Jakie są kary za naruszenie EUDR?

Kary za naruszenie EUDR obejmują: grzywny do 4% rocznego obrotu w UE (lub minimum 50 000 euro), konfiskatę produktów niezgodnych z przepisami, konfiskatę dochodów uzyskanych ze sprzedaży takich produktów, czasowy lub stały zakaz wykonywania działalności, a także wykluczenie z zamówień publicznych.

Od kiedy obowiązują kary EUDR?

Rozporządzenie EUDR wchodzi w pełne życie 30 grudnia 2026 roku. Do tej daty operatorzy i handlowcy muszą wdrożyć systemy należytej staranności (DDS) i zapewnić pełną identyfikowalność łańcucha dostaw.

Kogo dotyczą kary EUDR?

Kary EUDR dotyczą operatorów (firm wprowadzających produkty na rynek UE po raz pierwszy), podmiotów na dalszych etapach łańcucha dostaw (downstream operators) oraz traderów (handlowców). Dotyczy to produktów z drewna, kakao, kawy, soi, palm olejowej, kauczuku i bydła oraz produktów pochodnych.

Jak uniknąć kar EUDR?

Aby uniknąć kar EUDR należy wdrożyć System Należytej Staranności (DDS): zbierać geolokalizację działek rolnych, przeprowadzać ocenę ryzyka wylesiania, dokumentować łańcuch dostaw oraz przechowywąć dane przez minimum 5 lat. VeriGreen oferuje kompleksowe wsparcie przy wdrożeniu systemu DDS.

Co to jest DDS w EUDR?

DDS (Due Diligence System) to obowiązkowy system należytej staranności wymagany przez EUDR. Obejmuje trzy filary: 1) zbieranie danych o pochodzeniu surowców z geolokalizacją, 2) ocenę ryzyka wylesiania dla każdego dostawcy i kraju, 3) wdrażanie środków ograniczających ryzyko. Operatorzy muszą złożyć oświadczenie o należytej staranności przed wpuszczeniem towaru na rynek UE.

Kiedy wchodzi w zycie ECGT w Polsce?

27 wrzesnia 2026 r. - bez okresu przejsciowego dla produktow juz znajdujacych sie na rynku.

Czego dotyczy dyrektywa 2024/825 (ECGT)?

Empowering Consumers for the Green Transition - zakazuje nieuczciwych i ogolnikowych twierdzen srodowiskowych (greenwashing) w komunikacji B2C.

Kto musi sie przygotowac?

Producenci, importerzy, sprzedawcy detaliczni i agencje marketingowe stosujace hasla ekologiczne, znaki zrownowazonosci i komunikacje o trwalosci produktow.

Hasla marketingowe, opakowania, etykiety, znaki zrownowazonosci, umowy, klauzule sprzedazowe i materialy reklamowe.

Jakie sa sankcje za niezgodnosc?

UOKiK moze nakladac kary do 10% obrotu rocznego oraz wymagac wycofania produktow z rynku.

Haker na hali produkcyjnej to już nie problem IT, ale BHP. Jak NIS2 i Nowe Rozporządzenie Maszynowe zmieniają definicję "bezpiecznej fabryki"?

Spis treści

Kiedy „błąd systemu” staje się wyrokiem

Wyobraźmy sobie scenariusz, który jeszcze dekadę temu byłby fabułą filmu science-fiction klasy B, a dziś jest realnym ryzykiem omawianym na spotkaniach zarządów w całej Europie. Jest nocna zmiana w zakładzie przetwórstwa spożywczego. Zautomatyzowana linia dozująca środki konserwujące nagle zmienia parametry. Zamiast 0,1% roztworu, do partii napojów trafia stężenie dziesięciokrotnie wyższe.

Nie zawiódł czujnik. Nie zasnął operator. Ktoś z zewnątrz, przełamując zabezpieczenia starego sterownika PLC podpiętego do sieci, zdalnie zmienił recepturę. Rano partia wyjeżdża do klientów. Po południu pierwsze informacje o zatruciach. Wieczorem prokurator nie pyta o to, czy mieliście aktualnego antywirusa. Pyta, dlaczego maszyna, która mogła zabić, została dopuszczona do ruchu.

Do końca 2025 roku bezpieczeństwo maszyn (Safety) i bezpieczeństwo danych (Security) były dwoma oddzielnymi światami. Inżynierowie od BHP dbali o osłony i wyłączniki awaryjne („grzybki”), a dział IT dbał o to, by nie wyciekły faktury.

Nadchodzący 2026 burzą ten mur. Wraz z wejściem w życie dyrektywy NIS2, aktu Cyber Resilience Act (CRA) oraz nadchodzącym wielkimi krokami Nowym Rozporządzeniem Maszynowym (UE) 2023/1230, cyberbezpieczeństwo staje się fizycznym wymogiem bezpieczeństwa produktu.

W tym artykule rozłożymy na czynniki pierwsze to legislacyjne trzęsienie ziemi, ze szczególnym uwzględnieniem tego, kto naprawdę jest „podmiotem kluczowym” i dlaczego Twoja firma może nim być, nawet jeśli nie produkujesz prądu ani nie leczysz ludzi.

Nowa Trójca Święta Przemysłu (NIS2, CRA, Machinery Regulation)

Aby zrozumieć skalę zmian, musimy spojrzeć na trzy regulacje, które zazębiają się jak tryby w maszynie. Każda z nich uderza w przemysł z innej strony, ale cel jest jeden: odporność.

1. Dyrektywa NIS2 (Network and Information Systems Directive)

To fundament. NIS2 nie pyta „czy produkt jest bezpieczny”, ale „czy FIRMA jest bezpieczna”. To dyrektywa o zarządzaniu ryzykiem w organizacji. Weszła w życie, by wymusić na zarządach odpowiedzialność za ciągłość działania usług kluczowych dla gospodarki.

Kogo dotyczy? Sektorów krytycznych (energia, transport, zdrowie) oraz tzw. sektorów ważnych (żywność, chemia, produkcja maszyn).
Sankcje: Do 10 mln EUR lub 2% światowego obrotu oraz – co najważniejsze – osobista odpowiedzialność kierownictwa.

2. Cyber Resilience Act (CRA) – Ustawa o Cyberodporności

Jeśli NIS2 dotyczy firmy, to CRA dotyczy produktu cyfrowego. Każde urządzenie podłączone do sieci (od inteligentnego licznika po sterownik przemysłowy) musi być bezpieczne „by design”.

Kluczowy wymóg: Producent musi dostarczać aktualizacje bezpieczeństwa przez cały cykl życia produktu (często 5 lat+).
Rewolucja: Wprowadzenie obowiązku posiadania SBOM (Software Bill of Materials) – cyfrowej listy składników oprogramowania. To „traceability” dla kodu.

3. Nowe Rozporządzenie Maszynowe (UE) 2023/1230

To rewolucja dla inżynierów utrzymania ruchu i producentów maszyn. Zastępuje starą Dyrektywę Maszynową 2006/42/WE.

Zmiana paradygmatu: Od 20 stycznia 2027 r., aby nadać maszynie znak CE, musi ona być odporna na ataki, które mogłyby wpłynąć na jej zachowanie w sposób niebezpieczny.
Wniosek: Haker włamujący się do robota to teraz „wada maszyny”, a nie „siła wyższa”.

Sektory Kluczowe i Ważne – Czy jesteś na liście?

Najwięcej emocji i nieporozumień budzi klasyfikacja podmiotów w ramach NIS2. Wielu przedsiębiorców żyje w błędnym przekonaniu: „Jestem tylko fabryką ciastek / producentem uszczelek / montownią szaf sterowniczych – mnie to nie dotyczy. To dla elektrowni i banków”.

Nic bardziej mylnego. Dyrektywa NIS2 drastycznie rozszerza katalog podmiotów objętych regulacją, dzieląc je na Podmioty Kluczowe (Essential Entities) oraz Podmioty Ważne (Important Entities). Różnica leży w rygorze nadzoru (aktywny vs. reaktywny) i wysokości kar, ale wymogi bezpieczeństwa są niemal identyczne.

Przyjrzyjmy się temu dokładnie, bo diabeł tkwi w załącznikach do dyrektywy.

1. Sektory Kluczowe (Essential Entities) – Załącznik I

To fundament funkcjonowania państwa i społeczeństwa. Jeśli tu jesteś, nadzór (w Polsce CSIRT GOV, CSIRT MON lub CSIRT NASK) przyjdzie do Ciebie z kontrolą, zanim cokolwiek się wydarzy (nadzór ex ante).

Do tej grupy należą (oprócz oczywistych jak Energia czy Bankowość):

Woda pitna i ścieki: Dostawcy wody, ale też firmy zajmujące się oczyszczaniem ścieków komunalnych. Dla przemysłu oznacza to, że zakładowe oczyszczalnie ścieków mogą wpaść w ten rygor, jeśli obsługują też podmioty zewnętrzne.
Infrastruktura cyfrowa: Dostawcy usług chmurowych, centra danych (Data Center). Uwaga: Jeśli Twoja grupa kapitałowa ma własną spółkę IT („Centrala IT”), która świadczy usługi chmury prywatnej dla fabryk w grupie – ta spółka IT staje się podmiotem kluczowym!
Zarządzanie usługami ICT (B2B): Dostawcy usług zarządzanych (Managed Service Providers). Jeśli jesteś integratorem automatyki, który zdalnie monitoruje i serwisuje linie produkcyjne klientów – jesteś tutaj. Jesteś kluczowym ogniwem łańcucha.
Przestrzeń kosmiczna: (Coraz ważniejsza, ale pomińmy ją na potrzeby typowego przemysłu).

2. Sektory Ważne (Important Entities) – Załącznik II

To tutaj wpada większość naszych klientów – firm produkcyjnych i przemysłowych. Nadzór jest tu ex post (reaguje, gdy zdarzy się incydent lub donos), ale obowiązki wdrożeniowe są te same.

Lista jest długa i zaskakująca dla wielu:

Produkcja, przetwarzanie i dystrybucja ŻYWNOŚCI: To gigantyczna zmiana. Każda duża i średnia firma (powyżej 50 pracowników/10 mln EUR obrotu) produkująca żywność wchodzi pod rygor ustawy o krajowym systemie cyberbezpieczeństwa. Dlaczego? Wojna w Ukrainie pokazała, że bezpieczeństwo żywnościowe jest elementem wojny hybrydowej. Paraliż mleczarni czy wielkich zakładów mięsnych to panika społeczna. Co to oznacza? Że system sterowania pasteryzatorem czy linia pakująca muszą być monitorowane pod kątem ataków 24/7.
Produkcja (Manufacturing) – Sekcja C NACE Rev. 2: Tu dyrektywa wymienia konkretne działy produkcji:
- Produkcja wyrobów medycznych: Nie tylko leki, ale też sprzęt, strzykawki, implanty.
- Produkcja komputerów, wyrobów elektronicznych i optycznych: Producenci sterowników, czujników, kamer.
- Produkcja urządzeń elektrycznych: Silniki, generatory, baterie, przewody.
- Produkcja maszyn i urządzeń (gdzie indziej niesklasyfikowana): To „worek”, do którego wpada większość producentów obrabiarek, linii pakujących, maszyn rolniczych.
- Produkcja pojazdów samochodowych i sprzętu transportowego: Automotive.
- Produkcja chemikaliów: Nawozy, tworzywa sztuczne, farby.
Gospodarowanie odpadami: Firmy zajmujące się recyklingiem, utylizacją. W dobie GOZ (Gospodarki Obiegu Zamkniętego) paraliż sortowni odpadów to problem sanitarny.

Ewolucja i mechanizm „Infekcji Łańcucha Dostaw”

Pytacie w mailach: „Jak te sektory będą ewoluować? Czy jeśli jestem małą firmą, to jestem bezpieczny?”.

Odpowiedź brzmi: Nie jesteś bezpieczny, a lista sektorów jest płynna.

Mechanizm 1: „Size Cap Rule” (Zasada progu wielkości) i jej wyjątki

Zasadniczo NIS2 dotyczy podmiotów średnich i dużych (zgodnie z definicją UE: >50 pracowników, >10 mln EUR obrotu). ALE: Dyrektywa daje państwom członkowskim prawo (w art. 2 ust. 2) do wskazania podmiotów mniejszych, jeśli są one:

Jedynym dostawcą danej usługi w kraju (monopolista).
Zakłócenie ich działania miałoby katastrofalny wpływ na bezpieczeństwo publiczne, porządek publiczny lub zdrowie publiczne.
Podmiotem o znaczeniu systemowym transgranicznym.

Ewaluacja w czasie: Krajowe organy (w Polsce Ministerstwo Cyfryzacji i organy sektorowe) będą co 2 lata przeglądać listę podmiotów kluczowych. Jeśli Twoja firma urośnie lub stanie się krytycznym dostawcą dla np. wojska, zostaniesz wciągnięty na listę decyzją administracyjną, niezależnie od zatrudnienia.

Mechanizm 2: Supply Chain Infection (Kaskada wymagań)

To najważniejszy punkt dla MŚP. Nawet jeśli ustawa wprost Cię nie wymienia, wymieni Twojego klienta.

Wyobraź sobie, że produkujesz drewniane palety (sektor teoretycznie nieobjęty NIS2). Ale Twoim głównym odbiorcą jest globalny koncern chemiczny (Podmiot Ważny/Kluczowy). Zgodnie z Art. 21 NIS2, ten koncern ma obowiązek „zarządzania bezpieczeństwem w łańcuchu dostaw”. Musi on zagwarantować, że jego dostawcy nie są „koniem trojańskim”.

Co to oznacza w praktyce?

Audyt dostawcy: Koncern wyśle Ci ankietę bezpieczeństwa na 100 pytań.
Klauzule umowne: W nowym kontrakcie pojawi się zapis o karach umownych za brak zgłoszenia incydentu cybernetycznego w Twojej firmie.
Wymóg certyfikacji: Może zażądać od Ciebie ISO 27001 lub wdrożenia konkretnych procedur.

Ewaluacja rynku: Rynek sam zweryfikuje, kto jest „bezpieczny”. Bycie zgodnym z NIS2 stanie się (podobnie jak dziś ISO 9001) warunkiem wzięcia udziału w przetargu dla dużego przemysłu. Sektory nie ewoluują tylko w ustawie – ewoluują w wymogach zakupowych (procurement).

SBOM – Traceability wchodzi w erę cyfrową

Jako VeriGreen zajmujemy się śledzeniem produktu (traceability). Do tej pory śledziliśmy drewno, stal, wołowinę. Teraz musimy nauczyć się śledzić kod.

Cyber Resilience Act (CRA) oraz NIS2 wprowadzają pojęcie SBOM (Software Bill of Materials).

Co to jest SBOM?

To „lista składników” oprogramowania. Kiedy kupujesz maszynę sterowaną przez PLC, kupujesz nie tylko metal, ale też:

System operacyjny (często Linux lub Windows Embedded).
Biblioteki komunikacyjne (żeby maszyna „gadała” po OPC-UA czy MQTT).
Interfejs graficzny (HMI).

Często te elementy pochodzą od zewnętrznych dostawców (open source, firmy trzecie). Jeśli w jednej z darmowych bibliotek (np. słynny przypadek Log4j) zostanie wykryta dziura, haker może przejąć Twoją maszynę.

Bez SBOM nie wiesz, że masz tę bibliotekę. Jesteś ślepy. Nowe przepisy wymagają, aby producenci maszyn i oprogramowania dostarczali SBOM klientom przemysłowym.

Dla managera produkcji oznacza to: Przy odbiorze nowej linii produkcyjnej (FAT/SAT), obok schematów elektrycznych i DTR, musisz zażądać pliku SBOM. I musisz mieć system, który ten plik „przeczyta” i połączy z bazą podatności (CVE). To jest nowe, cyfrowe oblicze traceability.

Odpowiedzialność karna – Kto idzie siedzieć, gdy stanie linia?

Wracamy do tematu, który poruszaliśmy w artykule z 12 grudnia o odpowiedzialności managerów. NIS2 podnosi poprzeczkę brutalnie wysoko.

Do tej pory za wyciek danych odpowiadała „firma” (RODO). NIS2 mówi wprost (Art. 20): Organy zarządzające (…) ponoszą odpowiedzialność za naruszenie przepisów.

W polskiej implementacji ustawy o KSC (Krajowy System Cyberbezpieczeństwa) przewiduje się kary pieniężne nakładane osobiście na osoby sprawujące funkcje kierownicze, jeśli wykaże się im rażące zaniedbanie. Co więcej – organ nadzorczy może zawiesić członka zarządu w pełnieniu obowiązków. To śmierć zawodowa dla managera.

W kontekście Nowego Rozporządzenia Maszynowego i Kodeksu Karnego (art. 220 KK – narażenie pracownika na niebezpieczeństwo), sytuacja robi się jeszcze poważniejsza. Jeżeli cyberatak spowoduje fizyczny wypadek (np. ramię robota uderzy pracownika, bo wyłączono czujniki strefowe przez sieć), a prokurator udowodni, że maszyna była podłączona do publicznego internetu bez zabezpieczeń, bo „tak było wygodniej serwisowi”, zarząd i dyrektor techniczny mogą usłyszeć zarzuty karne.

Brak procedur cyberbezpieczeństwa na produkcji staje się więc zaniechaniem obowiązków BHP.

Co zrobić, zanim przyjdzie wezwanie? (Roadmapa 2026)

Jako VeriGreen, widząc ten nadciągający huragan legislacyjny, rekomendujemy naszym partnerom przemysłowym działanie dwutorowe: Prawne i Technologiczne.

Krok 1: Identyfikacja (Legal Audit)

Musisz wiedzieć, czy jesteś podmiotem kluczowym, czy ważnym.

Sprawdź kody PKD swojej działalności.
Sprawdź strukturę własnościową i wielkość zatrudnienia (z uwzględnieniem powiązań kapitałowych!).
Zmapuj swoich kluczowych klientów – czy oni są kluczowi? Jeśli tak, przygotuj się na audyt z ich strony.

Krok 2: Inwentaryzacja zasobów OT (Asset Management)

Nie zabezpieczysz tego, o czym nie wiesz, że to masz.

Większość fabryk nie ma aktualnej listy urządzeń podpiętych do sieci przemysłowej. „Jakiś switch za szafą”, „stary komputer z Windows XP sterujący wagą”.
Potrzebujesz automatycznej inwentaryzacji sieci OT. Ręczne spisywanie z natury jest błędne.

Krok 3: Segmentacja sieci (To wymóg NIS2!)

Płaska sieć to proszenie się o kłopoty. Jeśli księgowa otworzy zawirusowany załącznik, a wirus (ransomware) przejdzie do sieci produkcyjnej i zaszyfruje sterowniki PLC – to znaczy, że nie było segmentacji. NIS2 wymaga separacji IT od OT. To techniczna podstawa.

Krok 4: Weryfikacja umów z dostawcami maszyn

Kupujesz nową maszynę w 2026 r.?

Wpisz do umowy wymóg zgodności z Cyber Resilience Act.
Wymagaj dostarczenia SBOM.
Wymagaj gwarancji dostępności łatek bezpieczeństwa (security patches) przez min. 10 lat (cykl życia maszyny), a nie 2 lata (gwarancja handlowa).

Podsumowanie

Cyberbezpieczeństwo przestało być domeną „informatyków w kapturach”. Stało się integralną częścią inżynierii produkcji, jakości i prawa. Nowe Rozporządzenie Maszynowe sprawia, że maszyna niebezpieczna cyfrowo jest maszyną niebezpieczną fizycznie. NIS2 sprawia, że za to niebezpieczeństwo odpowiada Prezes, a nie Szef IT. A rynek sprawia, że bez certyfikatu bezpieczeństwa, możesz wypaść z łańcucha dostaw.

Temat ewaluuje dynamicznie. To, co dziś jest „dobrą praktyką”, w 2027 roku będzie twardym prawem wymaganym przy kontroli CE. Nie czekajcie na pierwszy incydent.

🛡️ VeriGreen: Cyber-Traceability Audit

Widzisz, że temat Cię dotyczy, ale nie wiesz od czego zacząć? Jesteśmy jedyną firmą, która łączy kompetencje Prawa Przemysłowego, Traceability i Bezpieczeństwa OT.

Co proponujemy? Wstępny Audyt Zgodności (Gap Analysis) z NIS2 i Rozporządzeniem Maszynowym.

Nie będziemy Ci sprzedawać firewalli. My sprawdzimy:

Czy Twoje maszyny spełniają przyszłe wymogi CE w zakresie cyber?
Czy Twoje procedury zarządzania incydentami chronią Zarząd przed odpowiedzialnością karną?
Jak zmapować Twoją sieć przemysłową, by wiedzieć, co w niej żyje.

👉 Skontaktuj się z nami Zadbaj o to, by jedynym „hackiem” w Twojej firmie było sprytne rozwiązanie problemu produkcji, a nie włam do sterownika.

Haker na hali produkcyjnej to już nie problem IT, ale BHP. Jak NIS2 i Nowe Rozporządzenie Maszynowe zmieniają definicję „bezpiecznej fabryki”?

Ostatnie komentarze