Dyrektywa NIS2 dla systemów IT

NIS2 a backup i storage: co przepisy oznaczają dla działu IT

Dyrektywa NIS2 (Network and Information Security 2) to unijna regulacja, która od października 2024 roku obowiązuje podmioty uznane za kluczowe lub ważne dla funkcjonowania gospodarki i społeczeństwa. W praktyce jej zakres jest znacznie szerszy niż poprzedniej wersji — obejmuje nie tylko energetykę czy bankowość, ale również sektor zdrowia, transport, administrację publiczną, dostawców usług cyfrowych, a także łańcuchy dostaw. Jeśli Twoja firma dostarcza usługi lub produkty do podmiotów objętych NIS2, istnieje duże prawdopodobieństwo, że wymogi pośrednio dotyczą również Ciebie.

Kluczowa zmiana w stosunku do NIS1 to przeniesienie odpowiedzialności za bezpieczeństwo IT na poziom zarządu — nie działu IT. Oznacza to, że decyzje o infrastrukturze backup i storage przestają być wyłącznie technicznym problemem administratorów, a stają się kwestią compliance na poziomie całej organizacji.

Co NIS2 konkretnie wymaga od infrastruktury danych?

Dyrektywa nie wskazuje wprost, jakich technologii używać. Określa natomiast cele, które organizacja musi osiągnąć. Z perspektywy działu IT i infrastruktury storage najważniejsze obszary to:

Ciągłość działania i odtwarzanie po incydencie
Organizacja musi być zdolna do kontynuowania działalności po cyberataku lub awarii. W praktyce oznacza to konieczność zdefiniowania i egzekwowania parametrów RPO (Recovery Point Objective — maksymalna dopuszczalna utrata danych) oraz RTO (Recovery Time Objective — maksymalny czas przywrócenia działania). NIS2 nie podaje konkretnych wartości liczbowych, ale wymaga, by były one określone, udokumentowane i regularnie testowane. Backup wykonywany raz na dobę bez planu odtwarzania to za mało.

Integralność i niezmienność danych
Dane backupowe muszą być chronione przed modyfikacją i usunięciem — również przez osoby z wewnątrz organizacji. To bezpośrednie przełożenie na technologię immutable storage i mechanizmy WORM (Write Once Read Many). Kopia zapasowa, którą ransomware może zaszyfrować lub skasować po przejęciu konta administratora, nie spełnia wymogów NIS2.

Retencja i audytowalność
Przepisy wymagają przechowywania danych i logów przez określony czas oraz możliwości udowodnienia — w razie kontroli lub incydentu — kiedy dane były tworzone, modyfikowane i przez kogo. Oznacza to konieczność posiadania systemu logowania zdarzeń, zarządzania wersjami danych oraz polityk retencji z wymuszonym egzekwowaniem, a nie tylko z zalecaną praktyką.

Zarządzanie ryzykiem w łańcuchu dostaw
NIS2 rozszerza odpowiedzialność na dostawców. Jeśli Twoja firma korzysta z zewnętrznego storage’u, chmury publicznej lub outsourcingu backup, musisz być w stanie wykazać, że ten łańcuch również spełnia wymogi bezpieczeństwa. Umowa z dostawcą chmury bez analizy ryzyka i SLA zgodnego z Twoimi RPO/RTO to potencjalny problem podczas audytu.

Szyfrowanie danych
Zarówno danych w spoczynku (at rest), jak i w transmisji (in transit). Dotyczy to backupu lokalnego, replikacji między lokalizacjami oraz synchronizacji z chmurą.

Jakie są konsekwencje braku zgodności?

NIS2 wprowadza realne sankcje finansowe — dla podmiotów kluczowych do 10 mln EUR lub 2% globalnego rocznego obrotu (analogicznie do struktury kar RODO). Dla podmiotów ważnych odpowiednio do 7 mln EUR lub 1,4% obrotu. Co istotne, odpowiedzialność osobista spoczywa na kierownictwie organizacji, nie wyłącznie na dziale IT.
Poza sankcjami finansowymi liczy się ryzyko operacyjne — brak zdolności do odtworzenia danych po ataku ransomware przy jednoczesnym braku zgodności z NIS2 to podwójny problem: biznesowy i prawny.

Praktyczny punkt wyjścia dla działu IT

Przed doborem technologii warto przeprowadzić wewnętrzny audyt odpowiadający na kilka podstawowych pytań: Czy posiadamy aktualną politykę backup z zdefiniowanymi RPO i RTO? Czy kopie zapasowe są przechowywane w lokalizacji odseparowanej od środowiska produkcyjnego? Czy backup jest testowany — i jak często? Czy dane backupowe są chronione przed usunięciem przez nieuprawnione osoby? Czy logi systemowe są przechowywane i czy można je powiązać z konkretnymi zdarzeniami?
Odpowiedzi na te pytania wyznaczają luki, które infrastruktura storage i backup musi wypełnić. Technologie adresujące te luki omówimy szczegółowo w drugiej części — „Jak dobrać storage i backup zgodny z NIS2 — przegląd technologii”.

EPA Systemy od ponad 20 lat wspiera firmy w budowie infrastruktury storage i backup. Jeśli chcesz ocenić, czy Twoje obecne środowisko spełnia wymogi NIS2 — skontaktuj się z naszym działem technicznym.

Artykuły, które również mogą się Tobie spodobać
Qualstar w ofercie EPABilblioteki LTO Qualstar w ofercie dystrybucyjnej EPA Systemy
NAS czy chmura publiczna.NAS czy chmura publiczna – co wybrać dla Firmy?
NIS2 i systemy storageJak dobrać storage i backup zgodny z NIS2 – przegląd technologii
Backup danych 3-2-1Reguła 3-2-1 backup – jak skutecznie chronić dane?
QNAP oficjalnie wprowadza myQNAPcloud One