Virksomheten skal etablere og iverksette nødvendige sikkerhetstiltak for å kunne opprettholde kontinuitet og motstandsdyktighet ved en hendelse. Dette inkluderer evnen til å forebygge, detektere, håndtere og gjenopprette normaltilstand etter fysiske eller tekniske hendelser som kan påvirke informasjonssikkerheten og personopplysningssikkerheten.
Manglende tilgjengelighet til nettverk- og informasjonssystemene, tjenester og produkter kan medføre skader både for virksomheten, virksomhetens autoriserte brukere, pasienten/brukeren ved ytelse av helsehjelpen, og den registrerte. Virksomheten skal sørge for at nødvendige helse- og personopplysninger er tilgjengelige.
Virksomheten skal utarbeide, vedlikeholde og dokumentere beredskapsplaner for ulike hendelser og varsling. Det skal gjennomføres jevnlige øvelser for å teste planverket og utvikle kompetansen til å håndtere hendelser. Beredskapsplanene skal utarbeides med basis i de nasjonale beredskapsprinsippene (regjeringen.no) og beskrive organisering og ledelse av beredskap, samt hvilke beredskapstiltak som skal iverksettes ved ulike hendelser. Målet er å minimere konsekvensene av slike hendelser og sikre stabil drift av nettverk og informasjonssystemer og tjenester. Dersom det er relevant, bør øvelser gjennomføres i samarbeid med underleverandører eller andre som utfører arbeid for eller på vegne av virksomheten.
Ved etablering av beredskapsplaner skal virksomheten kartlegge konsekvensen av bortfall av hele eller deler av virksomheten. Dette skal vurderes både for virksomheten selv, leverandører, underleverandører og for autoriserte brukere. Systemer skal klassifiseres etter prioritering basert på konsekvensene av tjenestestopp, fra kritisk til akseptabelt. Klassifiseringen skal inkludere kartlegging av avhengigheter og fastsettelse av akseptabel risiko for tilgjengelighet
Det skal også kartlegges og dokumenteres hvilke andre informasjonssystemer og hvilken infrastruktur de klassifiserte informasjonssystemene er avhengige av. Disse skal ha samme klassifisering og sikkerhetsnivå som for de klassifiserte informasjonssystemene.
For hver klassifisering skal ledelsen beslutte akseptabel risiko for tilgjengelighet, inkludert fastsettelse av maksimal avbruddstid.
Med utgangspunkt i klassifiseringen skal virksomheten etablere beredskapsplaner for alternativ drift uten bruk av informasjonssystemene og alternativ drift med delvis støtte fra informasjonssystemene. Beredskapsplanene skal øves på, testes, revideres og oppdateres minst en gang i året.
