Backup a NIS2: dlaczego większość firm nie spełnia wymagań

Fałszywe poczucie bezpieczeństwa

W zdecydowanej większości organizacji funkcjonuje przekonanie, że skoro „mamy backup”, to temat bezpieczeństwa danych jest zaadresowany. Problem polega na tym, że backup i zdolność odtworzenia systemów to dwie zupełnie różne rzeczy.

Z perspektywy regulacyjnej, w tym dyrektywy NIS2, ma to fundamentalne znaczenie. Organizacja może posiadać poprawnie działający mechanizm tworzenia kopii zapasowych, a mimo to nie spełniać wymagań NIS2.

Dlaczego?

Bo nie jest w stanie wznowić działania po incydencie.

To oznacza jedno:
- większość firm ma backup
- ale nie ma ciągłości działania

A to właśnie ciągłość działania – nie sam backup – jest przedmiotem oceny regulacyjnej i ryzyka biznesowego.

Dlaczego backup nie spełnia wymagań NIS2

W praktyce rynkowej backup jest traktowany jako rozwiązanie techniczne – narzędzie, które „coś zapisuje na dysku lub w chmurze”. NIS2 patrzy na to zupełnie inaczej: jako na element zdolności operacyjnej organizacji do przetrwania incydentu.

Tu pojawia się kluczowa rozbieżność.

W większości firm backup:

• nie jest regularnie testowany w scenariuszu odtworzeniowym,
• nie jest powiązany z planem disaster recovery,
• nie ma zdefiniowanych parametrów RTO (czas odtworzenia) i RPO (maksymalna utrata danych),
• często znajduje się w tej samej infrastrukturze, co systemy produkcyjne.

To prowadzi do kilku fundamentalnych błędów poznawczych:

Backup ≠ bezpieczeństwo
Sam fakt posiadania kopii danych nie oznacza, że organizacja jest odporna na incydent.

Snapshot ≠ disaster recovery
Migawka systemu nie jest planem odtworzenia środowiska w innym miejscu i czasie.

Posiadanie danych ≠ zdolność ich odzyskania
Dane mogą istnieć, ale ich odtworzenie może być zbyt wolne, niekompletne lub operacyjnie niewykonalne.

Z perspektywy NIS2 oznacza to brak spełnienia wymagań dotyczących odporności i ciągłości działania.

Scenariusz biznesowy: gdzie backup zawodzi

Wyobraźmy sobie średnią firmę produkcyjno-dystrybucyjną.

Dochodzi do incydentu ransomware. System ERP przestaje działać. Produkcja staje, logistyka traci dostęp do danych, dział sprzedaży nie widzi zamówień.

Zespół IT reaguje: „mamy backup”.

Problem zaczyna się w momencie próby odtworzenia:

• backup znajduje się w tej samej infrastrukturze – również został zaszyfrowany lub uszkodzony,
• ostatnia spójna kopia danych jest sprzed kilku dni,
• odtworzenie środowiska zajmuje kilkadziesiąt godzin,
• nie ma procedur określających kolejność przywracania systemów,
• dane po odtworzeniu są niespójne (ERP vs magazyn vs księgowość).

Efekt biznesowy jest natychmiastowy:

• przestój operacyjny (produkcja i logistyka),
• brak możliwości realizacji zamówień,
• utrata przychodów,
• eskalacja kosztów operacyjnych,
• ryzyko kar regulacyjnych i kontraktowych.

Backup formalnie istnieje.
Ale organizacja nie jest w stanie wznowić działania.

Z punktu widzenia NIS2 – to porażka.

NIS2 – co naprawdę jest wymagane

Jednym z najczęstszych błędów interpretacyjnych jest założenie, że NIS2 „wymaga backupu”.

Nie wymaga.

NIS2 wymaga:

• zapewnienia ciągłości działania,
• zdolności odtworzenia systemów po incydencie,
• gotowości operacyjnej do reagowania i powrotu do normalnej pracy.

Backup jest tylko jednym z elementów tej układanki – i to elementem niewystarczającym.

Organizacja musi być w stanie odpowiedzieć na konkretne pytania:

• ile czasu zajmie odtworzenie kluczowych systemów?
• ile danych możemy maksymalnie utracić?
• czy jesteśmy w stanie uruchomić środowisko poza główną infrastrukturą?
• czy scenariusz został przetestowany w praktyce?

Brak odpowiedzi oznacza brak zgodności.

Warto w tym kontekście zrozumieć skalę ryzyka regulacyjnego – kary za brak zgodności z NIS2 nie są hipotetyczne i będą egzekwowane.

Dlaczego firmy nie spełniają NIS2 (praktyka)

W praktyce problem nie wynika z braku technologii, tylko z błędnego modelu podejścia.

Najczęstsze przyczyny to:

Brak separacji backupu.
Backup w tej samej infrastrukturze to nie backup – to kopia podatna na ten sam incydent.

Brak immutable backup.
Bez niezmienialnych kopii danych organizacja nie jest odporna na ransomware.

Brak testów odtworzeniowych.
Backup bez testów to iluzja bezpieczeństwa.

Brak procedur disaster recovery.
Nie ma scenariuszy, ról, odpowiedzialności ani kolejności działań.

Brak parametrów RTO/RPO.
Nie wiadomo, ile trwa odtworzenie i jaka jest akceptowalna utrata danych.

Efekt jest powtarzalny:
organizacje inwestują w backup, ale nie budują zdolności operacyjnej.

Jak powinien wyglądać model zgodny z NIS2

Model zgodny z wymaganiami NIS2 to nie narzędzie – to system operacyjny bezpieczeństwa.

Powinien obejmować:

Backup offsite

Dane są fizycznie lub logicznie odseparowane od środowiska produkcyjnego.

Immutable backup

Kopie danych są odporne na modyfikację i usunięcie – nawet w przypadku przejęcia systemów.

Disaster recovery

Zdefiniowane scenariusze odtworzenia środowiska – w tym możliwość uruchomienia systemów poza główną infrastrukturą.

Regularne testy odtworzeniowe

Scenariusze są cyklicznie weryfikowane w praktyce, nie tylko na papierze.

Mierzalne RTO/RPO

Organizacja zna i kontroluje czas odtworzenia oraz potencjalną utratę danych.

Dopiero taki model daje realną odpowiedź na wymagania NIS2 i zapewnia odporność operacyjną.

Warto zauważyć, że w sektorach szczególnie wrażliwych – takich jak transport – temat ten jest już traktowany jako element krytyczny działalności operacyjnej. Więcej o specyfice branżowej można zobaczyć tutaj: ciągłość działania w sektorze transportowym.

Dla pełnego obrazu warto również sięgnąć po szerszy kontekst i materiały eksperckie:
Zobacz więcej artykułów o backupie, ciągłości działania i NIS2

Podsumowanie: kluczowe pytanie dla zarządu

W kontekście NIS2 pytanie nie brzmi:

„czy mamy backup?”

Pytanie brzmi:

czy Twoja firma jest w stanie wznowić działanie w ciągu 24 godzin?

Jeśli odpowiedź nie jest jednoznaczna i oparta na przetestowanym scenariuszu – ryzyko operacyjne, finansowe i regulacyjne jest realne.