HERZIENING BCM-NORM ISO 22301 ONDERWEG

bcmplus

In het voorjaar van 2012 werd de eerste ISO norm voor Business Continuity Management (BCM) gepubliceerd. Deze standaard ‘ISO 22301:2012 Societal security – Business Continuity Management systems – Requirements’ is inmiddels vertaald en dus tevens beschikbaar als ‘Maatschappelijke veiligheid – Managementsystemen voor bedrijfscontinuïteit – Eisen’. Deze vertaling is gemaakt door leden van de BCM en Crisismanagement normcommissie bij NEN. Nu ligt daar een nieuwe uitdaging: de Nederlandse inbreng verzorgen voor de herziening van de norm dit jaar.

BCM gaat over het zo optimaal mogelijk voorbereid zijn op het onverwachte: het vermogen van een organisatie om na een verstorend incident producten of diensten te blijven leveren op aanvaardbare, vooraf vastgestelde niveaus. Nu er zo’n vijf jaar ervaring is opgedaan met de norm, die grotendeels was gebaseerd op een Engelse ‘voorganger’, is het een uitstekend moment om deze positieve en negatieve ervaringen om te zetten in uitsluitend verbeteringen van de norm. Echter, er zijn meer dan 160 landen aangesloten bij ISO, dus dient men goed voorbereid ten strijde te trekken om de Nederlandse verbeterpunten om te zetten in wijzigingen in de norm. De Nederlandse inbreng komt voornamelijk van de leden en hun eventuele achterban, waaronder toonaangevende bedrijven uit verschillende sectoren alsmede certificatie-instellingen, het Business Continuity Institute plus trainings- en consultancybedrijven. Het gaat hier om de eisen voor certificering, niet om een vrijblijvend setje richtlijnen.

Elk voorstel tot aanpassing, toevoeging of het verwijderen van clausules behoeft dan ook een sterk argument en verdient een weloverwogen beslissing. De norm wordt door een groot aantal organisaties in Nederland gehanteerd als de standaard om serieus met dit onderwerp aan de slag te gaan en een solide managementsysteem te implementeren. Een deel hiervan wil tevens dat een onafhankelijke certificatie-instantie hier een oordeel over velt en bij het voldoen aan de gestelde eisen, een ISO 22301-certificaat afgeeft. Meestal komt deze wens voort uit een eis van een grote klant of van een ‘autoriteit’, maar steeds meer ook vanuit de organisatie zelf of van de aandeelhouders, zoals het eerlijk gezegd ook zou moeten zijn.

NOG EEN KLEIN JAAR

Elke organisatie dient BCM goed geregeld te hebben, om in geval van een ernstige verstoring, zo snel mogelijk weer haar producten en diensten te kunnen leveren met zo min mogelijk schade. Of dit nu het gevolg is van een brand, ICT-uitval, cyber crime, logistieke problemen als gevolg van extreem weer of uitval van gas, elektra of water. Overigens wordt ook de leidraad (guidance) ISO 22313 vaak gehanteerd, die vanzelfsprekend tegelijkertijd wordt herzien om synchroon te blijven lopen. Momenteel wordt gewerkt aan de Working Draft (WD) en verwacht wordt dat in enkele stappen en bijeenkomsten van de wereldwijde werkgroep via de Draft International Standard (DIS) en de Final Draft International Standard (FDIS) eind dit jaar, uiterlijk begin 2019 de herziene versie beschikbaar zal zijn.

De verwachting is dat er geen drastische (noem het inhoudelijke) wijzigingen zullen zijn. Wel meer duidelijke eisen en een eenduidige aanpak onder de High Level

Structure van ISO, waar deze norm overigens in 2012 de eerste ‘gebruiker’ van was. Wie op de hoogte wil worden gehouden of wil meedenken kan zich bij NEN melden.

Lees of download deze column