KSeF jako platforma MF ma własne zabezpieczenia, ale słabym ogniwem jest Twój system księgowy po stronie firmy — to tam najczęściej dochodzi do wycieku lub manipulacji danymi przed wysłaniem faktury. Jeśli Twój ERP/system FK nie ma segmentacji ról, logowania dostępów i szyfrowania połączeń z KSeF, to możesz być narażony na potencjalny atak — warto to sprawdzić z firmą odpowiedzialną za bezpieczeństwo IT.

Niekoniecznie tylko dużych. Próg wejścia to 50+ pracowników lub obrót powyżej 10 mln EUR — ale krytyczne jest to, w jakiej branży działasz.

Podmioty kluczowe (najwyższe wymogi): energetyka · transport · bankowość · ochrona zdrowia · woda pitna i ścieki · infrastruktura cyfrowa · administracja publiczna · sektor kosmiczny.

Podmioty ważne (wymogi nieco niższe, kary takie same): produkcja przemysłowa · produkcja chemiczna · przemysł spożywczy · usługi pocztowe i kurierskie · gospodarka odpadami · usługi cyfrowe · instytuty badawcze.

Sprawdź dwa warunki: czy Twoja firma działa w jednej z tych branż — lub jest regularnym dostawcą produktów/usług dla firm z tych sektorów? Jeśli Twój klient to fabryka, szpital, firma logistyczna lub operator energetyczny — oni będą wymagać od Ciebie spełnienia minimalnych standardów bezpieczeństwa jako warunek współpracy. NIS2 przenosi odpowiedzialność na cały łańcuch dostaw. Jeśli odpowiedź na choćby jedno z tych pytań brzmi „tak” — warto to zweryfikować formalnie z firmą IT.

Zarząd — bez żadnych wyjątków. Polska implementacja NIS2 (nowelizacja ustawy KSC) wprost stanowi, że to organ zarządzający zatwierdza politykę bezpieczeństwa i odpowiada za jej realizację. IT wdraża, zarząd podpisuje i odpowiada.

Jeśli jesteś członkiem zarządu lub prokurentem: kara administracyjna do 10 mln EUR dla firmy + zakaz pełnienia funkcji kierowniczych nawet do 5 lat. Jako główna księgowa możesz odpowiadać też na gruncie KKS i Kodeksu pracy, szczególnie jeśli naruszenie wynika z zaniedbań proceduralnych po Twojej stronie.

Polska ustawa implementująca NIS2 jest już procedowana — firmy objęte zakresem będą miały obowiązek rejestracji w CSIRT i wdrożenia środków w ciągu kilku miesięcy od wejścia w życie przepisów. Praktycznie — działać trzeba teraz, bo audyt gotowości, dokumentacja i wdrożenie środków technicznych to minimum 3–6 miesięcy pracy.

Tak — i nie jest to teoria. W 2024 roku ransomware zatrzymał linie produkcyjne w kilku polskich zakładach przemysłowych. Jeśli Twój system ERP, MES lub SCADA jest podłączony do sieci firmowej bez segmentacji, wystarczy jeden zainfekowany laptop pracownika, żeby zamrozić cały harmonogram produkcji.

Tak, bezpośrednio. Dyrektywa NIS2 obejmuje sektor produkcyjny (m.in. maszyny, pojazdy, wyroby elektroniczne, żywność) jako tzw. „ważny podmiot”. Przekonanie, że to tylko dla banków i energetyki, jest jednym z najdroższych mitów w polskim przemyśle.

Przede wszystkim: punkty styku systemów IT z OT (maszyny, panele HMI, drukarki etykiet, skanery), dostęp zdalny do systemów produkcyjnych (np. serwis dostawców maszyn przez VPN), oraz same dane zleceń i receptur w ERP/MES — to know-how, które ma wartość dla konkurencji.

Za sam produkt (aktualizacje, łatki) — tak, w ramach umowy wsparcia. Ale za konfigurację, polityki dostępu, integracje z maszynami i to, jak system jest używany w Twojej firmie — odpowiadasz Ty. To rozróżnienie jest kluczowe przy każdym audycie.

Trzy scenariusze: (1) szyfrowanie — linia stoi, czekasz na przywrócenie backupu, (2) wyciek receptur, harmonogramów, kosztów zleceń — dane mogą trafić do konkurencji lub być upublicznione, (3) manipulacja — ktoś zmienia parametry zleceń lub receptury bez Twojej wiedzy. Scenariusz trzeci jest najtrudniejszy do wykrycia i najgroźniejszy długoterminowo.

Tak — i to jest właśnie „ryzyko łańcucha dostaw”, które NIS2 traktuje jako oddzielny obowiązek. Jeśli Twój dostawca transportu, 3PL lub kluczowy komponent pada przez ransomware, a Ty nie masz procedury ciągłości działania (BCP) dla takiego scenariusza — stajesz. Nie masz tu żadnego parasola ochronnego z jego umów z ubezpieczycielem.

Stany magazynowe, rotacja SKU, warunki umów z dostawcami — to dane, które dają konkurencji gotową mapę Twoich słabości i marż. Najczęstsze wektory wycieku: niezabezpieczony dostęp do WMS przez przeglądarkę, współdzielone konta w systemach, dostęp dostawców/przewoźników do nadmiarowych danych.

Masz obowiązek ocenić ryzyko cyberbezpieczeństwa swoich kluczowych dostawców i uwzględnić wymagania bezpieczeństwa w umowach z nimi. Praktycznie oznacza to: ankiety bezpieczeństwa dla dostawców IT/logistycznych, klauzule w kontraktach i weryfikację, czy partnerzy mają wdrożone minimum techniczne (MFA, backupy, procedury incydentowe).

Jeśli firma podlega pod NIS2, to wymogi obejmują wszystkie systemy przetwarzające istotne dane operacyjne — w tym WMS i TMS. Nie chodzi o certyfikację samego oprogramowania, ale o to, jak jest skonfigurowane, kto ma dostęp i czy istnieją procedury reakcji na incydenty.

Prawdopodobnie tak — jeśli masz 50+ pracowników lub obrót powyżej 10 mln EUR. Ale sama wielkość to tylko jeden warunek. Równie ważne jest, w jakiej branży działasz.

Podmioty kluczowe: energetyka · transport · bankowość · ochrona zdrowia · woda pitna i ścieki · infrastruktura cyfrowa · administracja publiczna · sektor kosmiczny.

Podmioty ważne (kary takie same): produkcja przemysłowa · produkcja chemiczna · przemysł spożywczy · usługi pocztowe · gospodarka odpadami · usługi cyfrowe · instytuty badawcze.

Sprawdź: czy Twoja firma działa w jednej z tych branż — lub jest regularnym dostawcą dla firm z tych sektorów? Jeśli Twoi klienci to fabryki, szpitale, firmy logistyczne lub operatorzy energetyczni — oni już niedługo będą wymagać od Ciebie spełnienia minimalnych standardów bezpieczeństwa jako warunku współpracy. NIS2 przenosi odpowiedzialność na cały łańcuch dostaw. Klasyfikacja jako podmiot kluczowy lub ważny ma bezpośrednie przełożenie na wysokość potencjalnych kar.

Firma może dostać karę do 10 mln EUR (podmiot kluczowy) lub 7 mln EUR (ważny). Ale Ty jako prezes odpowiadasz osobowo: ustawa wprost przewiduje kary dla osób fizycznych pełniących funkcje kierownicze oraz zakaz sprawowania stanowisk kierowniczych. Nie możesz „scedować” tej odpowiedzialności na dyrektora IT ani na zewnętrzną firmę.

Możesz zlecić wdrożenie środków technicznych i organizacyjnych — i powinieneś, jeśli nie masz kompetencji wewnętrznie. Ale odpowiedzialności za zgodność nie możesz zlecić. Zarząd musi zatwierdzić politykę bezpieczeństwa, przejść szkolenie i nadzorować realizację. Podpis pod „raportem z wdrożenia” to nie tarcza prawna.

Polska ustawa nowelizująca KSC jest w trakcie procesu legislacyjnego — po jej wejściu w życie firmy będą miały termin na rejestrację i wdrożenie (prawdopodobnie kilka miesięcy). UODO i CERT Polska już teraz prowadzą kontrole w podmiotach krytycznych. Firmy, które nie zaczną działać przed wejściem przepisów, wejdą w okres kar od pierwszego dnia obowiązywania ustawy bez żadnego buforu.

Trzy problemy naraz: (1) kara regulatora (brak wdrożonych środków = brak obrony), (2) brak możliwości skutecznego ubiegania się o odszkodowanie od ubezpieczyciela cyber (polisy wymagają udokumentowanych procedur), (3) ryzyko reputacyjne i odpowiedzialność kontraktowa wobec klientów, którzy stracili dane. Brak dokumentacji zamienia incydent w poważniejsze konsekwencje prawne.

Minimalny zestaw techniczny to: zarządzanie ryzykiem (udokumentowana ocena), MFA na wszystkich systemach krytycznych, segmentacja sieci, szyfrowanie danych w spoczynku i tranzycie, procedura zarządzania incydentami, backupy z testem odtwarzania, zarządzanie dostępami (zasada najmniejszych uprawnień), monitoring logów i alertów. Do tego dokumentacja polityk i plan ciągłości działania (BCP/DRP).

Schemat jest trójstopniowy: wczesne ostrzeżenie do CSIRT w ciągu 24 godzin od wykrycia, pełne zgłoszenie incydentu w ciągu 72 godzin, raport końcowy z analizą przyczyn w ciągu miesiąca. Zegar startuje od momentu, gdy firma „powinna była wiedzieć” — nie od momentu gdy faktycznie potwierdziła incydent.

Sam ERP nie „spełnia” ani „nie spełnia” NIS2 — to nie jest certyfikacja produktu. Pytanie brzmi: czy jest aktualnie łatany, czy ma aktywne wsparcie producenta, czy integracje są audytowane, czy role dostępowe są skonfigurowane zgodnie z zasadą least privilege. Stary system bez wsparcia producenta (EOL) to automatycznie czerwona flaga w każdym audycie.

Bezpośrednia odpowiedzialność osobowa w NIS2 spada na organ zarządzający (zarząd), nie na IT. Ale: jeśli naruszenie wynikło z Twoich zaniedbań lub zaniechań (np. nie wdrożyłeś zalecanej łatki, nie poinformowałeś zarządu o ryzyku), możesz odpowiadać na gruncie prawa pracy i potencjalnie prawa karnego. Kluczowe jest dokumentowanie decyzji i eskalacji do zarządu.

Dochodzi warstwa compliance: regularne testy odtwarzania backupów (udokumentowane), przeglądy uprawnień, rejestry incydentów i anomalii, szkolenia użytkowników (wymóg formalny), zarządzanie ryzykiem dostawców IT. W praktyce bez narzędzi klasy SIEM/SOEM i systemu zarządzania politykami (GRC) to oznacza kilkanaście godzin miesięcznie dodatkowej pracy administracyjnej — albo argument za budżetem na te narzędzia.