- Email: [email protected]
- Rondo Organizacji Narodów Zjednoczonych 1, 00-124 Warszawa
Już niebawem, w drugim kwartale tego roku, ruszy konkurs grantowy Cyberbezpieczne wodociągi, organizowany przez Centrum Projektów Polska Cyfrowa, a współfinansowany ze środków KPO “Cyberbezpieczeństwo – CyberPL, infrastruktura przetwarzania danych optymalizacja infrastruktury służb państwowych odpowiedzialnych za bezpieczeństwo”. Celem konkursu jest wzmocnienie cyberbezpieczeństwa podmiotów będących operatorami usług kluczowych.
Na realizację zadania przewidziano ok. 328,5 mln zł. Jednorazowo środki mają nie przekroczyć kwoty 200 tys. euro, czyli ok. 840 tys. zł. Bezzwrotna pomoc de minimis jest skierowana do podmiotów z sektora wodno-kanalizacyjnego, ale tylko tych, które są operatorami usług kluczowych w rozumieniu ustawy o Krajowym Systemie Cyberbezpieczeństwa. Przyznane środki grantobiorcy będą mogli wydatkować do końca czerwca 2026 roku, ponieważ wtedy kończy się inwestycja KPO, z której pochodzi finansowanie.
Cyberbezpieczne wodociągi to kolejny, po Cyberbezpiecznym Powiecie, Cyberbezpiecznej Gminie oraz Cyberbezpiecznym Samorządzie konkurs grantowy adresowany do sektora publicznego, którego celem jest wzmocnienie cyberodporności w administracji samorządowej i podległych jej jednostkach. Działanie realizowane jest konsekwentnie od kilku lat, a jego uzasadnieniem są wciąż zatrważające statystyki obrazujące słabą odporność podmiotów publicznych na coraz bardziej wyrafinowane metody cyberataków. Jak podaje resort cyfryzacji, tylko w 2024 roku, CSIRT NASK obsłużył ponad 100 tys. incydentów, z czego ok. 2000 z nich dotyczyło administracji samorządowej i jej jednostek.
Jak czytamy w uzasadnieniu projektu rozporządzenia:
– Realizacja powyższych działań przyczyni się do wzmocnienia cyberodporności systemów informacyjnych (IT i OT) wykorzystywanych w tych podmiotach, w tym do zwiększenia bezpieczeństwa, ciągłości ich działania oraz zwiększenia wydajności.
–Przedsięwzięcie to przyczyni się również do podniesienia skuteczności funkcjonowania krajowego systemu cyberbezpieczeństwa, tj. m.in. uzyskania rozszerzonej świadomości sytuacyjnej oraz systemowego wsparcia operacyjnego w reagowaniu na incydenty poprzez m.in. wzmocnienie potencjału (IT i OT) przedsiębiorstw wodociągowo-kanalizacyjnych poprzez m.in. modernizację sprzętu i oprogramowania.
Finansowanie zyskają 3 obszary działań – środki organizacyjne, zakup i modernizacja środków technicznych oraz rozwój kompetencji personelu.
Pierwszy obszar, czyli „wdrożenie środków organizacyjnych służących zapewnieniu cyberbezpieczeństwa” finansowanie zyskają m.in. takie zadania jak: obsługa incydentu; wprowadzenie polityki analizy ryzyka, polityki i procedur stosowania kryptografii i szyfrowania; zapewnienie ciągłości działania i zarządzania kryzysowego; stosowanie uwierzytelniania wieloskładnikowego; a także audyt systemu zarządzania bezpieczeństwem informacji przeprowadzony przez wykwalifikowanego audytora, stanowiącego dowód wdrożenia i stosowania ww. systemu w organizacji lub instytucji.
Wśród wydatków w drugim obszarze, czyli „zakup lub modernizacja środków technicznych służących zapewnieniu cyberbezpieczeństwa” resort wskazał m.in.: systemy teleinformatyczne w tym urządzenia, oprogramowania i usługi zapewniające prewencję, reakcję i detekcję zagrożeń cyberbezpieczeństwa; systemy lub usługi zarządzania podatnościami i skanery podatności, usługi wdrożenia i konfiguracji urządzeń i oprogramowania oraz wsparcia eksperckiego w zakresie cyberbezpieczeństwa, a także zakup i wdrożenie systemów lub usług na potrzeby operacyjnych centrów bezpieczeństwa (SOC).
Trzeci obszar, na jaki będzie można otrzymać pieniądze to „rozwój kompetencji personelu w zakresie cyberbezpieczeństwa”, czyli szkolenia kadr. Przykładowe działania jakie mogą być finansowane w ramach obszaru 3 to: szkolenia z zakresu cyberbezpieczeństwa dla kadry danego podmiotu istotnej z punktu widzenia wdrożonej polityki cyberbezpieczeństwa lub systemu zarządzania bezpieczeństwem informacji, w tym w szczególności w zakresie środków wdrażanych w ramach przedsięwzięcia, szkolenia z zakresu cyberbezpieczeństwa dla: informatyków odpowiedzialnych za cyberbezpieczeństwo, kadry kierowniczej oraz pozostałych pracowników podmiotu, obejmujących m.in. symulowane cyberataki na użytkowników sieci i systemów informacyjnych w organizacji (np. phishing).
Jak zaznacza Ministerstwo Cyfryzacji, nabór wniosków będzie trwał co najmniej jeden miesiąc, tak aby każde, zainteresowane przedsiębiorstwo miało czas na przygotowanie odpowiedniej dokumentacji. Przy ocenie wniosków organizator będzie brał pod uwagę w jaki sposób zaproponowane we wniosku działania przyczynią się do zapewnienia cyberbezpieczeństwa. Jeden podmiot będzie mógł złożyć tylko jeden wniosek w ramach konkursu. W przypadku, gdy złoży ich kilka, organizator będzie brał pod uwagę jedynie ten złożony jako pierwszy. Ministerstwo nie wyklucza, iż w przypadku gdy w pierwszej rundzie konkursowej nie uda się wydatkować całej puli środków przeznaczonych na to zadanie, ogłoszony zostanie kolejny nabór wniosków.
Projekt rozporządzenia Ministra Cyfryzacji jest w tej chwili opiniowany, następnie trafi do komitetów Rady Ministrów oraz komisji prawniczej. Na ostateczną wersję przyjdzie nam pewnie poczekać jeszcze kilka tygodni.
Zobacz także:
Szkolenia cyberbezpieczeństwa
Audyt Systemu Zarządzania Bezpieczeństwem Informacji