ISO 22301 – Business Continuity Management System: Standard e destinatari
ISO 22301 Business Continuity Management System (BCSM) è lo standard di riferimento internazionale per assicurare la Continuità Operativa da parte delle organizzazioni. Le società certificate, dimostrano a tutti gli stakeholders la capacità di mantenere l’operatività a fronte di interruzioni improvvise, siano esse cyberattacchi, eventi naturali, guasti critici della catena di fornitura o crisi sanitarie. Lo standard è pubblicato dall’International Organization for Standardizatio (ISO). La versione vigente, ISO 22301:2019, pone l’accento sulle performance, sulla responsabilità della leadership e sull’approccio basato sul rischio. La certificazione non si limita alla predisposizione di ‘documenti di emergenza’, ma richiede la verifica dell’effettiva comprensione delle procedure da parte del personale, l’esecuzione di test periodici e la definizione di obiettivi di ripristino realistici e documentati.
Ambiti di applicazione e requisiti fondamentali
Lo standard adotta la High Leve Strcture (HLS), comune ad altre norme come ISO 9001, ISO 14001 e ISO/IEC 27001, facilitando l’integrazione con altri sistemi di gestione. È proprio con ISO 27001, che si verifica l’integrazione sempre più frequente per via della crescente esigenza di resilienza da parte delle organizzazioni.
I pilastri fondamentali richiesti dalla norma sono:
- Business impact analysis (BIA), ovvero l’identificazione delle attività critiche, dei tempi di tolleranza all’interruzione e delle conseguenze derivanti da un eventuale blocco operativo.
- Risk assessment che coincide con l’analisi delle minacce e delle vulnerabilità. Richiede inoltre la definizione delle strategie di trattamento del rischio.
- Business continuity plans (BCP), la documentazione delle procedure di risposta e di recupero, inclusi i ruoli, le responsabilità e le risorse necessarie.
- Recovery time objectives (RTO) e recovery point objectives (RPO): definizione dei parametri misurabili per i tempi di ripristino e le soglie di perdita dati accettabili.
- Testing ed esercitazioni per la validazione periodica dei piani tramite simulazioni o test reali.
- Impegno della direzione nella gestione del sistema.
- Audit interni e riesami di direzione per valutare continuamente e perseguire il miglioramento continuo basandosi su evidenze oggettive.
La differenza tra Business Continuity e Disaster Recovery
È essenziale distinguere la ISO 22301 Business Continuity da un Disaster recovery plan (DRP).
Mentre il DRP si concentra sul ripristino delle infrastrutture IT a seguito di un guasto tecnico, la ISO 22301 rappresenta un sistema di gestione olistico. Essa integra il DRP in un contesto più ampio, affrontando le implicazioni strategiche, le comunicazioni verso gli stakeholder (clienti, fornitori, autorità di regolamentazione) e le dinamiche operative complesse dell’azienda.
Destinatari e benefici della Certificazione ISO 22301
La certificazione è particolarmente indicata per tutte quelle organizzazioni che non possono permettersi periodi prolungati di inattività.
In alcuni settori, tale adempimento è considerato essenziale oppure obbligatorio:
- Settore finanziario e bancario per ragioni di conformità ai framework normativi;
- Infrastrutture critiche come gestori di energia, acqua, telecomunicazioni e trasporti;
- Sanità per offrire la garanzia continua dei servizi essenziali e la sicurezza dei pazienti;
- Data center e fornitori cloud rispetto agli accordi sul livello di servizio (SLA) e garanzia di resilienza;
- Fornitori della pubblica amministrazione per i quali i requisiti sono spesso richiesti nei bandi di gara.
Ulteriori benefici includono il vantaggio competitivo nell’acquisizione di contratti, l’identificazione proattiva dei punti critici di vulnerabilità, il potenziamento dei rapporti con le compagnie assicurative e il miglioramento del coordinamento interno durante le emergenze.
Hai bisogno di supporto?
I nostri esperti hanno le competenze necessarie per aiutarti a superare le sfide più comuni attraverso i servizi di certificazione dei sistemi di gestione e di formazione specialistica.
ISO 22301 nella Gestione del Rischio Tecnologico e della Resilienza Cloud
Le interruzioni tecnologiche sembrano essere in costante aumento così come i rischi economici e reputazionali associati. La dipendenza da un numero ristretto di fornitori globali cloud fa sì che un singolo disservizio infrastrutturale possa generare una crisi a catena su scala internazionale. Una gestione reattiva del rischio tecnologico sembra essere finanziariamente insostenibile.
Allo stesso tempo, il panorama legislativo si è notevolmente inasprito. L’entrata in vigore del Regolamento DORA (Digital Operational Resilience Act), applicabile dal 17 gennaio 2025 nell’UE, impone alle istituzioni finanziarie e ai loro fornitori critici di tecnologia cloud (CTPP) obblighi legali rigidi in termini di gestione del rischio informatico, test di penetrazione, ecc.. In questo contesto la conformità agli standard ISO rappresenta un pilastro fondamentale per l’organizzazione e la gestione aziendale.
Integrazione strategica tra ISO 22301 e ISO/IEC 27001
Per garantire la continuità dei servizi aziendali erogati tramite cloud, le organizzazioni dovrebbero superare l’approccio a comportamenti stagni. La norma ISO 22301:2019 definisce i requisiti per l’implementazione di un Sistema di Gestione della Continuità Operativa (BCMS), concentrandosi sull’impatto delle interruzioni a prescindere dalla loro causa originaria. Al contempo, la norma ISO/IEC 27001:2022 offre un quadro strutturato di controlli per mitigare le minacce informatiche e tecnologiche che mettono a rischio la riservatezza, l’integrità e la disponibilità delle informazioni nel cloud.
Le organizzazioni non possono decidere quando avverrà un’interruzione del cloud provider, ma possono stabilire come reagire e dimostrare resilienza.
Processo di Certificazione ISO 22301
Richiesta di certificazione
In questa prima parte si concordano gli aspetti economici e le attività che saranno eseguite dagli auditor durante l’iter di certificazione. Questa parte si conclude con la firma di un contratto con validità triennale tra l’azienda e l’Organismo. Successivamente ha inizio il processo di certificazione.
Audit preliminare (opzionale ed eventualmente richiesto dal cliente)
Ha come obiettivo quello di esaminare il livello di preparazione del sistema di gestione oggetto di certificazione. Questo tipo di audit non rientra nell’iter di certificazione, pertanto eventuali miglioramenti, sono rilasciati sotto forma di raccomandazione e non vengono notificati in forma ufficiale sul rapporto di audit.
Audit di Certificazione – Stage 1
Durante questa fase l’auditor raccoglie informazioni e verifica la documentazione inerente il sistema di gestione da certificare. Determina quali sono norme obbligatorie e volontarie di riferimento per il sistema da certificare. Questo passaggio è preparatorio per il secondo audit di certificazione.
Audit di Certificazione – Stage 2
Durante questa fase l’auditor verificherà che il sistema di gestione venga realmente applicato dall’azienda.
Al termine di questo secondo stage, in assenza di non conformità gravi, l’auditor presenterà richiesta all’organo deliberante per l’emissione della certificazione ISO.
Per saperne di più sui servizi di Certificazione e Formazione ISO 45001 puoi contattare AS&C – Organismo di Certificazione internazionale accreditato.
P.IVA: SM28002 - All Rights Reserved
Privacy Policy – Cookie Policy | Design: papress
