Przejdź do treści
dyrektywaNIS2

Branża · Załącznik I

NIS2 w sektorze wodno-ściekowym

Sektor wodno-ściekowy jest w NIS2 traktowany jako dwa osobne obszary Załącznika I — „woda pitna" i „ścieki" — ale w polskich realiach niemal wszędzie obsługiwane są przez tych samych operatorów (MPWiK Warszawa, Wodociągi Wrocławskie, AQUANET Poznań, MPWiK Kraków). To sektor, którego cyberbezpieczeństwo ma bezpośredni wymiar zdrowotny — atak na sterowanie stacją uzdatniania nie jest abstrakcyjnym ryzykiem. ENISA w corocznym Threat Landscape klasyfikuje wodę i ścieki jako jeden z czterech sektorów najwyższego ryzyka systemowego w UE, a polski raport NIK z 2023 r. udokumentował istotne luki w zabezpieczeniach większości skontrolowanych MPWiK.

Aktualizacja: 10 min czytania

Autor:Dariusz ZającLead vCISO, Cyber Alterity

Załącznik I

Klasyfikacja sektora

woda pitna i ścieki — oba podsektory

NIK 2023

Audyt sektora w Polsce

istotne luki w zabezpieczeniach większości MPWiK

24 h

RTO dla oczyszczalni ścieków

utrata osadu czynnego po dłuższym przestoju

Kto z sektora wodno-ściekowego jest w zakresie

Załącznik I dyrektywy NIS2 wymienia osobno „dostawców i dystrybutorów wody pitnej" oraz „operatorów zarządzających ściekami komunalnymi i przemysłowymi". Polski projekt nowelizacji KSC obejmuje tym:

  • MPWiK miast wojewódzkich — Miejskie Przedsiębiorstwa Wodociągów i Kanalizacji w Warszawie, Krakowie, Wrocławiu, Poznaniu (AQUANET), Gdańsku (Saur Polska), Łodzi (ZWiK Łódź), Szczecinie, Lublinie itd. Każde przekracza próg MŚP wielokrotnie.
  • Przedsiębiorstwa wodno-kanalizacyjne mniejszych miast — typowo PWiK, ZWiK, MZGK. Próg klasyfikacji może być na granicy w przypadku mniejszych gmin.
  • Operatorzy ujęć wody powierzchniowej i podziemnej — stacje uzdatniania wody dla aglomeracji miejskich (ZUW), ujęcia drenażowe, studnie głębinowe powyżej skali.
  • Operatorzy zbiorników retencyjnych — Wody Polskie zarządzające infrastrukturą retencyjną oraz duzi zarządcy regionalni.
  • Oczyszczalnie ścieków komunalnych — typowo integralna część organizacji MPWiK.
  • Operatorzy ścieków przemysłowych — duże zakłady z własnymi oczyszczalniami (huty, rafinerie, celulozownie, wielcy producenci spożywczy).

Próg klasyfikacji standardowy — średnie i duże przedsiębiorstwa w zakresie. W praktyce każde MPWiK obsługujące miasto powyżej 50 tys. mieszkańców jest Podmiotem Kluczowym z mocy skali. Mniejsze gminne PWiK mogą być na granicy MŚP — kluczowe jest uwzględnienie wielkości obrotu rocznego (10 mln EUR ≈ 45 mln PLN).

Specyfika SCADA — od ujęcia po oczyszczalnię

Sektor wodno-ściekowy ma jeden z najbardziej rozbudowanych krajobrazów SCADA spośród wszystkich sektorów NIS2. Typowa struktura MPWiK obsługującego średnie miasto wojewódzkie:

  • Stacja uzdatniania wody (ZUW) — sterowniki PLC kontrolujące pompy, dozowanie chloru, koagulantów, ustawienia filtrów piaskowych i węglowych. Monitoring jakości (mętność, pH, chlor wolny, mikrobiologia w trybie online).
  • Sieć przesyłowa — przepompownie sieciowe, zbiorniki retencyjne, stacje pomiarowe ciśnienia i przepływu w punktach kluczowych (DMA — District Metered Areas).
  • Sieć dystrybucyjna — coraz częściej wyposażona w wodomierze SMART z komunikacją radiową (LoRaWAN, Sigfox) lub przewodową (M-Bus).
  • Oczyszczalnia ścieków — sterowanie procesem biologicznym (osad czynny, denitryfikacja, defosfatacja), dmuchaw, mieszadeł, pomp. Krytyczność najwyższa, bo zakłócenie procesu biologicznego może wymagać wielu dni regeneracji.
  • Sieć kanalizacyjna — przepompownie ścieków (czasami setki w skali miasta), zbiorniki retencyjne wód opadowych (przeciwpowodziowe).

Typowa polska MPWiK ma kilkaset do kilku tysięcy końcówek SCADA — często rozproszonych geograficznie i komunikujących się przez sieć radiową (TETRA, prywatna LTE) lub łącza WAN dostawców telekomunikacyjnych. Każda końcówka to potencjalny wektor wejścia.

Polski kontekst — raport NIK i postulaty ENISA

Raport NIK z 2023 r.

Najwyższa Izba Kontroli w raporcie z 2023 r. po skontrolowaniu wybranych polskich przedsiębiorstw wodociągowo-kanalizacyjnych stwierdziła istotne luki w zabezpieczeniach IT/OT. Wśród najczęściej powtarzanych uwag: brak segmentacji sieci między biurem a sterowaniem SCADA, nieaktualne systemy operacyjne na stanowiskach dyspozytorskich, współdzielone konta serwisowe z dostawcami automatyki, brak procedury obsługi incydentów. To dokładnie ten zakres luk, który NIS2 adresuje wprost w Art. 21 — co czyni nowelizację KSC nie tyle „nowym wymaganiem", co skodyfikowaniem już istniejącej recenzji NIK.

Stanowisko ENISA — sektor wodny jako Tier 1

Europejska Agencja Cyberbezpieczeństwa (ENISA) w corocznym Threat Landscape klasyfikuje sektor wodny jako jeden z czterech sektorów najwyższego ryzyka systemowego (obok energetyki, finansów i ochrony zdrowia). Uzasadnienie: bezpośredni wymiar zdrowotny incydentu, niska dojrzałość cyber większości europejskich operatorów, rozproszona geograficznie infrastruktura SCADA jako naturalna powierzchnia ataku.

Regulatorzy — Wody Polskie, GIS, CSIRT NASK

Organy właściwe do spraw cyberbezpieczeństwa

Minister Infrastruktury

Sektor: Zaopatrzenie w wodę pitną i jej dystrybucja. Załącznik nr 1 do ustawy o KSC.

Minister Infrastruktury

Sektor: Zbiorowe odprowadzanie ścieków. Załącznik nr 1 do ustawy o KSC.

Źródło: Ministerstwo Cyfryzacji, „KSC pytania i odpowiedzi" pkt 11.1.

Organem właściwym do spraw cyberbezpieczeństwa dla sektora zaopatrzenia w wodę pitną oraz dla zbiorowego odprowadzania ścieków jest Minister Infrastruktury(Min. Cyfr. pkt 11.1). Wody Polskie, GIS, PIS, UOKiK pozostają regulatorami branżowymi — kontrolują jakość, taryfy, ochronę odbiorców — ale to Minister Infrastruktury wymierza kary administracyjne za naruszenia obowiązków NIS2.

  • Państwowe Gospodarstwo Wodne Wody Polskie — regulator branżowy gospodarki wodnej. Nadzór nad zbiornikami retencyjnymi, ujęciami wód powierzchniowych, taryfami wodnymi. Pierwszy partner operacyjny w sytuacji kryzysowej, ale nie jest organem właściwym KSC.
  • GIS + wojewódzkie PIS — kontrola jakości wody pitnej. Awaria stacji uzdatniania powodująca przekroczenie parametrów jakości wymaga natychmiastowego zgłoszenia.
  • CSIRT NASK — kanał raportowania incydentów cyber w trybie 24 h / 72 h / 1 miesiąca.
  • Wojewódzkie Centra Zarządzania Kryzysowego — powiadamiane w przypadku zagrożenia ciągłości dostaw dla znacznej liczby odbiorców.
  • UOKiK — formalnie nie regulator cyberbezpieczeństwa, ale wpływ na taryfy i decyzje cenowe w przypadku konieczności inwestycji NIS2.

BCP — co znaczy „ciągłość dostawy wody"

NIS2 Art. 21 ust. 2 lit. (c) wymaga „ciągłości działania, kopii zapasowych i zarządzania kryzysowego". W sektorze wodnym przekłada się to na bardzo konkretne wymagania:

  • RTO dla SCADA stacji uzdatniania — typowo 4–8 godzin. Dłuższa awaria oznacza ryzyko utraty jakości wody (rozwój mikrobiologii, brak chlorowania).
  • RTO dla SCADA oczyszczalni ścieków — 24 godziny dla utrzymania procesu biologicznego. Dłuższa awaria oznacza utratę osadu czynnego i konieczność jego odtworzenia (proces trwający tygodnie).
  • Procedury manualne dla pompowni — dla zachowania podstawowej dystrybucji wody w razie awarii sieci centralnego nadzoru.
  • Kopie zapasowe konfiguracji sterowników — często zaniedbywane, ale krytyczne. Po ataku ransomware odtworzenie nieuszkodzonej konfiguracji wszystkich PLC może zająć tygodnie bez wcześniejszej archiwizacji.

Praktyczna kolejność wdrożenia w polskim MPWiK

Dla średniej MPWiK obsługującej miasto wojewódzkie (300–800 pracowników, kilkaset końcówek SCADA) wdrożenie NIS2 zajmuje 9–12 miesięcy. Sekwencja, która działa w praktyce:

  1. Miesiąc 1–2: uchwała zarządu o klasyfikacji jako Podmiot Kluczowy, formalne wskazanie osoby odpowiedzialnej. Audyt zerowy z mapowaniem stanu istniejącego — szczególnie sieci radiowych i połączeń z dostawcami zewnętrznymi.
  2. Miesiąc 2–4: inwentaryzacja końcówek SCADA — od centralnej dyspozytorni po najmniejszą przepompownię sieciową. Każda końcówka w bazie z polem „producent", „firmware", „lokalizacja", „dostępność".
  3. Miesiąc 4–6: wdrożenie segmentacji IT/OT, wymiana TeamViewera i innych narzędzi zdalnego dostępu na rozwiązania klasy enterprise (jump server z MFA), polityka SZBI.
  4. Miesiąc 6–8: plan BCP/DRP z RTO/RPO dla każdego procesu krytycznego (uzdatnianie, oczyszczanie, dystrybucja, zarządzanie kryzysowe). Procedury manualne dla najbardziej krytycznych obiektów.
  5. Miesiąc 8–10: rejestracja w S46, procedura obsługi incydentów z explicit referencją do GIS i Wojewódzkiego Centrum Zarządzania Kryzysowego jako równoległych odbiorców zgłoszenia w razie zagrożenia jakości wody. Pierwsze szkolenie zarządu (Art. 20).
  6. Miesiąc 10–12: testy odtworzeniowe w warunkach planowanego serwisu, audyt łańcucha dostaw (producenci SCADA, integratorzy radiowi, dostawcy chmury). Tabletop scenariusza ransomware na centralnej dyspozytorni z udziałem zarządu i WCZK.

Łańcuch dostaw — operator SCADA i producent sterowników

Kluczowi dostawcy w sektorze wodnym to przede wszystkim:

  • Producenci sterowników PLC — Siemens, Schneider Electric, ABB, Beckhoff, Wago. Każdy z nich ma własną historię CVE w obszarze sterowników przemysłowych.
  • Integratorzy SCADA i automatyki — polskie firmy specjalizujące się w sektorze wodnym, często mające dostęp serwisowy do większości obiektów MPWiK.
  • Operatorzy sieci radiowych — dostawcy łączy TETRA, prywatnych sieci LTE, łączy WAN.
  • Producenci wodomierzy SMART — Apator Powogaz, Diehl Metering, Itron — z dedykowaną infrastrukturą komunikacji.
  • Dostawcy chmury i aplikacji branżowych — dla MPWiK korzystających z systemów billingowych w chmurze (Comarch, Asseco, Itera).

Co dalej

Sektor wodno-ściekowy jest jednym z najbardziej krytycznych dla państwa, a w polskim KSC ma najniższy poziom dojrzałości cyberbezpieczeństwa spośród sektorów Załącznika I (raport NIK 2023 r. wskazał istotne luki w większości skontrolowanych MPWiK). NIS2 jest zarówno regulacją, jak i okazją — wymagane inwestycje są w zasięgu, a zwroty mierzą się w kontekście uniknięcia kompromitującego incydentu publicznego.

Pełna lista obowiązków technicznych jest w pillarze Obowiązki techniczne Art. 21. Sprawdzenie klasyfikacji MPWiK w trzy parametry: otwórz klasyfikator.

Marka Cyber Alterity ma doświadczenie wdrożeniowe w polskich MPWiK ze szczególnym uwzględnieniem segmentacji SCADA i procedur BCP dla procesów biologicznych oczyszczalni. Bezpłatny audyt zerowy obejmuje weryfikację stanu istniejącego i mapowanie do wymogów Wód Polskich oraz GIS.

Umów konsultację