La ISO 22301:2019 è la norma per la continuità operativa: certifica che un'organizzazione sa restare in piedi, e tornare presto alla normalità, quando qualcosa la blocca. Non promette che gli imprevisti non accadano (un guasto, un attacco informatico, un'alluvione, un fornitore che salta possono sempre succedere), ma dimostra che hai deciso in anticipo cosa proteggere per primo e come ripartire, invece di improvvisare nel momento peggiore.

Serve soprattutto a chi eroga servizi che non possono fermarsi (sanità, logistica, IT, finanza, utility) e a chi lavora in filiere e gare dove il committente vuole la garanzia che, se succede qualcosa, il servizio non si interrompe.

Cosa chiede davvero la norma

Il cuore della ISO 22301:2019 è l'analisi d'impatto sul business (BIA, Business Impact Analysis). È l'esercizio in cui ti chiedi, attività per attività, cosa succede se si ferma: dopo quanto tempo l'interruzione diventa un problema serio, quali processi vanno ripristinati per primi e quali risorse minime servono per farlo. Da qui escono le priorità: non tutto è ugualmente critico, e la norma costringe a dirlo nero su bianco invece di scoprirlo durante l'emergenza.

Accanto alla BIA ci sono la valutazione dei rischi di interruzione e la scelta delle strategie di continuità: come tieni in vita le attività prioritarie con sedi alternative, scorte, accordi con i fornitori o ridondanza dei sistemi. Le strategie diventano piani e procedure concreti, con ruoli chiari e una catena di comunicazione che deve funzionare anche quando l'email è giù.

Come ci si certifica, passo dopo passo

  1. Gap analysis: si misura la distanza tra come gestisci oggi gli imprevisti e quello che la norma chiede. Di solito emerge che i piani esistono a pezzi, in testa a qualcuno, ma non sono scritti né provati.
  2. Analisi d'impatto e strategie: si svolge la BIA, si valutano i rischi di interruzione e si definiscono le strategie di continuità per le attività prioritarie.
  3. Piani e procedure: si scrivono i piani di continuità e di risposta, con responsabilità, tempi di ripristino e modalità di comunicazione verso dipendenti, clienti e autorità.
  4. Esercitazioni e audit interno: i piani vanno provati, non solo archiviati. Un'esercitazione fa emergere ciò che sulla carta sembrava chiaro e nella pratica non lo è. Seguono l'audit interno e il riesame della direzione.
  5. Verifica in due fasi: un organismo di certificazione accreditato conduce lo Stage 1 documentale (controlla impianto, BIA e piani) e lo Stage 2 sul campo (verifica che il sistema sia vivo e che le esercitazioni siano reali).

Superata la verifica, il certificato dura tre anni, con sorveglianze annuali e un rinnovo a fine triennio. Conta a chi ci si rivolge: solo un organismo accreditato rilascia un certificato riconosciuto da clienti e committenti.

Quanto tempo serve

Dipende dal punto di partenza. Chi ha già piani di emergenza, backup e procedure di ripristino lavora soprattutto sulla struttura e sull'analisi d'impatto, e arriva al traguardo in poche settimane. Chi parte senza una mappa delle attività critiche mette in conto qualche mese, perché la parte più seria non è scrivere il piano ma capire davvero cosa non può fermarsi e provare che il piano regge.

I vantaggi concreti, oltre al bollino

La certificazione dimostra a clienti, gare e filiere che sai mantenere attivi i servizi essenziali anche durante un'interruzione: in molti contratti critici è ormai un requisito, non un di più. È come avere una ruota di scorta e saperla montare: non eviti la foratura, ma la differenza tra chi riparte in dieci minuti e chi resta fermo mezza giornata la costruisci prima, quando va tutto bene.

C'è poi un aggancio normativo. La continuità operativa è uno dei temi spinti da NIS 2 (la direttiva europea sulla sicurezza delle reti e dei sistemi informativi) e, nel settore finanziario, da DORA (il regolamento sulla resilienza operativa digitale): un sistema di continuità già in piedi aiuta ad affrontare quegli adempimenti partendo da basi solide invece che da un foglio bianco.

Un solo sistema, più certificazioni

La ISO 22301:2019 condivide con le altre norme di sistema la struttura comune dell'Annex SL, e si sposa naturalmente con la ISO/IEC 27001 (sicurezza delle informazioni): proteggere i dati e saper ripartire dopo un blocco sono due facce dello stesso problema, e spesso le due norme si certificano insieme. Con la ISO 9001 condivide contesto, gestione del rischio, audit e riesame. Tenere più norme su un'unica impalcatura permette un audit integrato: meno giornate di verifica e una sola logica di gestione invece di sistemi paralleli.

Domande frequenti

È obbligatoria? No, la certificazione ISO 22301:2019 è volontaria. Diventa di fatto necessaria quando un cliente, una gara o un committente la richiede, o quando un quadro come NIS 2 o DORA rende la continuità operativa un'aspettativa concreta.

Quanto dura il certificato? Tre anni, con sorveglianze annuali e rinnovo al termine del ciclo.

Che differenza c'è tra organismo accreditato e non accreditato? Solo un certificato emesso da un organismo accreditato è realmente riconosciuto da clienti e committenti. Un certificato non accreditato vale poco.

Basta scrivere i piani? No. La norma chiede di provarli con esercitazioni: un piano mai testato, all'audit e nella realtà, conta come se non esistesse.

Prima di partire, conviene capire quanto sei pronto davvero. La checklist di autovalutazione ISO 22301 qui sotto ripercorre i requisiti della norma punto per punto: spunti ciò che hai già e vedi nero su bianco cosa manca.