Program “Cyberbezpieczny Wodociąg”: Inwestycja w bezpieczeństwo i zgodność z NIS2

Współczesny świat stawia przed sektorem wodno-kanalizacyjnym wyzwania, które wykraczają daleko poza tradycyjną inżynierię. Postępująca cyfryzacja procesów zarządzania wodą, oparta na technologiach operacyjnych (OT) i przemysłowych systemach sterowania (ICS), otworzyła nowe możliwości optymalizacji, ale jednocześnie stworzyła podatność na cyberataki, które mogą mieć katastrofalne skutki dla zdrowia publicznego, środowiska i bezpieczeństwa narodowego. W odpowiedzi na te zagrożenia oraz nowe, rygorystyczne wymogi Unii Europejskiej, uruchomiono program „Cyberbezpieczny Wodociąg”.

Krajobraz zagrożeń: Dlaczego cyberbezpieczeństwo jest priorytetem?

Zagrożenie cybernetyczne przestało być abstrakcyjne – stało się namacalną rzeczywistością, co potwierdzają zarówno statystyki, jak i udokumentowane incydenty w Polsce i na świecie. Według danych CERT Polska, liczba obsłużonych incydentów wzrosła o ponad 100% rok do roku, z około 35 000 w 2022 roku do ponad 80 000 w 2023 roku. Choć ataki na sektor wodny stanowią na razie relatywnie niewielki odsetek całości (około 600 incydentów w 2023 roku), ich potencjalne konsekwencje, takie jak przerwanie dostaw wody, skażenie chemiczne lub biologiczne czy sabotaż infrastruktury, czynią je zagrożeniem o najwyższym priorytecie.

Polskie przedsiębiorstwa wodociągowo-kanalizacyjne już doświadczyły realnych ataków, które stanowią bezpośrednie uzasadnienie dla uruchomienia programu “Cyberbezpieczny Wodociąg”. Przykłady obejmują ataki na oczyszczalnie ścieków w Wydminach (kwiecień 2024) i Kuźnicy (październik 2024), gdzie w przypadku Kuźnicy opublikowano nagrania wideo demonstrujące przejęcie kontroli nad panelem sterowania HMI i manipulację parametrami technologicznymi. W lutym 2025 roku odnotowano serię skoordynowanych ataków na stacje uzdatniania wody (SUW) w Tolkmicku, Małdytach i Sierakowie, które pokazały, że atakujący są w stanie uzyskać bezpośredni dostęp do systemów sterowania. Dodatkowo, w kwietniu 2025 roku doszło do ataku skutkującego wyciekiem danych z jednego z największych przedsiębiorstw wodociągowych w Polsce, co podkreśla zagrożenie nie tylko dla systemów OT, ale także dla systemów IT przechowujących wrażliwe dane.

Najczęstsze wektory i metody ataku na infrastrukturę wodociągową to m.in.:

• Ransomware: Ataki te mogą prowadzić do paraliżu operacyjnego, od systemów bilingowych po systemy sterowania pompami.
• Ataki na systemy SCADA/ICS: Wykorzystują słabości takie jak przestarzałe oprogramowanie, niezmienione domyślne hasła czy brak segmentacji sieci. Głośny przypadek ataku na stację uzdatniania wody w Oldsmar na Florydzie w 2021 roku, gdzie napastnik próbował stukrotnie zwiększyć stężenie wodorotlenku sodu, jest kluczowym ostrzeżeniem.
• Brak segmentacji sieci: Niewłaściwe odizolowanie sieci IT i OT stwarza ogromne ryzyko, umożliwiając atakującym swobodne przemieszczanie się po całej sieci.

Dyrektywa NIS2: Nowy paradygmat regulacyjny

W odpowiedzi na rosnące zagrożenia, Unia Europejska zrewidowała swoje ramy prawne w zakresie cyberbezpieczeństwa. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555, znana jako NIS2, weszła w życie 16 stycznia 2023 roku, zastępując poprzednią dyrektywę NIS z 2016 roku i znacząco rozszerzając jej zakres oraz zaostrzając wymogi. Państwa członkowskie miały czas na transpozycję dyrektywy do prawa krajowego do 17 października 2024 roku. W Polsce implementacja NIS2 nastąpi poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), planowaną na 2025 rok.

Dla sektora wodno-kanalizacyjnego dyrektywa NIS2 oznacza rewolucję. Podmioty świadczące usługi w zakresie zaopatrzenia w wodę pitną oraz odprowadzania i oczyszczania ścieków zostały zaklasyfikowane jako podmioty kluczowe (essential entities), należące do sektorów o wysokiej krytyczności. Nakłada to na nie szereg konkretnych, prawnie egzekwowalnych obowiązków, w tym:

• Zarządzanie ryzykiem: Wdrożenie odpowiednich środków technicznych, operacyjnych i organizacyjnych, opartych na analizie ryzyka i obejmujących co najmniej 10 obszarów, np. plany ciągłości działania (BCP) i odtwarzania po awarii (DRP), polityki bezpieczeństwa łańcucha dostaw, testowanie i audyt, kryptografia, kontrola dostępu i uwierzytelnianie wieloskładnikowe (MFA).
• Obowiązki sprawozdawcze: Rygorystyczny system zgłaszania „poważnych incydentów” do właściwego CSIRT, obejmujący wczesne ostrzeżenie (w ciągu 24 godzin), powiadomienie (w ciągu 72 godzin) oraz sprawozdania okresowe i końcowe.
• Odpowiedzialność zarządu: Osobista odpowiedzialność organów zarządzających za zatwierdzanie i nadzorowanie wdrażania środków zarządzania ryzykiem oraz obowiązek odbywania szkoleń w zakresie cyberbezpieczeństwa.
• Sankcje i kary: Dotkliwe kary finansowe za nieprzestrzeganie obowiązków, mogące sięgać do 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa. Możliwe są również sankcje niefinansowe, takie jak nakazy, audyty, a nawet tymczasowy zakaz pełnienia funkcji zarządczych.

Program Cyberbezpieczny Wodociąg: instrument interwencyjny państwa

Program Cyberbezpieczny Wodociąg to interwencyjny instrument państwa, zaprojektowany jako odpowiedź na eskalujące zagrożenie w cyberprzestrzeni, rygorystyczną regulację NIS2 oraz historyczną lukę technologiczną i kompetencyjną w polskim sektorze wodociągowym. Udział w programie staje się strategiczną koniecznością, a grant pełni funkcję katalizatora, mającego przyspieszyć adaptację do wymagającego otoczenia i zminimalizować ryzyko paraliżu operacyjnego, katastrofy ekologicznej i dotkliwych sankcji finansowych.

Program jest w całości finansowany w formie bezzwrotnych grantów ze środków europejskich w ramach Krajowego Planu Odbudowy i Zwiększania Odporności (KPO). Za jego przygotowanie i uruchomienie odpowiada Ministerstwo Cyfryzacji (MC), a instytucją wdrażającą jest Centrum Projektów Polska Cyfrowa (CPPC). Całkowity budżet programu wynosi około 300 milionów PLN netto. Okres realizacji projektów i kwalifikowalności wydatków jest ściśle powiązany z ramami czasowymi KPO – wszystkie projekty muszą zostać zrealizowane i rozliczone do 30 czerwca 2026 roku, a wydatki kwalifikowalne obejmują okres od 1 stycznia 2025 roku do 30 czerwca 2026 roku.

Kto może aplikować? Program skierowany jest do podmiotów wykorzystujących technologie operacyjne (OT) w ramach przemysłowych systemów sterowania (ICS). Zgodnie z Ustawą o Krajowym Systemie Cyberbezpieczeństwa (KSC), o wsparcie mogą ubiegać się:

• Operatorzy usług kluczowych (OUK).
• Jednostki sektora finansów publicznych, w tym jednostki samorządu terytorialnego (JST) i ich jednostki organizacyjne.
• Spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej.

Finansowanie i pomoc de minimis Mechanizm finansowy opiera się na zasadach pomocy de minimis, co oznacza, że maksymalna kwota dofinansowania jest ograniczona indywidualnym, dostępnym limitem beneficjenta, wynoszącym 300 000 EUR w okresie 3 lat. Każdy wnioskodawca jest zobowiązany do samodzielnej weryfikacji swojego limitu, korzystając z Systemu Udostępniania Danych o Pomocy Publicznej (SUDOP). W ramach jednego naboru konkursowego, każde uprawnione przedsiębiorstwo będzie mogło złożyć tylko jeden wniosek o dofinansowanie.

Harmonogram i procedura aplikacyjna Nabór wniosków planowany jest na czerwiec lub lipiec 2025 roku i będzie otwarty przez co najmniej 30 dni. Aplikacje będą przyjmowane wyłącznie w formie elektronicznej za pośrednictwem Elektronicznej Skrzynki Podawczej (ePUAP), co wymaga posiadania kwalifikowanego podpisu elektronicznego lub profilu zaufanego ePUAP. Proces oceny wniosków będzie dwuetapowy: ocena formalna i merytoryczna. Krótki horyzont czasowy na realizację projektów (około 12 miesięcy) wymusza na przedsiębiorstwach rozpoczęcie prac przygotowawczych, takich jak audyty i opracowanie koncepcji technicznej, na długo przed ogłoszeniem naboru.

Program “Cyberbezpieczny Wodociąg” opiera się na trzech komplementarnych filarach: organizacji, technologii i kompetencjach, co odzwierciedla holistyczne podejście do budowy cyberodporności.

Filar I – Organizacja i procesy (wdrożenie środków organizacyjnych) Koncentruje się na stworzeniu ram zarządczych i proceduralnych, zgodnych z wymogami NIS2. Kwalifikowalne działania obejmują:

• Audyty i analizy: Audyty infrastruktury IT i OT, analizy ryzyka, ocena zgodności z NIS2 oraz standardami ISO/IEC 27001 i IEC 62443.
• Opracowanie i wdrożenie dokumentacji systemowej: Polityki analizy ryzyka i bezpieczeństwa systemów, polityki stosowania kryptografii, plany ciągłości działania (BCP) i odtwarzania po awarii (DRP), procedury obsługi incydentów, polityki kontroli dostępu i zarządzania aktywami.
• Usługi doradcze i eksperckie: Wsparcie zewnętrzne w projektowaniu i wdrażaniu strategii cyberbezpieczeństwa.

Filar II – Technologia i infrastruktura (zakup lub modernizacja środków technicznych) Umożliwia zakup i modernizację sprzętu oraz oprogramowania do technicznego zabezpieczenia systemów IT i OT. Kwalifikowalne inwestycje to:

• Modernizacja systemów sterowania (OT/ICS): Aktualizacja lub wymiana przestarzałych systemów SCADA, paneli HMI, serwerów Historian i sterowników PLC.
• Bezpieczeństwo sieci: Segmentacja sieci, zakup firewalli nowej generacji (NGFW) i przemysłowych firewalli, bezpieczne rozwiązania do zdalnego zarządzania (VPN, ZTNA).
• Systemy detekcji, reakcji i analizy: Wdrożenie systemów IDS/IPS, SIEM/SOC, budowa własnego centrum SOC lub zakup usługi od zewnętrznego dostawcy.
• Ochrona danych i systemów: Systemy do tworzenia kopii zapasowych i odtwarzania po awarii, skanery podatności, systemy ochrony punktów końcowych (EDR, XDR).

Filar III – Kompetencje i świadomość (rozwój kompetencji personelu) Uznaje, że świadomy i przeszkolony pracownik jest kluczowym elementem systemu bezpieczeństwa. Kwalifikowalne szkolenia obejmują:

• Dla kadry zarządzającej: Szkolenia z podstaw prawnych cyberbezpieczeństwa (NIS2), odpowiedzialności zarządu, zarządzania ryzykiem i procedur reagowania na incydenty.
• Dla personelu IT/OT: Specjalistyczne szkolenia techniczne, takie jak bezpieczeństwo sieci przemysłowych, konfiguracja systemów SIEM/IDS/IPS/firewall, etyczne hakowanie czy informatyka śledcza.
• Dla wszystkich pracowników: Programy budowania świadomości zagrożeń (security awareness, cyberhigiena), w tym szkolenia z zasad bezpieczeństwa i symulowane ataki phishingowe.

Praktyczny przewodnik dla wnioskodawców

Skuteczne pozyskanie, realizacja i rozliczenie grantu wymaga starannego przygotowania i dyscypliny proceduralnej. Kluczowe kroki przed naborem obejmują:

1. Wstępny audyt i analiza ryzyka: Przeprowadzenie oceny stanu zabezpieczeń infrastruktury IT i OT w celu zidentyfikowania luk i zagrożeń.
2. Weryfikacja limitu pomocy de minimis: Dokładne ustalenie dostępnego limitu w systemie SUDOP.
3. Opracowanie wstępnej koncepcji projektu: Zdefiniowanie celów, zakresu działań, harmonogramu i szacunkowego budżetu.
4. Przygotowanie zespołu projektowego: Wyznaczenie koordynatora projektu i jego zespołu.
5. Przygotowanie formalności technicznych: Upewnienie się, że osoby upoważnione do podpisywania wniosku posiadają ważne kwalifikowane podpisy elektroniczne lub profil zaufany ePUAP.

Ważne jest unikanie najczęstszych błędów, zarówno formalnych (np. niedotrzymanie terminu, brak załączników, błędy w podpisach), jak i merytorycznych (np. brak spójności wewnętrznej projektu, niewystarczające uzasadnienie kosztów, ogólnikowość, nierealny harmonogram, błędnie zdefiniowane wskaźniki).

Po uzyskaniu dofinansowania, beneficjent ma obowiązki związane z realizacją, sprawozdawczością i trwałością projektu. Należy regularnie składać wnioski o płatność, utrzymać efekty projektu przez określony czas (zwykle 5 lat, lub 3 lata dla MŚP w przypadku programów operacyjnych), archiwizować całą dokumentację przez co najmniej 5 lat oraz informować o otrzymaniu dofinansowania z Funduszy Europejskich.

Program “Cyberbezpieczny Wodociąg” to strategiczna inwestycja w ciągłość działania, bezpieczeństwo publiczne i zgodność z prawem. Wymaga natychmiastowego działania, kompleksowego i holistycznego podejścia, a także wykorzystania międzynarodowych standardów, takich jak IEC 62443 i ISO/IEC 27001, jako drogowskazu. Sukces w tym programie będzie zależał od zdolności organizacyjnych, sprawności administracyjnej i szybkości działania potencjalnego beneficjenta, a także od postrzegania grantu jako wiążącego kontraktu na osiągnięcie mierzalnych rezultatów.