Wat is ISO 22301?
ISO 22301 is de internationale norm voor een business continuity management system (BCMS): een gestructureerd managementsysteem waarmee een organisatie zich voorbereidt op verstorende incidenten, daarop reageert en er gecontroleerd van herstelt. De volledige titel van de actuele versie luidt "Security and resilience — Business continuity management systems — Requirements". Het gaat dus niet om één los noodplan, maar om een doorlopend systeem dat de continuïteit van de belangrijkste producten en diensten van een organisatie borgt — ongeacht of de verstoring komt door een cyberaanval, een brand, uitval van een leverancier of een pandemie.
De norm is ontwikkeld door technisch comité ISO/TC 292 (Security and resilience) en heeft zijn wortels in de Britse standaard BS 25999. De huidige versie is ISO 22301:2019, die de eerste editie uit 2012 verving. In februari 2024 is daar een Climate Action Amendment aan toegevoegd, waardoor organisaties expliciet moeten meewegen of klimaatverandering relevant is voor hun context en belanghebbenden. De inhoudelijke eisen zijn met dat amendement niet gewijzigd; de aanvulling scherpt alleen de context-analyse aan.
Een veelgemaakte denkfout is dat business continuity vooral over IT-uitwijk gaat. Dat is een belangrijk onderdeel — dat deel heet doorgaans IT disaster recovery — maar ISO 22301 kijkt breder: naar mensen, panden, leveranciers, communicatie en processen. IT-herstel is de techniek; business continuity is de organisatiebrede strategie die bepaalt wát als eerste hersteld moet worden en binnen welke tijd.
De opbouw van de norm: tien clausules
Net als alle moderne ISO-managementsysteemnormen volgt ISO 22301 de Annex SL high-level structuur. Dat betekent dat de norm dezelfde tien hoofdclausules en dezelfde basisterminologie hanteert als bijvoorbeeld ISO 27001 en ISO 9001. Dat maakt het combineren van normen in één geïntegreerd managementsysteem aanzienlijk eenvoudiger. De eerste drie clausules zijn inleidend (toepassingsgebied, normatieve verwijzingen en termen); de werkelijke eisen staan in clausule 4 tot en met 10.
| Clausule | Onderwerp |
|---|---|
| 4. Context van de organisatie | De interne en externe context, de behoeften van belanghebbenden en de scope van het BCMS bepalen |
| 5. Leiderschap | Betrokkenheid van het topmanagement, het continuïteitsbeleid en duidelijke rollen en verantwoordelijkheden |
| 6. Planning | Risico's en kansen adresseren en meetbare continuïteitsdoelstellingen vaststellen |
| 7. Ondersteuning | Middelen, competenties, bewustwording, communicatie en gedocumenteerde informatie |
| 8. Uitvoering (operation) | De kern: Business Impact Analysis, risicobeoordeling, continuïteitsstrategieën, plannen en oefeningen |
| 9. Evaluatie van de prestaties | Monitoren, meten, interne audits en de directiebeoordeling (management review) |
| 10. Verbetering | Afhandelen van afwijkingen, corrigerende maatregelen en continue verbetering |
De zwaarste clausule is clausule 8: daar staan de operationele eisen die het hart van een BCMS vormen. Clausule 9 borgt dat het systeem aantoonbaar werkt via metingen, interne audits en de directiebeoordeling, en clausule 10 zorgt dat afwijkingen en incidenten leiden tot structurele verbetering — de bekende plan-do-check-act-cyclus die elk ISO-managementsysteem kenmerkt.
Business Impact Analysis: RTO, RPO en MTPD
Het fundament onder elk BCMS is de Business Impact Analysis (BIA), vastgelegd in clausule 8.2. In de BIA breng je in kaart welke activiteiten kritiek zijn, welke impact uitval per tijdseenheid heeft en hoe snel een proces hersteld moet zijn. De uitkomsten van de BIA bepalen vervolgens je continuïteitsstrategie en je investeringen. Een aantal kernbegrippen keert daarbij steeds terug — en die termen komen niet alleen in examens, maar ook in elke serieuze auditgesprek terug.
| Term | Betekenis |
|---|---|
| MTPD (Maximum Tolerable Period of Disruption) | De uiterste periode dat een activiteit stil mag liggen voordat de schade voor de organisatie onaanvaardbaar of onherstelbaar wordt. |
| RTO (Recovery Time Objective) | De doelstelling voor de hersteltijd van een proces of systeem na een verstoring. De RTO moet altijd ruim binnen de MTPD vallen. |
| RPO (Recovery Point Objective) | De maximaal aanvaardbare hoeveelheid dataverlies, uitgedrukt in tijd — bijvoorbeeld de periode tussen twee back-ups. |
| MBCO (Minimum Business Continuity Objective) | Het minimale dienstverleningsniveau dat tijdens een verstoring nog acceptabel is om de organisatie draaiende te houden. |
Het onderscheid tussen RTO en RPO is in de praktijk cruciaal. De RTO gaat over tijd tot herstel: hoe lang mag het duren voordat een systeem weer beschikbaar is? De RPO gaat over dataverlies: hoeveel werk mag verloren gaan? Een webshop die elke vijf minuten een back-up maakt heeft een RPO van vijf minuten, maar kan een veel langere RTO accepteren als de website weer binnen enkele uren online moet zijn. Een algemeen aanvaarde vuistregel is dat de RTO met een ruime marge binnen de MTPD blijft, zodat er nog speelruimte is als het herstel tegenvalt.
Naast de BIA vraagt clausule 8 om een risicobeoordeling (conform de principes van ISO 31000), het bepalen en selecteren van continuïteitsstrategieën, het opstellen van continuïteits- en incidentresponsplannen en — cruciaal — het regelmatig oefenen en testen daarvan. Een plan dat nooit beproefd is, telt voor een auditor nauwelijks; juist de oefenverslagen vormen het bewijs dat het systeem in de praktijk werkt.
Op zoek naar een baan in IT-security en compliance?
Professionals die normen als ISO 22301 kunnen implementeren, auditen en borgen zijn schaars en zeer gewild. Bekijk de nieuwste vacatures voor security-, resilience- en compliancespecialisten in Nederland.
Bekijk Security VacaturesHet certificeringstraject: Stage 1 en Stage 2
Een organisatie kan zich tegen ISO 22301 laten certificeren door een onafhankelijke, geaccrediteerde certificerende instelling (zoals BSI, DNV, TÜV of LRQA). Net als bij andere ISO-managementsysteemnormen verloopt die certificering via een audit in twee fasen:
- Stage 1 – documentatieaudit: de auditor beoordeelt of het BCMS op papier compleet en passend is. Hij bekijkt onder meer het continuïteitsbeleid, de scope, de BIA, de risicobeoordeling, de continuïteitsplannen en de uitkomsten van de interne audit en de directiebeoordeling. Doel is vast te stellen of de organisatie klaar is voor de implementatieaudit.
- Stage 2 – implementatieaudit: de auditor toetst of wat is opgeschreven ook echt gebeurt. Via interviews, observaties, dossieronderzoek en oefenverslagen stelt hij vast of het systeem in de praktijk effectief is. De duur van deze audit hangt af van de omvang en complexiteit van de organisatie en wordt berekend volgens de IAF-richtlijnen.
Voorafgaand aan certificering moet een organisatie minimaal één volledige cyclus hebben doorlopen: beleid opstellen, BIA en risicobeoordeling uitvoeren, plannen maken, oefenen, een interne audit houden en een directiebeoordeling afronden. Worden er bij Stage 2 afwijkingen (non-conformities) gevonden, dan moeten die met corrigerende maatregelen worden opgelost voordat het certificaat wordt verleend.
Een ISO 22301-certificaat is vervolgens drie jaar geldig. In dat ritme vinden jaarlijkse surveillance-audits plaats om te controleren of het systeem onderhouden blijft, en na drie jaar volgt een volledige hercertificeringsaudit. Certificering is dus geen eenmalig project maar een doorlopende verplichting — precies waar de continue-verbetergedachte van de norm op aanstuurt.
ISO 22301 Lead Implementer en Lead Auditor
Waar organisaties zich láten certificeren, certificeren individuele professionals zíchzelf via persoonscertificeringen. De twee bekendste trajecten — aangeboden door onder meer PECB, BSI en vergelijkbare opleiders — zijn:
- ISO 22301 Lead Implementer: gericht op professionals die een BCMS opzetten en beheren. Je leert hoe je het managementsysteem inricht, de BIA en risicobeoordeling uitvoert en de continuïteitsstrategie vertaalt naar werkbare plannen. Dit is het pad voor business continuity managers, security officers en consultants.
- ISO 22301 Lead Auditor: gericht op professionals die BCMS'en beoordelen. Je leert audits plannen en uitvoeren volgens de principes van ISO 19011 (richtlijnen voor auditen) en ISO/IEC 17021-1 (eisen aan certificerende instellingen). Dit is het pad voor (interne en externe) auditors.
Beide trainingen sluiten af met een examen en leiden, na het aantonen van relevante werkervaring, tot een persoonscertificaat. De systematiek is identiek aan die van de ISO 27001 Lead Implementer en Lead Auditor, wat het voor security- en auditprofessionals aantrekkelijk maakt om beide normen te combineren. Een handig naslagdocument bij de implementatie is ISO 22313, de officiële guidance-norm die de eisen van ISO 22301 nader toelicht.
ISO 22301 en aanpalende kaders en wetgeving
Business continuity staat allang niet meer op zichzelf. Een reeks recente Europese wetten verheft operationele weerbaarheid tot een harde verplichting, en ISO 22301 is het meest voor de hand liggende kader om die eisen mee in te vullen. De belangrijkste verbanden:
- DORA: de Digital Operational Resilience Act is sinds januari 2025 van toepassing en verplicht financiële instellingen tot robuuste ICT-continuïteit, herstelplannen en het testen daarvan. ISO 22301 sluit daar nauw op aan.
- NIS2 en de Cyberbeveiligingswet: de NIS2-richtlijn eist van essentiële en belangrijke entiteiten onder meer maatregelen voor bedrijfscontinuïteit en crisismanagement. Een BCMS conform ISO 22301 helpt die zorgplicht aantoonbaar in te vullen.
- ISO 27001: waar ISO 27001 draait om informatiebeveiliging (vertrouwelijkheid, integriteit en beschikbaarheid), vult ISO 22301 vooral het beschikbaarheidsdeel verder in. De normen overlappen en worden vaak geïntegreerd.
- BIO en de overheid: ook in de Baseline Informatiebeveiliging Overheid is continuïteit een vast onderdeel, waardoor overheidsorganisaties profiteren van een gestructureerde BCM-aanpak.
- Assurance-rapportages: serviceorganisaties combineren business continuity vaak met een SOC 2-rapportage of een ISAE 3402-verklaring om klanten breder zekerheid te geven over hun beheersmaatregelen.
Wat ISO 22301 betekent voor jouw carrière
Door DORA, NIS2 en de toenemende dreiging van ransomware en leveranciersuitval is de vraag naar business continuity- en resilience-expertise structureel gegroeid. Organisaties zoeken professionals die continuïteit niet als losse noodplannen behandelen, maar als een geïntegreerd onderdeel van risk management en informatiebeveiliging. Kennis van ISO 22301 raakt onder meer de volgende functies:
- Business Continuity Manager / Resilience Officer: verantwoordelijk voor het opzetten en onderhouden van het BCMS, de BIA en de oefencyclus;
- IT security officer en CISO-office: verbinden continuïteit met informatiebeveiliging en disaster recovery;
- IT-compliance auditor en IT security auditor: beoordelen het BCMS en de naleving van DORA- en NIS2-verplichtingen;
- GRC-manager en risk-specialist: plaatsen business continuity binnen het bredere governance-, risk- en compliancekader.
Wil je je in deze richting ontwikkelen, dan vormt een combinatie van risicomanagement, auditvaardigheden en kennis van de relevante normen het sterkste profiel. Certificeringen als CRISC en CISA sluiten goed aan op een ISO 22301 Lead Implementer- of Lead Auditor-certificaat. De onderliggende trend is duidelijk: weerbaarheid is van een papieren verplichting een bestuurlijk prioriteit geworden, en daarmee blijft de vraag naar specialisten die continuïteit aantoonbaar kunnen borgen onverminderd hoog. Bekijk de actuele security- en compliancevacatures om te zien welke werkgevers op zoek zijn, of verken het bredere aanbod aan IT-compliancevacatures in Nederland.