Werkwijze RvA voor transitie van ISO 22301:2012 naar ISO 22301:2019

09-06-2020

In november 2019 is ISO 22301:2019 “Security and resilience – Business continuity management systems – Requirements gepubliceerd als opvolger van ISO 22301:2012. De RvA heeft een werkwijze voor de overgang naar deze norm geformuleerd.

Overgangsregeling
Het Internationaal Accreditatie Forum (IAF) heeft in haar vergadering in oktober 2019 het volgende besloten met betrekking tot de overgang van de 22301:2012 versie naar de 22301:2019 versie:

  • CI’s (Certificerende Instellingen) dienen vóór 31 mei 2021 accreditatie voor certificatie tegen ISO 22301:2019 hebben verkregen;
  • vanaf 31 mei 2021 mogen CI’s geen initiële en hercertificeringsaudits meer uitvoeren tegen  ISO 22301:2012;
  • vanaf 1 december 2022 mogen CI’s geen ISO 22301:2012 geaccrediteerde certificaten meer hebben uitstaan.

Voor de volledige tekst van de overgangsregeling verwijzen wij u naar IAF Resolution 2019-17.

Werkwijze voor de overgang naar ISO 22301:2019
De RvA hanteert voor de overgang naar deze norm de volgende werkwijze:

De certificatie instellingen (CI’s) die geaccrediteerd zijn voor ISO 22301 zullen aan de RvA moeten aantonen dat ze de nieuwe norm op een correcte wijze hebben geïmplementeerd. Dit houdt in dat de CI minimaal de volgende maatregelen moet kunnen aantonen: 

  • De CI heeft een plan van aanpak opgesteld op basis van een analyse van de verschillen tussen de beide versies;
  • De klanten zijn geïnformeerd over de wijzigingen en over de wijze van transitie naar een certificaat voor ISO 22301:2019;
  • Auditoren en beslissers zijn getraind voor de nieuwe norm;
  • De benodigde wijzigingen zijn in het management systeem geborgd.

De RvA zal bij de reguliere beoordelingen, op basis van bovenstaande maatregelen, toetsen of de CI de nieuwe norm op een adequate wijze heeft geïntroduceerd.  Op verzoek van de CI kan toetsing ook plaatsvinden tijdens een extra, tussentijdse, beoordeling.  Hiertoe kan contact worden opgenomen met de contactpersoon binnen de RvA.
De afwezigheid van bovenstaande maatregelen kan daarbij aanleiding zijn tot een afwijking tegen de accreditatievereisten.

Competentie beoordeling van CI achteraf
Bovenstaande houdt in dat de RvA de competentie van de CI voor ISO 22301:2019 niet vooraf zal beoordelen. De verantwoordelijkheid voor een adequate introductie van de certificatie volgens ISO 22301:2019 ligt bij de CI’s. Mocht bij een beoordeling door de RvA blijken dat certificaten tegen de nieuwe norm zijn uitgegeven zonder dat aantoonbaar is dat de CI competent was, dan kan dit leiden tot categorie A afwijkingen waarvoor intrekking van de uitgegeven certificaten onderdeel zal zijn van de door de CI te nemen maatregelen.