BIA, RTO/RPO i pla de continuïtat en 3 segons.
ISO 22301 és la norma internacional de continuïtat de negoci. IgeraIndustria fa consultable cada requisit: anàlisi d’impacte (BIA), definició de RTO i RPO per procés crític, plans de continuïtat (BCP), exercicis de simulacre i auditoríes. El responsable de continuïtat troba la resposta en segons.
El 80% de les empreses tenen un BCP que mai han provat
La continuïtat de negoci és la disciplina que més es posposà fins que ocorre l’incident. Quan falla l’ERP, s’inunda el magatzem o un ciberatac paralitza els servidors, les empreses sense BCP testejat perden setmanes de recuperació que podrien haver-se reduït a hores. ISO 22301 proporciona el marc per evitar-ho.
60%
de les pimes que pateixen un incident greu tanquen en els següents 6 mesos per no tenir pla de continuïtat.
74.000€
cost mitjà d'inactivitat per hora en empreses mitjanes. Sense RTO definit, l'impacte és imprevisible.
80%
d'empreses tenen un BCP escrit però mai testejat. Un BCP no provat és paper mullat en el moment de l'incident.
45 min
temps mitjà per trobar el BCP actualitzat en una crisi. IgeraIndustria el localitza i el fa consultable en segons.
El responsable de continuïtat dedica hores a buscar què requereix exactament la clàusula 8.2.2 per al BIA, com definir els RTO dels processos crítics o quina diferència hi ha entre un exercici de taula (tabletop) i un simulacre complet. IgeraIndustria respon aquestes preguntes en segons, amb cita exacta del requisit ISO 22301, perquè l’equip de continuïtat es centri en implementar plans que funcionin de veritat.
Consulta ISO 22301 instantània per requisit
IgeraIndustria localitza el requisit exacte que aplica a cada pregunta i respon amb la metodologia, la documentació obligatòria i els errors més freqüents que detecten els auditors de certificació ISO 22301.
Anàlisi d'Impacte en Negoci (BIA)
Metodologia completa de BIA segons clàusula 8.2.2: identificació d'activitats crítiques, criteris d'impacte (financer, reputacional, regulatori, operacional), determinació de MTPD, RTO i RPO per procés. Què aprova la direcció i amb quina periodicitat es revisa.
Definició de RTO i RPO per procés crític
Com determinar el RTO i RPO de cada procés o sistema: diferència entre el que IT pot fer i el que el negoci necessita. Relació entre RTO, MTPD (Màxim Període d'Interrupció Tolerable) i les estratègies de recuperació seleccionades (clàusula 8.3).
Plans de Continuïtat de Negoci (BCP)
Estructura mínima del BCP segons ISO 22301 clàusula 8.4.4: propòsit i abast, condicions d'activació, rols i responsabilitats de recuperació, procediments de comunicació, passos de recuperació per escenari i criteris de tornada a la normalitat.
Exercicis i simulacres (clàusula 8.5)
Tipus d'exercicis: tabletop exercise, prova tècnica de failover, simulacre complet. Què documenta cadascun, com planificar-los, quin rol juga la direcció i com gestionar les desviacions detectades per tancar el cicle de millora contínua.
Avaluació de riscos de continuïtat
ISO 22301 clàusula 8.2.3: identificació d'amenaçes (ciberatacs, fallades IT, desastres naturals, pèrdua de proveïdors clau, pandèmies) i avaluació de la seva probabilitat i impacte. Relació entre l'anàlisi de riscos i les estratègies de continuïtat seleccionades.
Revisió per la direcció i millora contínua
Entrades obligatòries a la revisió per la direcció (clàusula 9.3): resultats d'exercicis, incidents reals activats, canvis en el context de l'organització, acompliment del SGCN. Sortides: decisions sobre recursos i millores. Quina acta verifica l'auditor.
Suport complet a auditories ISO 22301
Tant per a auditories internes com per a visites d’organismes de certificació, IgeraIndustria proporciona el suport que l’equip de continuïtat necessita en cada fase del cicle d’auditoria.
Anàlisi de bretxes vs ISO 22301:2019
Compara l'estat actual del SGCN amb els requisits de cada clàusula. Identifica quins requisits estan implementats, quins parcialment i quins absents. Especialment útil per a empreses que migren des d'ISO 22301:2012 o que implementen el SGCN per primera vegada.
Checklist de documentació obligatòria per clàusula
Per a cada clàusula d'ISO 22301:2019, IgeraIndustria indica quina informació documentada és obligatòria: política de continuïtat (5.3), BIA (8.2.2), estratègies (8.3), plans BCP (8.4.4), resultats d'exercicis (8.5) i registres d'auditoria interna (9.2).
Simulacre d'auditoria amb preguntes reals
IgeraIndustria formula les preguntes que habitualment fan els auditors de certificació ISO 22301: «Com van determinar el MTPD del procés de facturació?», «Quan es va activar el BCP per última vegada?», «Quines desviacions es van detectar en l'últim simulacre?»
Tancament de no conformitats d'auditoria
Suport al procés de resposta a NC: anàlisi de causa arrel, definició d'acció correctiva, termini i responsable. Les NC més freqüents en ISO 22301 són BCP sense activar mai, RTO no verificats amb proves tècniques i BIA no revisat en més de 12 mesos.
Verificació de RTO/RPO amb evidències
Com demostrar que els RTO són assolibles? IgeraIndustria explica quines evidències validen els auditors: resultats de proves de failover, registres de recuperació de còpies de seguretat, temps d'activació del pla d'emergència i comparació amb el RTO definit al BIA.
Comunicació i gestió de crisi (clàusula 8.4.3)
Requisits de comunicació durant una interrupció: protocol d'alerta i activació del BCP, comunicació interna a empleats, comunicació externa a clients i proveïdors, notificació a reguladors si s'escau. Com documentar l'arbre de trucades i els portaveus autoritzats.
Les 4 clàusules clau d’ISO 22301:2019
Aquestes clàusules concentren la major part de les no conformitats en auditories de certificació ISO 22301. IgeraIndustria les explica amb els requisits exactes, exemples pràctics i els errors més habituals en la seva implementació.
8.2.2 — BIA (Anàlisi d'Impacte en Negoci)
La clàusula més crítica d'ISO 22301. El BIA ha d'identificar les activitats crítiques de l'organització, avaluar l'impacte de la seva interrupció en funció del temps (financer, reputacional, legal, operacional) i determinar el MTPD, RTO i RPO de cadascuna. El BIA ha de ser aprovat per l'alta direcció i revisat com a mínim quan canviïn els processos crítics o el context de negoci. Un BIA sense signatura de la direcció o amb dades de fa més de 2 anys és NC automàtica en auditoria.
8.3 — Estratègies i solucions de continuïtat
Sobre la base del BIA, l'organització ha de definir i implementar estratègies per garantir que els processos crítics es poden recuperar dins del RTO definit. Les estratègies típiques inclouen: llocs alternatius, acords amb proveïdors de suport, teletreball estructurat, acords de nivell de servei amb IT per a recuperació, i contractes de subministrament alternatiu. Els auditors verifiquen que les estratègies són proporcionals a l'impacte identificat al BIA i que existeixen contractes o acords formalitzats que les suporten.
8.4 — Plans de Continuïtat de Negoci (BCP)
ISO 22301 clàusula 8.4 exigeix que els BCP incloguin: propòsit i abast, condicions d'activació, procediments de resposta a la interrupció, rols i responsabilitats nomenats, recursos necessaris, comunicacions durant la crisi i criteris de tornada a l'operació normal. Un error freqüent és tenir un únic BCP genèric en lloc de plans específics per escenari (fallada IT, incendi, pèrdua de personal clau, fallada de proveïdor crític). Els auditors també verifiquen que els BCP són accessibles sense dependre dels sistemes que podrien estar caient durant l'incident.
8.5 — Exercicis i proves del BCP
Sense proves, el BCP és teòric. La clàusula 8.5 exigeix un programa d'exercicis amb objectius definits, diferents tipus de proves (des de tabletop exercises fins a simulacres complets amb activació real) i documentació dels resultats. Les troballes de cada exercici han d'alimentar un pla de millora amb responsable i termini. Les asseguradores que cobreixen pèrdua de benefici per interrupció de negoci accepten millor els sinistres quan existeix evidència d'un programa de proves del BCP. és la clàusula on més diferència hi ha entre empreses amb SGCN madur i empreses amb ISO 22301 de paper.
Com funciona IgeraIndustria per a ISO 22301
Cinc passos des de la càrrega del sistema de continuïtat fins a la resposta amb requisit exacte, documentació obligatòria i recomanacions d’implementació.
Indexes el teu sistema de gestió de continuïtat de negoci
Puges el teu BIA, els plans BCP per escenari, els resultats d'exercicis i simulacres previs, el registre d'incidents activats i les estratègies de continuïtat aprovades. IgeraIndustria els processa juntament amb la norma ISO 22301:2019 completa en menys de 24 hores.
Connectes l'assistent a l'equip de continuïtat
Embed al portal de gestió de continuïtat, Teams, Slack o com a bot de WhatsApp per al responsable del SGCN. Una línia de codi. Accessible des del mòbil per a consultes durant incidents reals.
El responsable de continuïtat pregunta en llenguatge natural
«Què ha d'incloure el BIA segons ISO 22301?», «Com defineixo el RTO del procés de facturació?», «Quina diferència hi ha entre MTPD i RTO?», «Amb quina freqüència cal provar el BCP?»
IgeraIndustria cerca en 2 capes de coneixement
Primer a la teva documentació interna (BIA, BCPs, resultats d'exercicis, estratègies de continuïtat), despres a la norma ISO 22301:2019 indexada amb tots els seus requisits, definicions i notes d'aplicació.
Resposta amb clàusula, requisits i documentació obligatòria
La resposta cita la clàusula ISO 22301 aplicable, indica quina documentació és obligatòria i com ha de ser aprovada, i adverteix dels errors més freqüents que detecten els auditors de certificació en aquella àrea.
IgeraIndustria en acció — clàusula 8.2.2 ISO 22301
Consulta sobre RTO de sistemes crítics resolta en menys de 3 segons amb la referència exacta a ISO 22301 clàusula 8.2.2.
Responsable de Continuïtat
Com defineixo el RTO dels nostres sistemes crítics segôns ISO 22301? Quina diferència hi ha amb el MTPD?
IgeraIndustria
ISO 22301:2019 — Clàusula 8.2.2 BIA: RTO i MTPD
MTPD (Màxim Període d’Interrupció Tolerable):
- • Temps màxim que l’organització pot suportar sense el procés abans de conseqüències inacceptables
- • Ho determina el negoci (Direcció, Finances, Comercial) — no IT
- • Exemple: procés de comandes → MTPD = 24h (després hi ha pèrdua de clients)
RTO (Recovery Time Objective):
- • Temps màxim per recuperar el procés/sistema — HA de ser menor que el MTPD
- • El fixa el negoci; IT valida si és assolible amb les estratègies actuals
- • Si RTO IT > MTPD negoci → cal invertir en estratègies de recuperació més ràpides
⚠️ El BIA (cl.8.2.2) ha de documentar MTPD i RTO de cada procés crític, aprovat per l’alta direcció
✓ ISO 22301:2019 Clàusula 8.2.2 · Confiança: 99,5%
400
empleats empresa logística
-70%
temps de recuperació en incidents
✓ OK
BCP testejat i aprovat per asseguradora
Vàrem patir un ciberatac de ransomware fa dos anys i vàrem trigar 3 setmanes a recuperar operacions. Des que implementem ISO 22301 amb ajuda d’IgeraIndustria per resoldre els dubtes sobre el BIA i els RTO, el nostre BCP defineix exactament què fer en cada escenari. L’últim simulacre el vàrem superar en 4 hores. L’asseguradora ho va validar i va reduir la prima un 18%.
*Testimoni representatiu basat en resultats de clients reals
Preguntes freqüents — ISO 22301:2019
Què és ISO 22301 i per a què serveix?
ISO 22301:2019 és la norma internacional per a Sistemes de Gestió de Continuïtat de Negoci (SGCN). Estableix els requisits per planificar, implementar, mantenir i millorar la capacitat d'una organització per continuar operant durant interrupcions crítiques. A diferència d'ISO 9001 (qualitat) o ISO 14001 (medi ambient), ISO 22301 es centra en la resiliència operacional: què fa l'empresa quan fallen els seus sistemes crítics, quan un proveïdor deixa de subministrar o quan una catàstrofe impedeix l'accés a les instal·lacions. La norma exigeix una Anàlisi d'Impacte en Negoci (BIA), definir RTO/RPO per procés crític, elaborar Plans de Continuïtat de Negoci (BCP) i provar-los amb exercicis i simulacres periòdics.
Quina diferència hi ha entre RTO i RPO?
RTO (Recovery Time Objective) i RPO (Recovery Point Objective) són els dos paràmetres fonamentals de continuïtat de negoci. El RTO defineix el temps màxim acceptable per recuperar un procés o sistema després d'una interrupció: si el RTO del sistema ERP és de 4 hores, l'organització ha de ser capaç de tenir-lo operatiu en menys de 4 hores. El RPO defineix la quantitat màxima acceptable de dades que es poden perdre, expressada en temps: si el RPO de la base de dades de comandes és d'1 hora, les còpies de seguretat s'han de realitzar com a mínim cada hora. ISO 22301 (clàusula 8.2.2) exigeix que el BIA determini el RTO i RPO de cada procés crític, i que les estratègies de continuïtat els satisfacin.
Què és un BIA (Anàlisi d'Impacte en Negoci)?
El Business Impact Analysis (BIA) és el procés central d'ISO 22301. Identifica i prioritza els processos i activitats crítiques de l'organització, avalua l'impacte de la seva interrupció en el temps (financer, reputacional, regulatori, operacional) i determina els RTO i RPO mínims per a cadascun. El BIA respon: quins processos són més crítics? quant temps pot l'empresa sobreviure sense ells? quins recursos (persones, tecnologia, proveïdors) són imprescindibles? La clàusula 8.2.2 d'ISO 22301 descriu els requisits del BIA. Sense un BIA actualitzat i aprovat per la direcció, és impossible definir estratègies de continuïtat proporcionals ni superar una auditoria de certificació.
Amb quina freqüència cal provar el Pla de Continuïtat de Negoci (BCP)?
ISO 22301 (clàusula 8.5) exigeix que l'organització programi i realitzi exercicis i proves del BCP a intervals planificats per verificar que els plans funcionen a la pràctica. La norma no prescriu una freqüència mínima exacta, però els organismes de certificació esperen almenys un exercici complet (simulacre) l'any, a més de proves parcials (tabletop exercises, proves tècniques de failover, proves de comunicacions) amb major freqüència. Els resultats dels exercicis han de documentar-se, i les desviacions detectades han de generar accions de millora. Una de les NC més freqüents en auditories ISO 22301 és tenir un BCP escrit però mai provat, o amb una darrera prova realitzada fa més de 24 mesos.
ISO 22301 és obligatòria o voluntària?
ISO 22301 és una norma voluntària a nivell global: cap llei obliga a certificar-s'hi. No obstant això, certs sectors l'exigeixen contractualment: entitats financeres (regulació DORA a Europa des del 2025 imposa requisits de resiliència operacional equivalents), infraestructures crítiques, operadors de telecomunicacions i grans grups industrials inclouen sovint ISO 22301 com a requisit en els seus contractes amb proveïdors crítics. A més, algunes asseguradores redueixen primes de pòlisses d'interrupció de negoci quan l'empresa pot demostrar un SGCN certificat o almenys un BCP testejat. Per a pimes, la certificació formal no sempre és necessària: implementar els requisits de la norma (BIA, BCP, simulacres) sense certificar-se formalment ja aporta valor significatiu.
Quant temps porta implementar ISO 22301 des de zero?
Una implementació completa d'ISO 22301 des de zero fins a certificació requereix habitualment entre 6 i 18 mesos, depenent de la mida de l'organització, la complexitat dels seus processos i els recursos dedicats. Les fases principals són: anàlisi de context i bretxa (1-2 mesos), BIA i avaluació de riscos (2-3 mesos), disseny d'estratègies i redacció del BCP (2-4 mesos), formació i conscienciació (1 mes), realització d'exercici/simulacre (1 mes) i auditoria de certificació (1-2 mesos). IgeraIndustria accelera aquest procés responent consultes sobre què requereix cada clàusula, quina documentació és obligatòria i quins errors evitar en cada fase, reduint el temps dedicat a recerca documental fins a un 70%.
Plans IgeraIndustria ISO 22301
Sense permanència. Cancel·la quan vulguis.
Starter
Per a pimes que volen implementar un SGCN bàsic segons ISO 22301 sense contractar una consultora externa i preparar el seu primer BCP documentat.
- ISO 22301:2019 preindexada
- Consultes sobre BIA i RTO/RPO
- Checklist documentació obligatòria
- 1.000 consultes/mes
- Widget per al responsable de continuïtat
- Suport per correu electrònic
Professional
Per a empreses amb SGCN actiu, auditories periòdiques, programa d'exercicis i necessitat de suport continu a l'equip de continuïtat i crisi.
- ISO 22301 + documentació interna indexada
- BCP i BIA consultables en temps real
- Suport a exercicis i simulacres
- 5.000 consultes/mes
- Alertes de canvis normatius
- Suport prioritari
Enterprise
Per a grups industrials amb ISO 22301 integrada amb ISO 27001 (seguretat) i DORA, múltiples llocs i equips de crisi distribuïts.
- Multi-lloc i multi-norma
- ISO 22301 + ISO 27001 + DORA integrades
- Gestió de crisi assistida en temps real
- Consultes il·limitades
- SLA 99,9% uptime
- Customer success dedicat
BIA, BCP i simulacres sota control. Comença avui.
- Prova gratuïta 14 dies — sense targeta de crèdit
- ISO 22301:2019 completa preindexada des del dia 1
- Puja el teu BIA, BCP i resultats d'exercicis per fer-los consultables en segons
- Suport per definir RTO/RPO i preparar auditories de certificació
