Il cambiamento climatico rappresenta oggi una delle minacce più rilevanti e sistemiche per le organizzazioni e di riflesso per la loro continuità operativa. L’emendamento ISO 22301:2024 (AMD 1:2024) del febbraio 2024 introduce esplicitamente la considerazione dei rischi climatici all’interno della UNI EN ISO 22301:2019 “Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti” (BCMS).
Questo articolo analizza nel dettaglio, anche tramite esempi di carattere operativo, gli impatti di tale aggiornamento, identificando le aree di modifica normativa, le implicazioni pratiche per le organizzazioni certificate e le azioni necessarie per mantenere la conformità limitatamente alla componente sulla business continuity.
Indice degli argomenti
Le tre direttrici dell’emendamento sulla continuità operativa
La ISO 22301:2019 è la norma di riferimento internazionale per la pianificazione e la gestione della continuità operativa. Tuttavia, negli anni successivi alla sua pubblicazione, l’accelerazione degli eventi climatici estremi — alluvioni, siccità, ondate di calore, tempeste, incendi — ha reso evidente come i tradizionali approcci di Business Impact Analysis (BIA) e risk assessment non catturassero adeguatamente la dimensione climatica. L’emendamento AMD 1:2024, del febbraio 2024, risponde, sia pure in parte in modo implicito, a questa lacuna attraverso tre direttrici principali:
- integrazione dei climate-related risks nel contesto organizzativo (Requisito 4) e quindi i rischi climatici sono esplicitamente inclusi, mentre prima si trattava di generici di interruzione operativa;
- le parti interessate devono includere anche Autorità climatiche e regolatori ESG;
- aggiornamento della metodologia di analisi del rischio per includere scenari climatici a lungo termine passando da un orizzonte temporale a breve-medio termine a scenari a lungo termine;
- rafforzamento dei requisiti di monitoraggio e riesame per incorporare indicatori climatici.
La nuova versione dello standard e delle linee guida UNI EN ISO 22313:2020 “Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Guida all’utilizzo della ISO 22301”, previste non prima di due anni, integrerà ovviamente aspetti in modo organico e completo.
La visione a medio-lungo termine imposta dalla ISO 22301
Prima di procedere ad una analisi dei requisiti della norma che impatto sul cambiamento climatico, è opportuno ricordare che la ISO 22301 presuppone degli investimenti che, in alcuni ambiti, possono diventare anche rilevanti. Per tale motivo è necessario adottare una visione a medio lungo termine degli scenari che si possono presentare sfruttando fonti di informazioni qualificate.
Per la valutazione degli scenari si può adottare quelli IPCC (RCP 4.5, RCP 8.5) o equivalenti per proiettare i rischi su orizzonti temporali di 5, 10 e 30 anni. Gli scenari dell’IPCC (Intergovernmental Panel on Climate Change), organismo ONU creato nel 1988, rappresentano simulazioni climatiche che integrano variabili come emissioni di gas serra, traiettorie socioeconomiche e strategie energetiche. Utilizzati per analizzare gli effetti del cambiamento climatico, evidenziano come differenti percorsi di sviluppo umano conducano a livelli di riscaldamento globale distinti.
Il ruolo dell’alta direzione nella governance dei rischi climatici
L’emendamento rafforza il ruolo dell’alta direzione (Requisito 5) nella governance dei rischi climatici. Il top management dovrebbe impegnarsi a:
- esprimere in modo esplicito l’impegno dell’organizzazione verso la resilienza climatica nella business continuity policy;
- garantire che le risorse necessarie per l’adeguamento al AMD 1:2024 siano disponibili e più in generale quelle per far fronte ai rischi indotti dal cambiamento climatico;
- presidiare la coerenza tra strategia di business continuity e strategia di sostenibilità/ESG dell’organizzazione;
- includere i rischi climatici tra i temi nell’ambito del Riesame del BCMS.
Questo allineamento tra Business Continuity Management e strategia ESG rappresenta una delle innovazioni più rilevanti dell’emendamento: per la prima volta, la norma ISO più importante sulla continuità operativa dialoga esplicitamente con l’agenda della sostenibilità.
Esempio
Una azienda deve assicurare le condizioni di temperatura ottimali che assicurano il funzionamento continuo dei server, anche in condizioni climatiche estreme, garantendo adeguati impianti di condizionamento. Il consumo di tali impianti ha un impatto diretto sul cambiamento climatico che la stessa azienda potrebbe compensare, con un impatto indiretto, tramite l’acquisto di energia verde.
L’impatto del cambiamento climatico sui requisiti della ISO 22301
Una analisi di come potrebbero essere impattati i requisiti della ISO 22301 dal cambiamento climatico non può prescindere dal contesto in cui opera la singola organizzazione. Nonostante ciò è possibile individuare delle linee guida generali valevoli per vari tipi di enti. Di seguito delle indicazioni, di carattere operativo, da cui trarre degli spunti.
Requisito 4 — Contesto dell’organizzazione
La modifica più significativa riguarda i Requisiti 4.1 (Contesto) e 4.2 (Esigenze ed aspettative delle parti interessate). L’emendamento richiede alle organizzazioni di considerare:
- i rischi fisici del cambiamento climatico (eventi meteo estremi, innalzamento del livello del mare, stress idrico, mancanza o scarsità di risorse primarie, ecc.);
- i rischi di transizione climatica (cambiamenti normativi, fiscalità ambientale, variazioni di mercato correlate al clima, ecc.);
- le aspettative degli stakeholder in materia di resilienza climatica e disclosure ESG.
Requisito 6 — Pianificazione e analisi del rischio
La BIA (Business Impact Analysis) e la valutazione dei rischi dovrebbero, in conseguenza alle modifiche introdotte dai requisiti 4.1 e 4.2, essere integrati con metodologie di scenario di analisi climatica per poter pianificare con un orizzonte almeno a medio termine considerando gli investimenti. In particolare, le organizzazioni sono chiamate a:
- valutare l’impatto della dipendenza della supply chain da aree geografiche esposte a rischi climatici (sia fisici che di transazione climatica);
- rivalutare i Recovery Time Objective (RTO) e Recovery Point Objective (RPO) in funzione della maggiore frequenza ed intensità degli eventi perturbatori, quando il caso in accordo con i clienti ed i fornitori.
Requisito 8 — Operatività e piano di continuità operativa
I piani di continuità operativa (BCP) dovrebbero essere rivisti per contemplare scenari climatici specifici. Considerando gli impatti dovuti al cambiamento climatico si introduce la necessità di:
- identificare siti alternativi che non siano nella stessa area di rischio climatico della sede principale;
- testare i piani con esercitazioni che simulino eventi climatici estremi (tabletop exercise su alluvioni, blackout da ondate di calore, ecc. – si tratta di simulazioni basate su analisi e discussioni in cui i team coinvolti analizzano scenari di emergenza in un ambiente controllato);
- documentare le procedure di attivazione in caso di segnalazione di arrivo di eventi meteorologici estremi;
- potenziare il sistema di gestione della crisi con comunicazioni mirate ed adeguate agli scenari di crisi individuati.
Requisito 9 — Monitoraggio, misurazione e riesame
Il riesame periodico del BCMS è opportuno che includa indicatori di performance legati al clima. Tra i nuovi KPI si possono considerare a esempio:
- numero e severità di eventi climatici che hanno impattato le operazioni nel corso di un periodo;
- grado di aggiornamento degli scenari di rischio rispetto alle ultime proiezioni climatiche;
- copertura assicurativa e gap di protezione rispetto ai rischi climatici identificati (si veda il tema della polizza catastrofale);
- esercitazione eseguite rispetto a quelle programmate che simulano eventi climatici estremi.
Tavola sinottica degli impatti dell’AMD 1:2024 per requisito
La seguente tavola riassume gli impatti che potrebbe avere l’AMD 1:2024 per ciascun requisito rilevante della ISO 22301, per le organizzazioni già certificate, fermo restando che si tratta di valutazioni che devono essere calate nel contesto della singola organizzazione.
| Requisito ISO 22301 | Impatto AMD 1:2024 |
|---|---|
| 4.1 — Contesto | Aggiungere valutazioni sul contesto in relazione agli aspetti di transizione climatica |
| 4.2 — Stakeholder | Includere autorità climatiche, regolatori ESG, investitori |
| 5.2 — Politica | Integrare la politica per incorporare i requisiti climatici |
| 6.1 — Azioni per affrontare i rischi e le opportunità | Aggiornamento del registro dei rischi con le nuove minacce identificate. Esecuzione di una valutazione dei rischi climatici specifici per il contesto geografico e settoriale dell’organizzazione, anche con l’utilizzo di scenari provenienti da fonti autorevoli |
| 7.5 — Documentazione | Revisionare ed aggiornare la documentazione per incorporare i requisiti climatici |
| 8.2 — Analisi di impatto operativo e valutazione del rischio | Rivalutare RTO/RPO con frequenza eventi climatici aumentata, rivalutare conseguentemente l’impatto operativo e la valutazione del rischio |
| 8.3 — BCP | Rivedere piani con scenari climatici e siti alternativi sicuri |
| 8.5 — Esercitazioni | Pianificare esercitazione ed inserire scenari climatici nelle esercitazioni annuali |
| 9.1 — Monitoraggio | Aggiungere KPI climatici al cruscotto BCMS |
| 9.2 — Audit interno | Pianificare audit interni alla luce delle modifiche introdotte |
| 9.3 — Management Review | Inserire analisi climatica nell’agenda del riesame |
| 10.2 — Miglioramento | Aggiornare piani di miglioramento con azioni climate-related |
Sinergie con altri standard e framework internazionali
L’AMD 1:2024 non opera in isolamento: le sue disposizioni si raccordano con un ecosistema di norme e framework internazionali in materia di sostenibilità e gestione del rischio climatico come ad esempio la ISO 14001 LINK la ISO 37001 LINK, senza dimenticare la ISO 31000:2018 (Risk Management) che comporta la revisione del risk assessment climatico garantendo coerenza metodologica.
Infine, non può essere trascurata la UNI EN ISO 14090:2019 “Adattamento al cambiamento climatico – Principi, requisiti e linee”. La norma descrive principi, requisiti e linee guida per aiutare le organizzazioni ad adattarsi ai cambiamenti climatici. Il punto centrale è integrare l’adattamento nei processi decisionali, comprendere gli impatti climatici e gestire le incertezze per prendere decisioni più solide. Si tratta di un documento che espande e fornisce indicazioni preziose e di taglio operativo complementare all’AMD 1:2024.
Le sfide pratiche dell’implementazione
Nonostante la chiarezza degli obiettivi, le organizzazioni si trovano ad affrontare sfide concrete nell’implementare i nuovi requisiti:
- competenze interdisciplinari: il risk assessment climatico richiede competenze che spaziano tra climate science, analisi finanziaria e operational management, spesso non presenti all’interno del team BCMS tradizionale;
- orizzonte temporale adeguato: i BCMS sono tipicamente orientati al breve-medio termine, mentre i rischi climatici richiedono proiezioni a medio-lungo termine, introducendo inevitabilmente un grado di incertezza superiore;
- disponibilità dei dati: le organizzazioni devono avere accesso a dati climatici localizzati sufficientemente dettagliati per condurre una valutazione dei rischi fisici a livello di sito;
- costi di adeguamento: la revisione del BIA e dei BCP, l’eventuale identificazione di nuovi siti alternativi e la formazione del personale, la rivalutazione dei fornitori comportano investimenti non trascurabili;
- integrazione con la supply chain: l’analisi dei rischi climatici della catena di fornitura richiede la collaborazione attiva dei fornitori, non sempre disponibili a condividere dati sensibili.
Conclusioni
L’introduzione del fattore relativo al cambiamento climatico nella ISO 22301 grazie all’AMD 1:2024 rappresenta un’evoluzione matura e necessaria di uno standard, che risponde in modo strutturato alla crescente rilevanza di tale aspetto come fattore di rischio. L’integrazione dei rischi climatici nel BCMS non è soltanto un adempimento normativo ma un fattore che qualunque organizzazione che voglia mantenere la propria resilienza operativa nei prossimi decenni deve considerare e valutare.
