Co NIS2 mówi o tworzeniu kopii zapasowych?

Czym jest dyrektywa NIS2?

W obliczu rosnących zagrożeń cybernetycznych, Unia Europejska wprowadziła dyrektywę NIS2, której celem jest zwiększenie odporności państw członkowskich. Dyrektywa ta, obejmując szeroki zakres obszarów, takich jak ochrona danych i systemów informatycznych, stawia na pierwszym miejscu konieczność implementacji solidnych rozwiązań zabezpieczających. W kontekście tworzenia kopii zapasowych, NIS2 podkreśla, że są one nieodzownym elementem kompleksowej strategii cyberbezpieczeństwa.

Czytając ten dokument można wywnioskować, że jego zapisy są niejako podstawą, na której opierać mają się poszczególne kraje członkowskie i w razie potrzeby precyzować oraz dodawać rzeczy ważne dla danego Państwa. Polska nie wprowadziła jeszcze nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, a zgodnie z nowymi informacjami Ministerstwo Cyfryzacji informując o zakończeniu prac nad projektem ustawy wskazuje bardzo ogólnie 2025 jako datę uchwalenia. Sam projekt nie różni się bardzo od zapisów dyrektywy. Jest kilka zmian, dopowiedzeń związanych z charakterystyką naszego rynku, ale nie ma rewolucji.

Co więc dyrektywa NIS2 mówi o tworzeniu kopii zapasowych?

Niestety niewiele - samo bezpośrednie wspomnienie o kopiach zapasowych na ponad 70 stronach tego dokumentu odbywa się tylko 2 razy. Natomiast to, że dyrektywa NIS2 nie reguluje w sposób bezpośredni sposobu tworzenia, przechowywania i testowania kopii zapasowych nie znaczy, że o tym nie wspomina i nie daje wskazówek. Aby działanie firmy było zgodne z zapisami NIS2, możemy przyjąć, że organizacja powinna stosować się do wytycznych dwóch norm ISO (niekoniecznie je wdrażając, ale to osobna kwestia):

• ISO 27001 – System zarządzania bezpieczeństwem informacji;
• ISO 22301 – System zarządzania ciągłością działania.

I właśnie ta druga norma jest tu kluczowa. System zarządzania ciągłością działania nie może istnieć bez stworzonej polityki backupu w firmie. W razie awarii bowiem, może okazać się, że nasze kopie zapasowe to coś co może uratować naszą organizację. A sytuacji niebezpiecznych może być mnóstwo – atak hakerski, włamanie do firmy, pożar, powódź czy awaria kluczowego serwera. I pomimo, że o kopiach zapasowych w NIS2 jest tak niewiele, to jest wystarczająco dużo, żeby o tym myśleć i nie bagatelizować tematu, szczególnie, że występuje on w kluczowych fragmentach:

• dotyczących cyberhigieny czyli absolutnych podstaw cyberbezpieczeństwa;
• w Artykule 21 (pkt. 2.c), który nosi nazwę:” Środki zarządzania ryzykiem w cyberbezpieczeństwie” i odnosi się bezpośrednio do ciągłości działania i zarządzania kryzysowego.

Żeby dostrzec backup w dyrektywie NIS2 trzeba spojrzeć na nią trochę szerzej niż literalnie na same jej zapisy. Pomijanie tego aspektu może nieść bardzo poważne konsekwencje, przede wszystkim od strony ciągłości działania firmy i ochrony danych, ale również od strony samych procedur i zapisów prawnych. Podczas spotkań koncepcyjnych z klientami, w których biorą udział również audytorzy, system backupu jest jednym z kluczowym elementów dostosowania się do zapisów tej unijnej dyrektywy.

Jak więc podejść do tematu backupu?

Oprzeć się na dobrych praktykach i skupić na kilku obszarach. Zasada 3-2-1 to już standard, ale wypada o niej wspomnieć, choćby pokrótce:

• 3 - przynajmniej tyle kopii zapasowych swoich danych powinieneś posiadać;
• 2 -  na tylu rodzajach nośników powinny być one przechowywane ((np. dysk twardy, dysk SSD, taśma magnetyczna, chmura);
• 1 - przynajmniej 1 kopia powinna znajdować się w innej lokalizacji niż ta gdzie przechowywane są dane (np. chmura, druga lokalizacja).

Kopie zapasowe danych – klucz do zapewnienia ciągłości funkcjonowania firmy

Co natomiast dalej jeśli chodzi o kopie zapasowe? Skupmy się na nich pod kątem ciągłości działania firmy i wyróżnijmy sobie kilka kluczowych obszarów, o które warto zadbać:

• Regularność: Kopie zapasowe powinny być tworzone regularnie, z odpowiednią częstotliwością dostosowaną do charakteru danych i ryzyka związanego z ich utratą. Nowoczesne narzędzia do tworzenia kopii zapasowych pozwalają na tworzenie harmonogramów i ustalanie co, kiedy i jak często ma się backupować.
• Testowanie: Pięta achillesowa, drugi najbardziej zaniedbany obszar backupu. Najczęściej zielona kropka obok wydarzenia backupu w harmonogramie daje nam poczucie, że wszystko jest w porządku - kopia się wykonała. Oczywiście to z reguły prawda, ale należy brać pod uwagę jeszcze dodatkowe działanie, jakim jest testowanie naszych kopii. Dzięki temu będziemy mogli wyłapać ewentualne problemy/awarie i uniknąć przykrej sytuacji, gdzie backup się robi, ale nie działa (a to chyba boli bardziej niż wtedy kiedy po prostu go nie ma).
• Szyfrowanie: Kopie zapasowe powinny być szyfrowane, aby chronić je przed niepowołanym dostępem. Dostęp do nich może okazać się dostępem do całej naszej sieci.
• Dokumentacja: O ile przy pytaniu o testowanie kopii zapasowych czasem słyszymy odpowiedź twierdzącą, o tyle z dokumentacją jest ciężko - zazwyczaj jej po porstu nie ma, a jeśli jest to bardzo kiepskiej jakości. Dobrze prowadzona dokumentacja uwzględniająca plan backupu pozwala stworzyć konkretne procedury dotyczące: tworzenia, testowania, odzyskiwania kopii zapasowych, a także przejęcia obowiązków jeśli nie ma pod ręką osoby odpowiedzialnej za odzyskiwanie danych.

Chociaż dyrektywa NIS2 nie dostarcza nam szczegółowych zapisów dotyczących tworzenia kopii zapasowych, to ich znaczenie dla zapewnienia ciągłości działania firmy i jej bezpieczeństwa jest oczywistością. Organizacje powinny traktować politykę backupu jako istotną część strategii cyberbezpieczeństwa.

W przypadku gdy w Twojej firmie backupy nie są robione lub ich sposób wykonywania pozostawia wiele do życzenia – napisz do nas na adres: [email protected] lub zadzwoń pod numer: 790498656 i zamów bezpłatną konsultację (30 min), podczas której pomożemy Ci w opanowaniu tego tematu. A jeśli chciałbyś zobaczyć jakie rozwiązania do backupu możesz znaleźć na naszym sklepie to zapraszamy TUTAJ.