Doering & Partnerzy
Konsultacje

Cyberbezpieczeństwo wodociągów w obliczu dyrektywy NIS2 i nowelizacji UKSC

.

Artur Janicki
Artur Janicki

Nowelizacja UKSC stała się faktem

W dniu 2 marca 2026 r. w Dzienniku Ustaw została opublikowana długo wyczekiwana nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), która wdraża unijną dyrektywę NIS2. To historyczny moment, który nakłada na tzw. podmioty ważne i kluczowe konkretne, rygorystyczne obowiązki.

Prezydent RP podpisał ustawę, kończąc wielomiesięczny proces legislacyjny. Katalog podmiotów krajowego systemu cyberbezpieczeństwa (KSC) został rozszerzony o nowe sektory gospodarki, takie jak m.in. dostawa wody i odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna czy produkcja i dystrybucja chemikaliów oraz żywności. Skala zmian jest więc bezprecedensowa – szacuje się, że nowymi przepisami zostanie objętych ponad 10 tysięcy podmiotów w Polsce.

Oznacza to, że przedsiębiorstwa wodno-kanalizacyjne stają się pełnoprawnymi uczestnikami systemu jako podmioty z sektora ważnego lub kluczowego. Dla zarządu spółek wodociągowych oraz urzędników odpowiedzialnych za gospodarkę komunalną to sygnał do podjęcia natychmiastowych działań. Nadchodzi czas podnoszenia poziomu odporności cyfrowej poprzez wdrażanie nowych rozwiązań technicznych i organizacyjnych.

Bezpieczeństwo cyfrowe = bezpieczeństwo realne

Podczas niedawnego XI Europejskiego Kongresu Samorządów w Mikołajkach eksperci wielokrotnie podkreślali, że w dzisiejszych realiach nie da się oddzielić bezpieczeństwa fizycznego od cyfrowego. Systemy sterowania pompami, oczyszczalniami czy stacjami uzdatniania wody są dziś niemal w całości oparte na rozwiązaniach teleinformatycznych. Atak hakerski na infrastrukturę wodociągową nie jest już scenariuszem z filmu science-fiction, lecz realnym zagrożeniem dla zdrowia publicznego.

Właśnie dlatego rząd uruchomił dedykowany program “Cyberbezpieczne Wodociągi”. Ma on na celu wsparcie finansowe podmiotów zapewniających zbiorowe zaopatrzenie w wodę i odprowadzanie ścieków w procesie cyfrowej transformacji bezpieczeństwa. Dzięki środkom uzyskanym z grantu przedsiębiorstwa mogą nie tylko zakupić nowoczesny sprzęt, ale także skorzystać z profesjonalnego wsparcia, jakie oferuje Firma Doering & Partnerzy w zakresie kompleksowego prowadzenia projektu grantowego.

Infrastruktura OT pod szczególnym nadzorem – wyzwanie dla inżynierów i informatyków

Jednym z największych wyzwań, jakie stawia nowelizacja UKSC, jest konieczność zabezpieczenia nie tylko tradycyjnych sieci biurowych (IT), ale przede wszystkim systemów sterowania procesami technologicznymi (OT). Wiele polskich przedsiębiorstw wodociągowych korzysta z systemów SCADA, które projektowane były przed laty, bez uwzględnienia dzisiejszych standardów ochrony przed cyberatakami. Nowe przepisy wymuszają audyt tych systemów i wdrożenie odpowiednich rozwiązań, np. segmentacji sieci, systemu do zarządzania podatnościami, detekcji zagrożeń oraz kontroli ruchu na styku IT/OT.

W tym obszarze kluczowe staje się wsparcie ekspertów. Firma Doering & Partnerzy specjalizuje się w przeprowadzaniu audytów zgodności z ustawą o krajowym systemie cyberbezpieczeństwa, które obejmują zarówno warstwę logiczną, jak i techniczną infrastruktury OT. Przeprowadziliśmy takie audyty w kilkunastu zakładach wodociągowych z województw kujawsko-pomorskiego (m.in. w Przedsiębiorstwie Usług Gminnych w Pakości), mazowieckiego i warmińsko-mazurskiego. Rozumiemy specyfikę zakładów wodociągowych i proponujemy rozwiązania, które nie tylko chronią infrastrukturę krytyczną, ale nie zakłócają ciągłości dostaw wody. Grant “Cyberbezpieczne Wodociągi” pozwala na sfinansowanie naszych audytów, również w małych podmiotach z sektora wod-kan.

Klasyfikacja podmiotów: jesteś “kluczowy” czy “ważny”?

Nowelizacja UKSC wprowadza nową klasyfikację podmiotów według dwóch sektorów: kluczowego (np. duże zakłady wodociągowe, energetyka) oraz ważnego (np. mniejsze przedsiębiorstwa komunalne, sektor spożywczy). Podmioty te muszą dokonać samooceny i złożyć wniosek o wpis do odpowiedniego rejestru w ciągu 6 miesięcy od wejścia w życie przepisów.

Niezależnie od przynależności do sektora, na podmioty nałożono szereg obowiązków z zakresu:

  • zarządzanie ryzykiem: wdrożenie polityk bezpieczeństwa i regularna analiza zagrożeń;
  • obsługi incydentów: obowiązek zgłaszania poważnych incydentów do właściwego CSIRT w ściśle określonym czasie;
  • bezpieczeństwa łańcucha dostaw: weryfikacja dostawców oprogramowania i sprzętu pod kątem ryzyka geopolitycznego (tzw. dostawcy wysokiego ryzyka).

Firma Doering & Partnerzy oferuje wsparcie w przygotowywaniu dokumentacji zgodnej z ustawą i dyrektywą NIS2, co pozwala zarządom uniknąć błędów formalnych, za które w razie kontroli grożą wysokie kary finansowe – sięgające nawet 10 mln euro lub 2% całkowitego rocznego obrotu.

Czynnik ludzki: cyberhigiena i świadomość pracowników

Nawet najdroższy system zabezpieczeń może zawieść, jeśli najsłabszym ogniwem okaże się człowiek. Nowelizacja UKSC kładzie ogromny nacisk na edukację. Kierownictwo w podmiotach kluczowych i ważnych jest teraz ustawowo zobowiązane do zdobywania wiedzy w zakresie cyberbezpieczeństwa, a także do zapewnienia odpowiednich szkoleń swoim pracownikom.

Budowanie kultury bezpieczeństwa to proces długofalowy. W ramach programu “Cyberbezpieczne Wodociągi” można sfinansować szkolenia i inne niezbędne kursy. Firma Doering & Partnerzy prowadzi certyfikowane szkolenia z zakresu cyberbezpieczeństwa, dedykowane specjalnie dla sektora komunalnego. Uczymy, jak rozpoznawać ataki socjotechniczne, jak bezpiecznie korzystać z Internetu oraz jakie procedury uruchomić w sytuacji kryzysowej. Posiadamy również własną platformę szkoleniową CYBER3, która stanowi przystępną cenowo alternatywę dla szkoleń stacjonarnych.

Podsumowanie: nadszedł czas na działanie!

Nowelizacja ustawa o krajowym systemie cyberbezpieczeństwa wchodzi w życie na początku kwietnia 2026 r. Choć przepisy przewidują 12-miesięczny okres przejściowy na pełne dostosowanie się do nowych wymogów, nie warto zwlekać! Ryzyko operacyjne związane z ewentualnym wyciekiem danych lub zakłóceniami ciągłości działania jest zbyt wysokie.

Dzięki połączeniu środków z programu “Cyberbezpieczne Wodociągi” oraz wiedzy ekspertów Doering & Partnerzy, proces ten może przebiec sprawnie i efektywnie. Zapraszamy do zapoznania się z ofertą dedykowaną dla zakładów wodociągowych. Zachęcamy również do kontaktu w celu umówienia wstępnego audytu zgodności i wspólnego opracowania strategii, która zabezpieczy Państwa przedsiębiorstwo na lata. Ochrona infrastruktury krytycznej to nasza wspólna misja.

Autor artykułu: Artur Janicki

Kategorie

Popularne wpisy

Ciekawe publikacje

Zaufali nam między innymi:

Miasto Toruń
Gmina Grzegorzew
Powiat Pucki
Powiat Gnieźnieński
Miasto Szczytno
Gmina Rogowo
Powiat Starogardzki
Uniwersytet im. Kazimierza Wielkiego w Bydgoszczy
Uniwersytet im. Mikołaja Kopernika w Toruniu
Uniwersytet im. Kazimierza Wielkiego w Bydgoszczy
Instytut Technik Węglowych
Toruńska Agencja Rozwoju Regionalnego
Lasy Państwowe
Prywatna Specjalizacyjna Przychodnia Lekarska Nowak & Nowak w Toruniu
EXEA
ADOP
Kancelaria Cieciórski Wacławik Kosiński
Conectio
BNI Polska
Kancelaria MP Legal
Pracodawcy Pomorza i Kujaw

Skontaktuj się z nami

kontakt@doering-partnerzy.pl​
rodo, sygnalista: +48 600 210 513
prace b+r: +48 690 495 513​

Zobacz nasze referencje

referencje w pdf

Usługi

KONTAKT

Dane firmy

Doering & Partnerzy sp. z o.o.
ul. Władysława Łokietka 5
87-100 Toruń
KRS 0000930066
NIP 8792735140
REGON 520316781

Prawa autorskie: Doering & Partnerzy

  Skip to content