Estrategia de copias de seguridad NIS2 conforme al artículo 21(2)(c)
NIS2 establece que tiene que mantener el negocio en funcionamiento durante y después de un incidente. El artículo 21(2)(c) nombra la gestión de copias de seguridad, la recuperación ante desastres y la gestión de crisis. El CIR (UE) 2024/2690 §4.2 lo convierte en un plan de copias de seguridad documentado, pruebas de recuperación regulares y redundancia.
La versión resumida
La copia de seguridad bajo NIS2 no es '¿tenemos copias de seguridad?'. Todo departamento de TI del Mittelstand tiene trabajos nocturnos de cinta o de instantánea. La pregunta que realmente plantean la directiva y el CIR es si tiene un plan documentado, con tiempos de recuperación, almacenamiento fuera de sede, controles de acceso, periodos de retención y una capacidad probada de restaurar los sistemas.
El CIR §4.2 tiene seis partes. Un plan de copias de seguridad con seis puntos nombrados. Pruebas de integridad regulares. Redundancia de red, activos, personal y comunicaciones. Supervisión de recursos. Y pruebas de recuperación regulares con resultados documentados. Las seis se sitúan en una sección del anexo. Ninguna de ellas es opcional.
Alemania incorpora la misma norma a su Derecho nacional mediante el §30(2)(3) BSIG. La redacción transpone el artículo 21(2)(c) casi palabra por palabra. Esta página recorre la directiva, el reglamento de desarrollo de la UE y la transposición alemana en ese orden.
Artículo 21(2)(c) de la Directiva NIS2 (2022/2555)
Continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y gestión de crisis.
Este es el punto (c) de la lista de diez medidas de ciberseguridad que toda entidad esencial e importante tiene que implantar. La gestión de copias de seguridad se nombra directamente en el texto de la directiva, no solo enterrada en el reglamento de ejecución.
CIR (UE) 2024/2690, anexo §4.2
Gestión de copias de seguridad, salvaguarda y redundancia. A efectos del artículo 21(2)(c) de la Directiva (UE) 2022/2555, las entidades pertinentes realizarán copias de seguridad y dispondrán de recursos suficientes, incluidas instalaciones, redes y sistemas de información, y personal, para garantizar un nivel adecuado de redundancia.
Al tratarse de un reglamento (no de una directiva), es Derecho de la UE directamente vinculante. No requiere transposición nacional. El §4.2 tiene seis subapartados numerados que cubren el plan de copias de seguridad, las pruebas de integridad, la redundancia, la supervisión de recursos y las pruebas de recuperación. Se aplica a los proveedores de DNS, los proveedores de servicios en la nube, los centros de datos, los MSP, los servicios de confianza y los demás sectores enumerados en el anexo del CIR.
§30(2)(3) BSIG (Alemania)
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement.
Alemania copia el texto de la UE palabra por palabra. La transposición alemana apunta a los bloques de IT-Grundschutz CON.3 (Datensicherungskonzept) y DER.2.3 (Wiederherstellung) como vía práctica de implementación.
Redacte el plan de copias de seguridad de seis puntos
Basándose en su evaluación de riesgos y su BCP, documente: (a) los tiempos de recuperación, (b) cómo garantiza que las copias de seguridad sean completas y exactas, incluidos los datos de configuración y los datos almacenados en la nube, (c) dónde residen las copias de seguridad (en línea o fuera de línea) en una o varias ubicaciones seguras, no en la misma red que el sistema primario, lo bastante lejos para que un incidente en la sede primaria no las inutilice, (d) controles de acceso físico y lógico escalados a la clasificación del activo, (e) cómo se ejecuta realmente la recuperación a partir de las copias de seguridad, (f) periodos de retención según los requisitos de negocio y regulatorios.
Pruebe la integridad y la recuperación con una cadencia
El §4.2.3 exige pruebas de integridad regulares de las propias copias de seguridad. El §4.2.6 va más allá: pruebas regulares del proceso de recuperación real. Verifique que la recuperación es fiable, que todas las copias y procedimientos funcionan, y que las personas que ejecutarían la recuperación siguen teniendo el conocimiento para hacerlo. Documente los resultados. Tome medidas correctoras cuando una prueba falle.
Construya redundancia en cuatro recursos
Basándose en su evaluación de riesgos y su BCP, garantice al menos una redundancia parcial de: (a) redes y sistemas de información, (b) activos y valores, incluidas sedes, equipos y consumibles, (c) personal con la responsabilidad, autoridad y competencia requeridas, (d) canales de comunicación. La copia de seguridad trata de los datos. La redundancia trata de todo lo demás que necesita para seguir operando.
Copias de seguridad y redundancia juntas
El §4.2 del CIR nombra ambas en el mismo título de sección: 'Gestión de copias de seguridad, salvaguarda y redundancia'. Las copias de seguridad protegen los datos para que pueda reconstruir a partir de una copia íntegra conocida. La redundancia protege las operaciones para que no se detenga en primer lugar. Ambas pertenecen al plan. Un equipo que tiene copias de seguridad pero no redundancia recupera los datos y aun así no puede operar.
Probada, no solo realizada
El §4.2.6 exige específicamente pruebas de recuperación regulares, no solo copias de seguridad regulares. Una copia de seguridad a partir de la cual nadie ha restaurado no es una capacidad de recuperación, es una esperanza. El auditor preguntará cuándo hizo la última restauración completa, quién la ejecutó, qué falló y qué corrigió después. Si la respuesta es 'en la puesta en marcha, hace tres años', tiene un hallazgo.
BSI / IT-Grundschutz CON.3 + DER.2.3
El IT-Grundschutz del BSI tiene dos bloques que se correlacionan directamente con el §4.2 del CIR. CON.3 'Datensicherungskonzept' cubre el concepto de copia de seguridad en sí (qué se respalda, con qué frecuencia, dónde residen las copias, la retención). DER.2.3 'Notfallwiederherstellung der IT' cubre el lado de la recuperación (procedimientos, roles, pruebas de restauración). Juntos le dan el paquete de evidencia del §4.2 en un lenguaje que un auditor alemán lee a diario.
Guía Técnica de Implementación de ENISA
La TIG de ENISA toma el texto abstracto del §4.2 y le muestra qué hacer en la práctica para cada subapartado. También correlaciona el requisito con ISO/IEC 27001:2022 anexo A.8.13 (copia de seguridad de la información) y A.8.14 (redundancia de las instalaciones de tratamiento de información). Los controles de ISO 27001 existentes le dan ventaja en la evidencia del §4.2.
Leyes nacionales de transposición
Cada Estado miembro transpone el artículo 21(2)(c) a su propia ley (Países Bajos: Cyberbeveiligingswet, Austria: NISG, Bélgica: NIS2-Wet). Las obligaciones son las mismas porque la directiva fija un único criterio para toda la UE. Lo que difiere: ante qué agencia nacional responde y cómo realiza las inspecciones.
Ejecutamos copias de seguridad nocturnas, así que estamos cubiertos.
Las copias de seguridad nocturnas son necesarias, no suficientes. El §4.2.2(c) las quiere almacenadas fuera de sede, no en la misma red que el sistema primario, y lo bastante lejos para que un solo incidente no pueda inutilizar ambos. El §4.2.2(f) quiere periodos de retención documentados, no 'las guardamos hasta que se llena el disco'. El §4.2.6 quiere una cadencia regular de pruebas de recuperación con resultados documentados. El auditor pedirá las tres. 'Tenemos copias de seguridad' responde a una de ellas.
Probamos la recuperación una vez cuando montamos el sistema.
El §4.2.6 establece pruebas regulares, no pruebas únicas. Una prueba de hace tres años no demuestra que el formato de copia de seguridad de hoy, el procedimiento de restauración de hoy y las personas de hoy sigan funcionando juntos. Elija una cadencia (trimestral o semestral para los sistemas críticos, anual para el resto), escríbala en el plan, ejecútela, documente cada prueba.
Respaldamos los datos; las configuraciones las podemos reconstruir desde cero.
No. El §4.2.2(b) exige expresamente que la copia de seguridad sea completa y exacta, 'incluidos los datos de configuración, incluidos los datos almacenados en entornos de computación en la nube'. Una base de datos sin la configuración de la aplicación, las reglas del cortafuegos y los ajustes del proveedor de identidad no es un sistema recuperable, es un montón de registros a los que no puede llegar. El plan tiene que cubrir las configuraciones y los datos almacenados en la nube, no solo las tablas de producción.
Lo que vemos en la práctica: la mayoría del Mittelstand tiene copias de seguridad. La mayoría tiene trabajos nocturnos ejecutándose hacia un NAS o hacia un bucket en la nube. Lo que suele faltarles es el plan documentado del §4.2.2 con tiempos de recuperación por sistema, la ubicación de almacenamiento fuera de sede nombrada, los controles de acceso físico y lógico por escrito, los periodos de retención por sistema y regulador, y el calendario de pruebas de recuperación. El trabajo de copia de seguridad existe; el plan a su alrededor no.
La corrección es pequeña. Redacte el plan de seis puntos del §4.2.2 una vez, apruébelo y ponga una prueba de recuperación en el calendario (trimestral para los sistemas críticos, semestral o anual para el resto). Tras el primer ciclo de pruebas, tiene el paquete de evidencia que pide el reglamento. La parte difícil no es la tecnología. La parte difícil es tener el plan sobre el papel y la prueba en el calendario.
El módulo BCP captura el plan de copias de seguridad de seis puntos del §4.2.2, el calendario de pruebas de recuperación, el registro de redundancia de red, activos, personal y comunicaciones, y los resultados de las pruebas de recuperación con aprobación. Un solo módulo cubre del §4.2.2 al §4.2.6.
Las pruebas son tareas programadas, no recordatorios de texto libre. Cuando se ejecuta una prueba de recuperación, el resultado, las brechas y las acciones correctoras se capturan frente al mismo registro. El registro de auditoría responde entonces a '¿cuándo probó la recuperación por última vez, qué falló, qué hizo al respecto?' en un clic. Sin un registro de pruebas aparte que mantener.
- Directiva (UE) 2022/2555 (NIS2), artículo 21(2)(c) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR), anexo §4.2 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ley del BSI (BSIG), §30(2)(3) en su versión modificada por la Ley de Implementación de NIS2 y de Refuerzo de la Ciberseguridad
- BSI IT-Grundschutz Baustein CON.3 'Datensicherungskonzept' — bsi.bund.de/grundschutz
- BSI IT-Grundschutz Baustein DER.2.3 'Notfallwiederherstellung der IT' — bsi.bund.de/grundschutz
- Guía Técnica de Implementación de ENISA para el CIR (UE) 2024/2690 (a fecha de mayo de 2026)