Sunt un producător de mașini conform NIS 2?
Anexa II sectorul 5 a Directivei NIS 2 aduce producția în domeniul de aplicare. Constructorii de mașini se află în subcategoria (d), diviziunea NACE C28. Dacă ai 50 de angajați sau 10 milioane de euro cifră de afaceri, ești o entitate importantă cu aceleași zece obligații din articolul 21 alin. (2) ca și cele mari.
Pe scurt
NIS 2 acoperă producția ca sector important. Anexa II sectorul 5 numește șase subcategorii de producție. Fabricarea de mașini și echipamente, diviziunea NACE C28, este una dintre ele. Dacă asta faci și ești peste pragul de mărime, NIS 2 ți se aplică.
Testul de mărime se află în articolul 2 alin. (1) al Directivei. 50 sau mai mulți angajați, ori 10 milioane de euro cifră de afaceri și total al bilanțului. Atingi unul dintre acestea și ești înăuntru. Sub ambele, ești în afara domeniului de aplicare implicit. Germania copiază același prag în §28 BSIG.
Ce face mașinile speciale este amprenta OT. Celula ta de producție are PLC-uri, SCADA, HMI-uri, controlere de roboți, plus un ERP și un MES deasupra. Articolul 21 alin. (2) tratează întreaga stivă ca un singur sistem de apărat. Calea practică de implementare în Germania este BSI IT-Grundschutz, în special blocurile IND pentru sistemele de control industrial, și ISO/IEC 62443 pentru stratul OT.
Anexa II punctul 5 Directiva NIS 2 (2022/2555), Producție
(a) Fabricarea de dispozitive medicale și de dispozitive medicale pentru diagnostic in vitro (NACE C32.5 parțial, C26.60 parțial); (b) Fabricarea de calculatoare și produse electronice și optice (NACE C26); (c) Fabricarea de echipamente electrice (NACE C27); (d) Fabricarea de mașini și echipamente n.c.a. (NACE C28); (e) Fabricarea de autovehicule, remorci și semiremorci (NACE C29); (f) Fabricarea altor echipamente de transport (NACE C30).
Constructorii de mașini se află sub (d). Referința NACE este Rev. 2. Dacă afacerea ta înseamnă rectificare, frezare, sudare, asamblare sau integrare de mașini, instalații sau module industriale, C28 este diviziunea ta. Anexa II este lista „entităților importante”. Aceleași zece obligații din articolul 21 alin. (2) ca în Anexa I, plafon de sancțiuni mai redus, supraveghere reactivă în loc de proactivă.
Articolul 2 alin. (1) Directiva NIS 2, testul de mărime
Prezenta directivă se aplică entităților publice sau private de un tip menționat în Anexa I sau II care se califică drept întreprinderi mijlocii în temeiul articolului 2 din anexa la Recomandarea 2003/361/CE sau care depășesc plafoanele pentru întreprinderile mijlocii prevăzute la alineatul (1) al articolului respectiv.
Pragul de mărime folosește definiția UE a IMM-urilor. 50 de angajați sau mai mult, ori cifră de afaceri anuală peste 10 milioane de euro și total al bilanțului peste 10 milioane de euro. Atingi unul dintre acestea și ești înăuntru. Directiva listează câteva cazuri în care mărimea nu contează, dar fabricarea pură de mașini nu se află pe acea listă de anulare.
§28 BSIG (Germania), wichtige Einrichtung, sectorul „Verarbeitendes Gewerbe / Herstellung”
Wichtige Einrichtungen sind Einrichtungen, die einer in Anlage 2 genannten Einrichtungsart angehören und mindestens als mittleres Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission gelten.
Germania listează producția sub Anlage 2 din BSIG, cu aceleași șase subcategorii ca în Anexa II punctul 5 al Directivei. Plafonul de sancțiuni pentru entitățile importante este stabilit de §65 BSIG: până la 7 milioane de euro sau 1,4 la sută din cifra de afaceri mondială, oricare este mai mare.
NACE C28 sau unul dintre cei cinci vecini
Extrage codul tău NACE Rev. 2 din intrarea în registrul comercial sau din ultima ta declarație statistică. Dacă începe cu C28, ești un producător de mașini. C26, C27, C29, C30 și partea C32.5 pentru dispozitive medicale sunt subcategoriile vecine din Anexa II. Atelierele mixte (construcție de mașini plus asamblare electrică) sunt de regulă clasificate după activitatea principală. Dacă activitatea ta principală se află în oricare dintre acestea, ești în sector.
50 de angajați sau 10 milioane de euro
Articolul 2 alin. (1) se citește ca „se califică drept mijlocie”. Definiția IMM-urilor are două praguri: număr de angajați 50 sau mai mult, ori cifră de afaceri anuală peste 10 milioane de euro și total al bilanțului peste 10 milioane de euro. Întreprinderile legate și partenere se iau în calcul. O UG cu 35 de persoane în interiorul unui grup de 400 de persoane este în mod normal numărată împreună cu grupul.
Amprenta ta OT
Cartografiază-ți celula de producție o dată. PLC-uri, SCADA, HMI-uri, roboți, CNC-uri, MES, ERP, stații de lucru de inginerie, casete de acces la distanță ale furnizorilor. Acea listă este inventarul tău de active conform articolului 21 alin. (2) lit. (a). Este totodată domeniul analizei tale de risc. Grundschutz îți permite să grupezi activele identice (douăsprezece CNC-uri identice ca o singură intrare cu cantitate). Atât IT, cât și OT sunt în domeniul de aplicare. Răspunsul clasic „OT este izolat fizic, deci este în afară” nu supraviețuiește unui audit.
Anexa II este tot NIS 2
Entitățile din Anexa II sunt „importante”, nu „esențiale”. Cele zece măsuri din articolul 21 alin. (2) sunt aceleași ca pentru Anexa I. Ce diferă este plafonul de sancțiuni și stilul de supraveghere. §65 BSIG plafonează amenzile la până la 7 milioane de euro sau 1,4 la sută din cifra de afaceri mondială pentru entitățile importante (față de 10 milioane sau 2 la sută pentru cele esențiale). Supravegherea este reactivă: BSI verifică dacă există un declanșator concret, nu pe un ciclu de rutină. Aceleași obligații, intensitate diferită de aplicare.
OT este în domeniul de aplicare, fără discuție
Articolul 21 acoperă „rețelele și sistemele informatice”. Atât CIR, cât și TIG-ul ENISA tratează OT, SCADA și PLC-urile ca fiind în domeniul de aplicare. Catalogul BSI IT-Grundschutz are blocuri IND dedicate pentru sistemele de control industrial. ISO/IEC 62443 este standardul internațional pe care comunitatea de inginerie îl folosește, iar ENISA pune măsurile din articolul 21 în corespondență cu el. Un audit care exclude OT nu este un audit conform articolului 21.
BSI / IT-Grundschutz IND
BSI este autoritatea competentă pentru NIS 2 în Germania. Pentru constructorii de mașini, calea practică este IT-Grundschutz cu blocurile IND: IND.1 (controlul proceselor și automatizare în general), IND.2 (sistem de control industrial), IND.3 (senzori și actuatori). Implementează-le alături de blocurile IT standard (SYS, NET, OPS, APP) și ai o bază de plecare apărabilă conform articolului 21.
VDMA
Verband Deutscher Maschinen- und Anlagenbau publică îndrumare specifică sectorului privind NIS 2, Cyber Resilience Act și ISO/IEC 62443 pentru membrii săi. Conduce grupuri de lucru pe securitatea OT și traduce textul de reglementare într-un limbaj practic de implementare pentru sectorul german al mașinilor. Aderarea este voluntară, dar majoritatea constructorilor de mașini de talie medie sunt membri.
ENISA, ghidul tehnic de implementare
ENISA publică un ghid tehnic de implementare pentru CIR (UE) 2024/2690 care pune măsurile din articolul 21 în corespondență cu ISO/IEC 27001:2022, NIST CSF 2.0 și alte standarde. Tabelul de corespondență este la v1.2 din august 2025, sub CC BY 4.0. Pentru mașini, suprapunerea relevantă este cu seria ISO/IEC 62443, pe care ENISA o citează pentru stratul OT.
NIS 2 este pentru marile grupuri industriale, nu pentru atelierul nostru de mașini cu 80 de persoane.
Testul de mărime este 50 de angajați sau 10 milioane de euro cifră de afaceri. Un atelier de mașini cu 80 de persoane cu NACE C28 este clar înăuntru. Categoria „entitate importantă” din Anexa II există tocmai pentru stratul Mittelstand. Plafonul de sancțiuni este mai redus decât pentru entitățile esențiale, dar cele zece obligații din articolul 21 alin. (2) sunt aceleași.
Facem doar asamblarea finală, producția reală este la furnizorii noștri.
NACE clasifică după activitatea principală, nu după locul în care se află valoarea adăugată. Dacă compania ta vinde mașini sau module finite sub propriul nume, activitatea ta principală este fabricarea, chiar dacă o mare parte a construcției are loc în amonte. Clasificarea urmează intrarea în registrul comercial și declarația statistică, nu narațiunea lanțului valoric.
Exportăm în mare parte, deci regulile UE nu se aplică.
Directiva folosește stabilirea, nu baza de clienți. Dacă entitatea ta juridică este stabilită într-un stat membru al UE și îndeplinești testele de sector și de mărime, ești în domeniul de aplicare indiferent unde vinzi. Exportatorii sunt entități NIS 2 ca orice alt producător. Faptul că cumpărătorii sunt în afara UE nu îți schimbă obligațiile pe latura producției.
Ce vedem pe teren în sectorul german Mittelstand al mașinilor: mai întâi o notă de aplicabilitate de o pagină (cod NACE, număr de angajați, cifră de afaceri, raționamentul juridic), apoi o evaluare a lacunelor care parcurge cele zece măsuri din articolul 21 alin. (2) față de configurația IT și OT existentă. Majoritatea atelierelor au deja ceva pentru IT. Latura OT este de regulă mai subțire.
După evaluarea lacunelor, cele mai urgente douăsprezece până la cincisprezece măsuri se realizează în primul an. Inventarul de active, analiza de risc, revizuirea furnizorilor, gestionarea incidentelor, segmentarea OT de bază, autentificarea cu mai mulți factori pe stațiile de lucru de inginerie și pe casetele de acces la distanță. Restul se întinde pe următorul an sau doi. Asta se susține sub clauza de proporționalitate din articolul 21 alin. (1) atâta timp cât eșalonarea este scrisă și aprobată de organul de conducere.
Susținem verificarea de aplicabilitate pentru Anexa II sectorul 5 ca o intrare într-un singur pas: alegi codul tău NACE, confirmi numărul de angajați și cifra de afaceri și ajungi pe un spațiu de lucru preîncărcat cu cele zece măsuri din articolul 21 alin. (2) și blocurile BSI IND pentru stratul OT. Inventarul de active, registrul de risc, lista furnizorilor și fluxul de lucru al incidentelor stau pe același model de date.
Dovezile specifice OT (diagrame de segmentare a rețelei, exporturi ale inventarului de PLC-uri, revizuiri ale accesului la distanță al furnizorilor) se conectează la aceeași bibliotecă de dovezi ca și controalele IT. Nu rulezi un ISMS separat pentru celula de producție. Cerința de instruire a conducerii din §38 BSIG este integrată ca modul de curs pentru Geschäftsführung.
- Directiva (UE) 2022/2555 (NIS 2), Anexa II punctul 5 (Producție) și articolul 2 alin. (1) (domeniul de aplicare și testul de mărime), eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomandarea 2003/361/CE a Comisiei, Anexa articolul 2 (definiția IMM-urilor)
- Clasificarea Eurostat NACE Rev. 2, Secțiunea C diviziunile 26, 27, 28, 29, 30 și grupa 32.5
- Legea BSI (BSIG), §28 (Anwendungsbereich, wichtige Einrichtungen) și §65 (sancțiuni)
- BSI IT-Grundschutz Kompendium, blocurile IND.1, IND.2, IND.3, bsi.bund.de/grundschutz
- VDMA, îndrumare de sector privind NIS 2 și securitatea OT, vdma.org
- ENISA, ghidul tehnic de implementare pentru CIR (UE) 2024/2690, tabel de corespondență v1.2 (august 2025)