Realizacja projektów w ramach naboru „Cyberbezpieczne Wodociągi” – analiza wyników i skuteczność metodologii MJC

Informujemy o zakończeniu z wynikiem pozytywnym procesu aplikacji w ramach konkursu grantowego „Cyberbezpieczne Wodociągi” (Inwestycja C3.1.1. Krajowego Planu Odbudowy i Zwiększania Odporności). W wyniku oceny merytorycznej i formalnej, przeprowadzonej przez Centrum Projektów Polska Cyfrowa (CPPC) w partnerstwie z NASK Państwowym Instytutem Badawczym, 15 projektów przygotowanych przez ekspertów MJC dla podmiotów z sektora wodno-kanalizacyjnego uzyskało dofinansowanie. Łączna kwota przyznanych środków dla klientów firmy MJC wynosi ponad 14 mln zł. Przedstawiamy podsumowanie założeń programu, wyzwań związanych z cyberbezpieczeństwem infrastruktury krytycznej oraz aspektów proceduralnych, które warunkowały uzyskanie wsparcia finansowego.

Znaczenie infrastruktury wodno-kanalizacyjnej w systemie bezpieczeństwa państwa

Systemy zbiorowego zaopatrzenia w wodę oraz odprowadzania ścieków stanowią fundamentalny element infrastruktury krytycznej każdego państwa. Ich ciągłe, niezakłócone funkcjonowanie jest warunkiem koniecznym dla utrzymania zdrowia publicznego, stabilności gospodarczej oraz bezpieczeństwa obywateli. W świetle obowiązujących przepisów, w tym ustawy o krajowym systemie cyberbezpieczeństwa (KSC), przedsiębiorstwa wodociągowo-kanalizacyjne są często klasyfikowane jako operatorzy usług kluczowych. Status ten nakłada na nie szereg obowiązków związanych z zapewnieniem odpowiedniego poziomu bezpieczeństwa, w tym z identyfikacją ryzyka, zapobieganiem incydentom oraz ich obsługą. Przerwa w dostawie wody pitnej lub incydent skutkujący obniżeniem jej parametrów jakościowych niosą za sobą poważne konsekwencje sanitarne i operacyjne. Z tego względu ochrona tych systemów przestała być wyłącznie kwestią zabezpieczeń fizycznych, a w coraz większym stopniu dotyczy odporności na zagrożenia w cyberprzestrzeni.

Współczesne przedsiębiorstwa wodociągowe opierają swoje procesy technologiczne na zaawansowanych systemach automatyki przemysłowej (OT – Operational Technology), takich jak systemy SCADA (Supervisory Control and Data Acquisition), sterowniki PLC (Programmable Logic Controllers) czy interfejsy HMI (Human-Machine Interfaces). Tradycyjnie sieci OT były odizolowane od sieci informatycznych (IT) oraz od internetu (tzw. air gap). Obecnie, dążenie do optymalizacji procesów, zdalnego monitorowania oraz wprowadzania rozwiązań z zakresu Przemysłu 4.0 i Internetu Rzeczy (IoT), wymusza konwergencję obu tych środowisk. Połączenie sieci korporacyjnych z sieciami technologicznymi otwiera jednak nowe wektory ataków dla cyberprzestępców. Przełamanie zabezpieczeń w sieci IT (np. poprzez atak phishingowy na pracownika administracyjnego) może skutkować eskalacją uprawnień i nieautoryzowanym dostępem do sieci OT. Taka sytuacja stwarza realne ryzyko manipulacji procesami technologicznymi, zmiany parametrów stacji uzdatniania wody czy zablokowania zaworów na sieciach przesyłowych. Przeciwdziałanie tym zagrożeniom wymaga implementacji zaawansowanych mechanizmów kontroli dostępu, segmentacji sieci, systemów klasy SIEM (Security Information and Event Management) oraz ciągłego monitorowania anomalii w ruchu sieciowym.

Założenia Inwestycji C3.1.1. „Cyberbezpieczne Wodociągi”

Konkurs grantowy „Cyberbezpieczne Wodociągi”, realizowany w ramach Krajowego Planu Odbudowy (KPO), stanowi systemową odpowiedź na rosnącą skalę zagrożeń teleinformatycznych w sektorze komunalnym. Ostatecznym Odbiorcą Wsparcia (OOW) odpowiedzialnym za dystrybucję środków jest Centrum Projektów Polska Cyfrowa. Program został ukierunkowany na podniesienie poziomu cyberodporności podmiotów krajowego systemu cyberbezpieczeństwa, ze szczególnym uwzględnieniem przedsiębiorstw wodociągowo-kanalizacyjnych, spółek prawa handlowego wykonujących zadania o charakterze użyteczności publicznej oraz jednostek sektora finansów publicznych. Alokacja środków na to przedsięwzięcie była przedmiotem aktualizacji. Zgodnie z informacją o zmianach z dnia 9 lutego 2026 roku, budżet naboru został zwiększony z pierwotnych 313 000 000,00 zł do kwoty 590 511 146,60 zł netto. Zmiana ta, wynikająca z IV Rewizji KPO, umożliwiła objęcie wsparciem znacznie szerszego katalogu podmiotów i usunięcie maksymalnego limitu beneficjentów, co miało kluczowe znaczenie dla optymalizacji strategii aplikacyjnej naszych klientów.

Z perspektywy finansowej, wsparcie w ramach programu przyznawane jest w formie pomocy de minimis. Oznacza to konieczność ścisłego monitorowania pułapów pomocy publicznej dla każdego wnioskodawcy. Całkowita kwota pomocy de minimis przyznanej jednemu przedsiębiorstwu nie może przekroczyć równowartości 300 000 EUR w okresie trzech lat podatkowych. Minimalna wartość wnioskowanego grantu została ustalona na poziomie 130 000 zł, natomiast górna granica zależała bezpośrednio od dostępnego limitu pomocy de minimis danego podmiotu. Mechanizm ten wymagał od analityków MJC przeprowadzenia szczegółowych audytów finansowych u każdego z 15 klientów przed przystąpieniem do formułowania budżetów projektowych. Zapewnienie pełnej zgodności z unijnymi i krajowymi przepisami o pomocy publicznej stanowiło jeden z fundamentów pozytywnej oceny wniosków.

Wpływ projektów na stabilność operacyjną sektora

Pozyskane środki będą w całości przeznaczone na inwestycje infrastrukturalne i kompetencyjne. Wdrażanie systemowych rozwiązań z zakresu cyberbezpieczeństwa w 15 przedsiębiorstwach pozwoli na ujednolicenie standardów ochrony w sektorze komunalnym. Realizacja tych projektów przyczyni się do zwiększenia niezawodności systemów IT/OT, minimalizacji ryzyka wycieku danych wrażliwych oraz ograniczenia możliwości zakłócenia ciągłości dostaw wody. Długofalowym efektem będzie zwiększenie zaufania publicznego do instytucji realizujących zadania o charakterze użyteczności publicznej. Ponadto, inwestycje te przygotowują beneficjentów do spełnienia rygorystycznych wymogów unijnej dyrektywy NIS2, która nakłada na podmioty kluczowe i ważne nowe, bardziej rygorystyczne obowiązki w obszarze zarządzania ryzykiem w cyberprzestrzeni oraz raportowania incydentów.

Metodologia pracy firmy MJC w procesie aplikacyjnym

Skuteczne pozyskanie ponad 14 mln zł dla 15 niezależnych podmiotów było efektem zastosowania ustandaryzowanej, rygorystycznej metodologii projektowej. Proces aplikacyjny realizowany za pośrednictwem systemu informatycznego LSI (obsługiwanego przez CPPC) wymagał spełnienia szeregu kryteriów formalnych i merytorycznych. W pierwszej fazie eksperci MJC przeprowadzili dogłębne analizy potrzeb (tzw. gap analysis) w infrastrukturze IT i OT u każdego z wnioskodawców. Analizy te opierały się na inwentaryzacji zasobów, identyfikacji podatności oraz weryfikacji zgodności z wymogami ustawy o krajowym systemie cyberbezpieczeństwa. Na tej podstawie opracowano indywidualne koncepcje projektowe, które obejmowały dobór odpowiednich środków technicznych (np. zapory sieciowe nowej generacji, systemy detekcji włamań, rozwiązania typu Endpoint Detection and Response), środków organizacyjnych (polityki bezpieczeństwa, plany ciągłości działania) oraz zaplanowanie działań szkoleniowych dla personelu i administratorów systemów.

Kluczowym aspektem było precyzyjne uzasadnienie wydatków oraz wykazanie ich bezpośredniego wpływu na podniesienie cyberodporności podmiotu. Konkurs wymagał ścisłego powiązania planowanych zakupów z audytami bezpieczeństwa oraz realnymi potrzebami w zakresie ochrony danych i utrzymania ciągłości świadczenia usług. Aplikacje musiały zostać przygotowane i autoryzowane przy użyciu kwalifikowanych narzędzi, takich jak Podpis GOV, a sam proces składania wniosków podlegał restrykcyjnemu harmonogramowi, który zakończył się 2 października 2025 roku o godzinie 16:00. Prawidłowe zarządzanie czasem oraz weryfikacja wieloetapowa wyeliminowały ryzyko odrzucenia wniosków na etapie oceny formalnej.

Uzyskanie decyzji o dofinansowaniu otwiera kolejny, równie wymagający etap polegający na realizacji i formalnym rozliczeniu przyznanych grantów. Zgodnie z regulaminem naboru oraz zapisami umów o powierzenie grantu, wszelkie wprowadzane przez beneficjentów zmiany w harmonogramach rzeczowo-finansowych muszą nadal spełniać kryteria, które zdecydowały o pierwotnym przyznaniu środków. Proces zakupowy będzie wymagał stosowania rygorystycznych procedur konkurencyjnych oraz zasad przejrzystości, wynikających z uwarunkowań prawnych dysponowania środkami publicznymi i funduszami europejskimi (NextGenerationEU). Firma MJC kontynuuje wsparcie merytoryczne dla swoich klientów również na etapie wdrożeniowym, zapewniając nadzór nad prawidłowością ponoszonych wydatków oraz przygotowaniem dokumentacji ewaluacyjnej wymaganej przez Centrum Projektów Polska Cyfrowa.

Podsumowując, skuteczność pozyskiwania tcyh środków stanowi dowód na merytoryczne przygotowanie zespołu MJC do obsługi wysoce specjalistycznych programów dotacyjnych. Środowisko regulacyjne dotyczące infrastruktury krytycznej ulega ciągłym przeobrażeniom, a wymogi w zakresie bezpieczeństwa systemów teleinformatycznych będą w nadchodzących latach systematycznie rosnąć. Profesjonalne przygotowanie aplikacji grantowych, oparte na rzetelnej inżynierii potrzeb i weryfikacji architektury bezpieczeństwa, pozostaje optymalną drogą do finansowania niezbędnych inwestycji modernizacyjnych w polskim sektorze wodno-kanalizacyjnym.