Art. 21(2)(c) NIS 2 + CIR §4

Ciągłość działania w NIS 2 na podstawie Artykułu 21(2)(c)

NIS 2 mówi, że musisz utrzymać działanie i odtworzyć je, gdy coś się zepsuje. Artykuł 21(2)(c) to obowiązek. CIR (UE) 2024/2690 §4 rozpisuje BCP, plan kopii zapasowych oraz procedurę kryzysową. Niemcy wprowadzają to w §30(2)(3) BSIG.

Simon OrzelSimon Orzel·

Krótka wersja

Ciągłość działania znajduje się w punkcie (c) na liście z Artykułu 21(2). Dyrektywa łączy trzy rzeczy razem: utrzymanie działania firmy, zarządzanie kopiami zapasowymi i odtwarzaniem oraz prowadzenie zarządzania kryzysowego. Jeśli NIS 2 Cię dotyczy, musisz robić wszystkie trzy.

CIR (UE) 2024/2690 §4 dzieli ten sam obowiązek na trzy podsekcje. §4.1 to sam plan ciągłości działania, z ośmiopunktową listą treści. §4.2 to kopie zapasowe i redundancja, z sześciopunktowym planem plus testami integralności. §4.3 to procedura zarządzania kryzysowego, w tym sposób komunikacji z organem regulacyjnym. Jeśli prowadzisz DNS, chmurę, centrum danych, MSP, usługi zaufania lub jakikolwiek inny sektor wymieniony w załączniku CIR, wiąże Cię to bezpośrednio.

Niemcy wprowadzają tę samą regułę do prawa krajowego poprzez §30(2)(3) BSIG. Brzmienie podąża za dyrektywą. Ta strona przeprowadza przez dyrektywę, unijne rozporządzenie wykonawcze oraz niemiecką transpozycję w tej kolejności.

Źródło prawne
Trzy warstwy. Dyrektywa (wiążąca każdy kraj UE). Rozporządzenie wykonawcze (bezpośrednio stosowalne prawo UE dla sektorów wymienionych w załączniku). Transpozycja krajowa (w Niemczech: BSIG).

Artykuł 21(2)(c) dyrektywy NIS 2 (2022/2555)

Business continuity, such as backup management and disaster recovery, and crisis management.

Punkt (c) na liście dziesięciu środków cyberbezpieczeństwa, które każdy podmiot kluczowy i ważny musi wdrożyć. Jedna linijka, trzy obowiązki w pakiecie.

CIR (UE) 2024/2690, załącznik §4

Business continuity and crisis management (Article 21(2)(c) of Directive (EU) 2022/2555).

Ponieważ jest to rozporządzenie (a nie dyrektywa), jest bezpośrednio wiążącym prawem UE. CIR dzieli §4 na trzy podsekcje: §4.1 plan ciągłości działania i odtwarzania po awarii, §4.2 zarządzanie kopiami zapasowymi i redundancją, §4.3 procedura zarządzania kryzysowego. Stosuje się bezpośrednio do dostawców DNS, rejestrów TLD, dostawców chmury i centrów danych, MSP oraz innych sektorów wymienionych w jego załączniku.

§30(2)(3) BSIG (Niemcy)

Business continuity, such as backup management and disaster recovery, and crisis management.

Niemcy kopiują brzmienie dyrektywy. Infopakete BSI wymienia ciągłość działania jako jeden z dziesięciu środków z Artykułu 21(2), które każdy podmiot kluczowy i ważny musi pokryć.

Trzy rzeczy, których naprawdę wymaga CIR §4
CIR 2024/2690 dzieli ciągłość działania na trzy elementy. Każdy jest własną podsekcją w załączniku. Potrzebujesz wszystkich trzech.
§4.1

Plan ciągłości działania i odtwarzania po awarii

Pisemny plan z ośmioma punktami: cel i zakres, role i obowiązki, lista kontaktów, warunki uruchamiające aktywację, sekwencja odtwarzania, plan odtwarzania dla każdego procesu krytycznego, potrzebne zasoby oraz sposób ponownego uruchomienia i wznowienia normalnych operacji. Nie trzy zdania w dokumencie Word. Realny dokument, którym ludzie mogą się kierować, gdy sieć jest niedostępna, a telefony dzwonią.

§4.2

Zarządzanie kopiami zapasowymi i redundancją

Sześciopunktowy plan kopii zapasowych: docelowe czasy odtwarzania, kompletność kopii zapasowych, przechowywanie poza siedzibą, fizyczne i logiczne kontrole dostępu, sama procedura odtwarzania oraz okresy retencji. Plus okresowe testy integralności, abyś przed incydentem dowiedział się, czy kopie zapasowe faktycznie się odtwarzają. Plus redundancja (N+1) dla aktywów, personelu i kanałów komunikacji.

§4.3

Procedura zarządzania kryzysowego

Pisemna procedura z nazwanymi rolami, kanałem komunikacji z organem właściwym, sposobem utrzymania bezpieczeństwa podczas kryzysu oraz listą obowiązkowych komunikatów, w tym zgłoszeń incydentów na podstawie Artykułu 23. Zarządzanie kryzysowe to nie „wskakujemy na rozmowę”. To kto jest na rozmowie, co decyduje i komu to przekazuje.

Dwie zasady, które kształtują wszystko inne
Dwie rzeczy oddzielają BCP, który wytrzyma audyt, od takiego, który nie wytrzyma. Nie miękkie rady. Elementy, które audytorzy sprawdzają najpierw.

Kopia zapasowa to ład, a nie tylko IT

Plan kopii zapasowych z §4.2 to audytowalna dokumentacja, a nie pole wyboru w Twoim narzędziu do kopii zapasowych. Okresy retencji są zatwierdzane podpisem. Lokalizacja przechowywania poza siedzibą jest udokumentowana. Czasy odtwarzania są ustalane względem biznesu, a nie względem tego, co potrafi narzędzie. Jeśli Twoja historia kopii zapasowych żyje wyłącznie wewnątrz zespołu IT, brakuje Ci warstwy ładu, o którą prosi CIR.

Testuj według harmonogramu, a nie „gdy znajdziemy czas”

§4.1 oczekuje, że BCP będzie okresowo testowany. §4.2 oczekuje testów integralności kopii zapasowych według harmonogramu. Nieprzetestowany BCP to papier. Nieprzetestowana kopia zapasowa to nadzieja. Raz w roku dla ćwiczenia stołowego BCP, częściej dla testów odtworzenia kopii zapasowych. Udokumentuj test, udokumentuj, co zawiodło, udokumentuj, co naprawiłeś.

Jak krajowi regulatorzy faktycznie to prowadzą
UE ustanawia regułę. Każdy kraj ją transponuje. Istota jest taka sama. Lokalne mechanizmy nieco się różnią.
Niemcy

BSI / IT-Grundschutz DER.4

BSI wymienia ciągłość działania jako jeden z dziesięciu środków z Artykułu 21(2) (zob. §30(2)(3) BSIG) i wskazuje IT-Grundschutz Baustein DER.4 „Notfallmanagement” jako praktyczną drogę. DER.4 obejmuje pełen cykl życia ciągłości: BIA, BCP, plany odtwarzania, testy, zatwierdzenie. Jeśli stosujesz DER.4 od początku do końca, jesteś znacznie powyżej minimum CIR §4.

Cała UE

ENISA Technical Implementation Guidance

TIG ENISA przekłada CIR §4 na konkretne kroki i mapuje je na ISO/IEC 27001:2022 (klauzule wokół A.5.29, A.5.30, A.8.13, A.8.14) oraz NIST CSF 2.0 (funkcja Recover). Jeśli już prowadzisz ISO 27001 lub NIST CSF, TIG mówi Ci, co możesz ponownie wykorzystać, a gdzie wciąż są luki.

Inne państwa członkowskie

Krajowe ustawy transponujące

Każde państwo członkowskie ma własną transpozycję (Holandia: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Obowiązek ciągłości jest taki sam, ponieważ dyrektywa ustanawia jeden ogólnoeuropejski standard. Co się różni: który organ krajowy powiadamiasz w kryzysie i jakim kanałem.

Trzy pułapki, które widzimy cały czas
Trzy założenia, które pojawiają się w niemal każdym przeglądzie BCP. Wszystkie trzy tworzą luki, które audytor znajdzie.

  • Mamy kopie zapasowe na taśmie, więc jest w porządku.

    Kopie zapasowe nie wystarczą. CIR §4.2 wymaga udokumentowania pełnego sześciopunktowego planu: docelowe czasy odtwarzania, kompletność, przechowywanie poza siedzibą, kontrole dostępu, procedura odtwarzania, okresy retencji. Plus okresowe testy integralności. Rotacja taśm bez pisemnego planu to połowa wymogu.

  • BCP to problem zespołu IT.

    Nie jest. §4.3 wyraźnie obejmuje zarządzanie kryzysowe z warstwą kierownictwa: kanały komunikacji z organem właściwym, obowiązkowe zgłoszenia incydentów na podstawie Artykułu 23, decyzje o tym, które usługi utrzymać, a które zawiesić. To obowiązek kierownictwa, a nie obowiązek IT.

  • Ogarniemy to w kryzysie.

    Nie ogarniesz. §4.3 wymaga pisemnej procedury kryzysowej z nazwanymi rolami i wcześniej zdefiniowanymi kanałami komunikacji. Sensem spisania tego wcześniej jest to, że nie wymyślasz tego o 3 nad ranem w niedzielę. Audytor poprosi o dokument. „Mamy dobrych ludzi” to nie jest dokument.

Jak prawdziwi operatorzy z Mittelstandu faktycznie to robią

Co widzimy w praktyce: większość firm z Mittelstandu ma kopie zapasowe. Taśma, chmura, druga lokalizacja, coś. Czego prawie nigdy nie mają, to udokumentowany plan §4.2 wokół tych kopii zapasowych: docelowe czasy odtwarzania ustalone względem biznesu, okresy retencji zatwierdzone podpisem, nazwana lokalizacja przechowywania poza siedzibą, testy integralności w kalendarzu. Kopie zapasowe istnieją. Ład nie istnieje.

Dwa kroki, które załatwiają sprawę: po pierwsze, napisz BCP z §4.1. Użyj ośmiopunktowej listy z CIR jako spisu treści. Po drugie, przeprowadzaj test raz w roku. Ćwiczenie stołowe, w którym zespół zarządzający przechodzi przez BCP dla realnego scenariusza, przebija sześć miesięcy dopieszczania dokumentu. Test jest tym, co wytwarza dowody audytowe.

Jak obsługujemy to na platformie

Wbudowaliśmy CIR §4 w platformę jako moduł. Formularz BCP rejestruje osiem pól treści z §4.1. Formularz kopii zapasowych rejestruje sześć punktów z §4.2 plus harmonogram testów. Formularz procedury kryzysowej rejestruje role z §4.3, kanały i ścieżki komunikacji z Artykułu 23. Zatwierdzenie żyje obok każdego artefaktu.

Harmonogram testów również żyje na platformie. Planujesz coroczne ćwiczenie stołowe BCP i kwartalne testy odtworzenia kopii zapasowych, platforma przypomina właścicielowi, właściciel rejestruje wynik, a ścieżka audytu pokazuje, kiedy się odbyło i co się stało. Bez osobnego kalendarza, bez osobnego repozytorium dokumentów.

Źródła
  • Directive (EU) 2022/2555 (NIS 2), Artykuł 21(2)(c) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Commission Implementing Regulation (EU) 2024/2690 (CIR), załącznik §4 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Ustawa o BSI (BSIG), §30(2)(3) w brzmieniu znowelizowanym przez ustawę o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
  • BSI IT-Grundschutz Baustein DER.4 „Notfallmanagement” — bsi.bund.de/grundschutz
  • ENISA Technical Implementation Guidance dla CIR (UE) 2024/2690 (według stanu na maj 2026)
Prowadź ciągłość działania bez segregatora pełnego papieru
BCP, plan kopii zapasowych, procedura kryzysowa, harmonogram testów i zatwierdzenie na jednej platformie. Darmowe, open source, bez lock-inu.
Otwórz darmową platformę