przejdź
przejdź
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Ciągłość działania NIS 2. Jak przygotować plany BCP i DRP?

Ciągłość działania NIS 2. Jak przygotować plany BCP i DRP?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Ciągłość działania NIS 2  to jeden z kluczowych filarów. Regulacja ta jasno wskazuje, że organizacje odpowiedzialne za usługi kluczowe i ważne nie mogą ograniczać się wyłącznie do działań prewencyjnych. Muszą być przygotowane na to, że incydenty będą się zdarzać, a ich obowiązkiem jest utrzymanie funkcjonowania najważniejszych procesów oraz możliwie szybkie przywrócenie normalnego działania po zakłóceniu.

W praktyce oznacza to konieczność zaplanowania nie tylko tego, jak się bronić, lecz również co zrobić, gdy obrona zawiedzie. NIS 2 wymaga więc od podmiotów, aby przełożyły ogólne hasło „ciągłość działania” na konkretne mechanizmy – od polityki kopii zapasowych, przez procedury odtwarzania środowiska, aż po zorganizowane zarządzanie sytuacjami kryzysowymi. Te wymogi nie mają charakteru wyłącznie dobrych praktyk, lecz są osadzone w przepisach dyrektywy oraz aktów wykonawczych. 

W art. 21 ust. 2 lit. c dyrektywa wskazuje wprost na konieczność zapewnienia „ciągłości działania, np. zarządzania kopiami zapasowymi i przywracania normalnego działania po wystąpieniu sytuacji nadzwyczajnej, oraz zarządzania kryzysowego”.

Rozporządzenie wykonawcze 2024/2690, ustanawiające zasady stosowania dyrektywy NIS 2, doprecyzowuje ten obowiązek, wskazując, że w celu jego realizacji podmioty powinny określić i utrzymywać zarówno plan ciągłości działania (BCP), jak i plan przywrócenia normalnego działania po wystąpieniu sytuacji nadzwyczajnej (DRP). Zgodnie z rozporządzeniem: „Do celów art. 21 ust. 2 lit. c) dyrektywy (UE) 2022/2555 odpowiednie podmioty określają i utrzymują plan ciągłości działania i przywrócenia normalnego działania po wystąpieniu sytuacji nadzwyczajnej, który ma zastosowanie w przypadku incydentów”.

Czym jest ciągłość działania NIS 2?

Ciągłość działania to zdolność organizacji do utrzymania kluczowych procesów biznesowych na akceptowalnym poziomie mimo wystąpienia poważnych zakłóceń, takich jak incydent cyberbezpieczeństwa, awaria infrastruktury, katastrofa naturalna, utrata danych czy niedostępność dostawcy.

Obejmuje zarówno przygotowanie odpowiednich planów i procedur, jak i wdrożenie środków technicznych i organizacyjnych, które pozwolą szybko przywrócić działanie systemów, usług i funkcji niezbędnych do realizacji zadań organizacji.

W praktyce ciągłość działania oznacza m.in.:

  • zapewnienie dostępności usług krytycznych, nawet w warunkach awarii;
  • minimalizację wpływu incydentów na klientów, użytkowników i procesy operacyjne;
  • przygotowanie alternatywnych sposobów wykonywania kluczowych zadań;
  • możliwość odtworzenia danych i systemów z bezpiecznych kopii zapasowych;
  • gotowość do funkcjonowania w trybie awaryjnym przez określony czas.

BCP i DRP a ciągłość działania NIS 2

Jednym z kluczowych obszarów wymaganych przez NIS 2 w zakresie ciągłości działania, doprecyzowanym przez rozporządzenie wykonawcze 2024/2690, jest opracowanie i utrzymywanie planu ciągłości działania (BCP) oraz planu przywrócenia normalnego funkcjonowania (DRP).

Jest to kompleksowy plan określający, w jaki sposób organizacja będzie utrzymywać lub możliwie szybko przywracać kluczowe procesy w sytuacji poważnego zakłócenia, obejmujący zarówno procedury operacyjne, jak i zasoby niezbędne do funkcjonowania w warunkach kryzysowych.

Rozporządzenie to ma zastosowanie bezpośrednio do określonych kategorii podmiotów z sektora infrastruktury cyfrowej i usług online. Państwa członkowskie mogą jednak stosować te same wymagania jako punkt odniesienia również dla innych podmiotów objętych NIS 2.

Rozporządzenie wykonawcze nie przesądza, czy BCP i DRP mają stanowić jeden wspólny dokument, czy funkcjonować jako dwa odrębne plany. W praktyce możliwe są dwa podejścia:

  • jeden zintegrowany plan BCP/DRP – obejmujący zarówno aspekty biznesowe, jak i techniczne;
  • dwa odrębne dokumenty – BCP i DRP jako osobne plany, pod warunkiem, że pozostają spójne w zakresie priorytetów, parametrów RTO/RPO oraz klasyfikacji systemów.

Z perspektywy zgodności z NIS 2 kluczowe jest to, aby przedstawiały one kompletny obraz, zarówno utrzymania ciągłości działania, jak i technicznego odtworzenia, były oparte na analizie ryzyka oraz stanowiły realne, przetestowane w praktyce procedury, które organizacja jest w stanie skutecznie wdrożyć w sytuacji kryzysowej.

Zakres elementów, jakie powinien zawierać plan ciągłości działania i przywrócenia normalnego funkcjonowania, został szczegółowo określony w pkt 4.1.2 rozporządzenia wykonawczego 2024/2690, który wskazuje, że plan musi uwzględniać, w stosownych przypadkach, następujące komponenty:

  • cel, zakres i odbiorców – jasno opisany powód istnienia planu (po co powstał), obszary, których dotyczy (systemy, procesy, lokalizacje) oraz grupy, które mają się nim posługiwać (np. IT, biznes, zarząd, zespół kryzysowy);
  • funkcje i obowiązki – przypisanie ról (np. właściciel procesu, koordynator BCP, lider IT, lider komunikacji) oraz określenie, kto co robi w trakcie uruchomienia planu, aby uniknąć chaosu i dublowania zadań;
  • kluczowe osoby do kontaktu oraz (wewnętrzne i zewnętrzne) kanały komunikacji – lista kontaktowa (imienna lub funkcyjna) oraz opis podstawowych i awaryjnych kanałów komunikacji, z których należy korzystać w przypadku incydentu (np. telefon, alternatywny komunikator, specjalne numery kryzysowe);
  • warunki aktywacji i dezaktywacji planu – jasne kryteria, kiedy plan należy uruchomić (np. niedostępność kluczowego systemu powyżej X godzin, potwierdzony ransomware) oraz kiedy i na jakich zasadach wraca się do normalnego trybu pracy;
  • kolejność przywracania działalności – priorytety odtwarzania systemów i procesów, określające, co musi zostać uruchomione najpierw, aby organizacja mogła wznowić kluczowe usługi w minimalnym akceptowalnym zakresie;
  • plany przywrócenia normalnego działania w odniesieniu do konkretnej działalności, w tym cele w zakresie przywrócenia normalnego działania – szczegółowe scenariusze odtworzenia dla poszczególnych usług/procesów wraz z celami RTO/RPO, czyli docelowymi czasami odtworzenia i dopuszczalną utratą danych;
  • wymagane zasoby, w tym kopie zapasowe – wykaz ludzi, technologii, lokalizacji, danych i usług zewnętrznych niezbędnych do skutecznego uruchomienia planu, w szczególności zasobów backupowych oraz rozwiązań zapasowych (np. zapasowe centra danych, łącza, systemy);
  • przywrócenie i wznowienie działalności w wyniku zastosowania środków tymczasowych – opis tymczasowych obejść (workarounds), trybów awaryjnych i procedur działania „w ograniczonym zakresie” oraz sposób przejścia z tych rozwiązań do pełnego, docelowego trybu pracy.

Kopie zapasowe

Kluczową rolę w kontekście zapewnienia ciągłości działania odgrywają kopie zapasowe. Stanowią one bezpieczne, odseparowane odwzorowanie danych i systemów, które umożliwia ich odtworzenie po wystąpieniu incydentu – niezależnie od tego, czy jego źródłem był cyberatak (np. ransomware), awaria infrastruktury, czy błąd ludzki.

W ujęciu NIS 2 oraz planów BCP/DRP kopie zapasowe nie są jedynie techniczną czynnością operacyjną, lecz jednym z fundamentalnych mechanizmów zapewniających możliwość przywrócenia działania kluczowych usług w zakładanym czasie (RTO) i przy akceptowalnej utracie danych (RPO).

Dyrektywa NIS 2 wprost wskazuje zarządzanie kopiami zapasowymi jako element zapewnienia ciągłości działania i odtwarzania po sytuacjach nadzwyczajnych. W tym kontekście pełnią one kilka kluczowych funkcji:

  • stanowią ostatnią linię obrony w przypadku skutecznego ataku, w szczególności wtedy, gdy ransomware zaszyfruje środowisko produkcyjne;
  • umożliwiają techniczną realizację planu DRP, czyli faktyczne odtworzenie systemów zgodnie z przyjętymi założeniami;
  • pozwalają ograniczyć czas niedostępności usług oraz zmniejszyć skalę strat operacyjnych i finansowych;
  • są istotnym dowodem dojrzałości organizacji w oczach regulatora – bez sprawdzonej i testowanej strategii backupowej zapisy dotyczące ciągłości działania pozostają wyłącznie teoretyczne.

W praktyce oznacza to konieczność wdrożenia konsekwentnej i odpornej strategii backupowej: regularnego wykonywania kopii zapasowych, systematycznego testowania ich odtworzenia, właściwego zabezpieczenia repozytoriów (m.in. przed ransomware i nadużyciami uprawnień administracyjnych) oraz pełnej integracji procesu backupowego z planami BCP/DRP. Tylko przy takim podejściu organizacja jest w stanie uruchomić sprawdzony scenariusz przywracania, zamiast improwizować pod presją czasu podczas realnego incydentu.

Źródła:

  1. Dyrektywa (UE) 2022/2555 Parlamentu Europejskiego i Rady z dnia 14 grudnia 2022 r. (NIS 2), https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32022L2555&from=PL
  2. Rozporządzenie wykonawcze Komisji (UE) 2024/2690 z dnia 17 października 2024 r. https://sip.lex.pl/akty-prawne/dzienniki-UE/rozporzadzenie-wykonawcze-2024-2690-ustanawiajace-zasady-stosowania-72389213

Polecamy:

Koszt całkowity zatrudnienia pracownika w 2026 roku - musisz to wiedzieć!

Jak powinno wyglądać szkolenie pracowników w zakre...
Styczeń 2026
29
Czwartek
  • Dzień ustawowo wolny od pracy
  • Remanent początkowy
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce
  2. Dyrektywa NIS 2 – jakie obowiązki czekają małe i średnie firmy?
  3. Jak powinno wyglądać szkolenie pracowników w zakresie cyberbezpieczeństwa?
  4. Audyt bezpieczeństwa – praktyczne podejście do zarządzania ryzykiem
  5. Analiza ryzyka – jakie elementy są konieczne?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Jak powinno wyglądać szkolenie pracowników w zakresie…

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

3. Expo HR: TYLKO! SPRAWDZONE ROZWIĄZANIA DLA HR I BIZNESU!
RODO 2.0 – Ochrona danych osobowych na rozdrożu: modernizacja, deregulacja czy zmiana paradygmatu?
VII FORUM HR CHALLENGE POLAND 2026: Jak HR sprosta wyzwaniom nieustającej transformacji?
Mobile Trends Conference 2026 – Najważniejsze wydarzenie technologiczne nadchodzącego roku
Specjaliści SEO i marketerzy spotkają się w Katowicach - nadchodzi 5. edycja CTRL+GROW! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów