Przejdź do treści
dyrektywaNIS2

Branża · Załącznik II

NIS2 w gospodarce odpadami

Gospodarka odpadami przez lata była poza radarami cyberprzestępców — postrzegana jako sektor „przemysłowo-komunalny" o niskiej wartości danych. NIS2 to zmienia: zakłady zagospodarowania odpadów, sortownie, instalacje MBP i spalarnie są dziś jednym z filarów infrastruktury krytycznej polskich miast, a awaria sterowania sortowni regionu wojewódzkiego oznacza realny problem środowiskowy w ciągu kilku dni.

Aktualizacja: 10 min czytania

Autor:Dariusz ZającLead vCISO, Cyber Alterity

RIPOK

Główna kategoria podmiotów

Regionalne Instalacje Przetwarzania Odpadów Komunalnych

BDO

Punkt styku z systemem MOŚ

Baza Danych Odpadowych — krytyczny system raportowy

GIOŚ

Drugi organ obok CSIRT NASK

Główny Inspektorat Ochrony Środowiska — kontrole wspólne

Kto z gospodarki odpadami jest w zakresie

Załącznik II dyrektywy NIS2 wymienia „gospodarkę odpadami" jako sektor krytyczny. Polski projekt nowelizacji ustawy o KSC doprecyzowuje, że obejmuje to podmioty prowadzące działalność w zakresie zbierania, transportu, odzysku oraz unieszkodliwiania odpadów. W praktyce w zakresie znajdą się:

  • RIPOK (Regionalne Instalacje Przetwarzania Odpadów Komunalnych) — zakłady wskazane przez wojewódzkie plany gospodarki odpadami jako kluczowe dla obsługi danego regionu. Niemal każdy RIPOK przekracza próg MŚP (50 osób lub 10 mln EUR obrotu).
  • Instalacje MBP (mechaniczno-biologicznego przetwarzania odpadów) — częściowo skomputeryzowane linie sortownicze, kompostownie, biostabilizatory.
  • Sortownie odpadów — zakłady wyodrębniające frakcje surowcowe (papier, plastik, metal, szkło) z odpadów zmieszanych lub selektywnie zebranych. Coraz częściej wyposażone w sortery optyczne sterowane SCADA.
  • Spalarnie odpadów — komunalnych (np. Kraków, Białystok, Konin) oraz medycznych. Pracują w trybie ciągłym z układem sterowania klasy procesowej.
  • Składowiska odpadów — duzi operatorzy z systemami monitorującymi (gaz wysypiskowy, odcieki, opady).
  • Operatorzy transportu odpadów — duże firmy obsługujące zbiórkę w miastach, dysponujące flotami pojazdów i systemami TMS. Pokrywa się to częściowo z transportem drogowym (Załącznik I).
  • Zakłady utylizacji odpadów niebezpiecznych — chemicznych, medycznych, elektronicznych (WEEE).

Próg klasyfikacji jest standardowy MŚP: 50 osób LUB 10 mln EUR obrotu rocznego ⇒ Podmiot Ważny. Duża miejska spółka komunalna przekraczająca 250 osób / 50 mln EUR pozostaje Podmiotem Ważnym (Załącznik II nie awansuje do „Kluczowego" niezależnie od skali), chyba że została wskazana „z urzędu" jako infrastruktura krytyczna.

Specyfika SCADA — sortownia jako fabryka

Mało który Polak wyobraża sobie sortownię odpadów jako „zautomatyzowaną fabrykę" — a w 2026 r. tak właśnie wygląda średniej skali sortownia komunalna. Sortery balistyczne, separatory magnetyczne, prądowirowe i optyczne (NIR, kamery), prasy belująco-pakujące — wszystko to jest sterowane przez systemy SCADA, często oparte o sterowniki Siemens S7 lub Beckhoff TwinCAT.

Z perspektywy NIS2 oznacza to dokładnie te same wyzwania, co w klasycznej produkcji przemysłowej:

  • Segmentacja IT/OT. Płaska sieć łącząca biuro zakładu z halą sortowni to standard. Pracownik administracyjny otwierający phishingowy załącznik może w godzinę zatrzymać cały zakład.
  • Stary firmware sterowników. Inwestycje w sortownie miały miejsce głównie w latach 2014–2018 ze środków unijnych. Większość PLC ma firmware z tamtej epoki — bez patchy, bez MFA, z domyślnymi hasłami serwisowymi.
  • Zdalny dostęp dostawców automatyki. Producenci sorterów optycznych (TOMRA, Pellenc ST, REDWAVE) zazwyczaj mają zdalny dostęp serwisowy do swoich urządzeń. Bez audytu łańcucha dostaw te kanały są niewidoczne dla działu IT zakładu.

Konsekwencje awarii — środowisko i obowiązki gminne

Awaria sortowni regionalnej obsługującej duże miasto ma niestandardowe konsekwencje. Odpady nie znikają — gminy mają ustawowy obowiązek ich odbioru w wyznaczonych terminach. Zatrzymanie zakładu RIPOK przez 7 dni z powodu ransomware oznacza:

  1. Konieczność wywozu nieprzetworzonych odpadów na inne instalacje (często odległe o setki kilometrów) z kosztami transportu ponoszonymi przez gminy.
  2. Możliwe naruszenie wojewódzkiego planu gospodarki odpadami i interwencja WIOŚ (Wojewódzki Inspektorat Ochrony Środowiska).
  3. Ryzyko sanitarne na terenie magazynowania pośredniego — odpady niezbierane przez 3–4 dni w letnich miastach są realnym problemem.
  4. Konsekwencje karne dla zarządu zakładu z mocy ustawy o odpadach (niezależnie od Art. 12a KSC).

BDO — punkt styku z Bazą Danych Odpadowych

Polski sektor gospodarki odpadami jest unikalny w UE pod względem cyfryzacji — przede wszystkim za sprawą systemu BDO (Baza Danych Odpadowych) obowiązującego od 2020 r. Każdy podmiot gospodarujący odpadami musi prowadzić w BDO ewidencję obrotu odpadami w czasie zbliżonym do rzeczywistego.

BDO jest systemem MOŚ (Ministerstwa Klimatu i Środowiska), więc nie jest bezpośrednio przedmiotem regulacji NIS2 dla zakładu (zakład jest tylko klientem API). Ale incydent uniemożliwiający komunikację z BDO przez dłuższy czas tworzy realne ryzyko zaległości ewidencyjnych — które są surowo karane przez WIOŚ niezależnie od KSC. Z tego powodu w sektorze odpadowym plan ciągłości działania (BCP) musi explicit obejmować alternatywne kanały zgłoszenia do BDO (manualne, na podstawie rezerwowych kopii dokumentów wagowych).

Regulatorzy — GIOŚ, WIOŚ, CSIRT NASK

Organ właściwy do spraw cyberbezpieczeństwa

Minister Klimatu i Środowiska

Sektor: Gospodarowanie odpadami. Załącznik nr 2 do ustawy o KSC.

Źródło: Ministerstwo Cyfryzacji, „KSC pytania i odpowiedzi" pkt 11.1.

Ministerstwo Cyfryzacji w pkt 11.1 jednoznacznie wskazuje Ministra Klimatu i Środowiska jako organ właściwy do spraw cyberbezpieczeństwa dla gospodarki odpadami. GIOŚ i WIOŚ działają jako naturalni partnerzy operacyjni przy reagowaniu na incydenty (każda awaria zakładu odpadowego trafia również do nich), ale formalne kary administracyjne za naruszenia obowiązków NIS2 wymierza minister wskazany w ustawie. Wspólne kontrole są prawdopodobne na mocy Min. Cyfr. pkt 11.2.

  • GIOŚ (Główny Inspektorat Ochrony Środowiska) — organ właściwy dla zagrożeń środowiskowych. W praktyce każda awaria zakładu odpadowego trafia również do inspektorów GIOŚ/WIOŚ — wspólne kontrole są prawdopodobne, ale formalnie organem KSC jest Minister Klimatu i Środowiska.
  • WIOŚ (Wojewódzkie Inspektoraty) — pierwszy poziom kontroli w terenie. Odpowiada za naruszenia środowiskowe wynikłe pośrednio z incydentu cyber.
  • CSIRT NASK — kanał raportowania incydentów cyber w kaskadzie 24 h / 72 h / 1 miesiąca.
  • Wójt / burmistrz / prezydent miasta — formalnie właściciel obowiązku odbioru odpadów. Pierwszy informowany o przewidywanym przestoju zakładu w okresie kryzysowym.

Praktyczna kolejność wdrożenia

Dla średniej polskiej spółki RIPOK lub MPGK (Miejskie Przedsiębiorstwo Gospodarki Komunalnej) wdrożenie NIS2 zajmuje 6–9 miesięcy. Rekomendowana sekwencja:

  1. Miesiąc 1: uchwała zarządu o klasyfikacji jako Podmiot Ważny, wskazanie osoby odpowiedzialnej za nadzór nad cyberbezpieczeństwem (zwykle Prezes lub Wiceprezes ds. Technicznych).
  2. Miesiąc 1–2: audyt segmentacji IT/OT — identyfikacja punktów wspólnych biuro–hala sortownicza, inwentaryzacja sterowników automatyki.
  3. Miesiąc 2–3: przegląd umów z dostawcami sorterów i systemów automatyki (TOMRA, Pellenc ST, Beckhoff) pod kątem zdalnego dostępu — wymóg MFA, logging, klauzule zgłoszenia incydentu w 24 h.
  4. Miesiąc 3–5: wdrożenie podstawowych środków z Art. 21 — kopie zapasowe, MFA dla kont uprzywilejowanych, polityka SZBI, plan BCP/DRP z explicit alternatywnym kanałem BDO.
  5. Miesiąc 6–7: rejestracja w S46, wdrożenie procedury raportowania, pierwsze szkolenie zarządu (Art. 20).
  6. Miesiąc 8–9: test odtworzeniowy BCP w scenariuszu „ransomware na poziomie MES", komunikacja z gminami obsługiwanymi przez zakład.

Realny scenariusz — Polska, 2025

W 2025 r. polski operator dużej spalarni odpadów był zaatakowany ransomware'em przez phishing pracownika administracji. Sieć biurowa i sieć sterowania były połączone przez jeden firewall bez segmentacji wewnętrznej. Aktor dostał się do warstwy MES, ale (na szczęście) nie do sterowników klasy procesowej. Zakład działał, ale przez 3 dni nie mógł generować raportów do BDO ani wystawiać kart przekazania odpadów. Skutek: zaległości ewidencyjne, kontrola WIOŚ, formalne zawiadomienie o naruszeniu, mediacje z gminami. Skala materialnej szkody: ok. 800 tys. zł. NIS2 — gdyby już obowiązywała — wskazywałaby na pełen katalog Art. 21 jako brakujący.

Co dalej

Jeżeli Państwa zakład jest w zakresie (RIPOK, MBP, sortownia, spalarnia), kolejny krok to sprawdzenie klasyfikacji i decyzja zarządu o tym, kto odpowiada za wdrożenie. Standardowa ścieżka: vCISO zewnętrzny w modelu B2B na 9–12 miesięcy projektu, z opcją dalszej współpracy w trybie utrzymania (audyt roczny, aktualizacja procedur, szkolenia zarządu Art. 20).

Pełna lista obowiązków technicznych jest w pillarze Obowiązki techniczne Art. 21. Konkretne klauzule kontraktowe dla dostawców automatyki — w blogu Łańcuch dostaw — Art. 21(2)(d).

Marka Cyber Alterity ma doświadczenie wdrożeniowe w polskim sektorze odpadowym — z uwzględnieniem specyfiki BDO, regulacji środowiskowych i wymogów GIOŚ/WIOŚ. Bezpłatny audyt zerowy obejmuje weryfikację, czy spółka faktycznie podlega NIS2 (część mniejszych operatorów gminnych może się jeszcze legalnie wyłączyć z uwagi na próg MŚP).

Umów konsultację