NIS2 dla producentów: granica IT/OT zadecyduje o wyniku audytu

NIS2 dla producentów: granica IT/OT zadecyduje o wyniku audytu
Producent żywności we Flandrii odbudował cały zestaw reguł firewalla na dwa tygodnie przed audytem NIS2. Powód: jedna płaska sieć, w której VLAN biurowy, serwer ERP i dwunastoletni sterownik PLC obsługujący linię pakującą znajdowały się w tej samej domenie rozgłoszeniowej. Jedna faktura phishingowa na laptopie działu sprzedaży mogła dotrzeć do hali produkcyjnej w dwóch skokach. Audytor nazwałby to dokładnie tym, czym jest — niezarządzanym ryzykiem w rozumieniu Article 21.
To problem, z którym większość producentów wchodzi w NIS2. Traktują go jako ćwiczenie z zgodności IT i zapominają, że dyrektywa wyraźnie obejmuje technologię operacyjną sterującą ich maszynami. Jeśli doradzasz klientom przemysłowym, granica IT/OT to obszar, w którym możesz dostarczyć najwięcej wartości — i w którym niedbała konfiguracja pogrąża skądinąd przyzwoitą compliance posture.
Produkcja jest w zakresie, a większość operatorów jeszcze o tym nie wie
NIS2 klasyfikuje produkcję jako sektor podmiotów important. Obejmuje to firmy wytwarzające wyroby medyczne, elektronikę, maszyny, pojazdy silnikowe i niektóre produkty spożywcze. Próg jest standardowy: ponad 50 pracowników lub roczny obrót powyżej 10 mln euro.
Podmioty important podlegają tym samym obowiązkom zarządzania ryzykiem z Article 21 co podmioty essential. Różnica tkwi w nadzorze. Podmioty essential podlegają proaktywnym inspekcjom; podmioty important podlegają nadzorowi ex post — organy interweniują, gdy tylko pojawi się dowód, że coś poszło nie tak. Brzmi to lżej, dopóki nie uświadomisz sobie, że zwykle oznacza to, że organ już ci się przygląda, ponieważ doszło u ciebie do incydentu. Standard nie jest niższy. Kontrola po prostu przychodzi w najgorszym możliwym momencie.
Wielu dyrektorów zakładów zakłada: „produkujemy pompy, a nie oprogramowanie, NIS2 nas nie dotyczy". A jednak dotyczy. Dyrektywa definiuje systemy OT jako integralną część krytycznej infrastruktury cyfrowej. Sterowniki PLC, panele HMI i systemy SCADA na hali produkcyjnej są wyraźnie w zakresie.
Czy NIS2 Dotyczy Twojej Organizacji?
1Czy Twoja organizacja działa w sektorze kluczowym lub ważnym (energia, transport, ochrona zdrowia, infrastruktura cyfrowa itp.)?
Tak▼Nie▼2Czy Twoja organizacja zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro?
✗NIS2 nie dotyczy bezpośrednio Twojej organizacji.
Tak▼Nie▼✓NIS2 dotyczy Twojej organizacji jako podmiotu kluczowego lub ważnego.
3Czy Twoja organizacja jest dostawcą infrastruktury krytycznej lub kwalifikowanym dostawcą usług zaufania?
Tak▼!NIS2 może dotyczyć Twojej organizacji — skonsultuj się z prawnikiem w celu potwierdzenia statusu.
1Czy Twoja organizacja działa w sektorze kluczowym lub ważnym (energia, transport, ochrona zdrowia, infrastruktura cyfrowa itp.)?
Tak ↓Nie →2Czy Twoja organizacja zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro?
Tak ↓Nie →3Czy Twoja organizacja jest dostawcą infrastruktury krytycznej lub kwalifikowanym dostawcą usług zaufania?
Tak ↓Nie →✗NIS2 nie dotyczy bezpośrednio Twojej organizacji.
✓NIS2 dotyczy Twojej organizacji jako podmiotu kluczowego lub ważnego.
!NIS2 może dotyczyć Twojej organizacji — skonsultuj się z prawnikiem w celu potwierdzenia statusu.
DotyczyMożliwe zastosowanieNie dotyczy
Dziesięć środków z Article 21 dotyczy hali produkcyjnej, nie tylko biura
Gdy klient czyta listę z Article 21 — analiza ryzyka, obsługa incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, kryptografia, kontrola dostępu, MFA, bezpieczne tworzenie oprogramowania, szkolenia i ocena skuteczności — instynktownie odnosi ją do swojego środowiska IT. To właśnie pułapka.
Każdy z tych środków ma wymiar OT. Kontrola dostępu to nie tylko kontroler domeny; to także to, kto może zalogować się do panelu HMI na linii 3. Ciągłość działania to nie tylko przywracanie poczty; to pytanie, czy możesz dalej produkować, gdy sterownik zostanie skompromitowany. Kryptografia i bezpieczna komunikacja dotyczą łącza danych między twoimi sterownikami PLC a ERP.
ENISA Technical Implementation Guidance, opublikowana w czerwcu 2025 r., liczy 170 stron i przekłada Implementing Regulation (EU) 2024/2690 na konkretne, możliwe do udowodnienia środki w 13 obszarach tematycznych. Choć to rozporządzenie jest wiążące tylko dla określonych sektorów cyfrowych, wytyczne te są najjaśniejszym dostępnym punktem odniesienia dla tego, co naprawdę oznacza „odpowiedni i proporcjonalny". Stosuj je jako standard referencyjny dla klientów z dużym udziałem OT, nawet tam, gdzie nie są ściśle obowiązkowe — audytorzy je rozpoznają.
Artykuł 21 — 10 Środków Cyberbezpieczeństwa NIS2
Artykuł 21
10 Środków Cyberbezpieczeństwa
Zarządzanie & Strategia
1Analiza ryzyka & polityki bezpieczeństwa informacji6Ocena skuteczności środków bezpieczeństwaIncydenty & Ciągłość
2Obsługa incydentów & zgłaszanie3Ciągłość działania & odtwarzanie po awariiŁańcuch Dostaw & Systemy
4Bezpieczeństwo łańcucha dostaw5Bezpieczeństwo w rozwoju systemów sieciowych i informatycznychKontrole Techniczne
8Kryptografia & szyfrowanie10Uwierzytelnianie wieloskładnikowe & bezpieczna komunikacjaLudzie & Zasoby
7Cyberhigiena & szkolenia9Bezpieczeństwo HR & kontrola dostępu
Segmentacja sieci to środek, który audytorzy sprawdzają w pierwszej kolejności
Jeśli zrobisz jedną rzecz dla klienta produkcyjnego przed jego pierwszym audytem, dokonaj segmentacji sieci IT i OT. Płaska sieć to najszybszy sposób na oblanie analizy ryzyka, ponieważ oznacza, że pojedynczy skompromitowany punkt końcowy w dowolnym miejscu sięga wszędzie.
Article 21 nie wymienia segmentacji sieci jako numerowanego środka, ale wynika ona bezpośrednio z obowiązków zarządzania ryzykiem i kontroli dostępu. W praktyce audytorzy traktują ją jako podstawowe oczekiwanie wobec każdego środowiska z systemami produkcyjnymi. Język segmentacji i kontroli dostępu dyrektywy odwzorowuje się niemal jeden do jednego na model zone-and-conduit z IEC 62443 — ramy, względem których audytor twojego klienta najprawdopodobniej dokonuje porównania.
Wykonalna architektura docelowa dla typowego zakładu wygląda następująco. Segment OT zawiera sterowniki PLC, panele HMI i maszyny produkcyjne, oddzielone fizycznie lub logicznie od sieci biurowej. Połączenie z serwerem ERP jest ograniczone i najlepiej jednokierunkowe — dane produkcyjne wypływają, nic nie jest routowane do wewnątrz bez żądania. Segment OT nie ma bezpośredniego dostępu do internetu. Zdalny dostęp dostawców do maszyn odbywa się przez kontrolowany jump host, a nie przez płaski VPN, który umieszcza technika w tej samej podsieci co sterowniki.
Tu również tkwi problem legacy. Zakłady eksploatują sterowniki sprzed dziesięciu czy piętnastu lat, których nie da się załatać i które nigdy nie były projektowane do ekspozycji w sieci. Nie możesz ich usunąć. Segmentacja to środek kompensacyjny, który pozwala niełatalnemu zasobowi pozostać w eksploatacji, nie stając się ścieżką naruszenia. Udokumentuj to w ten sposób, a audytor zobaczy ryzyko zarządzane zamiast ignorowanego.
Zgłaszanie incydentów nie zatrzymuje się dla linii produkcyjnej
Producenci wahają się przy zgłaszaniu incydentów, bo zatrzymanie linii kosztuje pieniądze z każdą minutą. Terminy nie zważają na to. Istotny incydent uruchamia wczesne ostrzeżenie w ciągu 24 godzin, pełne zgłoszenie w ciągu 72 godzin i raport końcowy w ciągu 30 dni — ten sam zegar, który obowiązuje bank czy szpital.
Trudna część dla środowisk OT to wykrywanie. Jeśli twój klient nie ma monitoringu w sieci produkcyjnej, dowie się, że incydent jest istotny, dopiero gdy już zakłóci on produkcję — a wtedy okno 24 godzin już tyka. Ciągły monitoring segmentu OT to nie luksus; to coś, co w ogóle czyni obowiązek zgłaszania wykonalnym. Zbuduj zdolność wykrywania, a terminy zgłaszania staną się możliwe do dotrzymania. Pomiń go, a twój klient zgłasza po omacku, za późno albo wcale.
Harmonogram Zgłaszania Incydentów NIS2
24hWczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
Krok 172hZgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
Krok 21moRaport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.
Krok 324hWczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
72hZgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
1moRaport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.
Co zrobić przed 30 czerwca 2026 r.
Pierwszy termin audytu NIS2 dla podmiotów w zakresie to 30 czerwca 2026 r. Dla klienta produkcyjnego startującego z płaskiej sieci jest to napięte, ale nie niemożliwe, o ile odpowiednio to zsekwencjonujesz.
Zacznij od inwentaryzacji zasobów środowiska OT — nie możesz segmentować ani chronić tego, czego nie zmapowałeś, a większość zakładów nie ma aktualnego spisu swoich sterowników. Następnie wytycz granice stref: biuro, ERP/DMZ i OT, z udokumentowanymi conduitami pomiędzy nimi. Wdróż separację IT/OT i zabezpiecz dostęp zdalny przez jump host z MFA. Nałóż monitoring na segment OT, aby wykrywanie incydentów było rzeczywiście możliwe. Na koniec udokumentuj każdy środek kompensacyjny dla zasobów legacy, których nie możesz załatać, ponieważ ta dokumentacja zamienia czerwoną flagę audytora w zaakceptowane ryzyko.
Klienci, którzy traktują NIS2 jako czysty projekt IT, przejdą kontrole po stronie biura i polegną na hali produkcyjnej. Ci, którzy poprawnie ułożą granicę IT/OT, wchodzą na audyt z najtrudniejszym pytaniem już rozwiązanym.
Jeśli chcesz szybko ocenić, gdzie naprawdę stoi klient produkcyjny względem Article 21 — w tym środków OT, które większość ocen pomija — przepuść go przez NIS2 readiness quick scan. Ujawnia luki w segmentacji i OT, zanim zrobi to audytor.
Aby poznać szczegóły leżących u podstaw środków, zobacz nasze omówienie dziesięciu środków z Article 21, a dla klientów wciąż niepewnych, czy w ogóle są objęci, czy NIS2 dotyczy mnie.
