Drie harde schijven in driehoeksformatie op donker bureau, met twee USB-sticks en een cloudopslagapparaat, stalen blauwtinten met amber accent.

Wat is de 3-2-1 back-upregel?

De 3-2-1 back-upregel is een bewezen strategie voor gegevensbeveiliging waarbij je drie kopieën van je data bewaart, op twee verschillende opslagmedia, waarvan één kopie zich op een externe locatie bevindt. Deze aanpak zorgt ervoor dat je altijd een werkende back-up hebt, ook als een locatie of opslagmedium uitvalt door brand, diefstal, technisch falen of een cyberaanval. In dit artikel beantwoorden we de meest gestelde vragen over de 3-2-1 back-upstrategie, van de praktische uitvoering tot de verplichtingen onder de NIS2-wetgeving.

Hoe werkt de 3-2-1 back-upregel in de praktijk?

De 3-2-1 back-upregel werkt als volgt: je bewaart drie kopieën van je gegevens (de originele data plus twee back-ups), slaat deze op op twee verschillende soorten opslagmedia, en zorgt ervoor dat één kopie zich op een externe locatie bevindt, los van je primaire omgeving. Dit principe beschermt je tegen vrijwel elk scenario van dataverlies.

In de praktijk ziet dit er voor een gemiddelde organisatie zo uit:

  • Kopie 1: De actieve, werkende data op je primaire server of werkstation
  • Kopie 2: Een lokale back-up op een NAS-apparaat, externe schijf of secundaire server binnen hetzelfde kantoor
  • Kopie 3: Een offsite back-up, bijvoorbeeld in een cloudomgeving of op een fysieke locatie elders

Het sleutelwoord is spreiding. Door de drie kopieën bewust te verdelen over verschillende media en locaties, verklein je de kans dat één incident alle back-ups tegelijk treft. Een brand op kantoor verwoest misschien kopie 1 en 2, maar kopie 3 in de cloud blijft intact. Een ransomware-aanval die je lokale netwerk versleutelt, kan een geïsoleerde cloudback-up niet bereiken als die verbinding correct is beveiligd.

De kracht van de 3-2-1 back-upregel zit in de eenvoud: het is een duidelijk, controleerbaar kader dat je kunt toepassen ongeacht de omvang van je organisatie.

Welke opslagmedia zijn geschikt voor een 3-2-1 back-upstrategie?

Voor een effectieve 3-2-1 back-upstrategie zijn interne harde schijven of SSD’s, NAS-systemen (Network Attached Storage), externe harde schijven, tapemedia en cloudopslag de meest gebruikte opslagmedia. De twee media in de regel moeten echt van elkaar verschillen, zodat een defect in het ene type geen invloed heeft op het andere.

Lokale opslagopties

Een NAS-apparaat is een populaire keuze als tweede kopie: het is snel toegankelijk, schaalbaar en biedt mogelijkheden voor automatische back-ups. Externe harde schijven zijn betaalbaar en eenvoudig te gebruiken, maar zijn gevoeliger voor fysieke schade en menselijke fouten. Tapeopslag is minder gangbaar voor kleinere organisaties, maar wordt in grotere omgevingen nog steeds gebruikt vanwege de hoge opslagcapaciteit en lange levensduur.

Cloudopslag als offsite back-up

Cloudopslag is tegenwoordig de meest praktische invulling van de offsite-kopie. Diensten als Microsoft Azure Backup, Amazon S3 of gespecialiseerde back-upplatforms bieden versleuteling, automatische replicatie en geografische spreiding. Een belangrijk aandachtspunt: zorg dat de cloudback-up niet rechtstreeks gekoppeld is aan je primaire netwerk. Een aanvaller die toegang heeft tot je omgeving, kan anders ook de cloudback-up bereiken en versleutelen of verwijderen.

De keuze van media hangt af van je herstelsnelheid (RTO), de hoeveelheid data die je maximaal mag verliezen (RPO) en het budget. Een combinatie van een lokale NAS voor snelle herstelacties en een cloudomgeving voor offsite bescherming is voor veel organisaties de meest evenwichtige aanpak.

Wat zijn de grootste risico’s zonder een 3-2-1 back-upstrategie?

Zonder een 3-2-1 back-upstrategie loop je het risico dat één incident, of dat nu ransomware, hardware-uitval, brand of menselijke fout is, leidt tot permanent en volledig dataverlies. Organisaties zonder gestructureerde back-upbeveiliging zijn kwetsbaar voor langdurige uitval, financiële schade en reputatieschade die soms onherstelbaar is.

De meest voorkomende risico’s zijn:

  • Ransomware: Aanvallers versleutelen niet alleen je primaire data, maar richten zich steeds vaker ook op lokale back-ups. Zonder een geïsoleerde offsite-kopie heb je geen hersteloptie zonder losgeld te betalen.
  • Hardware-uitval: Harde schijven hebben een beperkte levensduur. Als je enige back-up op hetzelfde apparaat staat als je originele data, verlies je alles bij een schijfdefect.
  • Menselijke fouten: Per ongeluk verwijderde bestanden of overschreven data zijn een van de meest voorkomende oorzaken van dataverlies. Zonder meerdere back-upversies is herstel onmogelijk.
  • Fysieke calamiteiten: Brand, overstroming of diefstal kan een complete kantooromgeving treffen. Alleen een offsite-kopie overleeft zo’n scenario.
  • Geen getest herstelproces: Organisaties die wel back-ups maken maar nooit testen, ontdekken vaak pas tijdens een crisis dat de back-up corrupt of onvolledig is.

De financiële en operationele gevolgen van dataverlies zijn aanzienlijk. Denk aan stilstaande processen, verloren klantdata, juridische aansprakelijkheid en herstelkosten die snel in de tienduizenden euro’s lopen. Een solide back-upstrategie is daarmee niet alleen een technische maatregel, maar een bedrijfskritische investering.

Is de 3-2-1 back-upregel voldoende voor moderne cyberdreigingen?

De 3-2-1 back-upregel biedt een sterke basis, maar is op zichzelf niet altijd voldoende voor de meest geavanceerde moderne dreigingen. Aanvallers die zich richten op back-upinfrastructuur, of malware die langere tijd sluimert voordat ze actief worden, vragen om uitbreidingen op het klassieke 3-2-1 model.

Een veelgebruikte uitbreiding is de 3-2-1-1-0 regel, waarbij de extra “1” staat voor één offline of air-gapped kopie (volledig losgekoppeld van elk netwerk) en de “0” staat voor nul fouten bij herstelverificatie. Een air-gapped back-up is onbereikbaar voor ransomware, zelfs als een aanvaller volledige toegang heeft tot je netwerkomgeving.

Andere aanvullende maatregelen die de weerbaarheid vergroten:

  • Immutable storage: Back-ups die gedurende een ingestelde periode niet kunnen worden gewijzigd of verwijderd, ook niet door beheerders.
  • Langere retentieperiodes: Sommige malware blijft weken of maanden inactief. Back-ups van slechts enkele dagen zijn dan onbruikbaar als herstelpunt.
  • Versleuteling van back-ups: Zowel tijdens transport als in rust, zodat gestolen back-updata niet bruikbaar is voor een aanvaller.
  • Toegangsbeheer: Beperk wie back-ups kan beheren of verwijderen via strikte rechtenstructuren en multi-factorauthenticatie.

De 3-2-1 back-upregel blijft een essentieel fundament, maar organisaties die te maken hebben met gevoelige data of een verhoogd risicoprofiel, doen er goed aan dit fundament verder uit te bouwen.

Hoe vaak moet je een back-up testen om zeker te zijn van herstel?

Je moet back-ups minimaal één keer per kwartaal testen, maar voor kritieke systemen geldt dat maandelijkse of zelfs wekelijkse herstelproeven de voorkeur verdienen. Een back-up die nooit is getest, biedt geen garantie op herstel, ongeacht hoe zorgvuldig de back-upstrategie is opgezet.

Testen betekent niet alleen controleren of de back-up bestaat, maar daadwerkelijk het herstelproces doorlopen. Dit omvat:

  1. Hersteltest in een geïsoleerde omgeving: Zet de back-up terug op een testserver of in een sandbox, zodat je productiesystemen niet worden verstoord.
  2. Verificatie van data-integriteit: Controleer of de herstelde bestanden volledig en bruikbaar zijn, niet alleen aanwezig.
  3. Meting van hersteltijd: Houd bij hoe lang het herstel duurt en vergelijk dit met je vastgestelde RTO (Recovery Time Objective).
  4. Documentatie van het resultaat: Leg bevindingen vast en pas het back-upproces aan als er problemen zijn geconstateerd.

Naast periodieke tests is het verstandig om ook na elke grote systeemwijziging, softwareupdate of infrastructuurverandering een hersteltest uit te voeren. De omgeving verandert continu, en een back-up die werkte voor de wijziging, werkt niet automatisch daarna ook nog.

Organisaties die hun continuïteitsbeleid serieus nemen, plannen hersteltests in als vaste terugkerende activiteit en documenteren de resultaten als onderdeel van hun informatiebeveiligingsbeleid.

Wat zijn de verplichtingen rondom back-ups onder NIS2?

Onder de NIS2-richtlijn, en de Nederlandse uitwerking daarvan in de Cyberbeveiligingswet (Cbw), zijn organisaties verplicht passende maatregelen te nemen voor bedrijfscontinuïteit en crisisbeheer, waaronder een aantoonbaar werkend back-up- en herstelbeleid. Back-ups zijn daarmee geen optionele maatregel, maar een expliciet onderdeel van de wettelijke zorgplicht.

De NIS2-zorgplicht schrijft voor dat organisaties beleid opstellen en implementeren voor:

  • Bedrijfscontinuïteit, waaronder back-upbeheer en noodherstel
  • Risicoanalyse en beveiliging van informatiesystemen
  • Beveiligingsmaatregelen voor toegangsbeheer en cryptografie
  • Beveiliging van de toeleveringsketen, inclusief de back-upinfrastructuur van leveranciers

Concreet betekent dit dat het niet voldoende is om back-ups te maken. Organisaties moeten ook kunnen aantonen dat het back-upbeleid is gedocumenteerd, dat herstelprocedures zijn getest en dat de verantwoordelijkheden duidelijk zijn belegd. Bij een incident waarbij data verloren gaat, kan de toezichthouder vragen om bewijs van een adequaat back-upproces.

Voor organisaties in de publieke sector geldt bovendien dat de BIO2 (Baseline Informatiebeveiliging Overheid 2) als normatief kader fungeert voor de invulling van de NIS2-zorgplicht. Continuïteitsmaatregelen, waaronder back-upbeleid, zijn hierin expliciet opgenomen. Meer informatie over de bredere verplichtingen vind je op de NIS2-regelgeving pagina.

De Cyberbeveiligingswet is per 4 juni 2025 ingediend bij de Tweede Kamer en de inwerkingtreding wordt verwacht in Q2 2026. Organisaties die nu al voldoen aan de 3-2-1 back-upregel en hun herstelprocessen documenteren, lopen voor op de wettelijke verplichting en zijn beter beschermd tegen de risico’s die er nu al zijn.

Hoe Q-Cyber helpt met je back-upstrategie en NIS2-compliance

Een goede back-upstrategie is meer dan een technische instelling. Het vraagt om beleid, verantwoordelijkheden, herstelplannen en aantoonbare naleving van wet- en regelgeving zoals NIS2. Wij helpen organisaties om dit volledig en pragmatisch in te richten, zonder onnodige complexiteit en zonder binding aan softwarepartijen.

Wat wij voor je kunnen doen:

  • Gap-analyse: We brengen in kaart waar je back-upstrategie tekortschiet ten opzichte van de NIS2-zorgplicht en best practices zoals de 3-2-1 regel
  • Beleidsvorming: We schrijven een concreet en compliant back-up- en herstelbeleid dat aansluit op jouw organisatie en risicoprofiel
  • Technisch advies: We adviseren onafhankelijk over de juiste combinatie van opslagmedia, cloudoplossingen en offsite-opties
  • Hersteltest begeleiding: We begeleiden en documenteren hersteltests zodat je aantoonbaar voldoet aan de continuïteitsvereisten
  • NIS2-begeleiding: We ondersteunen je bij het volledige NIS2-traject, van registratie tot bestuurstraining en toezichtsvoorbereiding

Wacht niet tot de wet in werking treedt. De risico’s zijn er nu al, en wie nu in actie komt, is straks beter beschermd en beter voorbereid op toezicht. Neem contact op en ontdek hoe we jouw organisatie kunnen helpen.