Agents IA Ciberseguretat Formació Insights Parlem
🇪🇸 ES 🇬🇧 EN CA
ISO 27001 · Ciberseguretat 27 de marc de 2026 11 min de lectura

Quant costa la certificacio ISO 27001 a Espanya: guia de preus 2026

La primera pregunta de qualsevol empresa quan es parla d'ISO 27001 es sempre la mateixa: quant costara aixo. La resposta honesta es "depen", pero en aquest article et donem els rangs reals, el desglos per partides i els factors concrets que mouen el preu amunt o avall.

CS
Carlos Salgado CEO & Co-founder · Delbion

T'estalvio la cerca. Hem gestionat processos de certificacio ISO 27001 per a empreses de diverses mides a Espanya, i el rang de preus que circula per internet sol ser o massa vague o directament inutil per prendre una decisio.

Aquesta guia te numeros reals. Si al final necessites un pressupost especific per a la teva empresa, hi ha un formulari al final.

Resum de costos: quant costa ISO 27001 a Espanya

Abans d'entrar en el detall, aqui tens els rangs orientatius segun la mida de l'empresa:

Mida empresa Cost primer any (total) Manteniment anual Temps estimat
10-50 empleats 15.000 - 35.000 EUR 5.000 - 10.000 EUR/any 6-9 mesos
50-200 empleats 25.000 - 55.000 EUR 8.000 - 18.000 EUR/any 9-14 mesos
200-500 empleats 40.000 - 85.000 EUR 15.000 - 30.000 EUR/any 12-18 mesos
+500 empleats 70.000 - 150.000+ EUR 25.000 - 60.000+ EUR/any 18-24 mesos

Nota sobre FUNDAE: La partida de formacio (que en aquests rangs representa 3.000-12.000 EUR) pot ser coberta totalment o parcialment amb el credit FUNDAE de l'empresa. Per a moltes PIMEs, aixo redueix significativament el cost real. Ho expliquem mes avall.

Que inclou el proces de certificacio ISO 27001

La certificacio ISO 27001 no es un examen puntual. Es la verificacio externa que la teva empresa ha implantat un Sistema de Gestio de la Seguretat de la Informacio (SGSI) funcional i madur. Aixo implica diversos blocs de treball:

  1. Analisi de bretxes (GAP Analysis). Avaluacio del punt de partida: quins controls ja tens, que falta i quant cal construir des de zero.
  2. Definicio de l'abast del SGSI. Decidir quins sistemes, processos i actius entren al perímetre de la certificacio. Afecta directament el cost: mes abast, mes feina.
  3. Analisi de riscos. Identificar actius critics, amenaces, vulnerabilitats i impacte potencial. Es la columna vertebral del SGSI.
  4. Implantacio de controls. L'Annex A de ISO 27001 llista 93 controls organitzatius, de persones, fisics i tecnologics. No tots son obligatoris, nomes els que apliquen segun la teva analisi de riscos.
  5. Documentacio del SGSI. Politiques, procediments, registres, plans de resposta a incidents. El volum de documentacio sol sorprendre els que es certifiquen per primera vegada.
  6. Formacio i conscienciacio. Tot el personal ha de coneixer les politiques de seguretat. Els rols amb responsabilitats especifiques necessiten formacio especialitzada.
  7. Auditoria interna. Abans de l'auditoria certificadora, cal fer almenys una auditoria interna per verificar que el SGSI funciona com s'ha documentat.
  8. Auditoria de certificacio (Etapa 1 + Etapa 2). L'entitat certificadora (Bureau Veritas, SGS, TUV, AENOR, etc.) realitza dues auditories: revisio documental i auditoria al camp.

Desglos detallat de costos

Partida per partida per a una empresa de referencia de 80 empleats en el sector tecnologic o sanitari:

Partida Rang (empresa 80 emp.) Notes
Consultoria d'implantacio 18.000 - 30.000 EUR GAP analysis, disseny del SGSI, documentacio, suport fins a certificacio
Auditoria certificadora (Etapa 1) 1.500 - 3.000 EUR Revisio documental per l'entitat certificadora
Auditoria certificadora (Etapa 2) 4.000 - 9.000 EUR Auditoria al camp. Preu varia segun entitat i abast
Formacio de l'equip 3.000 - 8.000 EUR Bonificable amb FUNDAE. Inclou conscienciacio general + formacio especialitzada SGSI
Eines SGSI 2.000 - 6.000 EUR/any Software de gestio documental, riscos i compliment. Opcional pero recomanat
Temps intern de l'equip Sense cost monetari directe Estima 200-400h de dedicacio d'empleats interns durant el projecte

Cost ocult a tenir en compte: El temps de l'equip intern. Un projecte ISO 27001 requereix implicacio real de responsables de IT, legal, operacions i direccio. Aquest cost d'oportunitat no apareix a la factura del consultor, pero existeix. Planifica'l abans de comencar.

Factors que mouen el preu

Aquests son els elements que mes variacio generen en un pressupost ISO 27001:

1
Abast del SGSI

Si nomes certifiques un departament o una linia de negoci concreta, l'abast es reduit i el cost baixa. Certificar tota l'empresa el puja. La majoria de PIMEs que es certifiquen per primera vegada defineixen un abast acotat per controlar costos i terminis.

2
Punt de partida en seguretat

Si ja tens controls de seguretat implantats (tallafocs, gestio d'accessos, politiques documentades, copies de seguretat), el GAP analysis ho reflecteix i la consultoria es menor. Si parteixes de zero, el cost d'implantacio es considerablement major.

3
Sector i tipus de dades

Empreses en sanitat, farmacia, finances o administracio publica gestionen dades sensibles que augmenten el nombre de controls necessaris. L'analisi de riscos es mes complexa i la documentacio mes exigent.

4
Entitat certificadora escollida

Els preus d'auditoria varien entre entitats. AENOR, Bureau Veritas, SGS i TUV SUD son les mes comunes a Espanya. Demana pressupost a diverses abans de decidir. Les diferencies poden ser de 2.000-3.000 EUR per la mateixa auditoria.

5
Infraestructura tecnologica

Mes sistemes, mes servidors, mes proveïdors cloud: mes controls a implantar i documentar. Una empresa amb infraestructura simple tarda menys i gasta menys que una amb arquitectura distribuida i multiples proveïdors.

Quant temps porta certificar-se

6-9 mesos PIME amb base previa en seguretat
9-14 mesos Empresa mitjana des de zero
14-24 mesos Empresa gran o infraestructura complexa

Les dues fases que mes s'allarguen a la practica son la implantacio de controls (especialment si requereixen canvis en infraestructura) i la generacio d'evidencies per a l'auditoria. No n'hi ha prou amb documentar el que faras: cal demostrar que ho has fet durant un periode suficient de temps.

Com reduir el cost amb FUNDAE

La formacio en ciberseguretat es una de les partides mes costoses del proces ISO 27001 que, tanmateix, moltes empreses paguen de mes sense necessitat.

El credit FUNDAE de formacio per a l'ocupacio cobreix cursos de ciberseguretat i gestio de riscos IT. Aixo inclou:

  • Conscienciacio en seguretat de la informacio per a tota la plantilla
  • Formacio d'auditors interns ISO 27001
  • Cursos de gestio del SGSI per a l'equip responsable
  • Formacio en analisi de riscos i compliment normatiu

Calcul rapid: La teva empresa acumula credit FUNDAE segun la seva massa salarial i el sector. El minim es el 0,6% de la quota de formacio que paga cada mes a la Seguretat Social. Una empresa de 80 empleats amb salari mitja de 30.000 EUR/any te aproximadament 5.600-7.200 EUR de credit FUNDAE anual. Aquests diners caduquen cada 31 de desembre si no es fan servir.

A Delbion gestionem la bonificacio FUNDAE dels cursos inclosos en el proces de certificacio. El client no ha de fer cap tramit: nosaltres presentem l'accio formativa davant FUNDAE i apliquem la bonificacio directament al cost.

ISO 27001 i NIS2: com es relacionen

ISO 27001 es una norma internacional voluntaria. Te la certifiques perque vols (o perque els teus clients o contractes t'ho exigeixen). No hi ha multes per no tenir-la, pero tampoc pots optar a certs contractes publics o clients exigents sense ella.

NIS2 es una directiva europea de compliment obligatori per a entitats en sectors critics. A Espanya encara esta en proces de transposicio, pero quan la llei nacional entri en vigor, les sancions per incompliment poden arribar a 10 milions d'euros o el 2% de la facturacio global.

La bona noticia: tenir ISO 27001 accelera significativament el compliment de NIS2. Comparteixen la majoria de controls tecnics i organitzatius. Per a empreses en sectors critics, l'estrategia optima es certificar ISO 27001 ara i adaptar el SGSI a NIS2 quan la transposicio espanyola estigui definitiva.

Avaluacio gratuïta de maduresa en ciberseguretat

Si vols saber on esta la teva empresa respecte a ISO 27001 i NIS2 abans de comprometre't amb cap proces, fem una avaluacio inicial sense cost. Et donem el GAP analysis basic i un pressupost orientatiu en la mateixa sessio.

Sol·licitar avaluacio gratuïta

Preguntes frequents

Quant costa exactament certificar-se en ISO 27001?

Per a una empresa de 50-200 empleats a Espanya, el rang habitual el primer any es de 25.000 a 55.000 EUR. Aixo inclou consultoria d'implantacio, auditoria certificadora, formacio i eines. La formacio (3.000-8.000 EUR) pot cobrir-se amb FUNDAE. El manteniment anual posterior sol estar entre 8.000 i 18.000 EUR.

La formacio per a ISO 27001 es pot bonificar amb FUNDAE?

Si. Tant la conscienciacio general en seguretat com la formacio especialitzada (auditors interns, gestio del SGSI) son bonificables. Si l'empresa gestiona be el seu credit FUNDAE, la partida de formacio pot sortir a cost zero.

ISO 27001 i NIS2 son el mateix?

No. ISO 27001 es voluntaria; NIS2 es compliment obligatori per a sectors critics. Pero es complementen molt be: tenir ISO 27001 cobreix la major part del que NIS2 exigira quan entri en vigor a Espanya.

CS
Carlos Salgado CEO i Co-founder de Delbion. Especialista en ciberseguretat i implantacio d'ISO 27001 i ENS per a empreses a Espanya.

Vols saber quant costaria a la teva empresa concreta?

Fem una avaluacio inicial gratuïta: analitzem el teu punt de partida i et donem un pressupost real, no un rang generic. Sense compromis.

Sol·licitar avaluacio gratuïta