V praxi se navrhne segmentace (kancelář, servery, výroba/OT), nastaví se pravidla průchodů pouze pro nutné služby, zřídí se brána/jump‑host do výrobních zón a zapne se logování připojení. Pokud máte CNC/legacy, které nejde upgradovat, použijí se kompenzační opatření: striktní oddělení od zbytku sítě, dočasné schválené přístupy s MFA, whitelist potřebných komunikací, pravidla manipulace (USB/porty) a pečlivá evidence zásahů. Tyto kompenzace se popíšou v Prohlášení shody i s důvodem, proč upgrade není možný.