Od października 2024 roku dyrektywa NIS2 (Network and Information Security Directive 2) stanowi prawo wiążące w Polsce, a jej pełne egzekwowanie przez Urząd Komunikacji Elektronicznej i Inspektoraty branżowe rozpoczyna się w 2026 roku. W przeciwieństwie do pierwszej wersji dyrektywy, NIS2 obejmuje szerszy katalog podmiotów: od energetyki i zdrowia, po dostawców usług cyfrowych, platformy e-commerce, przedsiębiorstwa pocztowe, a nawet wybrane podmioty z sektora MŚP. Co to oznacza dla procedur tworzenia kopii zapasowych? Wszystko. Backup przestaje być kwestią wyboru lub „dobrych praktyk IT". Staje się prawnym wymogiem, którego brak może skutkować karami do 10 mln EUR lub 2% rocznego obrotu globalnego, a w przypadku podmiotów kluczowych – również odpowiedzialnością osobistą członków zarządu. Jeśli chcesz zweryfikować, czy obecna architektura ochrony danych Twojej firmy spełnia te wymogi, wykorzystaj nasz Kreator Procedury Backupu. W tym artykule przeanalizujemy 5 konkretnych wymagań NIS2 dla backupu, omówimy odpowiedzialność zarządu oraz damy Ci checklistę gotową do audytu wewnętrznego.
Co NIS2 mówi wprost o backupie?
Artykuł 21 ust. 2 lit. d) dyrektywy NIS2 nakłada obowiązek wdrożenia „środków zarządzania incydentami, ciągłości działania oraz zarządzania kryzysowego, w tym systemów tworzenia kopii zapasowych i zarządzania kryzysowego". To nie jest sugestia. To wymóg minimalny. Unia Europejska jasno komunikuje, że odporność cyfrowa (cyber resilience) to fundament gospodarki, a backup jest jego najważniejszym filarem operacyjnym. W praktyce oznacza to, że inspektorzy audytowi nie będą pytać „czy macie backup?". Zapytają: „pokażcie udokumentowaną politykę, harmonogram testów, dowody immutability i raporty z przywracania". Jeśli dokumentacja nie istnieje lub jest nieaktualna, firma traci zgodność.
Wiele warszawskich firm wciąż traktuje backup jako „zadanie dla administratora". NIS2 zmienia paradygmat: to zadanie dla zarządu i rady nadzorczej, którzy muszą zapewnić odpowiednie budżety, szkolenia i audyty. Więcej na temat odpowiedzialności kadry kierowniczej znajdziesz w artykule o backupie serwera.
5 konkretnych wymagań NIS2 dla backupu
Analiza wytycznych ENISA oraz polskich rozporzezań wykonawczych wskazuje na pięć obszarów, które muszą być udokumentowane i technicznie wdrożone:
| Wymóg NIS2 | Co oznacza w praktyce | Standard weryfikacji |
|---|---|---|
| 1. Zdefiniowane RPO i RTO | Dokumentacja maksymalnego czasu utraty danych i przestoju | Polityka DRP zatwierdzona przez zarząd |
| 2. Immutable storage | Kopie odporne na modyfikację/usunięcie przez ustalony czas | S3 Object Lock / WORM / Air-gap |
| 3. Regularne testy przywracania | Dowody, że backup faktycznie działa w awarii | Protokoły testów min. raz na kwartał |
| 4. Szyfrowanie kopii | Ochrona danych w spoczynku i w tranzycie | AES-256, klucze zarządzane zewnętrznie |
| 5. Zarządzanie ryzykiem dostawców | Weryfikacja SLA i compliance dostawców IT | Umowy powierzenia + audyty roczne |
„NIS2 nie wymaga najdroższego rozwiązania. Wymaga udokumentowanego, testowanego i spójnego procesu. Firma z 20 pracownikami, która ma prosty harmonogram 3-2-1-1-0 i logi z testów, jest bardziej zgodna niż korporacja z milionowym budżetem, ale bez procedur." — Wytyczne Urzędu Komunikacji Elektronicznej, Wdrażanie NIS2 w MŚP
Kto odpowiada za backup według NIS2?
To kluczowe rozróżnienie, które zmienia kulturę organizacyjną firm w Polsce. NIS2 przenosi odpowiedzialność z działu IT na organy zarządzające (zarząd, właściciele, rada nadzorcza). Oznacza to, że prezes lub właściciel MŚP nie może już powiedzieć „to sprawa informatyka". Musi:
- Zatwierdzić budżet na wdrożenie i utrzymanie systemu backupu.
- Uczestniczyć w specjalistycznych szkoleniach z zakresu cyberbezpieczeństwa (wymóg art. 20 NIS2).
- Otrzymywać regularne raporty o stanie zgodności, wynikach testów i incydentach.
- Ponosić odpowiedzialność administracyjną (a w skrajnych przypadkach karną) za rażące zaniedbania.
Dla wielu firm to sygnał do formalizacji procesów. Backup musi mieć właściciela biznesowego, nie tylko technicznego. Jeśli szukasz sposobu, jak wdrożyć te procedury w sposób zgodny z zasadą 3-2-1, przeczytaj artykuł o wdrożeniu zasady 3-2-1 w MŚP.
Jak audytorzy sprawdzają zgodność backupu z NIS2?
Kontrola nie polega na przeglądaniu konfiguracji Veeam lub Acronis. Audytorzy patrzą na cykl życia dokumentacji. Typowy zakres weryfikacji:
- Polityka bezpieczeństwa informacji: Czy zawiera rozdział o backupie? Czy jest zaktualizowana w ciągu ostatnich 12 miesięcy?
- Rejestr ryzyk: Czy utrata danych jest zidentyfikowana? Czy oszacowano wpływ finansowy i operacyjny?
- Dowody testów: Protokoły z przywracania, zrzuty ekranu z sukcesu, podpisy odpowiedzialnych.
- Umowy z dostawcami: Czy SLA gwarantuje RPO/RTO? Czy dostawca ma certyfikaty ISO 27001?
- Szkolenia: Dowody ukończenia szkoleń przez kadrę zarządzającą i pracowników IT.
Przygotowanie do audytu to nie „sprzątanie przed inspekcją". To ciągły proces monitorowania i dokumentowania. Nasz Kreator Procedury Backupu automatycznie generuje szkielet dokumentu DRP (Disaster Recovery Plan), który możesz uzupełnić logami i dostosować do wymogów NIS2. Pamiętaj, że backup to dopiero początek compliance. Pełna zgodność wymaga także szyfrowania, zarządzania dostępem i zgodności z RODO, co szczegółowo omawiamy w artykule o RODO i kopiach zapasowych.
Skala wdrożeń NIS2 w polskich firmach (2025-2026)
