ISO 22301.

ISO 22301 è lo standard internazionale per i sistemi di gestione della continuità operativa (BCMS). Specifica i requisiti per pianificare, gestire, monitorare e migliorare un BCMS che ripristina le operazioni critiche dopo un'interruzione. È richiesto con crescente frequenza dai regolatori finanziari in applicazione del DORA e dalle autorità di vigilanza NIS 2 per gli operatori di servizi essenziali.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyResilience & continuityAll entries

Il punto di vista di Cyber Academy

ISO 22301 è lo standard internazionale per i sistemi di gestione della continuità operativa (BCMS). Specifica i requisiti per pianificare, gestire, monitorare e migliorare un BCMS che ripristina le operazioni critiche dopo un'interruzione. È richiesto con crescente frequenza dai regolatori finanziari in applicazione del DORA e dalle autorità di vigilanza NIS 2 per gli operatori di servizi essenziali.

ISO 22301 è la norma di requisiti per un sistema di gestione della continuità operativa, un BCMS. Stabilisce ciò che un'organizzazione deve fare per mantenere operative le attività critiche durante un'interruzione.

Cosa chiede davvero ISO 22301

La parola sistema conta. ISO 22301 non è un piano che si scrive una volta e si archivia. È un ciclo gestito.

Quel ciclo ha quattro parti:

  • Comprendere cosa fa la vostra organizzazione.
  • Decidere quali attività non potete permettervi di perdere a lungo.
  • Costruire la capacità di mantenerle attive, o di ripristinarle rapidamente.
  • Mantenere questa capacità affidabile attraverso esercitazioni, riesami e miglioramento.

Poiché è una norma di requisiti, un organismo accreditato può sottoporvi ad audit e certificarvi rispetto ad essa. Questo dà a un cliente o a un regolatore qualcosa di concreto di cui fidarsi.

Una struttura condivisa con altre norme ISO

ISO 22301 segue la struttura di alto livello, come ISO 27001 e le altre norme ISO moderne di sistema di gestione. Condivide quindi lo stesso scheletro:

  • Contesto dell'organizzazione
  • Leadership
  • Pianificazione
  • Supporto
  • Attività operative
  • Valutazione delle prestazioni
  • Miglioramento

Tutto poggia su un ciclo Plan-Do-Check-Act. È un vantaggio se gestite già un sistema di gestione della sicurezza delle informazioni. Riutilizzate la stessa governance, lo stesso linguaggio del rischio e lo stesso meccanismo di audit interno. Innestate la continuità al di sopra invece di costruire una struttura parallela.

Il lavoro dietro al certificato

Tre attività sono al cuore di un programma. Un professionista vi dedica la maggior parte del proprio tempo, non alla documentazione.

Analisi di impatto sul business

Il BIA identifica le vostre attività prioritarie. Stabilisce con quale rapidità ciascuna deve essere ripristinata.

È questo che produce gli obiettivi di tempo di ripristino. Quegli obiettivi guidano ogni decisione successiva. Senza un BIA difendibile, la vostra strategia di continuità è pura congettura.

Valutazione dei rischi

Qui esaminate cosa potrebbe interrompere quelle attività prioritarie. Alcuni esempi:

  • Un'epidemia di ransomware
  • Il fallimento di un fornitore
  • Un data center allagato

In questo modo la vostra strategia affronta minacce reali, non una lista di controllo generica.

Strategia e piani di continuità

Ora usate il BIA e il quadro dei rischi. Scegliete come proteggere e ripristinare ciascuna attività. Poi redigete e dotate di risorse le procedure che le persone seguono davvero quando tutto si ferma.

Perché i regolatori la indicano sempre più spesso

ISO 22301 era un tempo una norma discreta di resilienza operativa. Le organizzazioni mature la adottavano per scelta. Questo è cambiato.

I regolatori finanziari si appoggiano ora a DORA. Le autorità di vigilanza fanno rispettare NIS 2. Entrambi si aspettano ormai una capacità di continuità dimostrabile per le operazioni critiche. ISO 22301 è il modo più riconosciuto per attestarla.

La norma non nomina alcuna regolamentazione specifica. Ma la sua disciplina corrisponde con chiarezza a ciò che quei regimi richiedono:

  • Attività prioritarie
  • Obiettivi di ripristino definiti
  • Piani testati
  • Dipendenze mappate

Certificarsi rispetto ad essa vi consente di rispondere a un'autorità di vigilanza con un'attestazione indipendente, non con un'autovalutazione.

Come si collega a ISO 27001

Un punto di confusione frequente è il legame con ISO 27001. Sono sorelle, non sostitute.

  • ISO 27001 governa la sicurezza delle informazioni. Protegge la riservatezza, l'integrità e la disponibilità delle informazioni.
  • ISO 22301 governa la continuità. Mantiene l'azienda operativa durante un'interruzione.

La disponibilità è il ponte tra le due. Un'organizzazione seria sulla resilienza spesso le gestisce entrambe. Le certifica insieme per condividere audit e riesami della direzione.

La continuità è la risposta a una domanda che la sicurezza da sola non può risolvere. Cosa succede quando la prevenzione fallisce e dovete comunque erogare il servizio?

Frequently asked questions

01ISO 22301 è una certificazione o solo una guida?

È una norma di requisiti certificabile. Un organismo di certificazione accreditato può sottoporre ad audit il tuo sistema di gestione della continuità operativa rispetto a essa e rilasciare un certificato, ed è ciò che la rende utile per rispondere a clienti e regolatori.

02Qual è la differenza tra ISO 22301 e un piano di disaster recovery?

Il disaster recovery riguarda soprattutto il ripristino dei sistemi IT. ISO 22301 copre l'intera organizzazione, persone, sedi, fornitori e processi, e chiede se puoi continuare a erogare prodotti e servizi critici mentre il ripristino tecnico è in corso. Il DR è una componente della continuità, non la sua totalità.

03Ho bisogno di ISO 22301 se possiedo già ISO 27001?

Non automaticamente, ma si completano a vicenda. ISO 27001 protegge le informazioni; ISO 22301 mantiene l'azienda operativa quando qualcosa fallisce. Poiché entrambe seguono la stessa High-Level Structure, molte organizzazioni le gestiscono e le certificano insieme per condividere governance e audit.

04Qual è il ruolo dell'analisi di impatto sul business?

La BIA identifica le tue attività prioritarie e con quale rapidità ciascuna debba essere ripristinata. Produce gli obiettivi di tempo di ripristino che guidano l'intera strategia di continuità, sicché una BIA solida è il fondamento di un SGCO credibile.

05DORA o NIS 2 richiedono ISO 22301?

Nessuno dei due nomina la norma, ma entrambi si aspettano una continuità e una resilienza operativa dimostrabili per le attività critiche. La certificazione ISO 22301 è un modo ampiamente riconosciuto per dare evidenza di tale capacità a un'autorità di vigilanza con una garanzia indipendente anziché con un'autovalutazione.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.