IEC 62443 — OT/IT segmentácia v praxi · MP Industrial Solutions

Klient v energetickom sektore, audítor pred dverami: „Ako ďaleko ste s IEC 62443?" Klient odpovedá: „Máme firewall medzi kanceláriou a výrobou." To nie je IEC 62443. To je predpoklad, ktorý zlomí prvý penetration test. Tento článok je o tom, čo skutočne znamená dotiahnuť IEC 62443-3-3 na úroveň, ktorá prejde audit a obstojí pred reálnym útokom.

Prečo to teraz — NIS2 deadline

NIS2 Direktíva (EÚ 2022/2555) sa stala záväznou pre prevádzkovateľov essential services v SR od **17. október 2024** (transpozícia cez Zákon č. 366/2024 Z. z. o kybernetickej bezpečnosti). Pre **operátorov NIS2 (energetika, vodárenstvo, doprava, zdravotníctvo, výroba kritická pre dodávateľský reťazec, digitálna infraštruktúra)** to znamená povinnosť:

Risk management framework podľa uznávaného štandardu — IEC 62443 je defacto referencia pre OT.
Incident reporting do **24 hodín** od detekcie významného incidentu na Národné centrum kybernetickej bezpečnosti.
Penalty do **€10 mil. alebo 2 % obratu**, podľa toho čo je vyššie.

Slovenská realita: NÚKIB-ovský audit prvého roku NIS2 (jeseň 2025) ukázal, že ~70 % prevádzkovateľov essential services nemá implementovaný ani Z/C model (zóny a vedľajšie cesty/conduits), nieto sieťovú segmentáciu, ktorá by zodpovedala SL-1 (Security Level 1).

Z/C model — základ, ktorý sa kreslí ako prvý

IEC 62443-3-2 zavádza koncept **zón (Zones)** a **vedľajších ciest (Conduits)**. Zóna = skupina aktív s rovnakou bezpečnostnou požiadavkou. Conduit = riadený komunikačný kanál medzi zónami.

Typický Z/C model pre výrobnú halu s nadväznosťou na ERP

Z0 — Internet / Untrusted (Wild West). Z1 — Enterprise IT (kancelárie, ERP, e-mail). Trust level Standard. Z2 — DMZ (web servery, VPN endpoint, jump servers). Trust level Stricter. Z3 — Operations Management / Historian / MES (Purdue Level 3). Trust level OT-Standard. Z4 — SCADA + HMI (Purdue Level 2). Trust level OT-Strict. Z5 — PLC + control devices (Purdue Level 1). Trust level OT-Critical. Z6 — Field instrumentation (Purdue Level 0). Trust level OT-Critical.

Conduits: C0↔1 — firewall + IDS. ALL deny by default, výnimky pre HTTP/HTTPS outbound z VPN endpointu. C1↔3 — OT-IT DMZ s reverzným proxy. Údaje historian read-only smerom hore (Z3 → Z1). Žiadne príkazy smerom dolu. C3↔4 — diode alebo unidirectional gateway pre SCADA → MES dáta. Žiadne riadiace príkazy smerom hore. C4↔5 — protocol-aware firewall (Tofino Xenon, Hirschmann Eagle One s DPI pre Modbus/TCP, EtherNet/IP, S7Comm).

Kde je v praxi OT-IT firewall

Typický spor pri implementácii: **kde fyzicky stojí OT-IT firewall**. Tri varianty:

1. **Medzi Purdue L2 (SCADA) a L3 (Historian / MES)** — najčastejšie riešenie. Tu sa nasadzuje hardvérový firewall s OT-špecifickými signatúrami: Fortinet FortiGate 1000F/2000F s OT Threat Intelligence, Cisco Industrial Security Appliance ISA-3000, Hirschmann EAGLE40-7G, alebo Tofino Xenon (Belden) ak je požiadavka „fail-secure". 2. **Medzi L3 a L4 (Enterprise IT)** — niektoré bezpečnostné teamy preferujú túto vrstvu, lebo L3 je už OT-zone. Funguje, ale L3 systémy (Historian) potom dýchajú podľa IT politík a tlačia útok na bázové dáta. 3. **Oboje (defense in depth)** — najlepšia voľba pre SL-2+ úroveň. Dve vrstvy firewallov, rôzni vendor (Fortinet + Palo Alto je častý mix), žiadny single point of failure.

Pravidlo: **conduit medzi zónami s rozdielnou Trust úrovňou MUSÍ mať explicitný kontrolný bod**. Switch s VLAN-mi nie je conduit. Switch je topológia. Conduit potrebuje L3-L7 inspekciu.

SL-1 vs SL-2 vs SL-3 — kde leží hranica

IEC 62443-3-3 definuje 7 foundational requirements (FR), každý s 4 úrovňami (SL-0 až SL-4). Hranica v praxi:

SL-1 — protection against casual or coincidental violation

Minimum, ktoré dnes musí mať akýkoľvek priemyselný systém. Konkrétne:

Identifikácia a autentifikácia užívateľov pre HMI/Engineering Workstation (heslo, žiadne shared účty).
Access control vrstva (RBAC na úrovni HMI — operátor, údržbár, inžinier, admin).
Logging zmien (kto sa prihlásil, čo zmenil, kedy).
Zákaz USB v engineering workstationoch (BIOS-level disable + GPO).
Antivirus / EDR na všetkých Windows OS staniciach v OT zónach.

Náklady na SL-1 pre stredne veľkú výrobu (50-100 OT staníc): **€30-60k** infraštruktúra + **150-300 hodín** engineering.

SL-2 — protection against intentional violation using simple means with low resources

Tu sa cena radikálne mení. Konkrétne SL-2 nad SL-1:

**MFA (multi-factor authentication)** pre privileged accesy. Najčastejšie YubiKey 5 NFC (~€55/kus × 30 ľudí = €1 650) alebo Duo Security (€8/user/mesiac).
**Anti-malware s OT signatúrami** — Nozomi Networks Guardian, Claroty xDome, Dragos Platform, Forescout SilentDefense. Ceny: **€25-80k licencia/rok** podľa počtu monitorovaných node-ov.
**Network segmentácia na úrovni VLAN+ACL+firewall**, nie len VLAN. Microsegmentation v OT je relevantná, ale výpočtovo drahá — typicky sa nasadzuje Cisco TrustSec alebo Forescout eyeSegment.
**Šifrovanie management traffic-u** (HTTPS namiesto HTTP pre HMI web access, SSH namiesto Telnet, žiadne SNMPv2c — len SNMPv3 s authPriv).
**Logging s SIEM integráciou** — všetky firewall logy, IDS alerty, autentifikačné udalosti idú do SIEM. Splunk Enterprise (€2-4/GB/deň), QRadar, Elastic Security, alebo open-source Wazuh + ELK ak je rozpočet napätý.
**Backup / restore procedúry s offline kópiami.** Imm copy, vzduchová medzera, mesačné testy obnovy.

Náklady na SL-2: **€120-280k** infraštruktúra + **500-1 000 hodín** engineering, plus **15-25 % ročne** na maintenance + threat intelligence subscription.

SL-3 — protection against intentional violation using sophisticated means with moderate resources

Tu sa pridáva:

**NIDS s deep packet inspection** pre OT protokoly (Modbus TCP, EtherNet/IP, S7Comm, OPC UA, DNP3) — Nozomi alebo Claroty v pokročilom režime.
**Active hardening** — port disable na nepoužitých interfaceoch, certificate-based device authentication, application whitelisting (Microsoft AppLocker, Carbon Black Protection).
**Air-gapped engineering networks** — engineering laptop nie je nikdy pripojený k OT a IT zároveň.
**Quarterly red team exercises.**
**Detailne validovaný change management process** — žiadna zmena PLC firmware bez 3-stage approval (engineering, operations, security).

Náklady na SL-3 sú už diametrálne iné — **€500k-1,5M** infraštruktúra + **2 000+ hodín** engineering + dedicated OT-security team (3-5 FTE). Toto je úroveň, ktorú dnes spĺňajú primárne energetika (jadrové elektrárne, prenosové sústavy), kritická voda, niektoré veľké chemické závody.

NERC CIP — porovnanie pre energetické klientov

Pre prevádzkovateľov v energetike (a najmä prenosové sústavy, plynové siete) je relevantný aj americký NERC CIP (Critical Infrastructure Protection). Rozdiel oproti IEC 62443:

**NERC CIP-007** (System Security Management): porovnateľný s IEC 62443-3-3 FR3 + FR4.
**NERC CIP-005** (Electronic Security Perimeter): definuje „Electronic Security Perimeter" (ESP), ktorá je striktnejšia než IEC 62443 zone — vyžaduje **explicitný inventory každého access point cez ESP** a annual review.
**NERC CIP-010** (Configuration Change Management and Vulnerability Assessments): vyžaduje baseline configuration each control device, monthly vulnerability assessment. IEC 62443 toto pokrýva v FR2.
**NERC CIP-008** (Incident Reporting): 1-hodinový reporting window pre NERC vs 24-hodinový pre NIS2.

Klienti, ktorí majú aj NERC CIP aj NIS2 expozíciu (typicky veľké pan-európske utility), zvyčajne mapujú obe normy na **jeden interný framework**, ktorý plní vyššie z dvoch požiadaviek.

Deep packet inspection Modbus TCP — čo to reálne robí

Modbus TCP je SCADA protokol z roku 1979 (Modbus RTU) s TCP wrapperom z roku 1999. **Žiadna autentifikácia, žiadne šifrovanie.** Akýkoľvek device na sieti, ktorý vidí port 502, môže zaslať Write Single Coil (function code 5) a flipnúť výstup.

Deep packet inspection (DPI) firewall, napríklad Tofino Xenon alebo Fortinet OT-aware, robí:

**Read-only vs Read-Write rozlíšenie**: povoľuje function code 1-4 (read coils, read registers), zakazuje function code 5-6, 15-16 (write single/multiple coil/register) z neautorizovaných zdrojov.
**Function code filtering**: niektoré funkčné kódy (8 — diagnostic, 17 — report slave ID) sa zakazujú úplne mimo údržbárskeho okna.
**Address whitelisting**: SCADA → PLC adresy 1-247 sú povolené, mimo rozsahu = drop + alert.
**Rate limiting**: > 10 write operácií za sekundu z jednej IP = anomália, alert.

Reálna detekcia útoku v Modbus TCP cez DPI: priemerne **80-95 %** základných útokov (replay, command injection, address scanning). Sophisticated útoky (Stuxnet-like) potrebujú **integritu konfigurácie PLC** (HMI sees same value as PLC sends), čo je úloha pre NIDS (Nozomi alebo Claroty), nie pre samotný firewall.

„Patches" v OT prostredí — nečakajte mesačný Patch Tuesday

V IT je norma mesačný patch cycle. V OT je norma **2-4 patch windows ročne**, typicky:

**Jarná údržba** (marec-apríl): plánovaná outage 5-10 dní, plné patchovanie OS, PLC firmware update, SCADA server upgrade.
**Jesenná údržba** (september-október): rovnaký scope.
**Mimoriadne okno pri critical CVE** (CVSS 9+) na produkčne dostupných service-och, vyžadujúce 24-72 hodinový response.

Patch management v OT vyžaduje:

**Test bed / digital twin** — patche sa najprv testujú na duplicitnom hardvéri alebo simulátore (Mimic Simulation Software, Codesys SoftPLC), nikdy v live prevádzke.
**Compensating controls** medzi patchovaním — ak nie je možný patch (vendor end-of-life, validovaný systém), kompenzácia firewall pravidlami, dodatočným IDS sledovaním, alebo network isolation.
**Approved baseline** — patch sa rozšíri len ak vyšiel approved cez change management board.

Praktický kroky na prvých 90 dní pre NIS2-povinného operátora

Ak ste v pozícii, kde audit môže prísť do 6-12 mesiacov a IEC 62443 je len výraz na PowerPointe:

1. **Inventory assets** (mesiac 1). Pasívny scan OT siete — Nozomi Guardian Trial, Claroty xDome PoC, alebo open-source GRASSMARLIN/Wireshark + custom skripty. Cieľ: zoznam každého PLC, HMI, switch, prevod, drive, robot — IP, MAC, firmware verzia, vendor. 2. **Draft Z/C model** (mesiac 1-2). Workshop s OT inžiniermi + IT security + management. Output: jeden diagram na A1, ktorý sa lepí na stenu serverovne. 3. **Risk assessment podľa IEC 62443-3-2** (mesiac 2). Tabuľka: zone × threat × likelihood × consequence × SL target. 4. **Prioritné conduit-y na implementáciu** (mesiac 3). Typicky najvyššie skóre dostáva C3↔4 (SCADA-MES) a C1↔3 (IT-OT DMZ). Najmenej často C5↔6 (PLC-field). 5. **Vendor selection + PoC** (mesiac 3). Tri vendoři, dve týždne každý v laboratórnom prostredí, vyber based on protocol coverage + alerting accuracy + price.

Po 90 dňoch máte audit-defenzívny dokumentačný balíček + roadmap na implementáciu, ktorá trvá ďalších 12-18 mesiacov pre SL-2 / 24-36 mesiacov pre SL-3.

Najčastejšie omyly v slovenských implementáciách

**„Máme firewall."** Pýtajte sa: je v ňom OT-aware signatúra? Inšpekcia Modbus/S7Comm? Logs idú do SIEMu? Ak nie, máte L3 paketový filter, nie security boundary.
**„VLAN-ami sme všetko oddelili."** VLAN bez ACL alebo bez L3 firewall medzi je iba broadcast separation. Útočník v rovnakom switch-i s VLAN hopping (DTP/802.1Q double tagging) preskočí cez 30 sekúnd.
**„PLC nie sú na internete."** Po 6 mesiacoch sme pri každom audite našli aspoň jedno PLC, ktoré bolo cez nezdokumentovaný 4G modem (priamo do panelu na rýchle „update z domu") dosažiteľné cez Shodan.
**„Vendor robí update vzdialene cez TeamViewer."** TeamViewer / AnyDesk / VNC v OT zónach bez jump host-u a MFA je vstupný bod pre supply chain attack. Replace za bastion host s recording (Wallix, BeyondTrust, alebo open-source Apache Guacamole + audit log).
**„Nemáme čo chrániť, sme malá firma."** NIS2 sa vzťahuje aj na **medium entity** v dodávateľskom reťazci essential services. Ak ste dodávateľ pre veľký utility, ich audit prinesie audit aj k vám.

---

*Píšeme to ako technický partner, ktorý za posledných 8 rokov implementoval OT segmentáciu v energetike, vodárenstve a výrobe. Ak vás čaká NIS2 audit alebo IEC 62443 implementácia, prvá konzultácia (90 minút) prejde váš Z/C model, súčasné conduit-y a roadmap, a dá vám realistickú odhad CAPEX-u a engineering hodín pre SL-1 alebo SL-2 podľa vášho profilu rizika.*

Prečo to teraz — NIS2 deadline

Risk management framework podľa uznávaného štandardu — IEC 62443 je defacto referencia pre OT.
Incident reporting do **24 hodín** od detekcie významného incidentu na Národné centrum kybernetickej bezpečnosti.
Penalty do **€10 mil. alebo 2 % obratu**, podľa toho čo je vyššie.

Z/C model — základ, ktorý sa kreslí ako prvý

Typický Z/C model pre výrobnú halu s nadväznosťou na ERP

Kde je v praxi OT-IT firewall

Typický spor pri implementácii: **kde fyzicky stojí OT-IT firewall**. Tri varianty:

Pravidlo: **conduit medzi zónami s rozdielnou Trust úrovňou MUSÍ mať explicitný kontrolný bod**. Switch s VLAN-mi nie je conduit. Switch je topológia. Conduit potrebuje L3-L7 inspekciu.

SL-1 vs SL-2 vs SL-3 — kde leží hranica

IEC 62443-3-3 definuje 7 foundational requirements (FR), každý s 4 úrovňami (SL-0 až SL-4). Hranica v praxi:

SL-1 — protection against casual or coincidental violation

Minimum, ktoré dnes musí mať akýkoľvek priemyselný systém. Konkrétne:

Identifikácia a autentifikácia užívateľov pre HMI/Engineering Workstation (heslo, žiadne shared účty).
Access control vrstva (RBAC na úrovni HMI — operátor, údržbár, inžinier, admin).
Logging zmien (kto sa prihlásil, čo zmenil, kedy).
Zákaz USB v engineering workstationoch (BIOS-level disable + GPO).
Antivirus / EDR na všetkých Windows OS staniciach v OT zónach.

Náklady na SL-1 pre stredne veľkú výrobu (50-100 OT staníc): **€30-60k** infraštruktúra + **150-300 hodín** engineering.

SL-2 — protection against intentional violation using simple means with low resources

Tu sa cena radikálne mení. Konkrétne SL-2 nad SL-1:

**MFA (multi-factor authentication)** pre privileged accesy. Najčastejšie YubiKey 5 NFC (~€55/kus × 30 ľudí = €1 650) alebo Duo Security (€8/user/mesiac).
**Anti-malware s OT signatúrami** — Nozomi Networks Guardian, Claroty xDome, Dragos Platform, Forescout SilentDefense. Ceny: **€25-80k licencia/rok** podľa počtu monitorovaných node-ov.
**Network segmentácia na úrovni VLAN+ACL+firewall**, nie len VLAN. Microsegmentation v OT je relevantná, ale výpočtovo drahá — typicky sa nasadzuje Cisco TrustSec alebo Forescout eyeSegment.
**Šifrovanie management traffic-u** (HTTPS namiesto HTTP pre HMI web access, SSH namiesto Telnet, žiadne SNMPv2c — len SNMPv3 s authPriv).
**Logging s SIEM integráciou** — všetky firewall logy, IDS alerty, autentifikačné udalosti idú do SIEM. Splunk Enterprise (€2-4/GB/deň), QRadar, Elastic Security, alebo open-source Wazuh + ELK ak je rozpočet napätý.
**Backup / restore procedúry s offline kópiami.** Imm copy, vzduchová medzera, mesačné testy obnovy.

Náklady na SL-2: **€120-280k** infraštruktúra + **500-1 000 hodín** engineering, plus **15-25 % ročne** na maintenance + threat intelligence subscription.

SL-3 — protection against intentional violation using sophisticated means with moderate resources

Tu sa pridáva:

**NIDS s deep packet inspection** pre OT protokoly (Modbus TCP, EtherNet/IP, S7Comm, OPC UA, DNP3) — Nozomi alebo Claroty v pokročilom režime.
**Active hardening** — port disable na nepoužitých interfaceoch, certificate-based device authentication, application whitelisting (Microsoft AppLocker, Carbon Black Protection).
**Air-gapped engineering networks** — engineering laptop nie je nikdy pripojený k OT a IT zároveň.
**Quarterly red team exercises.**
**Detailne validovaný change management process** — žiadna zmena PLC firmware bez 3-stage approval (engineering, operations, security).

NERC CIP — porovnanie pre energetické klientov

Pre prevádzkovateľov v energetike (a najmä prenosové sústavy, plynové siete) je relevantný aj americký NERC CIP (Critical Infrastructure Protection). Rozdiel oproti IEC 62443:

**NERC CIP-007** (System Security Management): porovnateľný s IEC 62443-3-3 FR3 + FR4.
**NERC CIP-005** (Electronic Security Perimeter): definuje „Electronic Security Perimeter" (ESP), ktorá je striktnejšia než IEC 62443 zone — vyžaduje **explicitný inventory každého access point cez ESP** a annual review.
**NERC CIP-010** (Configuration Change Management and Vulnerability Assessments): vyžaduje baseline configuration each control device, monthly vulnerability assessment. IEC 62443 toto pokrýva v FR2.
**NERC CIP-008** (Incident Reporting): 1-hodinový reporting window pre NERC vs 24-hodinový pre NIS2.

Klienti, ktorí majú aj NERC CIP aj NIS2 expozíciu (typicky veľké pan-európske utility), zvyčajne mapujú obe normy na **jeden interný framework**, ktorý plní vyššie z dvoch požiadaviek.

Deep packet inspection Modbus TCP — čo to reálne robí

Deep packet inspection (DPI) firewall, napríklad Tofino Xenon alebo Fortinet OT-aware, robí:

**Read-only vs Read-Write rozlíšenie**: povoľuje function code 1-4 (read coils, read registers), zakazuje function code 5-6, 15-16 (write single/multiple coil/register) z neautorizovaných zdrojov.
**Function code filtering**: niektoré funkčné kódy (8 — diagnostic, 17 — report slave ID) sa zakazujú úplne mimo údržbárskeho okna.
**Address whitelisting**: SCADA → PLC adresy 1-247 sú povolené, mimo rozsahu = drop + alert.
**Rate limiting**: > 10 write operácií za sekundu z jednej IP = anomália, alert.

„Patches" v OT prostredí — nečakajte mesačný Patch Tuesday

V IT je norma mesačný patch cycle. V OT je norma **2-4 patch windows ročne**, typicky:

**Jarná údržba** (marec-apríl): plánovaná outage 5-10 dní, plné patchovanie OS, PLC firmware update, SCADA server upgrade.
**Jesenná údržba** (september-október): rovnaký scope.
**Mimoriadne okno pri critical CVE** (CVSS 9+) na produkčne dostupných service-och, vyžadujúce 24-72 hodinový response.

Patch management v OT vyžaduje:

**Test bed / digital twin** — patche sa najprv testujú na duplicitnom hardvéri alebo simulátore (Mimic Simulation Software, Codesys SoftPLC), nikdy v live prevádzke.
**Compensating controls** medzi patchovaním — ak nie je možný patch (vendor end-of-life, validovaný systém), kompenzácia firewall pravidlami, dodatočným IDS sledovaním, alebo network isolation.
**Approved baseline** — patch sa rozšíri len ak vyšiel approved cez change management board.

Praktický kroky na prvých 90 dní pre NIS2-povinného operátora

Ak ste v pozícii, kde audit môže prísť do 6-12 mesiacov a IEC 62443 je len výraz na PowerPointe:

Po 90 dňoch máte audit-defenzívny dokumentačný balíček + roadmap na implementáciu, ktorá trvá ďalších 12-18 mesiacov pre SL-2 / 24-36 mesiacov pre SL-3.

Najčastejšie omyly v slovenských implementáciách

**„Máme firewall."** Pýtajte sa: je v ňom OT-aware signatúra? Inšpekcia Modbus/S7Comm? Logs idú do SIEMu? Ak nie, máte L3 paketový filter, nie security boundary.
**„VLAN-ami sme všetko oddelili."** VLAN bez ACL alebo bez L3 firewall medzi je iba broadcast separation. Útočník v rovnakom switch-i s VLAN hopping (DTP/802.1Q double tagging) preskočí cez 30 sekúnd.
**„PLC nie sú na internete."** Po 6 mesiacoch sme pri každom audite našli aspoň jedno PLC, ktoré bolo cez nezdokumentovaný 4G modem (priamo do panelu na rýchle „update z domu") dosažiteľné cez Shodan.
**„Vendor robí update vzdialene cez TeamViewer."** TeamViewer / AnyDesk / VNC v OT zónach bez jump host-u a MFA je vstupný bod pre supply chain attack. Replace za bastion host s recording (Wallix, BeyondTrust, alebo open-source Apache Guacamole + audit log).
**„Nemáme čo chrániť, sme malá firma."** NIS2 sa vzťahuje aj na **medium entity** v dodávateľskom reťazci essential services. Ak ste dodávateľ pre veľký utility, ich audit prinesie audit aj k vám.

---

Šesť pilierov,jedna dodávka.

Priemysel & strojárstvo

Elektroinštalácie & energetika

Automatizácia & riadenie

Datacentrá & IT infraštruktúra

Software, web & cloud

Inteligentné budovy & domácnosti

IEC 62443 — OT/IT segmentácia v praxi

Prečo to teraz — NIS2 deadline

Z/C model — základ, ktorý sa kreslí ako prvý

Typický Z/C model pre výrobnú halu s nadväznosťou na ERP

Kde je v praxi OT-IT firewall

SL-1 vs SL-2 vs SL-3 — kde leží hranica

SL-1 — protection against casual or coincidental violation

SL-2 — protection against intentional violation using simple means with low resources

SL-3 — protection against intentional violation using sophisticated means with moderate resources

NERC CIP — porovnanie pre energetické klientov

Deep packet inspection Modbus TCP — čo to reálne robí

„Patches" v OT prostredí — nečakajte mesačný Patch Tuesday

Praktický kroky na prvých 90 dní pre NIS2-povinného operátora

Najčastejšie omyly v slovenských implementáciách

IEC 62443 — OT/IT segmentácia v praxi

Prečo to teraz — NIS2 deadline

Z/C model — základ, ktorý sa kreslí ako prvý

Typický Z/C model pre výrobnú halu s nadväznosťou na ERP

Kde je v praxi OT-IT firewall

SL-1 vs SL-2 vs SL-3 — kde leží hranica

SL-1 — protection against casual or coincidental violation

SL-2 — protection against intentional violation using simple means with low resources

SL-3 — protection against intentional violation using sophisticated means with moderate resources

NERC CIP — porovnanie pre energetické klientov

Deep packet inspection Modbus TCP — čo to reálne robí

„Patches" v OT prostredí — nečakajte mesačný Patch Tuesday

Praktický kroky na prvých 90 dní pre NIS2-povinného operátora

Najčastejšie omyly v slovenských implementáciách