Jeśli prowadzisz firmę produkcyjną zatrudniającą co najmniej 50 osób (lub z obrotem powyżej 10 mln EUR), jest spora szansa, że podlegasz ustawie KSC — sektor „produkcja” w załączniku nr 2 obejmuje pięć szerokich grup przemysłu i, jak ujmuje to nasze opracowanie ustawy, „wciąga do ustawy ogromną część polskiego przemysłu średniej wielkości”. Zacznij od kwalifikacji i analizy ryzyka, a środowisko OT potraktuj jako odrębny obszar — kopiowanie kontroli IT na produkcję to najczęstszy błąd.
Czy Twoja produkcja podlega pod NIS2/KSC?
Sektor **produkcja** znajduje się w załączniku nr 2 („ważne”) i obejmuje pięć grup: wyroby medyczne i wyroby do diagnostyki in vitro; komputery, elektronikę i optykę; urządzenia elektryczne; maszyny i urządzenia; pojazdy samochodowe, przyczepy i pozostały sprzęt transportowy. Do tego dochodzą pokrewne sektory „ważne”: chemikalia (produkcja, wytwarzanie i dystrybucja) oraz żywność (produkcja, przetwarzanie i dystrybucja na skalę przemysłową/hurtową).
Uwaga na sektor zdrowia: producenci substancji farmaceutycznych i leków oraz producenci wyrobów medycznych uznanych za krytyczne są w załączniku nr 1 („kluczowe”) — dlatego wytwórca farmaceutyczny może być podmiotem kluczowym, mimo że potocznie „zdrowie” kojarzy się tylko ze szpitalami.
Progi wielkości: reguła ogólna obejmuje przedsiębiorstwa co najmniej średnie — od 50 osób lub powyżej 10 mln EUR obrotu albo sumy bilansowej. Średnia lub duża firma w załączniku nr 2 to podmiot ważny. Pamiętaj o pułapce grup kapitałowych: dane przedsiębiorstw partnerskich i powiązanych się sumują — spółka produkcyjna należąca do większej grupy może podlegać, mimo że „na własnym NIP-ie” wygląda na małą.
Dlaczego OT wymaga osobnego podejścia
Ustawa wymaga systemu proporcjonalnego do ryzyka — a ryzyko w zakładzie produkcyjnym ma swoją specyfikę: klasyfikacja incydentów obejmuje m.in. zagrożenie zdrowia, życia, środowiska lub produkcji, a wśród minimalnych playbooków reagowania powinno się znaleźć „naruszenie OT/produkcji”. Ochrona środowisk produkcyjnych i sterowania musi uwzględniać bezpieczeństwo procesu — najczęstszą pułapką jest kopiowanie kontroli IT bez analizy wpływu na produkcję.
Praktyczny zestaw dla OT obejmuje: inwentaryzację pasywną, podział na strefy, kontrolowany zdalny dostęp, kopie konfiguracji, monitoring, kontrolę zmian i procedury ręczne. Segmentacja działa jak drzwi przeciwpożarowe: systemy krytyczne (produkcja, OT) powinny być oddzielone od stacji biurowych i od siebie nawzajem, z kontrolowanym ruchem między strefami — kliknięcie w złośliwy załącznik przez pracownika biura nie może oznaczać dostępu do sterowania produkcją.
Od czego zacząć: mapa drogowa na 12 miesięcy
- **Miesiące 1–2: kwalifikacja i decyzja zarządu.** Analiza załączników i progów (z grupą kapitałową!), formalna uchwała zarządu o uruchomieniu projektu, budżet, właściciel projektu, zgłoszenie do wykazu i wyznaczenie osób kontaktowych.
- **Miesiące 2–4: inwentaryzacja i analiza ryzyka.** Co mamy, co jest krytyczne, gdzie są luki względem katalogu ustawowego (gap analysis) — w zakładzie produkcyjnym z osobnym spojrzeniem na środowisko OT. Z tego wynika plan — i dopiero z planu wynikają sensowne wydatki.
- **Miesiące 4–9: wdrożenie.** Polityki i procedury pisane pod realne procesy, domknięcie minimum technicznego (MFA, kopie z testem odtworzenia, zarządzanie podatnościami, logowanie zdarzeń), procedura incydentowa z próbą generalną, przegląd i aneksy umów z kluczowymi dostawcami, szkolenia — w tym zarządu.
- **Miesiące 9–12: dowody i utrwalenie.** Test BCP/DR z raportem, audyt wewnętrzny lub przegląd zerowy, uzupełnienie dokumentacji operacyjnej, przegląd zarządczy z uchwałą zatwierdzającą.
W strukturze programu środowiska przemysłowe mają swój strumień: „Technologia IT/OT” (lider: CIO/IT/OT; produkty: architektura zabezpieczeń, projekty remediacyjne, monitoring) — a IT i OT projektują i utrzymują środki techniczne zgodne z wymaganiami biznesowymi, nie odwrotnie.
Ciągłość działania: parametry ustala biznes, nie IT
Dla produkcji sercem zgodności jest ciągłość działania: kopie zapasowe z testami odtworzenia (backup nietestowany to deklaracja, nie zabezpieczenie), plany ciągłości działania (BCP) i odtwarzania (DRP) dla systemów krytycznych — z określonymi parametrami odtworzenia i właścicielami biznesowymi. To właściciel procesu produkcyjnego wie, ile kosztuje godzina przestoju linii i które systemy muszą wrócić najpierw.
Łańcuch dostaw działa w obie strony
Jako producent jesteś zwykle także dostawcą większych podmiotów — a jeśli Twoim klientem jest podmiot objęty ustawą, to on zacznie wymagać klauzul bezpieczeństwa od Ciebie: KSC rozlewa się w dół łańcucha także na firmy formalnie nieobjęte. Z drugiej strony sam musisz zidentyfikować dostawców istotnych dla bezpieczeństwa (IT, OT, usługi chmurowe, serwis), ocenić ich ryzyko i wpisać wymogi do umów — od poziomów usług przez informowanie o incydentach po prawo audytu.
Piszę o tym z perspektywy praktyka: prowadzę wdrożenie NIS2/KSC jako podmiot kluczowy u wytwórcy leków z listy leków krytycznych — od analizy ryzyka po wpis do wykazu S46. Specyfika zakładu produkcyjnego (OT, ciągłość linii, dostawcy serwisowi) to nie teoria, tylko codzienność tego programu.
Jeśli działalność mieści się w jednej z pięciu grup sektora „produkcja” (albo w chemikaliach czy żywności na skalę przemysłową), a firma jest co najmniej średnia (od 50 osób lub ponad 10 mln EUR obrotu/sumy bilansowej) — co do zasady tak, jako podmiot ważny. Zrób test kwalifikacji i pamiętaj o sumowaniu danych w grupach kapitałowych.
Produkujesz? Sprawdź swój status w 2 minuty
Test kwalifikacji wstępnie wskaże, czy i jako jaki podmiot podlegasz — a na konsultacji porozmawiamy o specyfice Twojego zakładu, łącznie z OT.
Przewodnik po ustawie KSC 2026 (PDF)