NIS2

Katastrofåterställning är en styrningsfråga — inte bara en teknisk utmaning

Katastrofåterställning handlar inte bara om backup. Det är en styrningsfråga som kräver tydligt ägarskap och planering för att fungera när det gäller.

Securapilot
Securapilot Compliance-experter
5 min läsning
  1. Cybersäkerhetslagen
    Cybersäkerhetslagen kräver åtgärder baserade på en allriskansats
    SFS 2025:1506
  2. NIS2
    NIS2 Artikel 21 ställer krav på verksamhetskontinuitet och krishantering
    NIS2-direktivet
  3. Många
    Många organisationer saknar plan för att återfå administrativ kontroll vid komprometterade identitetssystem
    Branschobservation
Ledningsgrupp diskuterar katastrofåterställning och styrning i ett modernt mötesrum

Varför är katastrofåterställning en styrningsfråga?

Vad händer med din organisation om identitetssystemet, nätverket och åtkomstvägarna försvinner samtidigt? De flesta vet vilka system som är kritiska. Men få har en plan för hur de ska återfå kontrollen när själva styrningen är borta.

I Sverige understryker cybersäkerhetslagen (SFS 2025:1506) denna nödvändighet. Ändå har många organisationer ännu inte förstått vad det innebär i praktiken.

Misslyckanden i katastrofåterställning börjar ofta långt innan backuper slutar fungera. Det verkliga problemet är brist på planering för att återupprätta styrning och kontroll. Du vet vilka tillgångar som är värdefulla — men har du kartlagt hur du håller dem i drift när grunderna sviktar?

Den förbisedda grunden som allt vilar på

Vi litar på IT-infrastruktur ungefär som vi litar på att vatten kommer ur kranen. Identitetshantering, åtkomstvägar och nätverkskontroller tas för givna — som om de alltid fungerar.

Men under en verklig katastrof bryter dessa antaganden samman.

När kontrollplanet — de system som styr åtkomst och behörighet — är förlorat eller komprometterat:

  • Försvinner identitetssystemet som ger åtkomst till en applikation? Då kan applikationen inte återställas.
  • Är nätverksinfrastrukturen otillgänglig? Då går det inte att köra återställningsjobbet.
  • Saknas systemen som behövs för eskalering? Då kan ingen fatta de nödvändiga besluten.

Det här är inte ett osannolikt scenario. Det är ett förutsebart felläge som du måste hantera proaktivt.

Delat ansvar, otydligt ägarskap

I grunden handlar det om ägarskap. De grundläggande återställningsstegen — det som måste ske innan allt annat — berör flera team. Identitet, nätverk, infrastruktur, säkerhet och drift har alla sina egna prioriteringar och rapporteringsstrukturer.

Varje team äger sin domän

Identitetsteamet hanterar identiteter, nätverksteamet hanterar nät, infrastruktur hanterar servrar. Men ingen enskild instans bestämmer ordningen för återställning.

Ansvar utan beslutsmakt

Problemet uppstår när ansvar separeras från befogenheten att fatta beslut. Eller när riskägarskap frikopplas från dem som kan prioritera resurser.

Svårigheten beror inte på bristande förmåga. Den beror på avsaknaden av ett samlat mandat för återställningen.

Vad kräver cybersäkerhetslagen?

Denna styrningsutmaning är särskilt viktig i Sverige och i hela Europa. Cybersäkerhetslagen kräver att operatörer vidtar lämpliga åtgärder baserade på en allriskansats. Tre nyckelåtgärder sticker ut:

Åtgärd 3: Verksamhetskontinuitet och krishantering — inte bara planer, utan handlingsbara förmågor som går bortom dokumentation.

Åtgärd 9: Hantering av personalsäkerhet, åtkomstkontroll och tillgångshantering — vem har åtkomst till vad, under vilka förhållanden, och hur upprätthålls det?

Åtgärd 10: Flerfaktorsautentisering, säker kommunikation och nödkommunikation — traditionella kanaler kanske inte fungerar under en kris.

Sammantaget kräver lagen att din organisation har en återställningsplan som fungerar även när de vanliga styrningsstrukturerna är borta. Det är här många organisationer kämpar idag.

Varför håller inte dina RTO- och RPO-mål?

Många organisationer har väldefinierade mål för återställningstid (Recovery Time Objective, RTO) och acceptabel dataförlust (Recovery Point Objective, RPO). De syns i kontinuitetsplaner, riskregister och styrelseunderlag.

Men målen har sällan integrerats eller testats mot varandra.

Vad som presenterasVerkligheten
”RTO: 4 timmar”Aldrig testat i en verklig återställning
”RPO: 24 timmar”Förutsätter att identitetssystemet fungerar
”Kritiska system prioriterade”Ingen definierad ordning för grundläggande beroenden
”Backuper finns”Återställningen kräver system som också är nere

Utan förutsättningarna på plats förblir dessa mål siffror kopplade till en oprövad åtgärdskedja. Du behöver veta hur du återfår administrativ kontroll när identitetssystem är komprometterade. Du behöver säkerställa att återställningen inte är beroende av produktionsmiljöer som inte fungerar.

Styrning framför teknik

Hur du ska agera om du arbetar med NIS2-direktivet och cybersäkerhetslagen? Börja med styrningen.

Verklig styrning fångas inte i policydokument eller ramverk. Den finns i de operativa beslut som avgör om din organisation kan återhämta sig i kris.

Robusta styrningsstrukturer ger motståndskraft och handlingsberedskap. De förbereder dig för en trygg återhämtning — oavsett scenario.

  1. Kartlägg beroendekedjorna Identifiera vilka system som måste vara igång innan andra kan återställas. Identitetssystem, nätverksinfrastruktur och åtkomstvägar kommer typiskt först.
  2. Etablera ett enda mandat Utse en funktion med befogenhet att styra den övergripande återställningsordningen — tvärs över team och domäner.
  3. Validera era RTO- och RPO-mål Testa dem mot verkliga förutsättningar, inklusive scenarier där kontrollplanet är förlorat.
  4. Planera för bortfall av konventionell styrning Säkerställ att återställningsplanen fungerar även när identitetssystem, nätverk och beslutsvägar inte är tillgängliga via normala kanaler.
  5. Öva regelbundet Genomför övningar som testar inte bara teknisk återställning utan även styrning, beslutsfattande och kommunikation under kris.

Nästa steg: från reaktivt till proaktivt

Katastrofåterställning handlar inte om att vara reaktiv. Det handlar om att förbereda sig innan krisen slår till.

Securapilots modul för verksamhetskontinuitet hjälper dig att bygga den styrningsstruktur som krävs — med stöd för beroendekartläggning, ansvarsfördelning och regelbunden validering av återställningsförmåga.

Fördjupa dig i vår guide till operationell resiliens och lär dig mer om praktisk incidentberedskap.

Vanliga frågor

Varför är katastrofåterställning en styrningsfråga?

Därför att misslyckanden sällan beror på att backuper inte fungerar. Det underliggande problemet är typiskt brist på planering för hur styrning och kontroll ska återupprättas — vem beslutar vad, i vilken ordning, och med vilken behörighet.

Vad säger cybersäkerhetslagen om katastrofåterställning?

SFS 2025:1506, i linje med NIS2-direktivet, kräver lämpliga och proportionella åtgärder baserade på en allriskansats. Det inkluderar verksamhetskontinuitet, krishantering, åtkomstkontroll och säker nödkommunikation.

Vad är skillnaden mellan RTO och RPO?

RTO (Recovery Time Objective) anger hur snabbt verksamheten ska kunna återställas. RPO (Recovery Point Objective) anger hur mycket data man kan tolerera att förlora. Båda är meningslösa om de aldrig validerats mot verkliga förutsättningar.

Hur börjar man förbättra katastrofåterställningen?

Börja med att kartlägga beroendekedjorna: vilka system måste vara igång innan andra kan återställas? Identifiera vem som äger varje steg och säkerställ att det finns en enda mandat som styr den övergripande återställningsordningen.

#katastrofåterställning#styrning#NIS2#cybersäkerhetslagen#kontinuitet#resiliens#governance

Vi använder anonym statistik utan cookies för att förbättra webbplatsen. Läs mer