Information Security in District Heating — KITEIC Webinar Recap

Ciepłownia jako podmiot kluczowy — webinar, który musiał się odbyć

Siedemnastego kwietnia 2026 roku przedstawiciele kilkudziesięciu przedsiębiorstw ciepłowniczych z całej Polski spotkali się online, by przez niemal trzy godziny rozmawiać o czymś, co do niedawna traktowano w branży jako problem „informatyków" — o bezpieczeństwie informacji. Webinar zorganizowany z inicjatywy Krajowej Izby Technologii Energetyki, Inżynierii i Ciepłownictwa (www.kiteic.pl) poprowadził Łukasz Grabowski, Prezes Zarządu Fib.Code Sp. z o.o. — inspektor ochrony danych, pełnomocnik ds. bezpieczeństwa informacji i audytor wiodący ISO 27001 z wieloletnią praktyką wdrożeniową w sektorach regulowanych.

Powód, dla którego KITEIC zaprosił Fib.Code do tej rozmowy, jest prosty: od 2 kwietnia 2026 roku znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa traktuje przedsiębiorstwa ciepłownicze jako podmioty kluczowe — najwyższą kategorię z najbardziej rygorystycznymi obowiązkami. A większość ciepłowni, z którymi Fib.Code współpracuje na co dzień, jeszcze kilkanaście miesięcy temu nie miała formalnego systemu zarządzania bezpieczeństwem informacji. Webinar miał pomóc przekuć regulacyjny szok w konkretny plan działania.

Dlaczego właśnie ciepłownictwo

Dyrektywa NIS-2 (UE 2022/2555) w Załączniku I jednoznacznie klasyfikuje sektor energetyczny — w tym ciepłownictwo systemowe — jako obszar o wysokiej krytyczności. Transpozycja do polskiego prawa przez UoKSC utrzymuje tę kwalifikację. Ciepłownia spełniająca kryteria wielkościowe (50 pracowników lub obrót powyżej 10 mln EUR) staje się podmiotem kluczowym z mocy prawa — bez decyzji administracyjnej, bez wpisu na listę, bez możliwości „poczekania, aż ktoś się upomni".

Uczestnicy webinaru, głównie członkowie zarządów, dyrektorzy techniczni i kierownicy IT ciepłowni komunalnych, od razu wychwycili punkt ciężkości. Kary administracyjne dla podmiotów kluczowych sięgają 10 mln EUR lub 2% rocznego obrotu — w zależności od tego, która kwota jest wyższa. Do tego dochodzi osobista odpowiedzialność kadry zarządzającej, której w polskiej transpozycji nadano wymiar finansowy w postaci kar do 600% miesięcznego wynagrodzenia. Prezesi ciepłowni komunalnych, powoływani przez rady nadzorcze i właścicieli komunalnych, bardzo szybko zrozumieli, że to już nie jest temat delegowalny w dół.

Program, który nie omijał trudnych miejsc

Wystąpienie podzielone zostało na trzy bloki merytoryczne. Łukasz Grabowski już na wstępie zadeklarował, że celem nie jest recytowanie przepisów, lecz pokazanie, co z tymi przepisami zrobić w ciepłowni, w której pracuje stary sterownik z zainstalowanym Windowsem 7, inżynier automatyk zna hasło administratora SCADY na pamięć od dziesięciu lat, a dział IT to jedna osoba dzielona z działem technicznym.

Blok pierwszy — otoczenie regulacyjne i realne zagrożenia

Wystąpienie rozpoczęło się od przeglądu cyberataków, które w ostatniej dekadzie uderzyły w infrastrukturę energetyczną i przemysłową. BlackEnergy i ataki na ukraińską sieć energetyczną w 2015 roku. TRITON/TRISIS w 2017 roku — malware zaprojektowany wyłącznie po to, by ingerować w systemy bezpieczeństwa instalacji przemysłowych. Colonial Pipeline w 2021 roku — ransomware, który zatrzymał transport paliw wzdłuż całego Wschodniego Wybrzeża USA. Oldsmar, również 2021 rok — próba zatrucia wody pitnej przez podniesienie stężenia wodorotlenku sodu do poziomu zagrożenia życia. Duński atak na Zyxel VPN w 2024 roku, który sparaliżował pracę dwudziestu dwóch operatorów infrastruktury krytycznej jednocześnie.

To nie są akademickie przykłady. To studia przypadków, w których ktoś realnie próbował — i nierzadko potrafił — uderzyć w procesy fizyczne za pośrednictwem warstwy cyfrowej. Ciepłownia, która nie wyobraża sobie własnej podatności na podobny scenariusz, nie wyobraża sobie jej dlatego, że do takiego ćwiczenia jeszcze nie usiadła.

Druga część pierwszego bloku to krajobraz regulacyjny: NIS-2 z jej artykułem 20 (obowiązek szkoleń zarządu), artykułem 21 (dziesięć minimalnych środków zarządzania ryzykiem) i artykułem 23 (schemat raportowania 24/72/30). UoKSC z artykułami 8, 11 i 14 — polska operacjonalizacja tych obowiązków wraz z rolą CSIRT GOV jako właściwego zespołu reagowania dla sektora energii. Prelegent omówił również relacje pomiędzy NIS-2, UoKSC, ustawą o efektywności energetycznej oraz normami technicznymi IEC 62443 dla systemów automatyki przemysłowej.

Blok drugi — ISO 27001:2022 jako szkielet, na którym się buduje

Druga godzina webinaru poświęcona była standardowi ISO 27001:2022. Nie dlatego, że certyfikat jest obowiązkowy — bo nie jest — tylko dlatego, że jest to najbardziej pragmatyczna mapa drogowa do spełnienia wymogów NIS-2 i UoKSC, jaką dziś rynek ma do dyspozycji. Kto wdraża ISO 27001:2022 z myślą o trwałości, a nie o papierze do szuflady, ten spełnia większość minimalnych środków z artykułu 21 dyrektywy NIS-2 niejako przy okazji.

Prowadzący przeprowadził uczestników przez wszystkie cztery grupy zabezpieczeń Annexu A w nowym wydaniu standardu:

• A.5 — zabezpieczenia organizacyjne (37 kontrolek): polityki, role, zarządzanie dostawcami, klasyfikacja informacji, zarządzanie incydentami. Dla ciepłowni szczególnie istotne są klauzule dotyczące nadzoru nad dostawcami SCADA, integratorami automatyki i firmami serwisującymi sterowniki PLC.
• A.6 — zabezpieczenia osobowe (8 kontrolek): rekrutacja, umowy o poufności, procesy wejścia i wyjścia z organizacji, szkolenia. W ciepłowniach komunalnych ze stażami pracy liczonymi w dekadach kluczowe staje się procedowanie zmian dostępu przy rotacji na stanowiskach technicznych.
• A.7 — zabezpieczenia fizyczne (14 kontrolek): strefy, kontrola wejść, ochrona sprzętu, bezpieczeństwo okablowania. Ciepłownia ma w tym obszarze przewagę startową — fizyczna ochrona obiektu produkcyjnego zwykle jest rozwinięta. Słabym ogniwem bywa ochrona szaf sterowniczych i punktów końcowych telemetrii w obiektach węzłowych.
• A.8 — zabezpieczenia technologiczne (34 kontrolki): uwierzytelnianie, ochrona sieci, kryptografia, kopie zapasowe, monitorowanie, ochrona przed złośliwym oprogramowaniem. To obszar, w którym specyfika OT wymaga największej kreatywności — klasyczne rozwiązania z IT nie zawsze dają się przenieść na sterownik PLC, który nie przeszedł certyfikacji producenta pod kątem aktywnego skanowania antywirusowego.

Omówione zostały również zmiany między wydaniem 2013 a 2022: redukcja liczby kontrolek ze 114 do 93, wprowadzenie jedenastu zupełnie nowych zabezpieczeń (między innymi threat intelligence, bezpieczeństwo chmury, maskowanie danych, ochrona przed wyciekiem danych, bezpieczne kodowanie), spłaszczenie struktury załącznika A do czterech grup zamiast czternastu obszarów. Dla ciepłowni, które wdrażały lub rozważają wdrożenie ISO 27001, to istotne — norma ewoluowała w kierunku, który znacznie lepiej pokrywa rzeczywistość środowisk OT i chmurowych.

Blok trzeci — PDCA i specyfika SZBI w ciepłowni

Trzeci blok został poświęcony cyklowi PDCA (Plan-Do-Check-Act) jako filozofii pracy z bezpieczeństwem informacji oraz specyfice budowy Systemu Zarządzania Bezpieczeństwem Informacji w przedsiębiorstwie ciepłowniczym. Nie teorii, lecz praktyce: co naprawdę musi się znaleźć w dokumentacji, żeby audytor zewnętrzny potraktował SZBI poważnie, a kontrola z CSIRT nie zakończyła się decyzją administracyjną.

Kluczowe wątki tego bloku:

Kontekst organizacji i strony zainteresowane. Ciepłownia ma bardzo konkretne strony zainteresowane: gminę jako właściciela, odbiorców ciepła (w tym szpitale, szkoły, osiedla mieszkaniowe), Urząd Regulacji Energetyki, dostawców paliw, dostawców technologii, mieszkańców oczekujących ciepła w grudniowe mrozy. Każda z tych grup ma własne oczekiwania wobec bezpieczeństwa informacji — i każda musi zostać odzwierciedlona w kontekście SZBI.

Segmentacja IT/OT — rzecz święta. Prowadzący pokazał uczestnikom diagramy sieci, z którymi Fib.Code spotykał się realnie w audytach: komputer działu księgowości w tej samej podsieci co stacja inżynierska SCADA, drukarka sieciowa z dostępem do VLAN-u automatyki, VPN z hasłem sprzed ośmiu lat, przez który firma integratorska „tylko zagląda" do sterownika. To nie są przypadki egzotyczne — to rzeczywistość większości ciepłowni średniej wielkości.

Dokumentacja SZBI jako żywy system. Polityka bezpieczeństwa informacji, procedura zarządzania incydentami, procedura zarządzania dostępami, plan ciągłości działania z osobnym scenariuszem dla sezonu grzewczego, rejestr ryzyk z odrębnymi wpisami dla IT i OT, deklaracja stosowania, plan postępowania z ryzykiem. Każdy z tych dokumentów został omówiony z pokazaniem pułapek, w które wpadają organizacje traktujące wdrożenie jako akcję jednorazową.

Schemat raportowania 24/72/30. Wstępne powiadomienie do CSIRT GOV w ciągu 24 godzin, raport pośredni w 72 godziny, raport końcowy w ciągu miesiąca. Dla ciepłowni, w których dotychczas „incydent" kojarzył się z awarią pompy obiegowej, a nie z nieautoryzowanym dostępem do HMI, była to jedna z najbardziej angażujących części wystąpienia. Prelegent omówił, jak klasyfikować zdarzenie jako incydent poważny, kto w organizacji ma kompetencję do uruchomienia zegara raportowania oraz jak przygotować szablony raportów, by nie improwizować pod presją czasu.

RTO kotła i sterowanie ręczne jako fallback. Łukasz Grabowski przedstawił rozwiązania, które w ciepłowniach dają się wdrożyć bez gigantycznych budżetów: procedury przejścia na sterowanie ręczne kotła w scenariuszu utraty systemów cyfrowych, wymaganie RTO poniżej dwóch godzin dla kluczowych funkcji procesowych, regularne ćwiczenia zespołu operatorskiego z pracy „bez sieci". To elementy, które decydują o tym, czy cyberincydent zakończy się kilkugodzinnym ograniczeniem parametrów, czy trzydniową przerwą w dostawie ciepła do dwudziestotysięcznego osiedla.

Co ciepłownie zabierają z webinaru ze sobą

Uczestnicy otrzymali pakiet materiałów poseminaryjnych obejmujący prezentację, matrycę NIS-2 → ISO 27001:2022, szablon harmonogramu wdrożenia SZBI dla ciepłowni średniej wielkości oraz checklistę pięciu pierwszych kroków, które zarząd powinien podjąć w ciągu najbliższych trzydziestu dni. Od strony merytorycznej najważniejsze wnioski brzmią tak:

Po pierwsze — klasyfikacja podmiotu należy do niego samego, nie do urzędu. Pierwszym krokiem każdego zarządu ciepłowni powinna być formalna analiza statusu względem UoKSC, udokumentowana i zatwierdzona na poziomie zarządu.

Po drugie — ISO 27001:2022 to nie luksus, to dźwignia. Każda godzina zainwestowana w SZBI wdrażane zgodnie z tym standardem jest godziną pracy pod wymogi NIS-2 i UoKSC jednocześnie.

Po trzecie — specyfika OT wymaga dedykowanych rozwiązań. Przeniesienie jeden do jeden praktyk z banku czy firmy IT na sterownie procesami ciepłowniczymi skończy się albo fikcją bezpieczeństwa, albo zatrzymaniem produkcji.

Po czwarte — czas gra na niekorzyść zwlekających. Trzydzieści sześć miesięcy brzmi długo, dopóki nie spróbuje się zaprojektować, wdrożyć, przetestować i przeprowadzić przez audyt zewnętrzny pełnowymiarowy SZBI. Wtedy trzydzieści sześć miesięcy zaczyna wyglądać jak terminologia projektowa.

Podziękowania dla KITEIC

Na zakończenie — słowo od gospodarza. Współpraca z Krajową Izbą Technologii Energetyki, Inżynierii i Ciepłownictwa ułożyła się modelowo. KITEIC od lat pełni rolę platformy, na której sektor ciepłowniczy spotyka się z ekspertami z obszarów technologicznych, prawnych i regulacyjnych. Inicjatywa, by obszar bezpieczeństwa informacji przedstawić branży w formacie otwartego webinaru — z możliwością zadawania pytań w czasie rzeczywistym i dostępem do pełnych materiałów po wydarzeniu — zasługuje na wdzięczność każdej ciepłowni, która z tego spotkania skorzystała.

Dziękujemy Izbie za zaufanie, za sprawną organizację i za troskę o to, by wydarzenie miało ciężar merytoryczny odpowiadający powadze tematu. Cieszymy się, że Fib.Code mógł do tego dyskursu dołożyć swoją cegiełkę.

Wsparcie Fib.Code dla sektora ciepłowniczego

Zespół Fib.Code od lat pracuje z przedsiębiorstwami infrastruktury krytycznej — wodociągami, spółkami komunalnymi, a od 2024 roku coraz intensywniej z ciepłownictwem. Rozumiemy świat, w którym regulacje europejskie spotykają się ze sterownikami PLC sprzed piętnastu lat, a zarząd musi pogodzić wymogi NIS-2 z realnym budżetem spółki komunalnej.

Oferujemy pełne wsparcie w procesie osiągania i utrzymania zgodności — od wstępnej oceny statusu i gap analysis, przez opracowanie dokumentacji SZBI uwzględniającej specyfikę IT/OT, aż po pełnomocnika ds. bezpieczeństwa informacji w modelu outsourcingu i wsparcie przy audytach zewnętrznych. O modelu współpracy, który sprawdza się szczególnie w organizacjach bez rozbudowanego zespołu bezpieczeństwa, pisaliśmy w artykule o outsourcingu pełnomocnika ds. bezpieczeństwa informacji. Dla porównania sektorowego polecamy również wodociągi wobec NIS-2 — specyfikę sektora wod-kan — wiele wniosków przekłada się jeden do jeden na ciepłownictwo.

Jeżeli Państwa ciepłownia stoi u progu wdrożenia SZBI albo rozpoczyna analizę statusu względem NIS-2, chętnie przeprowadzimy bezpłatną rozmowę diagnostyczną. Najszybszą drogą do kontaktu jest e-mail: l.grabowski@fibcode.com | fibcode.com/pl/kontakt.