Multe firme cred ca un plan de continuitate a afacerii inseamna un document de 5 pagini cu numere de telefon si o lista de backup-uri. Un BCP conform ISO 22301 este altceva: un sistem documentat care spune cine face ce, in cat timp si cu ce resurse atunci cand activitatea firmei se opreste. Diferenta e ca primul ramane intr-un sertar, al doilea functioneaza la 3 dimineata cand pica serverul.
Ce contine un plan de continuitate (BCP)
ISO 22301:2019 (adoptat in Romania ca SR EN ISO 22301:2020) cere ca planul de continuitate sa acopere 9 elemente:
- Scopul si cine il foloseste. Nu toata firma are acelasi plan. Departamentul IT are un plan, departamentul de logistica are altul. Fiecare plan specifica pentru ce activitati se aplica si cine il activeaza.
- Roluri si responsabilitati. Cine ia decizia de activare? Cine coordoneaza comunicarea? Cine contacteaza furnizorii de rezerva?
- Contacte. Lista cu numere de telefon personale, nu de birou, pentru toti oamenii din echipa de criza. Include si contactele furnizorilor critici.
- Procedura de activare si dezactivare. In ce conditii se activeaza planul (de exemplu, serverul principal e indisponibil mai mult de 2 ore) si cand se revine la normal.
- Comunicarea. Cine anunta clientii? Pe ce canal? In cat timp? Cum comunici intern daca emailul nu merge?
- Raspunsul la incident. Ce faci in primele 30 de minute. Actiunile imediate care limiteaza pagubele.
- Ordinea de recuperare. Care activitati se restaureaza primele? Facturarea inainte de marketing, serverul de productie inainte de cel de test.
- Planurile de recuperare pe activitati. Pasi concreti pentru restaurarea fiecarei activitati critice: de unde iei datele, ce echipamente inlocuitoare folosesti, cat dureaza.
- Resursele necesare. Ce echipamente, licente software, spatii fizice alternative sau personal suplimentar iti trebuie ca planul sa functioneze.
Daca planul tau nu acopera aceste 9 puncte, nu este conform ISO 22301.
RTO, RPO si MTPD pe intelesul tau
Trei prescurtari apar in orice discutie despre continuitate. Uite ce inseamna fiecare, cu un exemplu concret.
Ai o firma de contabilitate cu 15 angajati. Softul de contabilitate ruleaza pe un server propriu. Vineri la ora 22 serverul se defecteaza.
MTPD (Maximum Tolerable Period of Disruption) este timpul maxim cat firma ta poate sta fara acea activitate inainte ca pierderile sa devina inacceptabile. In cazul firmei de contabilitate, daca luni dimineata angajatii nu pot accesa softul, clientii nu primesc declaratiile fiscale la termen. MTPD-ul ar putea fi 48 de ore.
RTO (Recovery Time Objective) este tinta ta de recuperare. Trebuie sa fie mai mic decat MTPD. Daca MTPD-ul e 48 de ore, RTO-ul tau ar putea fi 24 de ore, ca sa ai marja de siguranta.
RPO (Recovery Point Objective) este cantitatea maxima de date pe care accepti sa le pierzi. Daca faci backup la fiecare 4 ore, RPO-ul tau e 4 ore. Daca serverul pica la ora 22 si ultimul backup a fost la ora 18, pierzi 4 ore de lucru.
Aceste trei valori se stabilesc prin BIA (analiza de impact asupra afacerii), ceruta explicit de clauza 8.2.2 din ISO 22301. BIA identifica activitatile critice si calculeaza cat timp poti functiona fara fiecare.
Greseala frecventa la audit
Cea mai comuna problema pe care o gasesc auditorii: firma are un plan de continuitate, dar nimeni nu l-a testat. Planul spune ca in caz de pana, echipa IT muta operatiunile pe serverul de backup in 4 ore. La simulare, echipa descopera ca serverul de backup nu are ultima versiune a aplicatiei, iar mutarea dureaza 12 ore.
ISO 22301 cere explicit exercitii si teste periodice (clauza 8.5). Un plan netestat nu este un plan. La auditul de certificare, auditorul va cere dovada ca ai facut cel putin un exercitiu de simulare in ultimele 12 luni. Daca nu ai, primesti neconformitate.
BCP, DRP si planul de raspuns la incidente
Cele trei documente se confunda frecvent. Uite diferenta:
| Document | Ce acopera | Exemplu |
|---|---|---|
| Plan de raspuns la incidente | Primele 30-60 de minute dupa incident | Detectezi un atac ransomware, izolezi serverul afectat, notifici echipa |
| Plan de recuperare in caz de dezastru (DRP) | Restaurarea infrastructurii IT | Restabilesti serverele din backup, configurezi reteaua pe site-ul alternativ |
| Plan de continuitate a afacerii (BCP) | Continuarea intregii activitati a firmei | Pe langa IT, include comunicarea cu clientii, mutarea personalului, furnizori alternativi, facturare manuala |
BCP-ul include sau refera DRP-ul si planul de raspuns la incidente. ISO 22301 cere BCP-ul complet. Daca ai doar un DRP (centrat pe IT), nu acoperi ce cere standardul.
Ce legatura are cu NIS2
OUG 155/2024 (adoptata pe 30 decembrie 2024) transpune Directiva NIS2 in legislatia romaneasca. Legea 124/2025 a completat cadrul, fiind in vigoare din 10 iulie 2025.
Printre obligatiile impuse: politici si proceduri de continuitate a activitatii, inclusiv managementul backup-urilor, recuperarea in caz de dezastru si managementul crizelor.
Daca firma ta opereaza in energie, transport, sanatate, infrastructura digitala, servicii financiare, productie alimentara sau gestionare deseuri, ai obligatii NIS2. Amenzile ajung la 10.000.000 EUR sau 2% din cifra de afaceri globala pentru entitatile esentiale.
Un BCP conform ISO 22301 acopera exact cerintele NIS2 privind continuitatea. Nu garanteaza scutirea de amenzi, dar demonstreaza ca ai un plan documentat, testat si auditat. Citeste mai mult despre legatura ISO 27001 cu NIS2 pentru perspectiva securitatii informatiei.
Un exemplu practic
Ai un SRL cu 20 de angajati care ofera servicii de hosting si administrare servere. Un client din Germania (contract de 150.000 EUR/an) iti cere sa demonstrezi ca ai un plan de continuitate conform unui standard recunoscut.
Ce faci: identifici activitatile critice (platforma de hosting, sistemul de ticketing, comunicarea cu clientii), stabilesti MTPD pentru fiecare (2 ore pentru hosting, 8 ore pentru ticketing), definesti RTO (1 ora pentru hosting, 4 ore pentru ticketing) si RPO (15 minute pentru hosting prin replicare continua). Scrii planurile de recuperare, desemnezi echipa de criza si faci o simulare.
Costul total: intre 1.500 si 3.500 lei + TVA pentru certificarea ISO 22301 standard. Daca ai nevoie de consultanta pentru pregatirea documentatiei, bugetul creste la 5.000 si 12.000 lei + TVA.
Informatii complete despre standard pe pagina dedicata ISO 22301. Pentru diferentele fata de ISO 27001, citeste comparatia ISO 22301 vs ISO 27001.