ISO 22301 · norma continuidad de negocio para empresas
Por Ángel Ortega Castro3 min de lectura · 516 palabras
ISO 22301:2019 es el estándar internacional para implantar un Sistema de Gestión de Continuidad de Negocio. Permite a las empresas recuperar operaciones críticas tras incidentes (cibernéticos, físicos, naturales) en plazos definidos.
¿Qué incluye un Sistema de Gestión de Continuidad de Negocio ISO 22301?
Cinco componentes obligatorios. (1) Análisis de impacto en el negocio (BIA) que identifica procesos críticos, RTO (Recovery Time Objective) y RPO (Recovery Point Objective). (2) Evaluación de riesgos de continuidad. (3) Estrategia de continuidad: qué se recupera primero, con qué recursos. (4) Procedimientos operativos: plan de respuesta a incidente, plan de continuidad operativa, plan de recuperación tras desastre (DRP). (5) Ejercicios y pruebas regulares (al menos anuales) + revisión por dirección.
¿Cuánto cuesta certificarse ISO 22301?
Para pyme 20-100 empleados con procesos no extremadamente complejos: 8.000-18.000 € consultoría externa + 2.500-5.500 € auditoría externa AENOR/BV/SGS/LRQA + 2.500-4.500 €/año mantenimiento. Plazo implantación 4-7 meses. Si ya hay ISO 27001 o ISO 9001 implantada, el coste baja un 30-40 % por reaprovechamiento de estructura HLS.
¿Cómo se conecta ISO 22301 con NIS2 y DORA?
ISO 22301 cubre directamente: el área 'continuidad de negocio' de NIS2 (artículo 21.2.c) y los pilares 'gestión del riesgo de terceros' y 'resiliencia operativa' de DORA. Una entidad con ISO 22301 vigente cumple casi automáticamente esos bloques. Para NIS2 falta añadir gestión de cadena de suministro TIC; para DORA falta pruebas de resiliencia específicas (red team, pentest avanzado).
Fuentes oficiales
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs.