| 1 Identifiera |
Identifiera och klassificera incident via SIEM/IDS-larm eller operatörsrapport. Starta incidentlogg. |
SOC / Skiftledare |
< 15 min |
– |
Vid misstänkt incident: kontakta Incidentledare |
| 2 Skydda |
Isolera drabbade system via brandväggsregler. Koppla bort komprometterade enheter. Bevara bevis. Vid ransomware: isolera omedelbart, stäng inte av. |
Incidentledare |
< 1 timme |
Aktivera redundant SCADA om primär påverkad |
Kontakta IT-säkerhetschef och OT-ansvarig |
| 3 Rensa |
Ta bort malware, bakdörrar. Patcha sårbarheter. Verifiera att hotet är borta. Byt komprometterade credentials. |
IT-säkerhet + OT-tekniker |
4–24 timmar |
PLC-program återställs från versionskontroll |
Vid produktionspåverkan: kontakta Produktionschef |
| 4 Återställa |
Återställ från backup. Gradvis återstart: Safety PLC → PLC → SCADA → HMI. Verifiera integritet och normal drift. |
OT-drift |
2–4 timmar |
Historian: restore från sekundär historian |
Vid produktionspåverkan >8h: kontakta VD |
| 5 Post-incident |
Dokumentera tidslinje och lessons learned. Uppdatera rutiner. NIS2-rapportering till MSB (24h / 72h / 1 månad). |
Incidentledare |
< 1 vecka |
Arkivera alla bevis på säker plats |
Vid rapporteringspliktig incident: MSB inom 24h |