För bara några dagar sedan drabbades stora delar av den Iberiska halvön av ett massivt strömavbrott. I upp till tio timmar stod samhällen stilla: inget ljus, ingen internetuppkoppling – och ingen information. Att Spanien och delar av Portugal kunde slockna på det här sättet är ett brutalt exempel på det vi ofta pratar om men sällan får bevittna i praktiken i den här omfattningen: oförutsägbarhetens konsekvenser för vår digitala infrastruktur. Många extrema situationer kan kännas otroliga ända tills de inträffar – och det är varför regelverk som NIS2 och standarder som ISO27001 finns, för att rusta organisationer att hantera verklighetens oförutsägbarhet.
Vad har hänt?
Den 28 april 2025 inträffade ett av Europas mest omfattande strömavbrott när hela den Iberiska halvön – inklusive Spanien, Portugal och delar av Andorra och södra Frankrike – drabbades av ett plötsligt elavbrott. Vid 12:33 lokal tid förlorade Spanien 60 % av sin elproduktion inom fem sekunder, vilket ledde till att hela det iberiska elnätet kollapsade. Spanien utlyste nationellt nödläge och 50 miljoner människor drabbades. Knappt 36 timmar senare var nästan hela elförsörjningen igång igen – men konsekvenserna blev många.
Allt stannade av och det blev en märklig tystnad. Lampor slocknade, betalningslösningar slutade fungera och internet låg nere.
För vår organisation ledde det till personliga upplevelser då flera medarbetare befann sig på plats i Spanien, på vårt fasta kontor eller på semester. Julia Karlsson, Chief Operating Officer, semestrade i Spanien och berättar:
”Allt stannade av och runt omkring en blev det märkligt tyst. Lampor slocknade, betalningslösningar slutade fungera och internet låg nere. Stämningen bland människor var osäker då det var svårt att få reda på vad som hänt till en början. De som hade en gammal klassisk batteridriven radio hemma kunde lyssna på presidentens tal till nationen, men många var inte lika förberedda. Det låter dumt, men helt plötsligt blir man varse om hur beroende vi är av elektricitet i precis allt i vår omgivning.”
NIS2 och nya ISO27001:2022 finns för att vara bättre förberedda för oväntade händelser
Det här är exakt den typ av scenarier som NIS2-direktivet och ISO 27001-standarden syftar till att rusta organisationer för. En händelse som påverkar tillgången till exempelvis el, kommunikation, betalningssystem och IT-infrastruktur handlar inte bara om teknik utan är ett verksamhetsavbrott.
I ISO 27001:2022 är det tydligare att organisationer måste ha kontroller och rutiner för att kunna hantera oförutsägbara störningar. Ledningssystemet kräver ett större fokus på resiliens, särskilt i relation till verksamhetsavbrott och tillgångsstyrning.
NIS2 ställer i sin tur krav på att organisationer ska:
- Göra riskanalyser och identifiera beroenden som påverkar samhällsviktiga tjänster
- Ha beredskap för att säkerställa kontinuitet och hantera incidenter, inklusive rapportering och återställning
- Säkra sin leverantörskedja för att förebygga att incidenter i leveranskedjan påverkar den egna verksamheten
För de verksamheter som faller under NIS2 är någon form av ledningssystem för informationssäkerhet en självklarhet för att säkra efterlevnad över tid, och där är ISO27001 för många ett bra val. I standarden ingår bland annat:
- Kontroller för ICT-beredskap (Information and Technology Communication) vid avbrott
- Fokus på informationssäkerhet under störningar
- Krav på tillgångs- och beroendeanalys
- Stärkt krav på kontinuitetsplanering och riskhantering
När vi sätter detta i kontexten av det oväntade, men omfattande, strömavbrottet blir det tydligt att både NIS2 och ISO27001 inte handlar om hypotetiska hot – utan om konkreta, verksamhetskritiska förmågor. Att ha koll på sina beroenden, veta hur man kommunicerar när nätet ligger nere, och att kunna agera när både tekniken och vardagen plötsligt förändras är inte bara krav i ett dokument – det är vad som avgör om man står stilla eller kan fortsätta. Händelsen är en påminnelse om att resiliens förstås inte bör byggas mitt i krisen, utan före.
Med en kontinuitetsplan agerar vi snabbare och säkrare
En av de mest avgörande delarna i ett robust säkerhetsarbete, men kanske också en av de man ibland skjuter upp till morgondagen att ordna med, är en fungerande kontinuitetsplan (på engelska business continuity plan, BCP). En BCP handlar inte bara om att ha identifierat risker, utan framför allt definierat vad det mest kritiska är för verksamheten och hur man agerar när något faktiskt inträffar. Alla ska veta hur man ska agera, och vilka som ansvarar för vad.
Det handlar om att ha förberedda alternativ, att veta vem som gör vad, hur man kommunicerar utan internet, vilka verksamhetsdelar som prioriteras och hur man återställer kontrollen steg för steg.
I en situation som den på Iberiska halvön, där både el, nätverk, betalningslösningar och information blev otillgängligt på en gång, blir det tydligt hur värdefullt det är att ha en plan som omfattar hela verksamheten – inte bara IT. Det handlar om att ha förberedda alternativ, att veta vem som gör vad, hur man kommunicerar utan internet, vilka verksamhetsdelar som prioriteras och hur man återställer kontrollen steg för steg. Det är också det som gör skillnaden mellan panik och handlingskraft.
När standarder möter verklighet – lärdomar från Iberiska halvön
Det är lätt att tänka på regelverk som NIS2 eller standarder som ISO27001 som något abstrakt – dokument att uppfylla, kontroller att bocka av. Men när elen slocknar, betalningssystemen stannar och kommunikation försvinner, möter de verkligheten med full kraft. Då handlar det inte om compliance på pappret – då handlar det om att verksamheten ska fortsätta fungera.
Kris är sällan rätt tid att börja tänka efter. Den verkliga styrkan ligger i att ha tänkt efter innan – och att ha gjort det till en del av kulturen.
Våra kollegor i Murcia, där vi har ett av våra kontor, var mitt i händelsen. Tack vare förberedelser, tydliga processer och ett internt BCP-arbete kunde de fortsätta jobba, stötta kunder och hålla kontakt med vår övriga organisation. Med batteridrivna redundanslösningar, lokal serveråtkomst och upparbetade kontaktvägar klarade de sig igenom händelsen. Samtidigt blev händelsen en nyttig påminnelse även för oss. Vår plan fungerade i praktiken, men som alltid i verkliga kriser upptäcktes små saker att förbättra – allt från kommunikation utan internet till logistik för reservutrustning. Det har gett oss värdefulla insikter att ta med i vårt fortsatta arbete med att stärka både våra egna och våra kunders beredskapsförmåga.
Kris är sällan rätt tid att börja tänka efter. Den verkliga styrkan ligger i att ha tänkt efter innan – och att ha gjort det till en del av kulturen. När vi pratar om resiliens, är det precis det vi menar. Därför behöver vi inte bara regler och checklistor – vi behöver förbereda oss mentalt och strukturellt på det som inte får hända. För när det väl händer, finns ingen tid att börja planera.
Hur gick det för vår semestrande kollega då? Ja, hon har kommit hem igen, några upplevelser rikare.
”Det jag tar med mig mest är inte själva avbrottet”, reflekterar Julia, ”utan känslan av hur snabbt något oväntat kan bli allas nya verklighet”. Hon fortsätter: ”Man tror att man vet hur man ska reagera – men det gör man inte förrän man står där. För mig blev det en påminnelse om varför vi gör det vi gör. Att bygga motståndskraft är inte en övning i regeluppfyllnad, det är något djupt mänskligt – att vilja stå stadigt, även när det gungar.”
