ISO 22301 voor IT-bedrijven en SaaS
Voor IT-bedrijven en SaaS-aanbieders is bedrijfscontinuïteit geen theoretisch onderwerp. Klanten verwachten uptime, contracten bevatten SLA’s met boeteclausules, en uitval is direct zichtbaar. ISO 22301 biedt hiervoor een internationale standaard voor business continuity management. Verdieping staat in ISO 22313 , certificering verloopt via instellingen onder toezicht van de RvA .
De relatie met ISO 27001 is voor IT-bedrijven bijzonder relevant: informatiebeveiliging en bedrijfscontinuïteit overlappen sterk, maar zijn niet hetzelfde. Meer over dat onderscheid lees je op de pagina ISO 22301 vs. ISO 27001.
ISO 22301 gaat over beschikbaarheid van je bedrijfsprocessen, niet alleen van je systemen. Dat is precies wat enterprise-klanten willen aantonen: dat jij als leverancier ook bij ernstige verstoringen blijft leveren.
Waarom IT-bedrijven ISO 22301 overwegen
IT-bedrijven en SaaS-aanbieders landen bij ISO 22301 via drie routes:
- Enterprise-klanten vragen in aanbestedingen om bewijs van continuïteitsmanagement, soms naast of in aanvulling op ISO 27001.
- SLA-risico’s worden groter bij groei: hoe meer enterprise-omzet, hoe hoger de boetes bij uitval.
- Regelgeving zoals NIS2 eist aantoonbaar continuïteitsmanagement voor aanbieders in kritieke sectoren. Meer hierover lees je op ISO 22301 en NIS2.
Disaster recovery vs. business continuity management
Dit onderscheid zorgt in de IT-sector voor veel verwarring. Disaster recovery (DR) is een onderdeel van business continuity management, niet hetzelfde.
| Aspect | Disaster recovery (DR) | Business continuity management (BCM) |
|---|---|---|
| Focus | Herstel van IT-systemen en data | Continuïteit van alle kritieke bedrijfsprocessen |
| Scope | Technische infrastructuur | Mensen, processen, systemen, leveranciers |
| Eigenaar | IT-afdeling | Management + alle proceseigenaren |
| Bewijs | Failover-test, back-up restore | BIA, crisisplan, oefeningen, governance |
| Klant vraagt om… | RTO/RPO-specs, testresultaten | ISO 22301-certificaat of BCMS-beschrijving |
Een SaaS-bedrijf dat uitstekende DR heeft (automatische failover, multi-region), maar geen BCM, loopt toch risk als de klantenserviceafdeling bij een kantooruitval niet kan schakelen, of als de on-call engineer de enige is die kritieke herstelstappen kent.
DR zonder BCM beschermt je technisch. BCM zonder DR is papier zonder uitvoering. Je hebt allebei nodig.
Uptime-eisen en SLA’s: wat ISO 22301 toevoegt
SaaS-klanten stellen hoge eisen aan beschikbaarheid: 99,9% of hoger is standaard in enterprise-contracten. Dat vertaalt zich naar maximaal 8,76 uur uitval per jaar. ISO 22301 helpt je die eisen te onderbouwen en te borgen.
| SLA-niveau | Max uitval per jaar | RTO-eis (indicatief) |
|---|---|---|
| 99,0% | 87,6 uur | 4-8 uur |
| 99,5% | 43,8 uur | 2-4 uur |
| 99,9% | 8,76 uur | minder dan 1 uur |
| 99,95% | 4,38 uur | 15-30 minuten |
De RTO in je business impact analyse moet aantoonbaar kloppen met je SLA-commitments. Als je 99,9% belooft maar je RTO staat op 4 uur, heb je een gat dat een auditor of klant zal opmerken.
ISO 22301 en ISO 27001 voor IT-bedrijven
Veel IT-bedrijven starten met ISO 27001 en voegen later ISO 22301 toe. Dat is een logische volgorde: informatiebeveiliging is de meest urgente klanteis, daarna komt continuïteitsmanagement.
Al ISO 27001
Je hebt al ISO 27001:
- Je hebt een werkende ISMS-structuur. Gebruik die als basis voor je BCMS.
- Annex A van ISO 27001 bevat al continuïteitscontrols (A.17). Bouw daarop voort.
- Gecombineerde governance en interne audit bespaart tijd en kosten.
- Extra inspanning zit in de BIA, oefeningen en crisisorganisatie.
Praktische BCM-aanpak voor een IT-bedrijf
Een SaaS-bedrijf van 50 medewerkers kan ISO 22301 concreet aanpakken met deze focus:
- Scope: definieer je critische services (welke klantplatforms, welke interne systemen).
- BIA: breng per service in kaart wat de impact is van uitval na 1 uur, 4 uur, 1 dag.
- RTO/RPO: stel hersteldoelen vast die passen bij je SLA’s, niet andersom.
- DR-koppeling: verifieer dat je technische DR-capaciteit de BCM-doelen ook werkelijk haalt.
- Crisisorganisatie: wijs eigenaren aan per service, inclusief vervangers (geen single point of failure in je team).
- Oefenen: doe minimaal één tabletop per jaar en één DR-test per kwartaal.