organizational (37 controls) — πολιτικές, ρόλοι, ταξινόμηση πληροφοριών, third-party management. Συνήθως το βαρύτερο κομμάτι σε effort για ΜΜΕ που ξεκινούν από το μηδέν.
People (8 controls) — screening, terms of employment, awareness, disciplinary process. Σχετικά εύκολο με ενιαία HR πολιτική.
Physical (14 controls) — φυσική πρόσβαση, διαχείριση περιουσιακών στοιχείων, ασφαλής απόρριψη. Για remote-first ΜΜΕ, το SoA συχνά εξαιρεί μεγάλο μέρος.
Technological (34 controls) — τα τεχνικά controls (access, crypto, logging, vulnerability management, κ.ά.). Το μεγαλύτερο μέρος υπάρχει ήδη σε ώριμα IT departments — η δουλειά είναι τεκμηρίωση και formalization.

ISO 27001:2022 ↔ NIS2 Mapping

Πολλές ελληνικές επιχειρήσεις αναρωτιούνται: "αν κάνω ISO 27001, έχω συμμορφωθεί με NIS2;" Η σωστή απάντηση: καλύπτετε το 80% των τεχνικών απαιτήσεων, όχι τις procedural.

Τι καλύπτει το ISO 27001 από το Άρθρο 21 της NIS2:

Πολιτικές ανάλυσης κινδύνων και ασφάλειας συστημάτων πληροφοριών ✅
Χειρισμός περιστατικών ✅
Συνέχεια δραστηριοτήτων και backup ✅
Ασφάλεια εφοδιαστικής αλυσίδας ✅
Ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων ✅
Πολιτικές και διαδικασίες αξιολόγησης αποτελεσματικότητας μέτρων ✅
Βασικές πρακτικές κυβερνοϋγιεινής και εκπαίδευση ✅
Πολιτικές κρυπτογραφίας και κρυπτογράφηση ✅
Ασφάλεια ανθρώπινων πόρων, έλεγχος πρόσβασης ✅

Τι δεν καλύπτει το ISO 27001 (χρειάζονται χωριστά):

Εγγραφή στο Μητρώο ΕΑΚ
Διορισμός ICSSO (Information and Communication Systems Security Officer)
Board resolution και formal εκπαίδευση ΔΣ
Συγκεκριμένες υποχρεώσεις notification (24h early warning, 72h full notification)
Τα 17 ελληνικά overlays της ΚΥΑ 1689/2025

💡 Πρακτικό

Αν είστε NIS2-υπόχρεη οντότητα και ξεκινάτε τώρα, η σωστή σειρά είναι: (1) ISO 27001 υλοποίηση ως βάση → (2) Προσθήκη ελληνικών overlays & procedural απαιτήσεων → (3) Πιστοποίηση ISO 27001 → (4) Υποβολή συμμόρφωσης στην ΕΑΚ. Όχι το αντίστροφο.

12μηνο Roadmap Υλοποίησης

Ρεαλιστικό χρονοδιάγραμμα για ΜΜΕ 20-200 εργαζομένων χωρίς υπάρχον formal ISMS:

Μήνας 1-2: Gap Assessment & Planning. Scope definition, context of organization (clause 4), αρχικό risk assessment, identification of interested parties, high-level gap analysis.
Μήνας 2-4: Governance & Policies. Information Security Policy, risk management methodology, roles & responsibilities, ISMS steering committee, document control procedures.
Μήνας 4-7: Risk Treatment & Controls Implementation. Full risk assessment, risk treatment plan, Statement of Applicability, εφαρμογή selected Annex A controls.
Μήνας 7-9: Operation & Evidence. Training awareness, incident management procedure, business continuity plan, supplier management, evidence collection από όλα τα εφαρμοσμένα controls.
Μήνας 9-10: Internal Audit & Management Review. Πρώτος internal audit (απαιτείται πριν το certification), management review meeting, corrective actions.
Μήνας 10-11: Stage 1 Audit. Documentation review από τον certification body. Ανακάλυψη όποιων major gaps.
Μήνας 11-12: Stage 2 Audit. Full on-site audit. Αν passes, έκδοση πιστοποιητικού με 3ετή διάρκεια (με surveillance audits ετησίως).

Πόσο κοστίζει πραγματικά

Για ελληνική ΜΜΕ 30-100 εργαζομένων, ρεαλιστικές τάξεις μεγέθους:

External consulting (gap + implementation): €15.000 – €40.000. Διαφορά ανάλογα με υπάρχουσα ωριμότητα και scope.
Internal time commitment: 1-2 FTE μερικής απασχόλησης για 12 μήνες. Συνήθως IT Manager + Quality/Compliance Manager.
Stage 1 + Stage 2 Certification Audit: €6.000 – €15.000 ανάλογα με certification body και scope.
Annual surveillance audits: €3.000 – €7.000/έτος.
Re-certification (κάθε 3 έτη): €5.000 – €10.000.

Συνολικό 3-year TCO για μεσαία επιχείρηση: €35.000 – €75.000. Η απόδοση έρχεται από: αποφυγή ενός significant incident, win rate σε B2B tenders, insurance premium reduction, NIS2 compliance coverage.

Πιστοποιητικοί Φορείς στην Ελλάδα

Οι κύριοι accredited certification bodies για ISO 27001 στην Ελλάδα περιλαμβάνουν: TÜV Hellas, TÜV Austria Hellas, BSI, Bureau Veritas, DNV, DQS, SGS, EUROCERT, Lloyd's Register. Όλοι πρέπει να είναι accredited από ΕΣΥΔ (Ελληνικός Σύνδεσμος Διαπίστευσης) ή άλλο IAF-αναγνωρισμένο accreditation body.

Κριτήρια επιλογής: (α) IAF MLA-αναγνωρισμένη διαπίστευση, (β) εμπειρία auditors στον συγκεκριμένο κλάδο, (γ) τιμολογιακή πολιτική, (δ) γεωγραφική κάλυψη, (ε) αναγνωρισιμότητα σε B2B tenders της στοχευόμενης αγοράς σας.

Τα 5 Συνηθισμένα Λάθη που Κοστίζουν

Over-scoping — προσπάθεια να καλυφθεί όλος ο οργανισμός από την πρώτη πιστοποίηση. Σωστή προσέγγιση: στοχευμένο scope (π.χ. μία υπηρεσία/τμήμα), επέκταση σε επόμενα cycles.
Template paralysis — χρήση templates 200 σελίδων που δεν ανταποκρίνονται στην πραγματικότητα. Προτιμήστε short, functional documentation.
Shadow documentation — πολιτικές που κανείς δεν διαβάζει ούτε ακολουθεί. Ο auditor θα το ανακαλύψει άμεσα.
Risk register theater — risk assessment χωρίς πραγματική σύνδεση με controls και treatment decisions.
Καθυστερημένη εμπλοκή διοίκησης — το ISMS χωρίς εμφανή leadership support αποτυγχάνει σε management review και ή πρώτο surveillance.

Συχνές Ερωτήσεις

Χρειάζομαι πιστοποίηση ή αρκεί η υλοποίηση;

Εξαρτάται από τον σκοπό. Για NIS2 compliance, η τεκμηριωμένη υλοποίηση (με ή χωρίς πιστοποίηση) είναι αρκετή. Για B2B contracts και supplier qualification, η πιστοποίηση συνήθως είναι απαραίτητη.

Πόσους internal auditors χρειάζομαι;

Τουλάχιστον 1-2 εκπαιδευμένοι. Κάθε internal auditor δεν μπορεί να ελέγξει το δικό του έργο (independence requirement). Σε μικρές εταιρείες συχνά χρησιμοποιείται εξωτερικός auditor για ανεξάρτητο annual audit.

Πόσο διαρκεί το πιστοποιητικό;

3 έτη, με ετήσια surveillance audits για τη διατήρησή του και πλήρες re-certification audit στο τέλος.

Μπορώ να το κάνω χωρίς consultant;

Τεχνικά ναι, αν έχετε εσωτερικό στέλεχος με C)ISMS-LI (Lead Implementer) ή ISO 27001 Lead Implementer certification και διαθέσιμο χρόνο. Πρακτικά, οι περισσότερες ΜΜΕ επιλέγουν υβριδική προσέγγιση: external consultant για setup + internal ownership για λειτουργία.

ISO 27001 vs SOC 2 — ποιο να προτιμήσω;

Για ευρωπαϊκή αγορά και NIS2 alignment: ISO 27001. Για US-centric SaaS πελάτες: SOC 2. Πολλοί SaaS οργανισμοί υποστηρίζουν και τα δύο — SOC 2 για US market, ISO 27001 για EU regulations.