ISO 22301:2019 implanta un Sistema de Gestión de Continuidad de Negocio para recuperar operaciones críticas tras incidentes en plazos definidos.
¿Qué incluye un Sistema de Gestión de Continuidad de Negocio ISO 22301?
Cinco componentes obligatorios. (1) Análisis de impacto en el negocio (BIA) que identifica procesos críticos, RTO (Recovery Time Objective) y RPO (Recovery Point Objective). (2) Evaluación de riesgos de continuidad. (3) Estrategia de continuidad: qué se recupera primero, con qué recursos. (4) Procedimientos operativos: plan de respuesta a incidente, plan de continuidad operativa, plan de recuperación tras desastre (DRP). (5) Ejercicios y pruebas regulares (al menos anuales) + revisión por dirección.
¿Cuánto cuesta certificarse ISO 22301?
Para pyme 20-100 empleados con procesos no extremadamente complejos: 8.000-18.000 € consultoría externa + 2.500-5.500 € auditoría externa AENOR/BV/SGS/LRQA + 2.500-4.500 €/año mantenimiento. Plazo implantación 4-7 meses. Si ya hay ISO 27001 o ISO 9001 implantada, el coste baja un 30-40 % por reaprovechamiento de estructura HLS.
¿Cómo se conecta ISO 22301 con NIS2 y DORA?
ISO 22301 cubre directamente: el área 'continuidad de negocio' de NIS2 (artículo 21.2.c) y los pilares 'gestión del riesgo de terceros' y 'resiliencia operativa' de DORA. Una entidad con ISO 22301 vigente cumple casi automáticamente esos bloques. Para NIS2 falta añadir gestión de cadena de suministro TIC; para DORA falta pruebas de resiliencia específicas (red team, pentest avanzado).
Fases de implantación de ISO 22301: plazos y costes
Implantar un SGCN no es redactar un documento, sino recorrer un ciclo PDCA completo. Esta tabla detalla las seis fases típicas de un proyecto en una pyme de 20-100 empleados, con su duración y su peso económico aproximado sobre un presupuesto de consultoría de 14.000 €.
| Fase | Contenido | Plazo | Peso |
|---|---|---|---|
| 1. Contexto y alcance | Análisis del contexto, partes interesadas, alcance del SGCN y compromiso de la dirección | 2-3 semanas | 10 % |
| 2. BIA y análisis de riesgos | Identificación de procesos críticos, RTO/RPO, MTPD y evaluación de amenazas | 3-5 semanas | 25 % |
| 3. Estrategia de continuidad | Selección de soluciones de recuperación, recursos, ubicaciones alternativas y proveedores | 3-4 semanas | 20 % |
| 4. Planes y procedimientos | Plan de respuesta a incidentes, plan de continuidad operativa y DRP documentados | 4-6 semanas | 20 % |
| 5. Ejercicios y formación | Simulacro, prueba de los planes, formación de equipos y registro de lecciones aprendidas | 2-4 semanas | 15 % |
| 6. Auditoría y certificación | Auditoría interna, revisión por la dirección y auditoría externa de certificación (fases 1 y 2) | 4-8 semanas | 10 % |
Quien afronta la continuidad de negocio por la presión de la directiva europea de ciberseguridad encontrará el encaje completo en la guía de NIS2 para pymes españolas y en el mapa de normativa de ciberseguridad en España.
Caso real: bodega de la Ribera del Duero
Una bodega familiar de la Ribera del Duero, con 45 empleados, 12 M€ de facturación y una marca exportadora a quince países, sufrió en plena vendimia una avería grave en el sistema de control de temperatura de los depósitos de fermentación, agravada por un fallo simultáneo en el ERP de logística. La incidencia duró 31 horas y obligó a decisiones improvisadas sobre lotes en riesgo.
La dirección decidió implantar un SGCN conforme a ISO 22301 no por exigencia normativa, sino para proteger una campaña anual que concentra la mayor parte de la facturación. El proyecto se ejecutó en 6 meses con un coste total de 21.500 €: 13.500 € de consultoría, 4.500 € de auditoría de certificación con una entidad acreditada y 3.500 € de inversión en una solución de monitorización redundante y generador de respaldo.
El BIA fijó un RTO de 4 horas para el control de temperatura de fermentación y de 24 horas para la logística de expedición. En la vendimia siguiente, una caída eléctrica de zona activó el plan de continuidad: el generador entró en menos de 10 minutos y el equipo siguió el procedimiento sin improvisar. La incidencia se resolvió en 3 horas, dentro del RTO, sin pérdida de producto. La bodega cifró el valor del lote en riesgo evitado en torno a 140.000 €, casi siete veces la inversión total del proyecto.
Checklist práctico para implantar ISO 22301
Itinerario de 12 pasos para una pyme que quiere un SGCN certificable y útil, no un manual de estantería.
- Obtener el compromiso de la dirección: asignar presupuesto, recursos y un responsable del SGCN con autoridad real.
- Definir el alcance del sistema: qué sedes, productos, servicios y procesos quedan cubiertos por la continuidad.
- Realizar el análisis de impacto en el negocio (BIA) e identificar los procesos críticos de la organización.
- Fijar RTO, RPO y MTPD para cada proceso crítico, validados y aprobados por la dirección.
- Evaluar los riesgos de continuidad: amenazas físicas, tecnológicas, de personal y de proveedores.
- Seleccionar la estrategia de continuidad: redundancia, ubicaciones alternativas, acuerdos con proveedores y stock de seguridad.
- Redactar los planes: respuesta a incidentes, continuidad operativa y recuperación tras desastre (DRP).
- Establecer la estructura de respuesta: roles, equipo de gestión de crisis y árbol de comunicación interna y externa.
- Formar a los equipos implicados en los planes y comunicar el SGCN a toda la plantilla.
- Ejecutar al menos un ejercicio o simulacro anual y documentar las lecciones aprendidas.
- Realizar la auditoría interna y la revisión por la dirección antes de la auditoría de certificación.
- Mantener el ciclo de mejora continua: actualizar el BIA y los planes ante cada cambio relevante del negocio.
Errores comunes al implantar ISO 22301
- Confundir continuidad de negocio con copias de seguridad. Consecuencia: se protege el dato pero no los procesos, los proveedores ni las personas, y la empresa sigue parándose ante un incidente físico.
- Saltarse el BIA o hacerlo de forma superficial. Consecuencia: los RTO y RPO se fijan a ojo, los planes se dimensionan mal y se invierte donde no toca.
- Documentar planes que nunca se prueban. Consecuencia: el día del incidente real el plan resulta inviable y el equipo improvisa, anulando el valor de la certificación.
- Olvidar la dependencia de proveedores críticos. Consecuencia: la continuidad propia se rompe porque un proveedor sin plan paraliza la cadena de suministro.
- Tratar ISO 22301 como un proyecto cerrado tras la certificación. Consecuencia: el SGCN se desactualiza, deja de reflejar la realidad del negocio y no supera la auditoría de seguimiento.
Preguntas técnicas frecuentes sobre ISO 22301
¿En qué se diferencian RTO, RPO y MTPD? El RTO es el tiempo máximo objetivo para recuperar un proceso; el RPO es la pérdida máxima de datos admisible medida en tiempo; el MTPD es el periodo máximo de interrupción tolerable antes de que el daño sea irreversible. El RTO siempre debe ser menor que el MTPD.
¿Es obligatoria la certificación o basta con implantar el sistema? ISO 22301 es voluntaria. Una pyme puede implantar el SGCN sin certificarlo y obtener buena parte del valor operativo. La certificación por una entidad acreditada aporta credibilidad ante clientes, licitaciones y aseguradoras, y demuestra el cumplimiento de continuidad ante NIS2 o DORA.
¿Cómo se integra ISO 22301 con la ISO 27001? Ambas comparten la estructura de alto nivel (HLS), por lo que el contexto, el liderazgo, la gestión de riesgos y la mejora continua se aprovechan. La ISO 27001 de seguridad de la información protege los activos; ISO 22301 garantiza que los procesos siguen funcionando si esos activos fallan. Juntas forman un Sistema de Gestión Integrado más sólido.
¿Cada cuánto hay que probar los planes de continuidad? ISO 22301 exige ejercicios y pruebas a intervalos planificados; la práctica recomendada es al menos un ejercicio anual por cada plan crítico, combinando pruebas de escritorio y simulacros reales. Cada prueba debe generar un registro de lecciones aprendidas que retroalimente los planes.
¿Sirve ISO 22301 para una pyme sin riesgos tecnológicos evidentes? Sí. La continuidad cubre incidentes físicos (incendio, inundación), de personal (pérdida de personas clave) y de cadena de suministro, no solo informáticos. Cualquier organización con procesos cuya parada genere pérdidas relevantes obtiene retorno de un SGCN.
Fuentes oficiales
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs.