Use Case Przemysłowy IoT · Maxvorstadt + Neubiberg · CRA + IEC 62443 + NIS2

Cyber Resilience Act + IEC 62443 + EU AI Act dla przemysłowego IoT - klaster Siemens-Maxvorstadt i Infineon-Campeon

Siemens Maxvorstadt + Infineon Neubiberg. Cyber Resilience Act UE 2024/2847 od 11.12.2024. IEC 62443 SL-Target. NIS2 + EU AI Act dla Industrial AI.

Warsztat w Grindelberg Wszystkie 7 use case'ów ←

Rozdział 1 - Cztery światy compliance równolegle

CRA + IEC 62443 + NIS2 + EU AI Act - w jednym łańcuchu decyzji per release produktu.

Monachijskie koncerny przemysłowego IoT noszą cztery równoległe światy compliance per aktualizacja produktu: EU Cyber Resilience Act (CRA, UE 2024/2847) w mocy od 11.12.2024, z Conformity Assessment + SBOM + 24 h ujawnianie podatności. IEC 62443 ze Security Level Target per Zone/Conduit (SL 1-4) i 7 Foundational Requirements. NIS2 (UE 2022/2555) transponowana przez NIS2UmsuCG od 10/2024 z 24 h raportowaniem incydentów do BSI. EU AI Act dla Industrial AI w Załączniku I (komponenty bezpieczeństwa dyrektyw maszynowych) lub Załączniku III pkt 8 (infrastruktura zaopatrzeniowa).

Plus monachijski nadzór: Lista kontrolna AI BayLDA v0.9 z 24.01.2024 + Orientierungshilfe DSK KI i Datenschutz 06.05.2024 dla warstwy RODO. BSI Grundschutz + BSI Kritisverordnung dla podzbioru KRITIS (Siemens Energy, Infineon dostawca półprzewodników). Rozporządzenie maszynowe (UE 2023/1230) dla Industrial Control Systems z komponentami AI. Polski paralel: polskie OT/IT produkcyjne (Asseco, Comarch, KGHM Polska Miedź) podlegają NIS2 (transponowanej do polskiej ustawy o krajowym systemie cyberbezpieczeństwa 2024) + CRA UE + UODO dla HR-IT.

Podział Decision-Layer typowo dla release produktu przemysłowego IoT: 40% REGUŁY (CRA conformity-assessment records, walidacja IEC 62443 FR, środki zarządzania ryzykiem NIS2, generowanie SBOM), 40% AI AUTONOMICZNE (klasyfikacja threat-modelu, scoring podatności, analiza topologii sieci OT, pre-triage conformity-assessment), 20% CZŁOWIEK (sign-off CISO/CTO przy uplifcie SL-Target, klasyfikacja incydentu NIS2, finalny review conformity-assessment).

Audit-trail per release produktu: ID rekordu CRA conformity-assessment (np. cra_ca_v2026_q2), SL-Target + status FR IEC 62443, rekordy zarządzania ryzykiem NIS2 wg Art. 21, hash SBOM, logowanie EU AI Act wg Art. 12 (gdzie applicable). Przy audycie Notified Body (CRA) + audycie BSI (NIS2) + audycie AI conformity-assessment: 1-klikowy eksport per format audytu.

Rozdział 2 - Decision-Record dla decyzji CRA Conformity-Assessment

Jak release sensorowego produktu przemysłowego IoT przechodzi przez CRA.

Zanonimizowany decision-record dla decyzji CRA Conformity-Assessment u monachijskiego koncernu przemysłowego IoT (np. produkt sensorowy Siemens). Dzień 1 z 84 przed planowanym release produktu. Z wyborem IEC 62443 SL-Target + zarządzaniem ryzykiem NIS2.

CRA-CA-2026-05-17-IOT-SENSOR-V4

CRA Conformity Assessment · Przemysłowy IoT-Sensor v4.0 · wpływ 17.05.2026 · planowany release 10.08.2026

Wynik Ścieżka Self-Assessment · IEC 62443 SL 2 · raportowanie NIS2 zintegrowane
  1. 01 REGEL

    Klasyfikacja produktu CRA

    Produkt podlega CRA Annex III - sensor z elementami cyfrowymi, podłączony. Nie w Annex III Critical Class (brak PKI/Smart-Card). Ścieżka Self-Assessment możliwa. Reguła cra_classification_v2.1.

    ✓ Ścieżka Self-Assessment
  2. 02 REGEL

    Generowanie SBOM (Software Bill of Materials)

    Automatyczne generowanie SBOM z build pipeline (format CycloneDX). Wszystkie komponenty open-source + wersje + licencje zarejestrowane. Hash SBOM persistowany dla rekordu release produktu. Reguła sbom_cra_v3.4.

    ✓ SBOM persistowany
  3. 03 KI

    Scoring podatności (model <code>cra-vuln-scoring-v2.1</code>)

    SBOM zmapowany wobec NIST NVD + ENISA Database. 3 znane CVE w zależnościach (CVSS 4.2, 5.8, 7.1). Najwyższy: CVE-2026-XXXX w libssl 3.0.x. Model klasyfikuje wpływ w kontekście produktu (CVSS 7.1 w naszym use case = 4.5 ze względu na izolowany segment sieci).

    Confidence 0.93 · próg 0.85

    ✓ 3 CVE zidentyfikowane
  4. 04 REGEL

    Wybór IEC 62443 SL-Target

    Use case produktu: smart manufacturing sensor z integracją sieci OT. Threat-model: Industrial Espionage + Sabotage. Rekomendacja SL-Target: SL 2 (Skilled Attacker Protection). Checklist Foundational Requirements FR 1-7. Reguła iec62443_sl_target_v2.0.

    ✓ SL 2 zaproponowany
  5. 05 KI

    Pre-check statusu FR per Foundational Requirement

    FR 1 (I&A): oparte na X.509-cert ✓. FR 2 (Use Control): RBAC wdrożone ✓. FR 3 (System Integrity): SBOM + code-signing ✓. FR 4 (Data Conf): TLS 1.3 ✓. FR 5 (Restricted Data Flow): segmentacja sieci ✓. FR 6 (Timely Response): logowanie + alerting ✓. FR 7 (Resource Availability): redundancja + failover ✓. Model iec-fr-checker-v1.7.

    Confidence 0.94 · próg 0.85

    ✓ FR 1-7 spełnione
  6. 06 MENSCH

    Sign-off CISO przy wyborze SL-Target

    Obowiązkowy stop przy SL-Target. CISO Pan M. (Industrial Security, 12 lat Siemens) otrzymuje decision-record z threat-modelem, rekomendacją SL-Target, statusem FR, listą CVE. Decyduje SL 2 (potwierdzony) vs. SL 3 (kosztowałby re-certyfikację). Udokumentowane z uzasadnieniem.

    ✓ SL 2 potwierdzony
  7. 07 REGEL

    Aktualizacja rekordów zarządzania ryzykiem NIS2

    Aktualizacja produktu + 3 CVE + potwierdzenie SL 2 → rekordy zarządzania ryzykiem NIS2 Art. 21 zaktualizowane. Zgłoszenie BSI nie wymagane (CVE są w zależnościach, nie aktywnie wykorzystywane, brak Significant Incident). Reguła nis2_risk_v2.3.

    ✓ Rekordy zaktualizowane
  8. 08 REGEL

    CRA Conformity Assessment finalny sign-off

    Self-Assessment kompletny: Annex I Essential Cybersecurity Requirements (Security by Design, Vulnerability Handling, Conformity Assessment) + Annex II Information Requirements (User Documentation). Conformity-assessment records per annex udokumentowane. Eligibility oznakowania CE potwierdzona. Reguła cra_conformity_v3.1.

    ✓ Self-Assessment kompletny
  9. 09 REGEL

    Persist audit-trail (CRA + IEC 62443 + NIS2)

    Kompletny decision-record persistowany z hashem SBOM, listą CVE, uzasadnieniem SL-Target, statusem FR, sign-offem CISO, rekordami NIS2. 1-klikowy eksport dla formatu CRA Notified Body (jeśli audyt wymagany), widoku assessment IEC 62443, formatu raportowania BSI. Logowanie EU AI Act jeśli AI w produkcie. Reguła audit_v1.4.

    ✓ Audit-trail persistowany

Rozdział 3 - Warsztat w Munich Urban Colab lub u Siemens/Infineon

Engineering z Hamburga, warsztat w Maxvorstadt lub Neubiberg.

Engineering Hauptsitz Hallerstraße 8 Hamburg. Warsztat w Monachium: Munich Urban Colab (Freddie-Mercury-Straße 5, Kreativquartier) jako neutralny grunt lub bezpośrednio u Siemens (Werner-von-Siemens-Straße 1, Maxvorstadt) lub Infineon (Am Campeon 1-15, Neubiberg-Campeon-Campus). Osobne pokoje na sesję CISO, warsztat engineering, briefing compliance/DPO, sesję Konzernbetriebsrat (korporacyjna rada pracownicza, KBR). Warsztat pod 10 000 EUR.

Wzorzec warsztatu przemysłowego IoT: Dzień 1 = mapowanie threat-modelu (engineering Siemens/Infineon + CISO + OT-Security + Compliance). Dzień 2 = demo Decision-Layer z use case'ami przemysłowego IoT (CRA Self-Assessment, wybór IEC 62443 SL-Target, raportowanie incydentów NIS2, logowanie EU AI Act). Dzień 3 = warsztat integracyjny z narzędziami OT (np. Siemens SIMATIC SCADA, narzędzia Infineon, bramki OPC-UA). Plus sesja Konzernbetriebsrat z biegłym IG-Metall (Industrial Security jest istotny dla rady pracowniczej przez zbieranie danych behavioralnych/wydajnościowych).

Integracja z Industrial IT/OT: Decision-Layer integruje się z platformami przemysłowego IoT: Siemens MindSphere/Insights Hub, AWS IoT, Azure IoT, IBM Maximo Application Suite. Protokoły OT: OPC-UA, MQTT, Modbus, PROFINET. Narzędzia SBOM: CycloneDX, SPDX, Anchore Grype, Snyk. Narzędzia CRA compliance: jeszcze nie ustandaryzowane, Decision-Layer może służyć jako conformity-assessment workbench. Kod źródłowy adapterów przekazywany z repozytorium do Siemens/Infineon - brak vendor lock-in interfejsów.

Współdecydowanie Konzernbetriebsrat przy przemysłowym IoT: Zbieranie danych przemysłowego IoT w środowisku produkcyjnym rejestruje dane pracowników (sensory miejsc pracy, logi obsługi maszyn). Niemiecka ustawa o radach pracowniczych § 87 (1) Nr. 6 BetrVG - wymóg współdecydowania o systemach AI; polski odpowiednik: ustawa o radach zakładowych z 2006 r. + RODO art. 22 - obowiązkowo. Monachijski KBR Siemens ma doświadczenie z negocjacjami współdecydowania IIoT od ok. 2019 (wprowadzenie MindSphere). Wzorce Konzernbetriebsvereinbarung (porozumienia zbiorowego) dla IIoT-z-AI muszą mieć mierzalne progi eskalacji + UI audit-trail dla biegłych + technicznie wymuszoną ścieżkę anonimizacji dla danych behavioralnie istotnych. Decision-Layer to spełnia. Polski paralel: polskie zakłady Asseco/Comarch/KGHM wdrażające Industrial AI - rady zakładowe konsultują pod RODO art. 22 + art. 35 DPIA.

Powiązane use case'y

Często zadawane pytania

Które monachijskie koncerny przemysłowego IoT adresuje ten spoke?
Centralni gracze to Siemens AG (od 2016 jedyna centrala koncernu w Monachium-Maxvorstadt) oraz Infineon Technologies AG (Neubiberg, powiat Monachium); obok nich działają inni monachijscy producenci, m.in. Rohde & Schwarz, Krones, Wacker Chemie i Linde Engineering Pullach dla IoT przemysłu procesowego. Polskim odpowiednikiem są firmy OT/IT produkcyjne (Asseco, Comarch, KGHM), które podlegają NIS2 (polska ustawa o krajowym systemie cyberbezpieczeństwa, 2024) oraz unijnemu CRA, a HR-IT dodatkowo UODO.
Czym konkretnie jest Cyber Resilience Act (CRA) i co oznacza dla przemysłowego IoT?
Rozporządzenie UE CRA 2024/2847, w mocy od 11.12.2024. Pełne stosowanie grudzień 2027 (z przejściem od 11.06.2026 dla obowiązków raportowych). Obejmuje wszystkie produkty z elementami cyfrowymi (PDE): od smart-sensorów przez bramki IoT po Industrial Control Systems (ICS). Obowiązki: Conformity Assessment (Self-Assessment + Notified Body w zależności od klasy ryzyka), obowiązek ujawniania podatności (24 h dla aktywnie wykorzystywanych podatności), Software Bill of Materials (SBOM), oznakowanie CE jako dowód zgodności. Dla Siemens/Infineon: każdy podłączony produkt podlega CRA. Decision-Layer dokumentuje conformity-assessment records per wersja produktu z audit-trail. Polski paralel: polscy producenci sprzedający na rynek UE (Asseco, Solaris, polskie filie Tier-1) podlegają temu samemu CRA UE - niezależnie od domicylu polskiego.
Jak IEC 62443 SL-Target jest zmapowany w Decision-Layer?
IEC 62443 (Industrial Communication Networks - Network and System Security) definiuje cztery Security Levels (SL 1-4) dla architektury Zone + Conduit. SL-Target jest obowiązkową decyzją per komponent systemu. Wzorzec Decision-Layer: REGUŁY walidują SL-Target wobec Foundational Requirements (FR 1-7: Identification & Authentication, Use Control, System Integrity, Data Confidentiality, Restricted Data Flow, Timely Response to Events, Resource Availability). AI AUTONOMICZNE klasyfikuje topologię sieci OT + threat-model. Obowiązkowy CZŁOWIEK przy uplifcie SL-Target (np. SL 2 → SL 3) ze względu na ryzyko kosztów re-certyfikacji. Audit-trail per aktualizacja komponentu z eksportem formatu audytu IEC 62443. Polski paralel: polskie zakłady produkcyjne podlegają tym samym standardom IEC 62443 - polski Urząd Nadzoru Technicznego (UDT) nie ma własnej alternatywy.
Co oznacza NIS2 dla monachijskich koncernów przemysłowego IoT?
Dyrektywa UE NIS2 (UE 2022/2555) transponowana w Niemczech przez NIS2UmsuCG od października 2024 (z opóźnieniami w szczegółowych rozporządzeniach). Obejmuje podmioty kluczowe i ważne - Siemens (Energy, Manufacturing) + Infineon (dostawca półprzewodników dla KRITIS) objęci jako podmioty kluczowe/ważne. Obowiązki: środki zarządzania ryzykiem (Art. 21), 24 h obowiązek raportowania znaczących incydentów (Art. 23), środki nadzorcze z karami do 10 mln EUR lub 2% obrotu koncernu. Audit-trail Decision-Layer wspiera raportowanie NIS2 przez automatyczną klasyfikację incydentu + ścieżkę eskalacji do raportowania BSI. Polski paralel: polskie OT/IT produkcyjne (Asseco, Comarch, KGHM Polska Miedź) podlegają NIS2 (transponowanej do polskiej ustawy o krajowym systemie cyberbezpieczeństwa 2024) z raportowaniem do CSIRT GOV/CSIRT NASK + nadzorem ABW dla KRITIS.
Jak EU AI Act Załącznik III jest zmapowany dla Industrial AI?
Predictive Maintenance i Production Optimization Siemensa zwykle nie wpadają wprost pod Załącznik III, ale Industrial Control Systems z komponentami AI mogą być wysokiego ryzyka jako komponenty bezpieczeństwa dyrektyw maszynowych (Załącznik I) - i to jest tu kluczowe rozróżnienie. Wzorzec Decision-Layer spełnia wymagania wysokiego ryzyka architektonicznie: zarządzanie ryzykiem (Art. 9), logowanie (Art. 12), nadzór człowieka (Art. 14) i dokładność/odporność (Art. 15), wraz z conformity-assessment records wg Załącznika VI/VII. Obowiązującym terminem pełnego stosowania obowiązków wysokiego ryzyka EU AI Act jest 02.08.2026, z wstępnie uzgodnionym przesunięciem na 02.12.2027 (Digital Omnibus, maj 2026, przyjęcie w toku). Polskie zakłady podlegają mu bezpośrednio (rozporządzenie obowiązuje wprost), a dane pracownicze z sensorów dodatkowo UODO.

Umów warsztat w Grindelberg

3 dni discovery: Dzień 1 analiza procesów, Dzień 2 mapowanie Decision-Layer, Dzień 3 priorytetyzacja use case'ów.

Umów termin

Discovery workshop poniżej 10.000 EUR. Cena ryczałtowa pilota po warsztacie.

← Wróć do przeglądu: AI Agents Hamburg