Cyberbezpieczeństwo IT/OT w przemyśle: Jak przygotować systemy produkcyjne na wymagania NIS2 i rosnące zagrożenia cybernetyczne

Przez lata środowiska OT (Operational Technology) w zakładach przemysłowych działały jak „wyspy" — sterowniki PLC, systemy SCADA i sieci przemysłowe były odseparowane, a priorytetem była dostępność i ciągłość produkcji. Ten model przestaje jednak istnieć. Cyfryzacja produkcji, zdalny serwis, integracje z MES/ERP i chmurą sprawiły, że fabryka stała się częścią tego samego ekosystemu zagrożeń co klasyczne IT. A atakujący to wykorzystują: Polska w pierwszej połowie 2025 była najczęściej atakowanym przez ransomware krajem na świecie, odpowiadając za ok. 6% globalnych incydentów tego typu.

W tym samym czasie wchodzi na scenę NIS2, czyli nowa dyrektywa UE, która podnosi poprzeczkę w zakresie zarządzania ryzykiem i raportowania incydentów — także w branżach produkcyjnych. Dla wielu firm oznacza to konieczność przejścia od „zabezpieczeń punktowych" do spójnej strategii cyberbezpieczeństwa IT/OT. I właśnie tu kluczową rolę może odegrać partner technologiczny: nie tylko w doborze narzędzi, ale też w bezpiecznych integracjach i modernizacji systemów przemysłowych bez zatrzymywania produkcji.

Konwergencja IT/OT nie jest już trendem, tylko faktem operacyjnym. Jeszcze dekadę temu wiele zakładów mogło utrzymywać względną separację: IT zarządzało pocztą, ERP i stacjami roboczymi, a OT „robiło swoje" w sieciach przemysłowych, często bez dostępu do Internetu i z minimalną liczbą połączeń na zewnątrz. Dziś presja na produktywność, predykcyjne utrzymanie ruchu, raportowanie w czasie rzeczywistym i integrację łańcucha dostaw sprawia, że dane z produkcji płyną do MES (Manufacturing Execution System), dalej do ERP, a coraz częściej również do rozwiązań chmurowych i platform analitycznych. To zwiększa efektywność — ale równolegle otwiera nowe wektory ataku.

Problem polega na tym, że bezpieczeństwo systemów przemysłowych historycznie rozwijało się wolniej niż w IT. W praktyce środowiska OT bywają opóźnione o 10–15 lat w porównaniu do standardów cyberbezpieczeństwa znanych z sieci biurowych. Nie dlatego, że inżynierowie to ignorują, lecz dlatego, że priorytety są inne: w OT liczy się deterministyczna komunikacja, niskie opóźnienia, kompatybilność i nieprzerwana praca. Aktualizacja „na szybko" jest ryzykowna, bo przestój linii bywa droższy niż koszt samego incydentu IT. Do tego dochodzą realia sprzętowe: PLC pracujące 24/7 latami, stacje operatorskie z przestarzałymi systemami operacyjnymi, aplikacje SCADA wymagające konkretnych wersji bibliotek czy sterowników.

Typowa architektura zakładu produkcyjnego obejmuje warstwę sterowania (PLC, DCS), wizualizacji i nadzoru (SCADA/HMI), sieci przemysłowe (Profinet, EtherNet/IP, Modbus TCP, czasem wciąż segmenty szeregowe) oraz systemy wyższego poziomu, takie jak MES, systemy jakości, utrzymania ruchu i raportowania. W klasycznym podejściu wiele elementów OT projektowano z myślą o niezawodności, nie o odporności na ataki: brak uwierzytelniania w protokołach, płaskie sieci, domyślne hasła, konta współdzielone przez wielu operatorów, a czasem fizyczny dostęp do portów sieciowych w halach.

W praktyce dzisiejszy atak na produkcję rzadko zaczyna się od „włamania do PLC". Częściej startuje klasycznie: phishing do pracownika w sieci IT, przejęcie skrzynki pocztowej, kradzież poświadczeń lub uruchomienie malware na laptopie. Potem następuje lateral movement — atakujący szuka połączeń do segmentu OT: zdalnego pulpitu do stacji inżynierskiej, kont serwisowych, tuneli VPN, niewłaściwie skonfigurowanych firewalli lub serwerów pośredniczących. Gdy uzyska przyczółek w OT, celem nie zawsze jest „zniszczenie" — często wystarczy zaszyfrować systemy nadzorcze, zablokować HMI/SCADA albo zakłócić komunikację w sieci, aby zatrzymać produkcję i wymusić okup. To dlatego cyberbezpieczeństwo OT przestaje być domeną wyłącznie automatyków i staje się wspólną odpowiedzialnością IT, produkcji i zarządu.

NIS2 jest dla przemysłu tym, czym kilka lat temu RODO stało się dla przetwarzania danych: impulsem do uporządkowania procesu, odpowiedzialności i mierzalnych działań, a nie tylko „dobrych praktyk". Formalnie termin wdrożenia dyrektywy na poziomie UE minął w październiku 2024, natomiast w Polsce nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która ma implementować NIS2, nadal jest na etapie legislacyjnym i według aktualnych oczekiwań prawdopodobnie wejdzie w życie w pierwszej połowie 2026. To oznacza, że firmy mają jeszcze czas — ale jest to raczej „czas na przygotowanie", a nie powód do odkładania tematu, bo złożoność środowisk IT/OT i zależności dostawców wymaga miesięcy pracy, nie tygodni.

Co ważne, NIS2 poszerza zakres podmiotów objętych obowiązkami. Dla wielu organizacji produkcyjnych, chemicznych, spożywczych czy logistycznych to może być pierwsze tak jednoznaczne wymaganie, by wdrożyć systemowe podejście do cyberbezpieczeństwa, obejmujące zarówno IT, jak i cyberbezpieczeństwo produkcji. I nie chodzi wyłącznie o zakup narzędzi. NIS2 kładzie nacisk na zarządzanie ryzykiem, środki organizacyjne, kontrolę łańcucha dostaw, ciągłość działania oraz raportowanie incydentów w określonych ramach czasowych. Innymi słowy: nie wystarczy „mieć firewall", trzeba umieć wykazać, dlaczego architektura jest bezpieczna, jak wykrywane są anomalie, kto podejmuje decyzje w kryzysie i jak firma uczy się na incydentach.

Istotną zmianą jest też zwiększona odpowiedzialność kierownictwa. Zarząd nie może traktować bezpieczeństwa jako problemu technicznego „gdzieś w IT". NIS2 wymusza realny nadzór, akceptację ryzyk i budżetowanie działań ochronnych. Jednocześnie dyrektywa przewiduje kary — nawet do 10 mln EUR lub 2% rocznego globalnego obrotu (w zależności od kategorii podmiotu). Warto patrzeć na to nie jak na straszak, lecz na mechanizm, który ma nadać cyberbezpieczeństwu rangę porównywalną z BHP czy bezpieczeństwem procesowym: działania mają być powtarzalne, audytowalne i zarządzane.

Dla zakładów przemysłowych kluczowe jest zrozumienie, że „zgodność z NIS2" nie będzie jednorazowym projektem. To raczej zestaw praktyk: identyfikacja zasobów OT, ocena ryzyka, zabezpieczenie krytycznych połączeń IT/OT, zdolność do wykrywania incydentów oraz gotowość do raportowania i przywracania działania. Im wcześniej firma zacznie budować te kompetencje, tym mniejszy koszt organizacyjny i technologiczny poniesie w momencie wejścia przepisów.

W praktyce skuteczne cyberbezpieczeństwo OT zaczyna się od architektury i widoczności. Bez tego nawet najlepsze narzędzia będą „ślepe", a zespół utrzymania ruchu dostanie jedynie kolejny obowiązek bez jasnej wartości. Fundamentem jest segmentacja sieci OT, rozumiana nie jako przypadkowy podział na VLAN-y, lecz jako świadome zaprojektowanie stref bezpieczeństwa. Krytyczne elementy sterowania (np. sieci komórek produkcyjnych z PLC) powinny być odizolowane od sieci biurowej i od systemów wyższego poziomu, a komunikacja między strefami kontrolowana. W wielu zakładach rolę „bufora" pełni DMZ przemysłowa (Industrial DMZ) — warstwa pośrednia, w której umieszcza się serwery integracyjne, historię danych, brokerów komunikacji czy mechanizmy zdalnego dostępu. Dzięki temu nawet jeśli atakujący przejmie zasoby w IT, nie dostaje automatycznie bezpośredniej ścieżki do zabezpieczenia PLC i systemów sterowania, a ruch między strefami można filtrować, rejestrować i ograniczać do niezbędnych portów oraz protokołów.

Drugim filarem jest monitorowanie i wykrywanie anomalii, które musi uwzględniać specyfikę OT. W IT standardem są SIEM (Security Information and Event Management) oraz EDR (Endpoint Detection and Response), ale w zakładzie przemysłowym równie ważne jest zrozumienie ruchu na poziomie protokołów przemysłowych, takich jak Modbus czy OPC UA. Dla operatora nie liczy się tylko informacja „wykryto podejrzany proces", ale także kontekst: który sterownik komunikuje się z jaką stacją, czy pojawiła się nowa komenda zapisu do rejestrów PLC, czy ktoś poza harmonogramem łączy się ze stacją inżynierską, czy zmieniła się topologia sieci. Dobrze wdrożone podejście pozwala wychwycić „ciche" symptomy ataku — zanim dojdzie do szyfrowania lub zatrzymania produkcji. Warto pamiętać, że według badań branżowych nawet 83% firm doświadczało incydentów bezpieczeństwa w jakiejś formie; pytanie nie brzmi „czy", ale „czy zauważymy je na czas".

Trzeci obszar to zarządzanie dostępem i tożsamością. W OT wciąż spotyka się konta współdzielone, hasła zapisane na kartce w szafie sterowniczej albo „serwisowe" poświadczenia, które krążą między podwykonawcami. To wygodne — do pierwszego incydentu. Nowoczesne podejście oznacza rozdzielenie ról (operator, automatyk, integrator, serwis), minimalne uprawnienia, rejestrowanie dostępu oraz kontrolowany zdalny serwis (np. z zasadą just-in-time i zatwierdzeniami). Tam, gdzie to możliwe, warto stosować MFA (uwierzytelnianie wieloskładnikowe) i centralne zarządzanie tożsamością, pamiętając jednak, że OT ma ograniczenia kompatybilności i nie wszystko da się „wdrożyć jak w biurze".

Kolejna trudna, ale krytyczna kwestia to aktualizacje i patch management. Dylemat jest realny: systemy OT muszą działać ciągle, a każdy przestój to koszt. Z drugiej strony nieaktualne systemy operacyjne, biblioteki i aplikacje SCADA bywają łatwym celem. Dojrzałe podejście nie polega na bezrefleksyjnym patchowaniu, tylko na procesie: testy w środowisku zbliżonym do produkcyjnego, okna serwisowe, współpraca z dostawcami maszyn, plan awaryjny rollback oraz priorytetyzacja podatności według ryzyka. Czasem rozsądniejszą decyzją jest wdrożenie kontroli kompensacyjnych (np. lepsza segmentacja, ograniczenie dostępu, whitelisting aplikacji), jeśli patch jest niemożliwy w danym horyzoncie.

Na końcu spina to plan reagowania na incydenty. W zakładzie przemysłowym procedura nie może być kopią playbooka IT, bo stawką jest bezpieczeństwo ludzi, procesów i sprzętu. Dobre przygotowanie obejmuje jasne role (kto decyduje o odłączeniu segmentu, kto komunikuje się z dostawcą linii, kto raportuje), scenariusze ćwiczeń i uzgodnione priorytety: co przywracamy najpierw, jak weryfikujemy integralność systemów i jak minimalizujemy ryzyko ponownej infekcji po uruchomieniu.

W rozmowach o NIS2 i bezpieczeństwie systemów przemysłowych łatwo skupić się na narzędziach infrastrukturalnych: firewallach, czujnikach sieciowych, EDR czy SIEM. One są konieczne, ale w praktyce wiele „luk" powstaje na styku systemów — tam, gdzie dane z OT są konsumowane przez aplikacje biznesowe, gdzie pojawiają się integracje, API i automatyzacje. Dlatego coraz częściej istotnym elementem strategii bezpieczeństwa staje się oprogramowanie dedykowane oraz świadomie zaprojektowana warstwa integracyjna.

Integracje z zachowaniem bezpieczeństwa

Zamiast wielu bezpośrednich połączeń między MES, SCADA, ERP i aplikacjami raportowymi, sensowne jest użycie kontrolowanego punktu styku: API Gateway lub warstwy usług pośrednich. Taki komponent może wymuszać uwierzytelnianie, limitować ruch, walidować dane, szyfrować komunikację i standaryzować logowanie zdarzeń pod potrzeby audytu. W praktyce oznacza to, że nawet jeśli jedna aplikacja zostanie przejęta, napastnik nie dostaje „autostrady" do wszystkich pozostałych systemów. Dla organizacji to także ułatwienie w utrzymaniu — zmiany w jednym systemie nie rozbijają całego ekosystemu połączeń.

Dashboardy bezpieczeństwa i raportowanie

To często brakujące ogniwo w firmach przemysłowych. Dane o zdarzeniach istnieją, ale są porozrzucane: logi z firewalli, alarmy z EDR, zdarzenia z SCADA, informacje z serwerów. Dedykowana aplikacja może zebrać te informacje w sposób zrozumiały dla różnych ról: operator widzi zdarzenia wpływające na ciągłość produkcji, zespół IT dostaje techniczny kontekst, a zarząd — syntetyczne wskaźniki ryzyka i gotowości, których wymaga podejście zgodne z NIS2. To nie jest „ładna wizualizacja", tylko narzędzie do podejmowania decyzji i skracania czasu reakcji.

Automatyzacja zgodności i audytowalność działań

NIS2 w praktyce oznacza, że trzeba umieć wykazać procesy: kto miał dostęp, kiedy zmieniono konfigurację, jakie działania podjęto po incydencie, jak wygląda ścieżka akceptacji ryzyka. Dedykowane rozwiązania mogą wspierać generowanie dokumentacji, prowadzenie rejestru zmian (audit trail), powiązanie zasobów OT z właścicielami i krytycznością, a także przypominanie o przeglądach uprawnień czy testach planów odtwarzania.

Modernizacja legacy z myślą o bezpieczeństwie

W przemyśle nie da się „wymienić wszystkiego" w jeden weekend. Często potrzebne są komponenty pomostowe: moduły komunikacyjne, bezpieczne bramki, refaktoryzacja fragmentów aplikacji lub stopniowe zastępowanie funkcji, aby zmniejszać ryzyko bez zatrzymywania produkcji. W tym miejscu software house, który rozumie realia produkcji, integracje z MES i przemysłowe przepływy danych, może być partnerem w projektowaniu rozwiązań, które wzmacniają cyberbezpieczeństwo OT bez psucia procesów operacyjnych.

W większości zakładów najtrudniejszy nie jest wybór technologii, tylko start — bo środowisko jest złożone, a interesariuszy wielu: IT, automatyka, utrzymanie ruchu, produkcja, jakość, dostawcy maszyn. Rozsądna ścieżka zaczyna się od audytu obecnego stanu, ale rozumianego praktycznie: inwentaryzacja zasobów OT (co naprawdę działa w sieci, jakie są wersje, kto jest właścicielem), mapowanie przepływów danych (skąd dokąd płyną informacje i przez jakie punkty styku) oraz identyfikacja miejsc, gdzie „tymczasowe obejścia" stały się trwałą częścią architektury. Już na tym etapie firmy często odkrywają nieudokumentowane połączenia zdalne, konta współdzielone czy serwery, które nikt nie chce aktualizować, bo „boimy się, że produkcja stanie".

Kolejny krok to priorytetyzacja według ryzyka, a nie według „najgłośniejszego problemu". W OT nie ma sensu zaczynać od idealnej polityki haseł, jeśli sieć jest płaska i każdy komputer w biurze ma potencjalną drogę do systemów sterowania. Dlatego wiele organizacji osiąga największy efekt, zaczynając od dwóch obszarów: segmentacji sieci OT oraz monitorowania. Segmentacja ogranicza rozprzestrzenianie się ataku, a monitoring skraca czas wykrycia i pozwala reagować zanim pojawi się przestój.

Potem warto zrobić pilotaż na wybranym obszarze — jednej linii, jednym wydziale lub jednym typie instalacji. Taki pilotaż pozwala sprawdzić, jak narzędzia zachowują się w realnej sieci przemysłowej, jak działa współpraca IT i automatyków, oraz jakie są koszty utrzymania. To także dobry moment, by dopracować procedury: jak wygląda zgłoszenie incydentu, kto akceptuje zdalny dostęp serwisu, jak dokumentowane są zmiany.

Dopiero na końcu przychodzi skalowanie i ciągłe doskonalenie. Warto przyjąć założenie, że cyberbezpieczeństwo produkcja to proces: architektura się zmienia, dochodzą nowe maszyny i integracje, a zagrożenia ewoluują. Organizacje, które wygrają, to te, które zbudują powtarzalny mechanizm oceny ryzyka, wdrażania usprawnień i testowania gotowości — zamiast jednorazowego „projektu zgodności".

Cyberbezpieczeństwo IT/OT w przemyśle przestało być niszowym tematem dla specjalistów od automatyki. Konwergencja IT/OT sprawiła, że fabryka jest dziś równie narażona na nowoczesne kampanie ransomware i działania grup przestępczych, co środowiska biurowe — a skutki incydentu w OT częściej oznaczają realny przestój, presję na terminy i ryzyko dla ciągłości działania. Skala zagrożeń jest namacalna, szczególnie gdy Polska znajduje się wśród najczęściej atakowanych krajów, a większość organizacji ma za sobą przynajmniej jeden incydent.

NIS2 jest katalizatorem: wymusza uporządkowanie zarządzania ryzykiem, odpowiedzialności i zdolności do raportowania. Warto jednak traktować ją nie jako „checklistę do odhaczenia", tylko jako okazję do podniesienia odporności operacyjnej. Najlepszy moment na start jest teraz — zanim presja regulacyjna i biznesowa wymusi działania w trybie awaryjnym. Firmy, które zaczną od podstaw: widoczności zasobów, segmentacji sieci OT i monitorowania, będą w stanie budować bezpieczeństwo systemów przemysłowych krok po kroku, bez paraliżowania produkcji.