ISO 22301 Zertifizierung – Business Continuity Management für Unternehmen

Die überarbeitete ISO 22301 wurde im Oktober 2019 veröffentlicht. Seit dem 31.10.2019 haben Unternehmen drei Jahre lang Zeit, sich nach der neuen Version zertifizieren zu lassen.

Unsere Experten können Sie noch bis zum 31. Oktober 2021 nach der alten ISO 22301:2012 zertifizieren. Danach werden Zertifizierungs- und Re-Zertifizierungsaudits ausschließlich nach der neuen Norm durchgeführt.

Die ISO 22301:2019 Sicherheit und Schutz des Gemeinwesens - Business Continuity Management System – Anforderungen will, dass Organisationen ein Management für Maßnahmen und Fähigkeiten haben um sicherzustellen, dass sie bei Störungen ihre wichtigste Geschäftstätigkeit weiter betreiben können.

Es sind Mindestanforderungen spezifiziert und dargestellt, die eine Organisation etablieren muss, um den Nachweis der Fähigkeit zur Ausfallsicherheit zu erbringen.

Mit der Neuauflage der ISO 22301:2019 sind einige Anforderungen geschärft worden, z.B. der Fokus auf Ausfallsicherheit aus geschäftlicher Sicht.

• Kapitel 8 enthält jetzt disziplinspezifische Vorgaben für ein Business Continuity Management System.
• Ausfallsicherheit wird unter den Aspekten Geschäft, Finanzen, interessierte Parteien und interne Prozesse betrachtet.
• Das Top-Management hat den klaren Auftrag, die internen und externen kritischen Bedürfnisse und Erwartungen zu verstehen. Dabei sollen Schutzziele definiert werden und die kritischen Prozesse, Ressourcen und Abhängigkeiten gestützt werden.
• Die Führung soll auch das Verständnis für BCM in der Organisation fördern.
• Die notwendige Dokumentation ist festgelegt.
• Eine Business Impact Analysis (BIA) mit einem Zeitraster für die Priorisierung ist zu erarbeiten.
• Die Business Continuity-Dokumentation muss regelmäßig, auch bei Partnern, überprüft werden.
• Der Auditplanung für interne Audits ist nun ein eigenes Kapitel gewidmet.
• Wie in anderen Managementsystem-Standards müssen grundlegende Dokumente vorhanden sein. Diese sind:
• Leitlinie
• Funktionen, Verantwortlichkeiten und Befugnisse
• Notfallplanung, Kommunikation
• Business Continuity-Pläne
• Internes Audit
• Management Review
• Messergebnisse und KVP-Maßnahmen
• Ein Business Continuity Management System (BCMS) muss nur für den relevanten Teil der Organisation betrachtet werden, nicht für die gesamte Organisation.
• Hervorgehoben sind Vorgaben und Ziele, Ressourcen, Prüfung der Wirksamkeit und KVP.
• Änderungen der BCM-Ausrichtung sollen geplant werden.
• Formulierungen wurden insgesamt etwas gestrafft und zielorientierter formuliert.

Nein, die Änderungen haben bis zur Umstellung keinen direkten Einfluss auf die bestehende Zertifizierung. Die aufgrund internationaler Vereinbarungen um 6 Monate verlängerte Übergangsfrist endet am 31. Oktober 2022. Ab 01.05.2021 werden alle Zertifizierungs- und Re-Zertifizierungs-Audits auf Basis der neuen Norm durchgeführt, bei Überwachungsaudits kann zwischen alter und neuer Norm gewählt werden.

Zusätzliche Aufwände sind einmalig möglich. Der Aufwand variiert je nach Organisation und Zeitpunkt der Umstellung:

• Rezertifizierung und Überwachung: 2 Stunden zusätzliche Auditzeit vor Ort.
• Sonderaudits zur Normumstellung: 4 Stunden zusätzliche Auditzeit vor Ort

Ja, mithilfe unserer GAP-Analyse können wir gemeinsam Fragen klären, wie: Gibt es notwendige Änderungen in der Organisation? Sind Schulungen erforderlich? Müssen grundlegende Dokumente oder die Managementsystemdokumentation angepasst werden?

Durch die vereinheitlichten Definitionen und Texte in der High Level Structure (HLS) können zwischen der ISO 27001 und der Revision der ISO 22301 Synergien erzielt werden.

Der Standard ISO 22301 eignet sich für alle Unternehmen, die trotz und während einer Betriebsstörung weiterarbeiten müssen. Damit wird auch ein Nachweis gegenüber Kunden und Versicherungen erbracht. Dies können Unternehmen aus qualitätskritischen Branchen und Organisationen sein, die einen Nachweis ihrer Ausfallsicherheit benötigen. Dazu zählen zum Beispiel Unternehmen der Automobilindustrie, Versicherungen, Banken und natürlich IT-Dienstleister. Durch eine Zertifizierung gemäß ISO 22301 erhalten Sie Kontrolle über Ihre Fähigkeit, Ausfälle zu vermeiden und ggf. auch zu beherrschen.

Nein, grundsätzlich kann sich jedes Unternehmen nach ISO 22301 zertifizieren lassen. Unsere Experten informieren Sie gern darüber, inwiefern eine Zertifizierung für Ihr Unternehmen sinnvoll ist. Dabei gilt jedoch, dass sich die Zertifizierung nach ISO 22301 nicht auf Produkte, wie z.B. BCM-Tools, bezieht.

• Angemessene Maßnahmen erhöhen Ihre Ausfallsicherheit.
• Strukturierte Vorgehensweise bei Zwischenfällen
• Die Stabilität der Geschäftsprozesse wird erhöht.
• Sie stellen die Leistungsfähigkeit Ihrer Geschäftstätigkeit dar.
• Die Zufriedenheit Ihrer Kunden wird erhöht.
• Ihre kritische Infrastruktur wird sichtbar.
• Ihre geschäftskritischen Risiken werden sichtbar.