Beredskapshåndtering for ledere: Slik forbereder du virksomheten på kriser

Sammen med kollega Kristin Vegsund Brennan har han vært tett på mange alvorlige sikkerhetshendelser i både offentlig og privat sektor. Erfaringen er tydelig: Beredskap er ferskvare. Og du må ha trent før det smeller.

Med det nye NIS2-direktivet, som innføres i alle EU- og EØS-land, blir det enda viktigere for norske virksomheter å øve og ha kontroll på beredskapen.

En god beredskapsplan er nøkkelen

Det sitter mange ledere rundt om i landet med ansvar for beredskapsplaner som er skrevet, godkjent og arkivert. Men vet du faktisk hva som står der? Hvem som gjør hva? Og hvem som tar telefonen når nasjonale myndigheter ringer?

– Vi hadde nylig et tilfelle hvor tilsynsmyndighetene kontaktet en kommune om en pågående trussel. Kommunen visste akkurat hva de skulle gjøre. Hvorfor? Fordi de hadde hatt et stort fokus på sikkerhet og beredskap i tiden før angrepet, forteller Brennan, som er rådgiver for IT-sikkerhet i Atea.

Det er dette som skiller reaktiv panikk fra profesjonell håndtering: Tydelige roller. Oppdaterte planer. Trening.

En annen kommune hadde øvd på sine beredskapsplaner fra A til Å. De hadde involvert kommuneledelse, ansatte og leverandører. Foreldre i skoler og barnehager hadde fått god informasjon på forhånd. Kommunikasjon med mediene var trent på, og ordføreren hadde deltatt i en simulert pressekonferanse der spørsmålene satt løst.

– Jeg har aldri sett noen andre ta det til det nivået. Flere tusen mennesker ble berørt av øvelsen. Kommunen satte seg ikke bare rundt et bord og snakket. De involverte hele organisasjonen og samfunnet rundt, sier Kjerstad.

Og det skapte ringvirkninger i lokalsamfunnet. Etterpå satt flere organisasjoner og vurderte hvordan de skulle klare å fungere uten IT-systemene sine. Kjerstad er klar på at ikke alle beredskapsøvelser må føre til perfekte svar. Men den må belyse det som kan forbedres, og bidra til bedre forståelse hos ledelsen om hva et angrep kan bety for virksomheten.

I Ateas sikkerhetsrapport fra 2025 svarer 62 prosent av respondentene at de har en beredskapsplan. Men hvor god den er, varierer i praksis.

– Ingen kan håndtere en alvorlig hendelse alene. Du trenger støtte fra leverandører og samarbeidspartnere, og i noen tilfeller myndighetene. Gjerne fra naboene dine også. Det er summen av relasjoner og forberedelser som avgjør hvor hardt du blir rammet av et angrep, sier han.

Etabler klare roller

Kristin Vegsund Brennan

Brennan påpeker at tilsynelatende små ting kan utgjøre en stor forskjell. Som å velge ett felles språk som alle involverte kan forstå, og å sørge for at alle roller er tildelt navngitte personer. Det handler ikke bare om teknisk sikkerhet, men om å trygge hele organisasjonen og alle rundt.

– Det som virkelig skaper trygghet, er når ledelsen vet hva som skal skje og hvem som skal ta beslutningene i en reell situasjon. Ikke bare i teorien, men i praksis, sier hun.

I mange tilfeller skjer angrepet før du vet at det er et angrep. Det er ikke en blinkende rød alarm, men kanskje en e-post. En uventet innlogging. Et system som oppfører seg annerledes.

– Det er ikke dramatisk i starten. Men det utvikler seg, og hvis du ikke tar grep tidlig, kan konsekvensene bli store. Derfor må både tekniske og administrative grep være på plass, legger Kjerstad til.

Atea øver ofte med kundene sine på scenarioer knyttet til løsepengevirus. Hendelsene er realistiske, de berører hele virksomheten, og setter ledergruppen i en situasjon der de må svare på hva som skjer om IT-systemene er nede. Hvordan skal ledelsen håndtere hendelsen? Hvem skal ta de viktige avgjørelsene? Det er en stor sannsynlighet for at personopplysninger er på avveie. Hvordan håndterer vi dette?

– Det er lett å glemme hvor følsom informasjonen vi forvalter, faktisk er. Det kan være helsedata, økonomiske forhold, konfidensielle kontrakter eller identiteter som kan misbrukes. Dette er informasjon som – hvis den slippes ut – kan føre til utpressing, tap av tillit og konsekvenser langt utover det tekniske, forteller Kjerstad.

Les mer om "Lederens guide til NIS2"

Du må øve på å ta beslutninger under press

Han viser til flere eksempler på at norske virksomheter har opplevd dette. Informasjon som ikke burde vært ute, blir offentlig. Og da er det for sent å hente den tilbake.

Sensitiv medisinsk informasjon kan bli brukt til utpressing. Det samme kan innsikt i personlige økonomiske forhold. Slike opplysninger er ikke bare ubehagelige å få på avveie, de kan få langvarige og personlige konsekvenser for den enkelte.

Målet er imidlertid ikke å ha en tykk perm med alle mulige scenarioer du kan stå overfor. Det du trenger er å ha et oppdatert planverk og realistiske øvelser, der du øver på å ta beslutninger under press.

– Det er ikke antall dokumenter som teller. Det er om folk vet hvor planene finnes, hva som står der og at de faktisk har øvd på dem, sier Brennan.

Beredskap er ikke et ansvar IT-avdelingen kan bære alene. Det må være en sentral del av virksomhetsstrategien.

Du som leder må stille deg selv følgende spørsmål:

• Hva gjør jeg hvis noe skjer?
• Vet jeg hvem som har ansvar?
• Vet jeg hvem vi ringer først?

– Det høres banalt ut, men i kriser er det ofte det enkle som svikter først. Derfor må det enkle sitte, poengterer hun.

Et godt planverk er et konkurransefortrinn. Ikke minst sett i lys av kravene i NIS2-direktivet. Ikke fordi du har en plan, men fordi du har brukt den. Virksomheter som trener, samarbeider og evaluerer jevnlig, kommer seg raskere på beina etter et angrep. Og når viktige kunder eller partnere krever at du kan dokumentere god IT-sikkerhet, så har du svaret klart.

– Du må bygge motstandsdyktighet i fredstid. For når det først smeller, er det for sent å google "beredskapsplan", avslutter Brennan.