Sklep
Automatyka w praktyce > PACDiagnostic – automatyczne raportowanie i monitoring sterowników PLC w zgodności z KSC / NIS2 dla sektora wodociągowo-kanalizacyjnego
Automatyka w praktyce

PACDiagnostic – automatyczne raportowanie i monitoring sterowników PLC w zgodności z KSC / NIS2 dla sektora wodociągowo-kanalizacyjnego

Kontakt w sprawie artykułu: Piotr Adamczyk - 2026-05-21

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca dyrektywę NIS2, stawia przed przedsiębiorstwami wodociągowo-kanalizacyjnymi konkretne wymagania dotyczące systemów sterowania. Każdy zakład wod-kan – jako podmiot kluczowy infrastruktury krytycznej – musi wdrożyć monitoring systemów OT, prowadzić logi zdarzeń, zarządzać podatnościami urządzeń oraz raportować incydenty w ścisłych terminach ustawowych.

Obowiązki te dotyczą bezpośrednio sterowników PLC, kontrolerów PAC i systemów SCADA pracujących w stacjach uzdatniania wody, przepompowniach czy oczyszczalniach ścieków. Ustawa wprost wymaga monitorowania posiadanych urządzeń, a za brak raportowania incydentu w terminie grożą sankcje finansowe sięgające 300% miesięcznego wynagrodzenia zarządcy.

Czym jest PACDiagnostic?

PACDiagnostic to dedykowane rozwiązanie, które generuje raporty dotyczące pracy sterowników PLC i kontrolerów PAC których producentem jest Emerson (dawniej GE Fanuc / GE Intelligent Platforms). Urządzenie łączy się ze sterownikami PLC i kontrolerami PAC w sposób automatyczny i pobiera z nich kluczowe dane diagnostyczne, przygotowując na ich podstawie czytelnie sformatowany raport w postaci pliki DOCX, który generowany jest na żądanie lub cyklicznie.

Urządzenie pozwala monitorować i automatycznie raportować pracę następujących serii urządzeń sterujących: VersaMax Micro, VersaMax, 90-30 oraz PACSystems CPE100, RSTi-EP CPE200, RX3i i RX7i.

arrow

Dowiedz się więcej o rozwiązaniu PACDiagnostic.

Co monitoruje PACDiagnostic – dane wymagane przez KSC/NIS2

Ustawa wymaga monitorowania konkretnych kategorii danych z systemów OT. Poniżej zamieszczamy zestawienie wymagań ustawowych i odpowiadających im funkcji PACDiagnostic:

Wymóg KSC / NIS2Jak odpowiada PACDiagnosticPodstawa prawna
Monitorowanie i wykrywanie incydentówAutomatyczne raporty pracy PLC/PAC generowane cyklicznie lub po wykryciu błędu krytycznego; monitoring aktywnych połączeń i anomalii sieciowychMonitorowanie systemów (art. 8 KSC)
Wersja firmware i podatności CVERaport wersji firmware wszystkich monitorowanych sterowników; identyfikacja nieaktualnych wersjiZarządzanie podatnościami
Upload/Download programuRejestr akcji wykonanych na sterowniku – kto i kiedy wgrał lub pobrał kodRejestr zdarzeń / ślad audytowy
Nieudane próby logowania / historia sesjiHistoria logowań do sterownika wraz z protokołem dostępu (SRTP, Modbus TCP, EGD)Kontrola dostępu
Wymuszenia (Force) na I/OWykrywanie aktywnych wymuszeń sygnałów mogących maskować stan procesuWykrywanie incydentów
Analiza ekspozycji sieciowejLista otwartych portów, aktywnych połączeń, dostępnych usług – ocena powierzchni atakuSegmentacja sieci / hardening OT
Status integralności sterownikaKody błędów PLC i I/O z automatyczną interpretacją i wskazówkami naprawczymiCiągłość działania infrastruktury
Raportowanie do CSIRT (S46)Automatyczne raporty DOCX gotowe do załączenia, do zgłoszenia w ciągu 24h/72hObowiązek raportowania incydentów

Harmonogram raportowania KSC – jak PACDiagnostic wspiera każdy termin

Ustawa o KSC narzuca ścisły harmonogram raportowania incydentów: 24 godziny na wczesne ostrzeżenie, 72 godziny na pełne zgłoszenie, 1 miesiąc na raport końcowy. PACDiagnostic automatycznie dostarcza danych potrzebnych do każdego z tych raportów.

TerminWymóg KSC/NIS2Dane dostarczane przez PACDiagnostic
24 godzinyWymóg ustawowy – Wczesne ostrzeżenie do CSIRT (system S46)Raport PACDiagnostic z aktualnym statusem PLC, aktywnych połączeń i anomalii – gotowy do załączenia
72 godzinyWymóg ustawowy – Pełne zgłoszenie incydentu – dane techniczne, skutki, działaniaHistoria logowań, rejestr akcji, analiza komunikacji SRTP/Modbus, kody błędów z interpretacją
1 miesiącWymóg ustawowy – Raport końcowy – analiza przyczyn, środki zaradczePełna dokumentacja zdarzeń z okresu incydentu, porównanie wersji firmware przed i po
CodzienniePrzegląd logów SOC/OT – wykrywanie prób włamań w czasie rzeczywistymCykliczne raporty PACDiagnostic z automatycznym zapisem do centralnego folderu SFTP
Raz w miesiącuRaport podatności – nowe poprawki firmwareWeryfikacja wersji firmware względem aktualnej biblioteki (dostępna w kontrakcie Service)
Raz na kwartałInwentaryzacja zasobów OTLista wszystkich monitorowanych urządzeń w danej podsieci z wersjami firmware i statusami pracy
Co 2 lataWymóg ustawowy – Audyt zewnętrznyKompletne raporty historyczne jako materiał dowodowy dla audytora

Jedne raport PACDiagnostic dla każdej roli w zakładzie wod-kan

Dane generowane przez PACDiagnostic i dostępne w raporcie są użyteczne na każdym szczeblu organizacji:

  • Prezes / Zarząd – raporty zbiorcze dla zakładu, poziom bezpieczeństwa OT, zgodność z NIS2/UKSC, status wdrożenia środków ochronnych – materiał do decyzji strategicznych i raportowania regulacyjnego.
  • Kierownik zakładu – statusy pracy sieci i segmentów, audyt dostępów, podgląd stanu całego zakładu, bez konieczności fizycznej obecności przy urządzeniach.
  • Inżynier bezpieczeństwa – ekspozycja sieciowa urządzeń, logi użytkowników, otwarte porty, wersje firmware, zgodność z politykami bezpieczeństwa – wsparcie audytu NIS2/UKSC.
  • Inżynier wsparcia / serwisu – status pracy PLC/PAC, logi zdarzeń, aktywne połączenia, analiza komunikacji, kody błędów z automatyczną interpretacją – szybka diagnoza bez konieczności dojazdu.
  • Kierownik utrzymania ruchu – raporty pracy urządzeń, alarmy, stan baterii podtrzymania – planowanie przeglądów i minimalizacja przestojów.

Prosta konfiguracja i wdrożenie na obiekcie

Uruchomienie monitorowania wymaga jedynie przygotowania pliku tekstowego z listą adresów IP urządzeń i częstotliwością raportowania, a także nadania przez dział IT unikalnego adresu IP w odpowiedniej podsieci. Całość można zainstalować w czasie nie dłuższym, niż 30 minut, a skonfigurować w 10 minut. Zmiana konfiguracji sprowadza się do edycji tekstowego pliku konfiguracyjnego.

W rozległych sieciach wod-kan (tam, gdzie jest wiele stacji terenowych i przepompowni) PACDiagnostic może działać w trybie dedykowanego urządzenia per podsieć. W tym modelu każdy obiekt (stacja uzdatniania, główna przepompownia, oczyszczalnia) posiada własne urządzenie PACDiagnostic, podłączone do lokalnej sieci OT. Monitoruje ono wszystkie PLC danego obiektu, raporty zapisuje lokalnie, a personel biura centralnego pobiera je przez bezpieczne połączenie SFTP. W tym przypadku

  • komunikacja diagnostyczna nie opuszcza lokalnej sieci OT obiektu,
  • nie ma konieczności modyfikacji istniejących polityk bezpieczeństwa sieci WAN,
  • zapewniana jest maksymalna izolacja — awaria jednego segmentu nie wpływa na pozostałe.

Jest to rozwiązanie rekomendowane dla obiektów z rygorystycznymi wymaganiami segmentacji.

Model alternatywny, czyli jedno urządzenie dla wielu podsieci, jest dedykowany dla rozproszonych instalacji w których istnieje bezpieczna infrastruktura WAN zarządzana przez zespół cybersecurity przedsiębiorstwa.  W takim przypadku jedno urządzenie PACDiagnostic może obsługiwać sterowniki z wielu podsieci OT jednocześnie, ale wymaga to konfiguracji bezpiecznych połączeń międzysegmentowych, zatwierdzonych przez osoby odpowiedzialne za bezpieczeństwo w danym przedsiębiorstwie.

Samo urządzenie PACDiagnostic gwarantuje najwyższy poziom zabezpieczeń. Jego proces produkcyjny jest certyfikowany zgodnie z normą IEC 62443-4-1, posiada wbudowane moduły Trusted Platform Module (TPM) 2.0 i Secure Boot, wszystkie nieużywane porty logiczne i interfejsy komunikacyjne są zablokowane i nie ma połączenia z siecią zewnętrzną (urządzenie pracuje w izolowanej sieci OT). Wykorzystywany jest system operacyjny  Windows 11 IoT Enterprise LTSC, dla którego zapewnione jest długoterminowe wsparcie bezpieczeństwa.

Przykład zastosowania – automatyzacja raportowania PLC

Wyzwanie

Klient był zobowiązany do cyklicznego raportowania pracy kilkunastu sterowników PLC. Ręczne pobieranie statusu wymagało fizycznego dotarcia do każdego urządzenia, podłączenia komputera z oprogramowaniem narzędziowym i ręcznego sporządzenia raportu. O awariach dowiadywano się dopiero po zatrzymaniu instalacji, zamiast działać prewencyjnie. Ręczne podłączanie komputerów do działających systemów niosło ryzyko niezamierzonych błędów.

Rozwiązanie

Wdrożenie PACDiagnostic pozwoliło w pełni zautomatyzować proces. Raporty generowane są cyklicznie i zapisywane w centralnym folderze dostępnym przez SFTP, bez fizycznej obecności na obiekcie.

Efekty

  • Znaczące skrócenie czasu przygotowania raportów cyklicznych.
  • Zdalne monitorowanie statusu PLC i kontrolerów PAC z poziomu biura.
  • Redukcja ryzyka operacyjnego i błędów ręcznych.
  • Stały dostęp do danych dla procedur audytowych i zgodności NIS2/UKSC.
  • Lepsze planowanie serwisu dzięki wczesnemu wykrywaniu problemów.

Pakiety PACDiagnostic – wybierz odpowiedni dla swojego zakładu

PakietUrządzeniaKluczowe funkcjePrzeznaczenie
Basicdo 5 urządzeńStatus pracy urządzenia i podtrzymania pamięci, Logowanie zdarzeń diagnostycznych (20 wpisów), Wersje firmware i wiek urządzeń, Spis komunikacji SRTP / EGD / Modbus TCP, Konfigurowalny harmonogram raportów, Raport w DOCXDla podmiotów nieobjętych NIS2
Advanceddo 50 urządzeńBasic + Analiza kodów błędów PLC, Dekodowanie kodów błędów, Exception Log — interfejs sieciowy, Analiza komunikacji SRTP / EGD / Modbus TCP, Backup plików i logów, Logowanie zdarzeń diagnostycznych (128 wpisów), Lista otwartych portów (NetStat), Lista rozwiązanych problemów w nowszych wersjach FirmwareDla podmiotów objętych NIS2/UKSC

Opcjonalny kontrakt serwisowy zapewnia dostęp do aktualizacji oprogramowania, aktualizowanej biblioteki firmware oraz wsparcia technicznego. Kontrakt jest odnawialny corocznie lub co 3 lata.

PACDiagnostic nie jest kolejnym narzędziem „do raportów”, ale praktycznym elementem systemu cyberbezpieczeństwa OT, który przekłada wymagania KSC/NIS2 na konkretne, codzienne działania operacyjne. Automatyzując zbieranie danych, ich interpretację i raportowanie, eliminuje on ręczne, czasochłonne procesy oraz minimalizuje ryzyko błędów i opóźnień w zgłoszeniach do CSIRT. W efekcie przedsiębiorstwa wodociągowo-kanalizacyjne zyskują nie tylko zgodność regulacyjną, ale przede wszystkim realną kontrolę nad infrastrukturą sterowania – z możliwością szybkiego reagowania, lepszego planowania utrzymania ruchu i budowania odporności na incydenty cybernetyczne.

Newsletter Poradnika Automatyka

Czytaj trendy i inspiracje, podstawy automatyki, automatykę w praktyce

Please wait...

Dziękujemy za zapis do newslettera!

Czy ten artykuł był dla Ciebie przydatny?

Średnia ocena artykułu: 5 / 5. Ilość ocen: 1

Ten artykuł nie był jeszcze oceniony.

social-icon social-icon social-icon
Piotr Adamczyk

Piotr Adamczyk

Piotr Adamczyk

Dyrektor Działu Rozwoju Sprzedaży w centrali ASTOR. Od 15 lat zajmuje się szeroko pojętymi zagadnieniami związanymi z systemami sterowania, wizualizacją HMI oraz komunikacją bezprzewodową GSM. Manager produktów z oferty Emerson Machine Automation Solution oraz urządzeń zintegrowanych Horner APG. Specjalista w zakresie systemów wysokiej dostępności. Absolwent Politechniki Rzeszowskiej, Wydziału Elektrotechniki i Informatyki (kierunek Informatyka, specjalność systemy i sieci komputerowe).

Zadaj pytanie

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Czytaj więcej

Materiały dla Ciebie