Poniższe case study jest scenariuszem ilustracyjnym opartym na typowym przebiegu naszych audytów zgodności. Dane, branża i szczegóły zostały zanonimizowane i zmienione tak, aby nie wskazywały żadnego klienta.
Kontekst
Średnia firma produkcyjna (ok. 120 pracowników, produkcja komponentów przemysłowych) została zakwalifikowana jako podmiot ważny w rozumieniu dyrektywy NIS2. Zarząd otrzymał od kluczowego kontrahenta ankietę bezpieczeństwa łańcucha dostaw i zorientował się, że firma nie jest w stanie odpowiedzieć twierdząco na większość pytań. Zlecono audyt zgodności NIS2 z analizą luk i planem dostosowania.
Przebieg audytu
- Inwentaryzacja — mapowanie systemów IT i OT, kluczowych procesów produkcyjnych i przepływów danych (5 dni, warsztaty z działem IT i produkcją).
- Gap analysis — porównanie stanu obecnego z wymogami NIS2/KSC w 10 obszarach (zarządzanie ryzykiem, incydenty, ciągłość działania, łańcuch dostaw, higiena cyberbezpieczeństwa i in.).
- Analiza ryzyka — priorytetyzacja luk według wpływu na ciągłość produkcji i ryzyka prawnego.
- Plan dostosowania — mapa drogowa na 90 dni + działania długoterminowe.
Najważniejsze ustalenia
| Obszar | Stan zastany | Priorytet |
|---|---|---|
| Obsługa incydentów | brak procedury raportowania (NIS2 wymaga wczesnego ostrzeżenia w 24 h) | krytyczny |
| Kopie zapasowe | wykonywane, ale nigdy nie testowano odtworzenia | krytyczny |
| Sieć OT | płaska sieć — stacje produkcyjne w tej samej podsieci co biuro | wysoki |
| Łańcuch dostaw | umowy z dostawcami IT bez wymogów bezpieczeństwa | wysoki |
| Uwierzytelnianie | brak MFA dla dostępu zdalnego i kont administracyjnych | wysoki |
| Świadomość zarządu | cyberbezpieczeństwo delegowane wyłącznie do IT — NIS2 wymaga nadzoru zarządu | średni |
Plan dostosowania — pierwsze 90 dni
- procedura obsługi i raportowania incydentów (24 h / 72 h / raport końcowy) + wyznaczenie osób odpowiedzialnych,
- test odtworzenia kopii zapasowych i plan ciągłości działania dla produkcji,
- MFA dla VPN i kont uprzywilejowanych,
- segmentacja sieci — oddzielenie OT od IT (etap 1: krytyczne sterowniki),
- szkolenie zarządu i kierowników — obowiązki i odpowiedzialność osobista wynikająca z NIS2,
- aneksy bezpieczeństwa do umów z kluczowymi dostawcami IT.
Rezultat
Po 90 dniach firma zamknęła wszystkie luki krytyczne i większość wysokich. Wypełniła ankietę kontrahenta pozytywnie, utrzymując kontrakt stanowiący znaczącą część przychodów. Kolejny krok to cykliczne testy penetracyjne weryfikujące skuteczność wdrożonych zabezpieczeń.
Wnioski dla Twojej firmy
- NIS2 najczęściej „przychodzi” do firm produkcyjnych przez łańcuch dostaw — ankieta od kontrahenta to typowy pierwszy sygnał.
- Najczęstsze luki to procedury (incydenty, ciągłość), nie technologia — ich zamknięcie jest tańsze, niż się wydaje.
- Płaska sieć łącząca OT z IT to najpoważniejsze ryzyko techniczne w produkcji.
Chcesz wiedzieć, jak Twoja firma wypada na tle wymogów NIS2? Zacznij od naszego przewodnika NIS2 — obowiązki firm i sankcje albo umów bezpłatną konsultację.
Przeczytaj także
Autor
Dominik Rulkiewicz
IT Security Manager · Octopus Lab
Ekspert cyberbezpieczeństwa z ponad 10-letnim doświadczeniem w sektorach regulowanych (ubezpieczenia, farmacja, logistyka). Process Owner ds. zarządzania podatnościami i hardeningu w Grupie ERGO, Audit Lead ISO 27001. Specjalizuje się w testach penetracyjnych, audytach bezpieczeństwa oraz zgodności z NIS2, DORA, ISO 27001 i RODO.
Certyfikaty: ISC2 CC · Cybersecurity Blue Team (Uniwersytet Jagielloński) · ITIL v4 · Microsoft Azure (AZ-900)
