En kontinuitetsplan (Business Continuity Plan, BCP) är företagets försäkring mot att en störning förvandlas till en katastrof. Det handlar om att acceptera att avbrott, vare sig de beror på cyberattacker, systemfel eller naturkatastrofer, kommer att ske, och att ha en färdig plan för hur ni överlever dem.
Målet är att minimera den tid verksamheten står stilla och säkerställa att ni kan leverera era mest kritiska tjänster även när förutsättningarna är som sämst.
Vad innehåller en effektiv kontinuitetsplan?
En bra BCP är en konkret handbok som aktiveras när den ordinarie verksamheten sviktar. För att den ska fungera i praktiken baseras den på en konsekvensanalys (Business Impact Analysis, BIA) där ni identifierar vad som faktiskt händer om en specifik process stannar.
Genom BIA:n sätter ni två tidsmål per kritisk process - och det är viktigt att förstå skillnaden mellan dem:
RTO – Recovery Time Objective Hur länge får ett system eller en process vara nere innan skadan blir oacceptabel? RTO är en affärsbeslut, inte ett IT-beslut. Om er betallösning har ett RTO på 2 timmar måste IT kunna leverera återställning inom den ramen - oavsett vad det kostar att uppnå det. Typiska RTO-nivåer varierar kraftigt beroende på process:
| Systemtyp | Typiskt RTO |
|---|---|
| Betalning och transaktioner | 1–4 timmar |
| Kundkommunikation och CRM | 4–24 timmar |
| Intern administration | 24–72 timmar |
| Arkiv och rapportering | Dagar till veckor |
Utan definierade RTO:er riskerar ni att IT prioriterar återställning i fel ordning under en kris.
RPO – Recovery Point Objective Hur mycket data har ni råd att förlora? Om ert RPO är 4 timmar måste ni ha backup var fjärde timme - annars förlorar ni mer data än ni accepterat. För ett företag som hanterar kontinuerliga transaktioner kan RPO behöva vara nära noll, medan en intern kunskapsdatabas kan tolerera ett dygns dataförlust.
RPO styr direkt hur ofta ni måste ta backup och var den lagras - och är därmed ett av de mest kostnadsavgörande besluten i en BCP.
I planen beskriver ni sedan de reservrutiner och resurser som krävs för att hålla igång verksamheten inom de RTO/RPO-ramar ni satt. Det kan handla om manuella arbetssätt när systemen ligger nere, men också om att säkra alternativ kriskommunikation som inte är beroende av företagets ordinarie infrastruktur.
Planen ska också tydliggöra vem som äger mandatet att fatta beslut under krisen, så att organisationen inte förlamas av osäkerhet kring ledarskap när snabbhet är avgörande. Detta är en central del av en bredare incidenthantering.
Övning ger färdighet – så testar ni planen
En plan som aldrig har testats är i praktiken bara ett antagande. För att veta att era reservrutiner faktiskt fungerar under press behöver ni öva regelbundet genom en stegvis validering:
- Skrivbordsövningar: Samla nyckelpersoner och gå igenom ett fiktivt scenario. Hur reagerar organisationen? Vem ringer vem? Här hittar ni ofta de första logiska luckorna i planen.
- Simuleringar: Gå ett steg längre och testa specifika delar i praktiken. Kan ni återställa en backup inom utsatt tid? Fungerar reservström eller alternativa inloggningsmetoder som planerat?
- Fullskaliga tester: Den mest avancerade nivån där ni faktiskt går över till reservdrift för en del av verksamheten. Det ger det slutgiltiga kvittot på er motståndskraft.
Målet med övningen är inte att allt ska gå perfekt, utan att identifiera brister i en säker miljö så att ni hinner åtgärda dem innan en verklig kris inträffar.
Varför är kontinuitetsplanering avgörande?
Att sakna en fungerande plan är idag en affärsrisk som sträcker sig långt utanför IT-avdelningen. Den främsta anledningen är ekonomisk överlevnad; varje timme av driftstopp innebär inte bara förlorade intäkter, utan ofta även skadestånd och dryga kostnader för akut återställning. En genomarbetad plan sänker dessa kostnader genom att ersätta reaktiv panik med strukturerat agerande.
Samtidigt ökar kraven från omvärlden. I en sammanlänkad leveranskedja är er stabilitet avgörande för era kunders trygghet, och att kunna visa upp en robust BCP blir allt oftare ett krav i upphandlingar för att hantera leverantörsberoenden.
För många företag är det dessutom ett lagkrav - och kraven är nu i kraft.
Vad kräver NIS2 av er kontinuitetsplan?
Artikel 21 (c) i NIS2-direktivet ställer explicita krav på kontinuitet som en av de obligatoriska säkerhetsåtgärderna. Konkret innebär det att ni måste ha på plats:
- Dokumenterad backuphantering - regelbundna, testade säkerhetskopior av kritisk data med definierade RPO:er
- Disaster recovery-rutiner - dokumenterade och testade processer för återställning av system inom definierade RTO:er
- Krishanteringsplan - tydliga roller, eskaleringsvägar och kommunikationsrutiner för när en incident inträffar
Det räcker inte att ha backuper - ni måste kunna visa att ni testat dem. Tillsynsmyndigheten kan begära dokumentation på att era återställningsrutiner faktiskt fungerar.
Vad räknas som tillräckligt? NIS2 specificerar inte exakta RTO/RPO-värden - det är ett medvetet val. Kravet är istället att era mål är satta utifrån en riskbaserad analys (BIA) och att ni kan motivera varför de är tillräckliga givet er verksamhet och era risker. En organisation som hanterar samhällskritisk infrastruktur förväntas ha avsevärt kortare RTO:er än ett mindre bolag i leveranskedjan.
Utöver NIS2 gäller DORA-förordningen för finanssektorn och det kompletterande CER-direktivet för fysisk motståndskraft - med liknande men delvis skarpare krav på kontinuitetstestning.
I sista hand handlar det om att ge organisationen beslutsstöd under extrem press. Under en kris försämras förmågan att fatta komplexa beslut, men genom att ha tänkt igenom de värsta scenarierna i förväg skapar ni den trygghet som krävs för att lotsa företaget igenom störningen.
Att bygga motståndskraft handlar inte om att undvika kriser, utan om att ha kontroll när de inträffar. Har ni testat hur er organisation agerar om ert viktigaste system ligger nere imorgon bitti?
