NIS2

Hændelsesparathed i praksis: Når planen møder virkeligheden

Alle har en hændelseshåndteringsplan. Få har testet den. Her er, hvordan du bygger en parathed, der fungerer klokken tre om natten.

K
Kim Borg
5 min læsning
  1. 24
    timer til initial hændelsesrapportering til CFCS
    NIS2-direktivet Artikel 23
  2. 277
    dage er gennemsnitlig tid til at identificere og begrænse et indbrud
    IBM Cost of a Data Breach 2025
  3. Organisationer
    Organisationer med øvet hændelsesplan sparer 2,7 mio. DKK per hændelse
    IBM Cost of a Data Breach 2025
Incident response team collaborating during a crisis exercise

Planen som aldrig blev testet

Alle har en hændelseshåndteringsplan. Den ligger i et delt dokument et sted, måske opdateret senest ved sidste års revision. Den indeholder flowdiagrammer, rollebeskrivelser og kontaktlister. På papiret ser den komplet ud.

Så sker der noget. Klokken 03:14 en fredag nat udløser overvågningssystemet en alarm. Ransomware spreder sig gennem netværket. Og pludselig står organisationen over for spørgsmål, som planen aldrig besvarede: Hvem træffer beslutning om at lukke produktionssystemerne ned? Hvem ringer til bestyrelsesformanden? Hvem taler med medierne? Hvor findes offsite-backups — og virker de?

Virkeligheden: Organisationer med en testet og øvet hændelsesplan sparer i gennemsnit 2,7 mio. DKK per hændelse sammenlignet med dem, der ikke øver. Forskellen handler ikke om at have en plan — det handler om, at planen fungerer under pres.

Fire dele i en parathed, der fungerer

En effektiv hændelseshåndteringsplan handler ikke om at have et perfekt dokument. Det handler om, at alle involverede ved, hvad de skal gøre uden at skulle læse dokumentet under igangværende krise.

1. Eskaleringsruter

Hvem kontaktes ved hvilken type hændelse? Hvem træffer beslutning om at eskalere fra IT-hændelse til virksomhedskrise? Definer klare tærskelværdier: ved X kontaktes CISO, ved Y kontaktes CEO, ved Z aktiveres krisegruppen. Ingen vage formuleringer — konkrete navne og numre.

2. Rollefordeling

Hændelsesleder, teknisk ansvarlig, kommunikationsansvarlig, juridisk kontakt, ekstern kontakt til myndigheder. Hver rolle har brug for en primær person og en backup. Roller bør tildeles baseret på kompetence og tilgængelighed — ikke organisatorisk position.

3. Kommunikationsskabeloner

Under en krise er der ingen tid til at skrive meddelelser fra bunden. Forbered skabeloner til intern kommunikation til medarbejdere, ekstern kommunikation til kunder, myndigheds­rapportering til CFCS, og medieuttalelser. Tilpas detaljerne under hændelsen — ikke strukturen.

4. Teknisk isolering

Hvordan isolerer I ramte systemer hurtigt uden at tage hele virksomheden ned? Hvilke netværkssegmenter kan lukkes af? Hvor findes kill-switches? Har I forberedt segmenteringsstrategier, der kan aktiveres manuelt, hvis automatikken ikke fungerer?

Øvelse: Det skridt, alle springer over

De fleste organisationer stopper ved dokumentation. Planen skrives, godkendes af ledelsen og arkiveres. Øvelse? “Der er ikke tid til det.” “Det er for kompliceret at organisere.” “Vi ved alligevel, hvad vi skal gøre.”

Nej, det gør I ikke. Ikke under stress, ikke midt om natten, ikke når systemerne brænder, og telefonen ringer uafbrudt.

Tabletop-øvelser: Start her

En tabletop-øvelse kræver ingen teknologi. Saml teamet, præsenter et scenarie, og diskuter skridt for skridt: hvad gør vi først? Hvem kontakter vi? Hvilken information har vi brug for? Hvor finder vi den?

Eksempel på tabletop-scenarie:

Det er fredag kl. 16:30. En medarbejder rapporterer, at vedkommende ikke kan få adgang til filserveren. IT undersøger og finder krypterede filer med en besked om løsepenge. Krypteringen spreder sig aktivt. I har 24 timer til at rapportere til CFCS.

Diskuter:

  1. Hvilke beslutninger træffes de første 15 minutter?
  2. Hvem informeres og i hvilken rækkefølge?
  3. Hvordan kommunikerer I internt, hvis e-mailsystemet er ramt?
  4. Hvilke systemer kan I lukke ned, og hvilke skal fortsætte med at køre?
  5. Hvem skriver rapporten til CFCS — og hvad skal den indeholde?

Tabletop-øvelser afslører huller, som ingen dokumentanalyse kan finde: at kontaktlisten er forældet, at backup-ansvarlig stoppede for tre måneder siden, at ingen ved, hvem der har root-adgangskoden til produktionsserveren.

Fuldskala øvelser: Næste niveau

Når tabletop-øvelser fungerer godt, udvid til fuldskala simuleringer, hvor I faktisk aktiverer jeres processer. Det tester ikke kun beslutningstagning, men også teknisk kapacitet: fungerer backup-gendannelsen? Kan kommunikationskanalerne klare belastningen? Kan I virkelig isolere netværkssegmenter som planlagt?

Almindelige fejl i hændelsesparathed

  1. Planen er for kompliceret En 50-siders hændelseshåndteringsplan, som ingen har læst færdig, vil ikke blive brugt under en krise. Gør den kort, konkret og handlingsorienteret. Detaljerede procedurer kan findes som bilag — men kerneplanen skal kunne være på to sider.
  2. Uklare mandater Hvis hændelseslederen ikke har mandat til at træffe kritiske beslutninger — lukke systemer ned, eskalere til CEO, engagere ekstern hjælp — vil beslutningstagningen gå i stå. Mandaterne skal være dokumenterede og godkendt af ledelsen på forhånd.
  3. Ingen plan B for kommunikation Hvis e-mail, Slack og det interne netværk er ramt af hændelsen — hvordan kommunikerer I så? Forbered alternative kommunikationskanaler: mobiltelefoner med forudindlæste kontaktlister, en ekstern chat-tjeneste eller endda fysiske mødesteder.
  4. Aldrig øvet myndigheds­rapportering 24-timers fristen ifølge NIS2-loven begynder at tikke ved opdagelse. Har I formularer forberedt? Ved den rapporteringsansvarlige, hvilken information CFCS kræver i den tidlige advarsel? Øv også den administrative del.

Forbindelsen til NIS2-lovens rapporteringskrav

Hændelsesparathed og hændelsesrapportering hænger sammen, men er ikke det samme. Parathed handler om at håndtere hændelsen operativt. Rapportering handler om at opfylde lovkravene over for myndigheder.

I når ikke at bygge rapporteringsprocessen, mens hændelsen foregår. Skabeloner, kontaktoplysninger til CFCS og en udpeget rapporteringsansvarlig skal være på plads før hændelsen indtræffer. Se vores guide om hændelsesrapporteringens tidslinje for de præcise tidskrav.

Start med det vigtigste

I behøver ikke en perfekt plan. I behøver en plan, der fungerer. Start med en tabletop-øvelse baseret på jeres mest sandsynlige scenarie. Det afslører jeres vigtigste huller og giver jer konkrete forbedringsforanstaltninger.

Securapilots hændelseshåndteringsmodul hjælper jer med at dokumentere, øve og følge op på jeres hændelsesparathed — med færdige skabeloner, der er tilpasset NIS2-lovens rapporteringskrav.

Ofte stillede spørgsmål

Hvad er forskellen mellem hændelseshåndtering og hændelsesrapportering?

Hændelseshåndtering er hele processen — opdage, analysere, begrænse, rette og lære af en hændelse. Hændelsesrapportering er den specifikke forpligtelse til at meddele myndigheder (CFCS) inden for de tidsrammer, som NIS2-loven angiver.

Hvor ofte skal hændelsesøvelser gennemføres?

Tabletop-øvelser bør gennemføres mindst halvårligt. Fuldskala øvelser mindst årligt. Hver øvelse bør følges af en evaluering og opdatering af planen baseret på de lærte erfaringer.

Hvad er en tabletop-øvelse?

En tabletop-øvelse er en diskussionsbaseret øvelse, hvor teamet gennemgår et fiktivt hændelsesscenario skridt for skridt. Ingen teknologi behøver aktiveres — fokus ligger på at teste beslutningstagning, kommunikation og samarbejde.

Har vi brug for et SOC til at håndtere hændelser?

Ikke nødvendigvis. Det vigtigste er, at I har definerede roller, dokumenterede processer og øvede rutiner. Hvordan I organiserer kapaciteten — internt, outsourcet eller hybrid — afhænger af jeres størrelse og modenhed.

#hændelseshåndtering#NIS2-loven#NIS2#parathed#CSIRT#kriseparathed

Flere artikler

Vi bruger anonym statistik uden cookies for at forbedre hjemmesiden. Læs mere