NIS2 Art. 21(2)(c)
Driftskontinuitet og krisehåndtering
Hva krever direktivet?
NIS2 Artikkel 21(2)(c) krever tiltak for å opprettholde eller raskt gjenopprette kritiske tjenester ved alvorlige hendelser. Dette inkluderer backup-rutiner, gjenopprettingsplaner og krisehåndtering. Planene skal ikke bare eksistere. De skal være testet og forankret i ledelsen.
Hva betyr dette i praksis?
- Identifiser hvilke systemer og tjenester som er kritiske, og definer akseptabel nedetid for hvert system.
- Ta regelmessig backup av kritiske systemer og lagre den adskilt fra produksjonsmiljøet (offsite).
- Test gjenoppretting fra backup jevnlig: en backup som aldri er testet kan ikke stoles på.
- Ha en dokumentert driftskontinuitetsplan (BCP) som er kommunisert til alle relevante ansatte.
Spørsmål fra egenvurderingen
Her er noen av spørsmålene Kravklar bruker for å vurdere denne kategorien:
3.1 Har dere identifisert hvilke IT-systemer og tjenester som er kritiske for virksomhetens drift?
Ikke alt er like viktig. En prioritert liste over systemer (med akseptabel nedetid for hvert) lar dere fokusere gjenopprettingsarbeidet riktig. Eksempel: "E-post kan være nede i 24 timer, men ERP-systemet maksimalt 4 timer."
3.2 Tar dere regelmessig backup av kritiske systemer og data?
Backup er grunnmuren i driftskontinuitet. Vurder: Tas backup automatisk? Hvor ofte? Lagres den adskilt fra produksjonsmiljøet (offline/offsite)? Mange oppdager for sent at backupen ikke dekker det de trodde.
3.3 Har dere testet at backup faktisk kan gjenopprettes?
En backup du aldri har testet gjenoppretting av, er en backup du ikke kan stole på. Test gjenoppretting regelmessig — minst årlig for kritiske systemer.
3.4 Finnes det en dokumentert plan for driftskontinuitet (BCP) eller gjenoppretting (DRP)?
En driftskontinuitetsplan beskriver hvordan virksomheten opprettholder kritisk drift under og etter en krise. Den trenger ikke være perfekt — men uten den improviserer dere under press, og det går sjelden bra.