W świecie NIS 2 organizacja nie jest oceniana po tym, czy potrafi uniknąć incydentów.
Jest oceniana po tym, jak szybko i skutecznie potrafi się podnieść, gdy te incydenty nastąpią.
Wytyczne ENISA w rozdziale 4 „Business Continuity and Crisis Management” pokazują bardzo jasno: odporność operacyjna to fundament cyberbezpieczeństwa. A kluczowymi narzędziami są BCP, DRP, regularne testy i proces zarządzania kryzysowego.
Poniżej prezentujemy następny wpis z cyklu NIS 2, skupiony na kluczowych wymaganiach ENISA dotyczących BCP, DRP i zarządzania kryzysowego.
1. BCP i DRP – plan na zły dzień, napisany zanim nadejdzie
Każda organizacja objęta NIS 2 musi posiadać dwa uzupełniające się dokumenty:
Business Continuity Plan (BCP) – opisujący, jak organizacja utrzymuje lub przywraca kluczowe procesy biznesowe, kiedy dochodzi do zakłócenia.
To „instrukcja działania”, gdy sytuacja dotyczy całej organizacji, klientów, procesów i ludzi.
Disaster Recovery Plan (DRP) – skupiony stricte na technologii: systemach, danych, infrastrukturze i aplikacjach.
To techniczna mapa odtwarzania środowisk IT, serwerów, aplikacji, baz danych, zasobów chmurowych.
ENISA bardzo mocno podkreśla, że oba plany:
- muszą wynikać z oceny ryzyka,
- muszą obejmować wszystkie rodzaje zakłóceń – nie tylko incydenty cyber,
- powinny być oparte na uznanych standardach, takich jak ISO 22301, ISO 22313 i NIST SP 800-34,
- muszą zakładać współpracę między IT, biznesem, bezpieczeństwem i kierownictwem.
BCP i DRP mają jedno wspólne założenie: przywrócenie normalności. Różnią się jedynie poziomem, na którym działają – biznesowym i technicznym.
2. Co powinien zawierać plan
Wytyczne ENISA jasno wskazują elementy, które musi zawierać dobry, kompletny BCP/DRP:
Cel, zakres i odbiorcy planu
– czyli kiedy, dla kogo i w jakich sytuacjach plan się uruchamia.
Brak jasności na tym etapie powoduje chaos – dlatego to pierwszy element, który ENISA wymaga precyzyjnie zdefiniować.
Role i odpowiedzialności
– kto decyduje o aktywacji planu,
– kto koordynuje działania,
– kto odpowiada za komunikację,
– kto przywraca systemy i procesy.
W organizacji nie może być wątpliwości, „kto jest dowódcą”.
Kontakty i kanały komunikacji
– również te alternatywne na wypadek awarii głównych narzędzi (VPN, telefonia VoIP, intranet).
ENISA zaleca tworzenie równoległych łańcuchów komunikacji.
Warunki aktywacji i wygaszenia planu
– czyli konkretne progi – liczby lub zdarzenia – które sprawiają, że plan musi wejść w życie.
To znacznie ogranicza ryzyko zwłoki lub niejednoznacznych decyzji.
Priorytetowy porządek odtwarzania operacji
– najpierw to, co krytyczne dla bezpieczeństwa i stabilności organizacji,
– potem zależne procesy i reszta usług.
Plany przywracania dla poszczególnych usług (runbooki)
– z jasno określonymi celami odzyskiwania i procedurami krok po kroku.
Zasoby
– kadrowe, infrastrukturalne, licencyjne i fizyczne, które muszą być dostępne,
– w tym zapasowe lokalizacje pracy, sprzęt awaryjny, awaryjne zasilanie.
Tryb awaryjny
– jasny opis: jak długo możemy pracować „na pół gwizdka”, w jakich warunkach i co jest niedopuszczalne.
ENISA zaleca też prowadzenie dziennika aktywacji planu – zapisując kroki, decyzje, czasy reakcji oraz pełny czas odtworzenia.
3. BIA i cele odzyskiwania – liczby, które prowadzą decyzje
Business Impact Analysis (BIA) jest podstawą BCP i DRP.
To moment, w którym organizacja zamienia „może się coś stać” na konkretne parametry:
RTO (Recovery Time Objective)
– maksymalny czas niedostępności procesów/usług, po którym organizacja zaczyna ponosić istotne straty.
RPO (Recovery Point Objective)
– akceptowalna utrata danych, liczona w jednostkach czasu.
SDO (Service Delivery Objective)
– minimalny poziom działania w trybie zastępczym, który pozwala utrzymać ciągłość operacyjną.
MAO/MTPD (Maximum Acceptable Outage)
– granica, po której dalsza przerwa staje się katastrofalna.
Te metryki nie są dla audytora ani regulatora – są dla zarządu i operacji.
To one determinują:
- kolejność odtwarzania usług,
- dobór redundancji,
- potrzebne zasoby,
- a nawet budżet na inwestycje w odporność.
ENISA podkreśla: BIA i ocena ryzyka muszą być spójne – i muszą się wzajemnie zasilać.
4. Kopie zapasowe i redundancja – odporność zamiast heroizmu
ENISA wyróżnia dwa kluczowe obszary:
Backup – inteligentny, przetestowany, zabezpieczony
Plan kopii zapasowych musi określać:
- czasy odzyskiwania i kompatybilność z RTO/RPO,
- kompletność danych (w tym konfiguracje i dane z chmury),
- separację kopii (offsite/offline, różne lokalizacje i media),
- ochronę dostępu (kontrola i szyfrowanie),
- retencję zgodną z przepisami i ryzykiem,
- procedury odtworzeniowe.
Dobra praktyka to nie tylko zasada 3-2-1, ale także:
- testy przywracania,
- kontrole integralności,
- scenariusze „patient zero”,
- ochrona przed ransomware (immutable backups, offline backups).
Redundancja – zasoby zapasowe, nie zapasowe życzenia
Redundancja dotyczy nie tylko serwerów:
ENISA obejmuje nią także:
- alternatywne połączenia sieciowe,
- zapasowe lokalizacje pracy,
- sprzęt awaryjny,
- rotacje ról i plan zastępstw,
- komunikację awaryjną,
- zapasowe źródła zasilania.
Kluczowe jest to, by poziom redundancji był uzasadniony BIA, a nie intuicją.
5. Testy i przeglądy – plan działa tylko wtedy, gdy był ćwiczony
To jedna z najważniejszych części wytycznych.
ENISA mówi wprost: plany muszą być testowane i aktualizowane co najmniej raz w roku.
Dojrzałe organizacje stosują miks scenariuszy:
- tabletop exercises – z udziałem zarządu,
- symulacje techniczne – w tym testy failover do ośrodków zapasowych,
- testy przywracania kopii – z udziałem właścicieli procesów,
- testy komunikacyjne – czy wszyscy wiedzą, gdzie i jak działać bez głównych narzędzi.
Po każdym teście:
- aktualizujemy plan,
- przypisujemy działania korygujące,
- informujemy zespoły,
- włączamy wnioski do BIA, DRP, IR i oceny ryzyka.
Ważne: w testach powinni uczestniczyć również dostawcy.
6. Crisis management – kiedy incydent staje się kryzysem
ENISA rozróżnia incydent od kryzysu.
Kryzys to moment, gdy wpływ przekracza progi akceptacji, a decyzje operacyjne muszą przejść w tryb strategiczny.
Organizacja powinna określić:
- kryteria ogłoszenia kryzysu (krytyczność aktywów, rozległość wpływu, długotrwała niedostępność, reputacja, presja regulatorów, APT),
- skład i tryb pracy zespołu kryzysowego,
- alternatywne kanały komunikacji,
- zasady komunikacji z organami nadzorczymi i CSIRT,
- scenariusze aktualizacji komunikatów,
- integrację z IR i BCP – aby decyzje strategiczne nie blokowały procesów odzyskiwania.
Kryzys wymaga innego poziomu komunikacji, innego tempa działania i innego trybu podejmowania decyzji.
7. Łączenie klocków: IR, BCP, DRP i CSIRT
ENISA akcentuje spójność procesów.
W praktyce wygląda to tak:
- wykrycie zdarzenia uruchamia klasyfikację (IR),
- klasyfikacja decyduje, czy w grę wchodzi także BCP,
- gdy incydent przekracza progi, włącza się zarządzanie kryzysowe,
- raportowanie do CSIRT musi być zsynchronizowane z komunikacją kryzysową i RODO,
- a wnioski po zdarzeniu zasilają:
– ocenę ryzyka,
– BIA,
– DRP,
– procedury IR,
– polityki bezpieczeństwa.
To zamknięta pętla doskonalenia.
8. Krótka checklista startowa
- Czy masz aktualny BCP i DRP powiązany z RTO, RPO, SDO i MAO z BIA?
- Czy prowadzisz dziennik aktywacji planów i potrafisz wykazać czas przywrócenia?
- Czy kopie są izolowane logicznie lub fizycznie i testujesz przywracanie?
- Czy masz alternatywne łącza, zasilanie i kanały komunikacji?
- Czy testujesz scenariusze kryzysowe z zarządem i dostawcami przynajmniej raz w roku?
- Czy masz zdefiniowane progi kryzysowe i gotowe szablony komunikatów?
Ciągłość działania w NIS 2 to nie katalog technologii, ale układ nerwowy organizacji. BIA daje liczby, BCP i DRP wyznaczają drogę, backupy i redundancja dostarczają mięśnie, a zarządzanie kryzysowe trzyma całość w ryzach, gdy ciśnienie rośnie. Im wcześniej to wszystko połączysz i przetestujesz, tym bardziej przewidywalny będzie Twój czas powrotu do normalnej pracy.
Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!