Checklist: czy Twój backup spełnia wymagania NIS2?

NIS2 i ochrona backupów przed ransomware

Szybka diagnoza (2 min) 

Sprawdź, czy Twój backup faktycznie pozwoli odzyskać dane po incydencie oraz czy spełnia wymagania NIS2

Przejdź do checklisty 

Ta checklista nie ocenia technologii – jej zadaniem jest pokazanie, czy organizacja jest w stanie wrócić do działania. Brak odpowiedzi oznacza brak kontroli nad tym, co stanie się po incydencie. 

Dlaczego większość backupów nie spełnia NIS2?

W większości organizacji backup działa poprawnie – zadania wykonują się, raporty pokazują, że wszystko przebiega pomyślne, a kopie są zapisane. To buduje przekonanie, że obszar bezpieczeństwa jest przejrzysty i gotowy na potencjalne incydenty…

…aż do momentu incydentu. Zagrożenia szyfrujące dane i żądające okupu (ransomware), błąd administratora lub utrata infrastruktury może sprawić, że dotychczasowe działania w kierunku bezpieczeństwa okażą się niewystarczające, ponieważ:

  • backup był dostępny z poziomu domeny;
  • kopie zostały zaszyfrowane razem z produkcją;
  • procedury odtworzenia nie były testowane.

Utrata danych w taki sposób nie wynika z braku kopii zapasowych, tylko z błędnych założeń – bezpieczeństwo danych nie kończy się tylko na zrobieniu ich kopii.

Większość firm posiada backup,ale nie spełnia wymagań NIS2.

Sprawdź, czy jesteś gotowy na odzyskanie danych po incydencie.

Wymagania NIS2

NIS2 odchodzi od biernego podejścia na rzecz aktywnego zarządzania ryzykiem. Organizacje muszą nie tylko posiadać dokumentację, ale przede wszystkim wdrożyć skuteczne środki techniczne i operacyjne, takie jak:

  • Polityki bezpieczeństwa systemów informatycznych – Regularnie aktualizowane zasady ochrony danych.
  • Ciągłość działania i zarządzanie kryzysowe – Posiadanie sprawdzonych planów odtwarzania po awarii (Disaster Recovery) oraz kopii zapasowych. Backupy powinny być fizycznie i logicznie odseparowane od głównej sieci.
  • Działania prewencyjne – Wdrożenie podstawowych praktyk, takich jak regularne aktualizacje oprogramowania, czy segmentacja infrastruktury
  • Kryptografia i szyfrowanie – Dane muszą być chronione zarówno „w spoczynku” (na dyskach), jak i „w ruchu” (podczas przesyłania). Wybór odpowiednich algorytmów szyfrujących jest teraz elementem oceny zgodności podczas audytu.


W praktyce, powyższe wymagania wymuszają na organizacjach wdrożenie procesów określających:

  • zdolność odtworzenia systemów po incydencie – w jakim stopniu i zakresie uda się odzyskać firmowe dane?
  • określony czas przywrócenia (RTO) – ile czasu potrzebuje (i na ile jej procesy pozwalają) organizacja na przywrócenie danych;
  • kontrolowaną utratę danych (RPO) – regularne symulacje utraty danych i ich odzyskiwanie
  • przetestowane scenariusze działania – ciągła weryfikacja, czy wdrożone procesy nadal pełnią swoją pierwotną funkcję

Checklista

Poniższa lista kontrolna ma za zadanie ujawnić potencjalne luki bezpieczeństwa oraz sprawdzić, czy organizacja jest odpowiednio przygotowana na przetrwanie incydentu. Takie informacje mogą pomóc podjąć decyzję zarządowi oraz IT w sprawie strategii bezpieczeństwa danych.
Dla zachowania jak największej rzetelności, nie należy zakładać, że warunek jest spełniony, nie mając na to dowodu czy procedury testowej. Jest to jednak sygnał, aby zweryfikować rzeczywisty stan danego obszaru.

Dlaczego te pytania są kluczowe?

  • Świadomość ryzyka – Pozwalają określić realny wpływ ewentualnego ataku na operacje biznesowe.
  • Weryfikacja procedur – Sprawdzają, czy plany odzyskiwania danych (Disaster Recovery) są regularnie testowane.
  • Odpowiedzialność prawna – Pomagają udokumentować dopełnienie należytej staranności w nadzorze nad cyberbezpieczeństwem.

Tabela 1 – perspektywa zarządu

Pytanie TAK / NIE
Czy firma ma gwarantowany czas przywrócenia systemów po incydencie?
Czy zarząd zna maksymalną dopuszczalną utratę danych?
Czy istnieje scenariusz działania po utracie infrastruktury (np. pożar, awaria DC)?
Czy backup jest odseparowany od środowiska produkcyjnego?
Czy organizacja testowała odtworzenie w ostatnich 12 miesiącach?
Czy istnieje formalny plan Disaster Recovery?
Czy wiadomo, kto podejmuje decyzje w trakcie incydentu?

Tabela 2 – perspektywa IT

Wymagania techniczne Status Dowód / data testu
Backup offsite (fizycznie lub logicznie odseparowany)
Immutable backup (odporność na ransomware)
Procedura pełnego odtworzenia środowiska
Testy odtworzeniowe (pełne, nie tylko pliki)
Zdefiniowane RTO i RPO dla kluczowych systemów
Automatyzacja procesu odtworzenia
Oddzielne poświadczenia / brak zależności AD
Monitoring backupu i alertowanie

Jeśli chcesz zrozumieć poszczególne elementy,zapoznaj się z powiązanymi artykułami:

  • Backup offsite w NIS2
  • Testy odtworzeniowe
  • RTO i RPO w NIS2
  • BCP i DRP w NIS2

Najczęstsze błędy

Większość problemów z bezpieczeństwem danych nie wynika z braku dostępu do nowoczesnych technologii, tylko z błędnych założeń. Najgroźniejszym z nich jest przekonanie, że skoro system działa poprawnie na co dzień, to jest bezpieczny.
Głównymi zagrożeniami w architekturze cyfrowej są:

  • Backup w tej samej infrastrukturze, co środowisko produkcyjne – Awaria sprzętowa lub atak ransomware niszczą wtedy oba zasoby jednocześnie.
  • Brak fizycznej i logicznej separacji – Brak separacji sieci sprawia, że intruz po przełamaniu jednej bariery zyskuje dostęp do wszystkiego, w tym do kopii zapasowych.
  • Traktowanie migawek systemu jako Disaster Recovery – „snapshoty” są przydatne przy drobnych błędach operacyjnych, ale nie stanowią samodzielnej kopii bezpieczeństwa. W przypadku awarii macierzy, traci się też migawki wraz z danymi produkcyjnymi.
  • Brak testów pełnego odtworzenia – Backup, który nie został przetestowany pod kątem odtwarzalności, w przypadku wystąpienia incydentu, może okazać się, że jest uszkodzony.
  • Nieznany czas przywrócenia (RTO) – Brak precyzyjnej wiedzy o tym, ile godzin lub dni zajmie powrót do pracy. Uniemożliwia zarządowi podjęcie rozsądnych decyzji biznesowych w trakcie kryzysu.
  • Brak scenariusza „Total Loss” – Wiele firm nie posiada planu na wypadek całkowitej utraty środowiska (np. pożar serwerowni lub zmasowany atak na infrastrukturę).

Interpretacja wyniku

Interpretacja wyników powyższej checklisty nie powinna być rozpatrywana w kategoriach „dobry wynik” lub „zły wynik”. Odpowiedź na każde pytanie to wskazówka dla zarządu i IT, w jakim kierunku należy rozwijać infrastrukturę. Mieszany obraz wyników (trochę odpowiedzi „TAK”, trochę „NIE”) jest rzeczą naturalną i wskazuje obszary do poprawy.

Brak dowodu = Brak procesu
NIS2 wymaga, aby istnienie każdego zabezpieczenia, można było udowodnić (pokazać logów, dat testów, raportów). Brak takiego dowodu skutkuje założeniem przez audytora, że dany mechanizm nie został wdrożony lub nie pełni swojej funkcji.

Odpowiedź: „Nie wiem”
Pojawienie się takiej odpowiedzi to sygnał alarmujący, że istnieje proces, którego zachowania nie jesteśmy w stanie przewidzieć. W sytuacjach kryzysowych trzeba działać natychmiastowo, a każda chwila zastanawiania się, co należy teraz zrobić, działa na niekorzyść organizacji.

Czerwone flagi
Jeśli któreś z poniższych zjawisk miało miejsce, to należy działać jak najszybciej:

  • „TAK” bez dowodu w IT – fałszywe poczucie bezpieczeństwa na poziomie zarządu i osób nietechnicznych.
  • Brak konkretnych dat testów – procedury istnieją w teorii, ale nie są one regularnie sprawdzane.
  • Brak właściciela procesu – jeśli nikt nie odpowiada za odzyskiwanie danych, w trakcie kryzysu nikt nie podejmie decyzji.
  • Rozbieżność między Zarządem, a IT – sytuacja, w której zarząd wierzy w inne parametry bezpieczeństwa niż te, które realnie działają.
  • Nieznane RTO dla systemów krytycznych – brak wiedzy o tym, kiedy firma odzyska operacyjność po awarii.

Jeśli nie jesteś w stanie obronić swoich odpowiedzi konkretnymi danymi i wynikami ostatnich testów, musisz założyć najgorsze – Twoja organizacja nie jest gotowa na incydent bezpieczeństwa. Incydent weryfikuje bieżące procesy bez uprzedniego przygotowania, a NIS2 wymaga, aby ta weryfikacja nastąpiła za każdym razem podczas audytu i testów.

Model referencyjny w NIS2

Z chwilą wejścia NIS2 w życie nastąpiła zmiana punktu widzenia na backupy. Od teraz kopie zapasowe nie służą tylko do archiwizacji plików, a do umożliwienia powrotu do działania. To zmiana, której celem jest odtworzenie całej infrastruktury w oczekiwanym i ustalonym czasie, który nie doprowadzi do upadku firmy. Wynikiem tych działań jest zmiana podejścia do kopii zapasowej, a raczej fakt, że jej zakres i kompleksowość uległa zmianom.

Aby model referencyjny był skuteczny, musi opierać się na pięciu technicznych i operacyjnych fundamentach:

  • Backup Offsite – Kopia musi znajdować się poza główną lokalizacją, fizycznie i logicznie odseparowaną od środowiska produkcyjnego.
  • Immutable Backup (Niezmienność) – Dane muszą być zapisane w sposób uniemożliwiający ich modyfikację lub usunięcie. Dostęp powinien być odporny na próby modyfikacji nawet przez administratora z najwyższymi możliwymi uprawnieniami (obrona przed ransomware).
  • Regularne testy odtworzeniowe – Testowanie pełnych scenariuszy na rzeczywistej lub symulowanej infrastrukturze, a nie tylko odzyskiwanie wyrywkowych plików.
  • Zdefiniowane parametry RTO i RPO – Precyzyjne określenie, ile danych możemy stracić (RPO) i jak szybko musimy powrócić do działania po awarii (RTO).
  • Scenariusze Disaster Recovery (DR) – Gotowe instrukcje na wypadek ataku ransomware, pożaru serwerowni czy błędu ludzkiego.

Zasada „3-2-1-1-0” to tylko poziom wejścia
W branży często przywołuje się regułę „3-2-1-1”, czyli zasadę zakładającą, że przechowujemy 3 kopie zapasowe, na 2 różnych nośnikach; z czego 1 kopia znajduje się poza siedzibą firmy (kopia typu „offsite”) i jedna z nich jest odporna na usunięcie i modyfikacje (kopia typu „immutable”). W 2026 roku, w świetle NIS2, traktujemy to jednak wyłącznie jako poziom wejścia, a nie gwarancję sukcesu. Posiadanie technologii to dopiero połowa sukcesu.

Powtarzalność jest najważniejsza – Proces odzyskiwania musi być tak zaprojektowany i udokumentowany, aby działał zawsze – bez względu na to, który administrator jest aktualnie dostępny i jak duża presja czasu towarzyszy awarii.

Model referencyjny to zdolność Twojej organizacji do odtworzenia całego ekosystemu IT w czasie akceptowalnym dla biznesu. W dobie NIS2 to właśnie ta zdolność, a nie fakt posiadania backupu, będzie podlegać ocenie.

Rola SecureVault

W większości organizacji backup funkcjonuje jako osobny system, który działa obok głównej infrastruktury. Problem polega na tym, że w takim modelu często brakuje konkretnego właściciela oraz jasnej odpowiedzialności za końcowy wynik, czyli skuteczne przywrócenie firmy do pracy. Gdy dochodzi do indycentu, okazuje się, że nikt nie wie, kto podejmuje decyzje w takich sytuacjach oraz czy bieżące procedury są nadal wystarczające. SecureVault zmienia tę perspektywę, przesuwając ciężar standardowych kopii zapasowych na zdolność przetrwania incydentu oraz wprowadza model operacyjny, w którym:

  • Proces odzyskiwania jest przejrzysty – wieloetapowa, zaprojektowana ścieżka powrotu do sprawności zapewniająca szybki powrót firmy do operacyjności
  • Wypracowane i sprawdzone scenariusze są gotowe na incydenty – Posiadamy przygotowane instrukcje na wypadek konkretnych incydentów, takich jak całkowita utrata centrum danych czy zmasowany atak szyfrujący.
  • Wyniki są mierzalne i udokumentowane – nasz model opiera się na twardych danych z regularnych testów, które nie pozostawiają wątpliwości audytorom.
  • Odpowiedzialność jest jasno zdefiniowana – SecureVault bierze odpowiedzialność odtworzenie całej infrastruktury, a nie wyłącznie za to, czy serwer jest włączony i sprawny.

Fundamenty, które budują odporność

SecureVault nie traktuje technologii jako celu samego w sobie, ale jako niezbędny element większej układanki. Aby spełnić rygorystyczne wymagania NIS2, koncentruje się na pięciu filarach:

  • Separacja (Offsite + Immutable) – Kopia musi być fizycznie i logicznie odseparowana od infrastruktury produkcyjnej, aby intruz nie mógł jej usunąć razem z danymi.
  • Gwarantowane RTO / RPO – Biznes nie może czekać w nieskończoność; SecureVault definiuje i gwarantuje parametry czasu przywrócenia oraz dopuszczalnej utraty danych.
  • Regularna weryfikacja – Testy odtworzeniowe nie są jednorazowym wydarzeniem, a stałym elementem utrzymania systemu.

SecureVault a VigilHorizon – Pełny obraz bezpieczeństwa
Warto pamiętać, że nawet najdoskonalszy model odzyskiwania danych potrzebuje impulsu do działania. Bez sprawnego wykrycia incydentu, każda reakcja będzie spóźniona. SecureVault gwarantuje, że nawet w przypadku najgorszego scenariusza, najważniejsze dane są bezpieczne. Z kolei VigilHorizon odpowiada za monitoring i wczesne wykrywanie ataków. Nasz współpraca dostarcza kompleksowe rozwiązanie dla firm i sektorów publicznych

Następny krok

Większość organizacji ma świadomość istnienia luk w swoich systemach bezpieczeństwa. Często brakuje im jednak jasnej mapy drogowej, jak te luki skutecznie zamknąć. Najważniejsze jest zrozumienie, że nie każda firma potrzebuje od razu pełnego, kosztownego systemu Disaster Recovery, ale każda potrzebuje wiedzieć, co stanie się z jej danymi po incydencie.

Trzy scenariusze gotowości
W zależności od skali operacji i wymagań biznesowych, drogę do pełnej odporności można podzielić na trzy modele operacyjne:

Pakiet Compliance

Zapewnij zgodność z NIS2 i przygotuj organizację na audyt oraz incydent — bez ryzyka przestoju i kar.

Sprawdź, jak spełnić wymagania NIS2

Pakiety Security

Zabezpiecz firmę przed ransomware i utratą danych — z gwarancją możliwości odtworzenia systemów.

Zobacz, jak chronimy przed ransomware

Pakiet Enterprise

Zapewnij ciągłość działania nawet w przypadku awarii lub ataku — z określonym RTO i RPO.

Sprawdź rozwiązanie dla krytycznych systemów

Od czego zacząć? (Twoja lista zadań)
Jeśli wyniki Twojej checklisty pozostawiły pole do wątpliwości, proces naprawczy powinieneś zacząć od czterech fundamentów:

  • Weryfikacja realnej zdolności odtworzenia – Informacja, że zadanie kopii zapasowej zostało pomyślnie zakończone to za mało, aby mówić o odtwarzalności danych. Sprawdź, czy pliki faktycznie dają się odczytać.
  • Test pełnego odzyskiwania – co najmniej raz w roku (minimum) wykonaj symulację, która przywróci całe środowisko.
  • Analiza zależności systemowych – sprawdź, w jakiej kolejności muszą być uruchamiane systemy, aby infrastruktura zaczęła działać poprawnie.
  • Potwierdzenie RTO / RPO – zmierz, ile czasu zajmuje powrót do pracy oraz czy udało się zmieścić w wymaganym czasie.

To nie jest projekt IT, to decyzja biznesowa
Największym ryzykiem nie jest brak technologii, a błędne poczucie bezpieczeństwa i odkładanie decyzji do momentu, aż wydarzy się incydent. W świetle NIS2, jeśli nie jesteś w stanie udowodnić (za pomocą logów, dat i raportów), że odtworzysz środowisko – musisz założyć, że Twoja organizacja nie jest gotowa. Firmy nie przegrywają z hakerami dlatego, że nie miały backupu. Przegrywają, bo nie były przygotowane na proces odzyskiwania. Wybór modelu ochrony to obecnie jedna z najważniejszych decyzji biznesowych, jakie stoją przed współczesnym zarządem.

Powiązane artykuły

Zobacz wszystkie wpisy

Powrót do Strefy wiedzy

Zobacz również

Nie wiesz który pakiet jest odpowiedni dla twojej firmy?
Wypełnij krótką ankietę

Wypełnij krótki formularz, a pomożemy Ci wybrać rozwiązanie, które realnie
ochroni Twoją firmę i zapewni jej ciągłość działania nawet w przypadku awarii.