Wejście w życie dyrektywy NIS2 (dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.) oraz trwające prace nad nowelizacją polskiej ustawy o Krajowym Systemie Cyberbezpieczeństwa (uKSC) stawiają przed przedsiębiorcami z sektora produkcyjnego fundamentalne pytanie: czy moje przedsiębiorstwo podlega nowym obowiązkom z zakresu cyberbezpieczeństwa? Odpowiedź nie jest prosta, wymaga analizy trzech niezależnych kryteriów: sektorowego, wielkościowego i funkcjonalnego. Poniższy artykuł przeprowadza przez ten proces krok po kroku.
Co to są podmioty ważne i dlaczego produkcja znalazła się w NIS2?
Dyrektywa NIS2 rozszerzyła znacząco zakres podmiotów objętych regulacjami cyberbezpieczeństwa w stosunku do swojej poprzedniczki, dyrektywy NIS1. Kluczowym novum jest wprowadzenie dwóch kategorii podmiotów:
- podmioty kluczowe (essential entities), objęte surowszym nadzorem,
- podmioty ważne (important entities), objęte nadzorem o nieco mniejszej intensywności, lecz wciąż podlegające istotnym obowiązkom.
Sektor produkcyjny znalazł się w Załączniku II do NIS2, co oznacza, że producenci mogą być zakwalifikowani przede wszystkim jako podmioty ważne, a w przypadku dużych przedsiębiorstw, jako podmioty kluczowe.
Decyzja ustawodawcy unijnego o objęciu produkcji zakresem dyrektywy wynika z rosnącej cyfryzacji procesów przemysłowych (Industry 4.0, IIoT) oraz z doświadczeń z atakami ransomware na zakłady produkcyjne, które skutkowały poważnymi zakłóceniami w łańcuchach dostaw.
Krok pierwszy: Sprawdź swój kod NACE, czyli w jakim sektorze działasz?
Pierwszym i najważniejszym krokiem jest ustalenie, czy działalność przedsiębiorstwa mieści się w sektorach wskazanych w Załącznikach I lub II do dyrektywy NIS2. Dyrektywa, a za nią polska ustawa KSC, odwołuje się bezpośrednio do klasyfikacji NACE Rev. 2.
Sektory produkcyjne ujęte w Załączniku II (podmioty ważne):
| Sektor | Kod NACE Rev. 2 | Przykłady |
| Produkcja chemikaliów | C20 | Wytwarzanie substancji chemicznych, nawozów, farb |
| Produkcja żywności | C10–C12 | Przetwórstwo spożywcze, przemysł tytoniowy |
| Produkcja wyrobów medycznych i diagnostycznych | C26.6, C32.5 | Sprzęt medyczny, wyroby do diagnostyki in vitro |
| Produkcja komputerów, wyrobów elektronicznych i optycznych | C26 (z wyłączeniem C26.6) | Elektronika, instrumenty pomiarowe, półprzewodniki |
| Produkcja urządzeń elektrycznych | C27 | Silniki, generatory, kable, akumulatory |
| Produkcja maszyn i urządzeń | C28 | Maszyny przemysłowe, obrabiarki, pompy |
| Produkcja pojazdów samochodowych | C29 | Samochody, przyczepy, części samochodowe |
| Produkcja pozostałego sprzętu transportowego | C30 | Statki, lokomotywy, samoloty, rowery |
Praktyczna wskazówka – jak sprawdzić kod NACE?
Kod NACE odpowiada polskiemu kodowi PKD. Przeważający kod PKD przedsiębiorstwa można znaleźć:
- w rejestrze KRS (Krajowy Rejestr Sądowy), dla spółek,
- w rejestrze CEIDG, dla jednoosobowych działalności,
- w rejestrze REGON prowadzonym przez GUS.
Uwaga praktyczna: Organy nadzorcze będą co do zasady opierać się na kodzie PKD ujawnionym w rejestrze. Jeśli kod jest nieaktualny lub nie odzwierciedla faktycznej działalności, warto rozważyć jego aktualizację.
Krok drugi: Sprawdź wielkość swojego przedsiębiorstwa
Sama przynależność sektorowa nie wystarczy. NIS2 stosuje progi wielkościowe oparte na definicjach z Zalecenia Komisji 2003/361/WE:
| Kategoria | Zatrudnienie | Przychód roczny | Suma bilansowa | Kwalifikacja |
| Duże przedsiębiorstwo | ≥ 250 pracowników | > 50 mln EUR | > 43 mln EUR | Podmiot kluczowy (Zał. I i II) |
| Średnie przedsiębiorstwo | 50–249 pracowników | 10–50 mln EUR | ≤ 43 mln EUR | Podmiot ważny |
| Małe i mikroprzedsiębiorstwa | < 50 pracowników |
Studium przypadku: Producent aparatury kontrolno-pomiarowej
Doskonałym przykładem ilustrującym trudności kwalifikacyjne jest producent zaawansowanych technologicznie urządzeń dla automatyki przemysłowej, taki jak wytwórca czujników temperatury, głowic przyłączeniowych i aparatury kontrolno-pomiarowej.
Na pierwszy rzut oka mogłoby się wydawać, że tego rodzaju działalność mieści się w sektorze „Produkcja maszyn i urządzeń” (C28). Jednak wnikliwa analiza klasyfikacji NACE prowadzi do odmiennego wniosku:
- Czujniki temperatury i aparatura kontrolno-pomiarowa to instrumenty i przyrządy pomiarowe, klasyfikowane pod kodem C26.5 (Produkcja instrumentów i przyrządów pomiarowych, kontrolnych i nawigacyjnych).
- Kod C26.5 należy do działu C26, „Produkcja komputerów, wyrobów elektronicznych i optycznych”.
Oznacza to, że taki producent podlega pod NIS2 nie jako producent maszyn i urządzeń (C28), lecz jako producent wyrobów elektronicznych i optycznych (C26). Obydwa sektory są co prawda wymienione w Załączniku II, ale właściwy organ nadzorczy oraz ewentualne wymogi sektorowe mogą się różnić.
Wniosek: Nie należy opierać się na intuicyjnym rozumieniu nazwy sektora, konieczna jest precyzyjna analiza kodu NACE/PKD.
Co jest specyficznego w kwalifikacji podmiotów produkcyjnych?
Sektor produkcyjny wyróżnia się na tle innych sektorów objętych NIS2 pod kilkoma istotnymi względami. Specyfika ta sprawia, że proces kwalifikacji jest dla producentów szczególnie wymagający i podatny na błędy interpretacyjne.
Wielość podsektorów i ryzyko błędnej klasyfikacji
W odróżnieniu od sektorów takich jak energetyka czy transport, gdzie przynależność sektorowa jest stosunkowo oczywista, sektor produkcyjny w NIS2 jest rozbity na kilka odrębnych podsektorów, z których każdy odpowiada innemu działowi klasyfikacji NACE. Co więcej, granice między podsektorami bywają nieostre. Producent, który intuicyjnie uznaje się za wytwórcę „maszyn i urządzeń”, może po dokładnej analizie kodu NACE okazać się producentem „wyrobów elektronicznych i optycznych” – a to oznacza inny organ nadzorczy, potencjalnie inne wymogi sektorowe i inną ścieżkę rejestracyjną.
Przykład z praktyki: producent czujników temperatury i aparatury kontrolno-pomiarowej dla automatyki przemysłowej może pozornie pasować do sektora C28 (maszyny i urządzenia), tymczasem jego działalność klasyfikuje się pod kodem C26.5 – i tym samym trafia do sektora C26 (wyroby elektroniczne i optyczne). Różnica jest nieoczywista dla laika, lecz prawnie doniosła.
Łańcuch dostaw jako szczególne ryzyko
Podmioty produkcyjne są z natury głęboko osadzone w złożonych łańcuchach dostaw – zarówno po stronie dostawców komponentów, jak i po stronie odbiorców końcowych. NIS2 kładzie szczególny nacisk na bezpieczeństwo łańcucha dostaw jako jeden z wymaganych środków zarządzania ryzykiem. Dla producenta oznacza to konieczność analizy i oceny poziomu cyberbezpieczeństwa swoich kluczowych dostawców oraz partnerów technologicznych – co jest zadaniem znacznie bardziej złożonym niż w przypadku podmiotów świadczących usługi wyłącznie cyfrowe.
Środowiska OT/IT – specyfika środowisk przemysłowych
Większość regulacji cyberbezpieczeństwa powstawała z myślą o środowiskach IT (informatycznych). Tymczasem zakłady produkcyjne operują w dużej mierze na systemach OT (Operational Technology) – sterownikach PLC, systemach SCADA, sieciach przemysłowych – które rządzą się innymi zasadami niż klasyczne środowiska biurowe. Środowiska OT charakteryzują się:
- długim cyklem życia urządzeń (często 15–30 lat),
- ograniczonymi możliwościami aktualizacji oprogramowania,
- wysoką wrażliwością na zakłócenia i przestoje,
- brakiem tradycyjnych mechanizmów bezpieczeństwa IT (np. szyfrowania, uwierzytelniania).
Nowelizacja uKSC nie wprowadza odrębnych wymogów dla środowisk OT, co oznacza, że producenci muszą sami interpretować ogólne wymogi zarządzania ryzykiem przez pryzmat swoich specyficznych środowisk technologicznych. Jest to obszar, w którym regulacje prawne wyraźnie jeszcze nie nadążają za realiami przemysłowymi.
Trudność w identyfikacji „usługi” podlegającej ochronie
W sektorach takich jak bankowość czy energetyka łatwo wskazać konkretną usługę, której ciągłość NIS2 ma chronić. W sektorze produkcyjnym sprawa jest mniej oczywista: czy chodzi o ciągłość linii produkcyjnej? O dostępność systemów sterowania? O integralność danych produkcyjnych? Brak jednoznacznej odpowiedzi sprawia, że producenci muszą samodzielnie definiować swoje krytyczne procesy i zasoby informacyjne, co wymaga przeprowadzenia rzetelnej analizy ryzyka dostosowanej do specyfiki działalności.
Możliwość wyznaczenia z urzędu – nieprzewidywalność kwalifikacji
Zarówno NIS2, jak i nowelizacja uKSC przewidują możliwość wyznaczenia podmiotu z urzędu przez właściwy organ nadzorczy – niezależnie od tego, czy podmiot spełnia progi wielkościowe. Dla sektora produkcyjnego jest to szczególnie istotne, gdyż organ może uznać, że dany producent dostarcza komponenty o krytycznym znaczeniu dla innych sektorów (np. energetyki, obronności, transportu) i na tej podstawie objąć go obowiązkami mimo statusu małego lub średniego przedsiębiorcy.
Oznacza to, że żaden producent działający w łańcuchu dostaw podmiotów kluczowych nie może z góry zakładać, że jest wyłączony z zakresu regulacji wyłącznie ze względu na swoją wielkość.
Zakończenie
Kwalifikacja podmiotów produkcyjnych na gruncie NIS2 i znowelizowanej uKSC jest procesem wielowymiarowym, wymagającym precyzyjnej analizy sektorowej, wielkościowej i funkcjonalnej. Specyfika sektora produkcyjnego – rozbicie na wiele podsektorów, oparcie na środowiskach OT, głębokie osadzenie w łańcuchach dostaw oraz możliwość wyznaczenia z urzędu – sprawia, że samodzielna ocena statusu regulacyjnego jest zadaniem obarczonym istotnym ryzykiem błędu.
Dla przedsiębiorców produkcyjnych kluczowy wniosek jest następujący: nie czekaj, aż organ nadzorczy zakwalifikuje Cię z urzędu. Proaktywna weryfikacja statusu, właściwa klasyfikacja działalności według NACE i wdrożenie środków zarządzania ryzykiem cyberbezpieczeństwa to nie tylko obowiązek prawny – to również element zarządzania ryzykiem operacyjnym i reputacyjnym w coraz bardziej cyfrowym środowisku przemysłowym.
Artykuł ma charakter informacyjny i nie stanowi porady prawnej. W celu oceny indywidualnej sytuacji przedsiębiorcy zaleca się konsultację z radcą prawnym lub adwokatem specjalizującym się w prawie cyberbezpieczeństwa.