När verkligheten knackar på – Lyntrix Energys insikter om BCP/kontinuitetsplanering

Det var under ett styrelsemöte på Lyntrix Energy AB (fiktivt bolag) som frågan kom upp. Carl, styrelseordförande, hade deltagit i en konferens om krishantering och ställt en enkel men avgörande fråga till VD:n Erik: "Hur ser våra kontinuitetsplaner ut idag?"

Erik, som varit med länge, mindes väl det arbete som gjordes för snart tio år sedan. Då upprättades allehanda planer för att hantera många olika typer av kriser – från IT-haverier till naturkatastrofer till leveransstörningar. Men han insåg också att förmodligen hade ingen rört dessa dokument på många år. Verksamheten hade förändrats, IT-system bytts ut och nya hotbilder hade vuxit fram. Dessutom står vi nu inför en ny lagstiftning - NIS2, som bl.a. stipulerar att vi har en aktuell BCP/kontinuitetsplan  rörande IT-system på plats. Vad skulle hända om en kris slog till imorgon? 

En plan från förr – men vad gäller idag? 

Erik samlade ledningsgruppen och bad dem granska de gamla kontinuitetsplanerna. Det blev snabbt tydligt att mycket i planerna inte längre stämde. Kontaktuppgifterna pekade på personer som lämnat företaget, IT-systemen som omnämndes finns inte kvar och flera av processerna byggde på rutiner som inte längre används. 

"Om vi skulle behöva agera utifrån de här planerna idag, skulle vi vara helt vilse," sa en av IT-cheferna. 

VD insåg att företaget hade gått i en klassisk fälla – de hade en gång gjort rätt, men sedan missat att underhålla arbetet. 

När en gammal plan inte längre kan rädda dagen 

Det största problemet med en inaktuell kontinuitetsplan är att den ger en falsk trygghet. Om en störning skulle inträffa, skulle Lyntrix Energy tappa värdefull tid på att försöka använda en plan som inte längre var relevant. 

Tillsammans med ledningsgruppen identifierade Erik vad som behövde göras: 

1. Nulägesanalys – Vilka kritiska funktioner och system är det som verksamheten bygger på idag? 
2. Kartlägga nya risker, lagar och regler – Cyberhot, leveranskedjor och beroenden av externa partners har förändrats på tio år. Ny lagstiftning som påverkar utförandet. 
3. Stänga gapen – Planlägg och genomför åtgärder för att återställa aktualitet
4. Rutiner för att testa och öva – En plan som aldrig testas är en plan som troligen inte fungerar när den behövs.
5. Skapa en rutin för regelbundna uppdateringar – Vi vill inte hamna i samma situation igen om ytterligare X år. 

En investering i framtiden 

Efter några månaders arbete hade Lyntrix Energy uppdaterat sina kontinuitetsplaner. De var nu anpassade efter dagens verklighet och byggda för att kunna underhållas och förbättras över tid. 
 
Vid nästa styrelsemöte kunde VD presentera resultatet. "Vi är inte bara förberedda – vi har byggt en kultur där kontinuitetsplanering är en del av vårt fortsatta sätt att arbeta". 

Styrelseordförande nickade nöjt. Uppdraget var genomfört, men framför allt hade Lyntrix Energy tagit ett stort steg mot att säkra sin framtid. 
 
För när verkligheten knackar på, är det de företag som har en uppdaterad plan som står stadigast.