Art. 21(2)(c) NIS 2 + CIR §4.2

Strategie zálohování podle NIS 2 podle článku 21 odst. 2 písm. c)

NIS 2 říká, že musíte udržet podnik v chodu během incidentu i po něm. Článek 21 odst. 2 písm. c) jmenuje správu zálohování, obnovu po havárii a krizové řízení. CIR (EU) 2024/2690 §4.2 to mění ve zdokumentovaný plán zálohování, pravidelné testy obnovy a redundanci.

Simon OrzelSimon Orzel·

Stručně

Zálohování podle NIS 2 není "máme zálohy". Každá IT dílna v Mittelstandu má noční páskové nebo snímkové úlohy. Otázka, kterou směrnice a CIR skutečně kladou, je, zda máte zdokumentovaný plán, s časy obnovy, externím uložením, řízením přístupu, dobami uchovávání a otestovanou schopností systémy vrátit zpět.

CIR §4.2 má šest částí. Plán zálohování se šesti jmenovanými body. Pravidelné testy integrity. Redundance sítě, aktiv, personálu a komunikací. Monitorování zdrojů. A pravidelné testy obnovy se zdokumentovanými výsledky. Všech šest sedí v jednom oddílu přílohy. Žádná z nich není volitelná.

Německo zakotvuje stejné pravidlo do národního práva prostřednictvím §30 odst. 2 bodu 3 BSIG. Znění transponuje článek 21 odst. 2 písm. c) téměř doslovně. Tato stránka prochází směrnici, navazující prováděcí nařízení EU a německou transpozici v tomto pořadí.

Právní zdroj
Tři vrstvy navršené na sebe. Směrnice (závazná pro každou zemi EU). Prováděcí nařízení (přímo použitelné právo EU pro odvětví uvedená v příloze). Národní transpozice (v Německu: BSIG).

Článek 21 odst. 2 písm. c) směrnice NIS 2 (2022/2555)

Kontinuita provozu, jako je správa zálohování a obnova po havárii, a krizové řízení.

Toto je bod c) na seznamu deseti opatření kybernetické bezpečnosti, která musí zavést každý základní a důležitý subjekt. Správa zálohování je jmenována přímo v textu směrnice, nikoli jen zahrabána v prováděcím nařízení.

CIR (EU) 2024/2690, příloha §4.2

Správa zálohování, zabezpečení a redundance. Pro účely čl. 21 odst. 2 písm. c) směrnice (EU) 2022/2555 dotčené subjekty provádějí zálohy a zajišťují dostatečné zdroje, včetně zařízení, sítí a informačních systémů a personálu, k zajištění přiměřené úrovně redundance.

Protože jde o nařízení (nikoli o směrnici), je přímo závazným právem EU. Není potřeba žádná národní transpozice. §4.2 má šest číslovaných pododdílů pokrývajících plán zálohování, testy integrity, redundanci, monitorování zdrojů a testy obnovy. Vztahuje se na poskytovatele DNS, poskytovatele cloudu, datová centra, MSP, služby vytvářející důvěru a další odvětví uvedená v příloze CIR.

§30 odst. 2 bod 3 BSIG (Německo)

Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement.

Německo kopíruje text EU doslovně. Německá transpozice ukazuje na stavební bloky IT-Grundschutz CON.3 (Datensicherungskonzept) a DER.2.3 (Wiederherstellung) jako na praktickou cestu k zavedení.

Tři věci, které CIR §4.2 skutečně vyžaduje
CIR 2024/2690 rozděluje správu zálohování a redundance do tří částí: písemný plán, testy a redundance zdrojů. Potřebujete všechny tři.
§4.2.2

Napište šestibodový plán zálohování

Na základě vašeho posouzení rizik a BCP sepište: (a) časy obnovy, (b) jak zajistíte, že zálohy jsou úplné a přesné, včetně konfiguračních dat a dat uložených v cloudu, (c) kde zálohy sedí (online nebo offline) v jedné nebo více zabezpečených lokalitách, nikoli ve stejné síti jako primární systém, dostatečně daleko, aby incident v primární lokalitě je nezničil, (d) fyzické a logické řízení přístupu škálované podle klasifikace aktiva, (e) jak obnova ze záloh skutečně probíhá, (f) doby uchovávání podle obchodních a regulačních požadavků.

§4.2.3 + §4.2.6

Testujte integritu a obnovu v rytmu

§4.2.3 vyžaduje pravidelné testy integrity samotných záloh. §4.2.6 jde dál: pravidelné testy skutečného procesu obnovy. Ověřte, že obnova je spolehlivá, že všechny kopie a postupy fungují a že lidé, kteří by obnovu prováděli, stále mají znalosti, jak to udělat. Výsledky zdokumentujte. Při selhání testu přijměte nápravné opatření.

§4.2.4

Vybudujte redundanci přes čtyři zdroje

Na základě vašeho posouzení rizik a BCP zajistěte alespoň částečnou redundanci: (a) sítí a informačních systémů, (b) aktiv a hodnot včetně lokalit, vybavení a spotřebního materiálu, (c) personálu s potřebnou odpovědností, pravomocí a kompetencí, (d) komunikačních kanálů. Zálohování je o datech. Redundance je o všem ostatním, co potřebujete k udržení provozu.

Dvě pravidla, která utvářejí vše ostatní
Pod §4.2 sedí dvě základní pravidla. Obě plynou přímo z textu nařízení. Obě se běžně vynechávají.

Zálohy a redundance dohromady

CIR §4.2 jmenuje obojí v názvu téhož oddílu: "Správa zálohování, zabezpečení a redundance". Zálohy chrání data, abyste mohli obnovit ze známé dobré kopie. Redundance chrání provoz, abyste se vůbec nezastavili. Obojí patří do plánu. Tým, který má zálohy, ale žádnou redundanci, dostane zpět data a přesto nemůže fungovat.

Otestováno, nejen pořízeno

§4.2.6 konkrétně vyžaduje pravidelné testy obnovy, nejen pravidelné zálohy. Záloha, ze které nikdo neobnovoval, není schopnost obnovy, je to naděje. Auditor se zeptá, kdy jste naposledy provedli úplnou obnovu, kdo ji prováděl, co selhalo a co jste poté napravili. Pokud je odpověď "při zavedení, před třemi lety", máte zjištění.

Jak to národní regulátoři skutečně řídí
EU stanoví pravidlo. Každá země ho transponuje. Podstata je stejná. Místní mechanika se trochu liší.
Německo

BSI / IT-Grundschutz CON.3 + DER.2.3

IT-Grundschutz od BSI má dva stavební bloky, které mapují přímo na CIR §4.2. CON.3 "Datensicherungskonzept" pokrývá samotný koncept zálohování (co se zálohuje, jak často, kde kopie sedí, uchovávání). DER.2.3 "Notfallwiederherstellung der IT" pokrývá stránku obnovy (postupy, role, testování obnovy). Dohromady vám dají balíček důkazů §4.2 v jazyce, který německý auditor čte každý den.

Celá EU

Technické prováděcí pokyny ENISA

TIG od ENISA bere abstraktní text §4.2 a ukazuje vám, co dělat v praxi pro každý pododdíl. Mapuje také požadavek na ISO/IEC 27001:2022 přílohu A.8.13 (zálohování informací) a A.8.14 (redundance zařízení pro zpracování informací). Stávající opatření ISO 27001 vám dají náskok u důkazů §4.2.

Ostatní členské státy

Národní transpoziční zákony

Každý členský stát transponuje článek 21 odst. 2 písm. c) do vlastního zákona (Nizozemsko: Cyberbeveiligingswet, Rakousko: NISG, Belgie: NIS2-Wet). Povinnosti jsou stejné, protože směrnice stanoví jeden standard pro celou EU. Co se liší: kterému národnímu úřadu se zodpovídáte a jak provádí inspekce.

Tři pasti, které vidíme pořád
Tři předpoklady, které se objevují téměř na každém hovoru s přípravou na audit. Všechny tři vytvářejí mezery, které auditor najde.

  • Provádíme noční zálohy, takže jsme krytí.

    Noční zálohy jsou nutné, nikoli dostatečné. §4.2.2 písm. c) je chce uložené mimo lokalitu, nikoli ve stejné síti jako primární systém, a dostatečně daleko, aby jediný incident nemohl vyřadit obojí. §4.2.2 písm. f) chce zdokumentované doby uchovávání, nikoli "držíme je, dokud se nezaplní disk". §4.2.6 chce pravidelný rytmus testů obnovy se zdokumentovanými výsledky. Auditor se zeptá na všechny tři. "Máme zálohy" odpovídá na jednu z nich.

  • Obnovu jsme otestovali jednou, když jsme systém zaváděli.

    §4.2.6 říká pravidelné testy, nikoli jednorázové testy. Test z doby před třemi lety nedokazuje, že dnešní formát zálohy, dnešní postup obnovy a dnešní lidé stále fungují dohromady. Zvolte rytmus (čtvrtletně nebo pololetně u kritických systémů, ročně u zbytku), zapište ho do plánu, proveďte ho, každý test zdokumentujte.

  • Zálohujeme data, konfigurace umíme znovu vybudovat od nuly.

    Ne. §4.2.2 písm. b) výslovně vyžaduje, aby byla záloha úplná a přesná, "včetně konfiguračních dat, včetně dat uložených v prostředích cloud computingu". Databáze bez konfigurace aplikace, pravidel firewallu a nastavení poskytovatele identity není obnovitelný systém, je to hromada záznamů, ke kterým se nedostanete. Plán musí pokrýt konfigurace a data uložená v cloudu, nikoli jen produkční tabulky.

Jak to skuteční provozovatelé v Mittelstandu opravdu dělají

Co vidíme v praxi: většina Mittelstandu má zálohy. Většina má noční úlohy běžící na NAS nebo do cloudového úložiště. Co jim typicky chybí, je zdokumentovaný plán §4.2.2 s časy obnovy na systém, jmenovaná externí lokalita uložení, fyzické a logické řízení přístupu písemně, doby uchovávání na systém a regulátora a harmonogram testů obnovy. Zálohovací úloha existuje, plán kolem ní ne.

Náprava je malá. Napište šestibodový plán §4.2.2 jednou, schvalte ho a dejte test obnovy do kalendáře (čtvrtletně u kritických systémů, pololetně nebo ročně u zbytku). Po prvním cyklu testů máte balíček důkazů, který nařízení žádá. Těžká část není technologie. Těžká část je mít plán na papíře a test v kalendáři.

Jak to řešíme na platformě

Modul BCP zachycuje šestibodový plán zálohování podle §4.2.2, harmonogram testů obnovy, registr redundance pro síť, aktiva, personál a komunikace a výsledky testů obnovy se schválením. Jeden modul pokrývá §4.2.2 až §4.2.6.

Testy jsou naplánované úkoly, nikoli volné textové připomínky. Když test obnovy proběhne, výsledek, mezery a nápravná opatření se zachytí proti stejnému záznamu. Auditní stopa pak na jeden klik odpoví na "kdy jste naposledy testovali obnovu, co selhalo, co jste s tím udělali". Žádný samostatný protokol testů na údržbu.

Zdroje
  • Směrnice (EU) 2022/2555 (NIS 2), článek 21 odst. 2 písm. c). eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha §4.2. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Zákon o BSI (BSIG), §30 odst. 2 bod 3 ve znění zákona o provedení NIS2 a posílení kybernetické bezpečnosti
  • BSI IT-Grundschutz Baustein CON.3 "Datensicherungskonzept". bsi.bund.de/grundschutz
  • BSI IT-Grundschutz Baustein DER.2.3 "Notfallwiederherstellung der IT". bsi.bund.de/grundschutz
  • Technické prováděcí pokyny ENISA k CIR (EU) 2024/2690 (k květnu 2026)
Řiďte zálohování a redundanci bez samostatné hromady dokumentů
Šestibodový plán, harmonogram testů, registr redundance a důkazy o testech obnovy na jedné platformě. Zdarma, open source, žádný lock-in.
Otevřít platformu zdarma