Dofinansowanie „Cyberbezpieczny wodociąg” a Dyrektywa NIS 2

W 2024 r. w Polsce zgłoszono ponad 600 tys. zgłoszeń dotyczących cyberbezpieczeństwa, z czego Ministerstwo Cyfryzacji wraz z podległy centrami bezpieczeństwa wyodrębniło ponad 110 tys. incydentów cyberbezpieczeństwa. Sektor wodociągowo-kanalizacyjny w Polsce coraz częściej staje w obliczu złożonych ataków cybernetycznych. W 2025 r. mamy przypadek ataku hackerskiego na stacje uzdatniania wody w Tolkmicku, Małdytach i Sierakowie – 2025. Odpowiedzią na taką sytuację ma być możliwość skorzystania z dofinansowania „Cyberbezpieczny wodociąg”.

Kontekst i cele programu

Głównym celem programu „Cyberbezpieczny wodociąg” jest wsparcie przedsiębiorstw wodociągowych i kanalizacyjnych w podniesieniu poziomu cyberbezpieczeństwa. Ponadto Ministerstwo Cyfryzacji wyraźnie wskazuje, że zdecydowana większość jednostek, które będą mogły skorzystać z dofinansowania, będą objęte wymaganiami Dyrektywy NIS 2 oraz ustawy o Krajowym Systemie Cyberbezpieczeństwa, dlatego warto dofinansowanie wykorzystać również w zakresie dostosowania się do nadchodzących obowiązków.

Wymagania prawne: NIS 2

Aby efektywnie skorzystać z dofinansowania, organizacje muszą zrozumieć najnowsze regulacje – przede wszystkim Dyrektywę NIS 2 (Network and Information Security), która ma wymagać:

– zarządzania ryzykiem cyberbezpieczeństwa

– wykrywania, analizowania i raportowania incydentów

– zapewnienia ciągłości działania

– zapewniania bezpieczeństwa łańcucha dostaw

– wdrożenia cyberhigieny, czyli zdecydowanego zwiększenia kompetencji pracowników i kadry zarządzającej w zakresie cyberbepzieczeństwa.

W praktyce organizacja powinna zbudować tzw. mapę drogowa: od zidentyfikowania wszystkich krytycznych punktów organizacji, przez ocenę dotychczasowych procesów, aż po szczegółowy plan wdrożenia zabezpieczeń.

Sankcje i odpowiedzialność kierownictwa

Oczywiście, żaden unijny akt prawny, w ostatnim czasie nie pomija kwestii sankcji. Podobnie jest w przypadku Dyrektywy NIS 2. Na organizacje, które nie dostosują się do wymogów dyrektywy mogą zostać nałożone sankcje finansowe nawet do 10 mln euro. Jeżeli to Państwa nie przekonuje, co do istotności tematu, to Dyrektywa NIS 2 daje również możliwość nałożenia kar bezpośrednio na osoby zarządzające organizacją, w tym również sankcji finansowych i karnych. Dlatego tak istotne jest efektywne wykorzystania dofinansowania.

Zakres dofinansowania i możliwości aplikowania

W ramach dofinansowania „Cyberbezpieczny wodociąg” można ubiegać się o środki na m. in.:

• przegląd, audyt, opracowanie i wdrożenie systemu zarządzania bezpieczeństwem informacji lub aktualizację tego systemu;
• wprowadzenie środków obejmujących m.in.: analizę ryzyka, obsługę incydentu, ciągłość działania i zarządzanie kryzysowe, stosowanie kryptografii i szyfrowania, kontrolę dostępu i uwierzytelnianie wieloskładnikowe;
• modernizacja infrastruktury (np. segmentacja sieci, zakup firewalli, systemów IDS/IPS, bezpiecznych sterowników PLC )
• szkolenia z zakresu cyberbezpieczeństwa dla wszystkich poziomów personelu organizacji, w tym również na przeprowadzenie symulacji ataków hackerskich.

Nabór wniosków zostanie ogłoszony i prowadzony przez Centrum Projektów Polska Cyfrowa.

Planowany nabór wniosków rozpocznie się w czerwcu lub lipcu 2025 roku i ma trwać 30 dni.

Wysokość wsparcia wynosi do 300 000 euro w ramach pomocy de minimis.

WAŻNE! Jeżeli jednostka korzystała już w ciągu ostatnich 3 lat z pomocy de minimis, to oczywiście może skorzystać z dofinansowania „Cyberbezpieczny wodociąg” ale tylko w kwocie, która łącznie nie przekroczy 300 tys. euro.

Dostępność limitu dofinansowania de minimis dla Państwa organizacji można sprawdzić po linkiem:

https://sudop.uokik.gov.pl/home

Najczęstsze błędy i dobre praktyki

Po rozmowach z przedstawicielami branży, którzy już przygotowują się do skorzystania z dofinansowania, widzę, że organizacje popełniają błędy, które obniżają efektywność inwestycji:

• Skupienie się wyłącznie na IT, przy zaniedbaniu infrastruktury OT/ICS oraz obszaru organizacyjnego.
• Brak pełnej dokumentacji – niewystarczająca analiza ryzyka.
• Niewystarczająca współpraca między działami IT , OT, prawnym oraz osobami zarządzającymi.

Aby tego uniknąć, warto zastosować kilka sprawdzonych praktyk:

1. Podejście holistyczne – równoczesna praca nad bezpieczeństwem ludzi (szkolenia), procesów (procedury) i technologii (narzędzia).
2. Interdyscyplinarny zespół projektowy – zaangażowanie specjalistów z IT, OT, zarządu oraz (opcjonalnie) zewnętrznych ekspertów.

Efekty wdrożenia i podsumowanie

Dofinansowanie „Cyberbezpieczny wodociągi” stanowi okazję do wniesienia rozwiązań, które nie tylko zabezpieczą infrastruktury OT/ICS przed atakami, lecz również usprawnią zarządzanie ryzykiem i pozwolą na szybsze reagowanie w sytuacjach kryzysowych. Kluczowe efekty to:

• Podniesiona odporność na incydenty – dzięki nowym systemom monitoringu i analizy zagrożeń.
• Spełnienie wymagań regulacyjnych (NIS 2) i uniknięcie kar.
• Integracja i koordynacja kilku obszarów (IT, OT, zarząd, personel, bezpieczeństwo fizyczne, zarządzanie kryzysowe) w celu zapewnienie kompleksowego systemu cyberodporności organizacji.

Organizacje, które przygotują solidne wnioski i rzetelnie zrealizują projekty, zyskają trwałe strategie obronne – nie tylko na lata 2025–2026, ale także w dłuższej perspektywie.