Dostęp do czystej wody to fundament zdrowia publicznego oraz prawidłowego funkcjonowania miast. Wodociągi, stanowiące kluczowy element infrastruktury krytycznej, stają się coraz częściej celem ataków hakerskich. Zagrożenie jest szczególnie wysokie w czasie napięć geopolitycznych, gdy cyberprzestępcy działają nie tylko dla zysku, ale również w celach sabotażowych.

Cyberincydenty w sektorze wodociągowym – polskie miasta na celowniku

W ostatnich miesiącach doszło w Polsce do licznych prób cyberataków wymierzonych w sieci wodociągowe. Przykładowo, w sierpniu 2025 roku przestępcy próbowali przejąć kontrolę nad systemem zaopatrzenia w wodę w jednym z największych polskich miast. Dzięki szybkiej reakcji udało się zapobiec odcięciu dostępu do wody mieszkańcom.

W innych lokalizacjach, takich jak Szczytno, Małdyty i Tolkmicko, hakerzy manipulowali ustawieniami urządzeń – zmieniając ciśnienie w rurach, konfiguracje filtracji, a nawet przejmując dostęp do systemów przez zmianę kodów PIN. Nagrania pokazujące przebieg tych incydentów pojawiały się w internecie, demonstrując zarówno skalę zagrożenia, jak i działania motywowane chęcią pokazania siły.

Dlaczego wodociągi są szczególnie podatne na ataki?

Eksperci wskazują szereg najważniejszych przyczyn podatności sektora wodociągowego na cyberataki:

• Przestarzałe systemy OT i IT – wiele urządzeń sterujących oraz SCADA nie było projektowanych z myślą o cyberbezpieczeństwie.
• Brak segmentacji sieci – połączenie sieci biurowych z przemysłowymi ułatwia hakerom rozprzestrzenianie ataku.
• Niedobór specjalistów ds. cyberbezpieczeństwa – sektor wodociągowy często boryka się z brakiem wykwalifikowanych kadr.
• Ograniczone budżety – mniejsze firmy wodociągowe nie posiadają wystarczających środków na zaawansowane zabezpieczenia.

Jak zabezpieczyć sieci wodociągowe? Polecane działania prewencyjne

Aby skutecznie chronić wodociągi przed cyberatakami, eksperci zalecają wdrożenie kluczowych rozwiązań:

• Pełna inwentaryzacja infrastruktury OT i IT.
• Segmentacja sieci – oddzielenie systemów przemysłowych od biurowych.
• Tworzenie scenariuszy kryzysowych oraz planów reagowania na cyberincydenty.
• Regularne szkolenia personelu technicznego z zakresu cyberbezpieczeństwa.
• Implementacja systemów detekcji i monitoringu (np. SIEM, IDS/IPS).
• Systematyczne testy penetracyjne oraz audyty bezpieczeństwa.

Program „Cyberbezpieczne Wodociągi” – wsparcie finansowe dla branży

W odpowiedzi na wyzwania związane z cyberzagrożeniami, w 2025 roku uruchomiono rządowy program „Cyberbezpieczne Wodociągi”, finansowany ze środków Krajowego Planu Odbudowy. Przedsiębiorstwa wodociągowo-kanalizacyjne, spółki komunalne oraz jednostki samorządowe mogą uzyskać nawet 300 tysięcy euro dofinansowania (około 1,2 mln zł), bez konieczności wkładu własnego. Wsparcie obejmuje:

• Organizacyjne działania zwiększające poziom bezpieczeństwa, np. audyty i procedury.
• Zakup nowego sprzętu IT/OT oraz specjalistycznego oprogramowania.
• Profesjonalne szkolenia dla pracowników.
  Należy pamiętać, że podatek VAT nie jest kosztem kwalifikowanym w programie.

Dyrektywa NIS2, będąca następczynią regulacji NIS1 z 2016 roku, to kluczowy akt prawny Unii Europejskiej dotyczący cyberbezpieczeństwa. Nowe przepisy znacząco zmieniają sposób, w jaki firmy muszą chronić swoje systemy i dane. Wpływ dyrektywy odczują nie tylko duże korporacje z branży bankowej, energetycznej czy transportowej, lecz także małe i średnie przedsiębiorstwa z sektora ICT.

Obowiązkiem wdrożenia NIS2 w Polsce była transpozycja przepisów do października 2024 roku, jednak rząd dopiero niedawno przyjął projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Efekt? Zakres regulacji objął aż 18 sektorów uznanych za krytyczne, a liczba firm podlegających nowym obowiązkom wzrosła z ok. 400 do ponad 10 000. Wśród objętych branż znalazły się m.in. operatorzy centrów danych, dostawcy usług chmurowych, firmy telekomunikacyjne, a także sektor pocztowy, kurierski, chemiczny, spożywczy i gospodarka odpadami.

Dyrektywa NIS2 wprowadza również podział organizacji na podmioty kluczowe i podmioty ważne. Pierwsze z nich to duże przedsiębiorstwa strategiczne dla bezpieczeństwa państwa, które w razie naruszeń mogą zostać ukarane grzywną do 10 mln euro lub 2% globalnego obrotu. Podmioty ważne – zwykle mniejsze firmy – muszą liczyć się z karami do 7 mln euro. NIS2 to więc realna rewolucja w zakresie cyberbezpieczeństwa w Europie, wymuszająca na firmach dostosowanie struktur, polityk i procedur do znacznie ostrzejszych wymagań.

Zapraszamy do skorzystania z usług firmy JSW IT Systems w zakresie audytów cyberbezpieczeństwa w związku z wprowadzaną dyrektywą NIS2.