Międzynarodowe wytyczne odporności organizacji (organizational resilience): zasady i atrybuty, które zwiększają zdolność organizacji do przewidywania zakłóceń, reagowania na nie i adaptacji. To rama zarządcza, nie lista wymagań do audytu.

Czy można uzyskać certyfikat ISO 22316?

ISO 22316 to wytyczne — nie prowadzi się wobec niej klasycznej certyfikacji systemu jak przy ISO 9001. Audytowalnym potwierdzeniem odporności jest certyfikat ISO 22301 (ciągłość działania); ISO 22316 wykorzystuje się jako ramę oceny dojrzałości i kierunek doskonalenia.

Co zmienia ustawa wdrażająca dyrektywę CER?

Nowelizacja ustawy o zarządzaniu kryzysowym (przyjęta przez Sejm 29 maja 2026 r.) wdraża dyrektywę 2022/2557: powstaną wykazy podmiotów krytycznych (termin: 17 lipca 2026 r.), a wskazane podmioty obejmą obowiązki oceny ryzyka, środków odpornościowych, zgłaszania incydentów i poddania się nadzorowi.

Od czego zacząć budowę odporności organizacji?

Od ciągłości działania: analiza BIA, plany ciągłości i ich testowanie według ISO 22301 — to certyfikowalny rdzeń. Następnie zarządzanie kryzysowe (ISO 22361) i ocena dojrzałości według atrybutów ISO 22316.

ISO 22316 — odporność organizacji. Norma, rodzina standardów i nowa ustawa CER

W skrócie · 4wnioski

1ISO 22316 to wytyczne odporności organizacji: dziewięć atrybutów (m.in. wspólna wizja, rozumienie kontekstu, zdolność adaptacji, rozproszone przywództwo), które pozwalają organizacji przetrwać zakłócenia i wyjść z nich silniejszą.
2ISO 22316 nie jest normą wymagań — audytowalnym dowodem odporności jest certyfikat ISO 22301 (system zarządzania ciągłością działania), uzupełniony wytycznymi ISO 22361 (zarządzanie kryzysowe).
329 maja 2026 r. Sejm przyjął nowelizację ustawy o zarządzaniu kryzysowym wdrażającą dyrektywę CER — wykazy podmiotów krytycznych mają powstać do 17 lipca 2026 r., a wskazane podmioty obejmie nowy reżim obowiązków odpornościowych.
4Energetyka, woda, transport, zdrowie, żywność, administracja — podmioty z tych sektorów powinny przygotowywać się równolegle do CER i NIS2; wspólnym fundamentem obu jest ciągłość działania.

Odporność organizacji przestaje być hasłem konferencyjnym i staje się kategorią prawną. 29 maja 2026 r. Sejm przyjął nowelizację ustawy o zarządzaniu kryzysowym wdrażającą dyrektywę CER (2022/2557) — wykazy podmiotów krytycznych mają powstać do 17 lipca 2026 r. (informacje RCB o dyrektywie). Międzynarodowym językiem tej dziedziny jest ISO 22316 — norma definiująca, czym odporność organizacji jest i z czego się składa. Pojęcie zrobiło karierę w czasie pandemii COVID-19, gdy firmy z dnia na dzień testowały swoją zdolność do przetrwania zakłóceń — ale wtedy było dobrowolną lekcją; teraz, wraz z CER i NIS2, staje się egzaminem z prawa. Zanim jednak organizacja sięgnie po to pojęcie w komunikacji, warto uporządkować, co tu jest wytyczną, co wymaganiem, a co twardym obowiązkiem prawnym.

ISO 22316: dziewięć atrybutów odporności — ale bez certyfikatu

ISO 22316 (Security and resilience — Organizational resilience) opisuje zasady i atrybuty odpornej organizacji: wspólną wizję i jasność celu, rozumienie kontekstu i zależności, zdolność absorbowania zmian i adaptacji, dobre przywództwo rozproszone na wszystkich poziomach, kulturę wspierającą, dostępność zasobów oraz ciągłe doskonalenie. To rama do oceny dojrzałości — nie lista wymagań do audytu. Wobec ISO 22316 nie prowadzi się klasycznej certyfikacji; organizacja, która chce odporność udowodnić, potrzebuje normy wymagań. I taka norma istnieje.

Rodzina norm odporności — co czym jest

Norma	Charakter	Rola
ISO 22301 — ciągłość działania (BCMS)	wymagania — certyfikowalna	audytowalny rdzeń odporności: analiza BIA, plany ciągłości, testy
ISO 22316 — odporność organizacji	wytyczne	rama oceny dojrzałości i kierunek doskonalenia
ISO 22361 — zarządzanie kryzysowe	wytyczne	przywództwo i decyzje w kryzysie wykraczającym poza plany
ISO 31000 — zarządzanie ryzykiem	wytyczne	wspólny język ryzyka dla całej rodziny
ISO 28000 — bezpieczeństwo łańcucha dostaw	wymagania — certyfikowalna	odporność na zakłócenia dostaw

Praktyczna kolejność jest zawsze ta sama: certyfikat ISO 22301 jako dowód, wytyczne 22316/22361/31000 jako warstwy doskonalenia wokół niego.

CER: odporność jako obowiązek prawny

Dyrektywa CER — siostra NIS2 — obejmuje podmioty krytyczne w sektorach: energetyka, transport, bankowość i infrastruktura rynków finansowych, zdrowie, woda pitna i ścieki, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna oraz produkcja i dystrybucja żywności. Polska nowelizacja (153 strony, zmienia kilkanaście ustaw) wprowadza dla wskazanych podmiotów m.in.:

ocenę ryzyka zakłóceń (naturalnych, awarii, sabotażu, zagrożeń hybrydowych),
środki techniczne i organizacyjne zwiększające odporność,
zgłaszanie incydentów istotnie zakłócających usługi kluczowe,
nadzór i kontrole z sankcjami administracyjnymi.

Mechanizm znany z NIS2 powtórzy się tu co do joty: przepis nie wskazuje normy, ale podmiot skontrolowany musi czymś udowodnić środki odpornościowe — a certyfikowany system ciągłości działania według ISO 22301 jest najlepiej uznawanym dowodem, jaki istnieje. Pisaliśmy o tym szerzej przy dyrektywie CER i ochronie infrastruktury krytycznej oraz ISO 22301 jako fundamencie zgodności z NIS2.

Od czego zacząć — ścieżka na 2026/2027

Sprawdź, czy organizacja może trafić do wykazu podmiotów krytycznych (lub jest dostawcą takiego podmiotu — obowiązki spłyną łańcuchem umów).
Analiza BIA i plany ciągłości według ISO 22301 — rdzeń, który pokrywa większość obowiązków CER i NIS2 jednocześnie.
Certyfikacja ISO 22301 — audytowalny dowód dla regulatora, klientów i ubezpieczyciela.
Dojrzałość według ISO 22316 i zarządzanie kryzysowe według ISO 22361 — warstwy doskonalenia, gdy fundament działa.

Powiązane artykuły:

Najczęstsze pytania

Czym jest ISO 22316? +

Wytyczne odporności organizacji — zasady i atrybuty (wizja, kontekst, adaptacja, przywództwo, kultura, zasoby), służące ocenie dojrzałości, nie certyfikacji.

Czy jest certyfikat ISO 22316? +

Nie w formie klasycznej certyfikacji systemu — audytowalnym dowodem odporności jest certyfikat ISO 22301 (ciągłość działania).

Co zmienia ustawa CER? +

Wykazy podmiotów krytycznych do 17 lipca 2026 r. i nowy reżim obowiązków: ocena ryzyka, środki odpornościowe, zgłaszanie incydentów, kontrole z sankcjami.

Od czego zacząć? +

Od ISO 22301: analiza BIA, plany ciągłości, testy, certyfikacja — to pokrywa równocześnie wymagania CER i NIS2.

Autor artykułu

Zespół Multicert

Redakcja Multicert · Akredytacja PCA AC 210

Artykuły przygotowuje zespół audytorów i specjalistów Multicert z wieloletnim doświadczeniem w certyfikacji systemów ISO, wyrobów CE oraz regulacjach UE.

← Wszystkie artykuły 9 czerwca 2026