Beredskabsplan

En beredskabsplan er en dokumenteret plan for, hvordan organisationen opdager, håndterer og genopretter sig efter et cyberangreb eller en alvorlig it-hændelse. Under NIS2 er dokumenterede beredskabsplaner og regelmæssig testning et krav for alle væsentlige og vigtige enheder.

Tilbage til ordbog

Hvad er en beredskabsplan?

En beredskabsplan (også kaldet en cyber incident response plan eller it-beredskabsplan) er et struktureret, forhåndsgodkendt dokument, der definerer, hvem der gør hvad, når en sikkerhedshændelse opstår. Planen sikrer, at organisationen kan reagere hurtigt, begrænse skaden og genoprette normal drift så effektivt som muligt.

Uden en dokumenteret plan vil hændelseshåndtering ofte være ad hoc, langsom og fejlbehæftet — netop når hurtighed og klarhed er mest afgørende. En veltestet plan hænger tæt sammen med kontinuitetsstyring og er en del af organisationens overordnede resiliensstrategi.

NIS2’s krav til beredskabsplaner

Under NIS2 artikel 21 skal væsentlige og vigtige enheder implementere foranstaltninger til hændelseshåndtering, forretningskontinuitet og krisestyring. Dette inkluderer eksplicit:

Dokumenterede procedurer for opdagelse, analyse og klassificering af hændelser.
Hændelsesrapportering til den relevante CSIRT eller kompetente myndighed inden for de fastsatte tidsfrister (tidlig varsling inden for 24 timer, fuld notifikation inden for 72 timer).
Definerede eskaleringsprocedurer og kommunikationskanaler.
Regelmæssig testning og revision af planen (f.eks. gennem skrivebordsøvelser eller simulationer).

Testning er ikke valgfrit: NIS2 forventer, at organisationer tester deres beredskabsplaner regelmæssigt. En utestet plan giver en falsk tryghed. Skrivebordsøvelser og simulerede hændelsesøvelser afslører huller, før en rigtig hændelse gør det.

Hvad skal en beredskabsplan indeholde?

En omfattende beredskabsplan dækker typisk følgende faser:

Forberedelse: Definition af incident response-teamet, roller og ansvar, kommunikationskanaler og eskaleringstærskler.
Opdagelse og analyse: Hvordan hændelser opdages (overvågning, alarmer, rapporter), hvordan de triageres og klassificeres efter alvorlighed.
Inddæmning: Øjeblikkelige handlinger for at begrænse udbredelsen og konsekvenserne af hændelsen (f.eks. isolering af berørte systemer, blokering af ondsindet trafik).
Udryddelse og genopretning: Fjernelse af den grundlæggende årsag, gendannelse af systemer fra backups og verificering af, at miljøet er rent, før normal drift genoptages.
Evaluering efter hændelsen: Dokumentation af hvad der skete, hvad der virkede, hvad der ikke virkede, og hvilke forbedringer der bør foretages. Erfaringer skal fødes tilbage i planen.

Beredskabsplanen og andre frameworks

Beredskabsplanen er ikke unik for NIS2. ISO 27001 adresserer hændelseshåndtering gennem kontrollerne 5.24–5.28, og NIS2-sikkerhedsforanstaltninger ligger tæt op ad disse krav. Planen bør også referere til relevante CSIRT-kontaktoplysninger og organisationens IKT-kontinuitetsplan for genopretningsprocedurer.

Uanset framework er den afgørende succesfaktor den samme: planen skal være kendt, tilgængelig og regelmæssigt testet af de mennesker, der skal udføre den under pres.

Ofte stillede spørgsmål om beredskabsplan

Hvad er en beredskabsplan?

En beredskabsplan er en dokumenteret, forhåndsgodkendt plan, der definerer, hvordan en organisation opdager, håndterer og genopretter sig efter cyberangreb eller alvorlige it-hændelser. Den specificerer roller, ansvar, procedurer og kommunikationskanaler.

Kræver NIS2 en beredskabsplan?

Ja. NIS2 artikel 21 kræver, at væsentlige og vigtige enheder implementerer foranstaltninger til hændelseshåndtering, forretningskontinuitet og krisestyring, hvilket inkluderer en dokumenteret og regelmæssigt testet beredskabsplan.

Hvor ofte skal beredskabsplanen testes?

NIS2 forventer regelmæssig testning. Best practice er at gennemføre mindst én større øvelse (f.eks. en skrivebordsøvelse eller fuld simulation) årligt, suppleret af mindre øvelser. Planen bør også revideres og opdateres efter enhver reel hændelse.

Hvad er de vigtigste faser i hændelseshåndtering?

Standardfaserne er: (1) forberedelse, (2) opdagelse og analyse, (3) inddæmning, (4) udryddelse og genopretning, og (5) evaluering efter hændelsen. Hver fase har definerede handlinger, ansvar og dokumentationskrav.

Hvad er forskellen på en beredskabsplan og en forretningskontinuitetsplan?

En beredskabsplan fokuserer på at opdage, inddæmme og løse en specifik sikkerhedshændelse. En forretningskontinuitetsplan er bredere og dækker, hvordan organisationen opretholder eller genopretter kritiske forretningsfunktioner under og efter enhver form for forstyrrelse, ikke kun cyberhændelser.