Advania logo
    Kontakta oss
    Gå tillbaka

    BIA

    Vad är en BIA?

    Business Impact Analysis (BIA), på svenska konsekvensanalys för verksamheten, är en metod för att kartlägga vilka processer som är kritiska för organisationen och vad ett avbrott i dem skulle kosta. Analysen identifierar beroenden mellan processer, system, personal och leverantörer, och sätter siffror på konsekvenserna över tid. Resultatet är utgångspunkten för all kontinuitetsplanering – utan BIA blir både Business Continuity Plan (BCP) och Disaster Recovery Plan (DRP) byggda på antaganden.

    Betydelsen av en BIA

    De flesta organisationer skyddar fel saker. Utan en systematisk analys tenderar kontinuitetsarbetet att styras av magkänsla eller av vem som ropar högst – med resultatet att vissa system överskyddas medan verkligt kritiska processer står oskyddade. En BIA ger fakta att prioritera utifrån: vilka processer som måste fungera, i vilken ordning de ska återställas och vad varje timmes avbrott faktiskt kostar. Analysen är också ett återkommande krav i regelverk och standarder – ISO 22301 förutsätter den, och både NIS2 och DORA kräver att organisationer förstår konsekvenserna av störningar i sina kritiska tjänster.

    Så fungerar en BIA

    En BIA genomförs vanligen som ett strukturerat arbete tillsammans med verksamhetens processägare:

    • Kartlägg processerna: Identifiera verksamhetens processer och vad de levererar – till kunder, medborgare eller internt.
    • Identifiera beroenden: Vilka system, data, lokaler, personer och leverantörer krävs för att processen ska fungera?
    • Bedöm konsekvenserna över tid: Vad händer efter en timme, ett dygn, en vecka? Konsekvenser mäts i ekonomi, men också i förtroende, regelefterlevnad och i vissa fall liv och hälsa.
    • Sätt återställningskrav: Utifrån konsekvensbedömningen definieras mål som RTO och RPO – hur snabbt processen måste vara igång och hur mycket data som får förloras.
    • Prioritera: Resultatet blir en prioriteringsordning som styr investeringar i skydd, redundans och återställningsförmåga.

    Analysen är inte en engångsövning. Verksamheter förändras, och en BIA bör uppdateras regelbundet eller vid större förändringar.

    Fördelar med en BIA

    Den största vinsten är att kontinuitetsarbetet blir affärsdrivet. Investeringar i redundans, backup och beredskap kan motiveras med konkreta avbrottskostnader i stället för allmänna riskresonemang, vilket gör det lättare att få ledningens stöd. Analysen avslöjar ofta okända beroenden – en till synes perifer applikation eller en enskild leverantör som visar sig vara kritisk för en kärnprocess. Den ger också ett tydligt underlag vid incidenter: när något väl händer vet organisationen redan vilka processer som ska räddas först.

    Gör konsekvensanalysen till en grund att bygga på med Advania

    Advania stöttar organisationer genom hela BIA-arbetet – från metodik och workshops med processägare till att omsätta resultatet i konkreta kontinuitets- och återställningsplaner. Med erfarenhet från både offentlig och privat sektor hjälper vi er att ställa rätt frågor, undvika vanliga fallgropar och se till att analysen blir ett levande beslutsunderlag snarare än en hyllvärmare.

    Vanliga frågor och svar om BIA

    Vad är skillnaden mellan en BIA och en riskanalys?

    En riskanalys frågar vad som kan hända och hur sannolikt det är. En BIA frågar vad konsekvensen blir om en process stoppas – oavsett orsak. De kompletterar varandra: BIA:n visar vad som är kritiskt att skydda, riskanalysen visar vilka hot som är mest angelägna att hantera.

    Hur ofta bör en BIA uppdateras?

    En vanlig rekommendation är minst årligen, samt vid större förändringar som nya system, omorganisationer, förvärv eller byte av kritiska leverantörer. En inaktuell BIA kan vara direkt vilseledande eftersom prioriteringarna bygger på en verksamhet som inte längre finns.

    Vem ska ansvara för en BIA?

    Analysen ägs bäst av verksamheten, ofta via en kontinuitets- eller säkerhetsansvarig, med ledningens mandat. IT är en central deltagare men ska inte äga analysen ensam – det är verksamheten som kan bedöma vad ett avbrott faktiskt betyder.

    Vad används resultatet av en BIA till?

    Resultatet styr i princip allt kontinuitetsarbete: prioriteringsordning vid återställning, krav på RTO och RPO, dimensionering av backup och redundans, innehållet i BCP och DRP samt underlag för avtal med leverantörer.

    Viktiga punkter att ta med sig om BIA
    • Konsekvensfokus: BIA mäter vad avbrott kostar – inte hur sannolika de är.
    • Grunden: analysen är utgångspunkten för BCP, DRP och återställningsmål.
    • Beroenden: kartläggningen avslöjar ofta okända kritiska system och leverantörer.
    • Verksamhetsägd: processägarna, inte IT, bedömer konsekvenserna.
    • Levande dokument: uppdatera årligen och vid större förändringar.
    DIGITAL MOTSTÅNDSKRAFT

    Hur snabbt är er verksamhet igång igen efter ett avbrott?

    Utforska digital motståndskraft

    Andra relevanta ord i samma kategori