Beredskabsplan (BCP)

En beredskabsplan (Business Continuity Plan) er et dokument, der beskriver, hvordan din organisation opretholder kritiske forretningsfunktioner under og efter en krise. Planen identificerer risici, definerer roller og ansvar og fastlægger procedurer for at minimere nedetid og tab.

Tilbage til ordbog

Hvad er en beredskabsplan?

En beredskabsplan (BCP) er din organisations samlede plan for at overleve en krise. Det kan være alt fra et cyberangreb og strømsvigt til en pandemi eller brand. Formålet er enkelt: du skal kunne fortsætte dine vigtigste forretningsprocesser, selv når noget går helt galt.

BCP adskiller sig fra en katastrofegendannelsesplan (disaster recovery) ved at dække hele organisationen og ikke kun IT. Hvor katastrofegendannelse handler om at få systemer op at køre igen, handler beredskabsplanlægning om at holde forretningen kørende under selve krisen.

En god beredskabsplan bygger på en grundig risikovurdering, der kortlægger, hvilke trusler der er mest sandsynlige og mest skadelige. På den baggrund prioriterer du, hvilke funktioner der er kritiske, og hvor hurtigt de skal være operative igen.

Indhold i en beredskabsplan

En effektiv beredskabsplan indeholder typisk disse elementer:

Business Impact Analysis (BIA): En analyse af, hvilke forretningsprocesser der er kritiske, og hvad konsekvensen er, hvis de stopper. Her fastlægger du Recovery Time Objective (RTO) og Recovery Point Objective (RPO) for hvert system.
Roller og ansvar: Hvem gør hvad, når krisen rammer? Planen skal udpege en krisestab og definere klare kommandoveje.
Kommunikationsplan: Hvordan informerer du medarbejdere, kunder, myndigheder og leverandører? Du skal have kontaktlister og skabeloner klar på forhånd.
Procedurer for kritiske processer: Trin-for-trin-vejledninger til at opretholde eller genoprette hver kritisk funktion.
IT-beredskab: Her overlapper planen med din katastrofegendannelsesstrategi, herunder backup-procedurer og failover-løsninger.
Leverandørhåndtering: Identifikation af kritiske leverandører og alternative løsninger. Tredjepartsrisiko skal indgå i vurderingen.

Planen skal dokumenteres som en del af dine politikker og procedurer og være tilgængelig for alle relevante medarbejdere, også når de normale systemer er nede.

Regulatoriske krav til beredskab

Flere reguleringer stiller direkte eller indirekte krav om beredskabsplanlægning:

GDPR kræver i artikel 32, at du kan genoprette tilgængeligheden af personoplysninger rettidigt efter en hændelse. Det forudsætter i praksis en beredskabsplan og en teststrategi.

NIS2-direktivet stiller eksplicitte krav om forretningskontinuitet for væsentlige og vigtige enheder. Du skal have beredskabsplaner, krisestyringsprocesser og procedurer for hændelsesrespons.

DORA (Digital Operational Resilience Act) gælder for finansielle virksomheder og stiller detaljerede krav om IKT-kontinuitetsplaner, test af disse og rapportering til tilsynsmyndigheder.

ISO 27001 adresserer beredskab i Annex A og kræver, at din informationssikkerhedspolitik omfatter kontinuitetsstyring. En struktureret tilgang gennem et ISMS gør det lettere at integrere beredskabsplanlægning i den daglige drift.

Test og vedligeholdelse

En beredskabsplan, der aldrig er testet, er ikke en plan. Den er et dokument. Test er det, der afgør, om planen holder i praksis.

Der er flere måder at teste på:

Skrivebordsøvelse: Teamet gennemgår et scenarie mundtligt og identificerer huller i planen.
Simuleret øvelse: En mere realistisk test, hvor udvalgte processer faktisk aktiveres.
Fuld test: Hele organisationen agerer, som om krisen er reel. Dette er den mest krævende, men også den mest lærerige testform.

Efter hver test skal du dokumentere resultaterne, identificere svagheder og opdatere planen. Denne cyklus minder om den løbende forbedring, du kender fra intern revision og ledelsesgennemgang.

Planen skal også opdateres, når organisationen ændrer sig: nye systemer, nye lokationer, nye leverandører eller nye regulatoriske krav. Gør vedligeholdelse til en fast del af din compliance-ramme.

Ofte stillede spørgsmål om beredskabsplan (bcp)

Hvad er forskellen på en beredskabsplan og en katastrofegendannelsesplan?

En beredskabsplan dækker hele virksomhedens evne til at fortsætte drift under en krise, mens en katastrofegendannelsesplan (disaster recovery) fokuserer specifikt på at genoprette IT-systemer og data efter et nedbrud.

Hvem har ansvaret for beredskabsplanen?

Ledelsen har det overordnede ansvar for beredskabsplanen. I praksis udpeger de fleste organisationer en beredskabskoordinator eller et team, der vedligeholder og tester planen løbende.

Hvor ofte skal en beredskabsplan testes?

Best practice er at teste beredskabsplanen mindst én gang om året. Ved væsentlige organisatoriske ændringer, nye systemer eller efter en faktisk hændelse bør du teste oftere.

Kræver GDPR en beredskabsplan?

GDPR stiller krav om evnen til at genoprette tilgængeligheden af personoplysninger rettidigt ved en fysisk eller teknisk hændelse (artikel 32). En beredskabsplan er den mest effektive måde at dokumentere og sikre dette på.