Anhang II Sektor 5 NIS 2

Czy jestem producentem maszyn na gruncie NIS 2?

Sektor 5 Załącznika II dyrektywy NIS 2 wciąga produkcję w zakres. Producenci maszyn znajdują się w podkategorii (d), dział NACE C28. Jeśli masz 50 pracowników lub 10 milionów euro obrotu, jesteś podmiotem ważnym z tymi samymi dziesięcioma obowiązkami z artykułu 21(2) co więksi.

Simon OrzelSimon Orzel·

Wersja skrócona

NIS 2 obejmuje produkcję jako sektor ważny. Sektor 5 Załącznika II wymienia sześć podkategorii produkcji. Produkcja maszyn i sprzętu, dział NACE C28, jest jedną z nich. Jeśli tym się zajmujesz i jesteś powyżej progu wielkości, NIS 2 stosuje się do ciebie.

Test wielkości znajduje się w artykule 2(1) dyrektywy. 50 lub więcej pracowników albo 10 milionów euro obrotu i sumy bilansowej. Osiągnij jedno z tych, a jesteś w zakresie. Poniżej obu jesteś poza domyślnym zakresem. Niemcy kopiują ten sam próg do §28 BSIG.

Tym, co czyni maszyny wyjątkowymi, jest ślad OT. Twoja cela produkcyjna ma sterowniki PLC, SCADA, HMI, kontrolery robotów oraz ERP i MES na wierzchu. Artykuł 21(2) traktuje cały ten stos jako jeden system do obrony. Praktyczna ścieżka wdrożenia w Niemczech to BSI IT-Grundschutz, w szczególności bloki budowlane IND dla przemysłowych systemów sterowania, oraz ISO/IEC 62443 dla warstwy OT.

Źródło prawne
Dyrektywa nazywa sektor. Artykuł 2 ustanawia próg wielkości. Niemcy transponują oba przez §28 BSIG.

Załącznik II punkt 5 dyrektywy NIS 2 (2022/2555) — produkcja

(a) Produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro (NACE C32.5 w części, C26.60 w części); (b) Produkcja komputerów, wyrobów elektronicznych i optycznych (NACE C26); (c) Produkcja urządzeń elektrycznych (NACE C27); (d) Produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana (NACE C28); (e) Produkcja pojazdów samochodowych, przyczep i naczep (NACE C29); (f) Produkcja pozostałego sprzętu transportowego (NACE C30).

Producenci maszyn znajdują się pod (d). Odniesienie NACE to Rev. 2. Jeśli twoja działalność to szlifowanie, frezowanie, spawanie, montaż lub integracja maszyn przemysłowych, instalacji lub modułów, C28 jest twoim działem. Załącznik II jest listą „podmiotów ważnych”. Te same dziesięć obowiązków z artykułu 21(2) co Załącznik I, niższy pułap kar, nadzór reaktywny, a nie proaktywny.

Artykuł 2(1) dyrektywy NIS 2 — test wielkości

Niniejsza dyrektywa ma zastosowanie do podmiotów publicznych lub prywatnych rodzaju, o którym mowa w Załączniku I lub II, które kwalifikują się jako średnie przedsiębiorstwa na podstawie artykułu 2 załącznika do zalecenia 2003/361/WE lub przekraczają pułapy dla średnich przedsiębiorstw przewidziane w ustępie 1 tego artykułu.

Próg wielkości stosuje unijną definicję MŚP. 50 pracowników lub więcej albo roczny obrót powyżej 10 milionów euro i suma bilansowa powyżej 10 milionów euro. Osiągnij jedno z tych, a jesteś w zakresie. Dyrektywa wymienia garść przypadków, w których wielkość nie ma znaczenia, lecz sama produkcja maszyn nie znajduje się na tej liście przesłanek nadrzędnych.

§28 BSIG (Niemcy) — wichtige Einrichtung, sektor 'Verarbeitendes Gewerbe / Herstellung'

Wichtige Einrichtungen sind Einrichtungen, die einer in Anlage 2 genannten Einrichtungsart angehören und mindestens als mittleres Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission gelten.

Niemcy wymieniają produkcję w Anlage 2 BSIG, z tymi samymi sześcioma podkategoriami co punkt 5 Załącznika II dyrektywy. Pułap kar dla podmiotów ważnych jest ustalony w §65 BSIG: do 7 milionów euro lub 1,4 procent światowego obrotu, w zależności od tego, która kwota jest wyższa.

Trzy testy, które rozstrzygają twój status
Trzy pytania po kolei. Sektor, wielkość, ślad OT. Dwa pierwsze rozstrzygają, czy NIS 2 ma zastosowanie. Trzeci rozstrzyga, jak faktycznie wygląda wdrożenie dla ciebie.
Test 1

NACE C28 lub jeden z pięciu sąsiadów

Wyciągnij swój kod NACE Rev. 2 z wpisu w rejestrze handlowym lub z ostatniego zeznania statystycznego. Jeśli zaczyna się od C28, jesteś producentem maszyn. C26, C27, C29, C30 oraz część C32.5 dla wyrobów medycznych to sąsiadujące podkategorie Załącznika II. Zakłady mieszane (budowa maszyn plus montaż elektryczny) są zazwyczaj klasyfikowane według działalności podstawowej. Jeśli twoja działalność podstawowa mieści się w którejkolwiek z nich, jesteś w sektorze.

Test 2

50 pracowników lub 10 milionów euro

Artykuł 2(1) brzmi „kwalifikuje się jako średnie przedsiębiorstwo”. Definicja MŚP ma dwa progi: zatrudnienie 50 lub więcej albo roczny obrót powyżej 10 milionów euro i suma bilansowa powyżej 10 milionów euro. Przedsiębiorstwa powiązane i partnerskie liczą się do tego. 35-osobowa UG wewnątrz 400-osobowej grupy jest zwykle liczona razem z grupą.

Test 3

Twój ślad OT

Zmapuj swoją celę produkcyjną raz. Sterowniki PLC, SCADA, HMI, roboty, CNC, MES, ERP, stacje robocze inżynierskie, urządzenia zdalnego dostępu dostawców. Ta lista jest twoją inwentaryzacją zasobów na podstawie artykułu 21(2)(a). Jest też zakresem twojej analizy ryzyka. Grundschutz pozwala grupować identyczne zasoby (dwanaście identycznych CNC jako jedna pozycja z ilością). Zarówno IT, jak i OT są w zakresie. Klasyczna odpowiedź „OT jest odizolowane (air-gapped), więc jest poza zakresem” nie przetrwa audytu.

Dwie zasady, które kształtują resztę
Dwie zasady interpretacyjne leżą na wierzchu każdego obowiązku. Określają, jak audytor odczyta twoje wdrożenie.

Załącznik II to nadal NIS 2

Podmioty z Załącznika II są „ważne”, a nie „kluczowe”. Dziesięć środków z artykułu 21(2) jest takich samych jak dla Załącznika I. Różni się pułap kar i styl nadzoru. §65 BSIG ogranicza kary do 7 milionów euro lub 1,4 procent światowego obrotu dla podmiotów ważnych (wobec 10 milionów lub 2 procent dla kluczowych). Nadzór jest reaktywny: BSI sprawdza, jeśli istnieje konkretny czynnik wyzwalający, a nie w rutynowym cyklu. Te same obowiązki, inna intensywność egzekucji.

OT jest w zakresie, koniec historii

Artykuł 21 obejmuje „sieci i systemy informatyczne”. Zarówno CIR, jak i ENISA TIG traktują OT, SCADA i sterowniki PLC jako objęte zakresem. Katalog BSI IT-Grundschutz ma dedykowane bloki budowlane IND dla przemysłowych systemów sterowania. ISO/IEC 62443 jest międzynarodowym standardem, którego używa środowisko inżynierskie, a ENISA mapuje na niego środki z artykułu 21. Audyt, który wyklucza OT, nie jest audytem z artykułu 21.

Kto faktycznie prowadzi to dla producentów maszyn
UE ustanawia zasadę. Krajowe organy i stowarzyszenia branżowe prowadzą warstwę operacyjną.
Niemcy

BSI / IT-Grundschutz IND

BSI jest właściwym organem dla NIS 2 w Niemczech. Dla producentów maszyn praktyczną ścieżką jest IT-Grundschutz z blokami budowlanymi IND: IND.1 (sterowanie procesami i automatyka ogólnie), IND.2 (przemysłowy system sterowania), IND.3 (czujniki i elementy wykonawcze). Wdroż je obok standardowych bloków budowlanych IT (SYS, NET, OPS, APP), a masz możliwą do obrony bazę dla artykułu 21.

Niemcy / UE

VDMA

Verband Deutscher Maschinen- und Anlagenbau publikuje wskazówki sektorowe dotyczące NIS 2, aktu o cyberodporności (Cyber Resilience Act) i ISO/IEC 62443 dla swoich członków. Prowadzi grupy robocze ds. bezpieczeństwa OT i przekłada tekst regulacyjny na praktyczny język wdrożeniowy dla niemieckiego sektora maszynowego. Członkostwo jest dobrowolne, lecz większość średniej wielkości producentów maszyn jest członkami.

Cała UE

ENISA Technical Implementation Guidance

ENISA publikuje Technical Implementation Guidance dla CIR (UE) 2024/2690, które mapuje środki z artykułu 21 na ISO/IEC 27001:2022, NIST CSF 2.0 i inne standardy. Tabela mapowania jest w wersji v1.2 ze stanem na sierpień 2025 na licencji CC BY 4.0. Dla maszyn istotne pokrycie dotyczy serii ISO/IEC 62443, do której ENISA odsyła dla warstwy OT.

Trzy pułapki, które widzimy nieustannie
Trzy założenia, które pojawiają się niemal w każdej rozmowie o stosowalności z producentem maszyn. Wszystkie trzy tworzą luki, które audytor znajdzie.

  • NIS 2 jest dla dużych grup przemysłowych, a nie dla naszego 80-osobowego zakładu maszynowego.

    Test wielkości to 50 pracowników lub 10 milionów euro obrotu. 80-osobowy zakład maszynowy z NACE C28 jest jednoznacznie w zakresie. Kategoria „podmiot ważny” z Załącznika II istnieje właśnie dla warstwy Mittelstand. Pułap kar jest niższy niż dla podmiotów kluczowych, lecz dziesięć obowiązków z artykułu 21(2) jest takich samych.

  • Robimy tylko montaż końcowy, prawdziwa produkcja jest u naszych dostawców.

    NACE klasyfikuje według działalności podstawowej, a nie według tego, gdzie powstaje wartość dodana. Jeśli twoja firma sprzedaje gotowe maszyny lub moduły pod własną nazwą, twoją działalnością podstawową jest produkcja, nawet jeśli duża część budowy odbywa się wyżej w łańcuchu. Klasyfikacja wynika z wpisu w rejestrze handlowym i zeznania statystycznego, a nie z narracji o łańcuchu wartości.

  • Głównie eksportujemy, więc przepisy UE nas nie dotyczą.

    Dyrektywa posługuje się siedzibą, a nie bazą klientów. Jeśli twój podmiot prawny ma siedzibę w państwie członkowskim UE i spełniasz testy sektorowy i wielkości, jesteś w zakresie niezależnie od tego, gdzie sprzedajesz. Eksporterzy są podmiotami NIS 2 jak każdy inny producent. To, że nabywcy są poza UE, nie zmienia twoich obowiązków po stronie produkcji.

Jak prawdziwi producenci maszyn prowadzą to w pierwszym roku

Co widzimy w terenie w niemieckim sektorze maszynowym Mittelstand: najpierw jednostronicowa notatka o stosowalności (kod NACE, zatrudnienie, obrót, uzasadnienie prawne), następnie ocena luk, która przechodzi przez dziesięć środków z artykułu 21(2) względem istniejącej konfiguracji IT i OT. Większość zakładów ma już coś dla IT. Strona OT jest zwykle uboższa.

Po ocenie luk dwanaście do piętnastu najpilniejszych środków jest realizowanych w pierwszym roku. Inwentaryzacja zasobów, analiza ryzyka, przegląd dostawców, obsługa incydentów, podstawowa segmentacja OT, uwierzytelnianie wieloskładnikowe na stacjach roboczych inżynierskich i urządzeniach zdalnego dostępu. Reszta rozkłada się na kolejny rok lub dwa. To wytrzymuje na gruncie klauzuli proporcjonalności z artykułu 21(1), o ile rozłożenie w czasie jest spisane i zatwierdzone przez organ zarządzający.

Jak obsługujemy to na platformie

Wspieramy sprawdzenie stosowalności dla sektora 5 Załącznika II jako wejście jednokrokowe: wybierz swój kod NACE, potwierdź pracowników i obrót, a trafiasz do obszaru roboczego wstępnie zasilonego dziesięcioma środkami z artykułu 21(2) i blokami budowlanymi BSI IND dla warstwy OT. Inwentaryzacja zasobów, rejestr ryzyka, lista dostawców i przepływ pracy incydentów leżą na tym samym modelu danych.

Dowody specyficzne dla OT (diagramy segmentacji sieci, eksporty inwentaryzacji PLC, przeglądy zdalnego dostępu dostawców) wpinają się do tej samej biblioteki dowodów co środki kontroli IT. Nie prowadzisz osobnego ISMS dla celi produkcyjnej. Wymóg szkolenia kierownictwa z §38 BSIG jest wbudowany jako moduł kursu dla Geschäftsführung.

Źródła
  • Dyrektywa (UE) 2022/2555 (NIS 2), Załącznik II punkt 5 (produkcja) i artykuł 2(1) (zakres i test wielkości) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Zalecenie Komisji 2003/361/WE, Załącznik artykuł 2 (definicja MŚP)
  • Klasyfikacja Eurostat NACE Rev. 2, sekcja C działy 26, 27, 28, 29, 30 i grupa 32.5
  • Ustawa BSI (BSIG), §28 (Anwendungsbereich, wichtige Einrichtungen) i §65 (kary)
  • BSI IT-Grundschutz Kompendium, bloki budowlane IND.1, IND.2, IND.3 — bsi.bund.de/grundschutz
  • VDMA, wskazówki sektorowe dotyczące NIS 2 i bezpieczeństwa OT — vdma.org
  • ENISA Technical Implementation Guidance dla CIR (UE) 2024/2690, tabela mapowania v1.2 (sierpień 2025)
Przeprowadź sprawdzenie stosowalności dla swojego zakładu maszynowego
Wybierz swój kod NACE, potwierdź próg wielkości i otrzymaj obszar roboczy z dziesięcioma środkami z artykułu 21(2) i blokami budowlanymi IND dla OT na miejscu. Bezpłatne, open source, bez lock-in.
Otwórz sprawdzenie stosowalności