Produkcja8 min czytania

KSC dla produkcji — wdrożenie NIS2 w przemyśle

Którzy producenci podlegają KSC

Sektor produkcji jest sektorem ważnym wg załącznika nr 2 do ustawy o KSC. Obejmuje pięć podsektorów: produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro; produkcja komputerów, wyrobów elektronicznych i optycznych; produkcja urządzeń elektrycznych; produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana; produkcja pojazdów silnikowych, przyczep i naczep oraz innego sprzętu transportowego.

Klasyfikacja podsektorów produkcji

Podsektor produkcjiStatus (zał. 2)Status PK?
Wyroby medyczne i diagnostyki in vitroPW (średni/duży)PK przy decyzji organu lub gdy podmiot CER (art. 7l)
Komputery, wyroby elektroniczne i optycznePW (średni/duży)Tak samo
Urządzenia elektrycznePW (średni/duży)Tak samo
Maszyny i urządzenia (PKD 28)PW (średni/duży)Tak samo
Pojazdy silnikowe, przyczepy, sprzęt transportowyPW (średni/duży)Tak samo
Mikro/mały producentCo do zasady poza KSC(z wyjątkami art. 5 ust. 1 pkt 4)
Średni przedsiębiorca produkcyjny (50–249 prac. lub obrót 10–50 mln EUR) z dowolnego z 5 podsektorów to podmiot ważny (art. 5 ust. 2 pkt 1 KSC). Duży producent przewyższający próg MŚP (powyżej 250 prac. lub obrót powyżej 50 mln EUR oraz bilans powyżej 43 mln EUR) — również PW (zał. 2 obejmuje średnich i dużych). Status PK zwykle nie z mocy prawa — może zostać przyznany decyzją organu właściwego (art. 7l) jeśli podmiot ma kluczowe znaczenie dla bezpieczeństwa.

Zakres usługi

  • Klasyfikacja zakładu (PK/PW) wg podsektora i wielkości — art. 5 KSC + zał. 2
  • Rejestracja w wykazie S46 (art. 7c)
  • Wdrożenie SZBI z 14 obszarów art. 8 ust. 1 pkt 2 lit. a–n — dostosowane do specyfiki produkcji (OT, MES, ERP)
  • Procedury reagowania na incydenty (art. 11–12b) z integracją z CSIRT NASK
  • Coroczne szkolenie kierownika (art. 8e ust. 1)
  • Wsparcie integracji wymogów KSC z istniejącymi normami branżowymi (ISO 27001, IEC 62443 dla OT, MDR/IVDR dla wyrobów medycznych)
  • Zarządzanie łańcuchem dostaw ICT (art. 8 ust. 1 pkt 2 lit. e) — dostawcy oprogramowania MES/ERP, integratorzy systemów

Specyfika produkcji — OT, MES, ERP

  • MES (Manufacturing Execution System) — system zarządzania produkcją, integracja z ERP
  • ERP (Enterprise Resource Planning) — SAP, Oracle, IFS — integracja z bankowością i logistyką
  • PLC i sterowniki przemysłowe — Siemens, Allen-Bradley, Mitsubishi i inni
  • Roboty i linie automatyczne — komunikacja przemysłowa Profinet, EtherCAT, Modbus
  • Systemy laboratoryjne i kontroli jakości (LIMS)
  • Systemy bezpieczeństwa funkcjonalnego (Safety PLC) — IEC 61508, IEC 62443
  • Segmentacja sieci IT/OT zgodnie z modelem Purdue (poziomy 0-5)

Terminy wdrożenia

EtapTerminPodstawa prawna
Rejestracja w S46Wg harmonogramu Ministra Cyfryzacji w komunikacieart. 33 ust. 3 + art. 34 ust. 3
Wdrożenie SZBIdo 3 kwietnia 2027 r.art. 33 ust. 1 ust. nowel.
Coroczne szkolenie kierownikaRaz w roku kalendarzowymart. 8e ust. 1
Audyt (tylko jeśli organ wskaże PK lub po incydencie)Wg art. 15 ust. 1 lub 1bart. 15 KSC

Cena i konsultacja

Bezpłatna konsultacja obejmuje klasyfikację zakładu (podsektor + wielkość) i mapę warstw OT/IT. Wycena indywidualna w zależności od skali zakładu (liczba linii produkcyjnych, lokalizacji), dojrzałości obecnych zabezpieczeń OT i wymagań branżowych. Lokalna obecność na Pomorzu — dostępność on-site dla zakładów w Trójmieście i okolicach.
FAQ5 pytań

Najczęstsze pytania

Czy mój zakład produkcyjny podlega KSC?
Średni i duży zakład produkcyjny (od 50 prac. lub obrotu od 10 mln EUR) z jednego z pięciu podsektorów wymienionych w załączniku nr 2 podlega KSC jako podmiot ważny — art. 5 ust. 2 pkt 1 KSC. Pięć podsektorów: (1) wyroby medyczne i in vitro, (2) komputery i elektronika, (3) urządzenia elektryczne, (4) maszyny i urządzenia (PKD 28), (5) pojazdy silnikowe, przyczepy i transport. Mikro i mały producent (< 50 prac.) co do zasady poza KSC, chyba że spełnia jeden z wyjątków z art. 5 ust. 1 pkt 4.
Czym różni się PW produkcyjny od PK z innych sektorów?
Różnice: (1) tryb nadzoru — PW podlega nadzorowi reaktywnemu (kontrola dopiero po incydencie lub sygnale, art. 15 ust. 1b), PK proaktywnemu (kontrole z urzędu); (2) audyt — PK ma obowiązkowy audyt co 3 lata (art. 15 ust. 1), PW tylko na żądanie organu (art. 15 ust. 1b); (3) maksymalne kary — PK do 10 mln EUR / 2% (art. 73 ust. 3), PW do 7 mln EUR / 1,4% (art. 73 ust. 4). Obowiązki materialne (SZBI z art. 8, raportowanie incydentów z art. 11, szkolenie kierownika z art. 8e) są identyczne.
Czy systemy OT muszą być w SZBI?
Tak — systemy OT (PLC, MES, SCADA produkcyjne, roboty) są częścią systemu informacyjnego wykorzystywanego do świadczenia usługi (produkcji) i muszą być objęte SZBI z art. 8 KSC. Praktyka: (1) inwentaryzacja warstw OT zgodnie z modelem Purdue (poziomy 0-5) — lit. a; (2) segmentacja IT/OT z firewallem przemysłowym (Industrial Firewall) — lit. l; (3) monitoring ruchu OT z dedykowanymi narzędziami (np. Nozomi Networks, Claroty, Dragos) — lit. g; (4) procedury aktualizacji firmware z testami w środowisku stagingowym — lit. b; (5) plan BCP uwzględniający scenariusz przejścia na sterowanie manualne — lit. f. Rekomendujemy stosowanie norm IEC 62443 jako framework branżowy.
Co z producentami wyrobów medycznych — czy MDR jest wystarczające?
MDR (Rozp. 2017/745 o wyrobach medycznych) i KSC nakładają się — producent musi spełnić oba reżimy. MDR koncentruje się na bezpieczeństwie wyrobu medycznego (działanie kliniczne, system jakości ISO 13485, GSPR — General Safety and Performance Requirements), a KSC na bezpieczeństwie systemu informacyjnego producenta (sieć korporacyjna, systemy MES/ERP, dane pacjentów w post-marketing surveillance). MDR załącznik I rozdz. 17 i 17.4 wymaga zarządzania cyberbezpieczeństwem w cyklu życia wyrobu medycznego — to pokrywa się z lit. b (bezpieczeństwo nabywania i utrzymania) art. 8 ust. 1 pkt 2 KSC. W praktyce mapujemy wymogi MDR na 14 obszarów KSC, oszczędzając pracę.
Czy producent komponentów dla większego klienta podlega KSC?
Sama relacja „dostawca PK” nie czyni dostawcy podmiotem KSC. Dostawca podlega ustawie tylko jeśli sam spełnia kryteria sektora (zał. 1 lub 2) i wielkości. Niemniej w praktyce dostawca jest pośrednio związany wymogami umownymi swoich klientów PK z art. 8 ust. 1 pkt 2 lit. e (zarządzanie ryzykiem łańcucha dostaw). Klauzule umowne często wymagają: MFA, szyfrowania, raportowania incydentów, prawa do audytu, wdrożenia ISO 27001 lub równoważnego SZBI. Dla dostawcy oznacza to praktyczne wdrożenie zasad SZBI bez formalnego statusu PK. Patrz: artykuł „Łańcuch dostaw KSC”.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.