Departament cyberbezpieczeństwa MC informował na początku tego roku, że na realizację projektu „Cyberbezpieczne wodociągi” współfinansowanego ze środków KPO, zaplanowano ok. 328,5 mln zł netto; a także że projekt ma ruszyć w drugim kwartale br., czyli między kwietniem a czerwcem.

Środki nieprzekraczające jednorazowo 200 tys. euro, czyli ok. 840 tys. zł, będą przyznawane przedsiębiorstwom sektora wodociągowo-kanalizacyjnego w ramach konkursu, który przeprowadzi Centrum Projektów Polska Cyfrowa (CPPC) - wynika z uzasadnienia projektu rozporządzenia opublikowanego w Rządowym Centrum Legislacji (RCL) autorstwa Ministerstwa Cyfryzacji (MC).

Według projektowanych przepisów, środki udzielane w ramach pomocy de minimis, jednostki będą mogły wydatkować do końca 30 czerwca 2026 r., ponieważ wtedy kończy się inwestycja KPO, z której m.in. będą pochodzić pieniądze: „Cyberbezpieczeństwo - CyberPL, infrastruktura przetwarzania danych optymalizacja infrastruktury służb państwowych odpowiedzialnych za bezpieczeństwo”.

Wsparcie otrzyma ograniczona grupa podmiotów z sektora wodociągowo-kanalizacyjnego - podkreśliło MC i wskazało, że chodzi m.in. o przedsiębiorstwa, które są operatorem usług kluczowych w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa (o KSC).

Pieniądze będą mogły też otrzymać przedsiębiorstwa wodociągowo-kanalizacyjne, które są: spółkami prawa handlowego, wykonującymi zadania o charakterze użyteczności publicznej oraz wykorzystującymi technologie operacyjne w przemysłowych systemach sterowania; lub są jednostkami sektora finansów publicznych, tj. jednostkami samorządu terytorialnego, związkami metropolitalnymi, jednostkami budżetowymi, samorządowymi zakładami budżetowymi.

Ponadto według projektowanych przepisów, pieniądze mogą otrzymać podmioty, w których „wystąpienie incydentu oraz przerwanie świadczenia usług może mieć szczególnie negatywny wpływ na funkcjonowanie państwa i społeczeństwa”.

Pieniądze będą mógłby być wydatkowane w 3 obszarach. W pierwszym, czyli „wdrożenie środków organizacyjnych służących zapewnieniu cyberbezpieczeństwa” MC wymieniło m.in.: obsługę incydentu; wprowadzenie polityki analizy ryzyka, polityki i procedur stosowania kryptografii i szyfrowania; zapewnienie ciągłości działania i zarządzania kryzysowego; stosowanie uwierzytelniania wieloskładnikowego; a także audyt systemu zarządzania bezpieczeństwem informacji.

Wśród wydatków w drugim obszarze, czyli „zakup lub modernizacja środków technicznych służących zapewnieniu cyberbezpieczeństwa” resort wskazał m.in.: systemy teleinformatyczne w tym urządzenia, oprogramowania i usługi zapewniających prewencję, reakcję i detekcję zagrożeń cyberbezpieczeństwa; systemy lub usługi zarządzania podatnościami i skanery podatności.

Trzeci obszar, na jaki będzie można otrzymać pieniądze to „rozwój kompetencji personelu w zakresie cyberbezpieczeństwa”, czyli szkolenia kadr - wynika z uzasadnienia projektu.

Zaznaczono w nim, że nabór wniosków w konkursie będzie trwał co najmniej miesiąc, co ma zapewnić wszystkim przedsiębiorstwom wodociągowo-kanalizacyjnym odpowiedni czas na przygotowanie dokumentacji. Dodano, że ocenie będzie podlegać to, w jakim stopniu zaproponowane działania służą zapewnieniu cyberbezpieczeństwa oraz wskazane przez podmiot koszty. Jak podkreśliło MC, w ramach naboru przedsiębiorstwo wodociągowo-kanalizacyjne będzie mogło złożyć tylko jeden wniosek.

Projekt rozporządzenia jest obecnie na etapie opiniowania m.in. przez CPPC, Prezesa Urzędu Komunikacji Elektronicznej (UKE), Prezesa Urzędu Ochrony Konkurencji i Konsumentów (UOKiK), Prezesa Urzędu Ochrony Danych Osobowych (PUODO), Rzecznika Małych i Średnich Przedsiębiorców, Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy (NASK - PIB).

Pod koniec lutego MC opublikowało komunikat, w sprawie zwiększonej liczby ataków na przemysłowe systemy sterowania (ICS/OT) dostępne bezpośrednio z Internetu. Sterowanie przemysłowe łączy w sobie elementy z zakresu informatyki, elektroniki i automatyki i jest wykorzystywane w wielu sektorach, m.in. w logistyce, produkcji, przemyśle, górnictwie. Resort przekazał, że niektóre z tych ataków miały wpływ na działanie systemów, a ich skutki odczuli odbiorcy usług.

Na przestrzeni ostatnich kilku miesięcy ofiarą cyberprzestępców padły m.in. oczyszczalnia ścieków w Kuźnicy (październik 2024) oraz stacje uzdatniania wody w Tolkmicku, Małdytach i Sierakowie (luty 2025). Ataki potwierdził PAP CERT Polska. Mówił tez o nich wicepremier i minister cyfryzacji Krzysztof Gawkowski podczas konferencji prasowej, która miała miejsce pod koniec lutego br.

„Pojawiło się nowe modus operandi w atakach na samorządy w zakresie cyberbezpieczeństwa, to jest część dotycząca wody i kanalizacji” - wskazał wtedy Gawkowski. Dodał, że „w Polsce zdarzają się ataki na przedsiębiorstwa wodno-kanalizacyjne i inne przedsiębiorstwa infrastruktury krytycznej”, ale „w cyberprzestrzeni wygrywamy wojnę z atakującymi, szczególnie z tymi, którzy atakują nas z Rosji”.

mbl/ mam/