Advania logo
    Kontakta oss
    Gå tillbaka

    ISO 22301

    Vad är ISO 22301?

    ISO 22301 är den internationella standarden för ledningssystem för verksamhetskontinuitet (Business Continuity Management System, BCMS). Standarden beskriver hur en organisation systematiskt ska planera, etablera, driva och förbättra sin förmåga att upprätthålla verksamheten vid störningar och avbrott. Enkelt uttryckt är ISO 22301 för motståndskraft vad ISO 27001 är för informationssäkerhet – ett ramverk som gör kontinuitetsarbetet strukturerat, mätbart och certifierbart.

    Betydelsen av ISO 22301

    Många organisationer har en kontinuitetsplan i någon form, men få har ett systematiskt arbetssätt som håller planen aktuell, testad och förankrad i ledningen. ISO 22301 löser just det problemet. Standarden har dessutom fått förnyad aktualitet i takt med att regelverk som NIS2 och DORA ställer uttryckliga krav på kontinuitetshantering, krishantering och återställningsförmåga. Ett ledningssystem enligt ISO 22301 är ett av de mest etablerade sätten att visa – för tillsynsmyndigheter, kunder och styrelse – att kraven hanteras systematiskt och inte ad hoc. En certifiering blir allt oftare ett konkurrensmedel i upphandlingar, särskilt för leverantörer till samhällsviktiga verksamheter.

    Så fungerar ISO 22301

    Standarden följer samma övergripande struktur som andra moderna ISO-ledningssystem, vilket gör den enkel att integrera med exempelvis ISO 27001:

    • Ledningens ansvar: Kontinuitetsarbetet ska styras av ledningen, med tydlig policy, roller och resurser.
    • Konsekvensanalys och riskbedömning: Organisationen ska genomföra en Business Impact Analysis (BIA) och riskbedömning för att identifiera kritiska processer och hot.
    • Strategi och planer: Utifrån analysen tas kontinuitetsstrategier och planer fram – däribland Business Continuity Plan (BCP) och återställningsplaner med definierade tidsmål.
    • Övning och test: Planer ska övas och testas regelbundet, och lärdomar ska dokumenteras.
    • Ständig förbättring: Genom interna revisioner, ledningens genomgång och uppföljning av incidenter förbättras systemet löpande.

    Organisationer kan välja att arbeta enligt standarden utan certifiering, eller låta ett ackrediterat certifieringsorgan granska och certifiera ledningssystemet.

    Fördelar med ISO 22301

    Det främsta värdet är att kontinuitetsförmågan blir verifierbar och uthållig i stället för personberoende. Standarden tvingar fram tydliga prioriteringar av vad som är kritiskt, regelbundna övningar som avslöjar brister innan verkligheten gör det, och en styrning som håller arbetet vid liv mellan incidenterna. Den förenklar också regelefterlevnad: mycket av det NIS2 och DORA kräver kring kontinuitet och återhämtning täcks av ett fungerande BCMS. För leverantörer kan certifieringen dessutom vara skillnaden mellan att kvalificera sig eller inte i upphandlingar med kontinuitetskrav.

    Bygg ett levande kontinuitetsarbete med Advania

    Advania hjälper organisationer att etablera kontinuitetsarbete i linje med ISO 22301 – från gap-analys och konsekvensanalys till planer, övningar och förberedelser inför certifiering. Vi hjälper också till att integrera kontinuitetsarbetet med informationssäkerhet och regelefterlevnad, så att NIS2, DORA och ISO-standarderna hanteras som en helhet i stället för parallella spår.

    Vanliga frågor och svar om ISO 22301

    Vad är skillnaden mellan ISO 22301 och ISO 27001?

    ISO 27001 handlar om att skydda information – konfidentialitet, riktighet och tillgänglighet. ISO 22301 handlar om att hela verksamheten ska kunna fortsätta leverera vid störningar, oavsett om orsaken är en cyberattack, ett strömavbrott eller en pandemi. Standarderna överlappar delvis och kombineras ofta i ett gemensamt ledningssystem.

    Måste man certifiera sig mot ISO 22301?

    Nej. Många organisationer använder standarden som ramverk utan formell certifiering. Certifiering blir aktuell när kunder, ägare eller upphandlingar kräver oberoende bevis på förmågan – eller när organisationen vill ha extern granskning som kvalitetssäkring.

    Hjälper ISO 22301 med NIS2 och DORA?

    Ja, i hög grad. Båda regelverken ställer krav på kontinuitetshantering, incidenthantering och testad återställningsförmåga – områden som ett BCMS enligt ISO 22301 täcker. Standarden är inte en garanti för regelefterlevnad, men den ger struktur och dokumentation som gör kraven betydligt enklare att möta och påvisa.

    Hur lång tid tar det att införa ISO 22301?

    Det beror på organisationens storlek, mognad och ambitionsnivå, men räkna med flera månader upp till ett år från start till certifieringsfärdigt ledningssystem. Organisationer som redan arbetar med ISO 27001 har ofta ett försprång eftersom strukturen är densamma.

    Viktiga punkter att ta med sig om ISO 22301
    • Ledningssystem: standarden gör kontinuitet till ett systematiskt, styrt arbete – inte en pärm på hyllan.
    • Certifierbar: oberoende certifiering ger bevisbar förmåga gentemot kunder och myndigheter.
    • Regelverksstöd: täcker stora delar av kontinuitetskraven i NIS2 och DORA.
    • BIA i grunden: konsekvensanalysen styr vad som ska skyddas och hur snabbt det ska återställas.
    • Övning krävs: planer ska testas regelbundet – oprövade planer räknas inte.
    DIGITAL MOTSTÅNDSKRAFT

    Hur snabbt är er verksamhet igång igen efter ett avbrott?

    Utforska digital motståndskraft

    Andra relevanta ord i samma kategori