BRANŻA: WODA PITNA · NIS-2 ART. 21

Oldsmar 2021: haker próbował zatruć wodę dla 15 tys. mieszkańców.
Każdy zakład wodociągowy jest pod NIS-2.

Szkolenie dla zakładu wodociągowego - zgodne z NIS-2, dokumentacja audytowa w cenie.

Grupy 5-30 osób, stacjonarnie lub online (Zoom) Dla zarządu, HR i IT Security - materiały dopasowane do roli
Zamów 30-min rozmowę Zobacz co dostajesz
Dlaczego to nie teoria

Trzy ataki, które w ostatnich latach uderzyły w wodociągi

To nie są hipotetyczne scenariusze. To konkretne wodociągi, konkretne SCADA, konkretne tytuły w prasie i oświadczenia CERT Polska.

1

Aliquippa (Pensylwania) — irański atak na sterownik PLC, listopad 2023

Grupa CyberAv3ngers powiązana z irańskim IRGC włamała się do stacji boosterowej Municipal Water Authority of Aliquippa (obsługa ponad 7 000 mieszkańców). Wektor: sterownik PLC Unitronics Vision Series produkcji izraelskiej, wystawiony do internetu z domyślnym hasłem "1111". Na ekranie operatora pojawił się komunikat "You have been hacked". Departament Skarbu USA w lutym 2024 nałożył sankcje na sześciu irańskich urzędników.

Źródła: CBS Pittsburgh · CyberScoop · WaterWorld — sankcje Treasury.

2

Muleshoe (Teksas) — rosyjski Sandworm, zbiornik przelewał się 30-45 minut, styczeń 2024

18 stycznia 2024 miasto Muleshoe (5 000 mieszkańców) odkryło, że system SCADA wodociągu został przejęty przez zdalny dostęp dostawcy zewnętrznego. Atakujący zmienili wartość zadaną pompy boosterowej tak, że nie wyłączyła się po napełnieniu zbiornika - woda przelewała się przez 30-45 minut, zanim operatorzy odcięli SCADA i przeszli na tryb ręczny. Mandiant powiązał atak z rosyjską grupą Sandworm (GRU, APT44).

Źródła: CNN Politics, 17.04.2024 · CyberScoop — Mandiant APT44 · EverythingLubbock.

3

Southern Water (UK) — Black Basta, 750 GB danych, £4,5 mln kosztów, 2024

Południowoangielski wodociąg (obsługa 2,7 mln odbiorców wody i 4,7 mln odbiorców kanalizacji) w lutym 2024 padł ofiarą ransomware grupy Black Basta. Wyciek objął 750 GB danych: skany paszportów, praw jazdy, dane HR pracowników i klientów. Firma potwierdziła oficjalnie koszt incydentu na poziomie £4,5 mln (około 5,7 mln USD); w przeciekach wskazano ofertę okupu 750 000 USD. Woda płynęła cały czas, ale dane osobowe klientów trafiły do sieci.

Źródła: Bleeping Computer — £4,5M kosztów · Infosecurity Magazine · The Register — negocjacje okupu.

68% naruszeń cyber angażuje element ludzki.

Nie chodzi o exploit zero-day ani supergeniusza z kapturem. Chodzi o proste hasło "111111" na sterowniku PLC, kliknięcie w link, otwarcie załącznika od "serwisanta SCADA", uleganie socjotechnice. Szkolenie pracowników to nie "miękki dodatek" — to obrona, która adresuje 2/3 realnego ryzyka.

Źródło: Verizon Data Breach Investigations Report 2024 — "the human element was a component of 68% of breaches".

Co musisz wiedzieć

NIS-2 w 4 punktach

Co musisz zrobić

Wdrożyć procedury bezpieczeństwa, regularnie szkolić zespół (kadrę zarządzającą i pracowników), prowadzić rejestr ryzyk i incydentów, wyznaczyć osobę odpowiedzialną. Termin: dyrektywa już obowiązuje, polska ustawa KSC w transpozycji.

Kogo dotyczy

Zakłady uzdatniania i dystrybucji wody pitnej od progu SME (50 osób lub 10 mln EUR obrotu). Dostawców objętych firm dotyczy przez zapisy kontraktowe (zarządzanie łańcuchem dostaw - art. 21).

Co grozi za brak

Kara administracyjna do 10 mln EUR lub 2% rocznego obrotu (wybiera się kwotę wyższą). Przy podmiotach kluczowych - osobista odpowiedzialność członków zarządu (art. 20).

Co sprawdza audytor

Dokumentację procedur bezpieczeństwa, dowody przeprowadzonych szkoleń (lista obecności, program, certyfikaty), plan reagowania na incydenty, gotowość do raportowania w 24h.

Wartość

Co konkretnie dostajesz

Szkolenie dopasowane do realiów wodociągu — dyspozytornia, SCADA, stacja uzdatniania, księgowość, biuro obsługi klienta (eBOK). Konkretne przykłady ataków na Twoją branżę, nie generyczne slajdy.

Szkolenie na żywo (3, 5 lub 8h)

Stacjonarnie u Ciebie w zakładzie lub online przez Zoom. 6-8 modułów zależnie od pakietu. Operatorzy, dyspozytorzy, księgowość i obsługa klienta dostają realne przykłady: phishing pod fakturę, BEC, ataki na SCADA/PLC, socjotechnika w dyspozytorni.

Dokumentacja audytowa

Lista obecności z podpisami, program szkolenia, test końcowy z wynikami, imienne certyfikaty. Wszystko w PDF, podpisane elektronicznie. Dokładnie to, czego audytor NIS-2 / CSIRT potrzebuje do zamknięcia wymogu z art. 21.

Dopasowanie do branży wod-kan

Realne scenariusze z wodociągu - mail od "serwisanta Unitronics/Siemensa" z linkiem do "aktualizacji firmware", faktura od "dostawcy chemii do stacji uzdatniania" z podmienionym kontem, zdalny dostęp firmy serwisowej do SCADA. Nie abstrakcja - rzeczy które już się zdarzyły.

Test końcowy + wynik per osoba

12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu: nie wystarczy obecność - trzeba pokazać że wiedza została sprawdzona. Wyniki w raporcie zbiorczym + imiennie.

W cenie, bez dopłat: certyfikat imienny PDF dla każdego uczestnika, konsultacje 1:1 (20 min przed + 20 min po szkoleniu), dojazd i nocleg w cenie (cała Polska).

Trzy pakiety - od 3 do 8 godzin, dopasowane do Was

Starter
3 godziny
4 moduły podstawowe
  • Phishing i BEC
  • Hasła i MFA
  • Bezpieczna praca z pocztą
  • Co robić w razie incydentu (zgłoszenie do CSIRT w 24h)

Dla: zespoły 5-15 osób, pierwsze szkolenie w wodociągu.

Standard
5 godzin
6 modułów + warsztat
  • Wszystko ze Startera
  • Ataki na SCADA/PLC/OT (kazusy Aliquippa, Muleshoe, Polska 2024-2025)
  • Socjotechnika - dyspozytornia, serwisanci, dostawcy zdalni
  • Warsztat: rozpoznawanie phishingu

Dla: zespoły 10-30 osób, kompleksowe pokrycie art. 21.

Pełny dzień
8 godzin
6 + 2 moduły + praktyka
  • Wszystko ze Standardu
  • Moduł dla zarządu (obowiązki NIS-2 art. 20)
  • Dane osobowe klientów i RODO w praktyce (eBOK)
  • Praktyka: analiza realnego maila-pułapki do dyspozytorni

Dla: zespoły 20+ osób, wodociąg z SCADA i wyodrębnionym działem IT/OT.

Po szkoleniu Twój zespół

Cena

Transparentna stawka za osobę

Bez pakietów ukrytych kosztów. Bez minimum zamówienia powyżej 5 osób. Dojazd i nocleg w cenie - cała Polska.

Stacjonarnie u Ciebie
W Twojej sali, przy dyspozytorni, z Twoimi przykładami
800 PLN netto / os

Dojazd i nocleg w cenie · minimum 5 osób

Online
Przez Zoom
600 PLN netto / os

Nagranie dostępne przez 30 dni · minimum 5 osób

Szybki rachunek. Wodociąg 25 osób (operatorzy + dyspozytornia + biuro), pakiet Standard online: 25 × 600 PLN = 15 000 PLN netto. Kara z art. 34 NIS-2 za nieudokumentowanie szkoleń z art. 21 zaczyna się od 10 mln EUR lub 2% rocznego obrotu.

Finansowanie: KFS / BUR dla sektora publicznego

Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) zaplanowana na Q4 2026. Po rejestracji instytucje publiczne (urzędy, placówki ochrony zdrowia, przedsiębiorstwa wodno-kanalizacyjne) mogą otrzymać zwrot nawet 80% kosztów szkolenia z Krajowego Funduszu Szkoleniowego (KFS).

Jeśli chcą Państwo zrealizować szkolenie po rejestracji BUR - powiedzmy o tym na 30-minutowej rozmowie, zarezerwujemy termin w IV kwartale.

Najczęstsze pytania

Cztery obiekcje, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.

Mamy ISO 27001. To wystarczy pod NIS-2?

Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.

Damy radę sami - YouTube, blogi, ChatGPT.

Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.

Mamy czas - NIS-2 w Polsce jeszcze nie obowiązuje.

Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.

Czy można sfinansować szkolenie z KFS/BUR?

Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.

Dlaczego mi zaufać

Adrian Maryniewski

Adrian Maryniewski

Tester oprogramowania • Trener

LinkedIn

9 lat w IT - jako tester oprogramowania widziałem z bliska, jak działają systemy firm od środka. Wiem gdzie zwykle pojawiają się luki i jak atakujący je wykorzystują. Na szkoleniu nie czytam teorii ze slajdów - pokazuję realne ataki krok po kroku, na przykładach z wody pitnej.

  • Certyfikaty: ISTQB (testowanie), CompTIA Security+ (w toku).
  • Doświadczenie projektowe: Nordea Bank, DNV, Logintegra, xcactus.
  • Ukończone kursy: OTWA (Ofensywne Testowanie Web Aplikacji), Zostań Pentesterem, Cyber Awareness EY, Cyber Awareness Santander Consumer Bank.
  • Specjalizacja: Testowanie aplikacji webowych, szkolenia z cyberbezpieczeństwa dla pracowników biurowych.

Zamów 30-min rozmowę

Sprawdzimy czy NIS-2 Was dotyczy. Dobierzemy moduły pod Waszą firmę. Dostaniecie wycenę. Zero spamu, zero zobowiązań - nawet jeśli nie kupujecie.

Zgłoszenie trafi bezpośrednio do mnie - odpowiadam osobiście w ciągu 24h. Dane przetwarzane zgodnie z RODO.