Business Continuity ISO 23001:2019

Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti

Il 31 ottobre 2019 è stata pubblicata la nuova versione della ISO 22301 con un nome modificato: «Sicurezza e resilienza – Sistemi di gestione della continuità operativa– Requisiti».
Lo scopo della revisione è stato quello di riflettere i cambiamenti in corso e gli sviluppi nel mondo della continuità operativa aziendale.

La norma specifica i requisiti per attuare, mantenere e migliorare un sistema di gestione per proteggere l’organizzazione, ridurre la probabilità che si verifichino, prepararsi, rispondere e riprendersi dalle interruzioni quando si verificano, cioè un efficace sistema di gestione per la continuità operativa BCMS Business Continuity Management System.

La ISO 23001:2019 specifica i requisiti per attuare, mantenere e migliorare un sistema di gestione per la continuità operativa BCMS (Business Continuity Management System).

I requisiti specificati nella norma sono generici e sono destinati ad essere applicabili a tutte le organizzazioni, o a parti di esse, indipendentemente dal tipo, dalle dimensioni e dalla natura dell’organizzazione.

La portata dell’applicazione di questi requisiti dipende dall’ambiente operativo e dalla complessità dell’organizzazione.

La norma è applicabile a tutti i tipi e dimensioni di organizzazioni e risulta particolarmente importante per:

  • Organizzazioni che operano in ambienti ad alto rischio (ad es. Utilities, servizi finanziari, petrolio e gas, trasporti, telecomunicazioni, servizi IT);
  • Organizzazioni in cui è fondamentale continuare a operare (ad es. settore pubblico).

In un contesto complesso come quello attuale, i rischi di continuità operativa (ad esempio scioperi, problemi di catena di approvvigionamento e di trasporto, perdita di dati o furto, condizioni meteorologiche estreme o calamitose o guasti IT) se non anticipati nei loro scenari, possono comportare interruzioni «letali» per le organizzazioni.

Prevenire le interruzioni e avere in atto un buon piano d’emergenza risulta quindi essenziale per mantenere la Continuità Operativa del business sotto le condizioni più avverse.

La ISO 22301 sancisce l’importanza dei piani di Business Continuity rispetto al Disaster Recovery: il Disaster recovery interviene a seguito dell’evento e della sua stabilizzazione (es. restore con back up), mentre la Business Continuity agisce anche sugli aspetti preventivi e di risposta tempestiva all’evento come ad es. BIA (Business Impact Analysis) e BCP (Business Continuity Plan) specifici.

Ricordiamo inoltre che, anche se la continuità operativa non viene citata direttamente nel Regolamento generale per la protezione dei dati personali (General Data Protection Regulation o GDPR), l’articolo 32 è abbastanza esplicito: il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio ed avere implementato una vera strategia di continuità operativa, che sia periodicamente testata in modo da poterne dimostrare l’efficacia.

La capacità di un’organizzazione di continuare a operare durante un’interruzione non è mai stata così importante. Quindi non sorprende che la ISO 22301, lo standard riconosciuto a livello internazionale per il Business Continuity Management System (BCMS), sia in costante fase di aggiornamento.

Per garantire che rimanga uno standard di punta, poiché la natura e il tipo di incidenti che causano interruzioni delle attività continuano ad evolversi, la ISO 22301 è stata aggiornata alla revisione del 2019.

A differenza della revisione precedente, la ISO 22301:2019 non introduce cambiamenti strutturali; la revisione del 2012 era già allineata alla struttura di alto livello (HLS) delle nuove norme ISO.

La revisione del 2019 si concentra maggiormente sul chiarire e semplificare alcuni requisiti al fine di rendere l’applicazione di alcuni requisiti più flessibile ed allineata al contesto attuale.

Le novità ed i temi chiave introdotti dalla nuova norma possono essere così sintetizzate:

  • I requisiti fondamentali sono stati solo chiariti; non ci sono nuovi requisiti (nota a parte sulla clausola 6.3, 8.6)
  • I requisiti di Business Continuity specifici della disciplina sono ora tutti al capitolo 8
  • Il capitolo 8 è stato ristrutturato per fornire una presentazione più chiara dei requisiti chiave
  • I termini relativi alla Business Continuity sono stati modificati per migliorare la chiarezza

Il periodo di transizione alla nuova norma durerà tre anni.

Una organizzazione attualmente certificata ISO 22301:2012, ha tempo fino al 30 ottobre 2022 per passare alla ISO 22301:2019, dopo di che il suo certificato ISO 22301:2012 non sarà più valido.

Vuoi saperne di più?

Sono disponibili dei contenuti aggiuntivi nella nostra area riservata
Registrati ora!
REGISTRAZIONE

Dove e come interveniamo

SOLUZIONI aiuta le aziende nello sviluppo, adozione e certificazione di sistemi di gestione conformi alla ISO 22301 attraverso la definizione di piani di lavoro personalizzati che prevedono una sequenza di fasi e l’adozione di metodologie validate dai principali Enti di Certificazione e consolidate nel tempo.

Gli interventi proposti da SOLUZIONI per l’implementazione o adeguamento dei sistemi di gestione per la Business Continuity in conformità alla ISO 22301 si basano sugli elementi chiave definiti nella sezione «Sistemi di gestione certificabili – il nostro approccio» e sono finalizzati ad ottenere i seguenti obiettivi specifici:

  • Snellimento delle procedure e razionalizzazione della documentazione aziendale attraverso l’Integrazione del sistema di gestione per la Business Continuity con i principali sistemi di gestione presenti in azienda (ISO 27001, ISO 20000-1, ISO 9001, ISO 45001, MOGC 231);
  • Rafforzamento del MOGC 231 attraverso lo sviluppo di un sistema di gestione ISO 22301 che prevede richiami, integrazioni e correlazioni puntuali con i requisiti previsti dal modello (MOGC 231) al fine di rafforzarne la coerenza ed evidenziarne l’adeguata applicazione;
  • Integrazione dei rischi in ambito Business Continuity con eventuali analisi condotte in azienda in altri ambiti (ERM, ISO 31000, D.lgs 231, ISO 27001, ISO 45001, ISO 9001) al fine di rendere possibile la definizione di un elenco di priorità di intervento tra rischi di natura diversa;
  • Allineamento degli obiettivi per la Business Continuity con la pianificazione strategica attraverso l’integrazione dell’analisi del contesto e degli stakeholder a livello azienda;
  • Integrazione dei requisiti relativi al BCMS nel business: Integrazione dei requisiti del sistema di gestione in tutti i processi di business dell’organizzazione al fine di migliorarne l’applicazione ed evitare le duplicazioni.

I benefici potenziali per un’organizzazione, derivanti dall’attuazione di un sistema di gestione conforme alla ISO 22301 sono:

  • Miglioramento delle prestazioni in ambito di Business Continuity aumentando la capacità di continuare il business durante le interruzioni
  • Miglioramento dei rapporti con il cliente (continuità dei servizi e relativa soddisfazione, riduzione reclami)
  • Miglioramento ed ottimizzazione del parco fornitori attraverso la capacità di governare rischi di continuità operativa lungo la filiera
  • Miglioramento del rapporto con le risorse umane (gestione dei talenti, crescita e competenza, back up delle risorse strategiche, clima di lavoro)
  • Allineamento dell’organizzazione ai requisiti legali applicabili e miglioramento della reputazione aziendale
  • Facilitazione delle opportunità per accrescere la fiducia del mercato e di tutte le parti interessate affermando le capacità dell’azienda in tema continuità operativa
  • Contribuzione a una più ampia gestione della resilienza nella tua organizzazione;
  • Aumento della competitività attirando gli investitori e abbassando le barriere commerciali del business.

Contatto specifico


    (*) per i campi contrassegnati da * la compilazione è obbligatoria.

    Ho letto l’Informativa sulla Privacy e la Privacy Policy e autorizzo il trattamento dei miei dati personali per le finalità descritte al paragrafo “Esecuzione di attività richieste dall’interessato” dell’Informativa
    [la mancata autorizzazione al trattamento comporta l’impossibilità di svolgere le attività richieste]

    Presto il consenso al trattamento dei miei dati personali per le finalità descritte al paragrafo “Gestione di documentazione tecnico-informativa” dell’Informativa
    [il mancato consenso impedisce l’invio di documentazione tecnica e di contenuti di aggiornamento tecnico]

    Presto il consenso al trattamento dei miei dati personali per le finalità descritte al paragrafo “Gestione iniziative di informazione tecnica, pubblicitaria e promozionale” dell’Informativa
    [il mancato consenso impedisce l’aggiornamento in merito ai nostri servizi, l’invito a nostri eventi gratuiti e la partecipazione a nostre iniziative a condizioni riservate]

    Prestare attenzione alle richieste e avere cura delle esigenze del cliente è la base per realizzare servizi di consulenza e formazione efficaci, favorendo la costruzione di relazioni di vera e propria partnership con i clienti per gestirle insieme con loro.