Od 3 kwietnia 2026 sektor dostawy i dystrybucji wody pitnej jest "kluczowym podmiotem" zgodnie z Dyrektywą NIS-2 (Załącznik I, pkt 6). To oznacza konkretny obowiązek: regularne szkolenia pracowników z higieny cyberbezpieczeństwa - zapisane wprost w art. 21 ust. 2 lit. g.
Jeśli wodociąg tego nie udokumentuje, odpowiedzialność spada osobiście na członków zarządu (art. 20), a kara dla spółki może sięgnąć 10 mln EUR lub 2% rocznego obrotu - wybiera się kwotę wyższą (art. 34 ust. 4).
Rozmawiamy o Twoim wodociągu - liczba pracowników, SCADA, ilu operatorów stacji uzdatniania, co już macie.
To nie są hipotetyczne scenariusze. To konkretne wodociągi, konkretne SCADA, konkretne tytuły w prasie i oświadczenia CERT Polska.
Grupa CyberAv3ngers powiązana z irańskim IRGC włamała się do stacji boosterowej Municipal Water Authority of Aliquippa (obsługa ponad 7 000 mieszkańców). Wektor: sterownik PLC Unitronics Vision Series produkcji izraelskiej, wystawiony do internetu z domyślnym hasłem "1111". Na ekranie operatora pojawił się komunikat "You have been hacked". Departament Skarbu USA w lutym 2024 nałożył sankcje na sześciu irańskich urzędników.
Źródła: CBS Pittsburgh · CyberScoop · WaterWorld — sankcje Treasury.
18 stycznia 2024 miasto Muleshoe (5 000 mieszkańców) odkryło, że system SCADA wodociągu został przejęty przez zdalny dostęp dostawcy zewnętrznego. Atakujący zmienili wartość zadaną pompy boosterowej tak, że nie wyłączyła się po napełnieniu zbiornika - woda przelewała się przez 30-45 minut, zanim operatorzy odcięli SCADA i przeszli na tryb ręczny. Mandiant powiązał atak z rosyjską grupą Sandworm (GRU, APT44).
Źródła: CNN Politics, 17.04.2024 · CyberScoop — Mandiant APT44 · EverythingLubbock.
Południowoangielski wodociąg (obsługa 2,7 mln odbiorców wody i 4,7 mln odbiorców kanalizacji) w lutym 2024 padł ofiarą ransomware grupy Black Basta. Wyciek objął 750 GB danych: skany paszportów, praw jazdy, dane HR pracowników i klientów. Firma potwierdziła oficjalnie koszt incydentu na poziomie £4,5 mln (około 5,7 mln USD); w przeciekach wskazano ofertę okupu 750 000 USD. Woda płynęła cały czas, ale dane osobowe klientów trafiły do sieci.
Źródła: Bleeping Computer — £4,5M kosztów · Infosecurity Magazine · The Register — negocjacje okupu.
3 października 2024 American Water (spółka notowana na NYSE, obsługa 14 mln osób w 14 stanach i 18 bazach wojskowych) wykrył nieautoryzowany dostęp do sieci. Firma prewencyjnie wyłączyła system bilingowy MyWater na około tydzień; klienci nie mogli logować się do kont ani opłacać rachunków. Uzdatnianie i dostawa wody nie zostały przerwane, ale scenariusz "wyłączamy IT żeby nie stracić OT" jest dziś codziennością dla wodociągów.
Źródła: CNBC, 8.10.2024 · CyberScoop · Komunikat American Water (10.10.2024).
CERT Polska w raporcie rocznym 2024 potwierdził serię ataków na mniejsze zakłady wod-kan: Wydminy (IV.2024), Kuźnica (X.2024), Tolkmicko, Małdyty, Sierakowo (II.2025). Atakujący - prorosyjskie grupy hacktywistyczne - manipulowali parametrami urządzeń automatyki przemysłowej i zostawiali defacement "Za Rosję!". Wektor: proste hasła typu "111111" lub "123456" i sterowniki wystawione do internetu. W kwietniu 2024 Ministerstwo Cyfryzacji potwierdziło 17 udaremnionych z 18 ataków w ciągu kilku dni. Aquanet Poznań po wycieku danych 7 000 klientów z systemu eBOK zorganizował w 2025 porozumienie ISAC wod-kan (MPWiK Warszawa, Wrocław, Kraków, Gdańsk, Łódź, GPW).
Źródła: CyberDefence24 — szef CERT Polska · Portal Samorządowy · Raporty CERT Polska.
68% naruszeń cyber angażuje element ludzki.
Nie chodzi o exploit zero-day ani supergeniusza z kapturem. Chodzi o proste hasło "111111" na sterowniku PLC, kliknięcie w link, otwarcie załącznika od "serwisanta SCADA", uleganie socjotechnice. Szkolenie pracowników to nie "miękki dodatek" — to obrona, która adresuje 2/3 realnego ryzyka.
Źródło: Verizon Data Breach Investigations Report 2024 — "the human element was a component of 68% of breaches".
Dyrektywa 2022/2555 (NIS-2) została transponowana do polskiego porządku prawnego w nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) i obowiązuje od 3 kwietnia 2026. Poniżej cztery konkretne artykuły, które dotyczą Twojej firmy bezpośrednio.
Dostawcy i dystrybutorzy wody przeznaczonej do spożycia przez ludzi są wprost wskazani w Załączniku I dyrektywy NIS-2 jako sektor "o wysokiej krytyczności" (essential entity). Wyższa stawka kar, surowsza egzekucja, obowiązek zgłaszania incydentów w ciągu 24h do CSIRT.
"Podstawowe praktyki w zakresie higieny cyberbezpieczeństwa i szkolenia w zakresie cyberbezpieczeństwa" - cytat wprost z dyrektywy. Nie "zalecane". Wymagane. Dla wszystkich pracowników: od księgowości po operatorów stacji uzdatniania, którzy mają dostęp do systemów SCADA/OT.
Organy zarządzające zatwierdzają środki cyberbezpieczeństwa, nadzorują ich wdrożenie i ponoszą osobistą odpowiedzialność za naruszenia. Członkowie zarządu mają obowiązek odbyć szkolenie - a pracowników zachęca się "regularnie" do analogicznych.
Dla kluczowych podmiotów: minimum 10 000 000 EUR lub 2% całkowitego rocznego obrotu na poziomie światowym - w zależności od tego, która kwota jest wyższa. Do tego sankcje osobiste: zawieszenie funkcji prezesa, dyrektora IT, członka zarządu.
Dokumentacja ≠ papierek. Audytor sprawdza: listę obecności, program szkolenia, test końcowy, certyfikaty, cykliczność (raz na rok lub po zmianie stanowiska). Brak któregokolwiek = niewypełnienie art. 21. Brak art. 21 = kara z art. 34. Do 3 października 2026 każdy wodociąg musi samodzielnie zarejestrować się w wykazie podmiotów kluczowych KSC.
Szkolenie dopasowane do realiów wodociągu — dyspozytornia, SCADA, stacja uzdatniania, księgowość, biuro obsługi klienta (eBOK). Konkretne przykłady ataków na Twoją branżę, nie generyczne slajdy.
Stacjonarnie u Ciebie w zakładzie lub online przez Zoom. 6-8 modułów zależnie od pakietu. Operatorzy, dyspozytorzy, księgowość i obsługa klienta dostają realne przykłady: phishing pod fakturę, BEC, ataki na SCADA/PLC, socjotechnika w dyspozytorni.
Lista obecności z podpisami, program szkolenia, test końcowy z wynikami, imienne certyfikaty. Wszystko w PDF, podpisane elektronicznie. Dokładnie to, czego audytor NIS-2 / CSIRT potrzebuje do zamknięcia wymogu z art. 21.
Realne scenariusze z wodociągu - mail od "serwisanta Unitronics/Siemensa" z linkiem do "aktualizacji firmware", faktura od "dostawcy chemii do stacji uzdatniania" z podmienionym kontem, zdalny dostęp firmy serwisowej do SCADA. Nie abstrakcja - rzeczy które już się zdarzyły.
12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu: nie wystarczy obecność - trzeba pokazać że wiedza została sprawdzona. Wyniki w raporcie zbiorczym + imiennie.
Dla: zespoły 5-15 osób, pierwsze szkolenie w wodociągu.
Dla: zespoły 10-30 osób, kompleksowe pokrycie art. 21.
Dla: zespoły 20+ osób, wodociąg z SCADA i wyodrębnionym działem IT/OT.
Dokumentacja gotowa dla audytora wewnętrznego i zewnętrznego (CSIRT NASK, organ właściwy). Jeden komplet PDF-ów zamyka wymóg art. 21 ust. 2 lit. g dla wszystkich uczestników. Możesz pokazać radzie nadzorczej, gminie, ubezpieczycielowi cyber.
Nie klikną w link z "aktualizacją firmware SCADA". Zauważą że "serwisant Unitronics" prosi o zdalny dostęp o 22:00. Zgłoszą dziwnego wykonawcę przy stacji uzdatniania. Ustawią mocne hasło na PLC. To kapitał, który zostaje w firmie na lata.
Skoro 68% ataków zaczyna się od człowieka, to szkolenie jest najtańszym sposobem na zamknięcie największej furtki. Cena szkolenia < koszt jednego dnia awarii SCADA i przełączania stacji na tryb ręczny. Matematyka prosta.
Bez pakietów ukrytych kosztów. Bez minimum zamówienia powyżej 5 osób. Dojazd i nocleg w cenie (do 300 km). Poza tym zasięgiem - ustalamy indywidualnie.
Dojazd i nocleg w cenie · minimum 5 osób
Nagranie dostępne przez 30 dni · minimum 5 osób
Szybki rachunek. Wodociąg 25 osób (operatorzy + dyspozytornia + biuro), pakiet Standard online: 25 × 600 PLN = 15 000 PLN netto. Kara z art. 34 NIS-2 za nieudokumentowanie szkoleń z art. 21 zaczyna się od 10 mln EUR lub 2% rocznego obrotu.
Porównaj skalę: JBS - 11 mln USD okupu, Change Healthcare - 2,4 mld USD strat, Dole - 10,5 mln USD. Szkolenie dla 15 osób to mniej niż 0,1% tych strat.
Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) zaplanowana na Q4 2026. Po rejestracji instytucje publiczne (urzędy, placówki ochrony zdrowia, przedsiębiorstwa wodno-kanalizacyjne) mogą otrzymać zwrot nawet 80% kosztów szkolenia z Krajowego Funduszu Szkoleniowego (KFS).
Jeśli chcą Państwo zrealizować szkolenie po rejestracji BUR - powiedzmy o tym na 30-minutowej rozmowie, zarezerwujemy termin w IV kwartale.
Sześć obiekcji, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.
Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.
Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.
Bez znajomości oferty konkurencji trudno odpowiedzieć. Najczęściej różnica jest w: zakresie materiału (ile artykułów NIS-2 omówionych praktycznie), doświadczeniu prowadzącego (pentester korporacyjny vs trener bez projektów), dokumentacji audytowej (zwykłe slajdy vs dedykowana pod NIS-2), dostępie po szkoleniu (brak kontaktu vs AI-asystent + konsultacje 1:1), gwarancji (brak vs 25% miejsc powtórki). 30-minutowa rozmowa rozwiewa wątpliwości w kilku pytaniach - bez zobowiązań.
Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.
NIS-2 dotyczy "essential entities" (Załącznik I) oraz "important entities" (Załącznik II) od progu SME - 50 pracowników lub 10 mln EUR obrotu. W praktyce: jeśli firma działa w jednym z 18 wymienionych sektorów i przekracza próg - NIS-2 was dotyczy. Jeśli firma jest poniżej progu, ale jest dostawcą dla podmiotu NIS-2 - dostaje wymogi przez zapisy kontraktowe. Atakujący też nie rozróżnia rozmiaru firmy, tylko skuteczność zabezpieczeń.
Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.
9 lat w IT: testowanie oprogramowania, automatyzacja, konsulting dla firm sektora finansowego i przemysłowego. Nie jestem pentesterem - jestem inżynierem, który przez dekadę widział z bliska jak pękają procesy i systemy w organizacjach.
Szkolenia z Cyber Awareness prowadziłem m.in. dla: EY (2019), Santander Consumer Bank (2021), Nordea Bank (2018), DNV. Klienci - korporacje, które nie mogą sobie pozwolić na błąd w security.
Certyfikaty: ISTQB (testowanie), OTWA (Offensive Tooling & Web Application), CompTIA Security+ (w toku). Podejście: pokazuję zespołom jak nie dać się okraść - bo przez 9 lat widziałem z bliska jak tego nie robić.
30 minut rozmowy. Ty opowiadasz o wodociągu - ilu pracowników, jakie stanowiska (operatorzy, dyspozytornia, biuro), jaka SCADA, co już macie z cyber (albo że nic). Ja mówię, jaki pakiet pasuje, kiedy możemy to zrobić i jak wygląda dokumentacja. Jeśli Ci to pasuje - ustalamy termin. Jeśli nie - dostajesz bezpłatnie checklistę "co musi być w dokumentacji audytowej NIS-2 art. 21".
Zero spamu, zero zobowiązań.