W drugiej połowie 2025 r. wystartuje rządowy konkurs grantowy „Cyberbezpieczne Wodociągi”, finansowany ze środków Krajowego Planu Odbudowy i Zwiększania Odporności (KPO). Celem programu jest wzmocnienie cyberbezpieczeństwa systemów OT (ICS) w przedsiębiorstwach wodociągowo-kanalizacyjnych oraz dostosowanie ich infrastruktury do wymagań dyrektywy NIS2. Na realizację programu przewidziano około 300 mln zł (wg ministerstwa cyfryzacji nawet ~328,5 mln zł). Wsparcie ma formę bezzwrotnych grantów pokrywających jedynie koszty netto (bez VAT). Okres kwalifikowalności wydatków obejmuje od 1 stycznia 2025 r. do 30 czerwca 2026 r. (koniec inwestycji KPO).
Cyberzagrożenia OT i wymogi dyrektywy NIS2
Nowe regulacje unijne (dyrektywa NIS2) nakładają na operatorów usług kluczowych (w tym wodociągi) obowiązki zwiększonego bezpieczeństwa systemów informacyjnych i OT. Jak podkreśla rząd, program „Cyberbezpieczne Wodociągi” właśnie ma ułatwić przedsiębiorstwom dostosowanie się do wymogów NIS2. NIS2 wymaga m.in. implementacji systemów zarządzania bezpieczeństwem (ISO 27001, IEC 62443), raportowania incydentów oraz regularnej oceny ryzyka. W praktyce oznacza to konieczność wzmocnienia zabezpieczeń sieci OT, regularnych testów penetracyjnych i szkoleń pracowników.
W ostatnim czasie odnotowano nasilone ataki na infrastrukturę wodno-kanalizacyjną. PAP CERT Polska potwierdził, że padły ofiarą ataków m.in. oczyszczalnia ścieków w Kuźnicy (październik 2024) oraz stacje uzdatniania wody w Tolkmicku, Małdytach i Sierakowie (luty 2025). Wicepremier Krzysztof Gawkowski zauważył wówczas, że „pojawiło się nowe modus operandi w atakach na samorządy […] część dotycząca wody i kanalizacji”. W jego ocenie ataki na przedsiębiorstwa wodno-kanalizacyjne i inne firmy infrastruktury krytycznej w Polsce mają realny wpływ na usługi publiczne. Podkreśla to, jak istotna jest inwestycja w monitorowanie i ochronę sieci OT: wykrywanie nietypowej aktywności w sieciach ICS/SCADA może zapobiec wyłączeniom i zagrożeniom zdrowia publicznego.
Specjaliści alarmują, że systemy sterowania wodą często wykorzystują przestarzałe protokoły bez szyfrowania, a fizyczne urządzenia (np. zawory i pompy) mogą zostać przejęte zdalnie. Dlatego efektywne rozwiązania IDS/IPS klasy OT (potrafiące wykrywać anomalie w sieci przemysłowej) oraz regularne szkolenia personelu to obecnie standard dobrych praktyk w bezpieczeństwie SCADA/ICS.
Kto może ubiegać się o grant i na co można przeznaczyć środki
O wsparcie mogą się ubiegać przedsiębiorstwa wodociągowo-kanalizacyjne z sektora publicznego i prywatnego, które są objęte Krajowym Systemem Cyberbezpieczeństwa (m.in. operatorzy usług kluczowych, jednostki samorządu terytorialnego, spółki prawa handlowego świadczące usługi komunalne). Ważnym warunkiem jest wykorzystywanie wody i ścieków technologii przemysłowych (OT/ICS). Grant przeznaczony jest na działania wzmacniające odporność na cyberzagrożenia – głównie w obszarach organizacyjnych, technologicznych i szkoleniowych.
Termin naboru wniosków
Termin naboru wniosków przewidziano na czerwiec–lipiec 2025 r. (ok. 30 dni). W jednym konkursie podmiot może złożyć tylko jeden wniosek. Maksymalne wsparcie przypadające na jednego beneficjenta będzie ograniczone limitem pomocy de minimis – 300 tys. euro (ok. 1,3 mln zł) otrzymanej w ciągu 3 lat. W praktyce oznacza to, że dofinansowanie pojedynczego projektu nie może przekroczyć tego pułapu. Wysokość limitu należy sprawdzić w bazie SUDOP, by uniknąć przekroczenia limitu de minimis
Granty będą realizowane przez Centrum Projektów Polska Cyfrowa (CPPC). Wsparcie będzie mieć charakter pomocy publicznej (de minimis), w związku z czym trwa opracowywanie rozporządzenia MC określającego szczegółowe zasady udzielania pomocy dla sektora wodno-kanalizacyjnego (projekt rozporządzenia dostępny jest w RCL).
Przykłady kwalifikowalnych działań
Środki z programu można wydatkować jedynie na cele bezpośrednio związane ze wzmocnieniem cyberbezpieczeństwa wodociągów. Przykładowe kategorie wydatków obejmują:
- Działania organizacyjne – np. wdrożenie procedur i polityk bezpieczeństwa (analiza ryzyka, szyfrowanie, ciągłość działania, zarządzanie kryzysowe), opracowanie planów reakcji na incydenty, wdrożenie wieloskładnikowej autoryzacji czy przeprowadzenie audytu systemu zarządzania bezpieczeństwem informacji.
- Rozwiązania technologiczne – zakup i modernizację urządzeń i oprogramowania monitorujących i chroniących sieci OT (np. systemy IDS/IPS dla sieci przemysłowych), bezpiecznych firewalli OT, systemów zarządzania podatnościami, skanerów sieciowych czy innych narzędzi do prewencji i detekcji ataków.
- Budowanie kompetencji – szkolenia personelu w zakresie cyberbezpieczeństwa OT/ICS (np. kursy podnoszące świadomość zagrożeń, szkolenia praktyczne z reagowania na incydenty w środowisku OT). Rozwój kompetencji pracowników jest wpisany w katalog działań (rozwój kompetencji personelu) i uznawany za kluczowy element zwiększania odporności infrastruktury.
Konkretny zakres projektu zależy od indywidualnych potrzeb przedsiębiorstwa. Przykładowo, beneficjenci mogą uwzględnić wnioskowane koszty m.in. analizę i wdrożenie zabezpieczeń sieci OT, integrację i konfigurację systemów IDS/IPS, zakup certyfikowanych urządzeń zabezpieczających sterowniki PLC/SCADA, czy organizację warsztatów i ćwiczeń reagowania na incydenty.
Zidentyfikowane wyzwania w obszarze bezpieczeństwa OT
Krajowy system cyberbezpieczeństwa oraz audyty realizowane przez operatorów usług kluczowych wskazują na szereg krytycznych problemów, z którymi borykają się dziś systemy automatyki przemysłowej OT. Do najważniejszych należą:
- Brak aktualnej wiedzy o tym, jakie urządzenia są podłączone do sieci OT i jakie protokoły komunikacyjne wykorzystują
- Ograniczone możliwości bieżącego monitorowania sieci przemysłowej i procesów produkcyjnych
- Trudność w wykrywaniu podatności oraz potencjalnych anomalii w działaniu urządzeń
- Brak narzędzi do skutecznego zarządzania incydentami i reagowania na zagrożenia
- Rozproszenie danych i brak integracji z centralnymi systemami bezpieczeństwa (takimi jak SIEM czy SOC)
Jak rozwiązujemy powyższe wyzwania wdrożeniem systemu IDS SCADAvance???
System IDS SCADAvance został zaprojektowany właśnie po to, by skutecznie ułatwić i rozwiązać problemy takie jak:
Zarządzanie zasobami sieci OT
→ Automatyczne wykrywanie wszystkich urządzeń, mapowanie topologii sieci i identyfikacja używanych protokołów komunikacyjnych.
Stałe monitorowanie 24/7
→ Audyt ruchu w czasie rzeczywistym, rejestrowanie komunikacji, monitorowanie fizycznych parametrów procesów oraz wizualizacja całej sieci w czasie rzeczywistym.
Wykrywanie podatności i anomalii
→ Identyfikacja znanych podatności urządzeń (moduł Vulnerability Check), detekcja nietypowych zachowań i wczesne przewidywanie awarii (Predictive Maintenance).
Zarządzanie incydentami
→ Automatyczna archiwizacja zdarzeń, wsparcie w analizie zagrożeń i reakcjach na incydenty.
Zaawansowane raportowanie i integracja
→ Generowanie raportów dopasowanych do potrzeb organizacji oraz integracja z systemami SIEM, SOC i zaporami sieciowymi.
Współpracując z PIA-ZAP, wodociągi mogą nie tylko pozyskać finansowanie z programu grantowego, ale także wdrożyć skuteczne środki cyberbezpieczeństwa, które zabezpieczą ich operacje.
Najlepsze praktyki cyberbezpieczeństwa dla wodociągów – jak chronić infrastrukturę OT z wykorzystaniem systemu IDS SCADAvance
Systemy wodociągowe coraz częściej padają ofiarą ataków cybernetycznych. Z perspektywy krajowego systemu cyberbezpieczeństwa uznaje się je za infrastrukturę krytyczną, co oznacza konieczność wdrożenia skutecznych mechanizmów ochrony systemów sterowania i automatyki (OT/ICS).
Poniżej przedstawiamy najlepsze praktyki cyberbezpieczeństwa dla zakładów wodociągowych – wraz z pokazaniem, jak te potrzeby realizuje system IDS SCADAvance.
1. Prowadź pełną inwentaryzację urządzeń w sieci OT
Dlaczego to ważne?
Brak wiedzy o tym, co faktycznie działa w sieci OT, to jedna z głównych luk wykorzystywanych przez cyberprzestępców.
Dobre praktyki:
Automatycznie wykrywaj i identyfikuj wszystkie urządzenia OT (sterowniki PLC, HMI, przetworniki, urządzenia sieciowe)
Mapuj protokoły i połączenia między urządzeniami
Jak pomaga SCADAvance?
SCADAvance automatycznie rozpoznaje urządzenia i tworzy czytelną mapę połączeń, co znacząco ułatwia zarządzanie infrastrukturą.
2. Monitoruj sieć i procesy 24/7
Dlaczego to ważne?
Wodociągi działają w trybie ciągłym – awarie lub ataki mogą prowadzić do poważnych konsekwencji zdrowotnych i środowiskowych.
Dobre praktyki:
Prowadź bieżący audyt komunikacji w sieci OT
Rejestruj ruch i analizuj parametry procesowe (np. ciśnienie, przepływ, poziom chloru)
Korzystaj z wizualizacji sieci i alarmów
Jak pomaga SCADAvance?
System umożliwia pełne monitorowanie ruchu oraz fizycznych parametrów procesów w czasie rzeczywistym – dając operatorom pełną świadomość sytuacyjną.
3. Wykrywaj podatności i anomalie zanim wystąpi incydent
Dlaczego to ważne?
Stare sterowniki, nieaktualne firmware’y i nieautoryzowane zmiany w sieci to częste źródła problemów.
Dobre praktyki:
Regularnie skanuj urządzenia pod kątem znanych podatności
Reaguj na anomalie w zachowaniu sieci i procesów
Wdrażaj predykcyjną konserwację (Predictive Maintenance)
Jak pomaga SCADAvance?
Moduły Vulnerability Check i anomaly detection pozwalają wykrywać zagrożenia wcześniej, zanim dojdzie do awarii lub ataku.
4. Miej plan zarządzania incydentami
Dlaczego to ważne?
Szybka reakcja ogranicza skutki incydentu. Brak planu często powoduje chaos i opóźnienia.
Dobre praktyki:
Zbieraj i archiwizuj dane o zdarzeniach
Wspieraj pracę zespołów bezpieczeństwa poprzez czytelne logi i analizy
Ustal jasne procedury reagowania
Jak pomaga SCADAvance?
System rejestruje każdy incydent i zapewnia dane niezbędne do analizy, śledztwa i ewentualnych zgłoszeń do CSIRT NASK.
5. Zintegruj system OT z infrastrukturą IT i bezpieczeństwa
Dlaczego to ważne?
Bez integracji z SIEM czy SOC brakuje pełnego obrazu zagrożeń w organizacji.
Dobre praktyki:
Wysyłaj dane o zagrożeniach do centralnych systemów bezpieczeństwa
Łącz systemy OT z zaporami ogniowymi i narzędziami analitycznymi IT
Jak pomaga SCADAvance?
SCADAvance umożliwia integrację z SIEM, SOC i firewallami, co pozwala połączyć bezpieczeństwo OT z polityką bezpieczeństwa całej organizacji.
Jak PiAZAP może zabezpieczyć te wyzwania?
Nasza firma specjalizuje się w automatyzacji i bezpieczeństwie systemów przemysłowych. Dostarczamy rozwiązania z zakresu cyberbezpieczeństwa dla technologii operacyjnej w sektorach krytycznej infrastruktury np. stacje uzdatniania wody, oczyszczalnie ścieków, pompownie i ujęcia wody.
Nasza oferta obejmuje:
- Wsparcie w aplikacjach grantowych: Nasz zespół pomaga w przygotowaniu i złożeniu wniosków o granty w ramach programu „Cyberbezpieczne Wodociągi”, zapewniając zgodność z kryteriami i maksymalizację szans na finansowanie.
- Ocena cyberbezpieczeństwa: Prowadzimy kompleksowe testy tzw. ,,proof of concept”, aby zidentyfikować luki w ochronie środowisk OT i dostarczyć analizę i rekomendacje na temat ich usunięcia.
- Szkolenia i świadomość: Oferujemy program szkoleniowy “Cyber Ochrona Twojej sieci OT -Praktyczne Szkolenie”, które podnoszą świadomość cyberbezpieczeństwa wśród kadry zarządzającej i technicznej, pomagając im lepiej chronić systemy i reagować na incydenty.
- Systemy monitorowania OT: Oferujemy system wykrywania intruzów SCADvance (IDS) zaprojektowany specjalnie do monitorowania i zabezpieczania przemysłowych systemów sterowania. Te systemy umożliwiają wykrywanie i reagowanie na cyberzagrożenia w czasie rzeczywistym, zapewniając integralność i dostępność usług
Wniosek
Program „Cyberbezpieczne Wodociągi” to unikalna szansa na uzyskanie bezzwrotnych grantów KPO na wzmocnienie bezpieczeństwa cyfrowego instalacji wodociągowych. Dzięki grantom można pokryć koszty m.in. wdrożenia systemów IDS/IPS OT, modernizacji sieci SCADA czy szkoleń bezpieczeństwa. Jednocześnie wnioski o finansowanie należy przygotować zgodnie z wytycznymi NIS2 i KSC – warto skorzystać z pomocy ekspertów.
Jesteśmy do dyspozycji przy pisaniu i realizacji projektów – skontaktuj się z nami już dziś, aby omówić szczegóły programu, zakres planowanych działań oraz przygotować skuteczną aplikację grantową. Nasz zespół techniczny odpowie na pytania o wymogi NIS2, specyfikę systemów OT i pomoże wybrać najlepsze rozwiązania (w tym certyfikowany system IDS ICSec/ScadvanceXP). Zwiększ odporność Twojej spółki wodociągowej na cyberzagrożenia – korzystając z doświadczenia PiAZAP i wsparcia KPO!
