NIS2: Sådan fortsætter du driften, hvis skaden sker

Hvad går Business Continuity Management ud på?

NIS2-direktivet skal styrke cybersikkerheden i de samfundskritiske sektorer, og en del af NIS2 handler om at forebygge hændelser. Business Continuity Management (BCM) – på dansk kontinuitetshåndtering – handler om at kunne fortsætte driften, hvis en hændelse alligevel sker. At sikre sig, at det dyk i driften, som hændelsen giver, bliver så lille og så kortvarigt som muligt, så man hurtigst muligt kommer tilbage til normal drift.

Da NIS2 er rettet mod cyber- og informationssikkerhed, handler BCM primært om Backup Management og Disaster Recovery. Det første er hurtig genopretning af data, og det andet er hurtig genopretning af it-systemer. Når vi taler samfundskritiske funktioner, kan det f.eks. være de it-systemer, der er nødvendige for driften i en forsyningsvirksomhed.

Hvorfor er det en del af NIS2?

BCM er en gammel disciplin, som går helt tilbage til 1970’erne. Når den er med i NIS2, handler det om, at kritisk infrastruktur i dag i høj grad er afhængig af it-systemer, data og digitale tjenester, og at forstyrrelser derfor kan have vidtrækkende konsekvenser. Det gælder f.eks., hvis et kraftvarmeværks fjernvarmepumper stopper med at fungere, eller hvis hospitalsmedarbejdere ikke kan tilgå patientjournalerne.

Hvordan skal virksomhederne konkret forholde sig til Business Continuity Management?

Man bør starte med en udførlig Business Impact Analysis (BIA). Altså en grundig vurdering af, hvordan forskellige typer af hændelser kan påvirke driften, og en identifikation af de mest kritiske funktioner, der skal beskyttes. Den omfatter fastlæggelse af Maximum Tolerable Downtime (MTD) for hver kritisk funktion, der hjælper med at prioritere genopretningsindsatsen.

Derefter skal der laves detaljerede Backup Management- og Disaster Recovery-planer, der ikke alene fokuserer på it-infrastrukturen, men også omfatter menneskelige ressourcer, fysiske lokationer og tredjeparttjenester. Planerne bør løbende revideres, så de afspejler ændringer i organisationens struktur, teknologi og eksterne trusler.

Det er vigtigt at holde regelmæssige træningsaktiviteter og afprøve recovery-planerne gennem øvelser og simulationer. Dermed sikrer man, at planerne er effektive, og at medarbejderne er forberedte på at handle hurtigt i tilfælde af en hændelse. Træning og simulering hjælper med at identificere svagheder i planerne og giver de involverede en praktisk forståelse af procedurerne.

Sidst, men ikke mindst er klare kommunikationsstrategier både internt og eksternt afgørende. Internt for at sikre, at alle ansatte forstår deres roller og ansvar under en krise. Eksternt for at opretholde tilliden hos kunder, partnere og offentligheden ved at kommunikere åbent og ærligt om forstyrrelser og genopretningsprocesser.

Hvilke elementer er de vigtigste i en BCM-plan for at sikre overensstemmelse med NIS2-direktivet?

• Detaljerede recovery-strategier for kritiske funktioner: De inkluderer fastsættelse af specifikke mål for hver kritisk tjeneste eller datastrøm, nemlig Recovery Time Objectives (RTO) – dvs. mål for den tid, det tager at genoprette funktionen – og Recovery Point Objectives (RPO) – dvs. mål for, hvornår genopretningen skal starte. De er afgørende for at minimere nedetid og datatab.
  

• Planer for håndtering af kritiske leverandører og tredjepartstjenester: En vurdering af, hvordan hændelser hos leverandører kan påvirke organisationen, og strategier for at imødegå disse risici, f.eks. spredning på flere leverandører eller opbygning af stærkere partnerskaber.
  

• Cyberresiliens og sikkerhedsforanstaltninger: Ud over traditionelle BCM-elementer bør planerne omfatte specifikke tiltag for at forstærke cybersikkerheden, herunder løbende risikovurderinger, opdatering af sikkerhedsprotokoller og træning af medarbejdere i cybersikkerhed.
  

• Regelmæssig revision og opdatering af BCM-planer: En proces for løbende at evaluere og opdatere BCM-planerne. Dermed sikrer man, at planerne bliver ved med at være relevante og effektive, i takt med nye trusler, teknologiske ændringer og udvikling af forretningen.

Hvilke faldgruber bør man være opmærksom på?

Udvikling og vedligeholdelse af en grundig BCM-strategi kan være ressourcekrævende. For at komme i mål kan man starte med at fokusere på de mest kritiske elementer først og gradvist udvide planerne.

Uden stærk støtte fra ledelsen kan BCM-initiativer mangle de nødvendige ressourcer og opmærksomhed.

Medarbejderne kan være imod forandringer og derfor også imod nye procedurer. Løbende kommunikation, uddannelse og inddragelse af medarbejdere i udviklingen af BCM-planer kan give en forståelse og positiv kultur, så din virksomhed kan være forberedt og modstandsdygtig.