DIE NEUE ISO 22301 – WAS ÄNDERT SICH?

13.12.2022

Alle sechs bis acht Jahre sind sie zur „Hauptuntersuchung“ fällig – die ISO-Standards. Dann wird geprüft, ob die Norm weiterhin Sinn macht oder angepasst werden muss. Dann werden in den Normengremien entsprechende Änderungen erarbeitet. Dieses regelmäßige Update ist ein wichtiger Schritt, um die Relevanz der Normen zu erhalten, damit sich die Anwender auf einen aktuellen und gültigen Stand verlassen können.

Nun hat es die ISO 22301 – Anforderungsnorm für Business Continuity Management Systeme – (aktuelle Version DIN EN ISO 22301:2012) „erwischt“. Sie wird derzeit überarbeitet durch das verantwortliche Technical Committee 292.

Ende Januar 2019 wurde die lang erwartete Draft-Version der ISO/DIS 23001_2019(E) nun endlich veröffentlicht. Vorweg kann bereits festgehalten werden, dass diese weiterentwickelt und angepasst wurde und sich nun mehr auf das Wesemntliche konzentriert. Der erste DIS (Draft International Standard) ist für das Voting im März 2019 frei gegeben. Im Gegensatz zur noch gültigen Version aus dem Jahr 2012 wurde an einigen Stellen kräftig aufgeräumt. Fast alle BCMS-bezogenen Themen haben sich in das Kapitel 8 zurückgezogen. Die anderen Kapitel wurden an vielen Stellen aufgeräumt und angepasst, damit sie mit den Vorgaben für Management System Standards (sogenannte ISO Directive Part 1, Annex SL) entsprechen und damit der „Mutter“ aller Managementsysteme, ISO 9001, näher kommen.

2012 war ISO 22301 eine der ersten Normen, die nach dem damals frisch veröffentlichten Annex SL erstellt wurde. Man kann sagen, sie war ein Prototyp für die danach erfolgten Überarbeitungen von Management Systemen Standards, zum Beispiel ISO/IEC 27001 im Jahr 2013 und ISO 9001 im Jahr 2015. Seitdem hat man einiges aus der praktischen Anwendung dazu gelernt. Gab es 2012 noch viele inhaltliche Überschneidungen, so sind diese im Entwurf der ISO 22301 ausgeräumt worden.

Damals wurden beachtliche Anforderungen an das Top Management gestellt. In der neuen Norm wurden diese zurückgeschraubt und in nur noch fünf Kapiteln angesprochen. Außerdem haben die Prozesse an sich einen viel höheren Stellenwert in dem Draft. So waren zu Anfang nur in der Einleitung 6 Managementprozesse vorhanden. Mittlerweile ziehen sich 4 weitere Prozesse durch die neue Norm: BIA, Risk Assessment, Response Activating und Standing Down.

Natürlich ist bei einem Normentwurf die Tinte noch nicht trocken. Änderungen können noch erfolgen. Aber insgesamt sieht die Überarbeitung ,die jetzt veröffentlich wurde, sehr stabil und brauchbar aus. Sie ist generisch, gerade deshalb gut geeignet um die Grundlage für ein BCMS zu legen. Der Anwender kann sich dann mit anderen Frameworks, z.B. BCI GPG („Good Practice Guideline), „sein“ BCMS bauen und über ISO 22301 zertifizieren lassen.

Warum braucht ein Unternehmen ein Business Continutiy Management System?

Wir haben die aus unserer Sicht wichtigsten drei Gründe aus Kapitel 0.2 der ISO 22301 hier aufgeführt:

  • Es leistet einen Beitrag zur Organizational Resilience, also zur Widerstandsfähigkeit der Organisation
  • Es hilft Leben, Eigentum und Umwelt zu schützen bei Unterbrechungen und Schadensereignissen
  • Es unterstützt ein proaktives Risikomanagement, soll also dazu dienen, Unterbrechungen gar nicht erst eintreten zu lassen.

Wir haben für Sie die wichtigsten Änderungen aus dem Entwurf der ISO 22301 zusammengefasst:

Kapitel 4 (Context of the Organization): die Auswahl der schützenswerten Produkte und Dienstleistungen ist aus Kapitel 4.1 ins Kapitel 4.3.2 „gerutscht“. Damit ist der Bezug zum Anwendungsbereich (Scope) eines BCMS deutlicher geworden. Ausschlüsse vom Anwendungsbereich des BCMS sind nur zulässig, wenn sichergestellt ist, dass Erfordernisse aus der Business Imapact Analyse und der Risikobewertung erfüllt werden können.  Weiterhin müssen gesetzliche und behördliche Anforderungen erfüllt werden können.

Kapitel 5 (Leadership): hier wurde etwas aufgeräumt, ausgemistet.

Kapitel 6 (Planning): das Kapitel wurde insgesamt an die Vorgaben des Annex SL angepasst und sieht damit aus wie bei ISO 9001:2015.

Kapitel 7 (Support): hier sieht man ein deutliches Ausmisten in Kapitel 7.4. War dort in der Version 2012 der Umgang mit Kommunikation im Business Continuity Fall verankert, dieses Kapitel ist nun ins Kapitel 8.4.3 gewandert.

Kapitel 8 (Operation): Kapitel 8.1 ist nun aufgebaut wie in ISO 9001.Ab 8.2 ist weiterhin ein Business Continuity Lebenszyklus zu erkennen über die Kapitel 8.2 (Business Impact Analyse und Risikobewertung), 8.3 (Business Continuity Strategy und Solutions), 8.4 (Business Continuity Plans and procedures) und 8.5 (Exercise Programme). Dieser Aufbau lässt sich wie bereits beschrieben bestens mit anderen Frameworks zu Business Continity Management füllen.

Neu im Kapitel 8 ist der Begriff Business Continuity Solutions, der letztlich die in der Praxis angewendeten Maßnahmen umfasst, um eine gewählte Strategie umzusetzen. In 8.4.2 werden im Rahmen der „Response Structure“ jetzt Teams gefordert, welche für die Planung und Umsetzung verantwortlich sind. Achtung: es sind dokumentierte Verfahren gefordert!  Etwas dünn finde ich weiterhin, dass im Kapitel 8.4.5 zu Recovery, also zur Wiederherstellung des Normalbetriebs, weiterhin nur eine sehr generische Forderung vorhanden ist.

Als Letztes gab es Anpassungen im Kapitel 9 (Performance Evaluation) – vor allem ist das Kapitel 9.3 zum Management Review deutlich detaillierter ausgefallen. Es geht über die ISO 9001:2015 hinaus, vor allem was den Umgang mit den Ergebnissen aus dem Management Review angeht.

Fazit:

Die ISO/DIS 22301:2019 bietet in ihrem derzeitigen Stand eine gute, valide Basis für ein BCMS. Anwender werden auf der einen Seite die Flexibilität zu schätzen wissen ein BCMS nach eigenen Bedürfnissen aufzubauen. Gleichzeitig vermissen viele vermutlich das „Kochbuch“ und fragen sich vielleicht verzweifelt, was denn nun die einzelnen Schritte zum Aufbau eines BCMS sind. Hier wird ein Blick in weitere Normen, z.B. ISO 22313 oder andere Frameworks wie BCI GPG nötig sein. Dies war allerdings bisher auch schon erforderlich.

Also, Norm aufgeräumt, modernisiert und hoffentlich bereit für die nächsten sechs bis acht Jahre!

Urheberrecht: © Steven Jamroofer auf Fotolia.com

Diesen Artikel in sozialen Netzwerken teilen:

Weitere Referenzen

Klinikum Nürnberg
Kliniken

Klinikum Nürnberg

31.07.2021
Unser friendly Audit im Datenschutz lief reibungslos und unkompliziert ab. Auch die strukturierte Arbeitsweise, kommunikative, äußert zuvorkommende, …
EnBW Ostwürttemberg Donauries AG
Energieversorung

EnBW Ostwürttemberg Donauries AG

30.07.2021
Die RUCON unterstützt uns bereits seit Jahren bei der Einführung und Begleitung unseres Informationssicherheits- und Datenschutzmanagementsystems. Wir schätzen die RUCON als …
Juwi AG
Energieversorung

Juwi AG

30.07.2021
Allein hätten wir das nie geschafft. Rucon war sachkundig und pragmatisch. Der nette und kollegiale Umgang mit deren Mitarbeitern half auch schwierige Projektabschnitte zu meistern. Wenn Zertifizierung, dann bitte mit Rucon on Board.