Kiedy NIS2 trafiło do mediów, większość uwagi skupiała się na sektorach oczywistych: energetyce, telekomunikacji, bankowości. Firmy produkcyjne zareagowały spokojniej — i często błędnie. Dyrektywa wprost wymienia produkcję jako sektor objęty wymaganiami, a skala i profil typowego zakładu przemysłowego stawiają go w obliczu wyzwań, których nie mają firmy czysto usługowe.
Kto z sektora produkcyjnego podlega NIS2?
Dyrektywa obejmuje produkcję w kilku kategoriach. Jako podmioty ważne wymienione są m.in.:
- producenci wyrobów medycznych i diagnostycznych
- producenci komputerów, elektroniki i optyki
- producenci urządzeń elektrycznych
- producenci maszyn i urządzeń ogólnego przeznaczenia
- producenci pojazdów samochodowych i przyczep
- pozostałe przetwórstwo przemysłowe
Do tego dochodzi próg wielkości: co najmniej 50 pracowników lub 10 mln EUR przychodu. Duży zakład przemysłowy spełnia go niemal zawsze. Mniejszy podwykonawca — często też, jeśli jest częścią grupy kapitałowej.
Specyfika środowiska OT — dlaczego to trudniejsze niż w biurze?
W typowej firmie IT bezpieczeństwo oznacza głównie serwery, laptopy i chmurę. W zakładzie produkcyjnym dochodzi środowisko OT (Operational Technology): sterowniki PLC, systemy SCADA, sieci przemysłowe, maszyny z firmware sprzed dekady i protokoły, które nie były projektowane z myślą o bezpieczeństwie.
Kilka kluczowych różnic:
- Dostępność ponad bezpieczeństwo — linia produkcyjna nie może sobie pozwolić na restart „dla aktualizacji”. Klasyczne patch management nie działa tak samo jak w IT.
- Długi cykl życia urządzeń — maszyny działają 15–20 lat. Ich oprogramowanie często nie jest już wspierane przez producenta.
- Brak separacji sieci — w wielu zakładach sieć biurowa i sieć produkcyjna są połączone, czasem bez świadomości zespołu IT.
- Zdalny dostęp dostawców — serwis maszyn często odbywa się zdalnie przez VPN lub nawet przez bezpośrednie połączenia modemowe, które nie są inwentaryzowane.
Co NIS2 konkretnie wymaga od producenta?
Wymagania są te same co dla innych podmiotów ważnych, ale ich realizacja w środowisku przemysłowym wymaga uwzględnienia specyfiki OT:
Analiza ryzyka musi obejmować nie tylko systemy IT, ale również środowisko OT — sterowniki, systemy SCADA, sieci przemysłowe. Inwentarz aktywów w zakładzie produkcyjnym to często projekt sam w sobie.
Segmentacja sieci — NIS2 nie nakazuje konkretnej architektury, ale wymaga zarządzania ryzykiem. Brak separacji między siecią biurową a produkcyjną to ryzyko, które musi być albo zredukowane, albo świadomie zaakceptowane.
Zarządzanie dostępem zdalnym dostawców — każdy zdalny dostęp serwisowy powinien być inwentaryzowany, kontrolowany (najlepiej przez VPN z MFA) i logowany.
Reagowanie na incydenty — procedury muszą uwzględniać scenariusze specyficzne dla produkcji: co robimy, gdy atak dotknął linię produkcyjną? Kto decyduje o zatrzymaniu produkcji?
Ryzyko zatrzymania produkcji — wymiar finansowy
Dla firmy produkcyjnej incydent cyberbezpieczeństwa to nie tylko wyciek danych. To potencjalne zatrzymanie linii produkcyjnej, opóźnienia w dostawach, kary umowne dla odbiorców i koszty odtworzenia. Branżowe szacunki mówią o dziesiątkach tysięcy euro za każdą godzinę przestoju w typowym zakładzie. To sprawia, że inwestycja w zgodność z NIS2 ma konkretny biznesowy rachunek — nie tylko regulacyjny.
Wymagania od dostawców i odbiorców
Nawet jeśli firma produkcyjna nie spełnia progów NIS2, może być objęta wymaganiami pośrednio. Duzi odbiorcy — szczególnie z sektorów kluczowych (energetyka, automotive Tier 1, ochrona zdrowia) — coraz częściej wymagają od dostawców wykazania podstawowego poziomu cyberbezpieczeństwa. Może to mieć formę ankiety, wymagań kontraktowych lub standardów takich jak IEC 62443 czy TISAX.
Od czego zacząć?
Dla zakładu produkcyjnego rekomendowany punkt startowy to nie dokumentacja, lecz inwentaryzacja. Zanim powstanie analiza ryzyka, trzeba wiedzieć, co w zakładzie jest — jakie systemy, jakie połączenia sieciowe, jakie dostępy zdalne. Bez tego każdy dokument będzie fikcją.
Dopiero na bazie aktualnego obrazu środowiska można sensownie ocenić ryzyko, zidentyfikować priorytety i zaplanować działania — zarówno organizacyjne, jak i techniczne.