NIS2 w produkcji: Co dyrektywa o cyberbezpieczeństwie oznacza dla firm przemysłowych w Polsce

Jeszcze kilka lat temu wiele zakładów produkcyjnych mogło mówić o systemach sterowania: „to nie jest podłączone do Internetu, więc jest bezpieczne". Sterowniki PLC pracowały w zamkniętych sieciach, stacje operatorskie HMI obsługiwały linię, a SCADA zbierała dane głównie na potrzeby lokalnej kontroli procesu. Tyle że era Przemysłu 4.0, zdalnego serwisu, raportowania w czasie rzeczywistym i integracji z systemami biznesowymi skutecznie rozszczelniła tę granicę. IT i OT zaczęły się przenikać, a wraz z tym do hali produkcyjnej weszły te same klasy zagrożeń, z którymi dział IT mierzy się od lat.

Skala problemu rośnie: ataki na infrastrukturę przemysłową wzrosły o 87% w 2024 roku. Do tego dochodzi czynnik regulacyjny. Dyrektywa NIS2 ma zostać wdrożona do polskiego porządku prawnego w pierwszej połowie 2026 roku i znacząco rozszerza liczbę organizacji objętych obowiązkami: z około 400 podmiotów znanych z poprzedniej dyrektywy do ponad 10 000. W praktyce wiele firm produkcyjnych, które dotychczas traktowały cyberbezpieczeństwo OT jako „temat dla energetyki", stanie przed konkretnymi wymaganiami – i konkretną odpowiedzialnością zarządczą.

Co to oznacza dla zakładów przemysłowych w Polsce i jak podejść do zgodności, żeby nie utknąć w paraliżu decyzyjnym? Przyjrzyjmy się temu krok po kroku.

NIS2 to unijna dyrektywa, która porządkuje i podnosi poziom wymagań w obszarze cyberbezpieczeństwa dla organizacji istotnych z perspektywy funkcjonowania gospodarki i usług publicznych. W praktyce jest to regulacja „nowej generacji": mocniej akcentuje odpowiedzialność kierownictwa, zarządzanie ryzykiem, zdolność wykrywania incydentów oraz sprawne raportowanie. Dla firm oznacza to odejście od myślenia „mamy firewall, więc jest dobrze" w stronę dojrzałego, mierzalnego programu bezpieczeństwa.

Jedną z kluczowych zmian jest rozszerzenie zakresu. W NIS2 lista sektorów rośnie z 7 do 18, a w Polsce szacuje się wzrost liczby podmiotów objętych regulacją z około 400 do ponad 10 000. To nie jest kosmetyka – to zmiana, która dotyka znacznie większej części rynku, w tym wielu przedsiębiorstw produkcyjnych średniej wielkości.

Warto też znać ramy czasowe, bo to one wyznaczają tempo prac. Projekt ustawy implementującej NIS2 trafił do Sejmu w listopadzie 2025 roku, a wejście w życie przepisów planowane jest na pierwszą połowę 2026. Dodatkowo, wykaz podmiotów kluczowych i ważnych ma zostać opublikowany do 17 kwietnia 2026. To oznacza, że okres „spokojnego planowania" szybko się kończy – zwłaszcza że w OT wiele zmian wymaga testów, przestojów technologicznych albo działań wykonywanych oknami serwisowymi.

Kogo to obejmie w praktyce? W kontekście produkcji będą to między innymi organizacje o wysokim stopniu automatyzacji oraz firmy z branż takich jak produkcja żywności, chemia, farmacja czy elektronika. Co istotne, NIS2 nie jest wyłącznie „dla gigantów". Kryteria obejmują również średnie przedsiębiorstwa, a nawet jeśli firma formalnie nie zostanie zakwalifikowana jako podmiot kluczowy lub ważny, może odczuć skutki pośrednio. Dyrektywa NIS2 mocno akcentuje bezpieczeństwo łańcucha dostaw, więc dostawcy i podwykonawcy podmiotów objętych regulacją będą coraz częściej pytani o procedury, dowody kontroli, wyniki audytów czy podstawowe mechanizmy ochrony środowisk OT.

Zakład produkcyjny ma cechę, która z perspektywy cyberprzestępców jest wyjątkowo „atrakcyjna": przestój kosztuje. Jeśli atak zatrzyma system SCADA, unieruchomi sterowniki PLC albo sparaliżuje stacje HMI, konsekwencje nie ograniczą się do utraty kilku plików. Straty liczy się w godzinach niewyprodukowanych partii, utraconych kontraktach, karach umownych, odpadach produkcyjnych, a czasem także w kosztach ponownej walidacji procesu (szczególnie w branżach regulowanych, jak farmacja). To właśnie ta presja czasu sprawia, że firmy bywają bardziej skłonne do płacenia okupu, a to napędza kolejne kampanie ransomware wymierzone w przemysł.

Drugi powód to specyfika środowisk OT. Wiele urządzeń pracuje latami bez aktualizacji, bo priorytetem jest ciągłość procesu i stabilność. Nierzadko spotyka się systemy oparte na starszych wersjach systemów operacyjnych, aplikacje SCADA rozwijane przez lata „doklejanymi" modułami, a także protokoły przemysłowe (w świecie ICS), które historycznie projektowano z myślą o niezawodności i deterministycznej komunikacji, a nie o uwierzytelnianiu czy szyfrowaniu. Efekt? To, co w IT byłoby oczywistą luką, w OT bywa „normalnym stanem" wynikającym z ograniczeń technologicznych i operacyjnych.

Do tego dochodzi czynnik ludzki i organizacyjny. W wielu firmach za OT odpowiadają świetni inżynierowie utrzymania ruchu, automatycy, technolodzy – osoby, których główną misją jest produkować bez przestojów. To naturalne, że priorytety są inne niż w IT. Problem zaczyna się wtedy, gdy odpowiedzialność za cyberbezpieczeństwo OT „wpada w szczelinę" pomiędzy działami: IT zakłada, że to „nie jego", a OT zakłada, że „IT nie rozumie procesu". Tymczasem integracja IT/OT, potrzebna do Przemysłu 4.0, tworzy nowe wektory ataku: zdalny dostęp serwisowy, wymiana danych z ERP/MES, połączenia do chmury, a czasem nawet zwykłe „mostki" w postaci laptopów, które wędrują między biurem a halą.

Choć NIS2 jest aktem prawnym, jej sens z perspektywy firmy produkcyjnej jest dość praktyczny: masz umieć zarządzać ryzykiem cybernetycznym, wykrywać incydenty i reagować na nie w sposób uporządkowany. Dyrektywa przesuwa organizacje z podejścia reaktywnego (działamy, gdy „coś się stało") na proaktywne (wiemy, co mamy, znamy ryzyka, mamy kontrolę i monitoring).

W środowisku OT zwykle oznacza to konieczność wzmocnienia kilku obszarów jednocześnie. Po pierwsze, rośnie rola monitoringu – bez widoczności ruchu sieciowego i zdarzeń w systemach ICS trudno mówić o wczesnym wykrywaniu ataku. Po drugie, NIS2 będzie w praktyce wymuszać segmentację i uporządkowanie komunikacji pomiędzy siecią biurową a produkcyjną, bo to jeden z najskuteczniejszych sposobów ograniczania rozprzestrzeniania się incydentu. Po trzecie, oczekiwane są regularne audyty, przeglądy zabezpieczeń, a w wielu przypadkach także testy odporności – prowadzone rozsądnie, z uwzględnieniem realiów OT, aby nie spowodować przestoju.

Osobny, bardzo „operacyjny" temat to raportowanie incydentów. NIS2 wprowadza krótkie terminy: wstępne zgłoszenie incydentu w ciągu 24 godzin od wykrycia, a potem dalsze raportowanie w określonych ramach czasowych. W praktyce nie da się tego robić „na oko". Jeśli organizacja ma zdążyć, musi mieć ustalone ścieżki eskalacji, osoby decyzyjne, a przede wszystkim narzędzia, które pozwolą szybko stwierdzić: co się stało, gdzie, jaki jest wpływ na proces i czy incydent nadal trwa.

W tle są też sankcje – do 10 milionów euro lub 2% globalnego rocznego obrotu. Warto jednak patrzeć na to bez sensacyjnego tonu: kary są narzędziem wymuszającym powagę tematu, ale rzeczywisty cel NIS2 to ograniczenie ryzyka, które już dziś materializuje się w postaci przestojów, strat finansowych i ryzyk dla bezpieczeństwa ludzi oraz jakości produktów.

Jednym z najtrudniejszych elementów w firmie produkcyjnej jest połączenie dwóch światów, które mówią innymi językami. IT koncentruje się na poufności danych, aktualizacjach, standaryzacji i zarządzaniu tożsamością. OT koncentruje się na dostępności procesu, bezpieczeństwie funkcjonalnym, stabilności i przewidywalności. NIS2 – podobnie jak praktyka rynkowa – wymusza podejście „i–i": trzeba chronić proces, ale tak, żeby go nie zatrzymać. Według danych Cisco 89% firm uznaje cyberbezpieczeństwo za kluczowy element strategii rozwoju, a jednocześnie jest to największe wyzwanie w zarządzaniu infrastrukturą OT. To napięcie widać szczególnie tam, gdzie integracja OT IT jest warunkiem dalszej automatyzacji i analityki.

W praktyce fundamentem jest kilka elementów, które dobrze układają się w spójną architekturę ochrony. Zwięźle można je ująć tak:

• Widoczność – inwentaryzacja zasobów OT i zrozumienie komunikacji; bez tego nie da się sensownie zarządzać ryzykiem.
• Segmentacja – logiczne i fizyczne oddzielenie OT od IT oraz podział OT na strefy, aby ograniczać promień rażenia incydentu.
• Kontrola dostępu – jasne zasady, kto i kiedy ma dostęp do systemów OT (w tym zdalny), najlepiej z rozliczalnością działań.
• Zarządzanie zmianą – kontrola nad aktualizacjami, konfiguracją i wyjątkami; w OT „niekontrolowana zmiana" bywa równie groźna jak brak zmian.
• Monitoring anomalii – wykrywanie nietypowych zachowań w ruchu ICS/SCADA i na stacjach operatorskich zanim problem przerodzi się w przestój.

Tak rozumiana integracja IT i OT nie polega na „wpięciu hali do domeny" ani na przeniesieniu polityk IT 1:1 do produkcji. Chodzi o zaprojektowanie wspólnego modelu bezpieczeństwa, w którym wymagania ciągłości procesu są brane pod uwagę od początku, a działania ochronne są możliwe do utrzymania przez lata.

Najczęstszy błąd w projektach NIS2 i cyberbezpieczeństwa OT polega na próbie zrobienia wszystkiego naraz. W efekcie rośnie liczba inicjatyw, ale brakuje spójnego planu, a zespół OT zaczyna postrzegać bezpieczeństwo jako „coś, co przeszkadza w produkcji". Dużo lepsze jest podejście etapowe: zacząć od podstaw, szybko podnieść odporność na najczęstsze scenariusze, a dopiero później dokładać bardziej zaawansowane mechanizmy.

Pierwszy krok to audyt stanu obecnego, rozumiany bardzo praktycznie: inwentaryzacja aktywów OT, mapowanie połączeń, identyfikacja punktów styku IT/OT oraz ocena, gdzie są „nieoczywiste" ścieżki dostępu. Wiele firm jest zaskoczonych, ile urządzeń jest faktycznie podłączonych do sieci, jak wyglądają trasy komunikacji i jak wiele wyjątków narosło przez lata, bo „kiedyś trzeba było szybko uruchomić linię". W OT takie wyjątki potrafią zostać na stałe.

Drugi krok to priorytetyzacja. Nie każdy sterownik ma ten sam wpływ na biznes i nie każda luka ma takie samo prawdopodobieństwo wykorzystania. Warto zacząć od systemów krytycznych: tych, które wpływają na bezpieczeństwo ludzi, jakość produktu albo ciągłość kluczowych procesów. Następnie dobrze jest spojrzeć na najbardziej typowe wektory ataku, takie jak zdalny dostęp, niekontrolowane urządzenia przenośne czy brak segmentacji pomiędzy strefami. Dzięki temu plan działań staje się realistyczny i możliwy do dowiezienia bez rewolucji na hali.

Trzeci krok to wdrażanie etapowe. W wielu zakładach największy zwrot „za rozsądny wysiłek" dają działania porządkujące: podstawowa segmentacja, uporządkowanie kont i uprawnień, wprowadzenie bezpieczniejszych zasad zdalnego dostępu oraz monitoring, który daje sygnał ostrzegawczy zanim dojdzie do awarii lub przestoju. Dopiero później warto rozważać kolejne warstwy: bardziej szczegółowe strefy i konduity, integrację logów z różnych źródeł, zaawansowane reguły detekcji czy automatyzację reakcji na incydenty.

W tym kontekście coraz większą rolę odgrywa dedykowane oprogramowanie, które pomaga integrować dane z wielu źródeł (IT i OT), korelować zdarzenia, budować obraz sytuacji i przygotowywać raporty pod kątem zgodności. NIS2 nie jest projektem „wdrożeniowym" na trzy miesiące – to raczej program ciągłego doskonalenia. Jeśli więc firma ma rozwijać monitoring, przeglądy ryzyka i procedury incydentowe przez lata, automatyzacja zbierania danych i raportowania staje się elementem higieny operacyjnej, a nie luksusem.

Warto też pamiętać, że zgodność z NIS2 w produkcji to nie tylko kwestia technologii. To również uzgodnione procesy między IT, OT i zarządem: kto podejmuje decyzję o odłączeniu segmentu, kto akceptuje ryzyko pozostawienia starszego systemu, kto odpowiada za kontakt z dostawcą maszyny, a kto za zgłoszenie incydentu. Bez tych uzgodnień nawet najlepsze narzędzia będą działały „obok organizacji".

Dyrektywa NIS2 w Polsce stawia przed firmami produkcyjnymi nowy poziom oczekiwań – nie dlatego, że UE „dokłada papierologii", ale dlatego, że cyberbezpieczeństwo OT stało się realnym czynnikiem ryzyka operacyjnego. Rosnąca liczba ataków na przemysł, integracja IT/OT i presja na ciągłość produkcji tworzą środowisko, w którym przypadkowe podejście do bezpieczeństwa po prostu przestaje działać.

Dobrą wiadomością jest to, że sensowna droga do zgodności nie wymaga jednoczesnej przebudowy całej infrastruktury. Zaczyna się od widoczności, priorytetyzacji i kilku fundamentalnych praktyk: segmentacji, kontroli dostępu, zarządzania zmianą i monitoringu. To one w największym stopniu ograniczają ryzyko, a jednocześnie przygotowują organizację na wymagania raportowania incydentów i audytowalność działań.

Jeśli stoisz przed wyzwaniem dostosowania się do NIS2 i potrzebujesz wsparcia w uporządkowaniu integracji IT/OT, podejściu do monitoringu lub zaprojektowaniu sposobu zbierania danych do raportowania, w aveneo możemy pomóc poukładać temat i przejść przez transformację krok po kroku. Warto zacząć wcześniej – w OT czas jest zasobem równie krytycznym jak budżet.