Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

ISO 22301

Compliance

Internationale norm voor Business Continuity Management (BCM). Beschrijft hoe organisaties continuïteitsplannen opstellen en hun bedrijfsvoering beschermen bij incidenten of verstoringen.

ISO 22301 is de internationale norm voor Business Continuity Management Systems (BCMS). Deze standaard biedt organisaties een gestructureerd raamwerk om zich voor te bereiden op verstoringen, de impact ervan te beperken en snel te herstellen. De norm is ontwikkeld door de International Organization for Standardization (ISO) en is voor het eerst gepubliceerd in 2012, met een belangrijke update in 2019. Voor Nederlandse organisaties die te maken hebben met NIS2 of andere regelgeving rond bedrijfscontinuiteit is ISO 22301-certificering een bewezen aanpak om veerkracht aan te tonen. De norm sluit aan bij andere managementsysteemnormen door gebruik te maken van de High-Level Structure (Annex SL), wat integratie met bijvoorbeeld ISO 27001 vereenvoudigt.

Voor wie geldt ISO 22301?

ISO 22301 is toepasbaar op elke organisatie, ongeacht omvang of sector. De norm is generiek ontworpen zodat zowel een mkb-bedrijf als een multinational ermee kan werken. In de praktijk zie je certificering vooral bij organisaties in kritieke sectoren: financiële dienstverlening, gezondheidszorg, energie, overheid en IT-dienstverleners. De reden is logisch: deze sectoren kunnen zich geen langdurige uitval veroorloven en moeten aan strenge regelgeving voldoen.

In Nederland groeit de relevantie van ISO 22301 door de komst van de Cyberbeveiligingswet (de Nederlandse implementatie van NIS2). Deze wet verplicht essentiële en belangrijke entiteiten om maatregelen te treffen voor bedrijfscontinuiteit. ISO 22301-certificering is een van de meest erkende manieren om aan deze zorgplicht te voldoen. Ook toezichthouders zoals De Nederlandsche Bank (DNB) verwijzen naar ISO 22301 als referentiekader voor business continuity. In de financiële sector is het framework feitelijk een minimumstandaard geworden.

Voor IT-dienstverleners die werken met SLA's en uptime-garanties is ISO 22301 vaak een contractuele eis. Klanten willen zekerheid dat hun leverancier over een getest continuiteitsplan beschikt. De certificering fungeert dan als een objectief bewijs van die paraatheid. Steeds meer aanbestedingen, zowel publiek als privaat, nemen ISO 22301-certificering op als selectiecriterium.

Wat zijn de vereisten van ISO 22301?

ISO 22301:2019 volgt de High-Level Structure (HLS) van Annex SL, wat de integratie met andere managementsysteemnormen zoals ISO 27001 vergemakkelijkt. De norm is opgebouwd uit tien hoofdclausules, waarvan clausule 4 tot en met 10 de daadwerkelijke eisen bevatten.

Clausule 4 (Context van de organisatie) vereist dat je de interne en externe factoren identificeert die invloed hebben op je bedrijfscontinuiteit. Je brengt de behoeften en verwachtingen van belanghebbenden in kaart en definieert de scope van je BCMS. Clausule 5 (Leiderschap) eist betrokkenheid van het topmanagement, inclusief het vaststellen van beleid en het toewijzen van rollen en verantwoordelijkheden. Clausule 6 (Planning) richt zich op het identificeren van risico's en kansen en het vaststellen van doelstellingen voor bedrijfscontinuiteit.

De kern van de norm ligt in clausule 8 (Uitvoering), waar de Business Impact Analyse (BIA) en risicobeoordeling centraal staan. Je identificeert kritieke bedrijfsprocessen, bepaalt de maximaal toelaatbare uitvalduur (MTPD) en de hersteltijddoelstelling (RTO). Op basis hiervan ontwikkel je business continuity-plannen, die je regelmatig test via oefeningen en simulaties. De norm eist expliciet dat je deze oefeningen documenteert en de resultaten gebruikt voor continue verbetering. Clausule 9 (Prestatie-evaluatie) en 10 (Verbetering) zorgen ervoor dat het BCMS niet statisch is maar voortdurend wordt geoptimaliseerd.

Een belangrijk aspect van ISO 22301 is de nadruk op het testen van plannen. Het is niet voldoende om een business continuity-plan te hebben; je moet aantonen dat het werkt. Dit gebeurt via tafelsessies, simulaties en volledige oefeningen. De resultaten van deze tests leiden tot verbeteringen in de plannen en procedures. Organisaties die certificering nastreven, moeten ten minste een complete PDCA-cyclus (Plan-Do-Check-Act) hebben doorlopen.

Wat gebeurt er bij niet-naleving?

ISO 22301 is een vrijwillige norm, dus er zijn geen directe boetes voor het niet hebben van certificering. Het ontbreken van adequate bedrijfscontinuiteitsmaatregelen kan echter wel leiden tot sancties onder andere wetgeving. Onder NIS2 riskeren organisaties boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet bij het niet voldoen aan de zorgplichtverplichtingen, waaronder bedrijfscontinuiteit.

Daarnaast kan het ontbreken van een BCMS leiden tot bestuurdersaansprakelijkheid. Als een verstoring optreedt en blijkt dat het management geen adequate voorbereidingen heeft getroffen, kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Verzekeraars stellen steeds vaker eisen aan cyberverzekeringen die aansluiten bij ISO 22301, waardoor het ontbreken van een BCMS ook gevolgen kan hebben voor je verzekeringsvoorwaarden en premiehoogte.

Het reputatierisico is minstens zo groot. Organisaties die na een incident wekenlang uit de lucht zijn, verliezen het vertrouwen van klanten en partners. Een getest en gecertificeerd disaster recovery-plan voorkomt niet alleen langdurige uitval, maar toont ook aan stakeholders dat je professioneel omgaat met risicobeheer. De investering in ISO 22301-certificering weegt doorgaans ruimschoots op tegen de kosten van onvoorbereide uitval. Onderzoek wijst uit dat organisaties met een volwassen BCMS gemiddeld 60% sneller herstellen van een verstoring dan organisaties zonder.

ISO 22301 en cybersecurity

De relatie tussen ISO 22301 en cybersecurity is de laatste jaren steeds sterker geworden. Cyberincidenten zijn een van de meest voorkomende oorzaken van bedrijfsverstoringen. Ransomware kan een organisatie in minuten platleggen en weken buiten bedrijf stellen. ISO 22301 biedt het raamwerk om je op dergelijke scenario's voor te bereiden, ongeacht of de oorzaak een cyberaanval, een stroomstoring of een pandemie is.

De Business Impact Analyse (BIA) uit ISO 22301 dwingt je om kritieke processen en hun afhankelijkheden te identificeren. Welke systemen zijn essentieel voor je bedrijfsvoering? Hoelang kun je zonder elk systeem? Welke data is onmisbaar? Deze analyse is tevens de basis voor je cybersecurityprioriteiten: de systemen die het belangrijkst zijn voor bedrijfscontinuiteit, verdienen de sterkste beveiliging. Het integreren van cybersecurity-scenario's in je BCP-oefeningen, zoals het simuleren van een ransomware-aanval, geeft inzicht in de paraatheid van je organisatie. Organisaties die cybersecurity en business continuity als aparte silo's behandelen, missen synergieën die het verschil kunnen maken bij een groot incident.

Veelgestelde vragen over ISO 22301

Wat is het verschil tussen ISO 22301 en ISO 27001?

ISO 27001 richt zich op informatiebeveiliging, ISO 22301 op bedrijfscontinuiteit. Ze vullen elkaar aan: ISO 27001 beschermt je informatie, ISO 22301 zorgt dat je bedrijfsprocessen doordraaien na een verstoring. Veel organisaties implementeren beide normen samen vanwege de gedeelde structuur.

Hoe lang duurt ISO 22301-certificering?

Het implementatietraject duurt gemiddeld 6 tot 12 maanden, afhankelijk van de omvang en complexiteit van je organisatie. Dit omvat de BIA, het ontwikkelen van plannen, het trainen van personeel en het uitvoeren van oefeningen. De certificeringsaudit zelf duurt enkele dagen.

Wat kost ISO 22301-certificering?

Voor een mkb-organisatie liggen de kosten tussen 15.000 en 50.000 euro, inclusief consultancy en de externe audit. Grotere organisaties betalen meer door de omvang van de scope. Jaarlijkse surveillance-audits kosten 3.000 tot 10.000 euro. De totale lifecycle-kosten over een driejarige certificeringsperiode liggen tussen 25.000 en 80.000 euro.

Is ISO 22301 verplicht onder NIS2?

NIS2 schrijft geen specifieke norm voor, maar vereist wel adequate bedrijfscontinuiteitsmaatregelen. ISO 22301 is de meest erkende standaard om aan deze eis te voldoen en wordt door toezichthouders als referentiekader gebruikt.

Hoe vaak moet je een BCP testen?

ISO 22301 schrijft geen exacte frequentie voor, maar vereist regelmatige oefeningen. In de praktijk testen de meeste organisaties hun business continuity-plannen minimaal jaarlijks en na significante wijzigingen in de organisatie of IT-infrastructuur. Kritieke systemen verdienen een hogere testfrequentie.

Kan je ISO 22301 combineren met ISO 27001?

Ja, dat is zelfs aan te raden. Beide normen delen dezelfde Annex SL-structuur, waardoor je een geïntegreerd managementsysteem kunt opzetten. Dit bespaart tijd en kosten bij zowel implementatie als audits. Veel certificeringsinstanties bieden gecombineerde audits aan.

Hulp nodig bij business continuity? Vind een specialist via Business Continuity Management (BCM) op IBgidsNL.