Kategori 3 av 10 · Art. 21(2)(c)

Driftskontinuitet og krisehåndtering

Virksomheten skal kunne opprettholde eller raskt gjenopprette kritiske tjenester ved alvorlige hendelser. Inkluderer backup-rutiner, disaster recovery og kriseplaner.

3.1

Har dere identifisert hvilke IT-systemer og tjenester som er kritiske for virksomhetens drift?

Kritisk

Ikke alt er like viktig. En prioritert liste over systemer (med akseptabel nedetid for hvert) lar dere fokusere gjenopprettingsarbeidet riktig. Eksempel: "E-post kan være nede i 24 timer, men ERP-systemet maksimalt 4 timer."

3.2

Tar dere regelmessig backup av kritiske systemer og data?

Kritisk

Backup er grunnmuren i driftskontinuitet. Vurder: Tas backup automatisk? Hvor ofte? Lagres den adskilt fra produksjonsmiljøet (offline/offsite)? Mange oppdager for sent at backupen ikke dekker det de trodde.

3.3

Har dere testet at backup faktisk kan gjenopprettes?

Kritisk

En backup du aldri har testet gjenoppretting av, er en backup du ikke kan stole på. Test gjenoppretting regelmessig — minst årlig for kritiske systemer.

3.4

Finnes det en dokumentert plan for driftskontinuitet (BCP) eller gjenoppretting (DRP)?

Viktig

En driftskontinuitetsplan beskriver hvordan virksomheten opprettholder kritisk drift under og etter en krise. Den trenger ikke være perfekt — men uten den improviserer dere under press, og det går sjelden bra.

3.5

Har dere avtaler med leverandører som sikrer støtte ved alvorlige hendelser?

Viktig

Hvis IT-driften avhenger av eksterne leverandører (hosting, programvare, support), bør avtalene dekke responstider og ansvarsfordeling ved kriser. Sjekk SLA-ene.

3.6

Er krisehåndteringsplanen kommunisert til relevante ansatte?

Standard

En plan som bare IT kjenner til, er ikke en organisasjonsplan. Nøkkelpersoner — inkludert ledelse, kommunikasjon og drift — bør vite sin rolle.