Polskie wodociągi zrezygnowały z milionów złotych na cyberbezpieczeństwo. Oto powody

W marcu 2025 roku dowiedzieliśmy się o programie wsparcia dla polskich wodociągów, finansowanym z KPO. Jest odpowiedzią na liczne cyberataki grup powiązanych z Rosją na polski sektor wodno-kanalizacyjny. Na celowniku znalazły się poniższe jednostki:

• stacje uzdatniania wody: Tolkmicko, Małdyty, Sierakowo, Jabłonna Lacka, Szczytno;
• oczyszczalnie ścieków: Wydminy, Kuźnica, Witkowo, Chodaczów.

„W wyniku zalogowania się do urządzeń stacji uzdatniania wody hakerzy zmienili ustawienia pomp, co doprowadziło do wyczerpania zasobów w zbiorniku, a w konsekwencji spowodowało przerwę w dostawie wody. Po odzyskaniu dostępu do paneli sterujących wartości zostały przywrócone do stanu właściwego i po napełnieniu zbiorników przywrócono dostawę wody. Incydent spowodował przerwę w dostarczaniu wody na ok. 6 godzin dla ok. 2,5 tys. mieszkańców gminy” – stwierdzono w raporcie CERT Polska dotyczącym działalności w 2025 roku, opisując jeden z incydentów w stacji uzdatniania wody.

Krótki czas i pierwsze rezygnacje

1 września 2025 roku ruszył nabór wniosków w programie, który trwał nieco ponad miesiąc. Wnioski rozstrzygnięto 10 lutego br. Problem w tym, że program miał planowo potrwać do 30 czerwca – dawało to nieco ponad 4 miesiące na realizację grantu.

18 marca opublikowano aktualizację listy rankingowej. Wówczas okazało się, że trzy jednostki nie otrzymają wsparcia, pomimo pozytywnej oceny wniosku. Zapytaliśmy o to każdy z trzech podmiotów: wodociągowe spółki z Nowej Sarzyny, Wierzawic i Zawiercia.

Następnego dnia ZGK Nowa Sarzyna poinformowała nas, że zrezygnowała z podpisania umowy na grant z racji na limit pomocy de minimis.

„Pod koniec 2025 r. Spółka podpisała umowę o dofinansowanie projektu na kwotę ponad 1 mln zł, wiec na najbliższe 3 lata pozostało nam tylko ok. 200 tys. do wykorzystania z pomocy de minimis” – przekazała naszej redakcji spółka wodociągowa.

RPWiK Zawiercie odmówiło odpowiedzi z racji na tajemnicę przedsiębiorstwa. Stare Miasto-Park sp z o. o. z Wierzawic nie odpowiedziało na zapytanie mailowe. Pozostało więc nic innego, niż zapytać Ministerstwo Cyfryzacji o tę sprawę.

Przedłużenie i pierwsze rezygnacje

25 marca odbyła się konferencja prasowa, poświęcona podpisaniu pierwszych umów w programie.

„(…) ten program docelowo będzie przedłużony, uprzedzając ewentualne pytania dziennikarzy, do końca roku” – stwierdził wiceminister cyfryzacji Paweł Olszewski, uprzedzając moje pytanie na konferencji.

Po konferencji zapytaliśmy sekretarza stanu o powody rezygnacji trzech jednostek z otrzymania wsparcia z programu (pomimo pozytywnej oceny). Olszewski powiedział, że wszystkie z trzech jednostek przekroczyłyby kwotę pomocy de minimis.

15 maja Centrum Projektów Polska Cyfrowa opublikowało zaktualizowaną listę podmiotów, które otrzymają wsparcie z programu „Cyberbezpieczne wodociągi”.

„Dzięki dodatkowym środkom wesprzemy wszystkie projekty, które otrzymały ocenę pozytywną, więc aktualizujemy również listę rankingową” – stwierdzono na łamach portalu CPPC.

Poinformowano również o przedłużeniu programu do końca 2026 roku. Należy przy tym podkreślić, że miało to miejsce 1,5 miesiąca przed planowanym formalnym końcem konkursu grantowego.

Do tego czasu wodociągi były zobligowane do założenia, że program skończy się w czerwcu, co szerzej opisaliśmy na łamach naszego portalu w kwietniu br. Wówczas trwał proces aneksowania porozumienia między MC a Ministerstwem Funduszy i Polityki Regionalnej, umożliwiającego przedłużenie programu do końca bieżącego roku.

Naszą uwagę przyciągnęła jednak zaktualizowana lista rankingowa.

Kolejne wodociągi rezygnują

W nowej liście rankingowej już nie 3, a aż 14 podmiotów zrezygnowało z otrzymania wsparcia, pomimo uzyskania pozytywnej oceny. Jest to sytuacja dość niecodzienna, ponieważ… kto dobrowolnie rezygnuje z możliwości otrzymania państwowych pieniędzy na cyberbezpieczeństwo?

Postanowiliśmy wysłać pytania do wszystkich 11 kolejnych organizacji – gmin i spółek wodociągowych, które pomimo uzyskania możliwości otrzymania grantu, nie przystąpiły do podpisania umowy.

Naturalnym powodem wydawał się nam krótki czas na realizację programu. Odpowiedzi wodociągów i JST pokazują o wiele szerszy kontekst i dłuższą listę powodów odmowy otrzymania pieniędzy z rządowego programu.

Cierpliwie czekaliśmy na możliwie dużą liczbę odpowiedzi jednostek, aby przedstawić możliwie szeroki i obiektywny punkt widzenia.

Dużo obowiązków, mało czasu

Jedno z pytań do jednostek wodociągowych dotyczyło tego, czy krótki czas realizacji spowodował rezygnację z programu. Kilka z nich przyznało, że miało to bezpośredni lub pośredni wpływ na taką decyzję.

Poniżej pragniemy zacytować odpowiedzi gmin i spółek na pytanie: „Czy niepodpisanie umowy było spowodowane pierwotnym terminem realizacji projektu, tj. 30 czerwca br.?”

PPU Propol w Osieku: Tak, niepodpisanie umowy było spowodowane krótkim okresem realizacji.

ZGK Mielnik: Nie.

GZK Włoszakowice: Był to jeden z czynników, który spowodował, że spółka nie podpisała umowy.

Urząd Gminy w Przelewicach: Pierwotny termin realizacji projektu pośrednio miał wpływ na niepodpisanie umowy.

Urząd Gminy w Wietrzychowicach: Nie.

ZGK Maniowy/Urząd Gminy Czorsztyn: Termin realizacji projektu do 30 czerwca był jednym z czynników ryzyka, ponieważ przeprowadzenie postępowań zakupowych, wdrożeń, konfiguracji, audytów i rozliczenie projektu w tak krótkim czasie byłoby organizacyjnie trudne. Nie był to jednak jedyny ani główny powód.  Decydujące znaczenie miała ponowna analiza zasadności zakresu projektu w kontekście faktycznego stanu infrastruktury wodociągowej, w szczególności braku zdalnego sterowania urządzeniami technologicznymi oraz korzystania przez ZGK z części zabezpieczeń IT funkcjonujących po stronie Urzędu Gminy.

Wodociągi Warszawskie również nie zrezygnowały z uczestnictwa w programie z racji na czas realizacji – odpowiedź zostanie szczegółowo omówiona w dalszej części artykułu.

Urząd Gminy Żukowice potwierdził rezygnację z podpisania umowy, bez wskazywania powodu.

3 organizacje nie odpowiedziały na nasze pytania – mowa głównie o podmiotach prywatnych.

Widać, że termin realizacji projektu miał wpływ na niepodpisanie umowy przez wodociągi w przypadku 4 z 7 jednostek, które podały powody rezygnacji. Pragniemy jednak przytoczyć inne, czasem zdecydowanie ważniejsze i poważniejsze kwestie związane z realizacją programu.

Problem z VAT-em

Dwie organizacje wskazały, że nie są w stanie sfinansować VAT-u, przez co nie mogą zawrzeć umowy. W regulaminie konkursu grantowego czytamy:

Wydatki poniesione przez Grantobiorcę na podatek VAT ze środków Grantu będą uznane za niekwalifikowalne. Podatek VAT jest finansowany ze środków własnych Grantobiorcy.
Regulamin "Cyberbezpiecznych Wodociągów", § 5 ust. 9

Problem w tym, że niektórych jednostek po prostu nie stać na VAT – co jest w pełni zrozumiałe z racji na ich budżety.

ZGK Mielnik: Zakład jest jednostką budżetową podległą pod Urząd Gminy i mamy scentralizowany VAT. Urząd Gminy miał sfinansować koszty VAT-u, ale odmówił współpracy i tym samym ograniczył finansowo możliwości Zakładu w udziale w projekcie.

Gmina Wietrzychowice: Gmina Wietrzychowice nie podpisała umowy z uwagi na brak możliwości odliczenia VAT-u, jest to kwota ok. 300 000 zł.

UG Wietrzychowice przekazał nam też, że wniosek był składany przez firmę zewnętrzną, zaś sprawa odzyskania VAT nie była doprecyzowana. Na pytanie o okoliczności, których nie dało się przewidzieć na etapie składania wniosku, gmina wskazała „brak jasnego stanowiska dotyczącego możliwości odzyskania VAT przez gminę”.

Wpływ na cyberbezpieczeństwo

Zapytaliśmy wodociągi i JST o to, czy brak otrzymania grantu wpłynie na poziom cyberbezpieczeństwa w obiekcie. Zdecydowana większość obiektów poinformowała nas, że nie będzie to miało dużych konsekwencji w tym zakresie. Jednocześnie ZGK Mielnik przekazał nam bardzo mocne stanowisko.

Brak wsparcia oznacza wolniejsze tempo podnoszenia poziomu bezpieczeństwa wodociągów i utrzymywanie większego ryzyka operacyjnego dla infrastruktury krytycznej.
ZGK Mielnik

Inne, ważne obserwacje

„Procedura naboru była opisana w regulaminie i prowadzona za pośrednictwem systemu LSI. Jednocześnie, z perspektywy małych jednostek komunalnych, zakres dokumentacji, tempo naboru oraz konieczność szybkiego doprecyzowania specjalistycznych zagadnień IT/OT były dużym wyzwaniem organizacyjnym” – przekazał nam Urząd Gminy Czorsztyn.

Należy przy tym odnotować, że rezygnacja tej jednostki z udziału w programie wynikała w dużej mierze z lokalnego sterowania obiektem, poza siecią internetową.

Dodatkowym czynnikiem była ocena ryzyka realizacyjnego. Zakres projektu obejmował specjalistyczne zakupy i wdrożenia IT/OT, które należałoby przeprowadzić, odebrać i rozliczyć w krótkim terminie. Przy konieczności doprecyzowania zakresu projektu do faktycznych potrzeb ZGK ryzyko terminowej i prawidłowej realizacji zamówienia było istotne i wpłynęło na decyzję o niepodpisaniu umowy.
UG Czorsztyn

ZGK Mielnik zaznaczył, że niepodpisanie umowy było spowodowane zarówno ograniczeniami finansowymi oraz brakami kompetencyjnymi i kadrowymi.

Trzy jednostki poniosły koszty, które z założeniami miały być kwalifikowalne w programie. Jednocześnie ich zakres wskazuje, że były to prace związane przede wszystkim z przygotowaniem i obsługą wniosku.

„(…) Spółka podjęła decyzję o niepodpisywaniu umowy o dofinansowanie. Główną przyczyną był zbyt krótki czas na realizację pełnego zakresu rzeczowego projektu oraz duży wzrost cen towarów i usług na rynku IT, w stosunku do planowanego we wniosku budżetu oraz braku dostępności materiałów w magazynach” – podkreślił PPU Propol z Osieku.

„Duży” sobie poradzi

Bardzo obszerną odpowiedź przekazało nam MPWiK Warszawa. Wynika z niej, że:

• pozostały limit pomocy de minimis pokrywał tylko część planowanych wydatków - spółka mogła ubiegać się o dofinansowanie w wysokości maksymalnie 735 890 złotych (dokładnie o tyle zawnioskowała - przyp. red.);
• koszty realizacji wniosku o dofinansowanie zostały pokryte z budżetu Stołecznego Centrum Bezpieczeństwa Urzędu m. st. Warszawy;
• całość planowanego dofinansowania z Cyberbezpiecznych Wodociągów” zostanie pokryta z rezerwy celowej warszawskiego Centrum Bezpieczeństwa;
• termin realizacji projektu nie miał wpływu na niepodpisanie umowy.

„Uzyskanie alternatywnego dofinansowania pozwoliło Spółce na całkowite (a nie tylko częściowe) pokrycie wydatków związanych z realizacją wnioskowanego zadania” – przekazały nam warszawskie wodociągi.

Bardzo dobrze, że stołeczne wodociągi otrzymają (jak najbardziej potrzebne) wsparcie. Widzimy jednak pewien kontrast – dwa mniejsze obiekty zrezygnowały z programu z racji na brak możliwości sfinansowania VAT-u.

„Są duże przedsiębiorstwa i reszta świata” – celnie stwierdził na naszych łamach Włodzimierz Woźniak w wywiadzie poświęconym cyberbezpieczeństwu sektora wodno-kanalizacyjnego.

Co dalej?

Wartość wsparcia w programie „Cyberbezpieczne Wodociągi” wynosi ponad 627 mln złotych.

Sumaryczne planowane wsparcie dla 14 jednostek, które zakwalifikowały się do programu i nie podpisały umowy, to kwota przekraczająca 12,6 mln złotych.

Program „Cyberbezpieczne wodociągi” jest słuszny i potrzebny, ale na pewno nie będzie „panaceum” na wszystkie problemy sektora wodno-kanalizacyjnego. Szczególnie części „kanalizacyjnej”, ponieważ o wsparcie mogły ubiegać się podmioty odpowiedzialne za zbiorowe zaopatrywanie w wodę.

„Zgodnie z Regulaminem Konkursu Grantowego kwalifikowane są koszty związane ze zbiorowym zaopatrzeniem w wodę. Zabezpieczenie sieci OT w oczyszczalni ścieków może być kosztem kwalifikowanym tylko wtedy, gdy jest powiązane z działalnością w tym obszarze” – czytamy w skoroszycie pytań i odpowiedzi dot. programu.

„Wadą jest to, że program nie odpowiada na potrzeby małych wodociągów, które mają przestarzałe i niewspierane sterowniki. Ich może po prostu nie stać na system operacyjny, potrzebny do obsługi SCADA” – przekazał nam w lipcu 2025 roku jeden z ekspertów, prosząc o zachowanie anonimowości.

Dodał również, że „Cyberbezpieczne wodociągi” nie pozwalają na „wymianę sterowników z wbudowanym modemem LTE” – to właśnie przez to urządzenia często są widoczne z poziomu Internetu.

Do incydentów w sektorze wodno-kanalizacyjnym odniesiono się w raporcie z działalności Agencji Bezpieczeństwa Wewnętrznego w latach 2024-2025.

„Aktywność wymierzona w infrastrukturę komunalną była szczególnie intensywnie prowadzona przez grupy haktywistyczne. Podejmując próby ingerencji w działanie tego typu obiektów, wykorzystywano rażącą podatność w obszarze niewłaściwej polityki haseł oraz niezabezpieczone panele zarządzania urządzeniami, dostępne bezpośrednio w publicznej sieci internet” – stwierdziło ABW.

W 2025 r. odnotowano m.in. incydenty naruszenia bezpieczeństwa stacji uzdatniania wody w miejscowościach: Jabłonna Lacka, Szczytno, Małdyty, Tolkmicko, Sierakowo. Atakujący, uzyskując w niektórych przypadkach dostęp do przemysłowych systemów sterowania, mieli możliwość zmiany parametrów technicznych urządzeń, co stwarzało bezpośrednie ryzyko dla ciągłości ich funkcjonowania, a co za tym idzie – dla procesów zaopatrzenia ludności.
ABW, Raport z działalności w latach 2024-2025

Chcesz coś przekazać? Polecamy anonimowy kontakt z nami – należy użyć formularza „Zgłoszenia anonimowe” u dołu strony.