NIS2 Artykuł 21(2)(c): czego naprawdę wymagają kopie zapasowe i ciągłość działania

Grupa ransomware szyfruje środowisko produkcyjne klienta w piątkowy wieczór. W poniedziałek klient chce wiedzieć dwie rzeczy: kiedy wrócimy do działania i czy możemy udowodnić regulatorowi, że zrobiliśmy wszystko prawidłowo. Jeśli twój plan ciągłości działania leży w folderze SharePoint, którego nikt nie otwierał od 2023 roku, znasz już odpowiedź na oba pytania.

Artykuł 21(2)(c) NIS2 to środek, co do którego większość organizacji sądzi, że ma go opanowany, a który audytorzy najczęściej uznają za niewystarczający. „Ciągłość działania, taka jak zarządzanie kopiami zapasowymi i przywracanie sprawności po awarii, oraz zarządzanie kryzysowe" brzmi jak pole do odhaczenia za pomocą istniejącego podręcznika DR. Nim nie jest. Rozporządzenie wykonawcze Komisji (UE) 2024/2690 zamieniło ten jeden podprzepis w ponad dwadzieścia konkretnych, możliwych do wykazania wymogów — a od cyklu audytowego z czerwca 2026 to rozporządzenie jest miarą, po którą audytorzy sięgają najpierw.

Oto co twoi klienci faktycznie muszą przedstawić i gdzie zwykle są luki.

Rozporządzenie wykonawcze to standard, którym mierzą audytorzy

Samo NIS2 jest celowo ogólne. Wymienia dziesięć środków w artykule 21(2) i pozostawia szczegóły państwom członkowskim oraz Komisji. Dla określonej grupy podmiotów — dostawców DNS, rejestrów domen najwyższego poziomu, dostawców chmury i centrów danych, dostawców usług zarządzanych oraz innej infrastruktury cyfrowej — Komisja uzupełniła ten szczegół bezpośrednio rozporządzeniem CIR 2024/2690, obowiązującym od 18 października 2024.

Dla wszystkich pozostałych rozporządzenie nie jest prawnie wiążące. Ale to najbardziej konkretne odczytanie artykułu 21, jakie istnieje, organy krajowe dostosowują do niego swoje listy kontrolne audytu, a ENISA opublikowała techniczne wytyczne wdrożeniowe oparte na tej samej strukturze. Traktuj je jako faktyczną miarę. Jeśli klient spełnia CIR 2024/2690 w zakresie ciągłości działania, żaden audytor w UE nie będzie twierdził, że uchybił artykułowi 21(2)(c).

Rozporządzenie rozkłada środek na trzy rzeczy, które muszą istnieć niezależnie: plan ciągłości działania i przywracania sprawności po awarii, zarządzanie kopiami zapasowymi oraz zarządzanie kryzysowe. Większość organizacji ma jedną z trzech i zakłada, że obejmuje ona pozostałe. Tak nie jest.

Artykuł 21 — 10 Środków Cyberbezpieczeństwa NIS2
🛡️
Artykuł 21
10 Środków Cyberbezpieczeństwa
📊
Zarządzanie & Strategia
1Analiza ryzyka & polityki bezpieczeństwa informacji
6Ocena skuteczności środków bezpieczeństwa
🚨
Incydenty & Ciągłość
2Obsługa incydentów & zgłaszanie
3Ciągłość działania & odtwarzanie po awarii
🔗
Łańcuch Dostaw & Systemy
4Bezpieczeństwo łańcucha dostaw
5Bezpieczeństwo w rozwoju systemów sieciowych i informatycznych
🔐
Kontrole Techniczne
8Kryptografia & szyfrowanie
10Uwierzytelnianie wieloskładnikowe & bezpieczna komunikacja
👥
Ludzie & Zasoby
7Cyberhigiena & szkolenia
9Bezpieczeństwo HR & kontrola dostępu

Plan ciągłości bez analizy wpływu na działalność to zgadywanka

Pierwszy wymóg to udokumentowany plan BC i DR — ale plan musi wynikać z analizy wpływu na działalność (BIA), a nie z przeczucia zespołu IT co do tego, co jest ważne.

W BIA identyfikujesz usługi krytyczne i systemy, które je obsługują, a następnie przypisujesz każdemu maksymalny tolerowany czas przestoju. Na tej podstawie ustalasz Recovery Time Objective (RTO, jak szybko przywracasz) i Recovery Point Objective (RPO, ile danych możesz stracić). Te dwie liczby sterują każdą kolejną decyzją: jak często wykonujesz kopie, gdzie je przechowujesz, jak projektujesz przełączanie awaryjne.

Oto luka, którą audytorzy znajdują nieustannie. Klient ma zapisane wartości RTO i RPO — cztery godziny, piętnaście minut, cokolwiek — ale harmonogram kopii i projekt DR ich nie zapewniają. RPO piętnastu minut przy nocnych kopiach to nie cel, to fikcja. Rozporządzenie oczekuje, że cele i architektura będą się zgadzać, i wymaga udowodnienia tej zgodności wynikiem testu, a nie deklaracją.

Dla konsultantów BIA to również praca o największej dźwigni, jaką możesz sprzedać. Jest niezależna od ram, zasila jednocześnie ISO 27001 i DORA, a niemal żaden klient z sektora MŚP nie wykonał jej porządnie.

Kopie zapasowe muszą być izolowane, niezmienne i z udowodnionym przywracaniem

Zarządzanie kopiami zapasowymi według CIR 2024/2690 to miejsce, gdzie rzeczywistość ransomware spotyka się ze zgodnością. Trzy rzeczy są nienegocjowalne.

Kopie muszą być oddzielone od produkcji. Kopia w tej samej domenie, dostępna przy użyciu tych samych poświadczeń, zostaje zaszyfrowana razem ze wszystkim innym. Rozporządzenie oczekuje rozdzielenia logicznego, a najlepiej fizycznego.

Kopie muszą być chronione przed zmianą — niezmienność lub równoważne kontrole, tak aby atakujący z uprawnieniami administratora nie mógł usunąć ani nadpisać punktów przywracania. To największa zmiana architektoniczna, której większość klientów wciąż musi dokonać.

A kopie muszą być testowane przez faktyczne przywracanie. Zadanie kopii zgłaszające „sukces" każdej nocy mówi ci, że zapis się powiódł. Nie mówi nic o tym, czy dane przywracają się do działającego systemu w ramach twojego RTO. Załącznik 4.3 rozporządzenia wyraźnie wymaga testów przywracania z udokumentowanymi wynikami i działaniami naprawczymi.

Wezwanie do działania pisze się samo dla każdego MSP: stan kopii zapasowych twoich klientów to najszybsza do oceny część NIS2 i najłatwiejsza do wykazania poprawa. Nasz bezpłatny szybki skan NIS2 daje ci możliwą do obrony bazę wyjściową do dokładnie takiej rozmowy.

Zarządzanie kryzysowe to wyznaczony zespół i przećwiczony łańcuch decyzyjny, a nie lista telefonów

Trzeci filar to ten, o którym organizacje zapominają, dopóki go nie potrzebują. Zarządzanie kryzysowe według NIS2 oznacza zdefiniowaną strukturę kierowniczą z jasnymi rolami, uprawnieniami decyzyjnymi i procedurami komunikacji, które działają pod presją.

W praktyce oznacza to wyznaczony zespół kryzysowy, udokumentowane progi eskalacji, wcześniej przygotowane szablony komunikacji (również dla regulatorów i klientów) oraz wiedzę o tym, kto co może autoryzować, gdy systemy są niedostępne, a zwykli zatwierdzający są nieosiągalni. Rozporządzenie traktuje szablony komunikacji kryzysowej jako konkretny element dowodowy — audytorzy o nie poproszą.

Łączy się to bezpośrednio z zegarem zgłaszania NIS2. Plan kryzysowy to to, co gromadzi właściwe osoby na tyle szybko, by dotrzymać terminów 24 godzin (wczesne ostrzeżenie) i 72 godzin (zgłoszenie) na mocy artykułu 23. Kopia przywracana w cztery godziny jest bezwartościowa, jeśli przez pierwsze trzy dni nikt nie zdecydował się zgłosić incydentu.

Harmonogram Zgłaszania Incydentów NIS2
24h
⚡
Wczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
Krok 1
72h
📋
Zgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
Krok 2
1mo
📊
Raport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.
Krok 3
24h
⚡
Wczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
72h
📋
Zgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
1mo
📊
Raport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.

Co oznacza „dowód" w audycie w 2026 roku

Zmiana, która zaskakuje organizacje w tym cyklu audytowym, ma charakter dowodowy. Audytorom nie wystarcza już, że plan istnieje. Chcą zobaczyć, że został przetestowany, że test wykrył problemy i że problemy zostały naprawione.

Dla każdego testu przywracania rozporządzenie oczekuje udokumentowanego wyniku: daty i uczestników, użytego scenariusza, wykrytych problemów z poziomami istotności, działań naprawczych z imiennie wyznaczonymi właścicielami i terminami, wyników zmierzonych względem zadeklarowanych RTO i RPO oraz zatwierdzenia przez kierownictwo. Plan bez protokołu testu traktowany jest jak plan, który nie działa.

Buduj ścieżkę dowodową na bieżąco, a nie w tygodniu przed audytem. Organizacje, które mają trudności w czerwcu 2026, to te, które traktują dokumentację jako refleksję po fakcie, a nie jako produkt uboczny faktycznego realizowania procesu.

Eskalacja sankcji NIS2 — Poza karą finansową
!
Zdarzenie wyzwalające
Wykryto niezgodność lub wystąpił incydent
Organ nadzorczy identyfikuje lukę w zgodności lub organizacja nie spełnia wymagań NIS2
Organy mogą nałożyć
▼
Sankcje niefinansowe
1
Nakazy zgodności z wiążącymi terminami
2
Obowiązkowe audyty bezpieczeństwa na Twój koszt
3
Publiczne ujawnienie naruszeń
4
Wiążące instrukcje dotyczące konkretnych środków bezpieczeństwa
Eskaluje do
▼
Konsekwencje operacyjne i osobiste
1
Zawieszenie certyfikatów lub licencji operacyjnych
2
Tymczasowy zakaz pełnienia funkcji zarządczych dla osób
3
Publiczne wskazanie odpowiedzialnych osób fizycznych
Zdarzenie wyzwalające
Niefinansowe
Operacyjne / osobiste

Ekspozycja na kary sama broni tej tezy. Podmiotom kluczowym grożą grzywny do 10 milionów euro lub 2% światowego rocznego obrotu, a niepowodzenie ciągłości, które zamienia odzyskiwalny incydent w przedłużający się przestój, to dokładnie ten rodzaj zaniedbania, którego ściganie sygnalizują regulatorzy. Ale silniejszy argument w rozmowie z klientami jest operacyjny, nie regulacyjny: organizacja, która potrafi udowodnić, że przywraca usługi krytyczne w zdefiniowanym oknie czasowym, jest po prostu lepiej zarządzanym przedsiębiorstwem.

Od czego zacząć z klientem w tym kwartale

Najpierw wykonaj analizę wpływu na działalność — bez niej każda inna decyzja to zgadywanka. Następnie sprawdź trzy rzeczy w kolejności: czy kopie są izolowane i niezmienne, czy w ciągu ostatnich dwunastu miesięcy odbył się prawdziwy test przywracania i czy istnieje wyznaczony zespół kryzysowy z szablonami gotowymi do wysłania. Te trzy kontrole oddzielają klientów naprawdę gotowych od tych, którzy mają dokument.

Aby szybko ocenić, gdzie organizacja stoi w zakresie wszystkich dziesięciu środków artykułu 21, szybki skan NIS2 zamienia ogólne „czy jesteśmy zgodni?" w konkretną listę luk, na której można działać.

Artykuł 21(2)(c) nagradza nudną pracę: przetestowane kopie, spisane decyzje, przećwiczone reakcje. To również praca, która sprawia, że atak ransomware w piątkowy wieczór jest złym weekendem, a nie wydarzeniem kończącym działalność.