Business Continuity ISO 22301:2019
Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti
Il 31 ottobre 2019 è stata pubblicata la nuova versione della ISO 22301 con un nome modificato: «Sicurezza e resilienza – Sistemi di gestione della continuità operativa– Requisiti».
Lo scopo della revisione è stato quello di riflettere i cambiamenti in corso e gli sviluppi nel mondo della continuità operativa aziendale.
La norma specifica i requisiti per attuare, mantenere e migliorare un sistema di gestione per proteggere l’organizzazione, ridurre la probabilità che si verifichino, prepararsi, rispondere e riprendersi dalle interruzioni quando si verificano, cioè un efficace sistema di gestione per la continuità operativa BCMS Business Continuity Management System.
La ISO 22301:2019 specifica i requisiti per attuare, mantenere e migliorare un sistema di gestione per la continuità operativa BCMS (Business Continuity Management System).
I requisiti specificati nella norma sono generici e sono destinati ad essere applicabili a tutte le organizzazioni, o a parti di esse, indipendentemente dal tipo, dalle dimensioni e dalla natura dell’organizzazione.
La portata dell’applicazione di questi requisiti dipende dall’ambiente operativo e dalla complessità dell’organizzazione.
La norma è applicabile a tutti i tipi e dimensioni di organizzazioni e risulta particolarmente importante per:
- Organizzazioni che operano in ambienti ad alto rischio (ad es. Utilities, servizi finanziari, petrolio e gas, trasporti, telecomunicazioni, servizi IT);
- Organizzazioni in cui è fondamentale continuare a operare (ad es. settore pubblico).
In un contesto complesso come quello attuale, i rischi di continuità operativa (ad esempio scioperi, problemi di catena di approvvigionamento e di trasporto, perdita di dati o furto, condizioni meteorologiche estreme o calamitose o guasti IT) se non anticipati nei loro scenari, possono comportare interruzioni «letali» per le organizzazioni.
Prevenire le interruzioni e avere in atto un buon piano d’emergenza risulta quindi essenziale per mantenere la Continuità Operativa del business sotto le condizioni più avverse.
La ISO 22301 sancisce l’importanza dei piani di Business Continuity rispetto al Disaster Recovery: il Disaster recovery interviene a seguito dell’evento e della sua stabilizzazione (es. restore con back up), mentre la Business Continuity agisce anche sugli aspetti preventivi e di risposta tempestiva all’evento come ad es. BIA (Business Impact Analysis) e BCP (Business Continuity Plan) specifici.
Ricordiamo inoltre che, anche se la continuità operativa non viene citata direttamente nel Regolamento generale per la protezione dei dati personali (General Data Protection Regulation o GDPR), l’articolo 32 è abbastanza esplicito: il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio ed avere implementato una vera strategia di continuità operativa, che sia periodicamente testata in modo da poterne dimostrare l’efficacia.
La capacità di un’organizzazione di continuare a operare durante un’interruzione non è mai stata così importante. Quindi non sorprende che la ISO 22301, lo standard riconosciuto a livello internazionale per il Business Continuity Management System (BCMS), sia in costante fase di aggiornamento.
Per garantire che rimanga uno standard di punta, poiché la natura e il tipo di incidenti che causano interruzioni delle attività continuano ad evolversi, la ISO 22301 è stata aggiornata alla revisione del 2019.
A differenza della revisione precedente, la ISO 22301:2019 non introduce cambiamenti strutturali; la revisione del 2012 era già allineata alla struttura di alto livello (HLS) delle nuove norme ISO.
La revisione del 2019 si concentra maggiormente sul chiarire e semplificare alcuni requisiti al fine di rendere l’applicazione di alcuni requisiti più flessibile ed allineata al contesto attuale.
Le novità ed i temi chiave introdotti dalla nuova norma possono essere così sintetizzate:
Il periodo di transizione alla nuova norma durerà tre anni.
Una organizzazione attualmente certificata ISO 22301:2012, ha tempo fino al 30 ottobre 2022 per passare alla ISO 22301:2019, dopo di che il suo certificato ISO 22301:2012 non sarà più valido.
Dove e come interveniamo
SOLUZIONI aiuta le aziende nello sviluppo, adozione e certificazione di sistemi di gestione conformi alla ISO 22301 attraverso la definizione di piani di lavoro personalizzati che prevedono una sequenza di fasi e l’adozione di metodologie validate dai principali Enti di Certificazione e consolidate nel tempo.
Gli interventi proposti da SOLUZIONI per l’implementazione o adeguamento dei sistemi di gestione per la Business Continuity in conformità alla ISO 22301 si basano sugli elementi chiave definiti nella sezione «Sistemi di gestione certificabili – il nostro approccio» e sono finalizzati ad ottenere i seguenti obiettivi specifici:
I benefici potenziali per un’organizzazione, derivanti dall’attuazione di un sistema di gestione conforme alla ISO 22301 sono:
- Miglioramento delle prestazioni in ambito di Business Continuity aumentando la capacità di continuare il business durante le interruzioni
- Miglioramento dei rapporti con il cliente (continuità dei servizi e relativa soddisfazione, riduzione reclami)
- Miglioramento ed ottimizzazione del parco fornitori attraverso la capacità di governare rischi di continuità operativa lungo la filiera
- Miglioramento del rapporto con le risorse umane (gestione dei talenti, crescita e competenza, back up delle risorse strategiche, clima di lavoro)
- Allineamento dell’organizzazione ai requisiti legali applicabili e miglioramento della reputazione aziendale
- Facilitazione delle opportunità per accrescere la fiducia del mercato e di tutte le parti interessate affermando le capacità dell’azienda in tema continuità operativa
- Contribuzione a una più ampia gestione della resilienza nella tua organizzazione;
- Aumento della competitività attirando gli investitori e abbassando le barriere commerciali del business.