W odpowiedzi na rosnącą falę cyberataków na infrastrukturę krytyczną, polski rząd uruchomił program grantowy „Cyberbezpieczne Wodociągi”. Inicjatywa, z budżetem przekraczającym 300 milionów złotych pochodzących z Krajowego Planu Odbudowy, ma na celu pilne wzmocnienie cyfrowych zabezpieczeń przedsiębiorstw wodno-kanalizacyjnych.

Krok ten jest bezpośrednią reakcją na incydenty, w których próbowano zdalnie manipulować procesami uzdatniania wody.

Zagrożenie dla systemów wodociągowych przestało być teoretyczne. W skali globalnej, ataki takie jak ten na stację uzdatniania wody w Oldsmar na Florydzie, gdzie haker próbował stukrotnie zwiększyć stężenie wodorotlenku sodu, pokazały, że celem jest już nie tylko kradzież danych, ale fizyczny sabotaż.

Podobne wektory ataków, celujące w systemy sterowania przemysłowego (OT), odnotowano również w Polsce. Choć przedstawiciele rządu informują o wysokiej skuteczności w odpieraniu większości prób, przyznają jednocześnie, że jeden udany atak może sparaliżować miasto i skazić wodę, stwarzając bezpośrednie zagrożenie dla zdrowia publicznego.

Program grantowy jest skierowany do operatorów usług kluczowych, spółek użyteczności publicznej oraz wybranych jednostek sektora finansów publicznych. Pojedynczy podmiot może ubiegać się o maksymalnie 300 tys. euro (ok. 1,2 mln zł). Środki te będzie można przeznaczyć na trzy kluczowe obszary.

Po pierwsze, na działania organizacyjne, w tym audyty bezpieczeństwa i wdrożenie systemów zarządzania bezpieczeństwem informacji, jak ISO 27001.

Po drugie, na inwestycje techniczne w nowoczesny sprzęt i oprogramowanie, obejmujące zarówno infrastrukturę IT, jak i kluczowe dla sektora systemy OT.

Po trzecie, na podnoszenie kompetencji pracowników przez specjalistyczne szkolenia.

Nabór wniosków w ramach programu potrwa od 1 września do 2 października 2025 roku. Inicjatywa wpisuje się w szerszy trend wzmacniania odporności infrastruktury krytycznej w Europie, gdzie cyfrowe łańcuchy dostaw i systemy sterowania stają się coraz częstszym celem ataków sponsorowanych przez państwa i grupy hakerskie.