Kontinuita provozu podle NIS 2 podle čl. 21 odst. 2 písm. c)
NIS 2 říká, že musíte udržet provoz v chodu a obnovit jej, když se něco rozbije. Čl. 21 odst. 2 písm. c) je ta povinnost. § 4 CIR (EU) 2024/2690 rozepisuje BCP, plán záloh a krizový postup. Německo to vkládá do § 30 odst. 2 bodu 3 BSIG.
Stručná verze
Kontinuita provozu je v bodu c) seznamu čl. 21 odst. 2. Směrnice spojuje tři věci dohromady: udržet podnik v chodu, spravovat zálohy a obnovu a řídit krizi. Pokud se na vás NIS 2 vztahuje, musíte dělat všechny tři.
§ 4 CIR (EU) 2024/2690 rozděluje tutéž povinnost do tří pododdílů. § 4.1 je samotný plán kontinuity provozu s osmibodovým seznamem obsahu. § 4.2 je zálohování a redundance se šestibodovým plánem plus testy integrity. § 4.3 je postup krizového řízení, včetně toho, jak komunikujete s regulátorem. Pokud provozujete DNS, cloud, datové centrum, MSP, služby vytvářející důvěru nebo jakékoli jiné odvětví v příloze CIR, toto vás zavazuje přímo.
Německo vkládá tutéž normu do vnitrostátního práva prostřednictvím § 30 odst. 2 bodu 3 BSIG. Znění sleduje směrnici. Tato stránka prochází v tomto pořadí směrnici, navazující nařízení EU a německou transpozici.
Čl. 21 odst. 2 písm. c) směrnice NIS 2 (2022/2555)
Kontinuita činností, jako je řízení zálohování a obnova provozu po havárii, a řízení krizí.
Bod c) na seznamu deseti kybernetických opatření, která musí každý základní a důležitý subjekt zavést. Jeden řádek, tři spojené povinnosti.
CIR (EU) 2024/2690, příloha § 4
Kontinuita činností a řízení krizí (čl. 21 odst. 2 písm. c) směrnice (EU) 2022/2555).
Protože jde o nařízení (nikoli směrnici), je přímo závazným právem EU. CIR rozděluje § 4 do tří pododdílů: § 4.1 plán kontinuity provozu a obnovy po havárii, § 4.2 správa zálohování a redundance, § 4.3 postup krizového řízení. Vztahuje se přímo na poskytovatele DNS, registry TLD, poskytovatele cloudu a datových center, MSP a další odvětví uvedená v jeho příloze.
§ 30 odst. 2 bod 3 BSIG (Německo)
Kontinuita činností, jako je řízení zálohování a obnova provozu po havárii, a řízení krizí.
Německo kopíruje znění směrnice. Infopakete od BSI uvádí kontinuitu provozu jako jedno z deseti opatření podle čl. 21 odst. 2, která musí každý základní a důležitý subjekt pokrýt.
Plán kontinuity provozu a obnovy po havárii
Písemný plán s osmi body: účel a rozsah, role a odpovědnosti, seznam kontaktů, podmínky spouštějící aktivaci, sled obnovy, plán obnovy pro každý kritický proces, potřebné zdroje a způsob restartu a obnovení běžného provozu. Ne tři věty ve wordovém dokumentu. Skutečný dokument, který lidé mohou následovat, když je síť mimo provoz a telefony zvoní.
Správa zálohování a redundance
Šestibodový plán záloh: cílové doby obnovy, úplnost záloh, ukládání mimo lokalitu, kontroly fyzického a logického přístupu, samotný postup obnovy a doby uchovávání. Plus pravidelné testy integrity, abyste ještě před incidentem zjistili, zda se zálohy skutečně obnoví. Plus redundance (N+1) pro aktiva, personál a komunikační kanály.
Postup krizového řízení
Písemný postup s pojmenovanými rolemi, komunikačním kanálem k příslušnému orgánu, způsobem udržení bezpečnosti během krize a seznamem povinných sdělení, včetně hlášení incidentů podle článku 23. Krizové řízení není 'sejdeme se na hovoru'. Je to kdo je na hovoru, co rozhodují a komu to oznamují.
Zálohování je správa, nejen IT
Plán záloh podle § 4.2 je auditovatelná dokumentace, nikoli zaškrtávací políčko ve vašem zálohovacím nástroji. Doby uchovávání se schvalují. Umístění úložiště mimo lokalitu se dokumentuje. Doby obnovy se stanoví podle podniku, nikoli podle toho, co nástroj zvládne. Pokud vaše zálohování existuje výhradně uvnitř IT týmu, chybí vám vrstva správy, kterou CIR požaduje.
Testujte v kadenci, nikoli 'až budeme mít čas'
§ 4.1 očekává, že BCP bude pravidelně testován. § 4.2 očekává testy integrity záloh v kadenci. Neotestovaný BCP je papír. Neotestovaná záloha je naděje. Jednou ročně pro stolní cvičení BCP, častěji pro testy obnovy záloh. Zdokumentujte test, zdokumentujte, co selhalo, zdokumentujte, co jste opravili.
BSI / IT-Grundschutz DER.4
BSI uvádí kontinuitu provozu jako jedno z deseti opatření podle čl. 21 odst. 2 (viz § 30 odst. 2 bod 3 BSIG) a odkazuje na IT-Grundschutz Baustein DER.4 'Notfallmanagement' jako praktickou cestu. DER.4 pokrývá celý životní cyklus kontinuity: BIA, BCP, plány obnovy, testy, schválení. Pokud DER.4 dodržíte od začátku do konce, jste výrazně nad minimem § 4 CIR.
Technické prováděcí pokyny ENISA
TIG od ENISA převádí § 4 CIR do konkrétních kroků a mapuje jej na ISO/IEC 27001:2022 (ustanovení kolem A.5.29, A.5.30, A.8.13, A.8.14) a NIST CSF 2.0 (funkce Recover). Pokud již provozujete ISO 27001 nebo NIST CSF, TIG vám řekne, co můžete znovu použít a kde stále zůstávají mezery.
Vnitrostátní transpoziční zákony
Každý členský stát má vlastní transpozici (Nizozemsko: Cyberbeveiligingswet, Rakousko: NISG, Belgie: NIS2-Wet). Povinnost kontinuity je stejná, protože směrnice stanoví jeden celoevropský standard. Co se liší: který vnitrostátní orgán v krizi uvědomíte a na jakém kanálu.
Máme zálohy na pásce, takže jsme v pořádku.
Zálohy nestačí. § 4.2 CIR chce zdokumentovaný úplný šestibodový plán: cílové doby obnovy, úplnost, ukládání mimo lokalitu, řízení přístupu, postup obnovy, doby uchovávání. Plus pravidelné testy integrity. Rotace pásek bez písemného plánu je polovina požadavku.
BCP je problémem IT týmu.
Není. § 4.3 výslovně pokrývá krizové řízení s úrovní vedení: komunikační kanály s příslušným orgánem, povinná hlášení incidentů podle článku 23, rozhodnutí o tom, které služby udržet a které pozastavit. To je povinnost vedení, nikoli povinnost IT.
Vyřešíme to v krizi.
Nevyřešíte. § 4.3 vyžaduje písemný krizový postup s pojmenovanými rolemi a předem definovanými komunikačními kanály. Smyslem jeho předchozího sepsání je, abyste si jej nevymýšleli ve tři ráno v neděli. Auditor si vyžádá dokument. 'Máme dobré lidi' není ten dokument.
Co vidíme v praxi: většina společností Mittelstand má zálohy. Páska, cloud, druhá lokalita, něco. Co téměř nikdy nemají, je zdokumentovaný plán podle § 4.2 kolem těchto záloh: cílové doby obnovy stanovené podle podniku, schválené doby uchovávání, pojmenované umístění úložiště mimo lokalitu, testy integrity v kalendáři. Zálohy existují. Správa ne.
Dva kroky, které práci splní: zaprvé, sepište BCP podle § 4.1. Použijte osmibodový seznam z CIR jako svůj obsah. Zadruhé, proveďte test jednou ročně. Stolní cvičení, kde tým vedení projde BCP pro reálný scénář, předčí šest měsíců leštění dokumentu. Test je to, co vytváří auditní důkaz.
Zabudovali jsme § 4 CIR do platformy jako modul. Formulář BCP zachycuje osm obsahových polí z § 4.1. Formulář záloh zachycuje šest bodů z § 4.2 plus harmonogram testů. Formulář krizového postupu zachycuje role z § 4.3, kanály a komunikační cesty podle článku 23. Schválení je u každého artefaktu.
Kadence testů je rovněž na platformě. Naplánujete roční stolní cvičení BCP a čtvrtletní testy obnovy záloh, platforma připomene vlastníkovi, vlastník zaznamená výsledek a auditní stopa ukazuje, kdy proběhly a co se stalo. Žádný samostatný kalendář, žádné samostatné úložiště dokumentů.
- Směrnice (EU) 2022/2555 (NIS 2), čl. 21 odst. 2 písm. c), eur-lex.europa.eu/eli/dir/2022/2555/oj
- Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha § 4, eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Zákon o BSI (BSIG), § 30 odst. 2 bod 3 ve znění zákona o provedení NIS2 a posílení kybernetické bezpečnosti
- BSI IT-Grundschutz Baustein DER.4 'Notfallmanagement', bsi.bund.de/grundschutz
- Technické prováděcí pokyny ENISA pro CIR (EU) 2024/2690 (stav k květnu 2026)