Wodociągi8 min czytania

KSC dla wodociągów — wdrożenie NIS2 w sektorze wody

Które wodociągi podlegają KSC

Sektor zaopatrzenia w wodę pitną i zbiorowego odprowadzania ścieków jest sektorem kluczowym wg załącznika nr 1 do ustawy o KSC. Obejmuje przedsiębiorstwa wodociągowo-kanalizacyjne wykonujące działalność z ustawy z dnia 7 czerwca 2001 r. o zbiorowym zaopatrzeniu w wodę i zbiorowym odprowadzaniu ścieków oraz powiązane podmioty publiczne i komunalne.

Klasyfikacja PK/PW

Wielkość przedsiębiorstwa wodociągowegoStatus KSCPodstawa prawna
Duży przedsiębiorca (≥250 prac. lub obrót >50 mln EUR i bilans >43 mln EUR)Podmiot kluczowyart. 5 ust. 1 pkt 1 + zał. 1
Średni przedsiębiorca (50–249 prac.)Podmiot ważnyart. 5 ust. 2 pkt 1 + zał. 1
Mały / mikroprzedsiębiorcaCo do zasady poza KSC (z wyjątkami)art. 5 a contrario
Spółka komunalna realizująca zadania publiczne (art. 9 ust. 1 ustawy o gospodarce komunalnej)PW publiczna lub PK zależnie od wielkościart. 5 ust. 2 pkt 8 + zał. 1
Większość przedsiębiorstw wodociągowo-kanalizacyjnych w aglomeracjach miejskich i powiatowych spełnia próg średniego przedsiębiorcy (powyżej 50 prac.) i jest podmiotami ważnymi. Duże aglomeracje (powyżej 250 prac.) — podmiotami kluczowymi z obowiązkiem audytu co 3 lata.

Zakres usługi

  • Klasyfikacja przedsiębiorstwa (PK/PW) wg art. 5 KSC i zał. 1
  • Rejestracja w wykazie S46 (art. 7c)
  • Wdrożenie SZBI z 14 obszarów art. 8 ust. 1 pkt 2 lit. a–n — dostosowane do specyfiki SCADA i sieci wodociągowej
  • Procedury reagowania na incydenty (art. 11–12b) z integracją z CSIRT NASK i CSIRT sektorowym ds. wody
  • Coroczne szkolenie kierownika podmiotu (art. 8e ust. 1)
  • Audyt bezpieczeństwa (PK) — pierwszy do 3.04.2028 r. (art. 33 ust. 2 ust. nowel.)
  • Wsparcie integracji wymogów KSC z istniejącymi standardami branżowymi (np. wymogi GIS, normy techniczne dla SUW i oczyszczalni ścieków)

Specyfika sektora — SCADA i telemetria

Sektor wodociągowy charakteryzuje się szerokim wykorzystaniem systemów OT (Operational Technology) i SCADA — sterujących stacjami uzdatniania wody (SUW), oczyszczalniami ścieków, przepompowniami, sieciami wodociągowymi i kanalizacyjnymi. Audyt i SZBI uwzględnia segmentację sieci IT/OT, monitoring ruchu sieciowego dla urządzeń przemysłowych oraz procedury awaryjne dla ciągłości dostaw wody.

  • SCADA stacji uzdatniania wody (SUW) — sterowanie procesami technologicznymi, monitoring jakości wody
  • SCADA oczyszczalni ścieków — procesy biologiczne, mechaniczne, chemiczne
  • Telemetria sieci wodociągowej i kanalizacyjnej — pomiary przepływów, ciśnień, awarie
  • Systemy GIS i ewidencji infrastruktury podziemnej
  • Systemy CRM i bilingowe — fakturowanie odbiorców, integracja z bankami
  • Plan ciągłości działania (BCP) — zapasowe stacje, agregaty, procedury manualnego sterowania w razie cyberataku
  • Ochrona przed atakami na warstwę OT (IEC 62443, podział sieci na strefy i zone'y)

Terminy wdrożenia

EtapTerminPodstawa prawna
Rejestracja w S46Wg harmonogramu Ministra Cyfryzacji w komunikacieart. 33 ust. 3 + art. 34 ust. 3
Wdrożenie SZBIdo 3 kwietnia 2027 r.art. 33 ust. 1 ust. nowel.
Pierwszy audyt (PK)do 3 kwietnia 2028 r.art. 33 ust. 2 ust. nowel.
Coroczne szkolenie kierownikaRaz w roku kalendarzowymart. 8e ust. 1

Odpowiedzialność i kary

Maksymalna kara administracyjna z art. 73 ust. 1 KSC: dla PK do 10 mln EUR lub 2% rocznych przychodów (art. 73 ust. 3); dla PW do 7 mln EUR lub 1,4% (art. 73 ust. 4). Plus kara osobista dla kierownika podmiotu z art. 73a (do 100% lub 300% rocznego wynagrodzenia). Niezależnie — w przypadku bezpośredniego i poważnego cyberzagrożenia dla bezpieczeństwa państwa lub życia i zdrowia ludzi (np. atak na SCADA SUW) — do 100 mln zł (art. 73 ust. 5). Egzekucja od 3 kwietnia 2028 r. dla art. 73 ust. 1-4 i art. 73a-c (art. 35 ust. nowel.); art. 73 ust. 5 — bez tego okresu przejściowego.

Cena i konsultacja

Bezpłatna konsultacja obejmuje klasyfikację (PK/PW), mapę systemów OT/SCADA i identyfikację ryzyk specyficznych dla sektora. Wycena indywidualna w zależności od skali (liczba SUW, oczyszczalni ścieków, stacji pomp), długości sieci i dojrzałości obecnych zabezpieczeń OT. Lokalna obecność na Pomorzu — dostępność on-site dla wodociągów z Trójmiasta i okolicznych aglomeracji. Patrz też: Wdrożenie KSC w Trójmieście.
FAQ5 pytań

Najczęstsze pytania

Czy moje przedsiębiorstwo wodociągowe podlega KSC?
Większość przedsiębiorstw wodociągowo-kanalizacyjnych podlega — sektor zaopatrzenia w wodę pitną i zbiorowego odprowadzania ścieków jest w załączniku nr 1 KSC. Klasyfikacja zależy od wielkości: duży przedsiębiorca (≥ 250 prac. lub obrót > 50 mln EUR i bilans > 43 mln EUR) → PK (art. 5 ust. 1 pkt 1); średni (50–249 prac.) → PW (art. 5 ust. 2 pkt 1). Spółki komunalne realizujące zadania użyteczności publicznej oceniane są dodatkowo w trybie art. 5 ust. 2 pkt 8. Małe przedsiębiorstwa (poniżej progu małego — < 50 prac.) co do zasady poza KSC.
Czy SCADA jest objęte SZBI?
Tak — systemy SCADA są częścią systemu informacyjnego wykorzystywanego do świadczenia usługi i podlegają SZBI z art. 8 KSC. W praktyce wymaga to: (1) inwentaryzacji wszystkich elementów SCADA (PLC, RTU, HMI, serwery historian) — art. 8 ust. 1 pkt 2 lit. a; (2) segmentacji sieci IT od OT — lit. l (bezpieczeństwo łączności); (3) monitoringu ruchu w sieci OT — lit. g; (4) procedur aktualizacji firmware'ów i oprogramowania PLC z uwzględnieniem ryzyka — lit. b; (5) planu BCP dla scenariusza utraty SCADA i przejścia na sterowanie manualne — lit. f. Rekomendujemy stosowanie norm IEC 62443 dla bezpieczeństwa systemów przemysłowych.
Co zrobić z podmiotem CER (krytycznym)?
Jeśli przedsiębiorstwo wodociągowe zostało wskazane jako podmiot krytyczny w rozumieniu dyrektywy CER (Critical Entities Resilience), automatycznie staje się podmiotem kluczowym KSC niezależnie od wielkości — art. 5 ust. 1 pkt 4 lit. c KSC. Wskazanie odbywa się decyzją organu właściwego ds. odporności podmiotów krytycznych. Dla podmiotu CER praktyczne implikacje to: pełne 14 obszarów SZBI, audyt co 3 lata, raportowanie incydentów do CSIRT NASK, plus odrębne wymagania CER dotyczące fizycznej odporności i ciągłości działania krytycznej usługi (woda).
Jakie są główne ryzyka cyberbezpieczeństwa dla wodociągów?
Najbardziej dotkliwe scenariusze: (1) atak ransomware na systemy biurowe i bilingowe — utrata danych klientów, brak fakturowania, presja okupu; (2) atak na SCADA stacji uzdatniania wody — ryzyko zatrzymania dostaw lub niekontrolowanej zmiany parametrów technologicznych; (3) atak na warstwę OT oczyszczalni ścieków — ryzyko awarii środowiskowej (zrzut nieoczyszczonych ścieków do odbiornika); (4) atak na telemetrię sieci — utrata wglądu w awarie i wycieki; (5) atak na łańcuch dostaw (dostawca SCADA, integrator OT, dostawca chmury) — art. 8 ust. 1 pkt 2 lit. e. SZBI musi adresować wszystkie te wektory poprzez segmentację, monitoring 24/7, plan BCP i klauzule umowne dla dostawców.
Czy mała gmina z własnymi wodociągami też podlega?
Zależy od formy prawnej i wielkości. Jeśli wodociągi są prowadzone bezpośrednio przez urząd gminy jako jednostka organizacyjna (referat wodociągowy w urzędzie gminy), to obowiązki KSC dotyczą całego urzędu gminy w trybie pkt 4 zał. 1 (próg ≥ 50 FTE) lub jako PW publicznego (art. 5 ust. 2 pkt 8). Jeśli wodociągi są prowadzone przez odrębną spółkę komunalną, ocenia się ją osobno wg art. 5 KSC: duża → PK; średnia → PW; mała / mikro — co do zasady poza KSC. Nawet jeśli mała spółka wodociągowa nie podlega KSC bezpośrednio, jako dostawca dla podmiotu kluczowego (np. innej gminy w ramach umowy międzygminnej) może być pośrednio związana wymogami z art. 8 ust. 1 pkt 2 lit. e (zarządzanie ryzykiem łańcucha dostaw).
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.