Analiza de impact (BIA) ISO 22301: cum o faci
Analiza de impact asupra afacerii (BIA) e cerută de clauza 8.2.2 din ISO 22301. Vezi cum identifici activitățile critice și calculezi MTPD, RTO și RPO.
Înainte să scrii orice plan de continuitate, trebuie să știi ce activități țin firma în viață și cât timp poți funcționa fără ele. Aici intervine analiza de impact asupra afacerii. Analiza de impact (BIA, business impact analysis) este procesul prin care identifici activitățile critice ale firmei și calculezi cât de repede trebuie să le repui în funcțiune după o întrerupere. Standardul ISO 22301 o cere explicit la clauza 8.2.2, iar rezultatele ei stau la baza întregului plan de continuitate.
Ce cere clauza 8.2.2
ISO 22301:2019 (adoptat în România ca SR EN ISO 22301:2020) cere ca analiza de impact să producă patru lucruri concrete pentru fiecare activitate a firmei:
- impactul care apare dacă activitatea se oprește și cum crește acest impact în timp;
- intervalul maxim în care poți tolera oprirea (MTPD);
- ținta de reluare a activității (RTO), care trebuie să fie mai mică decât MTPD;
- resursele și dependențele de care ai nevoie ca să repui activitatea în funcțiune: oameni, aplicații, furnizori, spații.
Pe baza acestor date stabilești care activități se recuperează primele și cu ce prioritate. Fără analiza de impact, planul de continuitate rămâne o presupunere.
MTPD, RTO și RPO: ce calculezi de fapt
Trei valori ies din analiza de impact și ele decid cât de rapid și cât de scump trebuie să fie planul tău.
MTPD este timpul maxim cât firma poate sta fără o activitate înainte ca pierderile să devină inacceptabile. RTO este ținta ta de reluare, întotdeauna mai mică decât MTPD. RPO este cantitatea de date pe care accepți să o pierzi, măsurată în timp: dacă faci backup din oră în oră, RPO-ul tău este o oră.
Le stabilești pentru fiecare activitate critică, nu pentru firmă în ansamblu. Un exemplu numeric detaliat pe aceste trei valori găsești în ghidul despre planul de continuitate conform ISO 22301.
Cum faci o analiză de impact în 6 pași
- Listează activitățile. Treci toate procesele firmei, de la preluarea comenzilor până la plata salariilor. Nu sări peste cele administrative.
- Identifică activitățile critice. O activitate e critică dacă oprirea ei afectează direct clienții, veniturile sau obligațiile legale.
- Măsoară impactul în timp. Pentru fiecare activitate critică, estimează ce pierzi după 1 oră, după 24 de ore, după o săptămână. Impactul rar e constant, de obicei crește.
- Stabilește MTPD, RTO și RPO. Din impactul în timp rezultă cât poți tolera oprirea și cât de des trebuie să salvezi datele.
- Mapează resursele și dependențele. Ce aplicații, echipamente, furnizori și oameni susțin fiecare activitate. Aici descoperi punctele unice de eșec.
- Documentează și revizuiește. Scrii rezultatele într-un document, le aprobă conducerea și le actualizezi cel puțin anual sau după orice schimbare majoră.
Pentru metodologie detaliată există un standard dedicat, ISO/TS 22317:2021, care dă îndrumări despre cum construiești procesul de analiză. Este ghid, nu cerință de certificare.
Tabelul BIA pe care îl completezi
Cel mai simplu mod să structurezi rezultatele este un tabel cu o linie per activitate critică:
| Activitate | Impact după 24h | MTPD | RTO | RPO | Resurse critice |
|---|---|---|---|---|---|
| Preluare comenzi | Comenzi pierdute, clienți care pleacă | 24h | 8h | 1h | Soft de gestiune, internet, 2 operatori |
| Facturare | Întârzieri la încasări | 72h | 48h | 24h | Soft contabilitate, server |
| Expediere marfă | Penalități contractuale | 12h | 6h | nu se aplică | Depozit, curier, scanere |
Coloana cu resurse critice e cea care transformă analiza într-un plan. Dacă trei activități depind de același server, acolo investești primul în redundanță.
Un exemplu concret
Ai un SRL de distribuție cu 35 de angajați și un depozit care livrează către un retailer pe baza unui contract de 1.200.000 lei pe an. Contractul prevede penalități dacă livrările întârzie peste 48 de ore.
Faci analiza de impact și descoperi că activitatea cea mai critică e preluarea și procesarea comenzilor în softul de gestiune. MTPD-ul iese 24 de ore, fiindcă peste acest prag retailerul aplică penalitățile. Stabilești RTO la 8 ore și RPO la o oră, deci treci de la backup zilnic la backup orar. Mapezi resursele și vezi că totul depinde de un singur server fără rezervă.
Concluzia analizei: ai nevoie de un server secundar și de o procedură de comutare, altfel RTO-ul de 8 ore rămâne doar pe hârtie.
Greșeli frecvente la analiza de impact
Cea mai comună greșeală e ca firma să declare toate activitățile critice. Dacă tot ce faci are RTO de o oră, nu ai prioritizat nimic și planul devine imposibil de aplicat. Analiza de impact are sens doar dacă separă ce trebuie recuperat în prima oră de ce poate aștepta o săptămână.
A doua greșeală e să ceri valorile MTPD și RTO direct de la șefii de departament, fără date. Fiecare șef își crede activitatea cea mai urgentă. Valorile trebuie să rezulte din impactul real, adică pierderi, penalități și obligații legale, nu din percepție.
La auditul de certificare ISO 22301, lipsa unei analize de impact documentate sau una care nu acoperă toate activitățile critice aduce neconformitate, fiindcă pe ea se sprijină tot restul sistemului.
Ce legătură are cu NIS2
OUG 155/2024 a transpus Directiva NIS2 în România, iar Legea 124/2025 a completat cadrul, în vigoare din 10 iulie 2025. Printre obligații apar măsurile de continuitate a activității: backup, recuperare în caz de dezastru și management al crizelor.
Ca să știi ce să protejezi și în cât timp să recuperezi, ai nevoie întâi de analiza de impact. Ea îți spune ce activități contează și care sunt țintele de recuperare. Pentru firmele din energie, transport, sănătate, infrastructură digitală sau servicii financiare, amenzile NIS2 ajung la 10.000.000 EUR sau 2% din cifra de afaceri globală.
Dacă te interesează și partea de securitate a informației, vezi cum se completează cele două standarde în comparația ISO 22301 vs ISO 27001.
Întrebări frecvente
Ce este analiza de impact asupra afacerii (BIA)?
Analiza de impact asupra afacerii este procesul prin care identifici activitățile critice ale firmei și calculezi cât timp poți funcționa fără ele înainte ca pierderile să devină inacceptabile. ISO 22301 o cere la clauza 8.2.2.
Care e diferența dintre BIA și evaluarea riscurilor?
Analiza de impact îți spune ce activități trebuie protejate și în cât timp să le recuperezi. Evaluarea riscurilor, cerută de clauza 8.2.3, îți spune ce amenințări le pun în pericol. Ai nevoie de amândouă.
Cât de des trebuie refăcută analiza de impact?
Cel puțin o dată pe an și ori de câte ori apare o schimbare majoră: un proces nou, un sediu nou, un furnizor critic schimbat sau o reorganizare. O analiză veche de trei ani nu mai reflectă realitatea firmei.
MTPD, RTO și RPO se stabilesc pentru fiecare activitate?
Da. Fiecare activitate critică are propriile valori. Preluarea comenzilor poate avea RTO de câteva ore, în timp ce raportarea internă poate aștepta câteva zile.
