Strategia kopii zapasowych w NIS 2 na mocy artykułu 21(2)(c)
NIS 2 stanowi, że musisz utrzymać działalność w trakcie incydentu i po nim. Artykuł 21(2)(c) wymienia zarządzanie kopiami zapasowymi, odtwarzanie po awarii i zarządzanie kryzysowe. CIR (UE) 2024/2690 §4.2 przekłada to na udokumentowany plan kopii zapasowych, regularne testy odtwarzania i redundancję.
W skrócie
Kopia zapasowa w NIS 2 to nie 'czy mamy kopie zapasowe'. Każdy dział IT w Mittelstandzie ma nocne zadania na taśmę lub migawki. Pytanie, które dyrektywa i CIR faktycznie zadają, brzmi, czy masz udokumentowany plan, z czasami odtwarzania, przechowywaniem poza siedzibą, kontrolami dostępu, okresami retencji oraz przetestowaną zdolnością do przywrócenia systemów.
CIR §4.2 ma sześć elementów. Plan kopii zapasowych z sześcioma nazwanymi punktami. Regularne testy integralności. Redundancja sieci, aktywów, personelu i komunikacji. Monitorowanie zasobów. Oraz regularne testy odtwarzania z udokumentowanymi wynikami. Wszystkie sześć znajduje się w jednej sekcji załącznika. Żaden z nich nie jest opcjonalny.
Niemcy wprowadzają tę samą zasadę do prawa krajowego poprzez §30(2)(3) BSIG. Brzmienie transponuje artykuł 21(2)(c) niemal słowo w słowo. Ta strona przeprowadza przez dyrektywę, unijne rozporządzenie wykonawcze oraz niemiecką transpozycję w tej kolejności.
Artykuł 21(2)(c) dyrektywy NIS 2 (2022/2555)
Ciągłość działania, taka jak zarządzanie kopiami zapasowymi i odtwarzanie po awarii, oraz zarządzanie kryzysowe.
To jest punkt (c) na liście dziesięciu środków cyberbezpieczeństwa, które każdy podmiot kluczowy i ważny musi wdrożyć. Zarządzanie kopiami zapasowymi jest nazwane wprost w tekście dyrektywy, a nie tylko zakopane w rozporządzeniu wykonawczym.
CIR (UE) 2024/2690, załącznik §4.2
Zarządzanie kopiami zapasowymi, zabezpieczaniem i redundancją. Na potrzeby art. 21 ust. 2 lit. c) dyrektywy (UE) 2022/2555 dane podmioty tworzą kopie zapasowe oraz zapewniają wystarczające zasoby, w tym obiekty, sieci i systemy informatyczne oraz personel, w celu zapewnienia odpowiedniego poziomu redundancji.
Ponieważ jest to rozporządzenie (a nie dyrektywa), stanowi bezpośrednio wiążące prawo UE. Nie jest potrzebna transpozycja krajowa. §4.2 ma sześć numerowanych podsekcji obejmujących plan kopii zapasowych, testy integralności, redundancję, monitorowanie zasobów i testy odtwarzania. Ma zastosowanie do dostawców DNS, dostawców usług chmurowych, centrów danych, MSP, usług zaufania oraz pozostałych sektorów wymienionych w załączniku do CIR.
§30(2)(3) BSIG (Niemcy)
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement.
Niemcy kopiują tekst UE słowo w słowo. Niemiecka transpozycja wskazuje klocki IT-Grundschutz CON.3 (Datensicherungskonzept) i DER.2.3 (Wiederherstellung) jako praktyczną drogę do wdrożenia.
Spisz sześciopunktowy plan kopii zapasowych
W oparciu o ocenę ryzyka i BCP spisz: (a) czasy odtwarzania, (b) jak zapewniasz, że kopie zapasowe są kompletne i dokładne, w tym dane konfiguracyjne i dane przechowywane w chmurze, (c) gdzie znajdują się kopie zapasowe (online lub offline) w jednej lub więcej bezpiecznych lokalizacjach, nie w tej samej sieci co system podstawowy, wystarczająco daleko, by incydent w siedzibie podstawowej ich nie wyłączył, (d) fizyczne i logiczne kontrole dostępu skalowane do klasyfikacji aktywa, (e) jak faktycznie przebiega odtwarzanie z kopii zapasowych, (f) okresy retencji według wymogów biznesowych i regulacyjnych.
Testuj integralność i odtwarzanie w rytmie
§4.2.3 wymaga regularnych testów integralności samych kopii zapasowych. §4.2.6 idzie dalej: regularnych testów faktycznego procesu odtwarzania. Zweryfikuj, że odtwarzanie jest niezawodne, że wszystkie kopie i procedury działają oraz że osoby, które prowadziłyby odtwarzanie, wciąż mają wiedzę, by to zrobić. Udokumentuj wyniki. Podejmij działania naprawcze, gdy test się nie powiedzie.
Zbuduj redundancję w czterech zasobach
W oparciu o ocenę ryzyka i BCP zapewnij co najmniej częściową redundancję: (a) sieci i systemów informatycznych, (b) aktywów i wartości, w tym lokalizacji, sprzętu i materiałów eksploatacyjnych, (c) personelu o wymaganej odpowiedzialności, uprawnieniach i kompetencjach, (d) kanałów komunikacji. Kopia zapasowa dotyczy danych. Redundancja dotyczy wszystkiego innego, czego potrzebujesz, by działać dalej.
Kopie zapasowe i redundancja razem
CIR §4.2 wymienia obie w tym samym tytule sekcji: 'Zarządzanie kopiami zapasowymi, zabezpieczaniem i redundancją'. Kopie zapasowe chronią dane, byś mógł odbudować z dobrej znanej kopii. Redundancja chroni operacje, byś w pierwszej kolejności się nie zatrzymał. Obie należą do planu. Zespół, który ma kopie zapasowe, ale nie ma redundancji, odzyskuje dane i wciąż nie może działać.
Przetestowane, nie tylko wykonane
§4.2.6 wyraźnie wymaga regularnych testów odtwarzania, a nie tylko regularnych kopii zapasowych. Kopia zapasowa, z której nikt nie przywracał, nie jest zdolnością do odtwarzania, jest nadzieją. Audytor zapyta, kiedy ostatnio robiłeś pełne przywrócenie, kto je prowadził, co zawiodło i co naprawiłeś potem. Jeśli odpowiedź brzmi 'przy konfiguracji, trzy lata temu', masz nieprawidłowość.
BSI / IT-Grundschutz CON.3 + DER.2.3
IT-Grundschutz BSI ma dwa klocki, które mapują się bezpośrednio na CIR §4.2. CON.3 'Datensicherungskonzept' obejmuje samą koncepcję kopii zapasowych (co jest kopiowane, jak często, gdzie znajdują się kopie, retencja). DER.2.3 'Notfallwiederherstellung der IT' obejmuje stronę odtwarzania (procedury, role, testowanie przywracania). Razem dają Ci pakiet dowodowy §4.2 w języku, który niemiecki audytor czyta codziennie.
Wytyczne techniczne wdrożeniowe ENISA
TIG ENISA bierze abstrakcyjny tekst §4.2 i pokazuje, co robić w praktyce dla każdej podsekcji. Mapuje też wymóg na ISO/IEC 27001:2022 załącznik A.8.13 (kopie zapasowe informacji) i A.8.14 (redundancja obiektów przetwarzania informacji). Istniejące zabezpieczenia ISO 27001 dają Ci przewagę na starcie w zakresie dowodów §4.2.
Krajowe ustawy transponujące
Każde państwo członkowskie transponuje artykuł 21(2)(c) do własnego prawa (Holandia: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Obowiązki są takie same, ponieważ dyrektywa ustanawia jeden ogólnounijny standard. Różni się: przed którą krajową agencją odpowiadasz i jak prowadzi ona inspekcje.
Robimy nocne kopie zapasowe, więc jesteśmy zabezpieczeni.
Nocne kopie zapasowe są konieczne, ale niewystarczające. §4.2.2(c) wymaga, by były przechowywane poza siedzibą, nie w tej samej sieci co system podstawowy, i wystarczająco daleko, by pojedynczy incydent nie mógł wyłączyć obu. §4.2.2(f) wymaga udokumentowanych okresów retencji, a nie 'trzymamy je, aż dysk się zapełni'. §4.2.6 wymaga regularnego rytmu testów odtwarzania z udokumentowanymi wynikami. Audytor zapyta o wszystkie trzy. 'Mamy kopie zapasowe' odpowiada na jedno z nich.
Przetestowaliśmy odtwarzanie raz, gdy konfigurowaliśmy system.
§4.2.6 stanowi regularne testy, nie jednorazowe testy. Test sprzed trzech lat nie dowodzi, że dzisiejszy format kopii zapasowej, dzisiejsza procedura przywracania i dzisiejsi ludzie wciąż działają razem. Wybierz rytm (kwartalnie lub półrocznie dla systemów krytycznych, rocznie dla reszty), wpisz go do planu, przeprowadzaj go, dokumentuj każdy test.
Tworzymy kopie zapasowe danych; konfiguracje możemy odbudować od zera.
Nie. §4.2.2(b) wyraźnie wymaga, by kopia zapasowa była kompletna i dokładna, 'w tym dane konfiguracyjne, w tym dane przechowywane w środowiskach przetwarzania w chmurze'. Baza danych bez konfiguracji aplikacji, reguł zapory i ustawień dostawcy tożsamości nie jest systemem nadającym się do odtworzenia, jest stosem rekordów, do których nie możesz się dostać. Plan musi obejmować konfiguracje i dane przechowywane w chmurze, a nie tylko tabele produkcyjne.
Co widzimy w praktyce: większość Mittelstandu ma kopie zapasowe. Większość ma nocne zadania działające na NAS lub do zasobnika w chmurze. Czego zwykle brakuje, to udokumentowany plan §4.2.2 z czasami odtwarzania na system, nazwana lokalizacja przechowywania poza siedzibą, spisane fizyczne i logiczne kontrole dostępu, okresy retencji na system i regulatora oraz harmonogram testów odtwarzania. Zadanie kopii zapasowej istnieje; plan wokół niego nie istnieje.
Naprawa jest niewielka. Spisz raz sześciopunktowy plan §4.2.2, zatwierdź go i wpisz test odtwarzania do kalendarza (kwartalnie dla systemów krytycznych, półrocznie lub rocznie dla reszty). Po pierwszym cyklu testowym masz pakiet dowodowy, którego wymaga rozporządzenie. Trudną częścią nie jest technologia. Trudną częścią jest mieć plan na papierze i test w kalendarzu.
Moduł BCP ujmuje sześciopunktowy plan kopii zapasowych z §4.2.2, harmonogram testów odtwarzania, rejestr redundancji dla sieci, aktywów, personelu i komunikacji oraz wyniki testów odtwarzania z zatwierdzeniem. Jeden moduł obejmuje §4.2.2 do §4.2.6.
Testy to zaplanowane zadania, a nie przypomnienia w wolnym tekście. Gdy przebiega test odtwarzania, wynik, luki i działania naprawcze są ujmowane względem tego samego rekordu. Ślad audytowy odpowiada wtedy na 'kiedy ostatnio testowałeś odtwarzanie, co zawiodło, co z tym zrobiłeś' jednym kliknięciem. Żadnego osobnego dziennika testów do prowadzenia.
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 21(2)(c) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR), załącznik §4.2 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ustawa BSI (BSIG), §30(2)(3) w brzmieniu zmienionym ustawą o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
- BSI IT-Grundschutz Baustein CON.3 'Datensicherungskonzept' — bsi.bund.de/grundschutz
- BSI IT-Grundschutz Baustein DER.2.3 'Notfallwiederherstellung der IT' — bsi.bund.de/grundschutz
- Wytyczne techniczne wdrożeniowe ENISA dla CIR (UE) 2024/2690 (stan na maj 2026)