IKT-kontinuitetsplan

En IKT-kontinuitetsplan er en forretningskontinuitetsplan specifikt for IKT-systemer og -tjenester. Under DORA er finansielle enheder forpligtet til at have dokumenterede og testede IKT-kontinuitetsplaner for at sikre driftskontinuitet under og efter alvorlige IKT-forstyrrelser.

Tilbage til ordbog

Hvad er en IKT-kontinuitetsplan?

En IKT-kontinuitetsplan (ICT Business Continuity Plan) er et dokument, der beskriver, hvordan organisationen opretholder kritiske IKT-funktioner under en alvorlig forstyrrelse, og hvordan den genopretter normal drift hurtigst muligt. Den er en del af den bredere forretningskontinuitetsplan, men med specifikt fokus på IKT-systemer og -tjenester.

Under DORA skal IKT-kontinuitetsplaner være mere end blot dokumenter – de skal testes, og der skal fastsættes konkrete mål for genoprettelsestid og dataintegritet.

DORA's krav til IKT-kontinuitet

DORA artikel 11 fastlægger kravene til IKT-kontinuitetsplaner. Planen skal som minimum adressere:

Aktiveringsprocedurer: Procedurer for at aktivere planen og de nødvendige eskaleringstrin.
Backup og gendannelse: Backup- og gendannelsesprocedurer, herunder RTO- og RPO-mål.
Roller og ansvar: Klar tildeling af roller og ansvar under aktivering af planen.
Kommunikationsprocedurer: Kommunikationsprotokoller for medarbejdere, IKT-tredjeparter og myndigheder.
Kritisk tjenestekontinuitet: Procedurer for at sikre, at kritiske tjenester kan opretholdes i nødsituationer.
Overgang til backup-systemer: Procedurer for overgang til backup-systemer og -lokationer.

Test er obligatorisk og dokumenteret: DORA kræver, at finansielle enheder tester IKT-kontinuitetsplanerne mindst én gang om året og efter væsentlige ændringer. Testresultaterne skal dokumenteres og kommunikeres til ledelsen.

RTO og RPO-mål

En central del af IKT-kontinuitetsplanen er fastsættelse af:

RTO (Recovery Time Objective): Den maksimalt acceptable tid fra en forstyrrelse opstår, til systemet er gendannet. Eks: "kritiske betalingssystemer skal være gendannet inden for 4 timer."
RPO (Recovery Point Objective): Det maksimalt acceptable datatabtidspunkt. Eks: "maksimalt 15 minutters datatab er acceptabelt for handelssystemer."

DORA kræver, at disse mål fastsættes og prioriteres baseret på kritikaliteten af de pågældende IKT-systemer og de finansielle tjenester, de understøtter.

Ofte stillede spørgsmål om ikt-kontinuitetsplan

Hvad er forskellen på en IKT-kontinuitetsplan og en beredskabsplan?

En IKT-kontinuitetsplan er specifikt fokuseret på at opretholde og genoprette IKT-systemer og -tjenester under en forstyrrelse. En beredskabsplan (incident response plan) fokuserer på at håndtere og begrænse en specifik hændelse. Begge planer er komplementære og bør koordineres.

Hvor ofte skal IKT-kontinuitetsplaner testes under DORA?

DORA kræver, at finansielle enheder tester deres IKT-kontinuitetsplaner mindst én gang om året og efter væsentlige ændringer i IKT-systemer eller processer. Testresultaterne skal dokumenteres og rapporteres til ledelsen.

Hvad er RTO og RPO i DORA-sammenhæng?

RTO (Recovery Time Objective) er den maksimalt acceptable tid til at gendanne et system efter en forstyrrelse. RPO (Recovery Point Objective) er det maksimalt acceptable datatab målt i tid. DORA kræver, at disse mål fastsættes for alle kritiske IKT-systemer.

Kræver DORA separate kontinuitetsplaner for hvert kritisk system?

DORA foreskriver ikke én plan per system, men kræver, at alle kritiske og vigtige IKT-systemer og -tjenester er dækket af IKT-kontinuitetsplaner. Organisationer kan strukturere deres planer efter behov, forudsat at alle kritiske funktioner er adresseret.

Hvilken rolle spiller ledelsen i IKT-kontinuitet under DORA?

Ledelsen er ansvarlig for at godkende IKT-kontinuitetsplanerne, sikre tilstrækkelige ressourcer, gennemgå testresultater og overvåge den løbende effektivitet af kontinuitetsforanstaltningerne. DORA placerer direkte ansvar hos ledelsesorganet.