Skip to content

ISO 22301 certificering

Inzicht in risico’s, duidelijke herstelstrategieën en aantoonbare continuïteit van je kritieke processen

Continuïteit wordt steeds vaker geëist door wetgeving en opdrachtgevers. ISO 22301 biedt een gestructureerde aanpak om verstoringen op te vangen en processen te herstellen. Met certificering toon je dat je organisatie voorbereid is en risico’s beheerst. TÜV NORD beoordeelt onafhankelijk of jouw managementsysteem voldoet aan ISO 22301 en internationaal erkende normen.

Vraag certificering aan
Persoon met capuchon achter laptop als illustratie van cyberdreiging of hacking.

Voor wie is dit bedoeld?

ISO 22301 is geschikt voor organisaties die afhankelijk zijn van continuïteit en snel moeten kunnen herstellen bij verstoringen, zoals:

  • Vitale sectoren (energie, telecom, zorg, infrastructuur)
  • Industrie en productiebedrijven
  • Logistieke en transportorganisaties
  • Financiële instellingen en verzekeraars
  • IT-, cloud- en datacenterdiensten
  • Leveranciers van primaire levensbehoeften (bijvoorbeeld supermarkten)
  • Overheden, gezondheidszorg en onderwijs
  • Organisaties met kritieke ketenafhankelijkheden

ISO 22301 helpt je om voorbereid te zijn op concrete scenario’s zoals cyberincidenten, stroomuitval, noodsituaties, pandemieën en verstoringen in de supply chain.

Wat houdt het in?

ISO 22301 is de internationale norm voor bedrijfscontinuïteitsmanagement. De norm stelt eisen aan het managementsysteem waarmee je organisatie zich voorbereidt op ontwrichtende gebeurtenissen, zoals cyberaanvallen, uitval van systemen of noodsituaties zoals een pandamie.

Met een business continuity managementsysteem (BCMS):

  • Breng je risico’s en kritieke processen in kaart
  • Bepaal je de impact van uitval met een business impact analyse (BIA)
  • Werk je scenario’s en herstelstrategieën uit
  • Richt je een crisisorganisatie in met duidelijke rollen en verantwoordelijkheden
  • Test en oefen je scenario’s regelmatig
  • Verbeter je continu via een vaste cyclus (plan-do-check-act)

Zo voorkom je dat je bedrijfsvoering stilvalt en beperk je schade, klantverlies en verstoringen in je keten. Je organisatie blijft functioneren, ook als de druk toeneemt.

 

Hoe behaal je ISO 22301 certificering?

ISO 22301 certificering wordt uitgevoerd door een onafhankelijke certificatie-instelling zoals TÜV NORD.

Het traject bestaat uit:

  • Opzetten en implementeren van een BCMS
  • Uitvoeren van een interne audit en management review
  • Certificatie-audit in twee fasen (documentatie en praktijk)
  • Een cyclus van drie jaar met jaarlijkse opvolgingsaudits

Tijdens de audit wordt beoordeeld of je organisatie in staat is om verstoringen te beheersen en herstel effectief te organiseren. 

 

Wat levert ISO 22301 certificering op?

Wanneer processen stilvallen, lopen kosten en risico’s snel op. ISO 22301 helpt je om die impact te beperken en controle te houden. Dat levert je concreet het volgende op:

  • Minder stilstand
    Sneller herstel bij incidenten zoals IT-uitval of stroomstoringen
  • Beheersbare risico’s
    Inzicht in kwetsbaarheden en gerichte maatregelen
  • Vertrouwen in de keten
    Opdrachtgevers zien dat je voorbereid bent op verstoringen
  • Sterkere positie bij aanbestedingen
    Steeds vaker een eis in vitale en gereguleerde sectoren
  • Aantoonbare weerbaarheid
    Ondersteuning vanuit WWke (Wet Weerbaarheid kritieke entiteiten) 

ISO 22301 helpt je niet alleen bij incidenten, maar zorgt dat je organisatie structureel beter voorbereid is.
 

Wat zijn de belangrijkste eisen van de norm?

ISO 22301 vraagt niet alleen om plannen, maar om een aanpak die aantoonbaar werkt in de praktijk. De norm stelt daarom eisen aan:

  • Contextanalyse: inzicht in interne en externe risico’s
  • Business Impact Analyse (BIA)
  • Risicobeoordeling en continuïteitsstrategie
  • Incident- en crisismanagement
  • Oefenen en testen van scenario’s
  • Monitoring, audits en continue verbetering
     

Wanneer is ISO 22301 voor jouw organisatie relevant?

SO 22301 is vooral relevant wanneer verstoringen directe impact hebben op je bedrijfsvoering, klanten of ketenpartners.

Dit speelt met name als:

  • Stilstand direct leidt tot omzetverlies of contractuele risico’s
  • Je afhankelijk bent van IT-systemen, energie of externe leveranciers
  • Je onderdeel bent van een kritieke keten of vitale sector
  • Opdrachtgevers of wetgeving eisen stellen aan continuïteit (zoals Wwke)
  • Je reputatieschade riskeert bij uitval van diensten
     

Twijfel je? Dan is de kernvraag:
Kun je het je veroorloven dat processen uren of dagen stilvallen?
 

Veelgemaakte valkuilen bij ISO 22301

ISO 22301 wordt vaak goed ingericht op papier, maar schiet in de praktijk tekort. Dit zijn de meest voorkomende valkuilen:

  • Te veel focus op documentatie
    Plannen zijn uitgewerkt, maar sluiten niet aan op de dagelijkse praktijk
  • Scenario’s worden niet getest
    Onzeker of processen werken op het moment dat het nodig is
  • Onduidelijke rollen in crisissituaties
    Verantwoordelijkheden zijn niet helder, waardoor besluitvorming vertraagt
  • Gebrek aan betrokkenheid vanuit management
    Continuïteit wordt gezien als operationeel onderwerp in plaats van strategisch risico
  • Afhankelijkheden worden onderschat
    Leveranciers, energie of IT blijken kritischer dan vooraf gedacht

Organisaties die deze valkuilen vermijden, herstellen aantoonbaar sneller en houden controle tijdens verstoringen.

Waarom kiezen voor TÜV NORD?

  • Onafhankelijke certificering volgens internationaal erkende normen
  • Auditors met praktijkervaring in bedrijfscontinuïteit en risicomanagement
  • Toetsing op werking: niet alleen documentatie, maar ook de praktijk
  • Efficiënte audits met duidelijke rapportages en concrete bevindingen
  • Combinatie mogelijk met ISO 9001, 27001 en andere managementsystemen

Veelgestelde vragen

Antwoorden op veelgestelde vragen

ISO 22301 is de internationale norm voor bedrijfscontinuïteitsmanagement. De norm helpt organisaties om verstoringen te voorkomen en de impact ervan te beperken. Je richt processen in waarmee je kritieke activiteiten kunt voortzetten en snel kunt herstellen na incidenten.

Een BCMS is een managementsysteem waarmee je continuïteit structureel organiseert. Je brengt risico’s in kaart, bepaalt welke processen cruciaal zijn en legt vast hoe je reageert bij verstoringen. Denk aan back-ups, uitwijklocaties en crisisprocedures.

ISO 22301 is niet wettelijk verplicht. Wel stellen opdrachtgevers en wetgeving, zoals de Wet Weerbaarheid Kritieke Entiteiten (WWKE), steeds vaker eisen aan de continuïteit van organisaties. Certificering helpt om aantoonbaar te maken dat hieraan wordt voldaan.

ISO 22301 richt zich op het waarborgen van bedrijfscontinuïteit. ISO 27001 richt zich op informatiebeveiliging. Een cyberincident kan systemen verstoren (ISO 27001), terwijl ISO 22301 ervoor zorgt dat je processen blijven functioneren tijdens en na zo’n incident.

De doorlooptijd hangt af van de grootte en complexiteit van je organisatie en de mate waarin processen al zijn ingericht. Organisaties met bestaande structuren kunnen sneller certificeren dan organisaties die vanaf nul beginnen.

De kosten zijn afhankelijk van factoren zoals organisatiegrootte, aantal locaties en complexiteit van processen. Naast certificeringskosten moet je rekening houden met tijd en middelen voor implementatie en onderhoud van het BCMS.

Dat is niet verplicht, maar vaak wel logisch. ISO 22301 wordt regelmatig gecombineerd met ISO 27001 (informatiebeveiliging) en ISO 9001 (kwaliteitsmanagement). Dit zorgt voor een geïntegreerd managementsysteem en voorkomt dubbel werk.

Na certificering volgt een cyclus van drie jaar. In deze periode vinden jaarlijkse opvolgingsaudits plaats. Na drie jaar wordt een hercertificatie-audit uitgevoerd om het certificaat te verlengen.

Tijdens een audit kunnen afwijkingen worden vastgesteld. Je krijgt dan de mogelijkheid om corrigerende maatregelen te nemen. Pas wanneer aan de eisen wordt voldaan, kan certificering plaatsvinden of behouden blijven.

Je bent klaar voor certificering wanneer de belangrijkste onderdelen van een business continuity managementsysteem zijn ingericht en aantoonbaar werken.

Dit betekent dat je:

  • Inzicht hebt in kritieke processen en afhankelijkheden
  • Een business impact analyse (BIA) hebt uitgevoerd
  • Continuïteitsplannen en scenario’s hebt uitgewerkt
  • Een crisisorganisatie hebt ingericht
  • Scenario’s hebt getest en geëvalueerd

Het systeem hoeft niet perfect te zijn, maar moet wel aantoonbaar functioneren in de praktijk. Tijdens de audit wordt beoordeeld of je organisatie in staat is om effectief te reageren op verstoringen.

Wat is ISO 22301-certificering?

ISO 22301-certificering toont aan dat een organisatie een Business Continuity Management System heeft dat voldoet aan internationale vereisten voor risicobeheersing en herstel. TÜV NORD voert daartoe onafhankelijke audits uit.

Toelichting:
ISO 22301:2019 is wereldwijd erkend als kader voor het plannen, implementeren en onderhouden van een managementsysteem voor bedrijfscontinuïteit. Kernactiviteiten zijn het uitvoeren van een Business Impact Analyse, opstellen van noodplannen, testen van scenario’s en bewaken van continue verbetering. Certificering versterkt het vertrouwen van klanten, partners en toezichthouders in de veerkracht van de organisatie.

 

Aanbevolen bronnen

ISO 22301-norm (2019): www.iso.org

Richtlijn BIA & BCM: ISO/TS 22317/22313 via www.nen.nl

Medewerker van TÜV NORD staat klaar om contactvragen te beantwoorden.

Heb je een vraag over deze certificering?

Wil je weten wat ISO 22301 betekent voor jouw organisatie? Stel je vraag via het formulier. Wij reageren snel en duidelijk.

Stel je vraag

Ook interessant voor jou

Certificaat uitreiking door medewerkers van TÜV NORD

Meer diensten en certificeringen

Of je nu een certificering nodig hebt of zekerheid wilt over processen, producten of systemen: we denken met je mee.
Bekijk alle diensten