Continuitatea activității conform NIS 2 în temeiul Articolului 21(2)(c)
NIS 2 prevede că trebuie să mențineți operațiunile în funcțiune și să vă recuperați atunci când ceva se defectează. Articolul 21(2)(c) este obligația. CIR (UE) 2024/2690 §4 detaliază planul de continuitate, planul de copii de rezervă și procedura de criză. Germania o introduce în §30(2)(3) BSIG.
Pe scurt
Continuitatea activității se află la punctul (c) din lista Articolului 21(2). Directiva grupează trei lucruri: menținerea activității în funcțiune, gestionarea copiilor de rezervă și a recuperării și managementul crizelor. Dacă NIS 2 vi se aplică, trebuie să le faceți pe toate trei.
CIR (UE) 2024/2690 §4 împarte aceeași obligație în trei subsecțiuni. §4.1 este planul de continuitate a activității propriu-zis, cu o listă de conținut în opt puncte. §4.2 este gestionarea copiilor de rezervă și a redundanței, cu un plan în șase puncte plus teste de integritate. §4.3 este procedura de management al crizelor, inclusiv modul în care comunicați cu autoritatea de reglementare. Dacă operați DNS, cloud, un centru de date, un MSP, servicii de încredere sau orice alt sector din Anexa CIR, aceasta vă obligă direct.
Germania introduce aceeași regulă în legislația națională prin §30(2)(3) BSIG. Formularea urmează directiva. Această pagină parcurge directiva, regulamentul UE de punere în aplicare și transpunerea germană, în această ordine.
Articolul 21(2)(c) Directiva NIS 2 (2022/2555)
Continuitatea activității, cum ar fi gestionarea copiilor de rezervă și recuperarea în caz de dezastru, și managementul crizelor.
Punctul (c) din lista celor zece măsuri de securitate cibernetică pe care fiecare entitate esențială și importantă trebuie să le pună în practică. Un singur rând, trei obligații grupate.
CIR (UE) 2024/2690, Anexa §4
Continuitatea activității și managementul crizelor (Articolul 21(2)(c) din Directiva (UE) 2022/2555).
Întrucât acesta este un regulament (nu o directivă), este legislație UE direct obligatorie. CIR împarte §4 în trei subsecțiuni: §4.1 planul de continuitate a activității și de recuperare în caz de dezastru, §4.2 gestionarea copiilor de rezervă și a redundanței, §4.3 procedura de management al crizelor. Se aplică direct furnizorilor DNS, registrelor TLD, furnizorilor de cloud și de centre de date, furnizorilor MSP și celorlalte sectoare enumerate în Anexa sa.
§30(2)(3) BSIG (Germania)
Continuitatea activității, cum ar fi gestionarea copiilor de rezervă și recuperarea în caz de dezastru, și managementul crizelor.
Germania copiază formularea directivei. Infopakete ale BSI enumeră continuitatea activității drept una dintre cele zece măsuri ale Articolului 21(2) pe care fiecare entitate esențială și importantă trebuie să le acopere.
Planul de continuitate a activității și de recuperare în caz de dezastru
Un plan scris cu opt puncte: scopul și domeniul de aplicare, rolurile și responsabilitățile, lista de contacte, condițiile care declanșează activarea, secvența de recuperare, planul de recuperare pentru fiecare proces critic, resursele de care aveți nevoie și modul în care reporniți și reluați operațiunile normale. Nu trei propoziții într-un document Word. Un document real pe care oamenii îl pot urma când rețeaua este căzută și telefoanele sună.
Gestionarea copiilor de rezervă și a redundanței
Un plan de copii de rezervă în șase puncte: timpii de recuperare-țintă, integralitatea copiilor de rezervă, stocarea în afara amplasamentului, controalele de acces fizic și logic, procedura de recuperare propriu-zisă și perioadele de păstrare. Plus teste de integritate periodice, ca să aflați înainte de incident dacă acele copii de rezervă chiar se restaurează. Plus redundanță (N+1) pentru active, personal și canale de comunicare.
Procedura de management al crizelor
O procedură scrisă cu roluri desemnate, un canal de comunicare către autoritatea competentă, o modalitate de a menține securitatea în timpul crizei și lista comunicărilor obligatorii, inclusiv rapoartele de incident prevăzute la Articolul 23. Managementul crizelor nu înseamnă „intrăm într-un apel”. Înseamnă cine este în apel, ce decid și cui spun.
Copiile de rezervă țin de guvernanță, nu doar de IT
Planul de copii de rezervă din §4.2 este o documentație auditabilă, nu o bifă în instrumentul dumneavoastră de backup. Perioadele de păstrare se aprobă. Locul de stocare în afara amplasamentului se documentează. Timpii de recuperare se stabilesc în raport cu activitatea, nu cu ceea ce poate face instrumentul. Dacă povestea copiilor dumneavoastră de rezervă trăiește în întregime în interiorul echipei IT, vă lipsește nivelul de guvernanță pe care îl cere CIR.
Testați după un ritm, nu „când avem timp”
§4.1 se așteaptă ca planul de continuitate să fie testat periodic. §4.2 se așteaptă la teste de integritate a copiilor de rezervă după un ritm. Un plan de continuitate netestat este hârtie. O copie de rezervă netestată este o speranță. O dată pe an pentru exercițiul teoretic al planului de continuitate, mai des pentru testele de restaurare a copiilor de rezervă. Documentați testul, documentați ce a eșuat, documentați ce ați remediat.
BSI / IT-Grundschutz DER.4
BSI enumeră continuitatea activității drept una dintre cele zece măsuri ale Articolului 21(2) (vezi §30(2)(3) BSIG) și indică modulul IT-Grundschutz Baustein DER.4 „Notfallmanagement” drept calea practică. DER.4 acoperă întregul ciclu de viață al continuității: analiza impactului asupra activității (BIA), planul de continuitate, planurile de recuperare, testele, aprobarea. Dacă urmați DER.4 de la un capăt la altul, depășiți cu mult pragul minim al CIR §4.
Orientarea tehnică de implementare a ENISA
Orientarea tehnică de implementare (TIG) a ENISA transformă CIR §4 în pași concreți și o cartografiază pe ISO/IEC 27001:2022 (clauzele din jurul A.5.29, A.5.30, A.8.13, A.8.14) și NIST CSF 2.0 (funcția Recover). Dacă rulați deja ISO 27001 sau NIST CSF, TIG vă spune ce puteți refolosi și unde mai aveți lacune.
Legi naționale de transpunere
Fiecare stat membru are propria transpunere (Țările de Jos: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Obligația de continuitate este aceeași, deoarece directiva stabilește un singur standard la nivelul UE. Ce diferă: ce autoritate națională notificați într-o criză și pe ce canal.
Avem copii de rezervă pe bandă, deci suntem în regulă.
Copiile de rezervă nu sunt suficiente. CIR §4.2 cere documentarea planului complet în șase puncte: timpii de recuperare-țintă, integralitatea, stocarea în afara amplasamentului, controalele de acces, procedura de recuperare, perioadele de păstrare. Plus teste de integritate periodice. O rotație de benzi fără planul scris este jumătate din cerință.
Planul de continuitate este problema echipei IT.
Nu este. §4.3 acoperă explicit managementul crizelor cu nivelul executiv: canalele de comunicare cu autoritatea competentă, rapoartele obligatorii de incident prevăzute la Articolul 23, deciziile privind ce servicii se mențin și care se suspendă. Aceasta este o obligație a conducerii, nu o obligație IT.
O să ne descurcăm la momentul crizei.
Nu vă veți descurca. §4.3 impune o procedură de criză scrisă, cu roluri desemnate și canale de comunicare predefinite. Scopul de a o scrie dinainte este să nu o inventați la 3 dimineața într-o duminică. Un auditor va cere documentul. „Avem oameni buni” nu este documentul.
Ce vedem în practică: majoritatea companiilor din Mittelstand au copii de rezervă. Bandă, cloud, al doilea amplasament, ceva. Ce aproape niciodată nu au este planul §4.2 documentat în jurul acelor copii de rezervă: timpii de recuperare-țintă stabiliți în raport cu activitatea, perioadele de păstrare aprobate, locul de stocare în afara amplasamentului numit, testele de integritate într-un calendar. Copiile de rezervă există. Guvernanța nu.
Doi pași care rezolvă treaba: primul, scrieți planul de continuitate §4.1. Folosiți lista de opt puncte din CIR drept cuprins. Al doilea, rulați testul o dată pe an. Un exercițiu teoretic în care echipa de conducere parcurge planul de continuitate pentru un scenariu real bate șase luni de șlefuire a documentului. Testul este cel care produce dovada de audit.
Am integrat CIR §4 în platformă ca modul. Formularul planului de continuitate captează cele opt câmpuri de conținut din §4.1. Formularul de copii de rezervă captează cele șase puncte din §4.2 plus calendarul de testare. Formularul procedurii de criză captează rolurile, canalele și căile de comunicare ale Articolului 23 din §4.3. Aprobarea se află lângă fiecare artefact.
Ritmul de testare se află și el pe platformă. Programați exercițiul teoretic anual al planului de continuitate și testele trimestriale de restaurare a copiilor de rezervă, platforma îi reamintește responsabilului, responsabilul înregistrează rezultatul, iar pista de audit arată când a rulat și ce s-a întâmplat. Fără un calendar separat, fără un depozit de documente separat.
- Directiva (UE) 2022/2555 (NIS 2), Articolul 21(2)(c). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 (CIR), Anexa §4. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSI-Gesetz (BSIG), §30(2)(3) astfel cum a fost modificat prin Legea de implementare a NIS2 și de întărire a securității cibernetice
- BSI IT-Grundschutz Baustein DER.4 „Notfallmanagement”. bsi.bund.de/grundschutz
- Orientarea tehnică de implementare a ENISA pentru CIR (UE) 2024/2690 (la data de mai 2026)