Alle artikler
BCMbusiness continuityISO 22301introduktion

Hvad er Business Continuity Management (BCM)?

Hvad er Business Continuity Management (BCM)?

Kort sagt: Hvad er BCM?

Business Continuity Management (BCM) er jeres plan for, hvad der sker, når noget går galt. Det handler om at identificere, hvad der er kritisk for jeres virksomhed, og have en klar plan for at komme videre — uanset om det er et cyberangreb, en oversvømmelse, eller en leverandør, der pludselig lukker.

Tænk på det som en forsikring, I selv styrer: I bestemmer, hvad der er vigtigt, hvor hurtigt I skal være oppe igen, og hvem der gør hvad.

BCM handler ikke kun om IT

En almindelig misforståelse er, at BCM kun handler om IT-systemer og backup. I virkeligheden dækker det hele forretningen: produktion, logistik, medarbejdere, kommunikation og leverandører. Et cyberangreb kan lamme jeres systemer, men en storm kan også lukke jeres lager.

Hvorfor skal I bekymre jer om BCM?

De fleste virksomheder tænker først på BCM, når det er for sent. Men tallene taler deres eget sprog:

40% af virksomheder lukker permanent efter en alvorlig driftsafbrydelse
$400 mia. årligt tab på nedetid for verdens største virksomheder
6.000+ danske virksomheder omfattet af NIS2-krav om driftskontinuitet

Driftsafbrydelser rammer alle: cyberangreb, strømafbrydelser, oversvømmelser, leverandørsvigt eller udstyrsfejl. Uden en plan improviserer man under pres — og det koster tid, penge og omdømme.

Det sker også i Danmark

I 2017 kostede NotPetya-angrebet Maersk ca. $300 millioner og lammede 20% af verdens containerkapacitet. I 2023 blev 22 danske energivirksomheder ramt af et koordineret cyberangreb. Og i 2024 ødelagde et russisk-forbundet angreb fysisk infrastruktur på et dansk vandværk i Køge. Cybertruslen mod Danmark vurderes som meget høj af CFCS.

Hvad får I ud af BCM?

Overblik
I ved præcis hvilke processer, systemer og udstyr der er kritiske for jeres drift — og hvilke der kan vente.
Konkrete planer
Trin-for-trin procedurer for genopretning, så I ikke står og gætter, når krisen rammer.
Dokumentation
Klar til ledelse, forsikring, myndigheder og revisorer. Væsentligt ved NIS2, CER og energiberedskab.
Trænede medarbejdere
Alle ved, hvad de skal gøre, når alarmen lyder. Ingen panik, ingen forvirring.

De fire byggeklodser i BCM

Et BCM-program består af fire dele, der bygger oven på hinanden:

1 Kontinuitetsanalyse Hvad er kritisk, og hvornår bliver det alvorligt?
2 Risikovurdering Hvilke trusler kan ramme jer, og hvor sårbare er I?
3 Handlingsplaner Kontinuitets- og beredskabsplaner for genopretning.
4 Øvelser & test Afprøv planerne, så de virker i praksis.

1. Kontinuitetsanalyse (BIA)

Business Impact Analysis er fundamentet. Her kortlægger I jeres kritiske processer og udstyr og beregner, hvad det koster, når de er nede. Analysen svarer på to spørgsmål:

  • Hvad er kritisk? — Hvilke processer, systemer og leverancer skal køre for at virksomheden fungerer?
  • Hvornår bliver det alvorligt? — Hvor mange timer/dage kan I klare jer uden dem, før konsekvenserne eskalerer?

Læs mere om kontinuitetsanalyse →

2. Risikovurdering (ROS)

Med afsæt i jeres kritiske processer vurderer I, hvilke trusler der kan ramme dem. For hvert scenarie (cyberangreb, brand, leverandørsvigt osv.) vurderer I sandsynlighed og konsekvens. Resultatet er en risikomatrix, der viser, hvor I er mest sårbare.

Læs vores guide til risikovurdering →

3. Kontinuitets- og beredskabsplaner

Baseret på analysen laver I konkrete planer: Hvem gør hvad, hvornår, og med hvilke ressourcer? Kontinuitetsplanen beskriver genopretning. Beredskabsplanen dækker den akutte krisestyring.

Se vores guide til beredskabsplaner →

4. Øvelser og test

En plan, der aldrig er testet, er ikke en plan — det er et håb. Regelmæssige øvelser (mindst én gang årligt) sikrer, at planerne virker i praksis, og at medarbejderne er klar.

Lovgivning: Hvorfor BCM er blevet et krav

For danske virksomheder er BCM ikke længere bare “nice to have”. Flere reguleringer kræver det direkte:

Lovkrav der berører BCM

NIS2 (L 141): Kræver driftskontinuitet og krisestyring som del af 10 risikostyringsforanstaltninger. Gælder 6.000+ danske virksomheder fra 1. juli 2025.

CER-direktivet: Kræver modstandsdygtighedsplaner for kritiske enheder.

Energiberedskabsloven: Krav om beredskabsplaner, risiko- og sårbarhedsvurderinger, og årlige øvelser for energivirksomheder.

ISO 22301: Den internationale standard for BCM — anbefalet som rammeværk, uanset om I er lovpligtige.

Kom i gang: 5 praktiske skridt

I behøver ikke hyre en hær af konsulenter for at komme i gang. Her er fem skridt, der bringer jer fra nul til et fungerende grundlag:

  1. Identificer det kritiske — Start med at spørge: “Hvad kan vi absolut ikke klare os uden?” Det giver jeres første prioriteringsliste.
  2. Sæt tidsgrænser — For hver kritisk proces: Hvor hurtigt skal den være oppe igen? 4 timer? 24 timer? 1 uge?
  3. Kortlæg trusler — Hvad er realistiske scenarier for jeres branche og geografi? Fokuser på de 5-10 vigtigste.
  4. Skriv simple planer — Hvem gør hvad, hvornår? En plan på én side slår en 200-siders rapport, der aldrig bliver læst.
  5. Test det — Kør en simpel skrivebordsøvelse: “Hvad gør vi, hvis X sker?” Det afslører hullerne.
Det vigtigste er at starte

Mange virksomheder udsætter BCM, fordi det virker uoverkommeligt. Men et simpelt BCM-program, der dækker de vigtigste processer, er langt bedre end slet ingen plan. I kan altid udvide og forfine senere.

Hvordan RiskFinder gør det nemmere

RiskFinder er bygget til at gøre BCM praktisk og overskueligt — især for virksomheder, der ikke har et helt beredskabsteam. Jeres specialisters driftsviden ind, prioriterede handlingsplaner ud.

Se hvordan RiskFinder-Metoden virker →

Del denne artikel

Relaterede sider

Kontinuitetsanalyse Kontinuitetsplan Metoden

Er I klar til at tage næste skridt?

Kontakt os i dag og hør, hvordan RiskFinder kan hjælpe jer med Business Continuity, beredskab og risikostyring.

Eller ring til os på +45 42 40 40 70 · [email protected]

Book Demo