Porównania

Veeam Backup for Microsoft 365 — kompletny przewodnik 2026 dla polskich firm

Microsoft 365 NIE robi backupu Twoich danych — to mit, który kosztuje polskie firmy miliony rocznie. Veeam Backup for Microsoft 365 wypełnia tę lukę. Kompletny przewodnik 2026: ceny, edycje, wymagania techniczne, storage backendy, porównanie z konkurencją i implementacja krok po kroku dla polskiej firmy 50-500 osób.

40 min czytania·Zaktualizowano dzisiaj

Autor:Piotr Zieliński— Inżynier ds. bezpieczeństwa IT i infrastruktury·Sprawdzone przezKatarzyna Nowak·Aktualizacja: 30 maja 2026

Faktura VAT 23% + KSeF·Dostawa 1-3 min e-mailem·Gwarancja działania klucza·⭐5,0 / 5,0(KluczeSoft)

Pakiet Microsoft 365 obsługuje dziś ponad 400 milionów płatnych użytkowników na świecie i jest fundamentem komunikacji w 9 na 10 polskich firm średniej wielkości. Razem z nim w chmurze Microsoftu żyją dziesiątki terabajtów krytycznych dla biznesu danych: korespondencja Exchange, dokumenty SharePoint, pliki OneDrive, kanały Teams i tożsamości Entra ID. Pytanie, które zadaje sobie zbyt mało administratorów IT: co stanie się z tymi danymi, jeśli jutro pracownik przez przypadek skasuje folder, ransomware zaszyfruje OneDrive albo Microsoft straci dane w wyniku awarii regionu?

Odpowiedź brzmi nieprzyjemnie: Microsoft NIE robi backupu Twoich danych w klasycznym rozumieniu tego słowa. Tak, w SLA znajdziesz zapisy o redundancji geograficznej. Tak, masz Recycle Bin i wersjonowanie. Ale to nie jest backup. To są mechanizmy wysokiej dostępności i podstawowej recovery — i kończą swoje działanie po 30, 60 albo 93 dniach. Po tym czasie dane znikają. Bezpowrotnie.

Microsoft Shared Responsibility Model — dlaczego M365 nie robi backupu

Microsoft od lat publikuje model współdzielonej odpowiedzialności (Shared Responsibility Model), który jasno rozdziela, kto za co odpowiada w chmurze publicznej. W skrócie: Microsoft odpowiada za infrastrukturę chmury — serwery, sieć, replikację geograficzną centrów danych, uptime usług. Ty, jako klient, odpowiadasz za swoje dane: za ich zawartość, klasyfikację, retencję, ochronę przed błędem ludzkim, ransomware i celowym usunięciem.

W praktyce oznacza to konkretne ograniczenia natywnych mechanizmów Microsoft 365:

Exchange Online Deleted Items Recovery — 14 dni standardowo, maksymalnie 30 dni po podniesieniu w panelu administratora
Exchange Recoverable Items — domyślnie 14 dni, do 30 dni dla retention policy
SharePoint i OneDrive Recycle Bin — 93 dni łącznie (pierwszego i drugiego stopnia)
Teams chat messages — brak pełnej retencji bez Purview eDiscovery (płatny dodatek E5)
Entra ID deleted users — 30 dni soft-delete, potem permament usunięcie

To nie są zabezpieczenia backupowe. To jest okno na poprawę pomyłki "skasowałem nie ten plik". Backup oznacza punkt-w-czasie, niezależny od źródła, z polityką retencji liczoną w latach, możliwy do przywrócenia po incydencie ransomware sprzed sześciu miesięcy. Tego Microsoft nie oferuje w żadnym SKU pakietu E3/E5/Business Premium.

Dlatego od 2016 roku rynek zbudował kategorię produktów "Microsoft 365 Backup as a Service", którą obecnie zdominował Veeam Backup for Microsoft 365 — z udziałem rynkowym przekraczającym 40% i ponad 21 milionami chronionych skrzynek pocztowych globalnie. W tym przewodniku pokazujemy, co Veeam dokładnie chroni, ile kosztuje w 2026 roku, jak go zwymiarować dla polskiej firmy 50-500 osób i kiedy ma sens wybór konkurencji albo natywnego Microsoft 365 Backup.

Veeam Backup for Microsoft 365 — co dokładnie chroni

Veeam Backup for Microsoft 365 (VBM365), w aktualnej linii v8 (wydanej w 2024 i rozwijanej przez release 8.1, 8.2, 8.3, 8.4 w 2025-2026), chroni cztery główne workloady chmury Microsoft + tożsamości Entra ID. Każdy workload ma własną strategię backupu, granularność restore i specyfikę kosztową.

Exchange Online — pełna ochrona skrzynek

VBM365 wykonuje backup całej zawartości skrzynki pocztowej: wiadomości email z załącznikami, foldery (w tym foldery udostępnione), kalendarze, kontakty, zadania, notatki, archiwa online (In-Place Archive), foldery publiczne, a także uprawnienia delegacji. Backupowane są skrzynki użytkowników, skrzynki współdzielone (shared mailboxes — które w Exchange Online są bezpłatne do 50 GB), skrzynki zasobów (sale konferencyjne, sprzęt) oraz grupy Microsoft 365.

Granularność restore sięga pojedynczej wiadomości — administrator może odzyskać konkretny mail sprzed dwóch lat bez konieczności przywracania całej skrzynki. To kluczowe dla scenariuszy litigation hold albo żądania prawnego (RODO request-to-access).

SharePoint Online — wszystkie typy witryn

VBM365 chroni witryny SharePoint klasyczne i modern, w tym witryny zespołów (team sites) powiązane z grupami M365, witryny komunikacyjne (communication sites) i witryny osobiste OneDrive (które technicznie są witrynami SharePoint). Backupowane są: dokumenty z pełną historią wersji, listy, metadane, struktura witryny, uprawnienia, niestandardowe kolumny, biblioteki obrazów, OneNote notebooks i strony wiki.

Co WAŻNE — VBM365 nie backupuje rozwiązań niestandardowych SharePoint Framework (SPFx), Power Apps, Power Automate flows i workflowów Nintex. To są aplikacje, nie dane. Wymagają oddzielnej strategii.

OneDrive for Business — pliki użytkownika

OneDrive jest backupowany jako witryna SharePoint przypisana do użytkownika. VBM365 zachowuje pełną strukturę folderów, plików, wersje (do 500 wersji per plik), współdzielone uprawnienia i metadane. Limit pojemności OneDrive w polskich firmach to standardowo 1 TB per user (Business Standard) lub 5 TB (Business Premium, można podnieść do 25 TB), co przekłada się bezpośrednio na wymagania storage backendu.

Microsoft Teams — chats, files, channels

Tu sprawa jest najbardziej skomplikowana, bo Teams nie ma własnego storage. Pliki z kanałów lądują w SharePoint, pliki z chatów w OneDrive nadawcy, wiadomości w ukrytej bazie Azure Cosmos DB. Veeam v8 chroni wszystkie te warstwy:

Team chats — wiadomości 1:1, group chats, meeting chats
Channel posts — wiadomości w kanałach standardowych, prywatnych i shared
Files — pliki z kanałów i chatów (włącznie z meeting recordings)
Tabs i aplikacje — konfiguracja tabsów (ale nie dane third-party aplikacji)
Team membership — członkowie zespołów, role właściciela

Restore Teams w Veeam v8 jest natywny — możesz przywrócić cały kanał ze wszystkimi wiadomościami, plikami i strukturą do oryginalnego zespołu albo do nowego. W wersji 8.3 dodano restore wiadomości chat na poziomie pojedynczego komunikatu.

Entra ID (dawniej Azure AD) — od v8 Advanced

Nowość linii v8 to backup tożsamości Entra ID: użytkowników, grup, ról, aplikacji enterprise, polityk Conditional Access i ustawień security. To chroni przed scenariuszem "ktoś skasował 200 użytkowników w panelu Entra" — bez backupu Entra recovery wymaga ręcznego odtworzenia każdego konta z wszystkimi atrybutami, członkostwami i uprawnieniami. Funkcja dostępna w edycji Veeam Data Cloud for Microsoft 365 Advanced i wyżej.

Edycje i cennik Veeam 2026 — co kupić dla polskiej firmy

Veeam w 2025 roku ujednolicił portfolio M365 backup pod marką Veeam Data Cloud for Microsoft 365 (VDC4M365), oferowany w trzech tierach SaaS, oraz utrzymał klasyczny Veeam Backup for Microsoft 365 (VBM365) self-hosted dla firm, które chcą pełnej kontroli nad infrastrukturą backupu.

Veeam Data Cloud for Microsoft 365 — SaaS (zalecane dla 50-500 użytkowników)

W modelu SaaS Veeam hostuje całą infrastrukturę backupową na Microsoft Azure, w wybranej geo (Europa zachodnia — Netherlands, North Europe Ireland). Klient otrzymuje webowy panel, storage w cenie bez limitu i SLA 99.9%. Brak konieczności posiadania serwera, proxy, repozytorium — to model "kupić i zapomnieć".

Edycja	Cena (USD/user/mc)	Cena PLN/user/rok	Zakres ochrony
Foundation	$2.63	~125 zł	Exchange + SharePoint + OneDrive + Teams
Advanced	$3.33	~158 zł	Foundation + Entra ID + advanced threat detection
Premium	$7.00	~333 zł	Advanced + pełen Microsoft 365 Disaster Recovery

Ceny katalogowe annualnie (USD→PLN kurs 4.00). Storage unlimited w cenie — to jest kluczowa zmiana vs. klasyczny VBM365, gdzie storage trzeba dokupić oddzielnie (S3, Azure Blob, on-prem). Dla 500 użytkowników rocznie: Foundation ~62 500 zł, Advanced ~79 000 zł, Premium ~166 500 zł.

Veeam Backup for Microsoft 365 — self-hosted (perpetual + subscription)

Klasyczny model on-prem dla firm, które już mają infrastrukturę Veeam Backup & Replication albo chcą trzymać backup w polskim data center (RODO, sektorowe regulacje finansowe).

Wariant	Cena katalogowa	Co obejmuje
Subscription per user/rok	~$36/user/rok (~144 zł)	Licencja roczna + production support 24/7
Perpetual + 1Y support	~$72/user (~288 zł jednorazowo) + ~$15/user/rok (~60 zł) maintenance	Licencja wieczysta + obowiązkowy support roczny
NFR (Not For Resale)	bezpłatnie	250 users + 10 grup, dla VCSP, IT pros, edukacji
Veeam Cloud Service Provider (VCSP)	rental ~$2.40/user/mc (~12 zł)	Dla MSP, rozliczane miesięcznie po faktycznym zużyciu

Co wybrać dla polskiej firmy 50-500 osób?

<100 użytkowników, brak infrastruktury IT → Veeam Data Cloud Foundation/Advanced (SaaS, najszybsze wdrożenie, 2 tygodnie)
100-500 użytkowników, własna infrastruktura, S3 w PL → VBM365 subscription + storage w Oktawave/Beyond.pl/MAIN
MSP / reseller → VCSP rental + KluczeSoft jako dystrybutor licencji
Edukacja, NGO, sektor publiczny → NFR program (do 250 users) albo dedykowane rabaty Public Sector (do -40%)

NFR (Not For Resale) — bezpłatny program dla 250 użytkowników

Program NFR Veeam, dostępny od kilku lat również dla rynku polskiego, pozwala administratorom IT, certyfikowanym VMCE, MVP i pracownikom VCSP otrzymać bezpłatną licencję na 250 użytkowników + 10 grup M365. Licencja jest pełnofunkcyjna (z wyłączeniem produkcyjnego użycia), odnawiana corocznie. Idealne dla testów, środowiska lab, własnej firmy IT.

Rabaty wolumenowe i multi-year

Powyżej 500 użytkowników Veeam standardowo udziela rabatu 20-35% od ceny katalogowej, a kontrakt 3-letni z góry daje dodatkowe 10-15% off. Dla 1000 użytkowników realna cena netto VBM365 subscription to często ~95-110 zł/user/rok zamiast katalogowych 144 zł. KluczeSoft jako autoryzowany dystrybutor Veeam negocjuje te warunki w imieniu klienta końcowego.

Wymagania techniczne — sizing dla X użytkowników

Jeśli wybierasz self-hosted VBM365, musisz zaplanować trzy komponenty: backup server (zarządzanie, baza konfiguracji), backup proxy (transfer danych z M365), repository (gdzie lądują backupy). Dla małych deploymentów wszystkie trzy role mogą być na jednej maszynie.

Minimalne wymagania serwera backupu (Veeam v8)

System operacyjny: Windows Server 2019/2022/2025 (64-bit), lub [Windows 11 Pro](https://kluczesoft.pl/klucz-windows-11/microsoft-windows-11-professional) dla lab
CPU: 8 cores x64 minimum
RAM: 16 GB (32 GB jeśli VM z dynamic memory)
Disk: 500 MB pod instalację + miejsce na bazę konfiguracji (rośnie ~1 MB/user/rok)
.NET Framework 4.7.2+, PowerShell 5.1+
Microsoft SQL Server 2019/2022 Express (w zestawie) lub Standard/Enterprise dla dużych środowisk

Sizing dla różnych skali (zalecane production)

Liczba użytkowników	Backup server (CPU/RAM/Disk OS)	Proxy (CPU/RAM, ile sztuk)	Repository (storage netto)	Łącze internet
Do 50 użytkowników	4 vCPU / 8 GB / 100 GB	1× combined (na backup server)	2-5 TB (S3/NAS)	100 Mbit/s
50-250 użytkowników	8 vCPU / 16 GB / 200 GB	1× dedykowany 4 vCPU/16 GB	10-25 TB	200 Mbit/s
250-500 użytkowników	8 vCPU / 32 GB / 250 GB	2× po 8 vCPU/16 GB	25-75 TB	500 Mbit/s
500-1000 użytkowników	16 vCPU / 64 GB / 500 GB	3-4× po 8 vCPU/32 GB	75-150 TB	1 Gbit/s
1000-5000 użytkowników	16 vCPU / 96 GB / 1 TB	6-8× po 16 vCPU/64 GB	150-750 TB	1-10 Gbit/s

Skąd te liczby — average per user

Statystycznie polski użytkownik biznesowy M365 generuje:

Exchange mailbox: 12-30 GB (średnia 18 GB; dla działów handlowych z dużymi załącznikami nawet 50 GB)
OneDrive: 25-80 GB (zależy od polityki — czy synchronizowane są dokumenty desktopowe)
SharePoint share per user: 5-15 GB (witryny zespołowe dzielone na zespoły)
Teams data: 2-8 GB

Razem to ~50-130 GB per user w środowisku M365. Z kompresją i deduplikacją Veeam (typowy ratio 2:1) backup zajmuje ~25-65 GB per user. Dla 500 użytkowników to 12.5-32.5 TB netto storage po pierwszym pełnym backupie. Inkrementalne dzienne dorzucają 0.5-2% objętości na dobę.

Wymagania dla proxy — gdzie wąskie gardło

Backup proxy to komponent, który robi faktyczne pobieranie danych z Microsoft Graph API. Limity Microsoft są twarde: 60 requestów/sekundę per tenant dla EWS, kilkaset dla Graph. To oznacza, że niezależnie ile masz proxy, realny throughput pełnego backupu 500 użytkowników to 24-48 godzin dla pierwszego seedingu. Inkrementalne lecą w 2-4 godziny.

W praktyce większość polskich wdrożeń stawia 1 proxy na każde 100-200 użytkowników, na maszynach z minimum 16 GB RAM i dyskiem SSD pod cache. Proxy nie wymaga dedykowanego serwera — może być LXC, VM, kontener Docker (Veeam wspiera Linux proxy od v6).

Storage backendy dla Veeam — porównanie kosztów

Storage to 70-80% TCO całego rozwiązania backupowego. Dla 500 użytkowników, którzy generują 30 TB backupu, dobór backendu decyduje o tym, czy roczny koszt storage to 8 000 zł, czy 80 000 zł. Veeam Backup for Microsoft 365 wspiera natywnie kilkanaście backendów; poniżej porównanie najpopularniejszych dla polskiego rynku.

Porównanie storage backendów (TCO dla 30 TB / 12 miesięcy)

Backend	Cena/GB/mc (netto)	Koszt 30 TB/rok	Egress out (download)	Region	Najlepsze do
AWS S3 Standard	$0.023	~33 100 zł	$0.09/GB	Frankfurt/Ireland	Duże firmy z chmurą AWS
AWS S3 Glacier Instant	$0.004	~5 760 zł	$0.03/GB	Frankfurt	Długoterminowa retencja (7+ lat)
Azure Blob Hot	$0.0184	~26 500 zł	$0.087/GB	West Europe	Już używasz Azure
Azure Blob Cool	$0.010	~14 400 zł	$0.01/GB	West Europe	Średnia retencja (1-3 lat)
Wasabi Hot Cloud	$0.0069	~9 940 zł	bez opłat	Frankfurt/Amsterdam	Najlepszy stosunek cena/wydajność
Backblaze B2	$0.006	~8 640 zł	bez opłat (do 3x storage/mc)	Amsterdam	Małe firmy, S3-compatible
MinIO on-prem	własny sprzęt	~5 000-12 000 zł amortyzacja	brak	własna serwerownia	Pełna kontrola, RODO max
Oktawave Object Storage	~0.038 zł/GB/mc	~13 700 zł	bez opłat w PL	Warszawa/Łódź	RODO + polska jurysdykcja
Beyond.pl S3	~0.04 zł/GB/mc	~14 400 zł	bez opłat w PL	Poznań	Tier 4 DC, sektor regulowany
MAIN Backup Veeam-ready	~0.045 zł/GB/mc	~16 200 zł	bez opłat	Warszawa	Out-of-the-box VBM365 integracja
ZADARA on-prem appliance	CAPEX 80-150k zł	amortyzacja ~25 000 zł/rok	brak	własna serwerownia	Enterprise, hybrid cloud

Kluczowy gotcha — egress fees

To jest najczęstsza pułapka, którą widzimy u klientów. AWS S3 Standard wygląda atrakcyjnie po cenie storage, ale przywrócenie 10 TB w scenariuszu disaster recovery to $900 (~3 600 zł) jednorazowej opłaty za egress. Wasabi i Backblaze nie pobierają opłat za pobranie — co przy faktycznym DR jest decydujące. Polskie chmury (Oktawave, Beyond.pl, MAIN) standardowo nie pobierają opłat za ruch wewnątrz Polski.

Object Lock i immutability (anty-ransomware)

Od Veeam v6 obowiązkową best practice jest włączenie S3 Object Lock w trybie Compliance na repozytorium backupowym. To sprawia, że backupów nie da się skasować ani zmodyfikować przez X dni, nawet przez administratora z pełnymi uprawnieniami. Dla scenariusza ransomware, który przechodzi przez Active Directory i kasuje również backupy — to jest jedyne realne zabezpieczenie.

Wszystkie wymienione storage wspierają Object Lock: AWS S3, Wasabi, Backblaze B2, MinIO 2021.10+, Oktawave OCS od 2024, Beyond.pl S3 od 2025. Veeam Data Cloud SaaS ma immutability włączone domyślnie.

Rekomendacja dla polskiej firmy 100-500 osób

Optymalny stack 2026:

Hot tier: Wasabi Hot Cloud (Frankfurt/Amsterdam) — pierwsze 30-90 dni, ~10 000 zł/rok dla 30 TB
Cold tier: Wasabi Reserved Capacity albo Backblaze B2 — retencja 1-7 lat, dodatkowe ~3 000-5 000 zł/rok
Lokalny copy (3-2-1 rule): synchronizowany na NAS Synology/QNAP w siedzibie firmy, 25-40 TB pojemność, jednorazowy koszt 8 000-15 000 zł

Dla sektorów regulowanych (banki, ubezpieczenia, ochrona zdrowia, energetyka) — zamień Wasabi na Beyond.pl albo Oktawave ze względu na wymogi data residency w UE/Polsce.

Backup do polskiej chmury — RODO, data residency, sektor regulowany

Dla sporej części polskiego rynku B2B kwestia gdzie fizycznie leżą backupy jest nieprzysłonna. RODO art. 28 (powierzanie przetwarzania), Rekomendacja D KNF dla sektora finansowego, ustawa o krajowym systemie cyberbezpieczeństwa (KSC), nowelizacja 2024 dla operatorów usług kluczowych — wszystkie te akty wskazują, że dane osobowe i krytyczne dane biznesowe powinny być przechowywane w infrastrukturze, którą da się audytować, kontrolować i fizycznie zlokalizować.

Microsoft 365 — gdzie leżą Twoje dane?

Microsoft 365 dla polskich klientów standardowo zapisuje dane w regionach EU Data Boundary (Holandia, Irlandia, Niemcy). Od 2024 Microsoft oferuje Advanced Data Residency dla EOX (Poland), ale tylko w wybranych SKU enterprise. W praktyce większość polskich firm ma swoje dane w centrach danych Microsoft w Amsterdamie i Dublinie — co jest zgodne z RODO (UE), ale nie z Polską jurysdykcją w przypadku sporu prawnego.

Backup do polskiej chmury rozwiązuje ten problem dwojako: (1) kopia danych leży w fizycznym DC w Polsce, podlegającym wyłącznie polskiemu prawu, (2) w razie sporu z Microsoft / przerwy w usłudze chmury publicznej, mamy pełną kopię odpartą od dostawcy.

Najwięksi polscy dostawcy chmury z backup M365

Dostawca	Lokalizacja DC	Tier	Veeam-ready	RODO/ISO 27001	Cena orientacyjna
Oktawave	Warszawa, Łódź (3× Tier 3)	Tier 3	tak, S3 OCS	tak / tak	0.038 zł/GB/mc
Beyond.pl	Poznań (Tier 4 ANSI/TIA-942)	Tier 4	tak, dedykowany VBM365	tak / tak / ISO 22301	0.04 zł/GB/mc
MAIN	Warszawa, Katowice	Tier 3	tak, gotowa usługa "Backup M365"	tak / tak	0.045 zł/GB/mc
ATM (ATMAN)	Warszawa (4× DC)	Tier 3+	tak (compatible S3)	tak / tak	indywidualnie
Polcom	Skawina, Warszawa	Tier 3	tak	tak / tak	indywidualnie
Comarch Data Center	Kraków	Tier 3	tak (rozwiązania dedykowane)	tak / tak / ISO 27001	indywidualnie

Beyond.pl — DC Tier 4 dla najbardziej wymagających

Beyond.pl w Poznaniu to jedyne data center w Polsce z certyfikacją Tier 4 ANSI/TIA-942 (najwyższa kategoria, redundancja 2N+1). Posiada certyfikat ISO 27001, ISO 22301 (continuity), ISO 9001, PCI DSS, TISAX. Dostarcza dedykowaną usługę backupu M365 opartą o Veeam w modelu BaaS: klient nie musi posiadać własnego sprzętu, tylko abonament za użytkownika + storage. Wykorzystywane przez banki, ubezpieczycieli i administrację publiczną.

Oktawave — najlepszy stosunek ceny do compliance

Oktawave (część grupy K2) operuje na 3 DC Tier 3 w Polsce. Object Storage (OCS, S3-compatible) jest standardowym repozytorium Veeam dla wielu polskich wdrożeń. Cena ~0.038 zł/GB/mc jest konkurencyjna względem Wasabi (po przeliczeniu, bez ryzyka egress fees). Pełna compliance RODO, gotowa umowa powierzenia przetwarzania (DPA) w jednym dniu.

MAIN — najprostsza ścieżka "kup i działa"

MAIN oferuje gotową usługę Backup as a Service dla M365 opartą o Veeam, gdzie klient nie wdraża nic samodzielnie — dostaje panel webowy, gotową konfigurację, storage w cenie. Ceny od ~12 zł/user/mc dla pakietu Foundation. To najszybsza ścieżka dla firm 20-100 osób, które nie chcą myśleć o infrastrukturze.

Aspekt prawny — umowa powierzenia przetwarzania (DPA)

Niezależnie od wybranego dostawcy, musisz zawrzeć umowę powierzenia przetwarzania danych osobowych (DPA) zgodną z art. 28 RODO. Wszyscy wymienieni polscy dostawcy mają gotowe szablony DPA, które przejdą audyt UODO. To różni ich od dostawców amerykańskich (AWS, Wasabi, Backblaze), gdzie DPA jest standardową umową EU SCC, akceptowaną, ale wymagającą głębszej weryfikacji prawnej dla sektorów regulowanych.

Sektorowe wymagania KNF (banki, ubezpieczyciele)

Dla podmiotów nadzorowanych przez KNF obowiązuje Komunikat KNF w sprawie korzystania z usług przetwarzania w chmurze (2020, zaktualizowany 2023). Wymaga m.in.: lokalizacji danych w EOG, prawa do audytu dostawcy, planów exit strategy, klauzul subprocesoringu. Beyond.pl, Oktawave i MAIN są standardowymi wyborami banków komercyjnych — mają pre-aprobaty i gotowe pakiety KNF-compliance.

RTO i RPO — co realnie osiągniesz w 2026

Dwa parametry, które decydują o jakości każdej strategii backupowej:

RPO (Recovery Point Objective) — jak daleko wstecz sięga ostatnia poprawna kopia. Określa ile danych maksymalnie możesz stracić.
RTO (Recovery Time Objective) — ile czasu potrzebujesz na pełen restore. Określa jak długo system będzie niedostępny.

Dla Veeam Backup for Microsoft 365 typowe parametry przy poprawnej konfiguracji wyglądają następująco.

Realne RPO dla różnych workloadów

Workload	Standardowy RPO	Maksymalny (top tier)	Co go ogranicza
Exchange Online	12 godzin	1-4 godziny	Throttling Microsoft Graph API
OneDrive	24 godziny	6 godzin	Wielkość zmian, liczba proxy
SharePoint Online	24 godziny	6 godzin	Liczba witryn, throttling
Teams chat	24 godziny	12 godzin	Cosmos DB API limits

Większość polskich wdrożeń konfiguruje 4 cykle backupu dziennie (co 6h), co daje RPO na poziomie 6 godzin dla wszystkich workloadów. Veeam v8.3 wprowadził funkcję "near-continuous backup" — co 1 godzinę dla Exchange dla edycji Premium.

Realne RTO i prędkości restore

Tu jest największe rozczarowanie ekipy IT, które nigdy nie testowały restore na produkcji. Restore z M365 jest wolny, bo Microsoft Graph API ma twardy throttling.

Scenariusz	Czas	Throughput
Restore 1 pojedynczej wiadomości email	10-30 sekund	n/a
Restore folderu (1 000 wiadomości)	5-15 minut	~3 MB/s
Restore całej skrzynki 30 GB	4-8 godzin	~1-2 MB/s
Restore 1 000 skrzynek (30 TB)	5-14 dni	~25-50 MB/s sumarycznie
Restore OneDrive 1 użytkownika (50 GB)	3-6 godzin	~3-5 MB/s
Restore witryny SharePoint 100 GB	8-24 godziny	~1-3 MB/s
Restore kanału Teams ze wszystkim	2-6 godzin	n/a
Disaster recovery — pełen tenant	7-30 dni	bottleneck Microsoft API

Co przyspiesza restore

Veeam stosuje kilka technik optymalizacji:

Parallel processing — wiele proxy równolegle (do limitów Microsoft API)
Restore portal — użytkownik końcowy może sam restore'ować swoje pliki (self-service)
Restore in-place vs. export — restore do PST/ZIP plików jest szybsze (do 5×) niż do M365
Veeam Data Cloud Premium — opcja DR z gwarancją RTO ≤24h dla disaster scenarios

Co WAŻNE — Microsoft throttle aware

Veeam od v6 implementuje throttle-aware restore, czyli wykrywa odpowiedzi 429 (Too Many Requests) i automatycznie zmniejsza tempo. To dobre, bo nie wpada w pętlę retry, ale złe, bo realny throughput jest niższy od teoretycznego o 30-50%.

Praktyczna implikacja: w planie DR załóż, że pełen restore 500 użytkowników z M365 zajmie 7-10 dni roboczych, nawet z najlepszą infrastrukturą. Dlatego standardowy SLA to "powrót krytycznych skrzynek (zarząd, finanse, sprzedaż) w 24h, reszta w 7 dni".

Test restore — robisz to czy nie?

70% polskich firm, według badań Veeam Data Protection Trends 2025, nigdy nie testowało pełnego restore z backupu M365. To jest poważny problem, bo restore może zawieść z różnych powodów: zmiana uprawnień w Entra ID, retencja policy która zmieniła zachowanie, korupcja repository, brak miejsca w storage. Best practice to kwartalny test restore — wybrana skrzynka + witryna SharePoint + kanał Teams, do środowiska testowego, z zachowaniem dokumentacji czasów i błędów.

Restore granularny — Exchange item, SharePoint file, Teams channel

Siła Veeam tkwi w granularności restore — możesz przywrócić dosłownie pojedynczy element, bez konieczności restore'owania całej skrzynki/witryny/zespołu. Veeam udostępnia narzędzia "Veeam Explorers" dla każdego workloadu, które dają administratorowi widok plikowo-przeglądalny na backupy.

Veeam Explorer for Exchange — najczęściej używane narzędzie

Po podpięciu repozytorium backupowego administrator widzi w panelu Veeam strukturę skrzynki: foldery (Inbox, Sent, Archive), email z metadanymi, załączniki. Wyszukiwarka działa po: nadawcy, odbiorcy, dacie, frazie, załączniku, rozmiarze. Restore opcje:

Restore in-place — odtworzenie do oryginalnej skrzynki (z opcjami merge / overwrite / skip)
Restore to other mailbox — do skrzynki innego użytkownika (przydatne dla "departing employee")
Export to PST — eksport do pliku PST (do dalszego archiwum lub przekazania prawnikom)
Send as email — wysyłka odzyskanego maila jako załącznik EML
Save to disk — zapis do MSG/EML na dysk lokalny

Veeam Explorer for SharePoint — pliki, listy, witryny

Granularność: pojedynczy plik, pojedyncza wersja pliku, pojedynczy element listy, pojedyncza biblioteka, cała witryna. Opcje:

Restore pliku z konkretnej wersji historycznej (np. wersja sprzed 3 miesięcy)
Restore witryny do nowej lokalizacji (np. odtworzenie "skasowanego" projektu jako archive site)
Eksport biblioteki dokumentów jako struktura ZIP
Restore uprawnień bez restore'u plików (rzadkie ale przydatne)

Co WAŻNE — Veeam zachowuje metadanych dokumentów (autor, daty, custom columns) co jest kluczowe dla scenariuszy compliance.

Veeam Explorer for OneDrive — to samo co SharePoint

Technicznie OneDrive jest witryną SharePoint, więc obsługa identyczna. Najczęstszy use case: pracownik usunął przez pomyłkę folder z projektami, recycle bin już opróżniony (>93 dni), trzeba odzyskać z backupu.

Veeam Explorer for Teams — najnowsza funkcjonalność

W v8 Veeam dostarczył pełny Explorer for Teams. Granularność:

Pojedyncza wiadomość chat (od v8.3)
Pojedynczy post w kanale (z replies)
Cały kanał (standardowy / prywatny / shared) z wiadomościami, plikami i tabsami
Cały zespół z membership i ustawieniami
Plik z chatu (z OneDrive nadawcy)

Restore Teams jest najbardziej skomplikowany technicznie, bo wymaga rekonstrukcji w trzech systemach (Cosmos DB messages, SharePoint files, Graph metadata). Średni czas restore kanału z ~1 000 postów to 30-60 minut.

Veeam Explorer for Entra ID — od v8 Advanced

Backup pojedynczych użytkowników, grup, ról, polityk Conditional Access. Restore z opcjami "compare and restore" (pokazuje, co się zmieniło między backupem a stanem obecnym) — przydatne, gdy ktoś zmienił uprawnienia i nie wiadomo, co dokładnie.

Self-service portal — restore bez ticketu do IT

Veeam dostarcza opcjonalny Restore Portal (webowy), gdzie użytkownik końcowy może sam wyszukać i przywrócić swoje pliki, maile, dokumenty SharePoint. To redukuje obciążenie helpdesku — typowy ticket "skasowałem plik" kosztuje firmę 15-45 minut pracy IT. Dla 500 użytkowników to potencjalna oszczędność 50-100 godzin/miesiąc.

Praktyczne scenariusze restore

Scenariusz	Narzędzie	Czas	Złożoność
"Skasowałem mail z umową sprzed 6 miesięcy"	Explorer Exchange + search	5 min	trywialne
"Pracownik odszedł, potrzebujemy dostępu do jego skrzynki"	Restore to other mailbox	4-8 godzin	low
"Ransomware zaszyfrował OneDrive 50 użytkowników"	Bulk restore z point-in-time	2-3 dni	medium
"Cały zespół Teams Marketing zniknął"	Explorer Teams + restore	30-60 min	low
"RODO request — wyciąg wszystkich danych byłego klienta"	Search across workloads + export	1-3 dni	high
"Audyt — dokumenty SharePoint w stanie z 31.12.2024"	Restore witryny do nowej lokalizacji	4-8 godzin	medium

Disaster recovery — scenariusze, na które musisz być gotowy

Backup ma sens tylko wtedy, kiedy odpowiada na realne zagrożenia. W ostatnich 24 miesiącach widzieliśmy u klientów następujące rzeczywiste incydenty.

Scenariusz 1: Ransomware (LockBit, BlackCat, Akira)

Najgroźniejszy i niestety najczęstszy scenariusz 2025-2026. Ransomware wchodzi przez phishing albo skompromitowany RDP, przechodzi przez Active Directory, dociera do OneDrive (zwykle przez OneDrive Sync Client na zarażonej stacji), zaczyna szyfrować pliki, które natywnie replikują się z powrotem do chmury jako "nowe wersje".

Jak Veeam to ratuje:

Backup ma immutable retention (Object Lock) — ransomware nie kasuje backupów
Restore point-in-time pozwala wybrać moment sprzed zaszyfrowania
Bulk restore wszystkich OneDrive 200 użytkowników w 24-48h

Typowy timeline incydentu:

T+0h: pracownik klika phishing, ransomware uruchamia się lokalnie
T+2h: dotyka OneDrive sync, zaczyna szyfrować
T+6h: 80% OneDrive zarażone, IT wykrywa
T+8h: izolacja stacji końcowych, audyt zasięgu
T+24h: decyzja o restore
T+24-72h: Veeam restore OneDrive sprzed T-2h, weryfikacja, przywrócenie produkcji

Koszt incydentu bez backupu: średnio 850 000 USD ransom + 4.5 mln USD downtime (raport IBM Cost of Data Breach 2025). Koszt z Veeam: ~50-100 000 zł (czas IT + utracona produktywność 3 dni). To 30-50× ROI w jednym incydencie.

Scenariusz 2: Mass-delete przez błąd administracyjny

Klient z Warszawy, lipiec 2025: junior admin uruchamia PowerShell script "cleanup inactive users", który omyłkowo trafia w 850 aktywnych użytkowników. Po 30 dniach soft-delete użytkownicy zostają definitywnie usunięci z Entra ID. Microsoft support: "sorry, nie da się". Konsekwencja bez backupu: utrata 850 skrzynek + 850 OneDrive + członkostwo w 1200 grupach.

Z Veeam Backup for Microsoft 365 Advanced (z Entra ID protection):

Restore wszystkich 850 użytkowników z Entra do stanu sprzed skryptu (membership, atrybuty, uprawnienia)
Restore mailboxów i OneDrive
Czas: 3-5 dni roboczych
Bez utraty danych

Scenariusz 3: Departing employee — utrata wiedzy biznesowej

Pracownik działu sprzedaży odchodzi do konkurencji. Po 30 dniach licencja M365 zostaje zwolniona, skrzynka usunięta, OneDrive usunięty (zgodnie z polityką offboarding). Po pół roku Sąd Pracy żąda korespondencji z konkretnego okresu — albo dział handlowy potrzebuje pliku z umową, którego nie ma nigdzie indziej.

Bez backupu: utracone, koniec dyskusji.

Z Veeam:

Skrzynka i OneDrive zachowane w backupie (np. polityka "keep for 7 years for departed employees")
Restore do PST/ZIP (eksport) bez ponownego tworzenia licencji
Można przekazać dział prawny, HR albo sąd

To jest case, w którym długoterminowa retencja ma realną wartość biznesową. Standard rynkowy 2026: minimum 5 lat backup dla departed employees, dla sektora regulowanego 7-10 lat.

Scenariusz 4: Awaria regionalna Microsoft 365

Październik 2024: Microsoft 365 leży 6 godzin w regionie EMEA (incident ID MO938145). Listopad 2024: Exchange Online niedostępny 4h. Marzec 2025: SharePoint authentication broken 8h. Każdy z tych incydentów to bezpośredni koszt biznesowy dla firm zależnych od M365.

Veeam Data Cloud Premium dodaje opcję Disaster Recovery — możliwość uruchomienia środowiska Exchange/SharePoint w infrastrukturze Veeam Azure jako tymczasowego primary, gdy M365 jest down. RTO ≤24h. To opcja dla firm, dla których 4-godzinny outage M365 oznacza straty >100 000 zł.

Scenariusz 5: Compliance audit (RODO, ISO, KNF)

Audytor żąda: "pokażcie wszystkie maile do klienta X w okresie 01.01.2024 - 31.12.2024, łącznie z usuniętymi". Bez backupu — niemożliwe (usunięte = usunięte). Z Veeam — wyszukiwanie cross-mailbox, eksport do PST, raport audytowy. Czas: 1-3 dni.

Compliance: RODO, retencja, prawo do bycia zapomnianym

Backup w kontekście RODO to materia delikatna, bo dwa filary regulacji wchodzą tu w konflikt: minimalizacja danych i ograniczenie retencji vs. integralność i dostępność (art. 32 RODO). Trzeba to ułożyć świadomie, bo źle skonfigurowana retencja backupu może oznaczać karę UODO.

Zasada minimalizacji vs. backup wieloletni

RODO mówi: dane osobowe przetwarzasz tylko tak długo, jak są potrzebne do celu. Dla większości celów biznesowych (umowa, faktura, korespondencja klient-firma) okresy retencji wynoszą 5 lat (faktury — Ustawa o rachunkowości) do 10 lat (sprawy pracownicze — Kodeks Pracy). Ale Twój backup może zawierać dane, których cel przetwarzania już wygasł (np. CV kandydata, który nie został zatrudniony — max 6 miesięcy).

Rozwiązanie systemowe: różne polityki retencji dla różnych workloadów. Np.:

Skrzynki działu sprzedaży/finansów: 7 lat (faktury, umowy)
Skrzynki działu HR (rekrutacja): 6 miesięcy
Skrzynki techniczne (devops, IT): 2 lata
Wszystkie OneDrive/SharePoint: 5 lat
Teams chat: 90 dni (po tym anonimizacja albo usunięcie)

Veeam pozwala konfigurować osobne backup jobs z różnymi politykami retencji per grupa Entra ID albo per lista użytkowników.

Prawo do bycia zapomnianym (art. 17 RODO) a backup

Klient pisze: "chcę być zapomniany, usuńcie moje dane". W aktywnym systemie M365 to jest proste — Microsoft Purview ma narzędzia DSR (Data Subject Request). Ale dane są też w backupach. I tu UODO/EROD ma stanowisko:

"Dane osobowe w backupach nie muszą być usunięte natychmiast po żądaniu RTBF, pod warunkiem, że: (a) backupy są niedostępne w normalnej operacji, (b) istnieje procedura usunięcia danych przy ewentualnym restore, (c) okres retencji backupu jest udokumentowany i uzasadniony."

W praktyce oznacza to:

Dokumentuj politykę retencji — pisemnie, w polityce ochrony danych firmy
Prowadź rejestr żądań RTBF — z notatką "do usunięcia z backupów przy najbliższym restore tego użytkownika"
Implementuj "purge from backup" — Veeam ma funkcję Remove-VBOEntityData (PowerShell) do trwałego usunięcia konkretnego usera ze wszystkich backupów retencyjnych
Po wygaśnięciu okresu retencji backup automatycznie wygasa — i wtedy dane RTBF znikają definitywnie

Umowa powierzenia z dostawcą backupu (art. 28 RODO)

Jeśli backup leci do Veeam Data Cloud SaaS, Wasabi, AWS S3, Oktawave — to są procesory, z którymi musisz mieć umowę powierzenia przetwarzania (DPA). Veeam Data Cloud ma standardową DPA opartą o EU Standard Contractual Clauses (SCC). Polscy dostawcy (Oktawave, Beyond.pl, MAIN) — standardowe polskie DPA. Dla AWS/Wasabi — wymaga oceny Transfer Impact Assessment (TIA) wynikającej z Schrems II.

Co z zaszyfrowanymi danymi w backupach (klient szyfruje End-to-End)?

Veeam wspiera encryption at rest (AES-256) na poziomie repository i encryption in transit (TLS 1.2+). Klucze szyfrowania możesz trzymać:

W Veeam (default) — wygoda, ale Veeam ma dostęp
W zewnętrznym KMS (AWS KMS, Azure Key Vault, HashiCorp Vault) — Ty masz pełną kontrolę
Własny klucz (BYOK) — Veeam nigdy nie widzi danych w odszyfrowanej formie

Dla sektorów regulowanych (banki, ubezpieczenia, ochrona zdrowia) BYOK + KMS to standard. Dla zwykłej firmy 50-200 osób wystarczy default Veeam.

Sektor publiczny — KSC i krajowe rozporządzenia

Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja 2024) wymaga od operatorów usług kluczowych (OSK) i podmiotów publicznych: regularnego backupu, testów restore, planu ciągłości działania (BCP). Rozporządzenie Ministra Cyfryzacji z 2025 doprecyzowuje: backup minimum 1× dziennie, retencja minimum 6 miesięcy, test restore minimum 1× rocznie, offline copy obowiązkowa dla danych krytycznych.

Veeam (zarówno self-hosted jak i Veeam Data Cloud) spełnia wszystkie te wymagania out-of-the-box.

Veeam vs konkurencja — Spanning, AvePoint, Acronis, Druva, MSP360

Veeam dominuje rynek, ale nie jest jedyną opcją. Dla niektórych scenariuszy konkurencja oferuje wartość, której Veeam nie ma. Tutaj uczciwe porównanie 2026.

Porównanie głównych konkurentów

Cecha	Veeam VDC4M365 Advanced	AvePoint Cloud Backup	Acronis Cyber Protect	Druva Data Resiliency	Spanning Backup (Kaseya)	MSP360 Backup
Cena katalogowa USD/user/mc	$3.33	$4.50-6.00	$4.20-5.50	$5.00-7.50	$4.00	$1.50-2.50
Storage included	unlimited	unlimited	250 GB/user (extra paid)	unlimited	unlimited	brak (bring your own)
Exchange + SharePoint + OneDrive	tak	tak	tak	tak	tak	tak
Teams chat + channels	tak (pełne v8.3)	tak	częściowo (channels OK)	tak	częściowo (chat ograniczone)	częściowo
Entra ID backup	tak (Advanced+)	tak	nie	tak	nie	nie
Immutable storage	tak (Object Lock)	tak	tak	tak	tak	zależy od storage
Self-hosted opcja	tak (VBM365)	tak (on-prem)	tak	nie (tylko SaaS)	nie (tylko SaaS)	tak (on-prem)
Bring your own storage	tak	tak	nie	nie	nie	tak (S3, Wasabi, B2, Azure, etc.)
Polski partner	KluczeSoft, EPA, Veeam PL	AvePoint PL	Acronis PL	przez resellerów	Datto PL	przez resellerów
Idealne dla	enterprise + SMB + MSP	enterprise compliance	hybryd cyber+backup	enterprise pure-SaaS	MSP managed services	MSP/SMB budget
Słabe strony	krzywa nauki, koszt enterprise	drogie, slow UI	mniej granularny restore	brak self-hosted	ograniczone Teams	wymaga własnego storage

Veeam — czemu mimo wszystko numer 1

Veeam ma trzy przewagi, których konkurencja nie dogania:

Maturity — produkt od 2016, najwięcej production deployments, najgłębsza wiedza społeczności i resellerów
Flexibility — jako jedyny daje pełen wybór: SaaS, on-prem, hybrid, bring-your-own-storage
Integration z Veeam Backup & Replication — firmy używające VBR do backupów VMware/Hyper-V mają unified panel dla wszystkiego

AvePoint — wybierz gdy: deep compliance i archiving

AvePoint wyrastał z DocAve dla SharePoint — ma najgłębsze narzędzia compliance dla SharePoint enterprise (records management, retention labels, e-discovery integration). Wybierz, jeśli SharePoint jest fundamentem firmy (kancelarie, instytucje, branża prawna) i potrzebujesz tools beyond simple backup.

Acronis Cyber Protect — wybierz gdy: hybryd security + backup

Acronis łączy backup z endpoint security (anti-malware, anti-ransomware, patch management) w jednej konsoli. Wybierz, jeśli szukasz jednego dostawcy dla całej cyber-ochrony (stacje końcowe + serwery + M365), a nie wyspecjalizowanego backup vendora. Słabsza granularność restore Teams.

Druva — wybierz gdy: pure-SaaS bez infrastruktury

Druva jest 100% SaaS, brak opcji on-prem. Dla firm "cloud-native" bez własnej serwerowni — wygoda nieosiągalna dla self-hosted Veeam. Słabość: brak kontroli nad storage location (USA centric), wyższa cena.

Spanning Backup (Kaseya) — wybierz gdy: jesteś MSP w Kaseya stack

Spanning jest dobrym entry-level dla MSP, którzy już używają Kaseya RMM. Bundled w plan Kaseya 365. Słabość: ograniczona funkcjonalność Teams chat, brak Entra ID, mniejszy ekosystem.

MSP360 — wybierz gdy: budget i własny storage

Najtańsza opcja per-user, ale wymaga własnego storage (Wasabi, B2, AWS S3). Świetne dla MSP obsługujących wielu małych klientów (10-50 osób). Słabość: mniej granularny restore, wolniejszy support, mniejsze community.

Decyzyjna matryca dla polskiej firmy

Firma 20-100 osób, "kup i działa", budget ~$3-4/user/mc → Veeam Data Cloud Foundation
Firma 100-500 osób, własna serwerownia, RODO max → VBM365 + Oktawave/Beyond.pl storage
Firma 500+ osób, compliance KNF/ISO → Veeam VBM365 Premium + Beyond.pl Tier 4
MSP obsługujący 50+ klientów M365 → Veeam VCSP rental albo MSP360 dla najmniejszych
Branża prawna/kancelaria z SharePoint compliance → AvePoint Cloud Backup
Firma z istniejącą Acronis dla endpointów → Acronis Cyber Protect (unified)

Microsoft 365 Backup built-in — kiedy wystarczy, kiedy nie

W kwietniu 2024 Microsoft uruchomił Microsoft 365 Backup — natywną usługę backupu dla Exchange Online, SharePoint i OneDrive, dostępną z poziomu Microsoft 365 admin center. Po dwóch latach na rynku (GA: kwiecień 2024) ma już swoich zwolenników i ograniczenia, które trzeba znać.

Co to jest Microsoft 365 Backup

To natywna usługa Microsoft chroniąca skrzynki, witryny i OneDrive z polityką retencji do 1 roku, pełnym point-in-time restore i bardzo szybkim recovery (Microsoft chwali się "10-100× szybszym restore niż third-party", bo dane nie przechodzą przez API — leżą w tym samym data center).

Pricing — uwaga, model consumption-based

Microsoft 365 Backup ma inny model rozliczania niż Veeam i konkurencja: nie per-user-per-month, tylko per-GB-per-month chronionych danych.

Cena: $0.15/GB/miesiąc (~0.60 zł/GB/mc dla polskich klientów)
Brak limitu, brak SKU — pay-as-you-go
Płatne osobno od licencji M365 (nie wchodzi w E3/E5)

Kalkulacja dla 100 użytkowników średnio 50 GB każdy (mailbox + OneDrive + SharePoint share):

Total chronionych: 5 000 GB = 5 TB
Miesięcznie: 5 000 × $0.15 = $750/mc
Rocznie: $9 000 (~36 000 zł)

Per user wychodzi: $0.75/mc / $9/rok per user.

Porównanie kosztowe vs Veeam dla 100 użytkowników

Rozwiązanie	Cena/user/rok PLN	Dla 100 users PLN/rok	Storage included	Retencja
Microsoft 365 Backup	~36 (zależy od GB)	~36 000	tak (w cenie GB)	do 1 roku
Veeam Data Cloud Foundation	~125	~12 500	tak (unlimited)	bez limitu
Veeam VBM365 self-hosted + Wasabi	~144 (lic) + storage	~24 000 + storage	dokupić	bez limitu
AvePoint Cloud Backup	~216	~21 600	tak	bez limitu

Ciekawa obserwacja: dla małych firm (≤50 GB/user) Microsoft Backup może być TANIEJ niż Veeam SaaS. Dla większych deploymentów Veeam wygrywa. Punkt przecięcia: ~30-40 GB/user (powyżej tego Microsoft drożeje proporcjonalnie do danych).

Kiedy Microsoft 365 Backup wystarczy

Dobry wybór dla:

Małe firmy 5-50 osób, niskie obciążenie skrzynek (<20 GB)
Środowiska "ekstremalnie native" — chcesz mieć wszystko w Microsoft, jeden dashboard, jedna faktura
Wymaganie super-szybkiego restore wewnątrz tego samego tenanta
Brak in-house IT do zarządzania self-hosted Veeam

Kiedy Microsoft 365 Backup NIE wystarczy

Zła decyzja dla:

Retencja >1 roku — Microsoft Backup nie ma długoterminowej retencji (max 1 rok). Dla compliance 5/7/10 lat — odpada.
Teams chat full backup — Microsoft Backup obejmuje SharePoint, OneDrive, Exchange. Teams chat NIE jest objęty (na 2026).
Entra ID backup — nie obejmuje
Backup poza Microsoft cloud — jeśli scenariusz DR zakłada utratę całego tenanta M365, Microsoft Backup też pada. Nie ma offline copy.
Cross-tenant restore — backup z jednego tenanta nie da się odtworzyć do drugiego (np. po M&A albo zmianie domeny)
Granularny eksport do PST — nie wspierany
BYOK / własny klucz szyfrowania — nie wspierany
Compliance offline copy (KSC) — nie spełnia, bo backup zostaje "wewnątrz" Microsoft

Hybryd: Microsoft Backup + Veeam

Niektóre firmy idą drogą hybrydową: Microsoft 365 Backup dla szybkiego operational restore (krótkoterminowy, codzienne pomyłki) + Veeam dla długoterminowej retencji i offline copy. To podwaja koszt, ale daje najlepszy RTO dla 95% scenariuszy + pełną ochronę dla 5% katastroficznych.

Werdykt 2026

Microsoft 365 Backup jest dobrym uzupełnieniem ekosystemu, ale nie zastępuje dojrzałego third-party backupu dla firm 100+ osób. Microsoft sam tego nie ukrywa — pozycjonuje produkt jako "fast recovery layer", nie jako kompletne backup solution. Dla compliance, długoterminowej retencji, offline copy, Entra ID protection — pozostajesz przy Veeam (lub konkurencji).

Implementacja krok po kroku — polska firma 50-500 osób

Praktyczny przewodnik wdrożenia Veeam Backup for Microsoft 365 w wariancie self-hosted dla typowej polskiej firmy 50-500 osób. Całość zajmuje 2-4 tygodnie kalendarzowo, ~40-80 godzin pracy IT.

Faza 1: Planowanie (tydzień 1, ~10h)

Krok 1.1 — Inwentaryzacja środowiska M365

W panelu administratora M365 zbierz dane:

Liczba aktywnych użytkowników (płatne licencje)
Średnia wielkość skrzynki (Reports → Mailbox usage)
Średnia wielkość OneDrive (Reports → OneDrive usage)
Liczba i wielkość witryn SharePoint (SharePoint Admin → Active sites)
Liczba zespołów Teams (Teams Admin)
Liczba grup M365

Krok 1.2 — Wybór architektury

Decyzje:

SaaS (Veeam Data Cloud) czy self-hosted (VBM365)?
Storage backend (Wasabi, polska chmura, on-prem)?
Lokalizacja serwera backupu (on-prem VM / chmura)?
Retencja per workload (zgodnie z polityką firmy)
Polityka RPO (4× dziennie, 2× dziennie, 1× dziennie?)

Krok 1.3 — Sizing

Dla 200 użytkowników typowo:

Backup server: VM 8 vCPU / 16 GB / 200 GB OS (Windows Server 2022)
Storage: Wasabi 10 TB pre-paid (~3 500 zł/rok) albo Oktawave OCS 10 TB (~4 600 zł/rok)
Licencje: 200 × VBM365 subscription = ~28 800 zł/rok netto
Total Y1: ~32 000-35 000 zł

Faza 2: Provisioning (tydzień 1-2, ~12h)

Krok 2.1 — Aplikacja w Entra ID

Veeam wymaga uprawnień app-only do M365 Graph. Tworzysz w Entra ID:

App registration "Veeam Backup for M365"
API permissions: Exchange Online (full_access_as_app), SharePoint (Sites.FullControl.All), MS Graph (różne)
Admin consent dla całego tenanta
Generujesz secret + zapisujesz bezpiecznie

Krok 2.2 — Provisioning serwera backupu

Standardowo na własnym hypervizorze (VMware ESXi, Hyper-V, Proxmox):

Windows Server 2022 Standard, fully patched
Statyczny IP, DNS, NTP zsynchronizowany
Konto serwisowe AD (Local Admin)
Otwarte porty: 443 (do M365 API), 9443 (Veeam console), wewnętrznie do storage

Krok 2.3 — Instalacja VBM365

Download installer z veeam.com (~500 MB)
Express install (SQL Express w zestawie) lub custom (SQL Standard dla >500 users)
Licencja .LIC od KluczeSoft (mail z zamówienia)
Update do najnowszego release (8.4 na czerwiec 2026)

Faza 3: Konfiguracja (tydzień 2, ~10h)

Krok 3.1 — Dodanie repository

W Veeam Console → Backup Infrastructure → Backup Repositories:

Add Object Storage Repository (S3 Compatible)
Endpoint: s3.eu-central-1.wasabisys.com (Wasabi Frankfurt) albo endpoint Oktawave/Beyond.pl
Access Key + Secret Key (od dostawcy storage)
Włącz "Make recent backups immutable" — minimum 30 dni
Test connection, zapis

Krok 3.2 — Podpięcie M365 tenanta

Organizations → Add Organization:

Microsoft 365
Modern app-only authentication
Wklejasz Application ID + Tenant ID + Secret z Faza 2 Krok 2.1
Veeam testuje połączenie i automatycznie discovery wszystkich użytkowników, witryn, zespołów

Krok 3.3 — Backup jobs

Tworzysz minimum 4 osobne joby (dla różnych retencji i schedule):

Job_Exchange_Daily — wszystkie skrzynki, 4× dziennie, retencja 7 lat (dla finansów)
Job_OneDrive_Daily — wszystkie OneDrive, 2× dziennie, retencja 5 lat
Job_SharePoint_Sites — wszystkie witryny SharePoint, 1× dziennie, retencja 5 lat
Job_Teams_All — wszystkie zespoły, 1× dziennie, retencja 3 lata

Każdy job:

Source: organization → odpowiednia kategoria obiektów
Target: skonfigurowane repository
Schedule: poza godzinami pracy (1:00-5:00 dla daily, 12:00 i 18:00 dla intra-day)
Notifications: email do admin@firma.pl on success/failure

Faza 4: Pierwszy backup i weryfikacja (tydzień 3, ~8h kalendarzowo, większość unattended)

Krok 4.1 — First full backup (seeding)

Najpoważniejszy moment. Dla 200 użytkowników × ~60 GB = ~12 TB do pobrania z M365. Realistyczny czas: 36-72 godziny (limit Microsoft API). Zaplanuj weekend, monitoruj postęp w konsoli.

Krok 4.2 — Weryfikacja po pierwszym backupie

Health check repository (Backup Infrastructure → Health Check)
Test restore: weź losowego użytkownika, restore 1 maila do swojej skrzynki, sprawdź czy działa
Test restore: 1 plik z OneDrive innego użytkownika
Test restore: 1 kanał Teams z całą zawartością
Notuj czasy, dokumentuj

Faza 5: Operacyjne (tydzień 4 i dalej, ~2h/miesiąc)

Co tydzień: przegląd raportów (failed jobs, ostrzeżenia)
Co miesiąc: health check repository, weryfikacja retencji, raport o nowych użytkownikach (dynamic scope w jobach to ratuje)
Co kwartał: pełny test restore zgodnie z runbookiem DR
Co rok: przegląd polityki retencji, ocena potrzeby zwiększenia storage
Co rok: odnowienie licencji Veeam (KluczeSoft przypomni)

Częste błędy implementacji

Błąd	Skutek	Jak unikać
Brak immutability w S3	Ransomware kasuje backup	Object Lock obowiązkowy
Backup na ten sam tenant Azure	M365 down = backup down	Storage poza Microsoft (Wasabi, polska chmura)
Static scope users (lista zamiast grupy)	Nowi użytkownicy nie są backupowani	Dynamic scope (cała organizacja / grupa M365)
Brak monitoringu jobs	Backup pada, IT nie wie	Email alerts + SIEM integration
Pojedyncza retencja na wszystko	Koszt storage rośnie niepotrzebnie	Per-workload retention policy
Brak testów restore	Restore podczas DR zawiera niespodzianki	Kwartalny test

Podsumowanie — ROI vs koszt ransomware i utraty danych

Backup Microsoft 365 dla polskiej firmy 50-500 osób kosztuje rocznie 8 000 - 80 000 zł netto (zależnie od skali, modelu SaaS vs self-hosted, wyboru storage). To wydaje się dużo, dopóki nie zestawisz z kosztem alternatywy.

Średni koszt incydentów w 2025-2026 (polski rynek)

Ransomware z okupem dla firmy 200-500 osób: średnio 250 000 - 1 500 000 zł okupu + 800 000 - 4 000 000 zł downtime + 200 000 - 800 000 zł audyt forensic i remediation. Łączna ekspozycja: 1.2 - 6.3 mln zł.
Departing employee — utrata krytycznych dokumentów: średni koszt 80 000 - 400 000 zł (utracone deal, koszt prawny, koszt rekonstrukcji).
Mass-delete administracyjny (przykład 850 użytkowników z 2025): koszt rekonstrukcji ręcznej szacowany na ~1 200 000 zł + 2-3 miesiące przerwy w pracy działów.
Compliance failure RODO: kara UODO 0.5% - 2% obrotu rocznego (max 4% lub 20 mln EUR).
Audyt KNF dla banku wykazujący brak backupu: zalecenie pokontrolne + ryzyko sankcji administracyjnych.

Realna kalkulacja ROI dla firmy 200 osób

Koszt Veeam (przykład, model self-hosted):

Licencje VBM365 subscription: 200 × ~144 zł = 28 800 zł/rok
Storage Wasabi 10 TB: ~3 500 zł/rok
Czas IT (4 godziny/miesiąc × 200 zł): 9 600 zł/rok
Amortyzacja serwera VM: ~3 000 zł/rok
Total Y1 z wdrożeniem: ~55 000 zł, Y2+ run-rate: ~45 000 zł/rok

Vs. koszt jednego incydentu ransomware: 1 500 000 zł (konserwatywnie). ROI Veeam pokrywa 30+ lat backupu w jednym uniknitym incydencie.

Według badania IBM Cost of Data Breach 2025, firmy z dobrze udokumentowanym backupem i tested DR plan redukują średni koszt incydentu cyberbezpieczeństwa o 70%. Dla polskiej firmy średnia różnica to ~2.2 mln zł na incydent.

Trzy zasady, których nie wolno łamać

Backup MUSI być immutable. Object Lock w S3, WORM w storage on-prem. Bez tego ransomware kasuje backup razem z resztą.
Backup MUSI być testowany. Restore, który nigdy nie był sprawdzony, statystycznie zawodzi w 30% przypadków podczas realnego DR.
Backup MUSI być offsite względem M365. Backup do Azure Blob w tym samym regionie, gdzie leży Twój M365 tenant, to nie backup. To replikacja.

Co zrobić w tym tygodniu (jeśli jeszcze nie masz backupu M365)

Sprawdź swoją ekspozycję: ile użytkowników, ile danych, jaka byłaby strata po incydencie ransomware (wartość godzinowa biznesu × 72h DR)
Wybierz model: SaaS (Veeam Data Cloud — 2 tygodnie wdrożenia) albo self-hosted (4 tygodnie, większa kontrola)
Skontaktuj się z autoryzowanym dystrybutorem (KluczeSoft, EPA, Veeam PL channel) — wyceny, rabaty wolumenowe, NFR dla testu
Wdróż w 4 tygodnie — według procedury z sekcji 13 tego przewodnika
Przetestuj restore w 5 tygodniu — to jest finiszowa weryfikacja, czy backup działa

Backup nie jest wydatkiem. Backup jest formą ubezpieczenia.

Płacisz składkę miesięcznie. Większość miesięcy nie skorzystasz. Ten jeden miesiąc, kiedy skorzystasz — wartość ubezpieczenia jest setki razy wyższa niż wszystkie składki łącznie. Veeam Backup for Microsoft 365 jest dziś standardem rynkowym dla polskich firm, które traktują continuity poważnie. Microsoft sam nie chroni Twoich danych — i nie ukrywa tego w żadnym SLA. Reszta jest Twoja.

Aby uzyskać wycenę Veeam Backup for Microsoft 365 dla swojej firmy, sprawdź ofertę KluczeSoft — autoryzowanego polskiego dystrybutora Veeam z dedykowanymi rabatami wolumenowymi dla rynku PL i wsparciem przedsprzedażowym (sizing, dobór storage, wdrożenie). Dla firm rozważających 50+ użytkowników standardowo organizujemy bezpłatny POC z 30-dniową licencją testową.

Najczęściej zadawane pytania

Nie, Microsoft 365 nie robi backupu w klasycznym znaczeniu tego słowa. To jest jeden z najczęstszych mitów na rynku — wynika z mylenia wysokiej dostępności z backupem. Microsoft zapewnia infrastrukturę chmury (replikację geograficzną, uptime 99.9%, redundancję sprzętową), ale nie chroni Twoich danych przed błędem ludzkim, ransomware, celowym usunięciem ani długoterminową retencją. Standardowe okna recovery to: Exchange Deleted Items 14-30 dni, SharePoint i OneDrive Recycle Bin 93 dni łącznie, Entra ID soft-delete użytkowników 30 dni. Po tym czasie dane znikają bezpowrotnie. Microsoft jasno publikuje to w Shared Responsibility Model: oni odpowiadają za infrastrukturę, Ty za swoje dane. Microsoft sam rekomenduje wdrożenie third-party backupu dla M365 — to jest pisemne stanowisko w dokumentacji Microsoft Learn. Veeam, AvePoint, Acronis, Druva istnieją po to, żeby wypełnić tę lukę.

Realistycznie 5-14 dni roboczych dla pełnego restore 1000 skrzynek (zakładając średnio 30 GB per skrzynka = 30 TB danych). Kluczowe ograniczenie nie leży po stronie Veeam — leży po stronie Microsoft Graph API, który ma twardy throttling (~60 requestów/sekundę per tenant dla EWS, kilkaset dla MS Graph). Niezależnie ile masz proxy backupu, realny throughput restore to ~25-50 MB/s sumarycznie. Dlatego best practice scenariuszy DR to: priorytetyzacja restore (zarząd, finanse, sprzedaż w pierwszej kolejności, 24h), reszta organizacji w ciągu 7 dni. Veeam Data Cloud Premium oferuje opcję pełnego Disaster Recovery z gwarantowanym RTO ≤24h, ale to opcja dla firm z budżetem 7+ USD/user/mc. Większość polskich firm akceptuje 7-10 dni full restore jako realny SLA i planuje communications dla użytkowników na taki czas.

Cena katalogowa Veeam Data Cloud for Microsoft 365 (model SaaS) w 2026 to: Foundation $2.63/user/mc (~125 zł/user/rok), Advanced $3.33/user/mc (~158 zł/user/rok) z backupem Entra ID, Premium $7.00/user/mc (~333 zł/user/rok) z pełnym Disaster Recovery. Storage unlimited w cenie. Dla wariantu self-hosted (VBM365): subscription ~$36/user/rok (~144 zł), perpetual ~$72/user (~288 zł jednorazowo) + ~$15/user/rok (~60 zł) maintenance, ale storage trzeba dokupić oddzielnie (Wasabi, AWS S3, polska chmura). Rabaty wolumenowe powyżej 500 użytkowników redukują cenę o 20-35%, multi-year contracts dodatkowo o 10-15%. Realna cena netto dla 1000 użytkowników po negocjacji to często ~95-110 zł/user/rok. KluczeSoft jako autoryzowany dystrybutor Veeam negocjuje warunki indywidualnie w imieniu klienta końcowego, organizuje bezpłatne POC z 30-dniową licencją testową.

Najtańszą opcją cenowo per GB jest Wasabi Hot Cloud ($0.0069/GB/mc, ~10 000 zł/rok dla 30 TB, bez egress fees) lub Backblaze B2 ($0.006/GB/mc, ~8 600 zł/rok dla 30 TB). Oba dostępne w Frankfurcie/Amsterdamie. AWS S3 Standard ($0.023/GB/mc) jest 3× droższy w storage i dodatkowo pobiera $0.09/GB za egress (download), co przy realnym DR 10 TB to dodatkowe ~3 600 zł jednorazowo. Polskie chmury (Oktawave ~0.038 zł/GB/mc, Beyond.pl ~0.04 zł/GB/mc, MAIN ~0.045 zł/GB/mc) są droższe od Wasabi o 30-50%, ale: brak egress fees w PL, polska jurysdykcja, ISO 27001 + RODO compliance out-of-the-box, gotowe DPA. Dla sektorów regulowanych (KNF banki, ochrona zdrowia, energetyka) różnica ~5 000 zł/rok per 30 TB jest akceptowalnym kosztem za compliance. Best practice 2026 dla typowej polskiej firmy 100-500 osób: Wasabi dla głównego storage + lokalna kopia 3-2-1 na NAS Synology w siedzibie. Dla sektorów regulowanych: Beyond.pl Tier 4 lub Oktawave.

Tak, i jest to zalecane dla wielu scenariuszy biznesowych. Polscy dostawcy obsługujący backup M365 z natywnym wsparciem Veeam to: Oktawave (Warszawa+Łódź, Tier 3, ~0.038 zł/GB/mc), Beyond.pl (Poznań, Tier 4 ANSI/TIA-942 — jedyny w PL, ~0.04 zł/GB/mc), MAIN (Warszawa+Katowice, oferta BaaS z gotowym Veeam, ~12 zł/user/mc all-inclusive), ATM/ATMAN (4× DC Warszawa), Polcom (Skawina), Comarch Data Center (Kraków). RODO compliance: wszyscy mają ISO 27001, gotowe umowy powierzenia przetwarzania (DPA) zgodne z art. 28 RODO, polską jurysdykcję. Dla banków i sektora finansowego mają pre-aprobaty KNF zgodne z Komunikatem KNF w sprawie korzystania z usług chmury (2020/2023). Beyond.pl Tier 4 jest standardowym wyborem dla największych banków komercyjnych. Backup w polskiej chmurze rozwiązuje dwa problemy: (1) dane są w polskiej jurysdykcji prawnej, niezależnie od regionu Microsoft 365, (2) w razie awarii regionu Microsoft EMEA masz kopię niezależną od dostawcy.

RPO (jak daleko wstecz sięga ostatnia poprawna kopia) zależy od częstotliwości backupu. Standard: 12-24 godziny dla wszystkich workloadów (1× dziennie). Optymalna konfiguracja: 4× dziennie (co 6 godzin) — RPO 6 godzin. Edycja Veeam Data Cloud Premium oferuje near-continuous backup co 1 godzinę dla Exchange. RTO (czas pełnego restore) jest znacznie wolniejszy, ponieważ wąskim gardłem jest Microsoft Graph API throttling (nie Veeam). Realne czasy: 1 wiadomość email 10-30 sekund, folder 1000 maili 5-15 minut, cała skrzynka 30 GB 4-8 godzin, OneDrive użytkownika 50 GB 3-6 godzin, witryna SharePoint 100 GB 8-24 godziny, kanał Teams ze wszystkim 2-6 godzin, pełen tenant 1000 użytkowników 7-14 dni. Praktycznie planuj DR runbook z priorytetyzacją: krytyczni użytkownicy (zarząd, finanse, sprzedaż) restore w 24h, reszta w 7-10 dni. Veeam Data Cloud Premium z DR option daje gwarantowany RTO ≤24h dla pełnego tenanta, ale to znaczna inwestycja (~$7/user/mc).

Dla bardzo małych firm (5-30 osób, niskie obciążenie skrzynek do 20 GB) Microsoft 365 Backup (GA od kwietnia 2024) może wystarczyć i być TANIEJ od Veeam — model consumption-based $0.15/GB/mc. Punkt przecięcia cenowego: ~30-40 GB per user (powyżej Microsoft drożeje proporcjonalnie). Ale Microsoft Backup ma istotne ograniczenia, które dyskwalifikują go dla firm 50+ osób: maksymalna retencja 1 rok (compliance 5/7/10 lat — odpada), brak backupu Teams chat (tylko SharePoint/OneDrive/Exchange), brak backupu Entra ID, brak offline copy poza Microsoft cloud, brak cross-tenant restore (problem przy M&A), brak granularnego eksportu do PST, brak BYOK encryption. Microsoft sam pozycjonuje produkt jako 'fast recovery layer' dla operational restore, nie jako kompletne backup solution. Dla firm 50+ osób, sektorów regulowanych (KNF, KSC), długoterminowej retencji compliance — pozostajesz przy Veeam (albo konkurencji typu AvePoint/Acronis/Druva). Niektóre firmy stosują hybrydę: Microsoft Backup dla szybkiego operational restore + Veeam dla długoterminowej retencji.

Veeam Data Cloud Advanced ($3.33/user/mc) jest ~25-40% TAŃSZY od AvePoint Cloud Backup ($4.50-6.00/user/mc) w cenach katalogowych 2026, przy porównywalnym lub szerszym zakresie funkcjonalnym. Veeam wygrywa w: dojrzałości produktu (od 2016, największa baza wdrożeń, najbogatsza społeczność), elastyczności wdrożenia (SaaS + on-prem + hybrid + bring-your-own-storage), integracji z Veeam Backup & Replication dla firm używających już Veeam dla VMware/Hyper-V, granularności restore Teams (v8.3 do pojedynczej wiadomości chat), Entra ID backup w edycji Advanced, mniejszej krzywej nauki dla nowych adminów. AvePoint wygrywa w: głębokich narzędziach compliance dla SharePoint enterprise (records management, retention labels enterprise-grade, e-discovery integration), polityk archiwizacji dla branży prawnej, dłuższym tracking-record w SharePoint (DocAve od 2006). Wybierz Veeam dla większości scenariuszy 50-5000 osób. Wybierz AvePoint, jeśli SharePoint enterprise z deep compliance to fundament firmy (kancelarie prawne, instytucje publiczne, branża prawna z records management).

Tak, Veeam ma stały program NFR (Not For Resale), w ramach którego można otrzymać bezpłatną pełnofunkcyjną licencję na 250 użytkowników + 10 grup M365. Licencja jest pełnowymiarowa (z wyłączeniem produkcyjnego użycia komercyjnego), odnawiana corocznie, z dostępem do tych samych release co produkcja. Kwalifikacja: certyfikowani Veeam (VMCE, VMTSP), Microsoft MVP, VMware VCP/VCAP, pracownicy Veeam Cloud Service Providers (VCSP), niektóre profile administratorów IT, instytucje edukacyjne, niektóre NGO. Rejestracja na veeam.com/nfr — wymagana weryfikacja certyfikatów lub przynależności. Dla firm idealne do: laboratory środowisko testowe, własna firma IT do testowania konfiguracji przed wdrożeniem klienta, środowisko dev/staging, edukacja wewnętrznych adminów. NFR NIE może być używane do backupowania produkcyjnych danych klientów płatnych. Dla edukacji formalnej (szkoły, uczelnie) Veeam ma osobny program Veeam University z większymi limitami. KluczeSoft jako dystrybutor pomaga z rejestracją NFR i przejściem klienta z NFR (test) na produkcyjną licencję.

To jeden z najczęstszych use case'ów backupu M365 — i jeden z najbardziej wartościowych. Typowy scenariusz: pracownik odchodzi, IT po 30 dniach zwalnia licencję M365 zgodnie z polityką offboarding, skrzynka i OneDrive są usuwane z aktywnego tenanta. Po pół roku Sąd Pracy żąda korespondencji z konkretnego okresu, dział handlowy potrzebuje pliku z umową, dział prawny potrzebuje dokumentu projektu — i nagle okazuje się, że nie ma jak dostać tych danych. Microsoft soft-delete user (30 dni) dawno minął. Bez backupu: dane utracone bezpowrotnie, ryzyko sankcji prawnych, utrata wiedzy biznesowej. Z Veeam: skrzynka i OneDrive zachowane w backupie zgodnie z polityką retencji (standard rynkowy 5-7 lat dla departed employees w polskich firmach, 7-10 lat dla sektora regulowanego). Restore opcje: pełne odtworzenie do skrzynki innego pracownika (np. przełożonego — częsta praktyka), eksport do PST/ZIP (dla działu prawnego, HR, sądu), self-service przez Restore Portal dla autoryzowanych użytkowników. Czas restore typowej skrzynki: 4-8 godzin. Best practice: oddzielny backup job z dłuższą retencją dla 'departed employees' grupy w Entra ID — automatyzacja przeniesienia użytkownika do tej grupy w procesie offboarding.

To zależy wyłącznie od polityki retencji, którą skonfigurowałeś — Veeam technicznie pozwala na retencję od kilku dni do nieskończoności. Standardowa konfiguracja dla polskiej firmy 100-500 osób: retencja 30 dni przy backupie 4× dziennie (120 punktów restore), dalej weekly snapshots przez 12 miesięcy, dalej monthly snapshots przez 5-7 lat. To znaczy: można cofnąć się dosłownie do dowolnego punktu sprzed ataku, zakładając, że atak nie był wcześniejszy niż 5-7 lat. Realistycznie ransomware jest wykrywany w ciągu 1-48 godzin od pierwszego szyfrowania (alerts z EDR, użytkownicy zgłaszają niedostępność plików), więc backup point sprzed 24-48h jest zwykle czysty. KLUCZOWE: backup musi być immutable (Object Lock w S3, WORM w storage on-prem) — bez tego ransomware kasuje również backup razem z resztą i nawet 7 lat retencji nic nie da. Polska konfiguracja best practice 2026: Wasabi/Beyond.pl S3 z Object Lock 30 dni minimum + Veeam encryption AES-256 + offline copy na NAS Synology w siedzibie (3-2-1 rule). Drugi kluczowy element to test restore minimum kwartalny — restore który nigdy nie był testowany statystycznie zawodzi w 30% przypadków podczas realnego DR.

To jest realny konflikt regulacyjny i jeden z najczęściej zadawanych pytań compliance officerów. RODO art. 17 (prawo do bycia zapomnianym) mówi: na żądanie podmiotu danych musisz usunąć dane osobowe. RODO art. 32 (integralność i poufność) mówi: musisz zabezpieczyć dane przed utratą (czyli mieć backup). Stanowisko UODO i Europejskiej Rady Ochrony Danych (EROD): dane osobowe w backupach NIE muszą być usunięte natychmiast po żądaniu RTBF, pod trzema warunkami. Po pierwsze, backupy muszą być niedostępne w normalnej operacji (offsite, immutable, nie używane do bieżącego dostępu). Po drugie, musi istnieć udokumentowana procedura usunięcia danych przy ewentualnym restore (jeśli restore'ujesz skrzynkę usera, którego RTBF dotyczy — usuń jego dane po restore zanim przekażesz do produkcji). Po trzecie, okres retencji backupu musi być udokumentowany i uzasadniony celem przetwarzania. Praktycznie: prowadź rejestr żądań RTBF z notatką 'do usunięcia z backupów przy najbliższym restore', dokumentuj politykę retencji pisemnie w polityce ochrony danych firmy, użyj Veeam PowerShell cmdlet Remove-VBOEntityData do trwałego purge konkretnego usera ze wszystkich backupów (dostępne od v6), po wygaśnięciu okresu retencji backup wygasa automatycznie. Veeam ma dedykowaną dokumentację GDPR/RODO compliance — wykorzystywaną jako załącznik w polityce ochrony danych.

Czy ten artykuł był pomocny?