Ustawa o Krajowym Systemie Cyberbezpieczeństwa już obowiązuje. Czy wiesz, co pracuje w Twoim systemie?

Od 3 kwietnia 2026 roku przedsiębiorstwa energetyczne, wodociągowe i ciepłownicze działają w nowej rzeczywistości prawnej. Ustawa o Krajowym Systemie Cyberbezpieczeństwa nakłada na nie konkretne obowiązki i konkretną odpowiedzialność. Nie tylko organizacyjną, ale i osobistą.

W rozmowach z kierownikami zakładów, managerami i inżynierami jedno zdanie słyszymy ostatnio wyjątkowo często:

„Wiemy, co u nas pracuje. Ale nie wiemy, w jakim jest stanie ani jak wygląda diagnostyka. Podejrzewamy, że to będzie duży problem w kontekście UKSC.”

To nie jest kwestia zaniedbania. To kwestia tego, jak przez lata budowano i rozwijano systemy automatyki w Polsce.

Czy znasz całą swoja infrastrukturę?

Większość systemów automatyki w polskich zakładach nie powstawała tym samym czasie. Budowało je wielu integratorów, na przestrzeni wielu lat. Kolejne rozbudowy były dokładane etapami – często przez inne zespoły, które już dawno nie obsługują danego obiektu. Sprzęt od różnych producentów, różne konfiguracje, różne wersje oprogramowania. Efekt jest taki, że dziś wielu z nas nie ma pełnego obrazu, co dokładnie pracuje w systemie, z czego się składa, jak jest skonfigurowane i czy jest zabezpieczone. Dopóki wszystko działało, nikt specjalnie nie musiał tego wiedzieć. Dziś – wskutek wprowadzenia NIS2 i UKSC – już musi.

Inwentaryzacja ręczna? To nie jest rozwiązanie

Kiedy zespoły zaczynają podejmować temat bezpieczeństwa, pierwszym i bardzo naturalnym krokiem jest zazwyczaj decyzja o przeprowadzeniu inwentaryzacji. I słusznie. Problem w tym, jak wygląda to w praktyce.

Żeby zebrać dane o systemie, zespół inżynierów musi podejść do każdego urządzenia z osobna – zalogować się, sprawdzić stan, odczytać logi, zapisać konfigurację, przejść do kolejnego. W zakładzie z kilkudziesięcioma urządzeniami są to dni, a nawet tygodnie pracy. Pracy, którą i tak trzeba będzie powtórzyć przy kolejnym audycie. A to wciąż tylko punkt startowy, bo sama inwentaryzacja nie odpowiada na pytanie, czy system jest bezpieczny i nie zastąpi ciągłego monitorowania i raportowania, którego wymaga ustawa.

Co tak naprawdę mówi UKSC i co grozi za brak działania?

Ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązuje od 3 kwietnia 2026 roku. Nie wskazuje konkretnych narzędzi ani technologii, z jakich mamy korzystać. Mówi natomiast, że to operator infrastruktury ważnej i kluczowej musi wiedzieć, co pracuje w jego systemie, w jakim jest stanie i jakie ma podatności. I musi mieć dostęp do tych informacji w dowolnym momencie na wypadek audytu. To oznacza konieczność udzielenia odpowiedzi na pytania, których dziś wielu z nas nie ma pod ręką:

• Jaką wersję firmware ma sterownik PLC pracujący w danym systemie?
• Kto logował się do systemu w ostatnim miesiącu i jakie zmiany wprowadził?
• Które moduły są już wycofane z produkcji i powinny być wymienione?
• Jakie porty są aktualnie otwarte i z czym się łączy dany obiekt?

Brak odpowiedzi na te pytania to nie tylko problem podczas audytu. Konsekwencje są bardzo konkretne finansowo, bo kara za niezastosowanie się do wymagań, jakie nakłada ustawa na podmioty kluczowe, sięga 10 milionów EUR lub 2% rocznego światowego obrotu. Dla podmiotów ważnych może to być nawet 7 milionów EUR lub 1,4% obrotu. W skrajnych przypadkach, gdy naruszenie zagraża bezpieczeństwu państwa lub życiu ludzi, polska ustawa przewiduje kary do 100 milionów PLN. Czy takie kary będą nakładane? Za wcześnie, by o tym przesądzać. Pewne jest to, że już na tym etapie ustawodawca zapewnił sobie taka możliwość. Szczególnie istotny jest fakt, że odpowiedzialność spada nie tylko na przedsiębiorstwo, ale przede wszystkim na jego kierownictwo, a niewiedzą nie da się już zasłonić.

Trzy grupy, trzy różne potrzeby i jeden wspólny problem

W każdym przedsiębiorstwie objętym ustawą KSC są co najmniej trzy osoby, które powinny mieć dostęp do informacji o systemie sterowania i każda z nich potrzebuje innych informacji i ma inne potrzeby.

Kierownik zakładu chce wiedzieć, czy wszystko działa i czy zakład jest bezpieczny. Potrzebuje widoku ogólnego – statusów sieci, segmentów, dostępów, zalogowanych błędów.

Inżynier bezpieczeństwa musi odpowiadać przed audytorem. Potrzebuje danych o ekspozycji sieciowej urządzeń, otwartych portach, wersjach oprogramowania i zgodności z politykami bezpieczeństwa, a także informacji, z czym urządzenie rozmawia.

Inżynier utrzymania ruchu chce wiedzieć, co dzieje się z konkretnym PLC – jakie błędy zalogował, jakie są aktywne połączenia, czy ktoś wprowadzał zmiany w konfiguracji, czy sa pozakładane wymuszenia.

Dziś każda z tych osób musi te informacje zbierać osobno, ręcznie, często przy okazji planowanych prac serwisowych. To nieefektywne i – w kontekście wymogów UKSC – niewystarczające.

PACDiagnostic – dla użytkowników systemów Emerson / GEFanuc / GE Intelligent Platforms

Odpowiedzią na ten problem jest rozwiązanie PACDiagnostic – narzędzie przygotowane przez ASTOR, które automatycznie zbiera wszystkie dane diagnostyczne z urządzeń sterujących i na ich podstawie przygotowuje kompleksowe raporty. Działa w tle, automatycznie rejestruje wersje firmware, logi zdarzeń, aktywności użytkowników i komunikację sieciową, wymuszenia, błędy zalogowane przez urządzenie, po czym udostępnia je w formie przejrzystych dokumentów dostosowanych do potrzeb każdej z wymienionych grup.

Przeczytaj więcej o tym, jak działa rozwiązanie PACDiagnostic.

PACDiagnostic jest dedykowany systemom sterowania dostarczanym przez Emerson, GE Fanuc i GE Intelligent Platforms. Jeśli zakład działa na tych sterownikach, mamy gotowe rozwiązanie – bez zmian w architekturze, bez ingerencji w proces technologiczny, bez dotykania PLC. Niewątpliwą zaletą jest też fakt, że każde nowe urządzenie sterujące dostarczone w oparciu o standard Emerson naturalnie będzie włączone w ten sam ekosystem raportowania.

Porozmawiajmy o tym wspólnie

25 czerwca 2026 zapraszamy na webinar, podczas którego Adam Gniadzik, Piotr Adamczyk oraz Jakub Gałąska pokażą, jak PACDiagnostic działa w praktyce – od uruchomienia, przez automatyczne zbieranie danych, po raportowanie zgodne z wymogami UKSC.

Co znajdzie się w programie:

• jakie wymagania stoją przed użytkownikami systemów sterowania sklasyfikowanych jako podmioty ważne i kluczowe,
• jakie dane i w jakiej formie dostarcza PACDiagnostic,
• jak urządzenie się konfiguruje i wpina w siec OT,
• jak raport PACDiagnostic pozwala przygotować się do audytu i co pokaże kontrolerowi.

Webinar potrwa około 60 minut. Dla zarejestrowanych uczestników będzie dostępne nagranie.

Jeśli zarządzasz systemem sterowania w przedsiębiorstwie sklasyfikowanym jako infrastruktura ważna lub kluczowa i zastanawiasz się, jak przygotować się do audytu – to spotkanie jest dla Ciebie.

Zapisz się na webinar klikając w ten link.

Dowiedz się więcej o PACDiagnostic i wybierz pakiet odpowiedni dla siebie.