NIS2 - Er du klar til å overleve en krise?

Daniel Andersson Daniel Andersson, senior informasjonssikkerhetskonsulent i Cegal Sverige. Daniel har omfattende erfaring innen informasjonssikkerhet og er en sertifisert informasjonssikkerhetsleder (CISM) samt en sertifisert cybersikkerhetspraktiker (CSX-P). Med bakgrunn i både teknologi og ledelse har Daniel et bredt perspektiv på dagens utfordringer og deres ulike løsninger.

05/06/2024 |

Nedetid i virksomheten kan raskt få store økonomiske konsekvenser, både i form av tapt inntekt og kostnader for å gjenopprette virksomheten. Tilliten til virksomheten blant kunder og partnere kan også svekkes, noe som kan føre til langsiktige konsekvenser for lønnsomhet og forretningsforhold.

Når krisen rammer, er det avgjørende å begrense konsekvensene. Her er en kontinuitetsplan for virksomheten (business continuity plan - BCP) den essensielle samlingen av dokumenter som styrer dette.

Det er vanlig å forveksle kontinuitetsplanen med en teknisk plan, som for eksempel gjenopprettingsplanene (disaster recovery - DR), noe som kan føre til at virksomheter ikke er forberedt på å opprettholde kritiske forretningsprosesser uten normal IT-støtte.

NIS2 – Krav under krisen

Artikkel 21 i NIS2-direktivet (2022/2555) definerer følgende krav i punkt 2c "driftskontinuitet, inkludert håndtering av sikkerhetskopi og katastrofehåndtering, samt krisehåndtering," som tydelig fastsetter at en velfungerende BCP- og DR-plan må være på plass for å oppfylle kravene i NIS2-direktivet.

Prioritering av forretningsprosesser

Uttrykket "en krise kommer sjelden alene" er også viktig å ta hensyn til i kontinuitetsplanen, ettersom flere forretningsprosesser påvirkes av en større forstyrrelse. Dette understreker betydningen av å ha en god prioritering av hvilke forretningsprosesser som er viktigst og som må gjenopprettes først. Det kan oppstå konflikter mellom selskapets interne prioriteringer og hva som regnes som samfunnskritiske tjenester i henhold til NIS2-direktivet, derfor er det viktig å sikre at det er tydelig dokumentert hvilke områder som omfattes av NIS2-regelverket for virksomheten og hvilke IT-systemer dette påvirker.

Gjenopprettingen kan i starten være uten IT-støtte. Planen bør også inneholde klare mål for hvor raskt hver forretningsprosess må være gjenopprettet, både uten IT-støtte og fullstendig gjenopprettet.

Sørg for å identifisere avhengigheter

Kontinuitetsplanen må også ta hensyn til avhengighetene mellom ulike forretningsprosesser for å sikre at gjenopprettingen gir den forventede effekten. Et enkelt eksempel kan være å identifisere at mottak av bestillinger fra kunder er av høyeste prioritet, men at leveringsprosessen til kunden ikke gjenopprettes raskt nok. I noen virksomheter kan dette være akseptabelt, mens i andre virksomheter der kunder forventer levering innen timer eller neste dag, er det viktig å vurdere hele prosessen fra start til slutt.

Hvem har myndighet til å ta beslutninger når katastrofen inntreffer?

En effektiv kontinuitetsplan bør også inkludere klare retningslinjer for beslutningstaking. Når katastrofen rammer, er det viktig å unngå tvil om hvem som har myndighet til å handle. Dette bør være tydelig definert, med alternative beslutningstakere identifisert i tilfelle de primære ikke er tilgjengelige. Det er avgjørende å erkjenne at den vanlige beslutningsstrukturen i en bedrift kanskje ikke er optimal under kriser. Andre evner kan være nødvendige, og den vanlige linjeorganisasjonen kan være under ekstra press selv om visse forretningsprosesser fortsetter å fungere.

Når er det riktig tidspunkt å sette kontinuitetsplanen i gang?

Retningslinjer for når kontinuitetsplanen skal aktiveres er av stor betydning. Selv om vi noen ganger legger mange egg i samme kurv, kan det hende at en katastrofe bare påvirker deler av virksomheten og i en slik begrenset grad at det kan og bør håndteres innenfor den normale linjeorganisasjonen. Det finnes også tilfeller der de samme underliggende IT-systemene brukes for flere ulike forretningsprosesser, og det kritiske problemet kanskje bare påvirker noen av disse prosessene, men en gjenoppretting krever stopp for alle forretningsprosesser.

Når bør en BCP oppdateres?

Kontinuitetsplanen må være dynamisk og oppdateres kontinuerlig i takt med endringer, enten det gjelder organisasjonen, forretningsprosesser eller IT-systemer. Det er også viktig å få en ekstern part til å kvalitetssikre planen, både ved oppstart og ved større endringer.

Krisetrening gir verdifull erfaring

På samme måte som med alt annet vi gjør, er kunnskap og erfaring avgjørende for å kunne utføre oppgaver på en god måte. Det er derfor viktig å øve på ulike krisescenarier for å føle seg trygg i å ta beslutninger, og for å sikre at kontinuitetsplanen beskriver det som er nødvendig i en krisesituasjon. Å trene på krisehåndtering og samtidig vurdere hvor godt man følger kontinuitetsplanen kan være utfordrende uten ekstern hjelp. Ekstern støtte kan bidra til å sette opp scenarier, gjennomføre øvelser og observere og rapportere områder for forbedring.

Cegal og kontinuitetsplanlegging (BCP) og katastrofehåndtering (DR)

Cegal har erfarne konsulenter innen kontinuitetsplanlegging som kan delta i ulike faser, enten som støtte i utviklingen av planene, som revisjon av allerede utarbeidede planer, eller gjennomføring av krisescenarier.

Vi tilbyr også tjenester for gjenopprettingstesting av databaser utenfor deres IT-miljø. Vår spesialisering omfatter hybrid skyløsninger, implementering og drift av kritiske forretningsløsninger samt overvåkning av databaser. Med lang erfaring innen høytilgjengelighetsmiljøer (High Availability-løsninger), hjelper vi både små og store kunder med å finne riktig løsning til riktig pris.