Meno parole, più flessibilità; meno regole, più pragmatismo: questa è la nuova versione della norma ISO 22301 per i sistemi di gestione della continuità operativa (BCMS). Pur non apportando cambiamenti radicali, la versione rivista rappresenta comunque un significativo passo avanti. Scoprite di seguito quali sono i cambiamenti che potete aspettarvi dalla nuova versione.
Dalla sua prima pubblicazione nel 2012, la norma ISO 22301 standard è diventato il punto di riferimento internazionale per i sistemi di gestione della continuità operativa. Secondo l'indagine annuale dell'ISO, più di 4.000 organizzazioni sono già certificate secondo la norma ISO 22301. Questo successo non è limitato a settori specifici: noi di DQS abbiamo certificato, tra gli altri, banche, impianti chimici, fornitori di servizi IT e fornitori dell'industria automobilistica.
Per garantire che questa evoluzione continui, l'Organizzazione Internazionale per la Standardizzazione ha deciso di rivedere lo standard per onorare i risultati dei primi anni di utilizzo. La revisione è stata pubblicata nel novembre 2019.
La buona notizia: Pochi cambiamenti
Innanzitutto, le aziende già certificate ISO 22301:2012 non dovrebbero avere problemi a convertirsi alla nuova versione. Se si affiancano le due versioni, si nota subito che non ci sono stati cambiamenti strutturali.
Rispetto alle revisioni di ISO 9001 e ISO 14001, completate nel 2015, questa revisione è piuttosto modesta. Il principale cambiamento nelle revisioni degli altri standard è stato l'adozione della cosiddetta High-Level Structure, una struttura uniforme per tutti gli standard dei sistemi di gestione. Tuttavia, la ISO 22301 ha sempre avuto questa struttura: nel 2012 è stata tra le prime norme ad adottare la High-Level Structure.
Non essendo quindi necessarie modifiche strutturali, l'ente di standardizzazione ha potuto concentrarsi sul miglioramento della chiarezza e della leggibilità della norma. Sono stati eliminati molti passaggi di testo ridondanti, i termini sono utilizzati in modo più coerente e la logica interna del testo è stata rafforzata.
E ancora meglio: Ritorno all'essenziale
Ciò che rende particolarmente interessante la nuova versione è il fatto che alcuni requisiti sono stati notevolmente semplificati. Un buon esempio è la sezione 4.1: laddove la versione 2012 era ancora prescrittiva su ciò che deve essere determinato e documentato per comprendere il contesto dell'organizzazione, la nuova versione sottolinea semplicemente la necessità di considerare i fattori interni ed esterni. Non viene più specificato come raggiungere questo obiettivo. Anche la necessità di documentare questo processo non è più presente. Notiamo qualcosa di simile nella Sezione 7.4 - Comunicazione: ampie sezioni sono state eliminate.
Un'altra clausola che è stata snellita è la 5.2 - Impegno della direzione. Come in precedenza, la ISO 22301 richiede un chiaro impegno da parte del top management. Tuttavia, mentre la versione 2012 richiedeva ancora che il top management "partecipasse attivamente alla pratica e alla revisione", la nuova versione si limita all'essenziale: Guida, Obiettivi, Risorse, Revisione dell'efficacia e Miglioramento continuo.
Altre modifiche
A parte una serie di piccoli aggiustamenti la cui importanza per i siti certificati è minore nella pratica, vanno segnalati i seguenti cambiamenti:
- La versione rivista non contiene quasi nessun nuovo requisito. Un'eccezione è rappresentata dalla Sezione 6.3, in cui si richiede alle organizzazioni di apportare modifiche al BCMS "in modo pianificato". Questo requisito non era esplicitato nella versione precedente, ma di per sé non sorprende.
- La sezione 8.2.2 - Analisi dell'impatto sul business (BIA) richiede che l'analisi prenda come punto di partenza le "categorie di impatto ".
- La sezione 8.3, precedentemente intitolata "Strategia di continuità operativa", è ora intitolata "Strategie e soluzioni di continuità operativa". La ridenominazione riflette il maggiore pragmatismo dello standard: più importanti di una grande strategia sono le soluzioni specifiche a rischi e impatti specifici.
- Il termine "propensione al rischio" non compare più nel nuovo standard. Nella versione del 2012 questo termine era definito come "l'entità e il tipo di rischio che un'organizzazione è disposta ad assumere o mantenere". Lo standard sposta l'attenzione dalla propensione al rischio all'impatto: Quale impatto è accettabile?
Revisione della guida ISO 22313
Il fatto che il nuovo standard appaia più snello è dovuto anche al fatto che i requisiti sono stati chiaramente separati dalla guida. I requisiti sono descritti nella ISO 22301, mentre le modalità per soddisfarli sono spiegate nella ISO 22313. Anche il documento guida ISO 22313, che risale al 2012 come la norma, è in fase di revisione.
Calendario e transizione
È previsto un periodo di transizione di 3 anni a partire dal 31 ottobre 2019 e i certificati rilasciati in base alla ISO 22301:2012 saranno validi al massimo fino al 31 ottobre 2022, oppure dovranno essere ritirati entro tale data.
Newsletter DQS
Resta informato ed iscriviti alla nostra newsletter!
Autore
Dr. Thijs Willaert
Il Dott. Thijs Willaert è Direttore Globale per i Servizi di Sostenibilità. Nel suo ruolo, è responsabile per l'intero portfolio di servizi ESG di DQS. Le sue aree di interesse comprendono la sostenibilità negli approvvigionamenti, la due diligence nei diritti umani e gli audit ESG.
Loading...