NIS2 w Polsce. Kto musi się przygotować do nowych przepisów?

Dyrektywa NIS2 nakłada na państwa Unii szereg obowiązków mających na celu zapewnienie odpowiedniego poziomu ochrony infrastruktury krytycznej należącej do organizacji z takich branż jak: energetyka, telekomunikacja, transport, administracja, ochrona zdrowia, bankowość i ubezpieczenia oraz przedsiębiorstwa użyteczności publicznej. Podmioty operujące w tych sektorach gospodarki mogą pełnić rolę tzw. operatorów kluczowych usług cyfrowych (KDU), czyli podmiotów świadczących usługi, które są niezbędne dla funkcjonowania społeczeństwa i gospodarki lub dostawców usług cyfrowych (DSO), czyli takich, które mogą odpłatnie świadczyć usługi cyfrowe drogą elektroniczną na żądanie odbiorcy. Na mocy Dyrektywy i powstałych na jej gruncie przepisów lokalnych obie grupy podmiotów będą musiały się zmierzyć z wyższymi wymaganiami w zakresie cyberbezpieczeństwa i ochrony swoich zbiorów danych, w tym danych osobowych. Chodzi tu między innymi o wdrożenie i utrzymanie skutecznego systemu zarządzania ryzykiem, a jednym z jego elementów powinny być systemy typu: Disaster Recovery. Obowiązki wynikające z NIS2 dotkną też te podmioty, które korzystają z różnych generacji systemów SAP ERP: Systemy te są bowiem powszechnie wykorzystywane w całej Europie przez przedsiębiorstwa i organizacje należące do wymienionych wcześniej sektorów. Siłą rzeczy są więc mocno narażone na cyberataki.

Jak wdrożyć Disaster Recovery dla SAP ECC lub S/4HANA?

Wdrożenie planu Disaster Recovery dla SAP ECC lub S/4HANA to złożony proces, który wymaga specjalistycznej wiedzy i doświadczenia. Firmy mogą samodzielnie wdrożyć plan Disaster Recovery lub zlecić to zadanie zewnętrznej firmie konsultingowej. Niezależnie od tego w jaki sposób powstanie ten plan, procedura jego tworzenia ZAWSZE powinna zawierać następujące kroki:

Analiza ryzyka. Na tym etapie staramy się określić, jakie zdarzenia losowe mogą wystąpić i jaki wpływ mogą mieć na system SAP. Chodzi tutaj np. o określenie prawdopodobieństwa wystąpienia i wielkości wpływu takich zdarzeń na krytyczne funkcje biznesowe, które są obsługiwane przez system SAP.

Identyfikacja celów RPO i RTO: Ten etap to określenie dwóch podstawowych wskaźników Disaster Recovery: RPO i RTO. Wskaźnik Recovery Point Objective (RPO) w praktyce sprowadza się do odpowiedzi na pytanie: jaką porcję utraconych danych jesteśmy w stanie zaakceptować, zaś wskaźnik RTO (Recovery Time Objective) określna maksymalny czas w jakim środowisko IT lub jej krytyczne funkcje biznesowe muszą zostać przywrócone do pełnej użyteczności.

Technologia i usługi IT. W tym kroku spośród różnych dostępnych rozwiązań wybieramy takie technologie i usługi do tworzenia kopii zapasowych danych i replikowania infrastruktury SAP, które gwarantują nam niezbędny poziom bezpieczeństwa oraz akceptowalny poziom kosztów.

Testowanie i aktualizacje. Plan i systemy Disaster Recovery nie są tworzone raz na zawsze. Stworzenie harmonogramu testów systemu Disaster Recovery, regularne aktualizacje oprogramowania i procedur bezpieczeństwa pozwolą uniknąć lub przynajmniej zminimalizować ryzyko potencjalnych strat wynikających z cyberataków czy wycieków danych.

Podstawowe korzyści z wdrożenia planu Disaster Recovery.

Wdrożenie planu DR dla systemów SAP S/4HANA jest niezbędnym krokiem dla organizacji, które chcą zapewnić ciągłość działania i bezpieczeństwo swoich danych w obliczu rosnącego zagrożenia cyberatakami. Dyrektywa NIS2 stawia wyraźne wymagania w tym zakresie, co czyni wdrożenie planu DR jeszcze bardziej pilnym. Jednak konieczność opracowania i wdrożenia planu Disaster Recovery to nie tylko rodzaj polisy ubezpieczeniowej na wypadek zdarzeń, które niekoniecznie dotkną każdą organizację. Plan DR to także szereg korzyści i to one przede wszystkim powinny stać u podstaw o decyzji wdrożenia tego typu procesów w organizacji. Najważniejsze z tych korzyści to:

• Zwiększenie odporności na cyberataki.
• Zmniejszenie ryzyka utraty danych przy awariach sprzętu, serwerów, na których jest zainstalowany SAP w wersji produkcyjnej.
• Minimalizacja lub wręcz brak przestojów wynikających z konieczności usuwania skutków awarii czy ataków.
• Zwiększenie zaufania klientów i partnerów.
• Poprawa reputacji organizacji.

Disaster Recovery dla S/4HANA w oparciu o rozwiązania Google Cloud Platform.

W poprzednich akapitach, przy omawianiu niezbędnych elementów planu Disaster Recovery pisaliśmy o kwestiach technologicznych. W przypadku użytkowników systemów SAP jedną z możliwości jest skorzystanie z rozwiązań wchodzących w skład oferty Google Cloud Platform. Niezależnie od tego czy mamy do czynienia z instalacją systemu SAP we własnym środowisku klienta czy jest to system S/4HANA udostępniany w ramach oferty RISE with SAP, w obu przypadkach możemy zaoferować środowisko i konfigurację pod serwery Disaster Recovery na infrastrukturze Google Cloud Platform, w pełni zgodne z wymaganiami NIS2. Mogą to być np. takie rozwiązania jak:

• Google Cloud Disaster Recovery for SAP - kompleksowe rozwiązanie Disaster Recovery dla systemów SAP S/4HANA na GCP.
• Google Cloud VMware Engine – środowisko do uruchamiania maszyn wirtualnych VMware na GCP
• Google Cloud Storage - bezpieczne miejsce przechowywania kopii zapasowych danych z SAP.

Jakie są korzyści z wdrożenia Disaster Recovery dla SAP ECC lub S/4HANA?

Jak już wspomniano, plan Disaster Recovery to sporo korzyści. Jak to wygląda w przypadku, gdy korzystamy z rozwiązań dostępnych na Google Cloud Platform (GCP)? Pisząc o korzyściach myślimy przede wszystkim o takich cechach jak: skalowalność i elastyczność,  wysoka dostępność techniczna i cenowa, bezpieczeństwo oraz łatwość obsługi. Dodatkowe zalety to:  

• Możliwość korzystania z globalnej infrastruktury Google oraz infrastruktury serwerowej Google w Polsce, co może być istotne dla tych organizacji, które chcą utrzymywać dane na terenie naszego kraju/Unii Europejskiej.
• Dostęp do najnowocześniejszych technologii i możliwość współpracy z ekspertami Google.
• Mniejszy ślad węglowy: Google kładzie duży na nacisk na przyjazne dla środowiska rozwiązania, np. w zakresie pozyskiwania energii elektryczne z odnawialnych źródeł.

Podsumowując, wdrożenie systemu Disaster Recovery dla SAP ECC lub S/4HANA to niezbędny element w zapewnieniu bezpieczeństwa danych i ciągłości działania każdej organizacji, która korzysta ze wspominanych systemów IT, Jest to także jeden z fundamentów Cyfrowej Transformacji przedsiębiorstw.  

Zapraszamy do kontaktów – a na różne pytania dotyczące NIS2, Disaster Recovery, polityki kopii bezpieczeństwa (Backup) czy przystosowania systemów SAP do wymagań RODO możemy znaleźć odpowiedzi razem z Państwem.