Przejdź do treści
dyrektywaNIS2

Branża · Załącznik II

NIS2 w produkcji przemysłowej

Produkcja przemysłowa to sektor, w którym NIS2 spotyka się z realiami hali produkcyjnej: linie pracujące w trybie 24/7, sterowniki PLC z firmware z 2008 r., systemy MES integrujące dane z ERP, i Zarząd, dla którego godzina przestoju to setki tysięcy złotych straty. Ten przewodnik tłumaczy, jak NIS2 zmienia codzienność polskiej fabryki i co realnie trzeba wdrożyć teraz, gdy ustawa już obowiązuje (od 3 kwietnia 2026 r.).

Aktualizacja: 10 min czytania

Autor:Dariusz ZającLead vCISO, Cyber Alterity

Załącznik II

Klasyfikacja sektora

Podmiot Ważny przy ≥ 50 osób / 10 mln EUR

70 %

Polskich fabryk z płaską siecią

IT i OT bez segmentacji — naturalny wektor ataku

4–7 dni

Średni przestój po ransomware

benchmark polski 2024 r.

Kto z produkcji przemysłowej jest w zakresie

Załącznik II dyrektywy NIS2 wymienia „produkcję przemysłową" jako sektor krytyczny (klasyfikacja Podmiot Ważny). Polski projekt nowelizacji ustawy o KSC powiela ten zakres, doprecyzowując podkategorie:

  • Wyroby medyczne — producenci wyrobów objętych rozporządzeniem MDR/IVDR. To grupa szczególnie wrażliwa, ponieważ równolegle obowiązuje już reżim FDA / EUDAMED.
  • Elektronika, komputery i optyka — producenci obwodów drukowanych, systemów IoT, podzespołów dla motoryzacji i lotnictwa.
  • Maszyny i urządzenia — producenci maszyn przemysłowych, narzędzi, sprzętu rolniczego, urządzeń energetycznych.
  • Pojazdy — producenci samochodów osobowych, ciężarowych, autobusów, ich części, a także elektroniki samochodowej (UN R155, R156).
  • Pozostały sprzęt transportowy — wagonowy, tramwajowy, lotniczy w zakresie konstrukcji.
  • Sprzęt elektryczny — producenci aparatury łączeniowej, transformatorów, kabli, oświetlenia przemysłowego.

Próg klasyfikacji to standardowe MŚP: powyżej 50 osób lub powyżej 10 mln EUR obrotu rocznego ⇒ Podmiot Ważny. Powyżej 250 osób lub 50 mln EUR ⇒ nadal Podmiot Ważny (bo produkcja przemysłowa jest w Załączniku II, nie I — kategoria „Kluczowy" nie ma zastosowania niezależnie od wielkości).

Praktyczny skutek: większość średnich polskich fabryk z zatrudnieniem 80–200 osób, których do tej pory ustawa o KSC z 2018 r. NIE OBEJMOWAŁA, od 3 kwietnia 2026 r. weszła w zakres jako Podmiot Ważny.

Organ właściwy do spraw cyberbezpieczeństwa

Organ właściwy do spraw cyberbezpieczeństwa

Minister Finansów i Gospodarki

Pięć pod-kategorii Załącznika 2 (komputery i elektronika; urządzenia elektryczne; maszyny gdzie indziej niesklasyfikowane; pojazdy samochodowe; pozostały sprzęt transportowy) — wszystkie pod Ministrem Finansów i Gospodarki.

Sektor: Produkcja (komputery, elektronika, urządzenia elektryczne, maszyny, pojazdy, pozostały sprzęt transportowy). Załącznik nr 2 do ustawy o KSC.

Źródło: Ministerstwo Cyfryzacji, „KSC pytania i odpowiedzi" pkt 11.1.

Pięć pod-sektorów Załącznika nr 2 (produkcja komputerów i elektroniki; urządzeń elektrycznych; maszyn gdzie indziej niesklasyfikowanych; pojazdów samochodowych; pozostałego sprzętu transportowego) podlega temu samemu organowi — Ministrowi Finansów i Gospodarki. Dla producentów wyrobów medycznych (kategoria odrębna) organem właściwym jest Minister Zdrowia (zobacz ochrona zdrowia).

Specyfika OT — czym hala różni się od biura

Tradycyjny dział IT polskiej fabryki jest zwykle skoncentrowany na bezpieczeństwie biurowym: poczta, ERP, kontrola dostępu, systemy finansowo-księgowe. Sieć przemysłowa (OT) — sterowniki PLC linii produkcyjnych, HMI obsługujące maszyny, systemy MES, układy pomiarowe — była historycznie traktowana jako „domena utrzymania ruchu", bez znaczącej uwagi cybersecurity.

Trzy obserwacje wynikające z dziesiątek polskich audytów:

  1. Płaska sieć — w 70% polskich średnich fabryk komputer pracownika księgowości jest fizycznie połączony tą samą siecią (LAN) z PLC sterującym halą produkcyjną. Brak segmentacji oznacza, że ransomware atakujący pocztę pracownika może w ułamku sekundy zatrzymać linię produkcyjną.
  2. Sterowniki na starym firmware — typowy PLC Siemens S7-300, Mitsubishi FX czy Allen-Bradley CompactLogix w polskim zakładzie ma firmware z 2010–2014 r. Większość znanych CVE w tym zakresie nie ma patchy (Siemens wydaje wybiórcze aktualizacje, ale ich wdrożenie wymaga zatrzymania produkcji).
  3. Konta serwisowe dostawców — integrator linii produkcyjnej zazwyczaj ma własne konto z uprawnieniami administracyjnymi na HMI i często VPN bezpośrednio do sieci zakładu. To częsta luka — zakład nie wie, że konto jest aktywne, integrator nie wie, że odszedł od projektu pracownik z dostępem.

Model Purdue i strefa IDMZ

Standard branżowy IEC 62443 (i jego praktyczna implementacja w postaci modelu referencyjnego Purdue) jest rozwiązaniem na wszystkie trzy problemy. Definiuje sześć poziomów (0–5) i wymaga, by ruch między poziomami przechodził przez dedykowaną strefę zdemilitaryzowaną (IDMZ) z przemysłowym firewallem.

Praktyczna implementacja dla średniej polskiej fabryki:

  • Poziom 0–2 (PLC, RTU, HMI) — wydzielone w osobnej sieci, fizycznie odseparowanej od sieci biurowej.
  • Poziom 3 (MES) — działa w wydzielonej sieci produkcyjnej, dostęp z poziomu 4 (ERP) tylko przez kontrolowany kanał.
  • Poziom 4 (ERP, MS Office, poczta) — standardowa sieć biurowa.
  • IDMZ między poziomami 3 i 4 — przemysłowy firewall NGFW (Fortinet FortiGate, Palo Alto, Checkpoint) z inspekcją OPC UA, MQTT, S7Comm. Każdy ruch logowany. Brak ruchu inicjowanego z poziomu 4 do poziomu 3 (tylko poziom 3 może „pull" dane do poziomu 4).

BCP/DR — godziny czy dni

NIS2 Art. 21 ust. 2 lit. (c) wymaga „ciągłości działania, kopii zapasowych i zarządzania kryzysowego". W kontekście produkcji oznacza to dwa dokumenty z konkretnymi liczbami:

  • BCP (Business Continuity Plan) — plan, jak zakład funkcjonuje gdy ucierpi system MES, ERP, lub infrastruktura HVAC. RTO (Recovery Time Objective) dla każdego systemu krytycznego.
  • DRP (Disaster Recovery Plan) — procedura odtworzeniowa po incydencie (ransomware, awaria sprzętowa, sabotaż). Wskazane RPO (Recovery Point Objective — ile danych można stracić) i RTO.

Realne benchmarki branżowe dla polskich fabryk z 2024 r.: ransomware atakujący Active Directory zatrzymywał produkcję średnio na 4–7 dni. NIS2 nie nakłada konkretnego RTO, ale w trakcie kontroli organu właściwego brak udokumentowanego RTO/RPO traktowany jest jako brak zgodności z Art. 21. Większość firm dobrze wdrażających celuje w RTO 24 h dla MES i ERP, 4 h dla systemów sterowania linią (gdzie sterowniki PLC trzymane są jako gotowe „cold spare" do podmiany).

Przykład incydentu — Norsk Hydro 2019

Norweski producent aluminium Norsk Hydro padł ofiarą ransomware LockerGoga w marcu 2019 r. Zakłady na całym świecie musiały przejść na sterowanie ręczne. Pełne odtworzenie systemów zajęło tygodnie. Bezpośrednie straty: ok. 75 mln USD. Norsk Hydro otrzymał jednak szerokie uznanie za transparentne postępowanie kryzysowe — to dziś podręcznikowy przykład „jak dobrze reagować na incydent" mimo strat finansowych. Plan komunikacji kryzysowej jest w NIS2 pominięty wprost, ale w praktyce decyduje o reputacyjnym wymiarze szkody.

Praktyczna kolejność wdrożenia

Dla typowej polskiej średniej fabryki (100–300 osób, jedno- lub dwuzakładowa struktura) NIS2 wdrożenie zajmuje 6–9 miesięcy intensywnej pracy. Sensowna kolejność:

  1. Miesiąc 1–2: audyt segmentacji IT/OT. Mapa sieci, identyfikacja punktów wspólnych biuro–hala, priorytetowa lista koniecznych odseparowani.
  2. Miesiąc 2–3: uchwała zarządu o klasyfikacji firmy, polityka SZBI, plan ciągłości działania (BCP/DRP z udokumentowanymi RTO/RPO).
  3. Miesiąc 4–5: wdrożenie IDMZ — przemysłowy firewall na granicy IT/OT, inwentaryzacja zasobów OT (sterowniki PLC, HMI), reguły dostępu.
  4. Miesiąc 6–7: procedura obsługi incydentów, rejestracja w S46, pierwsze szkolenie zarządu (Art. 20).
  5. Miesiąc 8–9: testy odtworzeniowe BCP/DRP w środowisku zbliżonym do produkcyjnego, audyt łańcucha dostaw (integratorzy linii produkcyjnych), pierwsze tabletop incydentów.

Łańcuch dostaw — integratorzy linii produkcyjnych

Specyfika produkcji przemysłowej: integratorzy linii (firmy takie jak BlumBrothers, ABB Robotyka, KUKA, Festo Didactic, lokalni integratorzy) mają regularny dostęp do sieci OT zakładu — VPN, konta serwisowe na HMI, czasem fizyczny dostęp do sterowników. Każdy integrator to potencjalny wektor wejścia ransomware.

Art. 21(2)(d) NIS2 wymaga zarządzania ryzykiem tego typu dostawców. Minimalne klauzule kontraktowe do dodania:

  • Zgłoszenie do klienta każdego incydentu bezpieczeństwa u integratora w terminie 24 h (z dedykowanym numerem dyżurnym).
  • Inwentaryzacja kont serwisowych integratora w systemie zakładu — kto, kiedy, do czego ma dostęp. Aktualizacja kwartalna.
  • Wymóg uwierzytelnienia wieloskładnikowego (MFA) dla wszystkich kont z dostępem do HMI/SCADA.
  • Prawo do audytu cybersecurity integratora raz w roku (lub akceptacja certyfikatu ISO 27001 / IEC 62443).
  • Plan exit — przekazanie haseł, kluczy, kont w przypadku zakończenia współpracy.

Co dalej

Jeżeli Państwa zakład jest w zakresie i jeszcze nie ma jasnego obrazu, jak NIS2 łączy się z istniejącym SZBI / ISO 27001 / IATF 16949 — to jest pierwszy ruch. Audyt rozbieżności pokazuje, które obowiązki Art. 21 są już pokryte, a które wymagają nowych działań.

Pełna lista obowiązków technicznych jest w pillarze Obowiązki techniczne Art. 21. Konkretne klauzule kontraktowe dla integratorów i dostawców chmury — w blogu Łańcuch dostaw — Art. 21(2)(d). Sprawdzenie klasyfikacji w trzy parametry: otwórz klasyfikator.

Marka Cyber Alterity ma doświadczenie wdrożeniowe w polskim przemyśle — od fabryk motoryzacyjnych po producentów wyrobów medycznych — ze szczególnym uwzględnieniem segmentacji IT/OT, mapowania na IEC 62443 i procedur BCP/DR dla środowisk pracujących w trybie 24/7.

Umów konsultację