NIS2 - Är ni redo att överleva en kris?

Daniel Andersson Senior Information Security Consultant, Cegal Sweden. Daniel har lång erfarenhet inom informationssäkerhet och är Certified Information Security Manager (CISM) samt certifierad Cybersecurity Practitioner (CSX-P). Med bakgrund inom både teknik och ledarskap har Daniel en bred syn på dagens utmaningar och dess olika lösningar.

01/19/2024 |

Ett avbrott i verksamheten får snabbt stora ekonomiska konsekvenser, både i förlorad inkomst men även kostnader för att återställa verksamheten. Förtroendet för verksamheten hos kunder och partners kan också sjunka och leda till långsiktiga konsekvenser för lönsamhet och affärsrelationer.

När krisen väl inträffar är det viktigt att minska effekterna för verksamheten, här är kontinuitetsplan för verksamheten (business continuity plan – BCP) den samling av dokument som ytterst styr detta.

Kontinuitetsplanen misstas ibland för att vara en teknisk plan, dvs återställningsplanerna (disaster recovery – DR) vilket medför att verksamheter inte är förberedda på att fortsätta kritiska affärsprocesser utan sitt normala IT-stöd.

NIS2 – Krav vid kris

Artikel 21 i NIS2 direktivet (2022/2555) definierar följande krav i punkt 2c “driftskontinuitet, exempelvis hantering av säkerhetskopiering och katastrofhantering, och krishantering,” vilket tydligt föreskriver att kravet på en väl etablerad BCP och DR plan måste finnas för att leva upp till kraven i NIS2 direktiven.

Prioritering av affärsprocesser

Uttrycket “en katastrof kommer sällan ensam” är också viktig att beakta i kontinuitetsplanen då det ofta är flertalet affärsprocesser som påverkas av en större störning. Detta gör att det är viktigt att i förväg ha en god prioritering på vilka affärsprocesser som är prioriterade och måste återställas först. Här kan det även finnas en konflikt gentemot vad som är prioriterat utifrån bolagets prioritering och vad som anses som samhällsviktiga tjänster enligt NIS2, det är därav viktigt att säkerställa att det är väl dokumenterat vad som faller inom NIS2 regleringen av den verksamhet som utövas och vilka IT system som detta påverkar. Detta så att det är väl dokumenterat i BCP och DR-planer kring prioritering.

Återställningen kan initialt vara utan IT-stöd. Planen kan även innehålla satta mål för hur fort respektive affärsprocess måste vara återställda, dels utan IT-stöd, samt fullständigt återställd.

Säkerställ att identifiera beroenden

Kontinuitetsplanen bör även beakta de beroenden som finns mellan olika affärsprocesser för att säkerställa att återställning ger den förväntade effekten. Ett mycket förenklat exempel kan vara att man identifierar att mottagning av beställningar från kund är högsta prioritet, men att processen för att leverera till kund inte återställs fort nog. I vissa verksamheter kan detta vara gott nog, medan andra verksamheter där kund förväntar sig leverans inom timmar eller nästa dag är det viktigt att beakta processen från start till slut.

Vem får ta beslut när katastrofen har inträffat?

En bra kontinuitetsplan inkluderar även mandat att ta beslut, när katastrofen väl har inträffat är det sista man vill diskutera vem som har rätt att ta vilket beslut. Detta ska tydligt framgå samt att det ska finnas alternativa beslutsfattare i händelse av att primära inte är tillgängliga. Det är även ofta lätt att tänka att den normala beslutsordningen i bolaget är den bästa även i katastrof, detta är inte alltid fallet. Under en katastrof är det dels andra förmågor som kan behövas vid beslut, men även det faktum att den ordinarie linjeverksamheten är under stor stress i de fall vissa affärsprocesser fortsatt fungerar.

När ska kontinuitetsplanen aktiveras?

Riktlinjer för när kontinuitetsplanen ska aktiveras är också av vikt, även om vi tenderar att lägga många ägg i samma korg kan det vara så att en katastrof endast berör delar av verksamheten och i sådan begränsad omfattning att det kan och ska hanteras inom normal linjeorganisation. Det finns även fall där samma underliggande IT-system används för flera olika affärsprocesser och det fatala problemet kanske endast berör vissa av dessa processer men en återställning kräver stopp för alla affärsprocesser.

När ska en BCP uppdateras?

Kontinuitetsplanen behöver vara ett levande dokument som uppdateras när förändringar sker, detta såväl om det är organisation, affärsprocesser eller IT-system som ändras. Det är även värt att låta extern part kvalitetsgranska planen, både initialt men även vid större ändringar.

Krisövning ger erfarenhet

I likhet med allt annat som vi gör så måste vi ha kunskap och erfarenhet för att vara duktiga på att utföra något. Det gäller även i detta fall. Det är därav viktigt att öva på olika krisscenarion för att känna sig trygg i att ta beslut och att ens kontinuitetsplan beskriver det som krävs i en kris. Att träna kris och samtidigt identifiera hur väl man efterlever sin kontinuitetsplan kan vara svårt utan att ta in extern hjälp. Den externa hjälpen kan skapa scenarion, hålla i övningarna samt observera och avrapportera kring förbättringsområden.

Cegal och BCP och DR

Cegal har konsulter med bred erfarenhet inom kontinuitetsplanering som kan vara med i olika faser, antingen som stöd i skapandet av planerna, som stöd i att granska redan framtagna planer men även att utföra krisövningar.

Cegal kan även tillhandahålla tjänster för restore-test av databaser utanför er IT-miljö. Vi är specialiserade på hybridmolnlösningar, uppsättning och drift av affärskritiska lösningar samt övervakning av databaser. Cegal har lång erfarenhet av miljöer för hög tillgänglighet (sk. High Availability-lösningar), där vi bistår både små och stora kunder att hitta rätt lösning till rätt pris.