Imagineaza-ti ca serverele firmei tale pica vineri seara. Clientii nu pot accesa serviciile, comenzile se pierd, echipa nu stie ce sa faca prima data. Daca nu ai un plan documentat pentru astfel de situatii, pierderile se acumuleaza cu fiecare ora. ISO 22301 este standardul international pentru sistemul de management al continuitatii afacerii (SMCA), care te obliga sa ai exact acest plan.
Ce problema rezolva ISO 22301
Incendii, atacuri cibernetice, intreruperi in lantul de aprovizionare, pandemii, inundatii. Orice eveniment care opreste activitatea firmei tale intra in categoria „incident disruptiv”. Majoritatea firmelor reactioneaza dupa ce problema a aparut. ISO 22301 cere sa te pregatesti inainte.
Standardul a fost publicat prima data in 2012, inlocuind standardul britanic BS 25999. Versiunea actuala este ISO 22301:2019 (editia a doua, din 31 octombrie 2019), adoptata in Romania de ASRO ca SR EN ISO 22301. Titlul complet in engleza: „Security and resilience. Business continuity management systems. Requirements”.
Ce presupune concret: identifici activitatile critice ale firmei, analizezi ce s-ar intampla daca ar fi intrerupte (analiza de impact), stabilesti planuri de raspuns si recuperare, apoi testezi si imbunatatesti periodic aceste planuri.
Cine are nevoie de ISO 22301 in Romania
Nu orice firma are nevoie de certificare ISO 22301. Standardul conteaza cel mai mult in industriile unde o intrerupere a activitatii produce pagube mari sau afecteaza multi oameni.
| Industrie | De ce conteaza ISO 22301 |
|---|---|
| IT si infrastructura digitala | Clientii cer garantii de uptime, contractele au clauze SLA |
| Energie si utilitati | Intreruperea afecteaza populatia, exista obligatii legale NIS2 |
| Servicii financiare si bancare | Reglementari stricte, date sensibile, risc reputational |
| Sanatate | Intreruperea poate pune vieti in pericol |
| Transport si logistica | Lantul de aprovizionare depinde de continuitate |
| Sector alimentar | Siguranta alimentara legata de aprovizionare neintrerupta |
Firmele din IT care lucreaza cu clienti din UE primesc tot mai frecvent cerinte de business continuity in contracte. Certificatul ISO 22301 raspunde direct la aceste cerinte.
Legatura cu NIS2 si legislatia romaneasca
OUG 155/2024 (adoptata pe 30 decembrie 2024) transpune Directiva NIS2 (UE 2022/2555) in legislatia romaneasca. Legea 124/2025 a consolidat cadrul, fiind in vigoare din 10 iulie 2025.
Printre obligatiile impuse de NIS2 se numara si planurile de continuitate a activitatii, inclusiv managementul backup-urilor, recuperarea in caz de dezastru si managementul crizelor. Entitatile vizate sunt cele din sectoarele esentiale (energie, transport, sanatate, apa, infrastructura digitala, administratie publica) si cele importante (industria chimica, alimentara, deseuri, servicii postale, cercetare, furnizori de servicii digitale).
Amenzile pentru neconformitate: pana la 10 milioane EUR sau 2% din cifra de afaceri globala pentru entitati esentiale. Pentru entitatile importante: pana la 7 milioane EUR sau 1,4%.
ISO 22301 nu este singurul mod de a respecta cerintele NIS2 privind continuitatea. Dar ofera un cadru documentat si auditabil care acopera exact ce cere directiva. Citeste mai mult despre legatura ISO 27001 cu NIS2 pentru perspectiva securitatii informatiei.
Ce contine standardul (structura)
ISO 22301:2019 are 10 clauze, din care primele 3 sunt introductive. Cerintele obligatorii incep de la clauza 4:
- Contextul organizatiei. Identifici factorii interni si externi relevanti, cerintele partilor interesate si domeniul de aplicare al SMCA.
- Leadership. Managementul de top trebuie sa demonstreze implicare directa, sa stabileasca politica de continuitate si sa aloce resurse.
- Planificare. Se stabilesc obiectivele de continuitate si actiunile necesare pentru gestionarea riscurilor.
- Suport. Resurse, competente, comunicare si documentatie.
- Operare. Aici intra analiza de impact (BIA), evaluarea riscurilor, strategiile de continuitate si planurile de raspuns la incidente.
- Evaluarea performantei. Audit intern, monitorizare si analiza de management.
- Imbunatatire. Corectarea neconformitatilor si imbunatatirea continua.
Clauza 8 (Operare) este cea mai consistenta. BIA (Business Impact Analysis) identifica activitatile critice si stabileste cat timp poate firma sa functioneze fara ele inainte ca pierderile sa devina inacceptabile.
Un exemplu concret
Ai o firma de IT cu 25 de angajati care livreaza servicii SaaS pentru 40 de clienti. Unul dintre clientii mari (contract de 180.000 EUR/an) iti cere dovada ca ai un plan de continuitate a afacerii. Fara certificat ISO 22301, trebuie sa redactezi un plan ad-hoc pe care clientul poate sau nu sa il accepte. Cu ISO 22301, ai un sistem documentat, auditat si certificat care raspunde direct la cerinta contractuala.
Diferenta fata de alte standarde ISO
ISO 22301 se concentreaza pe ce faci cand activitatea firmei este intrerupta. Celelalte standarde ISO acopera alte aspecte:
- ISO 9001 certifica managementul calitatii
- ISO 27001 certifica securitatea informatiei
- ISO 14001 certifica managementul mediului
- ISO 45001 certifica sanatatea si securitatea muncii
ISO 22301 se integreaza cu oricare dintre ele. Structura cu 10 clauze este compatibila, ceea ce permite un sistem de management integrat. Firmele din IT obtin frecvent ISO 22301 impreuna cu ISO 27001 pentru ca securitatea informatiei si continuitatea afacerii se completeaza direct. Citeste comparatia ISO 22301 vs ISO 27001 pentru diferentele si costurile fiecaruia.
Informatii complete despre standardul ISO 22301: pagina dedicata ISO 22301. Pentru procesul de obtinere, citeste cum obtii certificare ISO 22301. Afla cat dureaza certificarea ISO 22301. Daca vrei sa intelegi cum se structureaza planul de continuitate, vezi ghidul BCP conform ISO 22301. Daca vrei sa intelegi legatura cu securitatea cibernetica si NIS2, vezi ghidul dedicat.