Minder tekst, meer flexibiliteit; minder voorschriften, meer pragmatisme - dat is de nieuwe versie van ISO 22301 voor Business Continuity Management Systems (BCMS). Hoewel het geen wereldschokkende veranderingen brengt, is de herziene versie toch een belangrijke stap voorwaarts. Hieronder leest u welke veranderingen u in de nieuwe versie kunt verwachten.

Sinds de eerste publicatie in 2012 is de ISO 22301 norm uitgegroeid tot het internationale referentiepunt voor managementsystemen voor bedrijfscontinuïteit. Volgens de jaarlijkse ISO-enquête zijn al meer dan 4.000 organisaties gecertificeerd volgens ISO 22301. Dit succes beperkt zich niet tot specifieke industrieën - bij DQS hebben we onder andere banken, chemische fabrieken, IT-dienstverleners en leveranciers aan de auto-industrie gecertificeerd.

Om ervoor te zorgen dat deze evolutie doorgaat, heeft de Internationale Organisatie voor Standaardisatie besloten om de norm te herzien om de bevindingen van de eerste jaren van gebruik te eren. De herziening werd in november 2019 gepubliceerd.

Het goede nieuws: Weinig veranderingen

First things first: bedrijven die al gecertificeerd zijn volgens ISO 22301:2012 zouden geen problemen moeten hebben met de conversie naar de nieuwe versie. Als u beide versies naast elkaar legt, zult u meteen zien dat er geen structurele veranderingen zijn geweest.

In vergelijking met de herzieningen van ISO 9001 en ISO 14001, die in 2015 werden voltooid, is deze herziening eerder bescheiden. De belangrijkste verandering bij de herzieningen van andere normen was de invoering van de zogenaamde High-Level Structure, een uniforme structuur voor alle managementsysteemnormen. ISO 22301 heeft deze structuur echter altijd al gehad: in 2012 was het een van de eerste normen die de High-Level Structure aannamen.

Aangezien structurele wijzigingen dus niet nodig waren, kon het normalisatie-instituut zich concentreren op het verbeteren van de duidelijkheid en leesbaarheid van de norm. Veel overbodige tekstpassages werden geschrapt, termen worden consistenter gebruikt en de innerlijke logica van de tekst werd versterkt.

En nog beter: Terug naar de essentie

Wat de nieuwe versie bijzonder boeiend maakt, is het feit dat sommige voorschriften aanzienlijk zijn gestroomlijnd. Een goed voorbeeld hiervan is punt 4.1: waar de versie van 2012 nog voorschreef wat er allemaal moest worden bepaald en gedocumenteerd om de context van de organisatie te begrijpen, benadrukt de nieuwe versie alleen maar de noodzaak om rekening te houden met interne en externe factoren. Hoe dit moet worden bereikt, wordt niet langer gespecificeerd. Ook de noodzaak om dit proces te documenteren is niet langer aanwezig. Iets soortgelijks zien we in punt 7.4 - Communicatie: grote delen zijn geschrapt.

Een andere clausule die is afgeslankt is 5.2 - Management commitment. Net als voorheen vereist ISO 22301 een duidelijk commitment van het topmanagement. Maar waar de versie van 2012 nog vereiste dat het topmanagement "actief deelneemt aan het oefenen en beoordelen", is de nieuwe versie beperkt tot de hoofdzaken: Richtlijnen, Doelstellingen, Middelen, Effectiviteitsbeoordeling en Voortdurende Verbetering.

Andere wijzigingen

Afgezien van een aantal kleine aanpassingen waarvan de betekenis voor gecertificeerde sites in de praktijk gering is, moet op de volgende wijzigingen worden gewezen:

  • Er zijn nauwelijks nieuwe eisen in de herziene versie. Een uitzondering is paragraaf 6.3, waar organisaties worden verplicht om wijzigingen in het BCMS "op een geplande manier" door te voeren. Deze eis werd in de vorige versie niet expliciet gesteld, maar is op zich niet verrassend.
  • Paragraaf 8.2.2 - Bedrijfsimpactanalyse (BIA) vereist dat de analyse"impactcategorieën " als uitgangspunt neemt.
  • Paragraaf 8.3, voorheen getiteld "Strategie voor bedrijfscontinuïteit", is nu getiteld "Strategieën en oplossingen voor bedrijfscontinuïteit". De nieuwe benaming weerspiegelt het toegenomen pragmatisme van de norm: belangrijker dan een grote strategie zijn de specifieke oplossingen voor specifieke risico's en impacts.
  • De term " risicobereidheid" komt niet meer voor in de nieuwe norm. Deze term werd in de versie van 2012 gedefinieerd als "de omvang en het type risico dat een organisatie bereid is te nemen of te handhaven." De norm verlegt de focus van risicobereidheid naar impact: Welke impact is acceptabel?

Herziening van de ISO 22313-gids

Dat de nieuwe norm slanker oogt, komt ook doordat de eisen duidelijk zijn gescheiden van de leidraad. Wat de eisen zijn, wordt beschreven in ISO 22301; hoe eraan moet worden voldaan, wordt uitgelegd in ISO 22313. Het ISO 22313 guidance document, dat net als de norm uit 2012 stamt, wordt nu ook herzien.

Tijdschema en omschakeling

Er is een overgangsperiode van 3 jaar die ingaat op 31 oktober 2019, en certificaten die zijn afgegeven volgens ISO 22301:2012 zullen geldig zijn tot uiterlijk 31 oktober 2022, of moeten voor die datum worden ingetrokken.

Auteur
Dr. Thijs Willaert

Dr. Thijs Willaert is hoofd Marketing & Communicatie voor de segmenten Duurzaamheid en Voedselveiligheid. Hij is ook auditor voor de externe audit van duurzaamheidsrapporten. Zijn interessegebieden zijn duurzaamheidsmanagement, duurzaam inkopen en de digitalisering van het auditlandschap.

Loading...