Jsem výrobce strojů podle NIS 2?
Příloha II sektor 5 směrnice NIS 2 vtahuje výrobu do působnosti. Výrobci strojů sídlí v podkategorii (d), oddíl NACE C28. Pokud máte 50 zaměstnanců nebo obrat 10 milionů eur, jste důležitý subjekt se stejnými deseti povinnostmi podle článku 21(2) jako ti velcí.
Krátká verze
NIS 2 pokrývá výrobu jako důležitý sektor. Příloha II sektor 5 jmenuje šest podkategorií výroby. Výroba strojů a zařízení, oddíl NACE C28, je jednou z nich. Pokud děláte právě tohle a jste nad prahem velikosti, NIS 2 se na vás vztahuje.
Test velikosti sídlí v článku 2(1) směrnice. 50 nebo více zaměstnanců, nebo obrat 10 milionů eur a bilanční suma. Dosáhněte jednoho z nich a jste v ní. Pod oběma jste mimo výchozí působnost. Německo kopíruje stejný práh do §28 BSIG.
Co dělá stroje zvláštními, je stopa OT. Vaše výrobní buňka má PLC, SCADA, HMI, řadiče robotů a nad tím ERP a MES. Článek 21(2) zachází s celou touto vrstvou jako s jedním systémem k obraně. Praktickou implementační cestou v Německu je BSI IT-Grundschutz, zejména stavební bloky IND pro průmyslové řídicí systémy, a ISO/IEC 62443 pro vrstvu OT.
Příloha II bod 5 směrnice NIS 2 (2022/2555): výroba
(a) Výroba zdravotnických prostředků a diagnostických zdravotnických prostředků in vitro (NACE C32.5 částečně, C26.60 částečně); (b) Výroba počítačů, elektronických a optických výrobků (NACE C26); (c) Výroba elektrických zařízení (NACE C27); (d) Výroba strojů a zařízení j. n. (NACE C28); (e) Výroba motorových vozidel, přívěsů a návěsů (NACE C29); (f) Výroba ostatních dopravních prostředků a zařízení (NACE C30).
Výrobci strojů sídlí pod (d). Odkaz na NACE je Rev. 2. Pokud je vaším podnikáním broušení, frézování, svařování, montáž nebo integrace průmyslových strojů, zařízení nebo modulů, vaším oddílem je C28. Příloha II je seznamem „důležitých subjektů“. Stejných deset povinností podle článku 21(2) jako u přílohy I, nižší strop pokut, reaktivní spíše než proaktivní dozor.
Článek 2(1) směrnice NIS 2: test velikosti
Tato směrnice se vztahuje na veřejné nebo soukromé subjekty některého z typů uvedených v příloze I nebo II, které se kvalifikují jako střední podniky podle článku 2 přílohy doporučení 2003/361/ES nebo překračují stropy pro střední podniky stanovené v odstavci 1 uvedeného článku.
Strop velikosti používá definici malých a středních podniků EU. 50 zaměstnanců nebo více, nebo roční obrat nad 10 milionů eur a bilanční suma nad 10 milionů eur. Dosáhněte jednoho z nich a jste v ní. Směrnice uvádí hrstku případů, kde na velikosti nezáleží, ale čistá výroba strojů na tomto seznamu přebití není.
§28 BSIG (Německo): wichtige Einrichtung, sektor „Verarbeitendes Gewerbe / Herstellung“
Wichtige Einrichtungen sind Einrichtungen, die einer in Anlage 2 genannten Einrichtungsart angehören und mindestens als mittleres Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission gelten.
Německo uvádí výrobu pod Anlage 2 BSIG, se stejnými šesti podkategoriemi jako příloha II bod 5 směrnice. Strop pokut pro důležité subjekty stanoví §65 BSIG: až 7 milionů eur nebo 1,4 procenta celosvětového obratu podle toho, co je vyšší.
NACE C28 nebo jeden z pěti sousedů
Vytáhněte svůj kód NACE Rev. 2 ze záznamu v obchodním rejstříku nebo z posledního statistického výkazu. Pokud začíná na C28, jste výrobce strojů. C26, C27, C29, C30 a část C32.5 pro zdravotnické prostředky jsou sousední podkategorie z přílohy II. Smíšené provozy (výroba strojů plus elektromontáž) se obvykle klasifikují podle hlavní činnosti. Pokud je vaše hlavní činnost v některé z těchto, jste v sektoru.
50 zaměstnanců nebo 10 milionů eur
Článek 2(1) se čte jako „kvalifikuje se jako střední“. Definice malých a středních podniků má dva prahy: počet zaměstnanců 50 nebo více, nebo roční obrat nad 10 milionů eur a bilanční suma nad 10 milionů eur. Propojené a partnerské podniky se počítají dovnitř. UG s 35 lidmi uvnitř skupiny se 400 lidmi se normálně počítá se skupinou.
Vaše stopa OT
Zmapujte svou výrobní buňku jednou. PLC, SCADA, HMI, roboti, CNC, MES, ERP, inženýrské pracovní stanice, dodavatelské krabice pro vzdálený přístup. Tento seznam je vaší evidencí aktiv podle článku 21(2)(a). Je také rozsahem vaší analýzy rizik. Grundschutz vám umožňuje seskupit shodná aktiva (dvanáct shodných CNC jako jedna položka s množstvím). IT i OT jsou obojí v působnosti. Klasická odpověď „OT je vzduchově oddělené, takže je mimo“ audit nepřežije.
Příloha II je stále NIS 2
Subjekty z přílohy II jsou „důležité“, nikoli „zásadní“. Deset opatření podle článku 21(2) je stejných jako u přílohy I. Liší se strop pokut a styl dozoru. §65 BSIG omezuje pokuty na až 7 milionů eur nebo 1,4 procenta celosvětového obratu u důležitých subjektů (vůči 10 milionům nebo 2 procentům u zásadních). Dozor je reaktivní: BSI se podívá, je-li konkrétní spouštěč, nikoli v rutinním cyklu. Stejné povinnosti, jiná intenzita vymáhání.
OT je v působnosti, tečka
Článek 21 pokrývá „sítě a informační systémy“. CIR i TIG od ENISA zacházejí s OT, SCADA a PLC jako s tím, co je v působnosti. Katalog BSI IT-Grundschutz má vyhrazené stavební bloky IND pro průmyslové řídicí systémy. ISO/IEC 62443 je mezinárodní standard, který inženýrská komunita používá, a ENISA mapuje opatření podle článku 21 na něj. Audit, který vylučuje OT, není auditem podle článku 21.
BSI / IT-Grundschutz IND
BSI je příslušným orgánem pro NIS 2 v Německu. Pro výrobce strojů je praktickou cestou IT-Grundschutz se stavebními bloky IND: IND.1 (řízení procesů a automatizace obecně), IND.2 (průmyslový řídicí systém), IND.3 (senzory a aktory). Zaveďte je vedle standardních stavebních bloků IT (SYS, NET, OPS, APP) a máte obhajitelný základ podle článku 21.
VDMA
Verband Deutscher Maschinen- und Anlagenbau vydává pro své členy sektorově specifické pokyny k NIS 2, aktu o kybernetické odolnosti a ISO/IEC 62443. Provozuje pracovní skupiny pro bezpečnost OT a překládá regulatorní text do praktického implementačního jazyka pro německý strojírenský sektor. Členství je dobrovolné, ale většina středně velkých výrobců strojů jsou členové.
Technické implementační pokyny ENISA
ENISA vydává technické implementační pokyny k CIR (EU) 2024/2690, které mapují opatření podle článku 21 na ISO/IEC 27001:2022, NIST CSF 2.0 a další standardy. Mapovací tabulka je ve verzi v1.2 ke stavu srpen 2025 pod licencí CC BY 4.0. Pro stroje je relevantní překryv se sérií ISO/IEC 62443, na kterou ENISA pro vrstvu OT odkazuje.
NIS 2 je pro velké průmyslové skupiny, ne pro naši strojírnu s 80 lidmi.
Test velikosti je 50 zaměstnanců nebo obrat 10 milionů eur. Strojírna s 80 lidmi a NACE C28 je jednoznačně v ní. Kategorie „důležitý subjekt“ z přílohy II existuje právě pro vrstvu Mittelstandu. Strop pokut je nižší než u zásadních subjektů, ale deset povinností podle článku 21(2) je stejných.
Děláme jen finální montáž, skutečná výroba je u našich dodavatelů.
NACE klasifikuje podle hlavní činnosti, nikoli podle toho, kde vzniká přidaná hodnota. Pokud vaše společnost prodává hotové stroje nebo moduly pod vlastním jménem, vaší hlavní činností je výroba, i když se velká část stavby děje výše v řetězci. Klasifikace se řídí záznamem v obchodním rejstříku a statistickým výkazem, nikoli příběhem o hodnotovém řetězci.
Většinou vyvážíme, takže se pravidla EU nepoužijí.
Směrnice používá usazení, nikoli zákaznickou základnu. Pokud je váš právní subjekt usazen v členském státě EU a splňujete testy sektoru a velikosti, jste v působnosti bez ohledu na to, kde prodáváte. Vývozci jsou subjekty NIS 2 jako každý jiný výrobce. To, že jsou kupující mimo EU, vaše povinnosti na výrobní straně nemění.
Co vidíme v praxi v německém strojírenském Mittelstandu: nejprve jednostránková zpráva o působnosti (kód NACE, počet zaměstnanců, obrat, právní zdůvodnění), poté hodnocení mezer, které prochází deset opatření podle článku 21(2) vůči stávajícímu nastavení IT a OT. Většina provozů už něco pro IT má. Strana OT je obvykle slabší.
Po hodnocení mezer se dvanáct až patnáct nejnaléhavějších opatření udělá v prvním roce. Evidence aktiv, analýza rizik, revize dodavatelů, řešení incidentů, základní segmentace OT, vícefaktorová autentizace na inženýrských pracovních stanicích a krabicích pro vzdálený přístup. Zbytek se rozprostře do dalšího roku či dvou. To obstojí podle klauzule přiměřenosti v článku 21(1), dokud je fázování písemně zaznamenáno a podepsáno řídicím orgánem.
Podporujeme kontrolu působnosti pro přílohu II sektor 5 jako jednokrokový vstup: vyberte svůj kód NACE, potvrďte počet zaměstnanců a obrat a přistanete v pracovním prostoru přednastaveném s deseti opatřeními podle článku 21(2) a stavebními bloky BSI IND pro vrstvu OT. Evidence aktiv, registr rizik, seznam dodavatelů a pracovní postup incidentů sídlí na stejném datovém modelu.
Důkazy specifické pro OT (diagramy segmentace sítě, exporty inventáře PLC, revize vzdáleného přístupu dodavatelů) se zapojují do stejné knihovny důkazů jako kontroly IT. Neprovozujete pro výrobní buňku samostatný ISMS. Požadavek na školení vedení podle §38 BSIG je zabudován jako kurzový modul pro Geschäftsführung.
- Směrnice (EU) 2022/2555 (NIS 2), příloha II bod 5 (výroba) a článek 2(1) (působnost a test velikosti) (eur-lex.europa.eu/eli/dir/2022/2555/oj)
- Doporučení Komise 2003/361/ES, příloha článek 2 (definice malých a středních podniků)
- Klasifikace Eurostat NACE Rev. 2, sekce C oddíly 26, 27, 28, 29, 30 a skupina 32.5
- Zákon o BSI (BSIG), §28 (Anwendungsbereich, wichtige Einrichtungen) a §65 (pokuty)
- BSI IT-Grundschutz Kompendium, stavební bloky IND.1, IND.2, IND.3 (bsi.bund.de/grundschutz)
- VDMA, sektorové pokyny k NIS 2 a bezpečnosti OT (vdma.org)
- Technické implementační pokyny ENISA k CIR (EU) 2024/2690, mapovací tabulka v1.2 (srpen 2025)