Från flygplatsplatta till skrivbordsövning: att utforma en incidenthanteringsplan för kritisk infrastruktur som uppfyller NIS2-kraven
Krisscenariot: där beredskap möter verkliga konsekvenser
Klockan är 03:17 i säkerhetsoperationscentret på en större regional flygplats. Bagagehanteringssystemet, som är avgörande för tusentals passagerare, är låst av ett kontrollgränssnitt som inte svarar. Nätverkstrafiken ökar kraftigt på ett avvikande sätt. Är det ett tillfälligt IT-fel, ett hårdvarufel eller början på en djupgående, koordinerad cyberattack? Inom några timmar ska transatlantiska flygningar börja boardas. Varje minut av osäkerhet eller långsam respons riskerar att eskalera till operativt kaos, anseendeskada, tillsynsgranskning och potentiellt förluster på miljontals kronor.
För ledare med ansvar för kritisk infrastruktur, flygplatser, elnät, vattenförsörjning och sjukhus är sådana ögonblick varken ovanliga eller ofarliga. Dagens regulatoriska landskap, med EU:s NIS2-direktiv, Digital Operational Resilience Act (DORA) och internationella standarder som ISO/IEC 27001:2022 som grund, kräver inte bara en plan utan levande bevis på beredskap. Insatserna är existentiella. Incidenthanteringen måste vara mer än teknisk; den måste vara verifierbart kravuppfyllande, noggrant dokumenterad och mappad mot varje regulatoriskt perspektiv.
Det är för denna högtrycksmiljö som Clarysecs Zenith Controls och Zenith Blueprint är framtagna: en miljö där en ”plan på papper” inte räcker och där varje beslut, varje kommunikation och varje återställningssteg måste tåla rättslig, regulatorisk och operativ granskning.
NIS2-kravet: incidenthantering är en rättslig skyldighet
Införandet av NIS2 omdefinierar förväntningarna. Tillsynsmyndigheter kräver strukturerad, repeterbar och verifierbar incidenthantering. Article 21(2) kräver ”policies and procedures concerning incident handling” som rättsliga instrument. Detta går längre än bästa praxis för säkerhet; det är en skyldighet som kan bedömas direkt och leda till sanktioner om den saknas eller är ineffektiv.
Centrala NIS2-krav för incidenthantering:
- Dokumenterade processer för incidenthantering
- Fullständigt underlag för hantering av hot och incidenter: identifiering, begränsning, undanröjande, återställning
- Definierade och mappade roller, inklusive externa leverantörers ansvar
- Obligatorisk testning, inklusive skrivbordsövningar och effektivitetsgranskningar
- Efterlevnad över flera ramverk med DORA, NIST, COBIT, GDPR och ISO/IEC 27001:2022
Om planen inte omedelbart kan besvara kritiska frågor, vem som leder, vem som kommunicerar, vem som rapporterar och hur responsen följs upp, testas och förbättras, uppfyller den helt enkelt inte kraven.
Grundläggningen: planera och omsätta responsen i praktiken
En robust incidenthantering börjar med rätt blueprint. ISO/IEC 27002:2022 Kontroll 5.26, med stöd av Clarysecs Zenith Blueprint: en revisors 30-stegs färdplan och Zenith Controls, kräver att förberedelserna är detaljerade, omsatta i operativ praxis och tydligt ägda.
Clarysecs Zenith Blueprint, särskilt fas 4 och 5, anger följande krav:
”Inför incidenthanteringsrutiner: definiera roller, ansvar och kommunikationskanaler så att varje intressent, från SOC-analytiker till verkställande direktör, vet sin uppgift. Dokumentera och validera förmågor genom heltäckande skrivbordsövningar.”
Det innebär att organisationen ska:
- Dokumentera befogenheter och eskaleringsvägar
- Fördefiniera tröskelvärden för rapportering till tillsynsmyndigheter
- Mappa vem som tar fram och levererar kriskommunikation
- Säkerställa att forensisk bevisning bevaras utan att hindra återställning
- Testa och vidareutveckla planer genom strukturerade övningar
Förberedelse är inte en engångsinsats. Det är en cykel: planera, testa, granska och förbättra. Zenith Blueprint tillhandahåller detaljerade steg för att säkerställa att alla dessa punkter täcks, styrks med underlag och är redo för revision.
Att utforma incidenthanteringsteamet: roller, ansvar och förmåga
En väl fungerande respons, oavsett om den sker 03:17 eller vid någon annan tidpunkt, bygger på tydliga roller. Clarysecs Incident Management Policy och ISO/IEC 27035-1:2023 definierar team och mandat enligt bästa praxis:
| Roll | Huvudansvar | Nyckelkompetens och befogenhet |
|---|---|---|
| Incidentledare | Övergripande samordning, beslutsmandat, kommunikation med högsta ledningen | Beslutsamt ledarskap, krishantering, mandat över större ändringar |
| Teknisk ansvarig | Utredning, forensik, begränsning, åtgärdande | Nätverksforensik, analys av skadlig kod, infrastrukturkompetens |
| Kommunikationsansvarig | Interna och externa budskap, kontakt med tillsynsmyndigheter och allmänhet | Kriskommunikation, juridisk förståelse, tydlighet om verksamhetspåverkan |
| Juridik och regelefterlevnad | Rättslig, avtalsmässig och regulatorisk vägledning | Dataskyddsrätt, cyberrätt, sakkunskap inom NIS2/DORA/GDPR |
| Verksamhetskontakt | Säkerställer att operativa prioriteringar fortsatt står i centrum | Kunskap om verksamhetsprocesser, riskhantering |
Att dokumentera dessa roller och koppla dem till både primära och sekundära kontaktpersoner förebygger det vanligaste krisfelet: oklarhet och bristande kommunikation.
Incidentlivscykeln: kontroller måste samverka
En mogen incidenthanteringsplan väver samman flera kontroller och standarder och behandlar dem aldrig isolerat. Clarysecs Zenith Controls visar hur 5.26 (planering och förberedelse) kopplar direkt till andra incidenthanteringskontroller:
- Förberedelse och planering (5.26): Definiera incidenthanteringsteamet, ta fram åtgärdsplaner, utarbeta kommunikationsplaner och simulera scenarier.
- Händelsebedömning (5.25): Avgör om en incident är faktisk utifrån fördefinierade kriterier och säkerställ beslutsam åtgärd i stället för analysförlamning.
- Teknisk respons (5.27): Genomför begränsning, undanröjande och återställning, styrt av detaljerade åtgärdsplaner och mappade ansvarsområden.
Denna livscykel är inte bara teoretisk; den är ryggraden i en respons som kan tillgodose både operativa behov och regulatorisk granskning.
Skrivbordsövningar: slutprovet före katastrofen
En skrivbordsövning omvandlar planering till bevisad beredskap. Clarysecs policyer kräver:
”Incidenthanteringsplanen ska testas minst årligen eller vid större ändringar i infrastrukturen. Scenarier ska spegla realistiska hot: ransomware, överbelastningsattacker, intrång i leveranskedjan eller dataläckage.”
Ett exempel på skrivbordsövning för vår flygplats:
Övningsledare: ”Klockan är 03:17. Bagagesystemet svarar inte. Ett lösenskravsmeddelande visas på en delad administrativ enhet. Vad gör ni härnäst?”
Incidenthanteringsteamet:
- Incidentledaren sammankallar teamet.
- Teknisk ansvarig initierar nätverkssegmentering.
- Juridik och regelefterlevnad bevakar tidsfristen på 24 timmar för NIS2-rapportering.
- Kommunikationsansvarig tar fram uttalanden för partner och media och balanserar tydlighet med försiktighet.
- Kontaktlistor testas; inaktuella leverantörsuppgifter utlöser omedelbart en förbättringsslinga.
Resultat dokumenteras, luckor identifieras och policyer uppdateras. Varje testomgång, varje logg och varje ändring är verkligt underlag som kan granskas vid revision.
Underlagsgenerering och revisionsberedskap: ert bevis är er plan
Att klara en revision innebär att visa mer än en policy; revisorer vill se operativt underlag.
Exempel på underlagstabell:
| Krav | Clarysec-resurs | Hur underlag genereras |
|---|---|---|
| Incidenthanteringsplan finns | Zenith Controls, 30-stegs Blueprint | Signerad, åtkomlig och versionshanterad plan |
| Roller och ansvar | Incidenthanteringspolicy, leverantörspolicy | Organisationsscheman, rollmatriser, avtalsbilagor |
| Logg från skrivbordsövning | Zenith Controls, Blueprint-steg | Tidsstämplade övningsrapporter, mötesprotokoll, erfarenhetsåterföring |
| Rapporteringsposter | Kommunikationsmallar, Blueprint | E-postspår, myndighetsformulär, responsloggar |
| Bevis på förbättringscykel | Efterincidentgranskning, Blueprint-steg | Uppdaterade planer, utbildningsloggar, underlag för kontinuerliga uppdateringar |
Mappning mot flera regelverk: NIS2, DORA, NIST, COBIT, ISO/IEC 27001:2022
Clarysecs Zenith Controls mappar större standarder på ett unikt sätt för samlad säkerhetsförsäkran. Kontroller för incidenthantering finns i skärningspunkten:
| Kontrollnummer | Kontrollnamn | Beskrivning | Stödjande standarder | Mappade ramverk |
|---|---|---|---|---|
| 5.24 | Incidenthanteringskontroller | Detektering, rapportering, loggning av bevismaterial, granskning | ISO/IEC 27035:2023, ISO/IEC 22301:2019, ISO/IEC 27031:2021 | NIS2, DORA, NIST SP 800-61, COBIT |
| 5.25 | Incidenthanteringsplan | Utformning av responsteam, rapporteringsvägar, regelbunden testning/förbättring | ISO/IEC 22301:2019, ISO/IEC 27031:2021, ISO/IEC 27035:2023 | NIS2, DORA, NIST, COBIT, GDPR |
| 5.26 | Planering och förberedelse | Definition av incidenthanteringsteam, åtgärdsplaner, kommunikationsplaner, scenariomappning | ISO/IEC 27001:2022, ISO/IEC 27035:2023, ISO/IEC 22301:2019 | NIS2, DORA, NIST, COBIT |
| 5.27 | Teknisk respons | Åtgärdsplaner för begränsning, undanröjande och återställning, operativa loggar | ISO/IEC 27001:2022, ISO/IEC 27031:2021 | NIS2, DORA, NIST, COBIT |
Stödjande standarder stärker resiliensen:
- ISO/IEC 22301:2019: verksamhetskontinuitet, som driver samordning mellan incidenthantering och katastrofåterställning.
- ISO/IEC 27035:2023: incidentlivscykeln, avgörande för erfarenhetsåterföring och revisionsgranskning.
- ISO/IEC 27031:2021: IKT-beredskap för teknisk begränsning och återställning vid incidenter.
Vägledning per ramverk
- DORA: Kräver snabb rapportering till tillsynsmyndighet och integrering med verksamhetskontinuitet och tekniska planer.
- NIST CSF: Direkt koppling till funktionen ”Respond”, med betoning på omedelbar, dokumenterad åtgärd.
- COBIT 2019: Fokus på styrning och på att integrera incidenthantering med organisationens riskhantering och prestandamått.
Integrering av leverantörer och tredje parter: säkra den utökade perimetern
Kritisk infrastruktur är bara så stark som den svagaste leverantören eller partnern. Clarysecs policy för leverantörssäkerhet och tredjepartssäkerhet fastställer tydliga skyldigheter.
Centrala krav omfattar:
”Leverantörer ska utveckla, upprätthålla och testa egna incidenthanteringsplaner som motsvarar våra standarder. Ansvar, kanaler och övningsunderlag ska dokumenteras.” (avsnitt 9)
Detta är inte valfritt. Avtal ska specificera integrering med incidenthanteringen, tredjepartsrapportering och revisionsspår. Varianten för små och medelstora företag anpassar dessa krav för mindre leverantörer, så att efterlevnaden omfattar hela ekosystemet.
Exempel på skrivbordsövning med leverantör:
- Avbrott spåras till en extern leverantör av bagagesystemet.
- Leverantörens incidenthanteringsplan aktiveras och samordnas enligt protokoll för gemensamma övningar.
- Brister, såsom inaktuella kontaktuppgifter, dokumenteras och utlöser korrigerande åtgärder innan en verklig katastrof inträffar.
Revisorns perspektiv: att klara granskning över flera ramverk
Revisorer använder olika perspektiv. Clarysecs Zenith Controls förbereder organisationer för vart och ett av dem:
ISO/IEC 27001:2022-revisorer:
- Kräver dokumenterade och testade incidenthanteringsplaner.
- Reviderar rolltydlighet, underlag från skrivbordsövningar och integrering med verksamhetskontinuitet.
NIS2/DORA-revisorer:
- Kräver scenariobaserade resultat.
- Kontrollerar tidpunkt och ordningsföljd för rapportering till tillsynsmyndigheter.
- Söker sömlös leverantörsintegrering och förbättringscykler.
NIST/COBIT-revisorer:
- Granskar drift och effektivitet för kontroller i incidentlivscykeln.
- Söker underlag för riskintegrering, processförbättring och dokumenterad erfarenhetsåterföring.
Kritiska utmaningar och Clarysecs motåtgärder
Vanliga fallgropar som Clarysecs verktyg hanterar direkt:
- Rolloklarhet eller kommunikationsluckor: Zenith Blueprints rollmatriser, mappade till rapportering och åtgärder.
- Ofullständig incidenthantering hos leverantörer: Obligatoriska revisioner, avtalskrav och gemensamma övningar enligt tredjepartspolicyn.
- Luckor i underlag: Automatiserade loggar, mallar för efterincidentgranskning och uppföljning av förbättringar i både policy och praxis.
Så bygger, testar och styrker ni er incidenthantering
En fempunktschecklista för NIS2-beredskap inför revision
- Bedöm och mappa er nuvarande incidenthanteringsplan: Använd Zenith Blueprints 30 steg för en heltäckande gap-analys.
- Inför Zenith Controls och crosswalks: Säkerställ mappning mot ISO/IEC 27001:2022-kontroller, DORA, NIS2, NIST och COBIT. Hantera leverantörsavtal och stödjande standarder.
- Genomför realistiska skrivbordsövningar: Dokumentera underlag (loggar, kommunikation, leverantörssamordning, förbättringsåtgärder).
- Tillämpa tredjepartspolicyn: Använd Clarysecs policy för leverantörssäkerhet och tredjepartssäkerhet samt varianten för små och medelstora företag och säkerställ att alla leverantörer uppfyller kraven.
- Förbered en underlagsportfölj: Inkludera signerade planer, rollscheman, övningsloggar, rapporteringsunderlag och dokumenterad erfarenhetsåterföring.
Er väg: från flygplatsplatta till skrivbordsövning, från oro till säkerhetsförsäkran
I dagens reglerade och sammanlänkade värld ska en incidenthanteringsplan inte bara finnas; den ska vara bevisad i praktiken genom underlag, efterlevnad över flera ramverk och verklig beredskap. Clarysecs integrerade verktygslåda, Zenith Blueprint, Zenith Controls och robusta policyer, ger arkitekturen för verklig operativ resiliens.
Varje steg är mappat, testat och redo för revision, så oavsett om krisen börjar 03:17 eller i styrelserummet kan organisationen agera effektivt. Att bygga en robust och prövad incidenthanteringsförmåga som uppfyller NIS2-kraven innebär mer än sinnesro; det förenar regulatorisk försvarbarhet med operativ excellens.
Nästa steg: säkra er säkerhetsförsäkran med Clarysec
Resan från flygplatsplatta till skrivbordsövning börjar nu:
- Ladda ned Clarysecs Zenith Blueprint och Zenith Controls.
- Boka er skrivbordsövning med vårt team.
- Granska och uppgradera er policy för leverantörssäkerhet och tredjepartssäkerhet så att den omfattar varje partner, stor som liten.
Vänta inte på nästa larm klockan 03:00 för att upptäcka luckorna i er plan. Kontakta Clarysec för att utrusta organisationen med beprövad, testad och underbyggd incidenthantering.
Clarysec: er partner för regelefterlevnad, resiliens och verklighetsnära incidenthantering.
Zenith Controls | Zenith Blueprint | Policy för leverantörssäkerhet och tredjepartssäkerhet | Incidenthanteringspolicy
Utforska fler fallstudier och verktygspaket på Clarysecs blogg. Boka en anpassad workshop eller bedömning av revisionsberedskap redan i dag.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
