Cybertrening dla sektora ścieków - NIS-2 art. 21 ust. 2 lit. g

Dlaczego to nie teoria

Trzy ataki, które uderzyły w oczyszczalnie i sieci wodno-kanalizacyjne

To nie są hipotetyczne scenariusze. To konkretne zakłady, konkretne skutki, konkretne tytuły w prasie branżowej - w tym cztery polskie w ciągu ostatnich dwóch lat.

1

Polskie oczyszczalnie — Wydminy, Kuźnica, Chodaczów (2024-2025)

W 2024 roku ofiarami prorosyjskich grup hakerskich padły oczyszczalnie ścieków w Wydminach (kwiecień, atak powiązany z GRU), Kuźnicy (październik) oraz Chodaczowie na Podkarpaciu (14 października, dostęp do sterowania oczyszczalni chroniony był jedynie czteroznakowym hasłem numerycznym). W 2025 roku ataki objęły kolejne stacje uzdatniania wody. Minister cyfryzacji potwierdził: z 18 prób 17 zostało zneutralizowanych — co oznacza, że jedna zakończyła się sukcesem atakującego.

Źródła: CyberDefence24 — Chodaczów · iSokólka — Kuźnica · Arkanet — przegląd ataków 2024-2025.

2

Maroochy Shire (Australia, 2000) — klasyka SCADA

Inżynier Vitek Boden, który wcześniej instalował SCADA w oczyszczalni Maroochy Shire, po odrzuceniu jego aplikacji o pracę w radzie gminy w okresie luty-kwiecień 2000 wysłał radiem 46 komend sterujących do pompowni ścieków. Skutek: 800 000 litrów surowych ścieków wylało się do parków, rzek i na teren hotelu Hyatt Regency. Do dziś najczęściej cytowany przypadek ataku na system sterowania w sektorze ściekowym.

Źródła: MITRE — Malicious Control System Cyber Security Attack Case Study · The Register — "Hacker jailed for revenge sewage".

3

Municipal Water Authority of Aliquippa (USA, listopad 2023)

Irańska grupa "Cyber Av3ngers" zaatakowała sterownik PLC Unitronics w stacji pomp w Aliquippa, Pensylwania. Urządzenie miało słabe hasło i było wystawione na Internet. Po ataku CISA wydała ostrzeżenie sektorowe, a EPA zwiększyła kontrole — po których stwierdziła, że ponad 70% zbadanych systemów wodno-ściekowych w USA nie spełnia podstawowych standardów bezpieczeństwa. Atak powtórzył się w podobnym wzorcu w kilkunastu innych amerykańskich zakładach.

Źródła: CISA Advisory AA24-038A · The Hacker News · Nextgov — EPA 70%.

68% naruszeń cyber angażuje element ludzki.

Nie chodzi o exploit zero-day ani supergeniusza z kapturem. Chodzi o kliknięcie w link, wpisanie hasła na fałszywej stronie, otwarcie załącznika, uleganie socjotechnice — albo prostsze: czteroznakowe hasło do PLC oczyszczalni, jak w przypadku Chodaczowa. Szkolenie pracowników to nie "miękki dodatek" — to obrona, która adresuje 2/3 realnego ryzyka.

Źródło: Verizon Data Breach Investigations Report 2024 — "the human element was a component of 68% of breaches".

Co musisz wiedzieć

NIS-2 w 4 punktach

Co musisz zrobić

Wdrożyć procedury bezpieczeństwa, regularnie szkolić zespół (kadrę zarządzającą i pracowników), prowadzić rejestr ryzyk i incydentów, wyznaczyć osobę odpowiedzialną. Termin: dyrektywa już obowiązuje, polska ustawa KSC w transpozycji.

Kogo dotyczy

Oczyszczalnie ścieków, przedsiębiorstwa wodno-kanalizacyjne od progu SME (50 osób lub 10 mln EUR obrotu). Dostawców objętych firm dotyczy przez zapisy kontraktowe (zarządzanie łańcuchem dostaw - art. 21).

Co grozi za brak

Kara administracyjna do 10 mln EUR lub 2% rocznego obrotu (wybiera się kwotę wyższą). Przy podmiotach kluczowych - osobista odpowiedzialność członków zarządu (art. 20).

Co sprawdza audytor

Dokumentację procedur bezpieczeństwa, dowody przeprowadzonych szkoleń (lista obecności, program, certyfikaty), plan reagowania na incydenty, gotowość do raportowania w 24h.

Wartość

Co konkretnie dostajesz

Szkolenie dopasowane do realiów oczyszczalni i sieci kanalizacyjnej — SCADA, PLC, ERP spółki komunalnej, dyspozytornia, laboratorium, księgowość. Konkretne przykłady ataków na sektor wod-kan, nie generyczne slajdy.

Szkolenie na żywo (3, 5 lub 8h)

Stacjonarnie u Ciebie w zakładzie lub online przez Zoom. 6-8 modułów zależnie od pakietu. Pracownicy dostają realne przykłady: phishing pod fakturę reagentów, BEC, ataki na sterowniki PLC, socjotechnika w dyspozytorni.

Dokumentacja audytowa

Lista obecności z podpisami, program szkolenia, test końcowy z wynikami, imienne certyfikaty. Wszystko w PDF, podpisane elektronicznie. Dokładnie to, czego audytor i organ nadzoru (Minister Cyfryzacji, UKE) potrzebuje do zamknięcia wymogu z art. 21.

Dopasowanie do branży

Realne scenariusze z oczyszczalni - faktura od "stałego dostawcy polielektrolitu" z podmienionym kontem, mail od "serwisanta PLC Siemens" z załącznikiem, próba zdalnego dostępu do SCADA z obcego IP, dziwny pendrive w dyspozytorni. Nie abstrakcja - rzeczy, które już się zdarzyły polskim zakładom.

Test końcowy + wynik per osoba

12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu: nie wystarczy obecność - trzeba pokazać że wiedza została sprawdzona. Wyniki w raporcie zbiorczym + imiennie.

W cenie, bez dopłat: certyfikat imienny PDF dla każdego uczestnika, konsultacje 1:1 (20 min przed + 20 min po szkoleniu), dojazd i nocleg w cenie (cała Polska).

Trzy pakiety - od 3 do 8 godzin, dopasowane do Was

Starter

3 godziny

4 moduły podstawowe

Phishing i BEC
Hasła i MFA
Bezpieczna praca z pocztą
Co robić w razie incydentu

Dla: zespoły 5-15 osób, pierwsze szkolenie w zakładzie.

Standard

5 godzin

6 modułów + warsztat

Wszystko ze Startera
Ataki na sektor wod-kan (SCADA, PLC, Unitronics, Siemens)
Socjotechnika - dyspozytornia, laboratorium, serwisanci
Warsztat: rozpoznawanie phishingu i fałszywego KSeF

Dla: zespoły 10-30 osób, kompleksowe pokrycie art. 21.

Pełny dzień

8 godzin

6 + 2 moduły + praktyka

Wszystko ze Standardu
Moduł dla zarządu (obowiązki NIS-2 art. 20)
Dane osobowe i RODO w praktyce
Praktyka: analiza realnej faktury-pułapki i fałszywego zgłoszenia serwisowego

Dla: zespoły 20+ osób, zakład z SCADA, PLC i rozbudowanym działem IT/OT.

Cena

Transparentna stawka za osobę

Bez pakietów ukrytych kosztów. Bez minimum zamówienia. Dojazd i nocleg w cenie - cała Polska. Poza tym zasięgiem - ustalamy indywidualnie.

Stacjonarnie u Ciebie

W Twojej sali, u Ciebie w zakładzie, z Twoimi przykładami

800 PLN netto / os

Dojazd i nocleg w cenie · minimum 5 osób

Online

Przez Zoom

600 PLN netto / os

Nagranie dostępne przez 30 dni · minimum 5 osób

Szybki rachunek. Oczyszczalnia 25 osób (dyspozytornia + laboratorium + księgowość + utrzymanie ruchu), pakiet Standard online: 25 × 600 PLN = 15 000 PLN netto. Kara z art. 34 NIS-2 za nieudokumentowanie szkoleń z art. 21 zaczyna się od 10 mln EUR lub 2% rocznego obrotu.

Najczęstsze pytania

Cztery obiekcje, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.

Mamy ISO 27001. To wystarczy pod NIS-2?

Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.

Damy radę sami - YouTube, blogi, ChatGPT.

Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.

Mamy czas - NIS-2 w Polsce jeszcze nie obowiązuje.

Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.

Czy można sfinansować szkolenie z KFS/BUR?

Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.

Dlaczego mi zaufać

Adrian Maryniewski

Tester oprogramowania • Trener

9 lat w IT - jako tester oprogramowania widziałem z bliska, jak działają systemy firm od środka. Wiem gdzie zwykle pojawiają się luki i jak atakujący je wykorzystują. Na szkoleniu nie czytam teorii ze slajdów - pokazuję realne ataki krok po kroku, na przykładach z oczyszczalni ścieków i spółek komunalnych.

Certyfikaty: ISTQB (testowanie), CompTIA Security+ (w toku).
Doświadczenie projektowe: Nordea Bank, DNV, Logintegra, xcactus.
Ukończone kursy: OTWA (Ofensywne Testowanie Web Aplikacji), Zostań Pentesterem, Cyber Awareness EY, Cyber Awareness Santander Consumer Bank.
Specjalizacja: Testowanie aplikacji webowych, szkolenia z cyberbezpieczeństwa dla pracowników biurowych.

Zamów 30-min rozmowę

Sprawdzimy czy NIS-2 Was dotyczy. Dobierzemy moduły pod Waszą firmę. Dostaniecie wycenę. Zero spamu, zero zobowiązań - nawet jeśli nie kupujecie.

Ransomware w oczyszczalni ścieków = realne ryzyko sanitarne dla miasta. NIS-2 nakłada obowiązek szkoleń kadry.