Weniger Text, mehr Flexibilität; weniger Vorschriften, mehr Pragmatismus – das ist die neue Version der ISO 22301 für Business Continuity Management Systems (BCMS). Obwohl sie keine weltbewegenden Veränderungen mit sich bringt, ist die revidierte Fassung dennoch ein bedeutender Schritt nach vorne. Im Folgenden erfahren Sie, welche Änderungen Sie in der neuen Version erwarten.

Seit der Erstveröffentlichung in 2012 hat sich die Norm ISO 22301 zum internationalen Referenzpunkt für Business Continuity Managementsysteme entwickelt. Der jährlichen ISO-Umfrage zufolge sind bereits mehr als 4 000 Organisationen nach ISO 22301 zertifiziert. Dieser Erfolg ist nicht auf bestimmte Branchen begrenzt – wir als DQS haben unter anderem Banken, Chemiewerke, IT-Dienstleister und Zulieferer der Automobilindustrie zertifiziert.

Damit sich diese Entwicklung fortsetzt, hat die Internationale Organisation für Normung sich dazu entschieden, die Norm zu überarbeiten und so die Erkenntnisse der ersten Nutzungsjahre zu würdigen. Die Revision wurde im November 2019 veröffentlicht.

Die gute Nachricht: Nur wenige Änderungen

Das Wichtigste vorweg: Unternehmen, die bereits nach ISO 22301:2012 zertifiziert sind, sollten bei der Umstellung auf die neue Version keine Probleme haben. Legt man beide Versionen nebeneinander, stellt man sofort fest, dass es keine strukturellen Änderungen gegeben hat.

Im Vergleich zu den Revisionen der ISO 9001 und ISO 14001, die in 2015 abgeschlossen wurden, fällt diese Revision eher bescheiden aus. Die Hauptänderung bei den Revisionen anderer Normen war die Annahme der sogenannten High-Level Structure, eine einheitliche Struktur für alle Normen für Managementsysteme. Die ISO 22301 hat allerdings schon immer diese Struktur gehabt: in 2012 zählte sie zu den ersten Normen, die die High-Level Structure annahm.

Da strukturelle Änderungen also nicht nötig waren, konnte das Normungsgremium sich darauf konzentrieren, die Klarheit und Lesbarkeit der Norm zu verbessern. Viele redundante Textpassagen wurden gestrichen, die Begriffe werden konsequenter genutzt und die Textlogik wurde verstärkt.

Und noch besser: Zurück zum wesentlichen

Was die neue Version besonders spannend macht, ist die Tatsache, dass einige Anforderungen deutlich verschlankt wurden. Ein gutes Beispiel dafür ist Abschnitt 4.1: Wo die Version aus 2012 noch vorschreibt, was alles bestimmt und dokumentiert werden muss, um den Kontext der Organisation zu verstehen, betont die neue Version einfach nur die Notwendigkeit, die internen und externen Faktoren zu berücksichtigen. Wie man dies erreichen soll, wird nicht mehr konkretisiert. Die Notwendigkeit, diesen Prozess zu dokumentieren, ist ebenfalls nicht mehr gegeben. Ähnliches stellen wir in Abschnitt 7.4 – Kommunikation fest: weite Teile wurden gestrichen.

Eine weitere Klausel die verschlankt wurde ist die 5.2 – Selbstverpflichtung der Leitung. Nach wie vor verlangt die ISO 22301 eine klare Verpflichtung des Top Managements. Wo die Version aus 2012 allerdings noch vom Top Management eine „aktive Teilnahme am Üben und Prüfen“ erforderte, beschränkt sich die neue Version auf das Wesentliche: Leitlinien, Ziele, Ressourcen, Wirksamkeitsprüfung und kontinuierliche Verbesserung.

Weitere Änderungen

Außer einer Reihe von kleinen Anpassungen, deren Bedeutung für zertifizierte Standorte in der Praxis gering ist, sind folgende Änderungen zu beachten:

  • Neue Forderungen gibt es in der revidierten Fassung kaum. Eine Ausnahme bildet Abschnitt 6.3, wo Organisationen dazu aufgefordert werden, Änderungen des BCMS „in einer geplanten Weise“ durchzuführen. Diese Forderung wurde in der vorherigen Version nicht explizit gemacht, ist aber an sich wenig überraschend.
  • Abschnitt 8.2.2 – Business Impact Analyse (BIA) schreibt vor, dass die Analyse „Impact Categories“ (Auswirkungskategorien) als Ausgangspunkt nimmt.
  • Abschnitt 8.3, der früher die Überschrift “Business Continuity Strategy“ getragen hat, heißt nun „Business continuity strategies and solutions.“ Die Umbenennung zeigt den gestiegenen Pragmatismus der Norm: wichtiger als eine große Strategie sind die spezifischen Lösungen für spezifische Risiken und Auswirkungen.
  • Der Begriff “Risk Appetite” (Risikobereitschaft) kommt in der neuen Norm nicht mehr vor. Dieser Begriff war in der 2012 Version als „Größe und Art des Risikos, das eine Organisation willens ist, einzugehen oder beizubehalten“ definiert. Die Norm verlegt den Fokus von der Risikobereitschaft zu den Auswirkungen: Welche Auswirkungen sind akzeptabel?

Revision des Leitfadens ISO 22313

Dass die neue Norm schlanker wirkt, liegt auch daran, dass die Anforderungen klar von den Leitlinien getrennt wurden. Was die Anforderungen sind, beschreibt die ISO 22301; wie man sie erfüllen kann, erklärt die ISO 22313. Der Leitfaden ISO 22313, der genau wie die Norm aus 2012 stammt, wird nun ebenfalls überarbeitet.

Zeitplan und Umstellung

Es gilt eine 3-jährige Übergangsfrist ab dem 31.10.2019. Ausgestellte Zertifikate nach ISO 22301:2012 sind längstens bis zum 31.10.2022 gültig oder müssen zu diesem Datum zurückgezogen werden.

Autor
Dr. Thijs Willaert

Dr. Thijs Willaert ist Global Director Sustainability Services. In dieser Funktion verantwortet er das gesamte Dienstleistungsportfolio der DQS rundum ESG. Zu seinem Interessensgebiet gehören unter anderem nachhaltige Beschaffung, menschenrechtliche Sorgfaltspflichten und ESG-Audits. 

Loading...