Sektor ścieków jest wymieniony wprost w Załączniku I Dyrektywy NIS-2 jako sektor o wysokim stopniu krytyczności. To oznacza konkretny obowiązek: regularne szkolenia pracowników z higieny cyberbezpieczeństwa - zapisane wprost w art. 21 ust. 2 lit. g.
Jeśli Twój zakład tego nie udokumentuje, odpowiedzialność spada osobiście na członków zarządu (art. 20), a kara dla podmiotu może sięgnąć 10 mln EUR lub 2% rocznego obrotu - wybiera się kwotę wyższą (art. 34 ust. 4). Do tego w ostatnich dwóch latach co najmniej cztery polskie oczyszczalnie i stacje uzdatniania wody były już celem prorosyjskich hakerów.
Rozmawiamy o Twoim zakładzie - ilu pracowników obsługuje SCADA, ilu księgowość, co już macie.
To nie są hipotetyczne scenariusze. To konkretne zakłady, konkretne skutki, konkretne tytuły w prasie branżowej - w tym cztery polskie w ciągu ostatnich dwóch lat.
W 2024 roku ofiarami prorosyjskich grup hakerskich padły oczyszczalnie ścieków w Wydminach (kwiecień, atak powiązany z GRU), Kuźnicy (październik) oraz Chodaczowie na Podkarpaciu (14 października, dostęp do sterowania oczyszczalni chroniony był jedynie czteroznakowym hasłem numerycznym). W 2025 roku ataki objęły kolejne stacje uzdatniania wody. Minister cyfryzacji potwierdził: z 18 prób 17 zostało zneutralizowanych — co oznacza, że jedna zakończyła się sukcesem atakującego.
Źródła: CyberDefence24 — Chodaczów · iSokólka — Kuźnica · Arkanet — przegląd ataków 2024-2025.
Inżynier Vitek Boden, który wcześniej instalował SCADA w oczyszczalni Maroochy Shire, po odrzuceniu jego aplikacji o pracę w radzie gminy w okresie luty-kwiecień 2000 wysłał radiem 46 komend sterujących do pompowni ścieków. Skutek: 800 000 litrów surowych ścieków wylało się do parków, rzek i na teren hotelu Hyatt Regency. Do dziś najczęściej cytowany przypadek ataku na system sterowania w sektorze ściekowym.
Źródła: MITRE — Malicious Control System Cyber Security Attack Case Study · The Register — "Hacker jailed for revenge sewage".
Irańska grupa "Cyber Av3ngers" zaatakowała sterownik PLC Unitronics w stacji pomp w Aliquippa, Pensylwania. Urządzenie miało słabe hasło i było wystawione na Internet. Po ataku CISA wydała ostrzeżenie sektorowe, a EPA zwiększyła kontrole — po których stwierdziła, że ponad 70% zbadanych systemów wodno-ściekowych w USA nie spełnia podstawowych standardów bezpieczeństwa. Atak powtórzył się w podobnym wzorcu w kilkunastu innych amerykańskich zakładach.
Źródła: CISA Advisory AA24-038A · The Hacker News · Nextgov — EPA 70%.
Największy operator wodno-ściekowy w USA (14 mln klientów w 14 stanach, obsługuje również bazy wojskowe). 3 października 2024 wykrył nieautoryzowaną aktywność w sieci, wyłączył systemy bilingowe i portal klienta na tydzień (ponowne uruchomienie 11 października). Firma potwierdziła incydent raportem 8-K do SEC. Nie było bezpośrednich skutków dla uzdatniania wody, ale skala incydentu i charakter podmiotu pokazują, że duże miejskie operatory są już celem.
Źródła: CyberScoop · CNBC · Komunikat American Water.
CERT Polska w 2024 roku obsłużył 103 449 incydentów cyberbezpieczeństwa (wzrost 29% r/r), w tym 40 120 przypadków phishingu i blisko 355 tys. zgłoszeń podejrzanych SMS-ów. Wśród aktywnych kampanii: fałszywe faktury od "stałych dostawców reagentów" z podmienionym numerem konta oraz — świeża fala po 1 lutego 2026 — maile podszywające się pod Krajowy System e-Faktur (KSeF), prowadzące do stron z malware zamiast faktur. Dla spółki komunalnej, w której księgowość i dział zakupów pracują z fakturami codziennie, to wektor numer jeden.
Źródła: NASK — raport CERT Polska 2024 · CERT Polska — przegląd kampanii · Ostrzeżenie CERT — phishing KSeF.
68% naruszeń cyber angażuje element ludzki.
Nie chodzi o exploit zero-day ani supergeniusza z kapturem. Chodzi o kliknięcie w link, wpisanie hasła na fałszywej stronie, otwarcie załącznika, uleganie socjotechnice — albo prostsze: czteroznakowe hasło do PLC oczyszczalni, jak w przypadku Chodaczowa. Szkolenie pracowników to nie "miękki dodatek" — to obrona, która adresuje 2/3 realnego ryzyka.
Źródło: Verizon Data Breach Investigations Report 2024 — "the human element was a component of 68% of breaches".
Dyrektywa 2022/2555 (NIS-2) została transponowana do polskiego porządku prawnego i obowiązuje w pełni od 3 kwietnia 2026. Poniżej cztery konkretne artykuły, które dotyczą Twojego zakładu bezpośrednio.
Ścieki (oczyszczalnie komunalne, przemysłowe, systemy kanalizacji) to osobny sektor w Załączniku I NIS-2 obok wody pitnej, energetyki i transportu. Wyższa stawka kar, surowsza egzekucja, obowiązek zgłaszania incydentów w ciągu 24h od wykrycia.
"Podstawowe praktyki w zakresie higieny cyberbezpieczeństwa i szkolenia w zakresie cyberbezpieczeństwa" - cytat wprost z dyrektywy. Nie "zalecane". Wymagane. Dla wszystkich pracowników mających dostęp do systemów SCADA, sterowników PLC, ERP i poczty firmowej.
Organy zarządzające zatwierdzają środki cyberbezpieczeństwa, nadzorują ich wdrożenie i ponoszą osobistą odpowiedzialność za naruszenia. Członkowie zarządu mają obowiązek odbyć szkolenie - a pracowników zachęca się "regularnie" do analogicznych.
Dla kluczowych podmiotów: minimum 10 000 000 EUR lub 2% całkowitego rocznego obrotu na poziomie światowym - w zależności od tego, która kwota jest wyższa. Do tego sankcje osobiste: zawieszenie funkcji prezesa spółki komunalnej, dyrektora IT, członka zarządu.
Dokumentacja ≠ papierek. Audytor sprawdza: listę obecności, program szkolenia, test końcowy, certyfikaty, cykliczność (raz na rok lub po zmianie stanowiska). Brak któregokolwiek = niewypełnienie art. 21. Brak art. 21 = kara z art. 34.
Szkolenie dopasowane do realiów oczyszczalni i sieci kanalizacyjnej — SCADA, PLC, ERP spółki komunalnej, dyspozytornia, laboratorium, księgowość. Konkretne przykłady ataków na sektor wod-kan, nie generyczne slajdy.
Stacjonarnie u Ciebie w zakładzie lub online przez Zoom. 6-8 modułów zależnie od pakietu. Pracownicy dostają realne przykłady: phishing pod fakturę reagentów, BEC, ataki na sterowniki PLC, socjotechnika w dyspozytorni.
Lista obecności z podpisami, program szkolenia, test końcowy z wynikami, imienne certyfikaty. Wszystko w PDF, podpisane elektronicznie. Dokładnie to, czego audytor i organ nadzoru (Minister Cyfryzacji, UKE) potrzebuje do zamknięcia wymogu z art. 21.
Realne scenariusze z oczyszczalni - faktura od "stałego dostawcy polielektrolitu" z podmienionym kontem, mail od "serwisanta PLC Siemens" z załącznikiem, próba zdalnego dostępu do SCADA z obcego IP, dziwny pendrive w dyspozytorni. Nie abstrakcja - rzeczy, które już się zdarzyły polskim zakładom.
12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu: nie wystarczy obecność - trzeba pokazać że wiedza została sprawdzona. Wyniki w raporcie zbiorczym + imiennie.
Dla: zespoły 5-15 osób, pierwsze szkolenie w zakładzie.
Dla: zespoły 10-30 osób, kompleksowe pokrycie art. 21.
Dla: zespoły 20+ osób, zakład z SCADA, PLC i rozbudowanym działem IT/OT.
Dokumentacja gotowa dla audytora wewnętrznego, organu nadzorującego (Minister Cyfryzacji) i ubezpieczyciela cyber. Jeden komplet PDF-ów zamyka wymóg art. 21 ust. 2 lit. g dla wszystkich uczestników.
Nie klikną w link z "fakturą" od dostawcy reagentów. Zauważą, że numer konta w przelewie jest inny niż zwykle. Nie zalogują się zdalnie do SCADA przez publiczny VPN na 4-znakowe hasło. Zgłoszą dziwnego serwisanta przy sterowniku. To kapitał, który zostaje w zakładzie na lata.
Skoro 68% ataków zaczyna się od człowieka — a polskie oczyszczalnie już były atakowane pod propagandowym pretekstem — szkolenie jest najtańszym sposobem na zamknięcie największej furtki. Cena szkolenia < koszt jednego incydentu ze zrzutem nieoczyszczonych ścieków i postępowania WIOŚ. Matematyka prosta.
Bez pakietów ukrytych kosztów. Bez minimum zamówienia. Dojazd i nocleg w cenie (do 300 km od Kwidzyna). Poza tym zasięgiem - ustalamy indywidualnie.
Dojazd i nocleg w cenie · minimum 5 osób
Nagranie dostępne przez 30 dni · minimum 5 osób
Szybki rachunek. Oczyszczalnia 25 osób (dyspozytornia + laboratorium + księgowość + utrzymanie ruchu), pakiet Standard online: 25 × 600 PLN = 15 000 PLN netto. Kara z art. 34 NIS-2 za nieudokumentowanie szkoleń z art. 21 zaczyna się od 10 mln EUR lub 2% rocznego obrotu.
Porównaj skalę: JBS - 11 mln USD okupu, Change Healthcare - 2,4 mld USD strat, Dole - 10,5 mln USD. Szkolenie dla 15 osób to mniej niż 0,1% tych strat.
Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) zaplanowana na Q4 2026. Po rejestracji instytucje publiczne (urzędy, placówki ochrony zdrowia, przedsiębiorstwa wodno-kanalizacyjne) mogą otrzymać zwrot nawet 80% kosztów szkolenia z Krajowego Funduszu Szkoleniowego (KFS).
Jeśli chcą Państwo zrealizować szkolenie po rejestracji BUR - powiedzmy o tym na 30-minutowej rozmowie, zarezerwujemy termin w IV kwartale.
Sześć obiekcji, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.
Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.
Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.
Bez znajomości oferty konkurencji trudno odpowiedzieć. Najczęściej różnica jest w: zakresie materiału (ile artykułów NIS-2 omówionych praktycznie), doświadczeniu prowadzącego (pentester korporacyjny vs trener bez projektów), dokumentacji audytowej (zwykłe slajdy vs dedykowana pod NIS-2), dostępie po szkoleniu (brak kontaktu vs AI-asystent + konsultacje 1:1), gwarancji (brak vs 25% miejsc powtórki). 30-minutowa rozmowa rozwiewa wątpliwości w kilku pytaniach - bez zobowiązań.
Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.
NIS-2 dotyczy "essential entities" (Załącznik I) oraz "important entities" (Załącznik II) od progu SME - 50 pracowników lub 10 mln EUR obrotu. W praktyce: jeśli firma działa w jednym z 18 wymienionych sektorów i przekracza próg - NIS-2 was dotyczy. Jeśli firma jest poniżej progu, ale jest dostawcą dla podmiotu NIS-2 - dostaje wymogi przez zapisy kontraktowe. Atakujący też nie rozróżnia rozmiaru firmy, tylko skuteczność zabezpieczeń.
Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.
9 lat w IT: testowanie oprogramowania, automatyzacja, konsulting dla firm sektora finansowego i przemysłowego. Nie jestem pentesterem - jestem inżynierem, który przez dekadę widział z bliska jak pękają procesy i systemy w organizacjach.
Szkolenia z Cyber Awareness prowadziłem m.in. dla: EY (2019), Santander Consumer Bank (2021), Nordea Bank (2018), DNV. Klienci - korporacje, które nie mogą sobie pozwolić na błąd w security.
Certyfikaty: ISTQB (testowanie), OTWA (Offensive Tooling & Web Application), CompTIA Security+ (w toku). Podejście: pokazuję zespołom jak nie dać się okraść - bo przez 9 lat widziałem z bliska jak tego nie robić.
30 minut rozmowy. Ty opowiadasz o zakładzie - ilu pracowników, jakie stanowiska (dyspozytornia, laboratorium, księgowość, utrzymanie ruchu), co już macie z cyber (albo że nic). Ja mówię, jaki pakiet pasuje, kiedy możemy to zrobić i jak wygląda dokumentacja. Jeśli Ci to pasuje - ustalamy termin. Jeśli nie - dostajesz bezpłatnie checklistę "co musi być w dokumentacji audytowej NIS-2 art. 21".
Zero spamu, zero zobowiązań, zero "niezobowiązujących ofert handlowych".