Plan ciągłości działania i Disaster Recovery — jak przygotować firmę na najgorsze

Piątek, godzina 16:20. Księgowa próbuje otworzyć plik z fakturami i dostaje komunikat błędu. Klikając dalej, odkrywa, że wszystkie dokumenty na dysku firmowym mają nowe rozszerzenie i nie dają się otworzyć. W tym samym czasie kierownik IT dostaje alert: serwer przestaje odpowiadać. To ransomware. Atak rozpoznano. Backup jest. Ale nikt nie wie, jak szybko można te dane przywrócić, kto jest odpowiedzialny za co i czy backup w ogóle działa, bo ostatni test był rok temu.

Scenariusz ten rozgrywa się realnie w polskich firmach. Według badań University of Texas 93 procent firm, które doświadczyły poważnej utraty danych bez planu odtwarzania, kończyło działalność w ciągu roku. Posiadanie aktualnego, przetestowanego planu ciągłości działania i planu odtwarzania po awarii to różnica między przestojem mierzonym w godzinach a katastrofą operacyjną mierzoną w tygodniach.

BCP, DRP, backup — trzy warstwy tej samej ochrony

Te trzy pojęcia są często używane wymiennie, ale opisują różne warstwy ochrony. Rozumienie tych różnic jest kluczem do skutecznego planowania.

Backup to kopia danych — punkt, do którego można wrócić. Backup sam w sobie nie wystarczy, jeśli sprzęt jest zniszczony albo infrastruktura sieciowa jest niedostępna. To jak polisa ubezpieczeniowa, która chroni przed stratą, ale nie mówi, jak szybko uruchomisz na nowo swój dom.

Disaster Recovery Plan, czyli DRP, to plan i infrastruktura przywracania działania systemów IT po incydencie. Obejmuje dane, sprzęt, sieć i konkretne procedury: kto robi co, w jakiej kolejności i w jakim czasie. To odpowiedź na pytanie: ile czasu potrzebujemy, żeby wrócić do normalnego działania?

Business Continuity Plan, czyli BCP, to plan na poziomie biznesu — jak firma utrzymuje krytyczne procesy takie jak sprzedaż, obsługa klientów, logistyka i finanse, gdy IT jeszcze nie wstało. BCP to odpowiedź na pytanie: jak działamy, gdy systemy są niedostępne? Może obejmować procedury ręczne, komunikację z klientami, przeniesienie pracy do alternatywnej lokalizacji.

Analogia, która to wyjaśnia: backup to sejf z dokumentami. DRP to instrukcja, jak dostać się do sejfu, otworzyć go i wyciągnąć potrzebne dokumenty. BCP to plan na to, co robić, dopóki nie dostaniemy się do sejfu — jak przyjmować zamówienia telefonicznie, jak poinformować klientów o przestoju, gdzie znaleźć zastępczy komputer.

RTO i RPO — dwa najważniejsze parametry planu

Podstawą każdego planu DRP są dwa parametry, które musisz zdefiniować dla każdego krytycznego systemu.

RTO, czyli Recovery Time Objective, to maksymalny akceptowalny czas przestoju. Przez ile godzin lub dni firma może działać bez danego systemu, zanim straty będą nieakceptowalne? Dla systemu zamówień sklepu e-commerce może to być 2 godziny. Dla archiwum dokumentów księgowych — 24 godziny.

RPO, czyli Recovery Point Objective, to maksymalna akceptowalna utrata danych wyrażona w czasie. Ile danych możemy stracić? Jeśli backup robimy raz dziennie nocą i doszło do awarii o godzinie 16:00, tracimy cały dzień pracy. Czy to akceptowalne? Dla firmy handlowej prawdopodobnie nie — potrzeba backupu co godzinę lub w czasie rzeczywistym.

Kluczowa zasada: RTO i RPO muszą wynikać z analizy biznesowej, nie z możliwości technicznych. Zacznij od pytania do właściciela firmy: jakie straty ponosimy za każdą godzinę przestoju i ile danych jesteśmy w stanie odtworzyć ręcznie? Odpowiedzi na te pytania definiują wymagania techniczne. Rozwiązania backupowe klasy Veeam, Acronis lub Xopero pozwalają osiągnąć RPO nawet poniżej 15 minut dzięki ciągłej ochronie danych, co ma kluczowe znaczenie dla firm z dużą ilością transakcji.

Jak zbudować plan — 6 kroków dla firmy MŚP

Krok 1 — Inwentaryzacja krytycznych procesów: Zidentyfikuj pięć do dziesięciu procesów, bez których firma nie może działać. Dla firmy handlowej będzie to: przyjmowanie zamówień, dostęp do systemu magazynowego, wystawianie faktur, dostęp do danych kontaktowych klientów. Dla kancelarii: dostęp do akt, e-mail, system fakturowania.

Krok 2 — Analiza BIA, czyli Business Impact Analysis: Dla każdego krytycznego procesu określ RTO, RPO, zasoby niezbędne do działania oraz kto jest odpowiedzialny za odtworzenie.

Krok 3 — Ocena scenariuszy ryzyka: Nie chodzi o opracowanie planu na każdą możliwą katastrofę — chodzi o identyfikację trzech do pięciu najbardziej prawdopodobnych zagrożeń. Dla większości MŚP będą to: atak ransomware, awaria głównego serwera lub dysku, utrata danych przez błąd ludzki, niedostępność kluczowego pracownika z powodu choroby lub odejścia z firmy, awaria dostawcy usług chmurowych.

Krok 4 — Zdefiniuj strategię odtwarzania: Dla każdego scenariusza określ konkretną strategię. Czy posiadasz serwer zapasowy? Serwer backup lub NAS z replikacją może stanowić punkt failover dla krytycznych systemów. Czy korzystasz z chmury jako zapasowej lokalizacji danych?

Krok 5 — Napisz procedury krok po kroku: Plan musi być na tyle prosty i konkretny, że osoba bez specjalistycznej wiedzy IT będzie w stanie go wykonać. Oznacza to listy kontrolne, konkretne numery telefonów, hasła dostępowe do kopii zapasowych przechowywane w bezpiecznym miejscu — nie tylko w głowie jednej osoby — oraz kontakty do dostawców wsparcia IT.

Krok 6 — Testuj, nie tylko pisz: Plan ciągłości działania, który nie był testowany, to fikcja. Zacznij od prostego ćwiczenia stołowego — spotkania zespołu, na którym symulujecie scenariusz awarii bez faktycznego odłączania systemów. Następnie przeprowadź pełny test odtwarzania: faktyczne przywracanie danych z backupu, mierzone z zegarkiem. Audyt cyberbezpieczeństwa pomoże sprawdzić, czy Twój plan DRP jest realnie wykonalny w sytuacji kryzysowej.

BCP a KSC i NIS2 — obowiązek regulacyjny

Nowelizacja ustawy o KSC z 3 kwietnia 2026 roku wprost wskazuje zarządzanie ciągłością działania — wraz z kopiami zapasowymi i odtwarzaniem po awarii — jako wymagany środek organizacyjny dla podmiotów kluczowych i ważnych. W praktyce oznacza to: plan musi istnieć w postaci dokumentu, musi być aktualny i musi być możliwe udowodnienie audytorowi, że jest przetestowany.

Terminy, które warto znać: 7 maja 2026 — start procedury samoidentyfikacji podmiotów KSC. 3 października 2026 — termin wpisu do wykazu. 3 kwietnia 2027 — koniec okresu przejściowego na wdrożenie systemu zarządzania ryzykiem, w tym BCP i DRP. 3 kwietnia 2028 — termin pierwszego obowiązkowego audytu zewnętrznego.

Podsumowanie

Dobry plan ciągłości działania to nie dokument do szuflady. To zhierarchizowany zestaw procedur, który w krytycznym momencie zastępuje panikę spokojnym działaniem według schematu. Firmy z przetestowanym BCP i DRP redukują średni koszt incydentu o 2,66 miliona dolarów w porównaniu do firm bez planu — to dane z raportu IBM 2025. Nie jest to abstrakcja, lecz realna różnica między przestojem na kilka godzin a bankructwem.

Nie wiesz od czego zacząć? Skontaktuj się z naszym zespołem — pomożemy zaplanować strategię backup i odtwarzania dopasowaną do Twojej infrastruktury i wymogów regulacyjnych.