Cyberbezpieczne Wodociągi. Nie zwlekaj ze złożeniem wniosku

Cyberataki na obiekty z sektora wodno-kanalizacyjnego zdarzały się kilkukrotnie w ciągu ostatniego 1,5 roku. Wśród takich incydentów należy wyróżnić m.in.:

• oczyszczalnię ścieków w Wydminach (04.2024);
• oczyszczalnię ścieków w Kuźnicy (10.2024);
• SUW Małdyty, Tolkmicko, Sierakowo (04.2025);
• oczyszczalnię ścieków w Witkowie (04.2025);
• stację uzdatniania wody Szczytno (05.2025).

Informacje o wzmożonej liczbie ataków pojawiały się już w maju 2024 – wówczas CERT Polska wydał rekomendacje dla wzmocnienia ochrony systemów OT. W lutym br. wicepremier Krzysztof Gawkowski, pełnomocnik rządu ds. cyberbezpieczeństwa, opublikował komunikat w związku z rosnącą liczbą ataków na przemysłowe systemy sterowania (ICS/OT). „Co ważne, niektóre z tych ataków miały wpływ na rzeczywiste działanie systemów, a ich skutki odczuli odbiorcy usług” – stwierdzono w zawiadomieniu.

W lipcu br. minister cyfryzacji przekazał, że ataki na wodociągi „dotyczą normalnego życia obywateli”. W sierpniu poinformował o powstrzymaniu w „ostatniej chwili” ataku na duże miasto, który mógł odciąć mieszkańców od wody.

Nie jesteśmy bezbronni w cyberprzestrzeni – w kwietniu dowiedzieliśmy się, że naszym służbom udało się odeprzeć 17 z 18 ataków na infrastrukturę krytyczną w ciągu kilku dni. Jednocześnie, zarówno w opracowaniach NASK oraz CPPC, znajdują się poniższe stwierdzenia:

W ostatnim czasie odnotowano przypadki prób włamań do systemów uzdatniania wody oraz oczyszczalni ścieków w różnych częściach Polski, m.in. w Wydminach, Kuźnicy, Tolkmicku czy Małdytach. Cyberataki często prowadziły do manipulowania parametrami technicznymi urządzeń i stwarzały realne zagrożenie dla zdrowia i życia mieszkańców.
NASK, „NASK zabezpieczy wodociągi. Ponad 300 milionów złotych na cyberochronę"

Próby włamań do systemów uzdatniania wody i oczyszczalni ścieków odnotowano m.in. w Wydminach, Kuźnicy, Tolkmicku i Małdytach. Ataki te często polegały na manipulowaniu parametrami technicznymi urządzeń, co stwarzało realne zagrożenie dla zdrowia i życia mieszkańców
Centrum Projektów Cyfrowa Polska, „Cyberbezpieczne Wodociągi - rusza nabór wniosków o wsparcie na ochronę przed cyberatakami"

Cyberbezpieczne Wodociągi – do kiedy wniosek?

Centrum Projektów Cyfrowa Polska informuje na swojej stronie, że wnioski o przyznanie grantu można składać do 2 października 2025 r. (do godz. 16:00). W komunikacie wyróżniono jednostki, które mogą starać się o dofinansowanie. Są nimi poniższe podmioty krajowego systemu cyberbezpieczeństwa:

• przedsiębiorstwa wodociągowo-kanalizacyjne, które są operatorami usług kluczowych; 
• spółki prawa handlowego, które wykonują zadania o charakterze użyteczności publicznej; 
• jednostki sektora finansów publicznych.

Cyberbezpieczne Wodociągi a oczyszczalnie ścieków

O przyznanie grantu mogą starać się podmioty prowadzące działalność w zakresie zbiorowego zaopatrzenia w wodę. „Podmioty prowadzące działalność zarówno w zakresie zaopatrzenia w wodę, jak i kanalizacji mogą brać udział w konkursie. Koszty związane z kanalizacją kwalifikujemy tylko wtedy, gdy są powiązane z działalnością w zakresie zbiorowego zaopatrzenia w wodę. Same koszty kanalizacji, bez takiego powiązania, mogą nie być kwalifikowane” – stwierdzono w dokumencie ze strony CPPC z 12 września br.

Oczyszczalnie ścieków, działające jako odrębne jednostki, nie zostaną objęte grantem. „Jeśli oczyszczalnia ścieków jest wyodrębniona i nie pełni funkcji przedsiębiorstwa wodociągowo-kanalizacyjnego, to nie spełnia warunku zbiorowego zaopatrzenia w wodę i nie kwalifikuje się do wsparcia” – przekazano w wspomnianym dokumecie.

Co obejmuje program?

Szczegółowa lista wydatków kwalifikowanych znajduje się w regulaminie programu. Wśród nich warto wyróżnić m.in.:

• SIEM, SOAR, IPS, IDS, WAF;
• honeypoty;
• serwer do wykonywania kopii zapasowych (w tym z usługą/licencją deduplikacji);
• klucze sprzętowe U2F;
• agregaty prądotwórcze;
• EDR, XDR, NDR;
• testy bezpieczeństwa infrastruktury sieciowej IT/OT/ICS/IIoT;
• usługa CTI (Cyber Threat Intelligence) IT/OT/ICS/IIoT;
• audyt SZBI, audyt SZCD, audyt zgodności KRI/uoKSC przez wykwalifikowanych audytorów, audyt (re)certyfikacji SZBI, SZCD na zgodność z normami IT/OT/ICS;
• szkolenia z zakresu cyberbezpieczeństwa;
• usługa Private APN.

Jednocześnie na poczet grantu nie można zaliczyć m.in.:

• budowy sieci LAN/WAN/Radiowej/Światłowodowej w obszarach IT i OT;
• rozwiązań bezpieczeństwa wizyjnego, fizycznego i technicznego;
• systemów telemetrycznych.

CPPC stwierdziło również w dokumencie „Cyberbezpieczne Wodociągi – pytania i odpowiedzi”, że koszty licencji (np. na oprogramowanie) są objęte finansowaniem z programu do dnia 30 czewrca 2026 roku.

Szczegółowe informacje dostępne są na stronie przetargu. Nie warto zwlekać z złożeniem wniosku.