Organisaation olisi luotava ja ylläpidettävä viisivuotista suunnittelusykliä kyberturvallisuusharjoitusten toteuttamista varten. Suunnitelmalla varmistetaan, että häiriötilanteisiin reagointi- ja jatkuvuusvalmiuksia testataan säännöllisesti. Se olisi päivitettävä vähintään vuosittain tai merkittävien muutosten jälkeen.

Suunnitelmassa olisi määriteltävä kunkin harjoituksen aikataulu, harjoitustyypit (esim. tablettiharjoitukset, toiminnalliset harjoitukset), laajuus, tavoitteet ja osallistujat, jotta varmistetaan kattava testaus viiden vuoden aikana. Harjoitusten olisi katettava ainakin seuraavat keskeiset aiheet:

• Kriisinhallinta & koordinointi:
  • Yrityksen kriisinhallintaryhmän testaaminen.
  • Koordinoidun valmiuden menettelyjen harjoittelu.
  • Toimittajien (erityisesti kriittisten tietotekniikkajärjestelmien toimittajien) ottaminen mukaan häiriötilanteiden käsittelyyn.
• Toiminnallinen & toimitusketjun häiriönsietokyky:
  • Toiminnan jatkumisen varmistaminen.
  • Toimitusten palauttaminen häiriön jälkeen.
  • Lisäresurssien ja -materiaalien mobilisointi.
• Viestintä:
  • Sisäisen ja ulkoisen viestinnän hallinta.
  • Tiedottaminen kuluttajille.
  • Vaihtoehtoisten viestintämenetelmien käyttö, jos ensisijaiset kanavat eivät toimi.
• Tietotekniikka & Kyberturvallisuus:
  • Tietoverkkouhkien ja -haavoittuvuuksien käsittely.
  • Tietoturvapalvelujen aktivointi.
  • Harjoitellaan hätätilannemenettelyjä kriittisten IT-järjestelmien eristämiseksi ja siirtymiseksi redundantteihin järjestelmiin.
  • Järjestelmien palauttaminen varmuuskopioista, mukaan luettuna räätälöityjen ohjelmistojen lähdekoodi ja tiedot.
• Organisaatioiden väliset toimet:
  • Alan hätätilavalmiustason muutoksia koskevien ilmoitusten kuittaaminen ja vahvistaminen.
  • Valmiustason mukaisten hätätoimenpiteiden toteuttaminen.
• Toipuminen:
  • Normaaliintumisprosessin harjoittaminen hätätilanteen päätyttyä.

Organisaation tulisi myös laatia harjoituksista virallinen harjoitusten arviointiraportti. Tässä raportissa on kuvattava harjoituksen koulutetut osat, harjoituksen kulku, saadut kokemukset, asiaankuuluvat oppimiskohteet ja suunnitellut jatkotoimet aikatauluineen ja sisäisine vastuunjakoineen.

Organisaation on harjoiteltava katastrofisuunnitelmien toteuttamista vuosittain tai aina merkittävästi suunnitelmaa muutettaessa.

Jos mahdollista, on hyödyllistä sisällyttää paikalliset viranomaiset mukaan harjoitukseen.

Organisaation tulisi säännöllisesti, vähintään vuosittain, testata ja tarkistaa tietoturvan jatkuvuussuunnitelmansa sen varmistamiseksi, että ne ovat päteviä ja tehokkaita epäsuotuisissa tilanteissa.

Jatkuvuussuunnitelmien testaukseen on tarvittaessa otettava mukaan kunkin suunnitelman kannalta kriittiset sidosryhmät. Organisaation tulisi määritttää ja dokumentoida tarvittavat yhteyshenkilöt toimittajien ja kumppaneiden kanssa.

Lisäksi jatkuvuussuunnitelmien ja niihin liittyvien hallintamekanismien riittävyys olisi arvioitava uudelleen, jos toiminnassa tapahtuu merkittäviä muutoksia.

Relevant persons are sufficiently familiar with the continuity plans related to their own activities and their more detailed contents, and are able to act accordingly.