NIS2 i systemy storage

Jak dobrać storage i backup zgodny z NIS2 – przegląd technologii

W pierwszej części omówiliśmy, co dyrektywa NIS2 faktycznie wymaga od infrastruktury danych. Teraz przechodzimy do konkretów — jakie technologie realizują te wymogi i na co zwrócić uwagę przy wyborze rozwiązania.

Immutable storage i WORM — ochrona integralności backupu

Wymóg NIS2 dotyczący niezmienności i ochrony danych backupowych przed modyfikacją realizuje technologia WORM (Write Once Read Many). Dane zapisane w trybie WORM nie mogą być zmienione ani usunięte — ani przez oprogramowanie ransomware, ani przez administratora systemu — do czasu upływu zdefiniowanego okresu retencji.

Nowoczesne macierze klasy unified storage, takie jak Infortrend EonStor GS czy systemy QNAP i Synology klasy biznesowej, oferują WORM natywnie — bez konieczności zakupu dodatkowego oprogramowania. Warto zwrócić uwagę na dostępne tryby: compliance (rygorystyczny — blokada bezwzględna, nawet dla roota) oraz enterprise (łagodniejszy, z możliwością interwencji administratora w uzasadnionych przypadkach). Dla środowisk objętych NIS2 rekomendowany jest tryb compliance, szczególnie dla kopii backupowych.

Uzupełnieniem WORM jest integracja z oprogramowaniem backup — Veeam, NAKIVO czy Synology Active Backup pozwalają tworzyć tzw. immutable repository bezpośrednio na zasobach NAS lub macierzy, bez potrzeby osobnej infrastruktury tape.

Reguła 3-2-1-1 jako framework zgodności

Klasyczna reguła 3-2-1 (3 kopie, 2 różne nośniki, 1 offsite) ewoluowała w odpowiedzi na ransomware do wariantu 3-2-1-1: dodatkowa kopia offline lub w trybie air-gap (fizycznie lub logicznie odizolowana od sieci). W kontekście NIS2 ten model bezpośrednio adresuje wymogi ciągłości działania i ochrony integralności.

Praktyczna realizacja w środowisku SMB/enterprise: kopia lokalna na NAS (QNAP lub Synology z aktywnym WORM), kopia replikowana do drugiej lokalizacji lub kolokacji, kopia w chmurze publicznej (S3-compatible) z szyfrowaniem i deduplikacją przed wysyłką. Wiele macierzy klasy biznesowej obsługuje ten scenariusz natywnie — replikacja asynchroniczna między jednostkami oraz moduły EonCloud Gateway (Infortrend) lub Hybrid Share (QNAP) realizują cloud tiering bez osobnego oprogramowania.

High Availability — ciągłość działania bez przestojów

Wymóg NIS2 dotyczący ciągłości działania to nie tylko backup — to również minimalizacja przestojów wynikających z awarii sprzętu. Odpowiedzią jest architektura HA (High Availability) z redundantnymi kontrolerami storage.

Macierze z dual-controller w trybie Active-Active (np. Infortrend EonStor GS 3012 G3) eliminują pojedynczy punkt awarii na poziomie kontrolera — w razie uszkodzenia jednego, drugi przejmuje ruch bez przerwy w dostępie do danych. Uzupełnieniem są redundantne zasilacze, obsługa Hot Spare dla dysków oraz mechanizmy takie jak Intelligent Drive Recovery (prewencyjna migracja danych przed fizyczną awarią dysku).

Dla środowisk, gdzie przestój nawet kilkuminutowy jest niedopuszczalny, warto rozważyć replikację synchroniczną między dwiema lokalizacjami — primary i DR site — realizowaną natywnie przez funkcje replikacji w macierzach Infortrend lub Synology High Availability Manager.

Szyfrowanie — at rest i in transit

NIS2 wymaga szyfrowania zarówno danych składowanych, jak i transmitowanych. Na poziomie storage oznacza to: szyfrowanie wolumenów na poziomie macierzy (AES-256, dostępne natywnie w QNAP, Synology i Infortrend), szyfrowanie transmisji backupu (TLS/SSL), oraz szyfrowanie i kompresję danych przed wysyłką do chmury — co jednocześnie redukuje koszty egress fees. Warto upewnić się, że klucze szyfrowania są zarządzane po stronie organizacji, nie wyłącznie po stronie dostawcy chmury — inaczej w razie incydentu po stronie providera dostęp do danych może być utrudniony.

Logowanie, retencja i audytowalność

Aspekt często pomijany przy planowaniu infrastruktury storage — a kluczowy dla NIS2. System musi rejestrować zdarzenia (dostęp do danych, zmiany konfiguracji, próby nieautoryzowanego dostępu) i przechowywać te logi przez zdefiniowany okres. Macierze klasy biznesowej integrują się z centralnym systemem logowania (Syslog), a niektóre — jak QNAP — oferują wbudowany Log Center z możliwością eksportu do zewnętrznych SIEM.
Polityki retencji danych powinny być egzekwowane automatycznie, a nie jedynie zalecane w dokumentacji. WORM w trybie compliance realizuje ten wymóg dla danych backupowych — żaden użytkownik nie skróci okresu retencji po zapisaniu.

Na co zwrócić uwagę przy wyborze rozwiązania?

Dobierając storage i backup pod kątem NIS2, warto zweryfikować kilka kwestii: czy producent oferuje WORM natywnie (bez dodatkowych licencji), czy macierz obsługuje replikację do drugiej lokalizacji i chmury w ramach podstawowego oprogramowania, czy dostępny jest dual-controller HA bez konieczności zakupu osobnych licencji HA, jak wygląda wsparcie producenta w Polsce i czas reakcji serwisowej — bo RTO zależy nie tylko od architektury, ale też od dostępności części i wsparcia.

EPA Systemy jest autoryzowanym dystrybutorem QNAP, Synology, QSAN i Infortrend w Polsce. Pomagamy dobrać infrastrukturę storage i backup spełniającą wymogi NIS2 — od projektu architektury po wdrożenie i wsparcie serwisowe. Skontaktuj się z naszym działem technicznym.

Artykuły, które również mogą się Tobie spodobać
QNAP oficjalnie wprowadza myQNAPcloud One
NAS czy chmura publiczna.NAS czy chmura publiczna – co wybrać dla Firmy?
Qualstar w ofercie EPABilblioteki LTO Qualstar w ofercie dystrybucyjnej EPA Systemy
Backup danych 3-2-1Reguła 3-2-1 backup – jak skutecznie chronić dane?
Dyrektywa NIS2 dla systemów ITNIS2 a backup i storage: co przepisy oznaczają dla działu IT