ISO 22301 - ISO Certifiering av kontinuitetshantering och verksamhetskontinuitet

ISO 22301 är den internationella standarden för kontinuitetshantering (Business Continuity Management System, BCMS). Standarden hjälper organisationer att säkerställa att kritiska funktioner och tjänster kan fortsätta levereras vid allvarliga störningar såsom cyberincidenter, IT-avbrott, leveransstörningar eller andra krissituationer.

En ISO 22301-certifiering är en oberoende bekräftelse på att verksamheten har en strukturerad och dokumenterad förmåga att hantera avbrott, skydda sin leveransförmåga och återhämta sig på ett kontrollerat sätt.
Som ackrediterat certifieringsorgan erbjuder vi certifiering enligt ISO 22301 och oberoende granskning av ert ledningssystem för kontinuitet.

Vad är ISO 22301?

ISO 22301:2019 är en internationell standard för ledningssystem för kontinuitetshantering. Syftet är att säkerställa att organisationen kan upprätthålla verksamhetskontinuitet och definierad leveransförmåga även när störningar inträffar.

Standarden bygger på en strukturerad process som omfattar:

Riskbedömning – identifiering och analys av hot som kan påverka verksamheten.
Business Impact Analysis (BIA) – analys av vilka processer som är mest kritiska och vilka konsekvenser ett avbrott medför.
Kontinuitetsplaner – dokumenterade åtgärder och prioriteringar för återställning.
Krisledning – tydlig ansvarsfördelning och beslutsstruktur vid en incident.

ISO 22301 omfattar hela organisationen – personal, leverantörer, teknik, lokaler och informationsflöden – och inte enbart IT-system. Målet är att säkerställa att verksamheten kan fortsätta leverera även under pressade förhållanden.

Vad innebär en ISO 22301-certifiering?

En ISO 22301-certifiering innebär att ett ackrediterat certifieringsorgan verifierar att organisationens arbete med kontinuitetshantering uppfyller standardens krav.

Det innebär bland annat att:

Riskbedömningar och Business Impact Analysis är genomförda och dokumenterade.
Det finns uppdaterade kontinuitetsplaner och rutiner för krisledning.
Planerna testas genom regelbundna övningar.
Ledningen följer upp och förbättrar arbetet kontinuerligt.

Certifieringen visar att kontinuitetsarbetet är systematiskt, ledningsförankrat och revisionsbart – inte ad hoc eller personberoende.

Vad är skillnaden mellan ISO 22301 och ISO 27001?

ISO 22301 och ISO 27001 har samma grundstruktur för ledningssystem och kan enkelt integreras, men de har olika fokus.

ISO 27001 handlar om informationssäkerhet och skyddar informationens konfidentialitet, riktighet och tillgänglighet.

ISO 22301 handlar om verksamhetskontinuitet och leveransförmåga. Den säkerställer att organisationen kan fortsätta leverera produkter och tjänster även när något allvarligt inträffar.

Förenklat:

ISO 27001 skyddar informationen.
ISO 22301 skyddar leveransen.

Tillsammans skapar standarderna en stark grund för både säkerhet och kontinuitet.

Hur hänger ISO 22301 ihop med NIS2, CER och DORA?

ISO 22301 är inte en lag, men ger ett etablerat och praktiskt ramverk för att uppfylla krav på kontinuitet och resiliens i modern EU-lagstiftning.

ISO 22301 och NIS2

NIS2-direktivet har i Sverige genomförts genom Cybersäkerhetslagen (SFS 2025:1506), som trädde i kraft den 15 januari 2026. Lagen ställer krav på riskhantering, säkerhetsåtgärder, incidentrapportering och ledningsansvar.

I lagens krav på säkerhetsåtgärder ingår kontinuitetshantering och krisberedskap. ISO 22301 ger ett strukturerat sätt att uppfylla dessa krav genom dokumenterad riskbedömning, kontinuitetsplaner och regelbunden testning.

ISO 22301 och CER-direktivet

CER-direktivet (Critical Entities Resilience Directive) syftar till att stärka motståndskraften hos samhällsviktiga verksamheter mot fysiska och organisatoriska hot, exempelvis sabotage eller naturkatastrofer.

ISO 22301 ligger nära CER:s kravstruktur genom sitt fokus på systematisk riskanalys, kontinuitetshantering och definierad återhämtningsförmåga. Medlemsstaterna ska ha identifierat berörda verksamheter senast den 17 juli 2026.

ISO 22301 och DORA

DORA-förordningen ställer krav på digital operativ resiliens inom finanssektorn. Kraven omfattar bland annat kontinuitetsplaner, stresstester och hantering av tredjepartsrisker.

ISO 22301 ger det ledningssystem som krävs för att arbeta strukturerat med dessa delar.

Fördelar med ISO 22301-certifiering

En certifiering enligt ISO 22301 ger konkreta affärsmässiga fördelar:

Skyddad leveransförmåga vid avbrott
Minskade ekonomiska konsekvenser vid störningar
Tydlig struktur för krisledning och beslutsfattande
Stärkt förtroende hos kunder, partners och tillsynsmyndigheter
Konkurrensfördelar i upphandlingar där kontinuitetsplaner krävs

Vägen till ISO 22301-certifiering

Processen omfattar normalt:

Införande av ledningssystem för kontinuitetshantering
Genomförd riskbedömning och Business Impact Analysis
Upprättade och testade kontinuitetsplaner
Certifieringsrevision i två steg
Årliga uppföljande revisioner

Kontakta oss gärna för att diskutera hur en ISO 22301-certifiering kan stärka er verksamhetskontinuitet och långsiktiga leveransförmåga.

ISO 22301 – standarden för kontinuitetshantering
Standarden hjälper organisationer att säkerställa att kritiska funktioner och tjänster kan fortsätta levereras vid allvarliga störningar såsom cyberincidenter, IT-avbrott, leveransstörningar eller andra krissituationer.

Omfattning för vår ackreditering

Ni kan via SWEDAC’s ackrediterings-register läsa om vilka omfattningar (branscher) som vi i nuläget är ackrediterade för.

Vi tar löpande beslut huruvida vi skall utöka vår ackreditering med ytterligare branschområden. Därför ser vi positivt på att ni kontaktar oss även om just ert område skulle saknas i den nuvarande förteckningen.

Behöver ni hjälp med certifiering?

Med A3CERT blir certifiering enkelt och lönsamt. När du kontaktar oss får du alltid svar på dina frågor. Vi erbjuder kompetent och effektiv hjälp med certifiering, oavsett bransch, typ av verksamhet och var i certifieringscykeln ni just nu befinner er.
Kontakta oss för offert och mer information.