Nyheder fra DBI
Vær altid opdateret
Gå til Nyhedsoversigten

CER: Sådan fortsætter du driften, hvis skaden er sket

Udgivet: 22. august 2025

Det er vigtigt at forebygge og håndtere hændelser – men når skaden er sket, handler det om at holde driften i gang, mens virksomheden genopretter. Sikkerhedsrådgiver Andreas Norstedt fra DBI giver her konkrete råd til, hvordan man får styr på planen for fortsat drift.

Gem artikel Artikel gemt
Business continuity plan står skrevet på et stykke papir der ligger over et søjlediagram.

Hvad går fortsat drift ud på i CER-loven?

Fortsat drift er en central del af resiliensbegrebet i CER-loven. Den handler om virksomheders evne til at opretholde drift trods en hændelse. Loven bygger på en før-under-efter-model. Mens risikovurdering og beredskabsplaner fokuserer på at forebygge og håndtere hændelser, tager fortsat drift udgangspunkt i, at skaden er sket. Formålet er at genetablere driften hurtigst muligt – enten i reduceret form eller ved hjælp af løsninger som backupleverandører eller omlagte produktionsmetoder.

Hvor beredskabsplanlægning (Emergency Management) dækker den akutte indsats under en hændelse og har fokus på at begrænse skaderne, fokuserer fortsat drift (Business Continuity Management) på at genetablere driften i den efterfølgende fase. Driften skal så vidt muligt kunne fortsætte, samtidig med at man udbedrer den skade, der er sket. Genopretning og drift sker samtidigt.

I nogle sektorer, såsom energisektoren, har man valgt at kombinere beredskabsplanlægning og fortsat drift for at gøre planlægningen mere operationelt anvendelig. For større virksomheder anbefales det dog stadig at holde de to adskilt, mens mindre virksomheder med færre ressourcer kan vælge at integrere elementer af fortsat drift i deres beredskabsplan.

Denne samling kan være hensigtsmæssig af hensyn til overblik og enkelhed, men den indebærer en risiko for, at fortsat drift ikke bliver tilstrækkeligt detaljeret eller gennemarbejdet. I praksis kan det betyde, at genopretningen ikke får den nødvendige strategiske opmærksomhed, fordi planlægningen primært koncentrerer sig om den akutte indsats.

Hvad skal virksomhederne helt konkret gøre?

Det første skridt i arbejdet med fortsat drift er at kortlægge virksomhedens kritiske processer og afhængigheder gennem en Business Impact Analyse. Analysen identificerer, hvilke funktioner og ressourcer virksomheden er mest afhængig af, og hvor konsekvenserne vil være størst, hvis de svigter. F.eks. kan en brand i en produktionsbygning medføre fuldt produktionsstop, medmindre der på forhånd er udarbejdet en plan, som involverer et alternativt produktionssted eller samarbejdspartnere, der kan tage over.

På baggrund af analysen udarbejdes en Plan for fortsat drift (Business Continuity Plan), der beskriver, hvordan driften kan opretholdes eller genetableres så hurtigt som muligt. Planen bør indeholde konkrete tiltag såsom backup-systemer, nødprocedurer og alternative leverandører. En gennemarbejdet plan minimerer nedetid og sikrer drift under vanskelige forhold.

Hvad er en god fremgangsmåde?

En velfungerende plan for fortsat drift begynder med ledelsens engagement. Det er afgørende, at topledelsen tager ejerskab og tydeligt prioriterer arbejdet. Uden denne opbakning risikerer indsatsen at blive en skrivebordsøvelse, der ikke fungerer i praksis, når en krise opstår.

Business Impact Analysen udgør det første centrale skridt, da den skaber overblik over virksomhedens mest kritiske funktioner og afhængigheder. For at planen skal være realistisk og operationel, er det vigtigt at inddrage relevante fagområder. Produktions- og driftsafdelingen har indsigt i, hvilke maskiner og materialer der er uundværlige. Logistikafdelingen kan bidrage med viden om kritiske leverandører og forsyningsveje. IT-afdelingen har en nøglefunktion i forhold til backup-systemer og hurtig genetablering af digitale systemer, mens HR kan planlægge, hvordan medarbejderressourcer og kommunikation håndteres under en krise. Tværgående input gør planen mere dækkende og robust.

Men en plan har kun værdi, hvis den er afprøvet og ajourført. Derfor skal den løbende testes og opdateres. Øvelser med realistiske scenarier træner medarbejderne i at handle korrekt under pres og afslører eventuelle svagheder i planen. Det kan f.eks. være en simuleret afbrydelse af en kritisk funktion, hvor man afprøver, hvordan driften kan opretholdes med alternative løsninger. Planen bør revideres regelmæssigt, så den følger med ændringer i virksomhedens struktur, teknologi og risikobillede. For nogle virksomheder kan en årlig revision være nødvendig, mens det i andre tilfælde er tilstrækkeligt at gennemgå planen hvert tredje år eller ved væsentlige organisatoriske ændringer.

Er der faldgruber, man bør være opmærksom på?

Der er en række typiske faldgruber, som kan gøre genopretning langt vanskeligere end nødvendigt. En af de mest udbredte fejl er at undlade at teste og øve planen i praksis. En plan, der alene eksisterer på papiret, risikerer at være ubrugelig, når krisen indtræffer, fordi medarbejderne ikke kender deres roller, og planens forudsætninger ikke er afprøvet.

Afhængighed af én leverandør er risikabelt og bør adresseres i planen. Ved at identificere og indarbejde alternative leverandører kan den sårbarhed reduceres betydeligt.

Det er også en fejl at springe Business Impact Analysen over og i stedet gå direkte til at udarbejde en Business Continuity Plan. Uden en grundig forudgående analyse risikerer man at overse afgørende afhængigheder og svagheder, hvilket gør planen mindre relevant og effektiv. Sidst, men ikke mindst kan uklare interne procedurer føre til usikkerhed og langsom reaktion i en krisesituation.

Læs mere om CER-loven

Læs mere om NIS2-loven


CER & NIS2BeredskabCybersikkerhedResiliensSikring
Andreas Norstedt
Andreas Norstedt Sikkerhedsrådgiver
50 80 78 33 apn@brandogsikring.dk

Relaterede artikler

Se alle
Det nye NIS2-direktiv fra EU er trådt i kraft. Det skærper kravene til cyber- og informationssikkerhed og kræver en helhedsorienteret og risikobaseret tilgang for danske virksomheder.

Nyt EU-direktiv skærper kravet til cybersikkerhed
CER direktiv

Nyt CER-direktiv skal styrke kritisk infrastruktur i EU
EU flag som hænger over nogle hackere som sidder med sort hættetrøje på.

NIS2 nærmer sig: Er din virksomhed klar?
NIS2: Sådan fortsætter du driften, hvis skaden sker

NIS2: Sådan fortsætter du driften, hvis skaden sker
Det nye NIS2-direktiv fra EU er trådt i kraft. Det skærper kravene til cyber- og informationssikkerhed og kræver en helhedsorienteret og risikobaseret tilgang for danske virksomheder.

NIS2: Ved du, hvordan du skal håndtere hændelser?
Den nye minister for samfundssikkerhed og beredskab Torsten Schack Pedersen (t.h.) bliver budt velkommen i ministerkredsen af forsvarsminister Troels Lund Poulsen.

DBI hilser ministerium for samfundssikkerhed og beredskab velkommen
NIS2: Planlæg, hvordan I kontrollerer indsatsen mod cybertrusler

NIS2: Planlæg, hvordan I kontrollerer indsatsen mod cybertrusler
NIS2: Kryptering er et krav

NIS2: Kryptering er et krav
Computerskærm med billede af en lås på dør med adgang forbudt skilt

NIS2: Øg sikkerheden – ikke utilfredsheden

Relaterede kurser

Se alle
Business Continuity (fortsat drift)

Et kursus i fortsat drift styrker virksomhedens evne til at levere produkter og service kontinuerligt, selv under kriser, og bidrager til at fastholde eksisterende kunder samt tiltrække nye forretningsmuligheder. En effektiv plan for fortsat drift beskytter ikke kun bundlinjen, men også virksomhedens forretningsinteresser, hvilket gør det til en hjørnesten i god virksomhedsstyring og en klog forretningsinvesteringDeltagerne på dette kursus får praktiske værktøjer til at sikre medarbejdere og driften under krisesituationer, samt træning i at opretholde kritiske leverancer med minimal påvirkning af de væsentligste forretningsaktiviteter.

Resilienskoordinator: Fra beredskab og krisestyring til fortsat drift

I en verden præget af stigende usikkerhed, globale kriser og uforudsigelige hændelser bliver beredskabsplanlægning, krisestyring og fortsat drift stadig vigtigere for virksomheder og organisationer.Varighed 7 dage, hvor de første fire dage afholdes i Hvidovre, de sidste tre dage afholdes som internatkursus i Middelfart.Dette forløb består af tre moduler og giver deltagerne praktiske værktøjer og strategier til at navigere i et komplekst risikobillede, herunder naturkatastrofer, cyberangreb, pandemier og andre kritiske hændelser, der truer virksomhedernes evne til at operere og eksistere.Modul 1: Beredskabsplanlægning i praksis: Beredskabsplanlægning handler om at udvikle et robust internt beredskab med dertilhørende planer, der gør din virksomhed/organisation i stand til at forberede sig på og reagere effektivt over for forskellige risici.I en tid, hvor trusler kan opstå fra både interne og eksterne kilder, vil deltagerne på kurset lære at identificere relevante risici og udarbejde strategier, der minimerer deres potentielle påvirkning på den daglige drift. Modul 2: Krisestyring i praksis: Krisestyring træner deltagerne i hurtigt og effektivt at håndtere krisesituationer for at beskytte virksomhedens/organisationens medarbejdere, værdier og omdømme. I en verden præget af uforudsigelige hændelser er det afgørende at kunne organisere en effektiv krisestyring og kommunikere klart under pres. Kurset i krisestyring i praksis har i høj grad fokus på håndtering af en kritisk hændelse på ledelsesniveau. Modul 3: Business Continuity: Med et kursus i plan for fortsat drift sikres det, at virksomheder/organisationer kan opretholde deres vigtigste aktiviteter og fortsætte driften, selv når de står over for alvorlige forstyrrelser. I en globaliseret økonomi, hvor sammenbrud i forsyningskæder og markedsfluktuationer er udbredte, er det vitalt at have en plan for fortsat drift for at beskytte virksomhedens bundlinje og fastholde kunderne.Formål: At styrke deltagernes evne til at udvikle og implementere effektive strategier inden for beredskabsplanlægning, krisestyring og forretningskontinuitet. Målet er, at de kan beskytte deres virksomhed eller organisation mod et bredt spektrum af globale udfordringer og sikre deres langsigtede succes.Du sparer 5.663 kr. ved at købe modulerne som en samlet pakke, men de kan også tages enkeltvis:BeredskabsplanlægningKrisestyringBusiness Continuity

Beredskabsplanlægning i praksis

Effektiv beredskabsplanlægning beskytter ikke kun virksomhedens ansatte og værdier, men sikrer også forretningskontinuiteten. En stærk beredskabskultur er hjørnestenen i håndteringen af hændelser og udgør samtidig en klog forretningsinvestering.Beredskabsplanlægning i praksis er et kursus for dig, uanset om du er nybegynder eller har flere års erfaring i opbygningen af et beredskab, og som ønsker at styrke dine faglige kompetencer inden for beredskabsplanlægning.Du får effektive værktøjer til at identificere risici ved hændelser, som kan påvirke driften, til at planlægge beredskabet ved sådanne hændelser, og til at maksimere læring og forbedringer gennem evalueringer efter en hændelse

OPRET DIG SOM BRUGER OG HOLD DIG OPDATERET PÅ NYHEDER OM BRAND OG SIKRING