NIS2

Incidentberedskap i praktiken: När planen möter verkligheten

Alla har en incidenthanteringsplan. Få har testat den. Så bygger ni en incidentberedskap som fungerar klockan tre på natten.

Kim Borg
Kim Borg Grundare & VD
5 min läsning
  1. 24
    timmar för initial incidentrapportering till MCF
    NIS2-direktivet Artikel 23
  2. 277
    dagar är genomsnittlig tid att identifiera och begränsa ett intrång
    IBM Cost of a Data Breach 2025
  3. Organisationer
    Organisationer med övad incidentplan sparar 2,7 MSEK per incident
    IBM Cost of a Data Breach 2025
Incidenthanteringsteam samarbetar under en krisövning

Planen som aldrig testades

Incidentberedskap börjar med en plan. De flesta organisationer har en sådan. Den ligger i ett delat dokument någonstans, kanske uppdaterad vid förra årets revision. Den innehåller flödesscheman, rollbeskrivningar och kontaktlistor.

På papper ser den komplett ut.

Sedan händer något. Klockan 03:14 en fredagsnatt utlöser övervakningssystemet ett larm. Ransomware sprider sig genom nätverket.

Plötsligt står du inför frågor som planen aldrig besvarade. Vem fattar beslut om att stänga ner produktionssystemen? Vem ringer styrelsens ordförande? Vem pratar med media? Var finns offsite-backuperna — och fungerar de?

Verkligheten: Enligt IBM:s Cost of a Data Breach Report 2025 sparar organisationer med en övad incidentplan i genomsnitt 2,7 MSEK per incident. Skillnaden handlar inte om att ha en plan. Den handlar om att planen fungerar under press.

Fyra delar i en beredskap som fungerar

En effektiv incidenthanteringsplan handlar inte om ett perfekt dokument. Det handlar om att alla inblandade vet vad de ska göra — utan att behöva läsa dokumentet mitt i krisen.

1. Eskaleringsvägar

Vem kontaktar du vid vilken typ av incident? Vem fattar beslut om att eskalera från IT-incident till verksamhetskris? Definiera tydliga tröskelvärden. Vid X kontaktar du CISO (Chief Information Security Officer). Vid Y kontaktar du VD. Vid Z aktiverar du krisgruppen. Inga vaga formuleringar — konkreta namn och nummer.

2. Rollfördelning

Incidentledare, teknisk ansvarig, kommunikationsansvarig, juridisk kontakt och extern kontakt mot myndigheter. Varje roll behöver en primär person och en ersättare. Tilldela roller utifrån kompetens och tillgänglighet, inte organisatorisk position.

3. Kommunikationsmallar

Under en kris finns ingen tid att skriva meddelanden från grunden. Förbered mallar för intern kommunikation till medarbetare, extern kommunikation till kunder och myndighetsrapportering till MCF (Myndigheten för Civilt Försvar) och CSIRT (Computer Security Incident Response Team). Förbered även mediauttalanden. Anpassa detaljerna under händelsen — inte strukturen.

4. Teknisk isolering

Hur isolerar du drabbade system snabbt utan att ta ner hela verksamheten? Vilka nätverkssegment kan stängas av? Var finns nödbrytarna? Har du förberett segmenteringsstrategier som kan aktiveras manuellt om automatiken inte fungerar?

Övning: Det steg som alla hoppar över

De flesta organisationer stannar vid dokumentation. Planen skrivs, godkänns av ledningen och arkiveras.

Övning? “Det hinns inte med.” “Det är för komplicerat att organisera.” “Vi vet ändå vad vi ska göra.” Nej. Inte under stress, inte mitt i natten, inte när systemen brinner och telefonen ringer oavbrutet.

Tabletop-övningar: Börja här

En tabletop-övning kräver ingen teknik. Samla teamet, presentera ett scenario och diskutera steg för steg. Vad gör du först? Vem kontaktar du? Vilken information behöver du? Var hittar du den?

Exempel på tabletop-scenario:

Det är fredag kl. 16:30. En medarbetare rapporterar att hen inte kan komma åt filservern. IT undersöker och hittar krypterade filer med ett meddelande om lösen. Krypteringen sprider sig aktivt. Ni har 24 timmar på er att rapportera till MCF.

Diskutera:

  1. Vilka beslut fattas de första 15 minuterna?
  2. Vem informeras och i vilken ordning?
  3. Hur kommunicerar teamet internt om e-postsystemet är drabbat?
  4. Vilka system kan stängas ner, och vilka måste fortsätta köra?
  5. Vem skriver rapporten till MCF, och vad ska den innehålla?

Tabletop-övningar avslöjar luckor som ingen dokumentanalys kan hitta. Kontaktlistan kan vara inaktuell. Kanske slutade backupansvarig för tre månader sedan. Ingen vet vem som har root-lösenordet till produktionsservern.

Fullskaliga övningar: Nästa nivå

När tabletop-övningar fungerar väl är det dags att utöka till fullskaliga simuleringar. Då aktiverar du era processer på riktigt. Det testar inte bara beslutsfattande utan även teknisk kapacitet. Fungerar backupåterställningen? Klarar kommunikationskanalerna belastningen? Kan du verkligen isolera nätverkssegment som planerat?

Vanliga misstag i incidentberedskapen

  1. Planen är för komplicerad En 50-sidig incidenthanteringsplan som ingen läst klart fungerar inte under en kris. Gör den kort, konkret och handlingsinriktad. Detaljerade procedurer kan finnas som bilagor. Kärnplanen ska rymmas på två sidor.
  2. Oklara mandat Om incidentledaren inte har mandat att fatta kritiska beslut fastnar beslutsfattandet. Det gäller beslut som att stänga ner system, eskalera till VD eller ta in extern hjälp. Ledningen ska dokumentera och godkänna mandaten i förväg.
  3. Ingen plan B för kommunikation Om e-post, Slack och det interna nätet är drabbade — hur kommunicerar du? Förbered alternativa kanaler: mobiltelefoner med förladdade kontaktlistor, en extern chattjänst eller fysiska mötesplatser.
  4. Aldrig övat myndighetsrapportering 24-timmarsfristen enligt Cybersäkerhetslagen börjar ticka vid upptäckt. Har du formulär förberedda? Vet den rapporteringsansvariga vilken information MCF kräver i den tidiga varningen? Öva även den administrativa delen.

Kopplingen till Cybersäkerhetslagens rapporteringskrav

Incidentberedskap och incidentrapportering hänger ihop men är inte samma sak. Beredskap handlar om att hantera incidenten operativt. Rapportering handlar om att uppfylla lagkraven gentemot myndigheter.

Du hinner inte bygga rapporteringsprocessen medan incidenten pågår. Mallar, kontaktuppgifter till MCF/CSIRT och en utsedd rapporteringsansvarig ska finnas på plats innan incidenten inträffar. Se vår guide om incidentrapporteringens tidslinje för de exakta tidskraven.

Börja med en tabletop-övning

Du behöver inte en perfekt plan. Du behöver en plan som fungerar. Börja med en tabletop-övning baserad på ert mest sannolika scenario. Det avslöjar de viktigaste luckorna och ger konkreta förbättringsåtgärder.

Vill du förstå hur riskanalysen hänger ihop med beredskapen? Läs vår guide om vanliga fel i riskmatriser och om ledningens ansvar under NIS2.

Securapilots incidenthanteringsmodul hjälper dig dokumentera, öva och följa upp din incidentberedskap. Modulen innehåller färdiga mallar anpassade efter Cybersäkerhetslagens rapporteringskrav.

Vanliga frågor

Vad är skillnaden mellan incidenthantering och incidentrapportering?

Incidenthantering är hela processen: upptäcka, analysera, begränsa, åtgärda och lära sig av en incident. Incidentrapportering är den specifika skyldigheten att meddela myndigheter (MCF/CSIRT) inom de tidsramar som Cybersäkerhetslagen anger.

Hur ofta ska incidentövningar genomföras?

Tabletop-övningar bör genomföras minst halvårsvis. Fullskaliga övningar minst årligen. Varje övning bör följas av en utvärdering och uppdatering av planen baserat på lärdomarna.

Vad är en tabletop-övning?

En tabletop-övning är en diskussionsbaserad övning där teamet går igenom ett fiktivt incidentscenario steg för steg. Ingen teknik behöver aktiveras, fokus ligger på att testa beslutsfattande, kommunikation och samarbete.

Behöver vi ett SOC för att hantera incidenter?

Inte nödvändigtvis. Det viktigaste är att ni har definierade roller, dokumenterade processer och övade rutiner. Hur ni organiserar kapaciteten, internt, outsourcat eller hybrid, beror på er storlek och mognad.

#incidenthantering#Cybersäkerhetslagen#NIS2#beredskap#CSIRT#krisberedskap

Vi använder anonym statistik utan cookies för att förbättra webbplatsen. Läs mer