Sprawdź, na jakim etapie dojrzałości cyfrowej znajduje się Twoja firma | Wypełnij krótki test

skontaktuj się z nami

Backup, szyfrowanie, dostęp – czego wymaga KSC od systemów ERP?

Cybersecurity shield over digital industrial manufacturing plant

Wdrożenie systemu ERP to jedna z najważniejszych decyzji technologiczno-biznesowych w każdej firmie. Wybierając narzędzie, organizacja musi dziś, obok optymalizacji kosztów czy automatyzacji produkcji, brać pod uwagę także cyberbezpieczeństwo. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) to bezpośrednia implementacja unijnej dyrektywy NIS2 do polskiego porządku prawnego. Nowe przepisy redefiniują odpowiedzialność zarządów za odporność cyfrową przedsiębiorstwa. Co to oznacza dla firm, które korzystają z systemów ERP?

Jako menedżer lub właściciel firmy musisz zadać sobie kluczowe pytanie: czy Twój system ERP spełnia nowe, restrykcyjne wymogi prawne? W artykule wyjaśniamy, jak rewolucja NIS2 wpływa na narzędzia klasy ERP, kogo dotyczy i jak Forterro z systemem BPSC ERP odpowiada na te wyzwania. 

Czym jest KSC i po co weszło w życie? (Efekt NIS2)

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) to polskie wykonanie europejskiej dyrektywy NIS2 (ang. Network and Information Security 2). Unia Europejska wprowadziła te przepisy z powodu skokowego wzrostu liczby wyrafinowanych cyberataków na infrastrukturę przedsiębiorstw komercyjnych. 

Z perspektywy biznesu NIS2 i nowe KSC przynoszą fundamentalną zmianę: cyberbezpieczeństwo przestało być problemem wyłącznie działu IT, a stało się elementem zarządzania ryzykiem biznesowym na poziomie zarządu. Ustawa ma zmusić firmy do zabezpieczenia swoich systemów przed incydentami, które mogłyby sparaliżować łańcuchy dostaw, wstrzymać produkcję lub doprowadzić do wycieku strategicznych danych finansowych i kadrowych. 

Czy muszę się tym przejmować? Kto podlega pod nowe przepisy?

Czas porzucić mit, że cyberbezpieczeństwo to obowiązek wyłącznie sektora publicznego, banków czy operatorów elektrowni. Implementacja NIS2 wyraźnie rozszerza listę podmiotów objętych restrykcjami, dzieląc je na podmioty kluczowe oraz podmioty ważne. 

Jeżeli Twoja firma działa w jednym z poniższych sektorów, zatrudnia powyżej 50 pracowników lub przekracza 10 mln EUR rocznego obrotu, nowe przepisy bezpośrednio Cię dotyczą:

  • Sektor produkcyjny: produkcja maszyn i urządzeń, elektronika, automotive, sektor chemiczny, metalurgiczny czy produkcja urządzeń elektrycznych.
  • Sektor spożywczy i medyczny: przetwórstwo i dystrybucja żywności oraz produkcja wyrobów medycznych.
  • Logistyka i transport: transport drogowy, kolejowy, wodny, lotniczy oraz usługi pocztowe.
  • Gospodarka komunalna: gospodarowanie odpadami, zaopatrzenie w wodę pitną i odprowadzanie ścieków.
  • Dostawcy usług cyfrowych i zarządzanych IT

Co ważne, KSC, zgodnie z duchem NIS2, wprowadza osobistą odpowiedzialność finansową kierowników i członków zarządów za niedopełnienie obowiązków z zakresu cyberbezpieczeństwa. Kary dla podmiotów kluczowych mogą sięgać do 10 000 000 EUR lub 2% globalnego rocznego obrotu przedsiębiorstwa – w zależności od tego, która kwota jest wyższa. 

Czego KSC i NIS2 wymagają od systemów ERP? 

System ERP konsoliduje kluczowe obszary działalności: od receptur i harmonogramów produkcji, przez stany magazynowe, aż po dane finansowe i kadrowo-płacowe. Z punktu widzenia KSC system ERP musi gwarantować odporność w trzech zasadniczych obszarach:

1. Backup i ciągłość działania (Art. 8 ust. 1 pkt 2 lit. f)

Zarządzanie incydentem w systemie ERP wymaga posiadania precyzyjnych planów ciągłości działania oraz procedur odtwarzania danych po awarii. Zgodnie z wytycznymi ustawy, kopie zapasowe kluczowych baz danych ERP muszą być stale utrzymywane, a plany awaryjne muszą umożliwiać odtworzenie systemu po zdarzeniu losowym lub cyberataku. 

2. Szyfrowanie i integralność danych (Art. 8 ust. 1 pkt 2 lit. k)

Ustawa nakłada obowiązek stosowania kryptografii i szyfrowania danych. W systemie ERP oznacza to konieczność zabezpieczenia danych zarówno w spoczynku (w bazie danych), jak i podczas ich przesyłania (w tranzycie). System musi również posiadać zaawansowane mechanizmy chroniące przed nieuprawnioną modyfikacją danych u źródła. 

3. Kontrola dostępu i tożsamość (Art. 8 ust. 1 pkt 2 lit. l, n)

KSC kładzie kres prostym zabezpieczeniom. Dostęp do systemów przetwarzających strategiczne informacje firmy musi być chroniony za pomocą uwierzytelniania wieloskładnikowego (MFA). Ponadto system ERP musi technologicznie wspierać strukturę minimalnych uprawnień (zasada Least Privilege) – pracownik może mieć dostęp wyłącznie do tych modułów i danych, które są mu niezbędne do wykonywania bieżących zadań. 

Jak sprawdzić, czy Twój obecny (lub planowany) ERP spełnia wymogi KSC?

Prowadząc audyt zgodności oprogramowania o charakterze strategicznym, należy zweryfikować u dostawcy technicznego następujące elementy:

  • Czy architektura systemu wspiera natywne, wymuszone mechanizmy MFA dla każdego użytkownika?
  • Czy system posiada szczegółowy dziennik zdarzeń, pozwalający na pełną rozliczalność tego, kto, kiedy i jakie dane modyfikował?
  • Jak wygląda proces wydawania i implementacji łatek bezpieczeństwa oraz poprawek krytycznych?
  • Zarządzanie Ryzykiem Dostawcy (Art. 67b): Czy dostawca oprogramowania gwarantuje pełną transparentność łańcucha dostaw kodu źródłowego? Zgodnie z KSC, podmioty objęte ustawą mają całkowity zakaz wdrażania systemów od podmiotów uznanych decyzją administracyjną za "dostawców wysokiego ryzyka".  

Jak BPSC ERP odpowiada na nowe potrzeby KSC i NIS2?

System BPSC ERP (rozwijany przez Forterro Polska) od niemal 40 lat projektowany jest z myślą o realiach i rygorach polskiego przemysłu oraz zmieniającej się legislacji. Program wspiera firmy w budowaniu stabilności biznesowej, a jego najnowsze wersje wprost odpowiadają na technologiczne wymogi KSC: 

  • Standardy chmurowe (BPSC ERP w chmurze SaaS). Wybierając system BPSC ERP w modelu chmurowym (SaaS), przedsiębiorstwo przenosi znaczną część technicznych i infrastrukturalnych obowiązków KSC na producenta. W tym modelu automatyczne aktualizacje oprogramowania, zaawansowany monitoring stabilności narzędzia, najwyższe standardy szyfrowania oraz profesjonalne, odizolowane kopie zapasowe leżą po stronie dostawcy chmury i systemu.
  • Bezpieczeństwo na poziomie bazy danych i interfejsu. System zapewnia zaawansowane mechanizmy autoryzacji oraz precyzyjne zarządzanie uprawnieniami strukturalnymi. Dane produkcyjne, finansowe i kadrowe są chronione przed nieautoryzowaną modyfikacją, co gwarantuje integralność informacji niezbędną podczas audytów zgodności z KSC.
  • Ciągłość operacyjna i integracja. BPSC ERP pozwala na pełną automatyzację i bezpieczeństwo procesów wewnątrz jednej, spójnej bazy danych – od bezpiecznych integracji z systemami zewnętrznymi (w tym pełne, zautomatyzowane dostosowanie do przepisów KSeF), po zaawansowane harmonogramowanie produkcji bez ryzyka przestojów wywołanych błędami integralności danych. 

Przejście na system ERP w pełni zgodny z wymaganiami KSC/NIS2 to inwestycja, która zabezpiecza cyfrowe serce Twojego przedsiębiorstwa i buduje jego trwałą przewagę rynkową. 

Questionmark

Chcesz mieć pewność, że Twój ERP jest zgodny z KSC? 

Skontaktuj się z naszymi ekspertami już dziś