18 marca 2026 roku Centrum Projektów Polska Cyfrowa opublikowało zaktualizowaną listę rankingową programu Cyberbezpieczne Wodociągi. Trzy podmioty — spółki wodociągowe z Nowej Sarzyny, Wierzawic i Zawiercia — mimo pozytywnej oceny wniosku nie podpisały umowy o dofinansowanie. Dziennikarze CyberDefence24 zapytali każdy z nich o powód. ZGK Nowa Sarzyna odpowiedział bez ogródek: pod koniec 2025 roku spółka podpisała już inną umowę o dofinansowanie na ponad milion złotych, więc na najbliższe trzy lata zostało jej zaledwie około 200 tysięcy złotych limitu pomocy de minimis. Reszta programu, choćby najbardziej potrzebna, po prostu się nie mieściła w unijnym rachunku.
Dwa miesiące później okazało się, że Nowa Sarzyna nie była wyjątkiem, lecz pierwszym sygnałem. 15 maja 2026 roku CPPC opublikowało kolejną aktualizację listy — i tym razem rezygnacji nie było trzy, tylko czternaście. Podmioty, które zakwalifikowały się do wsparcia w programie finansowanym z Krajowego Planu Odbudowy, oddały łącznie ponad 12,6 miliona złotych przeznaczonych na ochronę przed atakami, jakich w ostatnich dwóch latach doświadczyła niemal cała polska infrastruktura wodno-kanalizacyjna. To historia, w której administracja publiczna próbowała rozdać pieniądze na cyberbezpieczeństwo sektora regularnie atakowanego przez prorosyjskich hakerów — i część adresatów tej pomocy z własnej woli powiedziała: dziękujemy, nie skorzystamy.
Program, który miał uzbroić polskie wodociągi
Cyberbezpieczne Wodociągi to odpowiedź Ministerstwa Cyfryzacji na falę incydentów w sektorze wodno-kanalizacyjnym, prowadzonych przez grupy haktywistyczne powiązane z Rosją. W 2025 roku na celowniku znalazły się między innymi stacje uzdatniania wody w Tolkmicku, Małdytach, Sierakowie, Jabłonnej Lackiej i Szczytnie oraz oczyszczalnie ścieków w Wydminach, Kuźnicy, Witkowie i Chodaczowie. Raport CERT Polska za 2025 rok opisuje jeden z tych incydentów wprost: po zalogowaniu się do urządzeń stacji uzdatniania wody napastnicy zmienili ustawienia pomp, doprowadzając do wyczerpania zasobów w zbiorniku i przerwy w dostawie wody trwającej około sześciu godzin dla blisko 2,5 tysiąca mieszkańców gminy. Agencja Bezpieczeństwa Wewnętrznego w raporcie z działalności za lata 2024–2025 wskazała, że napastnicy najczęściej wykorzystywali rażące zaniedbania — niewłaściwą politykę haseł oraz panele zarządzania urządzeniami wystawione bezpośrednio do publicznego internetu.
Odpowiedzią miał być konkurs grantowy finansowany z KPO, prowadzony przez Centrum Projektów Polska Cyfrowa. Nabór wniosków ruszył 1 września 2025 roku i trwał nieco ponad miesiąc, a wyniki ogłoszono 10 lutego 2026 roku. Ostatecznie wsparcie w wysokości przekraczającej 627 milionów złotych trafiło do kilkuset przedsiębiorstw wodociągowych, gmin i spółek komunalnych w całej Polsce — od największych aglomeracji po jednoosobowe zakłady gospodarki komunalnej w kilkutysięcznych miejscowościach. Na papierze to jeden z niewielu momentów, w których państwo realnie sfinansowało bezpieczeństwo informacji w sektorze, który od lat funkcjonuje na granicy możliwości technicznych i kadrowych. W praktyce projekt miał planowo potrwać zaledwie do 30 czerwca 2026 roku — dawało to niespełna cztery i pół miesiąca na przeprowadzenie postępowań zakupowych, wdrożeń, konfiguracji i rozliczenia grantu.
Trzy rezygnacje, potem czternaście
Wiceminister cyfryzacji Paweł Olszewski, pytany 25 marca 2026 roku na konferencji prasowej o powody rezygnacji trzech pierwszych podmiotów, potwierdził wersję Nowej Sarzyny — wszystkie trzy przekroczyłyby limit pomocy de minimis. Zapowiedział też, że program zostanie przedłużony do końca roku. Formalnie stało się to dopiero 15 maja, czyli półtora miesiąca przed pierwotnym terminem zakończenia konkursu — do tego czasu jednostki musiały planować swoje wdrożenia z założeniem, że mają czas jedynie do czerwca.
Ta sama aktualizacja z 15 maja ujawniła skalę problemu, której wcześniej nikt głośno nie nazwał. Na nowej liście rankingowej czternaście podmiotów, mimo uzyskania pozytywnej oceny wniosku, nie przystąpiło do podpisania umowy. CyberDefence24 wysłało pytania do jedenastu kolejnych organizacji — gmin i spółek wodociągowych, które zrezygnowały ze wsparcia po pierwszej trójce. Odpowiedzi, które udało się zebrać, pokazują coś więcej niż pojedynczy defekt administracyjny. Pokazują, że projekt zaprojektowany z myślą o ratowaniu najsłabiej chronionego sektora infrastruktury krytycznej trafił na te same bariery, które od lat utrudniają temu sektorowi jakiekolwiek inwestycje — niezależnie od tego, skąd pochodzą pieniądze.
Pułapka pomocy de minimis
Pomoc de minimis to unijny mechanizm ograniczający wsparcie publiczne dla jednego podmiotu do określonego pułapu w okresie trzech lat, tak by nie zakłócać konkurencji na rynku wewnętrznym. Dla dużej spółki wodociągowej w mieście wojewódzkim to formalność. Dla małego zakładu gospodarki komunalnej, który rok wcześniej skorzystał z innego programu wsparcia — na przykład na wymianę sieci czy modernizację oczyszczalni — limit bywa już wyczerpany, zanim w ogóle zdąży złożyć wniosek o pieniądze na cyberbezpieczeństwo.
Najbardziej wymowny przykład skali tego problemu dostarczyło paradoksalnie MPWiK Warszawa, czyli spółka, której akurat nie brakuje ani budżetu, ani kompetencji. Pozostały jej limit pomocy de minimis pokrywał wyłącznie część planowanych wydatków — warszawskie wodociągi mogły ubiegać się o dofinansowanie w wysokości dokładnie 735 890 złotych, i o taką właśnie kwotę wystąpiły. Resztę kosztów przygotowania wniosku pokryto z budżetu Stołecznego Centrum Bezpieczeństwa, a całość planowanego dofinansowania z programu zostanie sfinansowana z rezerwy celowej tego samego centrum. Innymi słowy: stolica poradziła sobie z luką w limicie de minimis, sięgając po własne rezerwy budżetowe rzędu setek tysięcy złotych. Zakład gospodarki komunalnej w kilkutysięcznej gminie takiej rezerwy nie ma.
VAT, na który małej spółki nie stać
Regulamin konkursu grantowego wprost wyłącza podatek VAT z kosztów kwalifikowanych — wydatki poniesione przez grantobiorcę na VAT mają być finansowane ze środków własnych. Dla dwóch organizacji, które odpowiedziały CyberDefence24, to właśnie ten zapis przesądził o rezygnacji. Zakład Gospodarki Komunalnej w Mielniku wyjaśnił, że jako jednostka budżetowa podległa Urzędowi Gminy działa w ramach scentralizowanego rozliczenia VAT — a Urząd Gminy odmówił sfinansowania kosztów podatku, co ograniczyło zakładowi możliwość udziału w projekcie. Gmina Wietrzychowice wskazała kwotę konkretną: około 300 tysięcy złotych, których nie była w stanie odliczyć ani sfinansować z własnych środków, przy czym wniosek składała w jej imieniu firma zewnętrzna, a kwestia odzyskania VAT nie została na etapie aplikowania doprecyzowana.
To pokazuje coś, co umyka projektantom programów grantowych patrzącym na sektor z poziomu ministerstwa: struktura finansowa małej gminy bywa rozdrobniona między urząd i podległe mu zakłady budżetowe w sposób, który sprawia, że nawet formalnie kwalifikujący się wniosek okazuje się w praktyce niewykonalny. ZGK Mielnik nie owijał w bawełnę, opisując skutki tej decyzji: brak wsparcia oznacza wolniejsze tempo podnoszenia poziomu bezpieczeństwa wodociągów i utrzymywanie większego ryzyka operacyjnego dla infrastruktury krytycznej. To zdanie zasługuje na to, by zawisło w gabinecie każdego, kto projektuje kolejny program wsparcia dla sektora komunalnego.
Cztery miesiące na wdrożenie systemów, których nikt nie chce dotykać
Trzecim, obok limitu de minimis i VAT-u, powtarzającym się powodem rezygnacji był pierwotny termin realizacji projektu — 30 czerwca 2026 roku. Wśród siedmiu podmiotów, które wskazały CyberDefence24 konkretne przyczyny decyzji, dla czterech krótki czas miał bezpośredni lub pośredni wpływ na niepodpisanie umowy. PPU Propol z Osieka przyznało wprost, że głównym powodem był zbyt krótki czas na realizację pełnego zakresu rzeczowego projektu, pogłębiony dużym wzrostem cen towarów i usług na rynku IT względem budżetu zakładanego we wniosku oraz brakiem dostępności materiałów w magazynach dostawców.
Najbardziej szczegółową odpowiedź udzielił Zakład Gospodarki Komunalnej w Maniowych, działający w imieniu Urzędu Gminy Czorsztyn. Termin do 30 czerwca był jednym z czynników ryzyka, bo przeprowadzenie postępowań zakupowych, wdrożeń, konfiguracji, audytów i rozliczenia projektu w tak krótkim czasie byłoby organizacyjnie trudne — ale decydujące znaczenie miała ponowna analiza zasadności zakresu projektu w kontekście faktycznego stanu infrastruktury, w szczególności braku zdalnego sterowania urządzeniami technologicznymi oraz korzystania przez zakład z części zabezpieczeń IT funkcjonujących po stronie urzędu gminy. Innymi słowy: zanim gmina zdążyła w pełni przeanalizować, co właściwie ma zabezpieczyć, skończył się czas na złożenie zamówień. Sama procedura naboru, jak ujął to Urząd Gminy Czorsztyn, była dla małych jednostek komunalnych sporym wyzwaniem organizacyjnym — zakres dokumentacji, tempo naboru i konieczność szybkiego doprecyzowania specjalistycznych zagadnień z pogranicza IT i OT przerastały możliwości administracji liczącej kilku pracowników.
„Są duże przedsiębiorstwa i reszta świata”
Kontrast między MPWiK Warszawa a ZGK Mielnik czy Gminą Wietrzychowice nie jest przypadkiem jednostkowym — jest wzorem, który powtarza się w każdym programie wsparcia adresowanym do sektora tak fragmentarycznego jak polski wod-kan. Włodzimierz Woźniak, ekspert wypowiadający się na łamach CyberDefence24 przy okazji analizy problemów sektora wodno-kanalizacyjnego, ujął to jednym zdaniem: są duże przedsiębiorstwa i reszta świata. Duże spółki miejskie mają działy prawne do obsługi wniosków, rezerwy budżetowe na pokrycie VAT-u i miejsca w limicie de minimis, bo od lat świadomie zarządzają swoim portfelem dotacji. Reszta świata — czyli setki małych zakładów gospodarki komunalnej i spółek wod-kan w gminach liczących po kilka tysięcy mieszkańców — działa bez żadnego z tych zabezpieczeń.
Jeden z ekspertów, cytowany anonimowo przez CyberDefence24, wskazał na wadę programu, która dotyka właśnie tę drugą grupę najdotkliwiej: Cyberbezpieczne Wodociągi nie odpowiadają na potrzeby małych wodociągów, które mają przestarzałe i niewspierane sterowniki — i których może po prostu nie być stać na system operacyjny potrzebny do obsługi SCADA. Program nie pozwala też na wymianę sterowników z wbudowanym modemem LTE, a to właśnie przez takie urządzenia panele zarządzania stacjami uzdatniania wody bywają widoczne bezpośrednio z poziomu internetu — dokładnie ten sam wzorzec zaniedbań, który ABW opisało jako główny wektor ataków haktywistów w latach 2024–2025. Program naprawia symptom u tych, którzy mają zasoby, by po niego sięgnąć, i pomija chorobę u tych, którzy tych zasobów nie mają.
NIS-2 nie zna słowa „rezygnacja”
Tu dochodzimy do sedna sprawy, które umyka w dyskusji o pieniądzach. Rezygnacja z dotacji nie zwalnia żadnego z tych czternastu podmiotów z obowiązków prawnych. Od 3 kwietnia 2026 roku obowiązuje znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa, transponująca dyrektywę NIS-2, która w Załączniku I wprost wymienia sektory „Woda pitna" i „Ścieki" wśród branż o wysokiej krytyczności. Przedsiębiorstwo wodociągowe spełniające progi wielkościowe — co najmniej 50 pracowników lub obrót powyżej 10 milionów euro — staje się podmiotem kluczowym z mocy samego prawa, bez decyzji administracyjnej i bez względu na to, czy skorzystało z jakiegokolwiek programu grantowego. Szczegółowo opisaliśmy tę klasyfikację i wynikające z niej pięć filarów obowiązków w analizie specyfiki sektora wod-kan wobec NIS-2.
Klasyfikacja podmiotu kluczowego nie wymaga przy tym żadnej decyzji administracyjnej ani pisma z ministerstwa — wystarczy, że organizacja spełnia kryteria sektorowe i wielkościowe, a obowiązki zaczynają się z mocy samego prawa. To zmiana fundamentalna względem poprzedniego modelu operatorów usług kluczowych, w którym to organ decydował, kogo wpisać na listę. Zarząd zakładu wodociągowego, który nie podpisał umowy grantowej i uznał sprawę za odłożoną, może z dnia na dzień odkryć, że formalnie od miesięcy figuruje jako podmiot kluczowy, a wynikające z tego obowiązki — analiza ryzyka, plan ciągłości działania, procedury raportowania incydentów — powinny być już wdrożone.
Kalendarz jest bezlitosny niezależnie od stanu portfela grantobiorcy. Do 3 października 2026 roku jednostki muszą zweryfikować i uzupełnić wpis w centralnym wykazie podmiotów kluczowych i ważnych prowadzonym przez ministra cyfryzacji. Kary administracyjne dla podmiotów kluczowych sięgają 10 milionów euro lub 2 procent rocznego obrotu, w zależności od tego, która kwota jest wyższa, a odpowiedzialność osobista kadry zarządzającej — w polskiej transpozycji — może sięgnąć 600 procent miesięcznego wynagrodzenia. Dla prezesa czy kierownika zakładu budżetowego powoływanego przez radę gminy to konsekwencje, których nie da się zamortyzować argumentem, że gmina nie stać było na VAT albo że zabrakło czasu na przetarg. Organ nadzorczy nie pyta, dlaczego podmiot nie skorzystał z dotacji — pyta, czy wdrożył wymagane środki bezpieczeństwa. O tym, jak bardzo dosłownie należy dziś traktować osobistą odpowiedzialność kierownika jednostki samorządowej za stan cyberbezpieczeństwa, pisaliśmy przy okazji ataku ransomware na Nową Rudę.
Rosyjscy hakerzy nie czekają na aneksy do umów
Podczas gdy czternaście podmiotów negocjowało z samym sobą, czy stać je na VAT, atakujący nie robili sobie przerwy. Wiceminister cyfryzacji Dariusz Standerski informował, że Polska doświadcza od dwudziestu do pięćdziesięciu prób ataków rosyjskich hakerów na szpitale i systemy wodociągowe dziennie. W sierpniu 2025 roku doszło do udokumentowanej próby odcięcia dostaw wody w jednym z dziesięciu największych polskich miast — atak powiązany z Rosją zatrzymano, zanim zdążył wywołać realne skutki, ale sam fakt, że cel obejmował miasto tej wielkości, pokazuje skalę ambicji napastników. Mniejsze stacje uzdatniania wody i oczyszczalnie ścieków, wymienione wcześniej, miały mniej szczęścia — ich systemy zostały realnie naruszone, a w co najmniej jednym przypadku skutkiem była kilkugodzinna przerwa w dostawie wody dla tysięcy mieszkańców.
Ten kontekst czyni z rezygnacji czternastu podmiotów coś więcej niż statystykę biurokratycznej niesprawności. To czternaście punktów infrastruktury krytycznej, które — z przyczyn całkowicie racjonalnych z perspektywy pojedynczej jednostki, takich jak limit de minimis czy brak środków na VAT — pozostaną w obecnym stanie zabezpieczeń dłużej, niż zakładał program mający je chronić. Haktywiści, którzy w 2025 roku testowali panele zarządzania stacjami uzdatniania wody wystawione bezpośrednio do internetu, nie sprawdzają przy tym, czy dana gmina zdołała rozliczyć VAT z urzędem. Sprawdzają jedynie, czy hasło administratora wciąż brzmi tak samo jak w dniu instalacji sterownika.
Luka, o której mniej się mówi: kanalizacja zostaje na uboczu
Nawet wśród podmiotów, które umowę podpisały, program ma wbudowaną asymetrię, którą łatwo przeoczyć. Zgodnie z regulaminem konkursu grantowego kwalifikowane są koszty związane ze zbiorowym zaopatrzeniem w wodę — zabezpieczenie sieci OT w oczyszczalni ścieków może stanowić koszt kwalifikowany wyłącznie wtedy, gdy jest powiązane z działalnością w obszarze zaopatrzenia w wodę. Dla spółki, która prowadzi wyłącznie gospodarkę ściekową albo dla której ten segment działalności jest dominujący, oznacza to, że program w praktyce nie odpowiada na jej potrzeby, choćby formalnie się kwalifikowała.
To istotne, bo część udokumentowanych ataków z 2025 roku uderzyła właśnie w oczyszczalnie ścieków, a nie w stacje uzdatniania wody — Wydminy, Kuźnicę, Witkowo i Chodaczów. Sieci OT sterujące pompowniami ścieków i procesami oczyszczania bywają równie stare i równie słabo zabezpieczone jak te po stronie zaopatrzenia w wodę, a skutki udanego ataku — od zrzutu nieoczyszczonych ścieków do rzeki po zatrzymanie pracy przepompowni w środku miasta — są dla mieszkańców i środowiska równie dotkliwe. Twórcy programu skoncentrowali się na wodzie pitnej, bo to ona najszybciej trafia na pierwsze strony gazet, gdy zabraknie jej w kranach. Ściekom takiej uwagi medialnej zwykle brakuje — dopóki coś się nie wydarzy.
Co może zrobić zarząd wodociągów, nawet bez dotacji
Najważniejszy wniosek z historii opisanej przez CyberDefence24 brzmi paradoksalnie budująco: zgodność z NIS-2 nie wymaga wygranej w konkursie grantowym. Program Cyberbezpieczne Wodociągi był dobrym, potrzebnym wsparciem finansowym, ale nigdy nie był jedyną drogą do spełnienia obowiązków ustawowych. Zarząd spółki, która z takich czy innych powodów nie podpisała umowy, może i powinien zacząć od tego, co nie kosztuje miliona złotych: rzetelnej analizy ryzyka obejmującej osobno środowisko IT i środowisko OT, przeglądu, które sterowniki i panele zarządzania są dostępne z poziomu publicznego internetu, oraz wdrożenia podstawowej segmentacji sieci oddzielającej dział księgowości od stacji sterowania pompami.
Tam, gdzie zasobów kadrowych brakuje — a w sektorze wod-kan to raczej reguła niż wyjątek, bo typowy zakład dysponuje jednym informatykiem odpowiedzialnym za wszystko od wymiany tonera po reagowanie na incydenty — rozwiązaniem bywa outsourcing funkcji pełnomocnika do spraw bezpieczeństwa informacji lub wirtualnego dyrektora bezpieczeństwa. Model ten pozwala spełnić wymogi dokumentacyjne, szkoleniowe i nadzorcze NIS-2 bez konieczności budowania od zera całego zespołu, którego małej spółki komunalnej i tak nie stać byłoby utrzymać. Zasady bezpiecznego wyboru takiego partnera i unikania typowych błędów przy tej decyzji opisaliśmy w poradniku o outsourcingu pełnomocnika do spraw bezpieczeństwa informacji. Program Cyberbezpieczne Wodociągi wraca zresztą do gry — trwa do końca 2026 roku, a jednostki, które jeszcze nie złożyły wniosku albo które zrezygnowały z przyczyn możliwych do usunięcia, wciąż mogą rozważyć ponowną aplikację, co szczegółowo rozkładaliśmy na czynniki pierwsze w analizie poświęconej wdrożeniom w ramach programu.
Warto też zweryfikować, czy przyczyna wcześniejszej rezygnacji rzeczywiście jest nieodwracalna. Limit pomocy de minimis odnawia się w cyklu trzyletnim, więc spółka, która wyczerpała go w 2025 roku innym projektem, może już za kilkanaście miesięcy dysponować świeżą pulą. Problem z VAT-em bywa z kolei kwestią negocjacji wewnątrz gminy, a nie przeszkody obiektywnej — zakład budżetowy i urząd gminy, które nie potrafiły dogadać się w sprawie kilkuset tysięcy złotych podatku, mogą to zrobić przy kolejnym rozdaniu, jeśli ktoś z zewnątrz precyzyjnie policzy im koszty i korzyści takiej decyzji. Rolą doradcy zewnętrznego bywa właśnie to — nie tylko projektowanie zabezpieczeń technicznych, lecz także tłumaczenie zarządowi i radzie gminy, dlaczego rezygnacja z pozornie kłopotliwej dotacji może w perspektywie roku kosztować więcej niż sama dotacja była warta.
Dlaczego z Fib.Code
Fib.Code pracuje z przedsiębiorstwami wodociągowymi i spółkami komunalnymi niezależnie od tego, czy dysponują one dofinansowaniem unijnym, czy budują zgodność z NIS-2 z własnego budżetu. Rozumiemy, że w tym sektorze pytanie „czy stać nas na VAT" bywa równie istotne jak pytanie „czy nasze sterowniki są widoczne z internetu" — i że rzetelne doradztwo musi uwzględniać oba te wymiary naraz, a nie tylko techniczny.
Pracujemy według trzech zasad. Po pierwsze, zaczynamy od gap analysis wolnego od żargonu grantowego — sprawdzamy realny stan zabezpieczeń IT i OT, niezależnie od tego, co zapisano w dokumentacji przygotowanej pod rozliczenie dotacji. Po drugie, projektujemy plan wdrożenia dopasowany do budżetu, jaki organizacja faktycznie posiada, zamiast do budżetu, jaki mogłaby mieć, gdyby wygrała kolejny konkurs. Po trzecie, oferujemy outsourcing pełnomocnika do spraw bezpieczeństwa informacji i funkcji vCISO, dzięki czemu spółka liczący jednego informatyka zyskuje realne wsparcie kompetencyjne, a nie kolejny dokument do podpisania.
Efektem naszej współpracy nie jest segregator przygotowany na wypadek kontroli, lecz organizacja, która wie, gdzie ma otwarte panele zarządzania, kto odpowiada za analizę ryzyka i co zrobi w ciągu pierwszych dwudziestu czterech godzin od incydentu — bez względu na to, czy sfinansowała to z własnych środków, z programu rządowego, czy z jednego i drugiego naraz.
Co zrobić w ten weekend
Nie czekaj na kolejny nabór ani na kolejną aktualizację listy rankingowej. Jeszcze w ten weekend przejrzyj z osobą odpowiedzialną za informatykę trzy rzeczy, które nie wymagają żadnego dofinansowania. Po pierwsze: sprawdź, czy panele zarządzania stacją uzdatniania wody, przepompownią czy oczyszczalnią są dostępne z poziomu publicznego internetu, i jeśli tak — odetnij ten dostęp albo obwaruj go drugim składnikiem uwierzytelnienia jeszcze przed poniedziałkiem. Po drugie: zweryfikuj, czy hasła administracyjne do sterowników PLC i systemów SCADA były zmieniane w ciągu ostatniego roku, a jeśli nikt nie potrafi odpowiedzieć na to pytanie z pewnością, potraktuj to jako sygnał alarmowy, a nie formalność do odhaczenia. Po trzecie: ustal, czy spółka dopełniła wpisu do wykazu podmiotów kluczowych i ważnych przed terminem 3 października 2026 roku — a jeśli nie wiesz, czy w ogóle podlegasz temu obowiązkowi, to pytanie samo w sobie jest odpowiedzią, że czas zadzwonić do kogoś, kto to ustali.
Zapraszamy do kontaktu: l.grabowski@fibcode.com | fibcode.com/pl/kontakt. Bezpośrednio powiązane materiały: wodociągi wobec NIS-2 — specyfika sektora wod-kan, Cyberbezpieczne Wodociągi — czas na wdrożenia, outsourcing pełnomocnika do spraw bezpieczeństwa informacji — razem pokazują, że zgodność z NIS-2 w sektorze wod-kan da się zbudować niezależnie od tego, czy dotacja się udała, czy nie.


