Przejdź do treści
dyrektywaNIS2

Branża · Załącznik I

NIS2 w energetyce

Polski sektor energetyczny — od operatorów systemów dystrybucyjnych (OSD) po regionalne ciepłownie — od 3 kwietnia 2026 r. jest jednym z najbardziej regulowanych obszarów dyrektywy NIS2. Tu klasyfikacja jako Podmiot Kluczowy jest niemal nieuchronna, a specyfika OT (systemy SCADA, sterowniki, telemetria) dyktuje większość praktycznych decyzji wdrożeniowych.

Aktualizacja: 10 min czytania

Autor:Dariusz ZającLead vCISO, Cyber Alterity

5 kategorii

Podsektorów energetyki

el-energ., gaz, ropa, ciepło, wodór

URE

Organ właściwy

+ CSIRT NASK i CSIRT-y sektorowe

IEC 62443

Standard branżowy OT

+ model referencyjny Purdue

Kto z energetyki jest w zakresie

Załącznik I dyrektywy NIS2 wymienia energetykę jako sektor wysokiej krytyczności i wskazuje pięć kategorii podmiotów objętych obowiązkami. Polski projekt nowelizacji ustawy o KSC przepisuje tę klasyfikację bez istotnych modyfikacji.

  • Elektroenergetyka — operatorzy systemów przesyłowych (OSP, w Polsce PSE), operatorzy systemów dystrybucyjnych (OSD: Enea Operator, PGE Dystrybucja, Tauron Dystrybucja, Energa-Operator i mniejsze), producenci energii elektrycznej, agregatorzy, operatorzy magazynów energii, wytwórcy z OZE powyżej określonego progu mocy.
  • Gaz — operator systemu przesyłowego (GAZ-SYSTEM), operatorzy systemów dystrybucyjnych (Polska Spółka Gazownictwa), operatorzy magazynów gazu (Gas Storage Poland), operatorzy terminali LNG, dostawcy gazu sieciowego o znaczącej liczbie odbiorców.
  • Ropa — operatorzy rurociągów (PERN), operatorzy magazynów strategicznych, rafinerie (PKN Orlen, Lotos Grupa), dystrybutorzy o znacznej skali.
  • Ciepłownictwo — operatorzy sieci ciepłowniczych o określonych progach mocy (typowo zakłady o przyłączu większym niż 5 MW), producenci ciepła systemowego.
  • Wodór — operatorzy infrastruktury wodorowej (przesyłowej, dystrybucyjnej, magazynowej). Nowa kategoria, jeszcze o ograniczonej obsadzie w Polsce.

Próg wielkości stosowany jest jednolicie: powyżej 250 osób lub powyżej 50 mln EUR obrotu rocznego (lub suma bilansowa powyżej 43 mln EUR) ⇒ Podmiot Kluczowy. Średnie firmy (50–249 osób albo 10–50 mln EUR obrotu) ⇒ Podmiot Ważny. W praktyce większość podmiotów w energetyce przekracza próg „duże" już z samej skali operacyjnej.

Specyfika OT — dlaczego energetyka jest trudna

Standardowa cyberhigiena znana z biurowego IT — patche, MFA, EDR — w środowisku OT bywa fizycznie niewykonalna. Sterowniki PLC, systemy SCADA, układy automatyki podstacji elektroenergetycznych mają cykle aktualizacji liczone w latach, a okno wymiany komponentu wymaga uzgodnienia z dyspozytorem mocy i organem regulacyjnym (URE). To rodzi trzy specyficzne wyzwania.

Po pierwsze, segmentacja sieci IT/OT. Model referencyjny ISA-95 / Purdue (poziomy 0–5) jest dla NIS2 nie opcjonalny, lecz minimum bezpieczeństwa. Wymaga fizycznej lub logicznej separacji sieci biurowej od sieci automatyki, z dedykowaną „strefą zdemilitaryzowaną" (IDMZ) na granicy. W praktyce każdy operator OSD musi mieć przemysłowy firewall NGFW z inspekcją protokołów DNP3, IEC 60870-5-104 oraz IEC 61850 — protokołów, których standardowy firewall enterprise nie rozumie.

Po drugie, ciągłość działania. Awaria systemu SCADA na poziomie centrum dyspozytorskiego ma natychmiastowe konsekwencje dla gospodarki regionu. Polski operator OSD musi mieć rezerwowe centrum dyspozytorskie z czasem przełączenia liczonym w minutach, nie godzinach. NIS2 wymaga formalnej procedury Disaster Recovery z udokumentowanym RTO/RPO dla każdej krytycznej usługi.

Po trzecie, łańcuch dostaw OT. Sterowniki, RTU, oprogramowanie HMI są dostarczane przez wąską grupę dostawców (Siemens, ABB, Schneider Electric, Mitsubishi). Każda nowa wersja firmware jest potencjalnym wektorem ataku — w 2017 r. atak Triton/Trisis na bezpieczne sterowniki Schneider w Arabii Saudyjskiej pokazał, że scenariusz nie jest teoretyczny. NIS2 Art. 21(2)(d) zobowiązuje do oceny ryzyka takich dostawców i kontraktowych mechanizmów aktualizacji.

Regulatorzy — kto jest organem właściwym

Organ właściwy do spraw cyberbezpieczeństwa

Minister Energii

Sektor: Energia. Załącznik nr 1 do ustawy o KSC.

Źródło: Ministerstwo Cyfryzacji, „KSC pytania i odpowiedzi" pkt 11.1.

Ministerstwo Cyfryzacji w pkt 11.1 odpowiedzi do nowelizacji KSC wskazuje wprost: organem właściwym do spraw cyberbezpieczeństwa dla sektora energetyki jest Minister Energii. Polskie regulatory sektorowe pozostają oddzielną warstwą — to one nadzorują rynek energetyczny w klasycznym rozumieniu (Prawo Energetyczne), ale w obszarze cyberbezpieczeństwa kontrole i kary administracyjne wymierza organ wskazany przez ustawę o KSC.

  • URE (Urząd Regulacji Energetyki) — sektorowy regulator rynku energii (Prawo Energetyczne). Pozostaje istotnym partnerem operacyjnym w obszarze koncesji, taryf i wymogów OT, ale nie jest organem właściwym KSC w rozumieniu pkt 11.1 Ministerstwa Cyfryzacji.
  • CSIRT NASK — kanał raportowania incydentów dla większości podmiotów energetycznych w trybie 24 h / 72 h / 1 miesiąc.
  • CSIRT GAZ-SYSTEM / CSIRT-Energa — sektorowe CSIRT-y wewnątrz wybranych spółek strategicznych, działające w trybie współpracy z CSIRT NASK. Dla nich pierwszy poziom zgłoszenia jest wewnątrzgrupowy.
  • ABW — kontroli podmiotów oznaczonych „z urzędu" jako infrastruktura krytyczna oraz nadzoru nad informacjami niejawnymi obecnymi w dokumentacji bezpieczeństwa.

Praktyczne kroki dla operatora energetycznego

Plan działań różni się od ogólnego planu z pillaru NIS2 w praktyce — pierwsze 30 dni w trzech punktach.

  1. Audyt segmentacji IT/OT w pierwszym miesiącu — nie czeka na pełen plan roczny. Mapa sieci, identyfikacja niedopuszczalnych połączeń (np. biurowa stacja kierownika ruchu mająca dostęp do interfejsu SCADA), priorytetowy plan oddzielenia.
  2. Inwentaryzacja zasobów OT — sterowniki PLC, RTU, układy pomiarowe muszą znaleźć się w jednej spójnej bazie (CMDB) z polem „krytyczność dla ciągłości dystrybucji". Bez tego nie ma sensownej analizy ryzyka.
  3. Plan ciągłości dyspozytorskiej — formalne zatwierdzenie RTO/RPO dla SCADA, OMS, MMS i innych systemów dyspozytorskich przez członka zarządu odpowiedzialnego za bezpieczeństwo. To dokument, który URE sprawdza w pierwszej kolejności w trakcie kontroli.

Polski kontekst — ENISA i URE

Europejska Agencja Cyberbezpieczeństwa (ENISA) w corocznych raportach Threat Landscape klasyfikuje sektor energetyczny jako jeden z czterech sektorów najwyższego ryzyka systemowego w UE, obok finansów, ochrony zdrowia i transportu. Praktyczne implikacje dla polskiego operatora są dwie. Po pierwsze, URE w trakcie kontroli sektorowej oczekuje udokumentowanej analizy ryzyka biorącej pod uwagę zarówno ransomware, jak i scenariusze sabotażu OT (sterowniki, SCADA, podstacje). Po drugie, wymogi NIS2 Art. 21 (segmentacja, MFA, monitoring, BCP/DR) nie są regulacyjną abstrakcją — odpowiadają wprost na zidentyfikowane wektory ataków na infrastrukturę elektroenergetyczną w państwach członkowskich UE w ostatnich latach.

Pakiet dokumentów wymaganych przez URE

Z perspektywy kontroli sektorowej URE bada zazwyczaj cztery dokumenty — i ich brak (a nie brak konkretnych zabezpieczeń technicznych) jest najczęstszą przyczyną kary.

  1. Polityka SZBI dostosowana do specyfiki OT, ze wzmianką o protokołach przemysłowych i modelu referencyjnym (Purdue lub IEC 62443).
  2. Plan ciągłości działania (BCP/DRP) z RTO/RPO i terminami testów odtworzeniowych — wymagane przynajmniej raz w roku, w środowisku zbliżonym do produkcyjnego.
  3. Plan obsługi incydentów z explicit referencją do kaskady 24 h / 72 h / 1 miesiąca i wskazaniem CSIRT sektorowego (jeśli dotyczy) jako pierwszego poziomu zgłoszenia.
  4. Mapowanie na IEC 62443 — standard branżowy cybersafety dla systemów automatyki. Nie jest formalnie wymagany przez polskie prawo, ale URE w praktyce go oczekuje. Bez mapowania kontroli technicznych na zone-and-conduit IEC 62443 audyt jest pierwszym krokiem do uwagi pokontrolnej.

Co dalej

Jeżeli Państwa firma jest w energetyce i jeszcze nie ma jasno przypisanego CISO (vCISO lub etatowego) — to jest pierwszy ruch. Standardowy plan budowy SZBI pod NIS2 to 9–12 miesięcy intensywnej pracy projektowej i kilkudziesięciu kilkudziesięciu wzmianek o aktualizacjach systemów OT z dostawcami. Bez dedykowanej osoby nie ma jak utrzymać tempa.

Pełna lista obowiązków technicznych jest w pillarze Obowiązki techniczne Art. 21. Skala kar w sektorze elektroenergetycznym — z uwzględnieniem obrotu globalnego dla podmiotów z międzynarodowych grup kapitałowych — jest opisana w Art. 12a i kary. Klasyfikator NIS2 obsługuje również sektory energetyczne — można sprawdzić klasyfikację konkretnej spółki w trzy parametry: otwórz klasyfikator.

Marka Cyber Alterity ma doświadczenie wdrożeniowe w energetyce ze szczególnym uwzględnieniem segmentacji IT/OT i mapowania na IEC 62443. Bezpłatny audyt zerowy obejmuje weryfikację, w jakim sektorze energetycznym firma realnie operuje i jakie konkretnie wymogi URE jej dotyczą.

Umów konsultację