NIS2 - Er du klar til at overleve en krise?
En afbrydelse i forretningsdriften kan hurtigt få alvorlige økonomiske konsekvenser, både i form af tabt indtjening og omkostninger forbundet med at genoprette virksomheden. Tilliden til virksomheden hos kunder og partnere kan også falde og føre til langsigtede konsekvenser for rentabilitet og forretningsrelationer.
Når krisen indtræffer, er det vigtigt at mindske virkningerne for virksomheden, og her er en kontinuitetsplan for virksomheden (business continuity plan - BCP) den samling af dokumenter, der i sidste ende styrer det.
Kontinuitetsplanen forveksles nogle gange med en teknisk plan, det vil sige genopretningsplanerne (disaster recovery - DR), hvilket medfører, at virksomheder ikke er parate til at fortsætte kritiske forretningsprocesser uden deres normale IT-support.
NIS2 – Krav i tilfælde af krise
Artikel 21 i NIS2-direktivet (2022/2555) definerer følgende krav i punkt 2c "driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring", hvilket klart foreskriver, at kravet om en velfungerende BCP og DR-plan skal være opfyldt for at opfylde kravene i NIS2-direktivet.
Prioritering af forretningsprocesser
Udtrykket "en katastrofe kommer sjældent alene" er også vigtigt at overveje i kontinuitetsplanen, da det ofte er flere forretningsprocesser, der påvirkes af en større forstyrrelse. Derfor er det vigtigt at have en god prioritering på forhånd af, hvilke forretningsprocesser der er prioriterede og skal genoprettes først. Her kan der også være en konflikt mellem, hvad der er prioriteret ud fra virksomhedens prioritering og hvad der anses for at være samfundskritiske tjenester i henhold til NIS2. Det er derfor vigtigt at sikre, at det er klart dokumenteret, hvad der falder inden for NIS2-reguleringen af den virksomhed, der udøves, og hvilke IT-systemer det påvirker. Dette sikrer, at prioriteringen er klart dokumenteret i BCP og DR-planer.
Genopretningen kan i starten være uden IT-support. Planen kan også indeholde fastsatte mål for, hvor hurtigt hver enkelt forretningsproces skal genoprettes, dels uden IT-support samt fuldstændigt gendannelse.
Sørg for at identificere afhængigheder
Kontinuitetsplanen bør også tage hensyn til de afhængigheder, der eksisterer mellem forskellige forretningsprocesser for at sikre, at genoprettelsen giver den forventede effekt. Et meget forenklet eksempel kan være at identificere, at modtagelse af ordrer fra kunder er højeste prioritet, men at processen med at levere til kunden ikke genoprettes hurtigt nok. I nogle virksomheder kan dette være acceptabelt, mens det i andre virksomheder, hvor kunden forventer levering inden for timer eller næste dag, er vigtigt at tage hele processen i betragtning fra start til slut.
Hvem skal træffe beslutninger, når katastrofen har fundet sted?
En god kontinuitetsplan indeholder også mandater til at træffe beslutninger. Når katastrofen er indtruffet, er det sidste du vil diskutere, hvem der har ret til at træffe hvilken beslutning. Dette skal fremgå klart, og der bør være alternative beslutningstagere til rådighed, hvis de primære ikke er tilgængelige. Det er også ofte let at antage, at den normale beslutningsstruktur i virksomheden er den bedste, selv i katastrofale situationer, men det er ikke altid tilfældet. Under en katastrofe kan der både være behov for andre kompetencer ved beslutningstagning samt, at den almindelige drift er under stor stress, især hvis visse forretningsprocesser stadig fungerer.
Hvornår skal kontinuitetsplanen aktiveres?
Retningslinjer for hvornår kontinuitetsplanen skal aktiveres er også vigtige. Selvom vi ofte placerer mange æg i samme kurv, kan det være, at en katastrofe kun påvirker dele af virksomheden og i så begrænset omfang, at det kan og bør håndteres inden for den normale linjeorganisation. Der er også tilfælde, hvor det samme underliggende IT-system bruges til flere forskellige forretningsprocesser, og det fatale problem måske kun påvirker nogle af disse processer, men en genopretning kræver stop for alle forretningsprocesser.
Hvornår skal en BCP opdateres?
Kontinuitetsplanen skal være et levende dokument, der opdateres, når der sker ændringer, hvad enten det er organisationen, forretningsprocesserne eller IT-systemerne, der ændrer sig. Det er også værd at få en ekstern part til at gennemgå planen, både indledningsvist, men også i tilfælde af større ændringer.
Krisepraksis giver erfaring
På samme måde som med alt andet, vi gør, skal vi have viden og erfaring for at være dygtige til at udføre noget. Det gælder også i dette tilfælde. Det er derfor vigtigt at øve sig på forskellige krisscenarier for at føle sig tryg ved at træffe beslutninger og sikre, at ens kontinuitetsplan beskriver, hvad der kræves i en krisesituation. At træne i krisesituationer og samtidig identificere, hvor godt man følger sin kontinuitetsplan, kan være vanskeligt uden ekstern hjælp. Den eksterne hjælp kan skabe scenarier, styre øvelserne samt observere og rapportere om områder, der kan forbedres.
Cegal og BCP og DR
Cegal har konsulenter med bred erfaring inden for kontinuitetsplanlægning, som kan inddrages i forskellige faser, enten som støtte i udarbejdelsen af planerne, som støtte til gennemgang af allerede udviklede planer, men også ved gennemførelse af kriseøvelser.
Cegal kan også levere tjenester til restore-test af databaser uden for dit IT-miljø. Vi er specialister i hybrid cloud-løsninger, opsætning og drift af forretningskritiske løsninger og databaseovervågning. Cegal har stor erfaring i miljøer med høj tilgængelighed (såkaldte High Availability-løsninger), hvor vi bistår både små og store kunder med at finde den rigtige løsning til den rigtige pris.