Przejdź do treści
dyrektywaNIS2

Branża · Załącznik II

NIS2 w produkcji żywności

W produkcji żywności czas to wszystko. Zatrzymanie linii w mleczarni na 24 godziny oznacza utylizację surowca o wartości setek tysięcy złotych. Zatrzymanie linii pakującej w browarze przed świętem może rozłożyć kwartalny wynik finansowy. NIS2 objął ten sektor 3 kwietnia 2026 r. z konkretnymi obowiązkami — zwłaszcza w zakresie ciągłości działania (BCP) i raportowania incydentów do CSIRT NASK.

Aktualizacja: 10 min czytania

Autor:Dariusz ZającLead vCISO, Cyber Alterity

HACCP

Reżim, do którego dochodzi NIS2

+ IJHARS + GIS + sieci handlowe

4–6 h

Utrata partii w mleczarni

po awarii chłodnictwa procesowego

178/2002

Rozp. UE o traceability

obowiązek identyfikacji partii w całym łańcuchu

Kto z produkcji żywności jest w zakresie

Załącznik II dyrektywy NIS2 wymienia „produkcję i dystrybucję żywności" jako sektor krytyczny. Polski projekt nowelizacji KSC obejmuje tym pojęciem cały łańcuch FMCG od zakładu po hurtownię i centralę logistyczną sieci handlowej. Konkretnie w zakresie znajdą się:

  • Mleczarstwo — Mlekovita, Mlekpol, Polmlek, Bakoma, Hochland Polska, lokalne mleczarnie regionalne o znaczącej skali (np. SM Maluta, OSM Krasnystaw).
  • Przemysł mięsny — Sokołów (Smithfield), Animex (WH Group), Indykpol, Drosed, Cedrob, Konspol oraz duzi regionalni przetwórcy.
  • Browary i napoje — Kompania Piwowarska, Grupa Żywiec, Carlsberg Polska, browary rzemieślnicze przekraczające próg MŚP, producenci wód mineralnych (Nałęczowianka, Cisowianka, Żywiec Zdrój).
  • FMCG i przetwórstwo — Maspex, Hortex, Tymbark, ZT Kruszwica, Wedel, Mieszko, Bahlsen Polska, Wawel, Goplana, Solaris Foods, Tarczyński.
  • Producenci pieczywa — duże zakłady piekarnicze i cukiernicze powyżej progu MŚP (Lubella, Dobrowolski, Putka, Inco).
  • Centralne magazyny i hurtownie FMCG — Eurocash, Makro, Selgros, hurtownie regionalne.
  • Centra dystrybucji sieci handlowych — magazyny Biedronki (Jeronimo Martins), Lidla, Kauflanda, Carrefoura, Auchana, Tesco. Często są to ogromne obiekty 30–80 tys. m² z automatyką klasy procesowej.

Próg klasyfikacji — standardowy MŚP. W praktyce wszystkie wymienione wyżej spółki przekraczają go wielokrotnie i wpadają jako Podmiot Ważny. Mniejsze regionalne mleczarnie (50–100 osób, obrót ok. 30–50 mln PLN) mogą być na granicy — kluczowe jest przeliczenie polskiego obrotu na EUR i zsumowanie z resztą grupy kapitałowej.

Specyfika OT — linia produkcyjna, której nie da się zatrzymać

Produkcja żywności łączy najtrudniejsze elementy produkcji przemysłowej (sterowniki PLC, MES, SCADA) z dodatkową warstwą temperaturową i biologiczną. To rodzi trzy charakterystyczne wyzwania cyberbezpieczeństwa.

Po pierwsze, kontrola temperatury. Linie mleczarskie, mięsne i produkcji pieczywa są obwarowane wymaganiami HACCP dotyczącymi temperatury w czasie pasteryzacji, schładzania, przechowywania. Ransomware wyłączający sterownik nadzorujący chłodnię w mleczarni może w 4–6 godzin zniszczyć całą tegoroczną partię produkcyjną — z wymaganym utylizowaniem na koszt zakładu i obowiązkową dokumentacją zniszczenia dla IJHARS.

Po drugie, traceability partii. Wymóg rozporządzenia (WE) 178/2002 nakłada na producenta obowiązek identyfikacji każdej partii w łańcuchu dostaw od zakupu surowca po sprzedaż. Systemy MES + ERP są tu centralne — ich awaria oznacza, że w razie zatrucia, recall lub kontroli IJHARS firma nie jest w stanie udowodnić origin produktu. Konsekwencje: zakaz wprowadzania do obrotu wszystkiego co wyprodukowane w okresie braku dokumentacji.

Po trzecie, integracja z odbiorcami (siecią handlową). Większość polskich zakładów żywieniowych prowadzi stałą wymianę danych EDI z odbiorcami (zamówienia, awizo, potwierdzenia odbioru). Awaria po stronie producenta przerywa dostawy nie tylko bezpośrednio, ale również wymusza ręczne negocjacje kar umownych z sieciami. Standardowy kontrakt z Biedronką, Lidlem czy Auchanem zawiera kary za nieterminową dostawę, które potrafią pochłonąć kwartalny zysk.

HACCP × NIS2 — wspólne kontrole, różne raporty

Polskie zakłady żywieniowe mają od lat wdrożony system HACCP (Hazard Analysis and Critical Control Points). NIS2 dokłada do tego osobny reżim — i należy ich nie mylić.

  • HACCP — analiza zagrożeń sanitarnych i biologicznych w cyklu produkcji żywności. Audytowany przez IJHARS, kontrolerów sanitarnych (PIS / GIS) i odbiorców sieciowych.
  • NIS2 — zarządzanie ryzykiem cyfrowym w cyklu produkcji żywności. Audytowany przez polski organ właściwy dla KSC (typowo CSIRT NASK).

Dobra praktyka: jeden zintegrowany System Zarządzania Bezpieczeństwem łączący wymagania HACCP (ISO 22000), ISO 9001 (jakość) i ISO 27001 (informacja). To redukuje liczbę niezależnych audytów i pokazuje organom kontrolnym dojrzałość organizacji. W praktyce — jedna sesja audytowa z weryfikacją dokumentacji obejmującej wszystkie trzy systemy.

Łańcuch dostaw — surowiec, opakowania, logistyka

Art. 21(2)(d) NIS2 wymaga zarządzania ryzykiem kluczowych dostawców. W produkcji żywności typowa lista dostawców krytycznych dla średniego zakładu wygląda następująco:

  1. Dostawcy surowca — w mleczarstwie hodowcy (zwykle setki gospodarstw rolnych), w mięsie zakłady ubojowe, w browarach producenci słodu i chmielu. Awaria systemu zamówieniowego u dostawcy może zatrzymać produkcję równie pewnie co własna awaria.
  2. Dostawcy opakowań — drukarnie etykiet, producenci kartonów, butelek, słoików, folii. W przeciętnym tygodniu polskiego zakładu mleczarskiego dostawa opakowań biegnie 2–3 razy dziennie. Przestój u dostawcy oznacza zatrzymanie produkcji w ciągu 24–48 h.
  3. Operatorzy chłodni i logistyki — często zewnętrzne firmy 3PL prowadzące chłodnie i transport kontrolowanego łańcucha chłodniczego. Awaria ich WMS powoduje, że gotowy produkt nie może opuścić zakładu.
  4. Dostawcy systemów wagowych i etykietujących — firmy takie jak Mettler-Toledo, Bizerba, Marel mają zwykle zdalny dostęp serwisowy do swoich urządzeń.
  5. Integratorzy MES i ERP — kluczowy poziom zależności, bo awaria wewnętrznego MES-a wstrzymuje jednocześnie produkcję i raportowanie.

Klauzule kontraktowe do dodania do każdej z tych kategorii opisuje szczegółowo blog Łańcuch dostaw — Art. 21(2)(d).

Regulatorzy — IJHARS, GIS, CSIRT NASK

Organ właściwy do spraw cyberbezpieczeństwa

Minister Rolnictwa i Rozwoju Wsi

Sektor: Produkcja, przetwarzanie i dystrybucja żywności. Załącznik nr 2 do ustawy o KSC.

Źródło: Ministerstwo Cyfryzacji, „KSC pytania i odpowiedzi" pkt 11.1.

Organem właściwym do spraw cyberbezpieczeństwa dla sektora produkcji, przetwarzania i dystrybucji żywności jest Minister Rolnictwa i Rozwoju Wsi(Min. Cyfr. pkt 11.1). Niżej wymienione urzędy branżowe pozostają regulatorami jakości i bezpieczeństwa żywności — to z nimi codziennie współpracuje zakład — ale kary administracyjne za naruszenia obowiązków NIS2 wymierza minister wskazany w ustawie o KSC.

  • IJHARS (Inspekcja Jakości Handlowej Artykułów Rolno-Spożywczych) — kontrola jakości produktów spożywczych, dokumentacji partii i etykietowania.
  • GIS (Główny Inspektorat Sanitarny) + wojewódzkie PIS — kontrola sanitarna, HACCP, bezpieczeństwo mikrobiologiczne.
  • CSIRT NASK — raportowanie incydentów cyber w trybie 24 h / 72 h / 1 miesiąca.
  • Sieci handlowe — formalnie nie regulatorzy, ale w praktyce ich kwestionariusze cybersecurity (od Jeronimo Martins, Lidla, Schwarz Group) trafiają do zakładów spożywczych z wymogami często ostrzejszymi niż NIS2.

Polski kontekst — kary umowne i pozycja w łańcuchu

Polski FMCG działa w środowisku, w którym pozycja negocjacyjna producenta wobec sieci handlowej (Jeronimo Martins, Lidl, Auchan, Carrefour) jest słaba — kary umowne za nieterminową dostawę liczone są w setkach tysięcy złotych za incydent. Awaria MES lub ERP zakładu o skali 500–1500 pracowników, której naprawa zajmuje 3–5 dni, potrafi skonsumować kwartalny zysk operacyjny przez same kary kontraktowe, nie licząc utraconych przychodów i utylizacji partii. NIS2 — wprowadzając wymogi BCP z udokumentowanym RTO/RPO oraz audyt łańcucha dostaw — adresuje dokładnie ten typ ryzyka. Z perspektywy zarządu zakładu spożywczego, koszt wdrożenia środków z Art. 21 jest niemal zawsze niższy od kosztu jednego pełnego incydentu w sezonie kontraktowym.

Praktyczna kolejność wdrożenia

Dla polskiego zakładu spożywczego średniej skali (150–500 osób, jedna lub dwie hale produkcyjne) wdrożenie NIS2 zajmuje 7–10 miesięcy. Sekwencja, która działa w praktyce:

  1. Miesiąc 1: uchwała zarządu, audyt zerowy z mapowaniem HACCP/ISO/NIS2, formalne wskazanie osoby odpowiedzialnej (zwykle Dyrektor ds. Operacyjnych lub wynajęty vCISO).
  2. Miesiąc 2–3: przegląd architektury IT/OT, identyfikacja punktów wspólnych biuro–hala. Częsta luka: HMI obsługiwane przez tablety Android z dostępem do firmowego Wi-Fi i prywatnego internetu.
  3. Miesiąc 3–5: wdrożenie segmentacji IT/OT — dedykowany firewall przemysłowy (NGFW) na granicy biura i hali, polityka SZBI uwzględniająca specyfikę HACCP.
  4. Miesiąc 5–7: plan BCP/DRP z explicit RTO/RPO dla MES, ERP i systemów sterowania chłodniami. Testy odtworzeniowe w okresie planowanego przestoju serwisowego (zwykle święta lub wakacje).
  5. Miesiąc 7–9: audyt łańcucha dostaw, klauzule kontraktowe dla dostawców opakowań, surowca i operatorów chłodni. Pierwsze szkolenie zarządu (Art. 20).
  6. Miesiąc 9–10: rejestracja w S46, procedura obsługi incydentów, tabletop scenariusza ransomware na MES w okresie szczytu sezonowego (Wielkanoc / Boże Narodzenie).

Co dalej

Sektor produkcji żywności ma specyficznie wysokie zainteresowanie konkretnymi obszarami NIS2:

  • Środek 3 z Art. 21 (ciągłość działania) — bo koszt przestoju jest tu wyższy niż w większości innych sektorów.
  • Środek 4 (łańcuch dostaw) — bo zależności od opakowań i surowca są bezpośrednie.
  • Art. 12a KSC (osobista odpowiedzialność) — bo zarząd zakładu spożywczego ma już teraz osobistą odpowiedzialność z Prawa żywnościowego, więc NIS2 jest kolejnym jej elementem.

Pełna lista obowiązków technicznych jest w pillarze Obowiązki techniczne Art. 21. Sprawdzenie klasyfikacji konkretnego zakładu w trzy parametry: otwórz klasyfikator.

Marka Cyber Alterity ma doświadczenie wdrożeniowe w polskim FMCG ze szczególnym uwzględnieniem zintegrowanego SZBI łączącego HACCP, ISO 9001 i ISO 27001 — co istotnie redukuje obciążenie audytowe zakładu.

Umów konsultację