NIS2 – o czym trzeba pamiętać, by chronić systemy sterowania

Sektor wod-kan – jako infrastruktura o wysokiej krytyczności – podlega szczególnie rygorystycznym wymogom w zakresie monitorowania, raportowania i nadzoru nad systemami sterowania (OT/SCADA/PLC). Niniejszy artykuł wyjaśnia, co dokładnie ustawa nakazuje, kto ponosi odpowiedzialność i jak w praktyce wyglądają obowiązki operacyjne przedsiębiorstwa wodociągowego.

Przedsiębiorstwo wod-kan – podmiot kluczowy

Niemal każde przedsiębiorstwo wodociągowo-kanalizacyjne zostało zakwalifikowane jako podmiot kluczowy w rozumieniu nowej ustawy. Wynika to z faktu, że dostawa wody pitnej oraz odprowadzanie ścieków są klasyfikowane jako usługi o znaczeniu strategicznym dla społeczeństwa i państwa. Konsekwencją tego podejścia jest nałożenie na przedsiębiorstwa wod-kan pełnego zakresu obowiązków ustawy, a są to m.in.:

• konieczność wdrożenia systemu zarządzania ryzykiem cyberbezpieczeństwa,
• obowiązek raportowania incydentów do krajowych zespołów CSIRT,
• konieczność umożliwienia urzędnikowi monitorującemu przeprowadzenia kontroli,
• obowiązek dokonania audytu zewnętrznego co 2 lata,
• konieczność przeszkolenia kadry zarządzającej w zakresie cyberbezpieczeństwa.

Obowiązki zarządzania ryzykiem – co to znaczy dla sterowników PLC i kontrolerów PAC?

Artykuły 8 i następne nowelizacji nakładają obowiązek wdrożenia środków technicznych i organizacyjnych, które muszą obejmować infrastrukturę OT – a więc sterowniki PLC, kontrolery PAC, systemy SCADA oraz sieci przemysłowe w stacjach uzdatniania wody, pompowniach i oczyszczalniach ścieków.

Monitorowanie i wykrywanie incydentów

Przedsiębiorstwo musi posiadać systemy pozwalające na bieżące śledzenie pracy infrastruktury pod kątem anomalii. W praktyce oznacza to instalację sond OT lub systemów klasy SIEM, które słuchają ruchu sieciowego sterowników i automatycznie generują alerty.

Bezpieczeństwo łańcucha dostaw

Ustawa nakłada obowiązek weryfikacji bezpieczeństwa produktów i usług ICT – a więc również sterowników PLC, kontrolerów PAC, systemów SCADA i oprogramowania inżynierskiego. Szczególne znaczenie ma tu przepis dotyczący Dostawców wysokiego ryzyka (HRV). Jeśli urządzenia sterujące w stacji uzdatniania wody lub przepompowni pochodzą od dostawcy uznanego za Dostawcę wysokiego ryzyka, podmiot ma obowiązek wycofać je z użytkowania – zazwyczaj w terminie do 7 lat od wydania decyzji.

Co musi być monitorowane – kluczowe dane z systemów OT

Z punktu widzenia wymogów KSC/NIS2, monitoring urządzeń sterujących w infrastrukturze wod-kan powinien obejmować następujące kategorie danych:

Zdarzenia dotyczące logiki i kodu sterownika

• Zmiana trybu pracy PLC (Run/Stop/Term) – każde przełączenie, zdalne lub fizyczne.
• Upload/Download programu – kto i kiedy wgrał lub pobrał kod ze sterownika.
• Force (wymuszenia na I/O) – zamrożenie czujnika (np. poziomu wody w zbiorniku) jest typową taktyką ataku, maskującą rzeczywisty stan systemu.

Dane o dostępie i autoryzacji

• Nieudane próby logowania do panelu administracyjnego PLC lub serwera WWW sterownika.
• Sesje komunikacyjne – z jakiego adresu IP i jakim protokołem nawiązano połączenie.
• Połączenia z adresów spoza zaufanej strefy inżynierskiej – każda taka sesja jest potencjalnym incydentem.

Status zdrowia i integralności sprzętu

• Wersja firmware – kluczowa do oceny podatności CVE (Common Vulnerabilities and Exposures to międzynarodowy, ustandaryzowany system identyfikacji i katalogowania znanych podatności i luk bezpieczeństwa) w oprogramowaniu oraz sprzęcie IT i możliwości wdrożenia poprawek.
• Suma kontrolna projektu (Checksum) – niezgodność sumy kontrolnej sygnalizuje nieautoryzowaną zmianę w pamięci sterownika.
• Błędy modułów I/O – odłączenie fizycznych modułów lub awaria magistrali mogą świadczyć o sabotażu.
• Użycie procesora i pamięci – nagły skok obciążenia może oznaczać atak typu DoS (Denial of Service).

Anomalie w ruchu sieciowym

• Nietypowe komendy – np. komenda Zmień adres IP lub Formatuj kartę pamięci pojawiająca się podczas normalnej pracy.
• Jakakolwiek komunikacja PLC z adresami zewnętrznymi (Internet) – jest to incydent krytyczny wymagający natychmiastowej reakcji.

Raportowanie incydentów – obowiązkowe terminy

Ustawa nie pozostawia swobody w kwestii czasu reakcji. W przypadku zakłócenia pracy systemu sterowania wodociągów (np. próby przejęcia PLC, zatrzymania pomp przez nieautoryzowaną komendę) obowiązuje ścisły harmonogram:

• 24 godziny – Wczesne ostrzeżenie do CSIRT przez system S46 – krótka informacja, że status systemu jest nienormalny i może to być incydent zagrażający bezpieczeństwu.
• 72 godziny – Pełne zgłoszenie incydentu – szczegółowe dane techniczne: co się stało, jakie są skutki dla ciągłości dostaw wody, jakie działania podjęto (np. izolacja segmentu sieci, przejście na sterowanie ręczne).
• 1 miesiąc – Raport końcowy (Post-Mortem) – analiza przyczyn incydentu, wnioski i zastosowane środki zaradcze zapobiegające nawrotowi.

Obowiązek raportowania dotyczy każdego zdarzenia, które ma lub może mieć istotny wpływ na ciągłość usługi, a więc m.in. nagłe zatrzymanie pomp, niewyjaśnione zmiany parametrów procesowych (np.: chlorowania) czy utrata komunikacji ze stacją terenową.

Harmonogram raportowania – przegląd wszystkich trybów

Typ raportu	Częstotliwość	Cel i zakres
Wczesne ostrzeżenie (incydent)	24 godziny	Pierwsze zgłoszenie do CSIRT przez S46 – informacja o zakłóceniu pracy urządzenia sterującego PLC/SCADA.
Pełne zgłoszenie incydentu	72 godziny	Szczegółowy raport z danymi technicznymi: co się stało, jakie skutki czy sytuacja jest opanowana.
Raport końcowy (Post-Mortem)	Do 1 miesiąca	Analiza przyczyn incydentu, podjęte środki zaradcze, wnioski.
Przegląd logów (SOC/OT)	Codziennie (auto)	Wykrywanie prób włamań na sterowniki PLC w czasie rzeczywistym.
Raport podatności (Vulnerability)	Raz w miesiącu	Sprawdzenie nowych poprawek firmware dla sterowników.
Inwentaryzacja zasobów	Raz na kwartał	Potwierdzenie, że w sieci OT nie pojawiły się nieautoryzowane urządzenia.
Audyt bezpieczeństwa zewnętrzny	Co 2 lata	Pełna ocena stanu sterowników PLC, konfiguracji i luk – wymóg ustawowy.

Uprawnienia organów kontrolnych

Urzędnik monitorujący

Nowelizacja wprowadza instytucję urzędnika monitorującego, który ma prawo:

• uzyskać dostęp do informacji o funkcjonowaniu systemów sterowania w zakładzie wodociągowym,
• monitorować na miejscu, czy podmiot wywiązuje się z obowiązków bezpieczeństwa,
• nakazać przeprowadzenie skanowań i testów bezpieczeństwa urządzeń pracujących w sieci OT,
• zażądać raportu ze statusu urządzeń sterujących w odpowiedzi na pojawienie się nowej groźnej luki CVE u konkretnego producenta (np. Emerson, Siemens, Schneider Electric).

Polecenia zabezpieczające (Art. 72a)

W przypadku wystąpienia incydentu krytycznego, Minister Cyfryzacji może wydać polecenie zabezpieczające, które może nakazać m.in. odłączenie konkretnych sterowników od sieci, zmianę konfiguracji systemów SCADA lub wdrożenie określonego mechanizmu monitorującego.

Rekomendacje Pełnomocnika Rządu

Pełnomocnik Rządu ds. Cyberbezpieczeństwa może wydawać wiążące rekomendacje dotyczące stosowania konkretnych urządzeń lub konfiguracji systemów sterujących w infrastrukturze krytycznej, w tym wodociągowej.

Kto odpowiada? – struktura odpowiedzialności w wod-kan

Odpowiedzialność za wypełnienie obowiązków wynikających z nowelizacji KSC spoczywa na kierownictwie przedsiębiorstwa. Zakres tej odpowiedzialności zależy od formy prawno-organizacyjnej podmiotu:

Forma organizacyjna	Zarządca (odpowiedzialny)	Zakres odpowiedzialności
Spółka z o.o. / S.A.	Zarząd Spółki (Prezes)	Odpowiedzialność finansowa osobista – kara do 300% miesięcznego wynagrodzenia.
Samorządowy Zakład Budżetowy	Dyrektor Zakładu	Operacyjna odpowiedzialność za zgodność z KSC, nadzór: Wójt/Burmistrz/Prezydent.
Jednostka Budżetowa (Urząd)	Wójt / Burmistrz / Prezydent	Bezpośrednia odpowiedzialność jako kierownik jednostki.

Zarządca – niezależnie od formy organizacyjnej – nie musi osobiście znać się na programowaniu sterowników, ale musi: zatwierdzić dokumenty zarządzania ryzykiem, zapewnić budżet na monitoring OT, przejść obowiązkowe szkolenie z cyberbezpieczeństwa oraz ponosić odpowiedzialność za terminowe raportowanie incydentów. Brak raportowania incydentu w wymaganym terminie lub niedopełnienie obowiązków bezpieczeństwa może skutkować karą finansową dla zarządcy w wysokości do 300% jego miesięcznego wynagrodzenia.

Architektura monitorowania – jak to wdrożyć w praktyce?

Spełnienie wymogów ustawy nie polega na ręcznym sporządzaniu raportów, ale na wdrożeniu automatycznej infrastruktury monitorowania sieci OT. Typowy, rekomendowany stos techniczny dla zakładu wod-kan obejmuje:

Sondy OT / systemy detekcji anomalii

Pasywne czujniki podłączane do sieci przemysłowej, które bez ingerencji w pracę sterowników analizują ruch sieciowy i generują alerty przy wykryciu anomalii.

System SIEM

Centralne repozytorium logów, które agreguje dane ze sond OT, systemów IT oraz firewalli i umożliwia automatyczne tworzenie raportów wymaganych przez urzędnika monitorującego.

Raportowanie do systemu S46

System S46 to platforma elektroniczna wskazana przez ustawę do przekazywania oficjalnych zgłoszeń incydentów do CSIRT. Dostęp do systemu musi być skonfigurowany z wyprzedzeniem – nie w chwili incydentu.

Przykładowe pola raportu incydentu (system S46)

Pole	Przykładowa treść (zakład wodociągowy)
Typ zasobu	Urządzenie sterujące (PLC) / Infrastruktura OT – stacja uzdatniania wody
Rodzaj incydentu	Nieautoryzowana próba zmiany oprogramowania sterującego dawkowaniem chloru
Skala wpływu	Wysoka – możliwe zagrożenie dla jakości wody pitnej lub ciągłości dostaw
Podjęte działania	Izolacja segmentu sieci OT, przejście na sterowanie ręczne, powiadomienie służb
Status urządzenia	Zablokowane do czasu przeprowadzenia analizy powłamaniowej (forensics)

System automatycznego raportowana pracy PLC

Wykorzystanie narzędzi pozwalających w sposób automatyczny na generowanie i pobieranie raportu pracy urządzenia. W przypadku systemów sterowania Emerson takim rozwiązaniem jest PACDiagnostic.

Lista kontrolna dla zarządu – pierwsze kroki

Dla przedsiębiorstw wodociągowo-kanalizacyjnych rozpoczynających dostosowanie do wymogów nowelizacji KSC, rekomenduje się następującą kolejność działań:

• Zidentyfikuj wszystkie urządzenia OT (PLC, SCADA, RTU) w sieci zakładu – stwórz inwentarz zasobów.
  
• Oceń wersje firmware sterowników i sprawdź je pod kątem znanych podatności (CVE).
  
• Wdróż pasywne monitorowanie sieci OT – zainstaluj sondę lub skonfiguruj SIEM.
  
• Utwórz i wdróż procedury reagowania na incydenty – w tym schemat 24h/72h/1 miesiąc.
  
• Skonfiguruj dostęp do systemu S46 i przetestuj proces zgłaszania incydentu.
  
• Przeprowadź szkolenie dla zarządu z zakresu cyberbezpieczeństwa OT (wymóg ustawowy).
  
• Powołaj Pełnomocnika ds. Cyberbezpieczeństwa lub nawiąż współpracę z zewnętrznym doradcą.
  
• Zaplanuj audyt zewnętrzny – wymóg co 2 lata, warto przeprowadzić audyt pilotażowy wcześniej.
  
• Przeanalizuj łańcuch dostaw urządzeń OT pod kątem potencjalnych Dostawców Wysokiego Ryzyka.

Podsumowanie

Nowelizacja KSC wdrażająca NIS2 to dla sektora wod-kan nie tylko formalny obowiązek prawny, ale przede wszystkim impuls do realnego wzmocnienia odporności infrastruktury krytycznej. Sterowniki PLC i systemy SCADA zarządzające dostawą wody pitnej i odprowadzaniem ścieków stają się częstym celem ataków cybernetycznych na infrastrukturę krytyczną. Ustawa poprzez mechanizm raportowania incydentów, uprawnienia urzędnika monitorującego i obowiązkowe audyty tworzy ramy prawne wymuszające pełną widoczność tego, co dzieje się w sieci OT.

Zarządcy przedsiębiorstw wod-kan muszą pamiętać, że odpowiedzialność za cyberbezpieczeństwo zakładu nie spoczywa na dziale IT, ale na nich osobiście. Zgodnie z nowymi przepisami: raportowanie ma następować natychmiastowo, gdy dzieje się coś złego (24h) lub gdy wypada termin audytu (2 lata). Wdrożone systemy monitorujące powinny działać w trybie 24/7/365 – tak, aby w razie kontroli lub ataku mieć gotowe dane do przekazania służbom państwowym.