15. juli 2025

Hold jeres IT-systemer kørende under driftsforstyrrelser

Den internationale standard ISO/IEC 27031 er netop blevet revideret. Standarden vejleder om, hvordan organisationer kan arbejde med IKT-parathed, så de kan holde driften i gang under fx cyberangreb og tekniske nedbrud, samtidig med den understøtter arbejdet med NIS 2-loven.

Med den stigende kompleksitet og afhængighed af digitale løsninger er det vigtigere end nogensinde, at organisationer arbejder proaktivt med modstandsdygtighed. Uforudsete hændelser som tekniske fejl, systemnedbrud, strømsvigt og sikkerhedsbrud kan nemlig ramme enhver organisation. Spørgsmålet er faktisk mere hvornår end om. Nogle af disse forstyrrelser kan få stor betydning for organisationen – især hvis de påvirker centrale processer, der er afhængige af it-systemer eller digitale tjenester. I sådanne tilfælde er det afgørende at sikre, at organisationens informations- og kommunikationsteknologi (IKT) er robust og kan genoprettes hurtigt. For at håndtere disse risici effektivt, kræver det en struktureret tilgang – og her kommer ISO/IEC 27031, standarden for Informationsteknologi – Cybersikkerhed – IKT-parathed til business continuity, ind i billedet. Den internationale standard hjælper nemlig organisationer med at systematisere deres arbejde med IKT-parathed fx ved at få taget stilling til hvor længe man kan tåle at være ude af drift.

Kobling til NIS 2-loven

Standarden ISO/IEC 27031, der er en vejledning til organisation om, hvordan man kan arbejde med IKT-parathed og business continuity, er blevet revideret. Den har fået en ny struktur, der gør det nemmere at inkorporere standarden i organisationens eksisterende arbejde med business continuity. Standarden introducerer begreber og principper for IKT-beredskab og opstiller metoder og processer til at sikre, at it-infrastrukturen kan understøtte driften – også under hændelser, der truer organisationens fortsatte virke. Den giver med andre ord en struktureret tilgang til at vurdere og forbedre en organisations IKT-parathed med henblik på at holde forretningen kørende under forskellige former for forstyrrelser eksempelvis pga. uforudsete hændelser.

Standarden er kun blevet mere relevant i lyset af NIS 2, som trådte i kraft 1. juli 2025, da der er kommet øget fokus på driftskontinuitet og modstandsdygtighed. Styrelsen for Samfundssikkerhed har udgivet forskellige vejledninger til arbejdet med NIS 2, og i vejledningen om implementering af foranstaltningerne fra NIS 2 henviser de til Annex A i ISO/IEC 27001. Men for de organisationer, der har brug for mere konkret vejledning om driftskontinuitet, er ISO/IEC 27031 sammen med ISO/IEC 27002 oplagte standarder at kigge på for at få hjælp til at arbejde struktureret med modstandsdygtighed.

• Med NIS2 og DORA skal flere organisationer og virksomheder leve op til krav ift. business continuity. Og det er her ISO/IEC 27031 kan hjælpe. For den hjælper med at systematisere ens arbejde med IKT-parathed. Så man får planlagt, forberedt og styret sine IKT-ressourcer, så driften af ens kritiske forretningsprocesser kan opretholdes ved forstyrrelser. På den måde vil organisationens modstandsdygtighed og resiliens øges, og konsekvenserne af potentielle hændelser, der rammer driften, kan reduceres. Med andre ord handler det om at have gjort sit forarbejde og taget sine forholdsregler, så man kan komme nogenlunde helskindet igennem større og mindre driftsforstyrrelser, fortæller Mette Krogh Sørensen, seniorkonsulent i Dansk Standard.

ISO/IEC 27002 fokuserer bredt på informationssikkerhedsforanstaltninger, mens ISO/IEC 27031 tager skridtet dybere og alene fokuserer på, hvordan organisationer konkret kan planlægge og forberede deres IKT-parathed for at understøtte deres modstandsdygtighed. Sammen udgør de to standarder et stærkt fundament i arbejdet med at opfylde kravene i NIS2 og sikre en robust og kontinuerlig drift.

En vigtig brik i arbejdet med forretningskontinuitet

Standarden ISO/IEC 27031 er relevant for alle typer og størrelser af organisationer – offentlige, private og NGO’er – og kan anvendes som ramme for at udvikle et program for IKT-parathed til forretningsvidereførelse (IRBC). Det gælder både for dem, der leverer IT-tjenester, og dem, der køber IT-tjenesterne. For uanset, hvor i forsyningskæden man er, skal man vide, hvad man skal gøre, når man bliver ramt af driftsforstyrrelser.

Standarden hjælper organisationer med at definere og måle centrale parametre som:

• Minimum Business Continuity Objective (MBCO)
  → Minimumsmål for forretningskontinuitet
  Det laveste niveau af service eller funktion, som en organisation skal opretholde under en forstyrrelse for at sikre, at kritiske forretningsfunktioner kan fortsætte.
• Recovery Point Objective (RPO)
  → Målsætning for gendannelsespunkt
  Det maksimale acceptable datatab målt i tid – altså hvor langt tilbage i tiden data må gå tabt i tilfælde af en hændelse (f.eks. 4 timer betyder, at man maksimalt må miste 4 timers data).
• Recovery Time Objective (RTO)
  → Målsætning for gendannelsestid
  Den maksimale tid, det må tage at genoprette en funktion eller et system efter en afbrydelse, før det har uacceptable konsekvenser for forretningen.

Vil du vide mere om business continuty helt generelt, kan du læse mere her: