Wodociągi wobec NIS-2 — specyfika sektora wod-kan

Woda nie płynie bez systemów, które można zaatakować

Przedsiębiorstwo wodociągowe w średniej wielkości mieście zarządza kilkudziesięcioma stacjami pomp, stacją uzdatniania, siecią kilkuset kilometrów rur i systemem telemetrii, który to wszystko spina w całość. Codziennie dostarcza wodę pitną kilkudziesięciu tysiącom mieszkańców. I codziennie robi to za pośrednictwem systemów informatycznych, które w wielu przypadkach projektowano w czasach, gdy słowo „cyberatak" brzmiało jak scenariusz filmu sensacyjnego.

Od 2 kwietnia 2026 roku te systemy podlegają nowym, znacznie surowszym wymogom. Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (UoKSC), transponująca dyrektywę NIS-2 (Dyrektywa UE 2022/2555), klasyfikuje przedsiębiorstwa wodociągowe jako podmioty kluczowe. Nie „ważne" — kluczowe. To najwyższa kategoria, z najsurowszymi obowiązkami i najwyższymi karami.

Dlaczego wodociągi są podmiotami kluczowymi

Dyrektywa NIS-2 w Załączniku I wymienia wprost sektor „Woda pitna" oraz „Ścieki" wśród sektorów o wysokiej krytyczności. Transpozycja do polskiego prawa przez UoKSC utrzymuje tę klasyfikację. Przedsiębiorstwo wodociągowe, które spełnia kryteria wielkościowe — co najmniej 50 pracowników lub obrót powyżej 10 mln EUR, a większość spółek komunalnych wod-kan te progi przekracza — staje się podmiotem kluczowym z mocy prawa.

Klasyfikacja nie wymaga decyzji administracyjnej. Nie trzeba czekać na pismo z ministerstwa. Wystarczy sprawdzić, czy organizacja mieści się w kryteriach sektorowych i wielkościowych — jeśli tak, obowiązki zaczynają obowiązywać automatycznie. To istotna zmiana względem dotychczasowego modelu, w którym to organ administracyjny decydował o wpisaniu na listę operatorów usług kluczowych.

Konsekwencja jest prosta: jeśli zarząd przedsiębiorstwa wodociągowego jeszcze nie wie, że podlega NIS-2, to nie znaczy, że nie podlega. Znaczy, że ma problem.

Pięć filarów obowiązków — w kontekście wody

NIS-2 nakłada na podmioty kluczowe pięć głównych grup obowiązków. Każdy z nich w przedsiębiorstwie wodociągowym wygląda inaczej niż w firmie IT czy banku. Różnica tkwi w specyfice technologicznej — i właśnie ta specyfika decyduje o powodzeniu lub porażce wdrożenia.

Zarządzanie ryzykiem — dwa odrębne światy

Analiza ryzyka w przedsiębiorstwie wod-kan musi obejmować środowisko IT (systemy biurowe, poczta, księgowość, kadry) oraz środowisko OT (systemy SCADA, sterowniki PLC, telemetria, systemy sterowania procesami technologicznymi). Te światy rządzą się odmiennymi regułami.

System SCADA sterujący chlorowaniem wody nie może być aktualizowany w piątek wieczorem jak serwer pocztowy — wymaga okna serwisowego zaplanowanego z wyprzedzeniem, przetestowania na środowisku nieprodukcyjnym i procedury rollback, która nie zatrzyma dostaw wody.

Analiza ryzyka powinna uwzględniać scenariusze specyficzne dla branży: manipulację parametrami uzdatniania, przerwanie ciągłości dostaw, zanieczyszczenie wody w wyniku ingerencji w systemy sterowania, utratę danych telemetrycznych uniemożliwiającą wykrycie awarii. Incydent w Oldsmar na Florydzie z 2021 roku — gdzie intruz próbował stukrotnie zwiększyć stężenie wodorotlenku sodu w wodzie pitnej — nie jest już abstrakcyjnym scenariuszem. To realne zagrożenie, do którego trzeba się przygotować.

Raportowanie incydentów — schemat 24/72/30

NIS-2 wprowadza trójstopniowy schemat raportowania incydentów poważnych: wstępne powiadomienie w ciągu 24 godzin, raport pośredni w ciągu 72 godzin, raport końcowy w ciągu miesiąca. Dla przedsiębiorstwa wodociągowego, które dotychczas nie posiadało formalnej procedury zarządzania incydentami cyberbezpieczeństwa, to fundamentalna zmiana operacyjna.

Wyzwanie polega na tym, że incydent w środowisku OT może wyglądać zupełnie inaczej niż w IT. Nienormalne odczyty czujników, nieoczekiwane zmiany nastaw sterowników, przerwy w komunikacji z odległymi przepompowniami — to mogą być usterki techniczne, ale mogą też być symptomy cyberataku. Procedura klasyfikacji i eskalacji musi uwzględniać tę niejednoznaczność. Bez niej ryzyko przeoczenia poważnego incydentu — albo przeciwnie, zbędnego alarmowania przy zwykłej awarii — jest wysokie.

Ciągłość działania — woda nie może przestać płynąć

W sektorze wod-kan ciągłość działania to nie abstrakcyjny wymóg regulacyjny — to warunek zdrowia publicznego. Plan ciągłości działania (BCP) musi uwzględniać scenariusze jednoczesnej awarii systemów IT i OT, procedury przejścia na sterowanie ręczne, komunikację kryzysową z mieszkańcami i organami sanitarnymi.

Przedsiębiorstwa wodociągowe, które wdrażały System Zarządzania Bezpieczeństwem Informacji (SZBI) w ramach programu Cyberbezpieczne Wodociągi, mają w tym zakresie przewagę — ale wyłącznie pod warunkiem, że dokumentacja powstała jako żywy system, a nie jako stos papierów sporządzonych na potrzeby rozliczenia grantu.

Bezpieczeństwo łańcucha dostaw — dostawcy OT pod lupą

NIS-2 wymaga oceny ryzyka związanego z dostawcami. W kontekście wodociągów oznacza to przegląd relacji z dostawcami systemów SCADA, integratorami automatyki, firmami serwisującymi sterowniki PLC, operatorami łączy telemetrycznych. Wielu z tych podmiotów posiada zdalny dostęp do systemów sterowania — nierzadko przez VPN skonfigurowany lata temu, z hasłami, które od tamtej pory nie były zmieniane.

Audyt łańcucha dostaw w przedsiębiorstwie wod-kan potrafi ujawnić rzeczy, o których zarząd wolałby nie wiedzieć. Ale NIS-2 wymaga, żeby wiedział — i żeby podjął konkretne działania naprawcze.

Szkolenia — od operatora stacji po prezesa

Obowiązek szkoleniowy dotyczy wszystkich poziomów organizacji, ze szczególnym naciskiem na kadrę zarządzającą. Art. 20 dyrektywy NIS-2 nakłada na organy zarządzające obowiązek odbywania regularnych szkoleń z zakresu cyberbezpieczeństwa. To nie rekomendacja — to wymóg prawny, którego niespełnienie może skutkować osobistą odpowiedzialnością członków zarządu.

W praktyce oznacza to, że prezes przedsiębiorstwa wodociągowego musi rozumieć podstawy zarządzania ryzykiem cyberbezpieczeństwa na tyle, by podejmować świadome decyzje. Nie musi konfigurować firewalla — ale musi wiedzieć, dlaczego segmentacja sieci IT/OT jest konieczna i jakie konsekwencje niesie jej brak.

Wyzwania, z którymi mierzy się sektor wod-kan

Systemy legacy — sprzęt, którego nikt nie chce dotykać

W wielu przedsiębiorstwach wodociągowych pracują systemy SCADA wdrożone dziesięć, piętnaście, czasem dwadzieścia lat temu. Działają na systemach operacyjnych, dla których producent dawno zakończył wsparcie. Aktualizacja jest niemożliwa bez wymiany sprzętu. Wymiana sprzętu wymaga zatrzymania procesów technologicznych. Zatrzymanie procesów oznacza przerwę w dostawach wody.

To klasyczny dylemat branży OT. NIS-2 go nie rozwiązuje — ale wymaga, żeby organizacja potrafiła ten dylemat opisać, ocenić ryzyko i zastosować środki kompensujące: segmentację sieci, monitoring anomalii, ograniczenie dostępu zdalnego, wzmocniony nadzór fizyczny.

Płaskie sieci — IT i OT w jednej podsieci

W idealnym świecie sieci IT i OT są fizycznie lub logicznie odseparowane. W rzeczywistości wielu przedsiębiorstw wod-kan — zwE�aszcza mniejszych — te sieci pozostają płaskie. Komputer działu księgowości znajduje się w tej samej podsieci co stacja operatorska SCADA. E-mail z phishingiem otwarty przez pracownika administracji teoretycznie może otworzyć drogę do systemu sterującego pompami.

Segmentacja to jedno z pierwszych i najważniejszych działań technicznych, które powinno wynikać z analizy ryzyka. Nie wymaga astronomicznych budżetów — wymaga przemyślanego projektu i konsekwentnego wdrożenia.

Jeden informatyk na całe przedsiębiorstwo

Typowe przedsiębiorstwo wod-kan średniej wielkości dysponuje informatykiem — jednym, czasem dwoma. Ci ludzie zajmują się wszystkim: od wymiany tonerów przez administrację serwerami po wsparcie użytkowników. Oczekiwanie, że ta sama osoba będzie prowadziła analizę ryzyka cyberbezpieczeństwa, monitorowała logi SIEM, zarządzała incydentami i raportowała do CSIRT, jest nierealistyczne.

Dlatego model outsourcingu funkcji bezpieczeństwa informacji — pełnomocnika ds. bezpieczeństwa informacji lub vCISO — zyskuje w tym sektorze na znaczeniu. O tym, jak bezpiecznie wybrać partnera zewnętrznego i zabezpieczyć interes zamawiającego, pisaliśmy w artykule o outsourcingu pełnomocnika ds. bezpieczeństwa informacji.

Kary — nie tylko finansowe

Podmioty kluczowe podlegają najsurowszym sankcjom: kary administracyjne do 10 mln EUR lub 2% rocznego obrotu, w zależności od tego, która kwota jest wyższa. Ale kary finansowe to nie jedyne ryzyko. NIS-2 przewiduje odpowiedzialność osobistą kadry zarządzającej — w polskiej transpozycji kary dla osób fizycznych mogą sięgać 600% miesięcznego wynagrodzenia.

Dla członka zarządu spółki komunalnej, powoływanego przez radę gminy, konsekwencje mogą wykraczać poza wymiar finansowy. Niedopełnienie obowiązków w zakresie cyberbezpieczeństwa infrastruktury krytycznej to temat, który coraz częściej pojawia się w agendach rad nadzorczych — i słusznie.

Co powinien zrobić zarząd — teraz

Jeśli przedsiębiorstwo wodociągowe nie rozpoczęło jeszcze przygotowań do NIS-2, czas jest krótki, ale nie stracony. Kluczowe kroki na najbliższe miesiące to: ustalenie statusu regulacyjnego organizacji, przeprowadzenie gap analysis względem wymogów dyrektywy, opracowanie planu wdrożenia z realistycznym harmonogramem i budżetem oraz zapewnienie zasobów — czy to przez budowę kompetencji wewnętrznych, czy przez wsparcie zewnętrzne.

Przedsiębiorstwa, które skorzystały z programu Cyberbezpieczne Wodociągi, mają solidny fundament — o ile wdrożenia zrealizowano z myślą o trwałości, nie wyłącznie o rozliczeniu dotacji. Szczegóły planowania wdrożeń w ramach tego programu omawialiśmy w artykule Cyberbezpieczne Wodociągi — czas na wdrożenia.

Wsparcie Fib.Code dla sektora wod-kan

Fib.Code pracuje z przedsiębiorstwami wodociągowymi i spółkami komunalnymi od lat. Znamy specyfikę środowisk, w których system ERP współistnieje ze SCADA, a dział IT liczy jedną osobę odpowiedzialną za wszystko — od drukarki po cyberbezpieczeństwo.

Nasze wsparcie obejmuje pełną ścieżkę przygotowania do NIS-2: od wstępnej oceny statusu i gap analysis, przez opracowanie dokumentacji SZBI uwzględniającej specyfikę OT, po wsparcie przy wdrożeniach technicznych i szkolenia dostosowane do branży wod-kan. Oferujemy również outsourcing pełnomocnika ds. bezpieczeństwa informacji — model, który pozwala spełnić wymogi regulacyjne bez konieczności budowania wewnętrznego zespołu od zera.

Chętnie porozmawiamy o tym, jak Państwa przedsiębiorstwo może przygotować się do nowych wymogów: l.grabowski@fibcode.com | fibcode.com/pl/kontakt

z