Strategia de copiere de rezervă NIS 2 conform Articolului 21(2)(c)
NIS 2 spune că trebuie să țineți afacerea în funcțiune în timpul și după un incident. Articolul 21(2)(c) numește managementul copiilor de rezervă, recuperarea în caz de dezastru și managementul crizelor. CIR (UE) 2024/2690 §4.2 transformă asta într-un plan de copiere de rezervă documentat, teste regulate de recuperare și redundanță.
Pe scurt
Copierea de rezervă conform NIS 2 nu este 'avem copii de rezervă'. Fiecare atelier IT din Mittelstand are sarcini nocturne de bandă sau de instantaneu. Întrebarea pe care o pun de fapt directiva și CIR este dacă aveți un plan documentat, cu timpi de recuperare, stocare în afara amplasamentului, controale de acces, perioade de retenție și o capacitate testată de a readuce sistemele.
CIR §4.2 are șase părți. Un plan de copiere de rezervă cu șase puncte numite. Teste regulate de integritate. Redundanța rețelei, activelor, personalului și comunicațiilor. Monitorizarea resurselor. Și teste regulate de recuperare cu rezultate documentate. Toate șase stau într-o singură secțiune din Anexă. Niciuna nu este opțională.
Germania pune aceeași regulă în legea națională prin §30(2)(3) BSIG. Formularea transpune Articolul 21(2)(c) aproape cuvânt cu cuvânt. Această pagină parcurge directiva, regulamentul de aplicare al UE și transpunerea germană, în această ordine.
Articolul 21(2)(c) Directiva NIS 2 (2022/2555)
Continuitatea activității, cum ar fi managementul copiilor de rezervă și recuperarea în caz de dezastru, și managementul crizelor.
Acesta este punctul (c) din lista celor zece măsuri de securitate cibernetică pe care fiecare entitate esențială și importantă trebuie să le pună în practică. Managementul copiilor de rezervă este numit direct în textul directivei, nu doar îngropat în regulamentul de punere în aplicare.
CIR (UE) 2024/2690, Anexa §4.2
Managementul copiilor de rezervă, al protejării și al redundanței. În sensul Articolului 21(2)(c) din Directiva (UE) 2022/2555, entitățile relevante fac copii de rezervă și asigură resurse suficiente, inclusiv facilități, rețele și sisteme informatice și personal, pentru a asigura un nivel corespunzător de redundanță.
Pentru că acesta este un regulament (nu o directivă), este drept UE direct obligatoriu. Nu este nevoie de transpunere națională. §4.2 are șase subsecțiuni numerotate care acoperă planul de copiere de rezervă, testele de integritate, redundanța, monitorizarea resurselor și testele de recuperare. Se aplică furnizorilor de DNS, furnizorilor de cloud, centrelor de date, MSP-urilor, serviciilor de încredere și celorlalte sectoare listate în Anexa CIR.
§30(2)(3) BSIG (Germania)
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement.
Germania copiază textul UE cuvânt cu cuvânt. Transpunerea germană indică spre blocurile de construcție IT-Grundschutz CON.3 (Datensicherungskonzept) și DER.2.3 (Wiederherstellung) ca rută practică de implementare.
Scrieți planul de copiere de rezervă în șase puncte
Pe baza evaluării riscurilor și a BCP-ului, notați: (a) timpii de recuperare, (b) cum vă asigurați că copiile de rezervă sunt complete și exacte, inclusiv datele de configurare și datele stocate în cloud, (c) unde stau copiile de rezervă (online sau offline) la una sau mai multe locații sigure, nu în aceeași rețea cu sistemul primar, suficient de departe încât un incident la amplasamentul primar să nu le doboare, (d) controale de acces fizice și logice scalate la clasificarea activului, (e) cum rulează de fapt recuperarea din copiile de rezervă, (f) perioade de retenție per cerințe de afaceri și de reglementare.
Testați integritatea și recuperarea la o cadență
§4.2.3 cere teste regulate de integritate ale copiilor de rezervă în sine. §4.2.6 merge mai departe: teste regulate ale procesului real de recuperare. Verificați că recuperarea este fiabilă, că toate copiile și procedurile funcționează și că oamenii care ar rula recuperarea încă au cunoștințele pentru a o face. Documentați rezultatele. Luați măsuri corective când un test eșuează.
Construiți redundanță în patru resurse
Pe baza evaluării riscurilor și a BCP-ului, asigurați cel puțin redundanță parțială a: (a) rețelelor și sistemelor informatice, (b) activelor și valorilor, inclusiv locații, echipamente și consumabile, (c) personalului cu responsabilitatea, autoritatea și competența necesare, (d) canalelor de comunicații. Copierea de rezervă este despre date. Redundanța este despre tot restul de care aveți nevoie pentru a continua să funcționați.
Copii de rezervă și redundanță împreună
CIR §4.2 le numește pe ambele în același titlu de secțiune: 'Managementul copiilor de rezervă, al protejării și al redundanței'. Copiile de rezervă protejează datele astfel încât să puteți reconstrui dintr-o copie cunoscută ca bună. Redundanța protejează operațiunile astfel încât să nu vă opriți în primul rând. Ambele aparțin planului. O echipă care are copii de rezervă, dar nicio redundanță recuperează datele și tot nu poate funcționa.
Testat, nu doar realizat
§4.2.6 cere în mod specific teste regulate de recuperare, nu doar copii de rezervă regulate. O copie de rezervă din care nimeni nu a restaurat nu este o capacitate de recuperare, este o speranță. Auditorul va întreba când ați făcut ultima dată o restaurare completă, cine a rulat-o, ce a eșuat și ce ați remediat după aceea. Dacă răspunsul este 'la configurare, acum trei ani', aveți o constatare.
BSI / IT-Grundschutz CON.3 + DER.2.3
IT-Grundschutz al BSI are două blocuri de construcție care se corelează direct cu CIR §4.2. CON.3 'Datensicherungskonzept' acoperă conceptul de copiere de rezervă în sine (ce se copiază, cât de des, unde stau copiile, retenția). DER.2.3 'Notfallwiederherstellung der IT' acoperă latura de recuperare (proceduri, roluri, testarea restaurării). Împreună vă dau pachetul de dovezi §4.2 într-un limbaj pe care un auditor german îl citește în fiecare zi.
Ghidul tehnic de implementare ENISA
TIG-ul ENISA ia textul abstract §4.2 și vă arată ce să faceți în practică pentru fiecare subsecțiune. De asemenea, corelează cerința cu ISO/IEC 27001:2022 Anexa A.8.13 (copierea de rezervă a informațiilor) și A.8.14 (redundanța facilităților de prelucrare a informațiilor). Controalele ISO 27001 existente vă dau un avans la dovezile §4.2.
Legi naționale de transpunere
Fiecare stat membru transpune Articolul 21(2)(c) în propria lege (Țările de Jos: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Obligațiile sunt aceleași pentru că directiva stabilește un singur standard la nivelul UE. Ce diferă: cărei agenții naționale îi răspundeți și cum își rulează inspecțiile.
Rulăm copii de rezervă nocturne, deci suntem acoperiți.
Copiile de rezervă nocturne sunt necesare, nu suficiente. §4.2.2(c) le vrea stocate în afara amplasamentului, nu în aceeași rețea cu sistemul primar, și suficient de departe încât un singur incident să nu le poată scoate pe ambele din funcțiune. §4.2.2(f) vrea perioade de retenție documentate, nu 'le păstrăm până se umple discul'. §4.2.6 vrea o cadență regulată de testare a recuperării cu rezultate documentate. Auditorul le va cere pe toate trei. 'Avem copii de rezervă' răspunde la una dintre ele.
Am testat recuperarea o dată când am configurat sistemul.
§4.2.6 spune teste regulate, nu teste unice. Un test de acum trei ani nu dovedește că formatul de copiere de rezervă de azi, procedura de restaurare de azi și oamenii de azi încă funcționează împreună. Alegeți o cadență (trimestrial sau semestrial pentru sistemele critice, anual pentru restul), scrieți-o în plan, rulați-o, documentați fiecare test.
Facem copii de rezervă ale datelor; configurațiile le putem reconstrui de la zero.
Nu. §4.2.2(b) cere în mod explicit ca copia de rezervă să fie completă și exactă, 'inclusiv datele de configurare, inclusiv datele stocate în medii de cloud computing'. O bază de date fără configurația aplicației, regulile de firewall și setările furnizorului de identitate nu este un sistem recuperabil, este o grămadă de înregistrări la care nu puteți ajunge. Planul trebuie să acopere configurațiile și datele stocate în cloud, nu doar tabelele de producție.
Ce vedem în practică: majoritatea Mittelstand-ului are copii de rezervă. Majoritatea are sarcini nocturne care rulează către un NAS sau către un container cloud. Ce le lipsește de obicei este planul §4.2.2 documentat cu timpi de recuperare per sistem, locația de stocare în afara amplasamentului numită, controalele de acces fizic și logic în scris, perioadele de retenție per sistem și autoritate de reglementare și programul de testare a recuperării. Sarcina de copiere de rezervă există; planul din jurul ei nu.
Remedierea este mică. Scrieți planul în șase puncte §4.2.2 o dată, aprobați-l și puneți un test de recuperare în calendar (trimestrial pentru sistemele critice, semestrial sau anual pentru restul). După primul ciclu de testare, aveți pachetul de dovezi pe care îl cere regulamentul. Partea grea nu este tehnologia. Partea grea este să aveți planul pe hârtie și testul în calendar.
Modulul BCP captează planul de copiere de rezervă în șase puncte §4.2.2, programul de testare a recuperării, registrul de redundanță pentru rețea, active, personal și comunicații și rezultatele testelor de recuperare cu aprobare. Un singur modul acoperă §4.2.2 până la §4.2.6.
Testele sunt sarcini programate, nu mementouri în text liber. Când rulează un test de recuperare, rezultatul, lacunele și acțiunile corective sunt captate în raport cu aceeași înregistrare. Pista de audit răspunde apoi la 'când ați testat ultima dată recuperarea, ce a eșuat, ce ați făcut în privința asta' într-un singur clic. Fără un jurnal de teste separat de întreținut.
- Directiva (UE) 2022/2555 (NIS 2), Articolul 21(2)(c). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 (CIR), Anexa §4.2. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Legea BSI (BSIG), §30(2)(3) astfel cum a fost modificată prin Legea de punere în aplicare a NIS2 și de consolidare a securității cibernetice
- BSI IT-Grundschutz Baustein CON.3 'Datensicherungskonzept'. bsi.bund.de/grundschutz
- BSI IT-Grundschutz Baustein DER.2.3 'Notfallwiederherstellung der IT'. bsi.bund.de/grundschutz
- Ghidul tehnic de implementare ENISA pentru CIR (UE) 2024/2690 (la data de mai 2026)