Jej celem jest poprawa odporności oraz skuteczności odpowiedzi na incydenty cybernetyczne w sektorach kluczowych, takich jak energetyka, transport, finanse, zdrowie, czy sektor wodny. NIS-2 rozszerza zakres regulacji, zwiększa wymagania wobec przedsiębiorstw oraz zaostrza sankcje za nieprzestrzeganie przepisów.

Jednym z kluczowych elementów, na które nacisk kładzie dyrektywa NIS-2, jest ochrona danych i związana z nią kopia bezpieczeństwa (backup). W obliczu rosnącej liczby zagrożeń cybernetycznych, takich jak ataki typu ransomware, kopie bezpieczeństwa danych stają się kluczowym elementem polityki ochrony infrastruktury IT. Niniejszy artykuł omawia, jak dyrektywa NIS-2 wpływa na zarządzanie kopiami zapasowymi, oraz jakie są najlepsze praktyki w zakresie backupu, które przedsiębiorstwa powinny wdrażać, aby spełniać wymagania regulacyjne.

Dyrektywa NIS-2 – główne założenia

Dyrektywa NIS-2, w przeciwieństwie do swojej poprzedniczki, zwiększa zakres regulacyjny, obejmując więcej sektorów gospodarki oraz wprowadzając bardziej rygorystyczne wymagania dotyczące zarządzania ryzykiem, raportowania incydentów oraz wdrażania odpowiednich środków technicznych i organizacyjnych. Główne cele dyrektywy obejmują:

1. Zwiększenie odporności na incydenty. Organizacje muszą wdrażać środki minimalizujące ryzyko incydentów cybernetycznych i maksymalizujące zdolność do ich obsługi.
2. Raportowanie incydentów. Przedsiębiorstwa mają obowiązek raportowania poważnych incydentów cybernetycznych do odpowiednich organów nadzoru.
3. Zarządzanie ryzykiem. Organizacje muszą wdrożyć procedury zarządzania ryzykiem, które obejmują monitorowanie, ocenę zagrożeń oraz regularne audyty bezpieczeństwa.

Dyrektywa ta nakłada także obowiązek stosowania odpowiednich procedur dotyczących bezpieczeństwa danych oraz ciągłości działania, z naciskiem na backup jako kluczowy element ochrony danych.

Kopia bezpieczeństwa danych a NIS-2

Kopie bezpieczeństwa danych to fundamentalny element strategii zarządzania ryzykiem cyberbezpieczeństwa. Dyrektywa NIS-2 wprowadza obowiązek wdrażania solidnych środków technicznych i organizacyjnych w celu ochrony danych i infrastruktury krytycznej, w tym również kopii zapasowych.

Wymogi NIS-2 dotyczące kopii zapasowych

Dyrektywa NIS-2 nie definiuje wprost, jakie techniki backupu należy stosować, ale wskazuje na ogólną konieczność wdrożenia adekwatnych środków ochrony danych. Obejmuje to:

• Regularne tworzenie kopii zapasowych. Wymaga się, aby organizacje regularnie tworzyły kopie zapasowe krytycznych danych, zarówno na poziomie infrastruktury IT, jak i danych użytkowników.
• Ochrona kopii zapasowych przed zagrożeniami. Kopie zapasowe muszą być odpowiednio zabezpieczone przed dostępem nieuprawnionych osób oraz przed uszkodzeniami spowodowanymi atakami cybernetycznymi (takimi jak ransomware).
• Odpowiednie przechowywanie kopii. Ważne jest, aby organizacje przechowywały kopie zapasowe w różnych lokalizacjach (geograficznie rozdzielonych), co zabezpiecza przed ryzykiem związanym z fizycznymi uszkodzeniami, takimi jak pożar lub powódź. Zalecanymi praktykami są strategia 3-2-1 (trzy kopie danych, na dwóch różnych nośnikach, z jedną kopią przechowywaną offline) oraz stosowanie mechanizmów backupu w chmurze.
• Testowanie kopii zapasowych. Regularne testowanie odtwarzania danych z kopii zapasowych jest wymagane, aby upewnić się, że proces odzyskiwania działa prawidłowo i że dane są rzeczywiście dostępne w razie potrzeby.

Ochrona przed ransomware

Jednym z głównych zagrożeń, które bezpośrednio wpływa na potrzebę skutecznych kopii zapasowych, jest atak typu ransomware. Ataki te polegają na zaszyfrowaniu danych ofiary i żądaniu okupu za ich odblokowanie. Skuteczne strategie backupu mogą minimalizować skutki takich ataków, pozwalając na szybkie odzyskanie danych z kopii zapasowych bez konieczności płacenia okupu.

Dyrektywa NIS-2 wymaga od organizacji wdrożenia środków chroniących przed atakami ransomware, co obejmuje:

• Szyfrowanie kopii zapasowych. Dane przechowywane w kopiach zapasowych powinny być zaszyfrowane, aby zapobiec ich wykorzystaniu w przypadku kradzieży.
• Backupy offline lub air-gapped. Tworzenie kopii zapasowych, które są odizolowane od sieci (offline), może zabezpieczyć je przed atakami ransomware, które mogą rozprzestrzeniać się w sieci organizacji i zaszyfrować także backupy.

Najlepsze praktyki dotyczące backupu zgodne z NIS-2

Aby spełnić wymagania dyrektywy NIS-2 i zapewnić bezpieczeństwo danych, organizacje powinny wdrażać następujące najlepsze praktyki w zakresie backupu:

1. Stosowanie strategii 3-2-1. Utrzymywanie trzech kopii danych, na dwóch różnych nośnikach, z jedną kopią przechowywaną offline lub w lokalizacji zewnętrznej.
2. Regularne tworzenie kopii zapasowych. Dane powinny być regularnie archiwizowane, zgodnie z polityką bezpieczeństwa organizacji. Częstotliwość backupu zależy od charakteru działalności i krytyczności danych.
3. Odpowiednie narzędzia do zarządzania backupami. Automatyzacja procesów tworzenia i monitorowania kopii zapasowych, z użyciem narzędzi, które integrują się z politykami zgodności, umożliwiając raportowanie i audyty.
4. Testowanie procedur odzyskiwania danych. Organizacje muszą regularnie testować procedury odtwarzania danych, aby upewnić się, że backupy są w pełni funkcjonalne i gotowe do użycia w przypadku awarii lub ataku.
5. Ochrona kopii zapasowych. Kopie zapasowe muszą być odpowiednio chronione zarówno przed zagrożeniami wewnętrznymi, jak i zewnętrznymi. Szyfrowanie, ograniczenie dostępu i przechowywanie offline to kluczowe elementy.

Podsumowanie

Dyrektywa NIS-2 wyznacza nowy standard bezpieczeństwa dla europejskich organizacji, zwracając szczególną uwagę na ochronę danych i kopii zapasowych. Odpowiednia polityka backupu, w tym regularne tworzenie kopii zapasowych, testowanie procedur odzyskiwania oraz zabezpieczanie danych przed atakami, jest kluczowym elementem spełnienia wymagań NIS-2. Przestrzeganie tych wymagań nie tylko pozwala na uniknięcie sankcji, ale także znacząco zwiększa odporność organizacji na incydenty cybernetyczne, w tym ataki typu ransomware.