"Cyberbezpieczny wodociąg" ze wsparciem Ministerstwa Cyfryzacji do końca czerwca 2026 r.

Departament cyberbezpieczeństwa Ministerstwa Cyfryzacji (MC) poinformował na początku tego roku, że na realizację projektu “Cyberbezpieczne wodociągi” współfinansowanego ze środków KPO, zaplanowano ok. 328,5 mln zł netto; a także że projekt ma ruszyć w drugim kwartale br., czyli między kwietniem a czerwcem.

Konkurs Centrum Projektów Polska Cyfrowa

Środki nieprzekraczające jednorazowo 200 tys. euro, czyli ok. 840 tys. zł, będą przyznawane przedsiębiorstwom sektora wodociągowo-kanalizacyjnego w ramach konkursu, który przeprowadzi Centrum Projektów Polska Cyfrowa (CPPC) – wynika z uzasadnienia projektu rozporządzenia opublikowanego w Rządowym Centrum Legislacji (RCL) autorstwa Ministerstwa Cyfryzacji (MC).

Według projektowanych przepisów, środki udzielane w ramach pomocy de minimis, jednostki będą mogły wydatkować do końca 30 czerwca 2026 r., ponieważ wtedy kończy się inwestycja KPO, z której m.in. będą pochodzić pieniądze: “Cyberbezpieczeństwo – CyberPL, infrastruktura przetwarzania danych optymalizacja infrastruktury służb państwowych odpowiedzialnych za bezpieczeństwo”.

Wsparcie otrzyma “jedynie” ograniczona grupa podmiotów z sektora wodociągowo-kanalizacyjnego – podkreśliło MC i wskazało, że chodzi m.in. o przedsiębiorstwa, które są operatorem usług kluczowych w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa (o KSC).

Dla kogo fundusze?

Pieniądze będą mogły też otrzymać przedsiębiorstwa wodociągowo-kanalizacyjne, które są: spółkami prawa handlowego, wykonującymi zadania o charakterze użyteczności publicznej oraz wykorzystującymi technologie operacyjne w przemysłowych systemach sterowania; lub są jednostkami sektora finansów publicznych, tj. jednostkami samorządu terytorialnego, związkami metropolitalnymi, jednostkami budżetowymi, samorządowymi zakładami budżetowymi.

Ponadto według projektowanych przepisów, pieniądze mogą otrzymać podmioty, w których “wystąpienie incydentu oraz przerwanie świadczenia usług może mieć szczególnie negatywny wpływ na funkcjonowanie państwa i społeczeństwa”.

Na co wydatki?

Pieniądze będą mógłby być wydatkowane w 3 obszarach. W pierwszym, czyli “wdrożenie środków organizacyjnych służących zapewnieniu cyberbezpieczeństwa” MC wymieniło m.in.: obsługę incydentu; wprowadzenie polityki analizy ryzyka, polityki i procedur stosowania kryptografii i szyfrowania; zapewnienie ciągłości działania i zarządzania kryzysowego; stosowanie uwierzytelniania wieloskładnikowego; a także audyt systemu zarządzania bezpieczeństwem informacji.

Wśród wydatków w drugim obszarze, czyli “zakup lub modernizacja środków technicznych służących zapewnieniu cyberbezpieczeństwa” resort wskazał m.in.: systemy teleinformatyczne w tym urządzenia, oprogramowania i usługi zapewniających prewencję, reakcję i detekcję zagrożeń cyberbezpieczeństwa; systemy lub usługi zarządzania podatnościami i skanery podatności.

Trzeci obszar, na jaki będzie można otrzymać pieniądze to “rozwój kompetencji personelu w zakresie cyberbezpieczeństwa”, czyli szkolenia kadr – wynika z uzasadnienia projektu.

Zaznaczono w nim, że nabór wniosków w konkursie będzie trwał co najmniej miesiąc, co ma zapewnić wszystkim przedsiębiorstwom wodociągowo-kanalizacyjnym “odpowiedni czas” na przygotowanie dokumentacji. Dodano, że ocenie będzie podlegać to, w jakim stopniu zaproponowane działania służą zapewnieniu cyberbezpieczeństwa oraz wskazane przez podmiot koszty. Jak podkreśliło MC, w ramach naboru przedsiębiorstwo wodociągowo-kanalizacyjne będzie mogło złożyć tylko jeden wniosek.

Projekt rozporządzenia jest obecnie na etapie opiniowania m.in. przez CPPC, Prezesa Urzędu Komunikacji Elektronicznej (UKE), Prezesa Urzędu Ochrony Konkurencji i Konsumentów (UOKiK), Prezesa Urzędu Ochrony Danych Osobowych (PUODO), Rzecznika Małych i Średnich Przedsiębiorców, Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy (NASK – PIB).

Zwiększona liczba ataków

Pod koniec lutego MC opublikowało komunikat, w sprawie zwiększonej liczby ataków na przemysłowe systemy sterowania (ICS/OT) dostępne bezpośrednio z Internetu. Sterowanie przemysłowe łączy w sobie elementy z zakresu informatyki, elektroniki i automatyki i jest wykorzystywane w wielu sektorach, m.in. w logistyce, produkcji, przemyśle, górnictwie. Resort przekazał, że niektóre z tych ataków miały wpływ na “rzeczywiste” działanie systemów, a ich skutki odczuli odbiorcy usług.

Na przestrzeni ostatnich kilku miesięcy ofiarą cyberprzestępców padły m.in. oczyszczalnia ścieków w Kuźnicy (październik 2024) oraz stacje uzdatniania wody w Tolkmicku, Małdytach i Sierakowie (luty 2025). Ataki potwierdził PAP CERT Polska. Mówił tez o nich wicepremier i minister cyfryzacji Krzysztof Gawkowski podczas konferencji prasowej, która miała miejsce pod koniec lutego br.

– Pojawiło się nowe modus operandi w atakach na samorządy w zakresie cyberbezpieczeństwa, to jest część dotycząca wody i kanalizacji – wskazał wtedy Gawkowski. Dodał, że “w Polsce zdarzają się ataki na przedsiębiorstwa wodno-kanalizacyjne i inne przedsiębiorstwa infrastruktury krytycznej”, ale “w cyberprzestrzeni wygrywamy wojnę z atakującymi, szczególnie z tymi, którzy atakują nas z Rosji”.