Cyberbezpieczny Wodociąg

Program Cyberbezpieczene Wodociągi obejmuje wsparcie podmiotów prowadzących działalność w zakresie zbiorowego zaopatrzenia w wodę, objętych krajowym systemem cyberbezpieczeństwa, wykorzystujących technologie informacyjne (IT) oraz operacyjne (OT) stosowane w przemysłowych systemach sterowania (ICS) w modernizacji i rozbudowie infrastruktury cyberbezpieczeństwa. 

DLA KOGO – KTO MOŻE WNIOSKOWAĆ 

Podmioty prowadzące działalność w zakresie zbiorowego zaopatrzenia w wodę, które: 

  1. Są objęte krajowym systemem cyberbezpieczeństwa, 
  1. Wykorzystują technologie operacyjne w przemysłowych systemach sterowania, 
  1. Spełniają jedno z poniższych: 
  • są operatorem usług kluczowych (ustawa o KSC), 
  • spółką prawa handlowego wykonującą zadania użyteczności publicznej, 
  • jednostką sektora finansów publicznych (np. gmina, związek międzygminny). 

NA CO – OBSZARY WSPARCIA 

Zakres projektu będzie obejmował działania z obszarów: organizacji (procesy), technologii oraz kompetencji: 

  • wdrożenie środków organizacyjnych służących zapewnieniu cyberbezpieczeństwa (procedury i audyty), 
  • zakup lub modernizację środków technicznych służących zapewnieniu cyberbezpieczeństwa (sprzęt i usługi – dotyczy IT jak i OT), 
  • rozwój kompetencji personelu w zakresie cyberbezpieczeństwa (szkolenia). 

Organizacyjny – wszelkie aspekty organizacyjne bezpieczeństwa systemów teleinformatycznych IT i OT: 

  • audyt bezpieczeństwa 
  • audyt zgodności z przepisami i normami 
  • opracowanie 
  • wdrożenie 
  • utrzymanie i aktualizacja systemu zarządzania bezpieczeństwem informacji 
  • systemu zarządzania bezpieczeństwem systemu teleinformatycznego IT/OT 
  • systemu zarządzania ciągłością działania systemu teleinformatycznego IT/OT; 

Kompetencyjny – wszelkie działania podnoszące świadomość, wiedzę i umiejętności na poziomie podstawowym, kierowniczym i specjalistycznym w zakresie cyberbezpieczeństwa, realizowane dla pracowników podmiotu, operatorów i administratorów systemów teleinformatycznych IT/OT, kadry kierowniczej IT/OT, kadry kierowniczej i zarządzającej podmiotu 

Techniczny IT – dotyczy obszaru funkcjonalnego IT, obejmuje wszelkie komputerowe środki techniczne – sprzętowe i aplikacyjne – służące do zabezpieczenia i zapewnienia bezpieczeństwa komponentów środowiska teleinformatycznego IT: 

  • stacje robocze 
  • serwery 
  • dane biznesowe 
  • oprogramowanie biznesowe 
  • systemy pamięci masowej 
  • urządzenia sieciowe i środowisko sieciowe 
  • systemy bezpieczeństwa fizycznego i technicznego działające w sieci 

Techniczny OT – dotyczy obszaru funkcjonalnego OT (technologie operacyjne), obejmuje wszelkie komputerowe środki techniczne i wybrane elektrotechniczne środki techniczne – sprzętowe i aplikacyjne – służące do zabezpieczenia i zapewnienia bezpieczeństwa komponentów środowiska teleinformatycznego OT/ICS/IoT i środowiska IT obszaru przemysłowego OT: 

  • stacje robocze 
  • serwery 
  • dane systemów OT 
  • systemy OT 
  • oprogramowanie OT 
  • urządzenia sieciowe i środowisko sieciowe OT 
  • systemy bezpieczeństwa wizyjnego 
  • fizycznego i technicznego w ramach infrastruktury wodociągowej (np. stacji uzdatniania wody, punktów poboru wody itp.) działające w sieci 

Dla przedsiębiorstwa prowadzącego również inną działalność niż wodociągową możliwe będzie uzyskanie wsparcia dla całego przedsiębiorstwa w zakresie obszarów Organizacyjny, Kompetencyjny i Techniczny IT, a w zakresie Techniczny OT – dla instalacji dotyczących poboru, uzdatniania i dystrybucji wody

WYSOKOŚĆ I ZAKRES DOFINANSOWANIA 

  • Forma wsparcia: dofinansowanie de minimis 100% (brak wkładu własnego); VAT to wydatek niekwalifikowalny; dofinansowanie tylko na wydatki w kwocie netto 
  • Maksymalne dofinansowanie jest ograniczone wysokością pomocy de minimis – 300 tys. EUR (otrzymana w ciągu 3 lat); indywidualny limit pomocy de minimis można sprawdzić na stronie SUDOP: https://sudop.uokik.gov.pl 
  • Możliwość kwalifikowania wydatków w okresie od 1 stycznia 2025 r. do 30 czerwca 2026 r. 
  • Alokacja: ponad 300 mln zł 

WYDATKI KWALIFIKOWALNE 

  • środki trwałe/dostawy (np. sprzęt informatyczny i urządzenia bezpieczeństwa); 
  • wartości niematerialne i prawne, w szczególności w szczególności autorskie prawa majątkowe lub licencje, w tym subskrypcyjne, na korzystanie z oprogramowania, w tym systemowego o przewidywanym okresie używania dłuższym niż rok, prawa do dokumentacji, raportów i opracowań; 
  • usługi zewnętrzne, w szczególności merytoryczne przygotowanie projektu grantowego przez osoby lub podmioty zewnętrzne, usługi informatyczne i szkolenia zwiększające poziom bezpieczeństwa informacji, usługi wspomagające realizację projektu grantowego, w szczególności usługi doradcze osób lub podmiotów zewnętrznych oraz szkolenia, audyty oraz wdrożenie zarządzania bezpieczeństwem i ciągłością działania systemów teleinformatycznych IT/OT; 
  • koszty pośrednie (kwota ryczałtowa do 5% wartości grantu), w szczególności możliwość rozliczenia m.in. kosztów administracyjnych, delegacji, wynagrodzenia kadry zarządzającej projektem grantowym oraz wynagrodzeń osób (umów o pracę) zatrudnionych u grantobiorcy i bezpośrednio zaangażowanych w projekt grantowy (m.in. inżynier kontraktu, ekspert z dziedziny cyberbezpieczeństwa). 

Wydatki kwalifikowane w podziale na obszary wsparcia 

Obszar Organizacyjny 

Rozwiązanie Przykłady rozwiązań 
1.1 Systemowe zarządzanie bezpieczeństwem i ciągłością działania IT/OT Opracowanie, wdrożenie, przegląd i aktualizacja dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), audyt SZBI, Systemu Zarządzania Ciągłością Działania STI (SZCD STI), audyt SZCD STI, audyt zgodności z KRI/uoKSC, (re)certyfikacja SZBI, SZCD na zgodność z normami, utrzymanie i zarządzanie SZBI, SZCD 

Obszar Kompetencyjny 

Rozwiązanie  Przykłady rozwiązań 
2.1 Szkolenia z zakresu cyberbezpieczeństwa  Podstawowe szkolenia (lub dostęp do platform szkoleniowych) budujące świadomość cyberzagrożeń i sposobów ochrony dla pracowników, szkolenia z zakresu cyberbezpieczeństwa dla kadr istotnych z punktu widzenia wdrażanej polityki bezpieczeństwa informacji i systemu zarządzania bezpieczeństwem informacji, szkolenia specjalistyczne dla kadry zarządzającej i informatyków w zakresie zastosowanych lub planowanych do zastosowania środków bezpieczeństwa w ramach projektu, szkolenia powiązane z testami socjotechnicznymi, które będą weryfikować świadomość zagrożeń i reakcji personelu, w szczególności reagowanie specjalistów posiadających odpowiednie obowiązki w ramach SZBI w zgodzie z przyjętymi procedurami, usługi typu security awareness do symulowanych ataków socjotechnicznych, szkolenia przygotowujące do certyfikacji z zakresu cyberbezpieczeństwa 

Obszar Techniczny IT 

Rozwiązanie Przykłady rozwiązań 
3.1 Bezpieczeństwo systemów informatycznych Testy bezpieczeństwa, usługa skanowania podatności, skaner podatności, system klasy BAS (Breach and attack simulation), oprogramowanie do badania podatności w kodzie aplikacji, oprogramowanie antywirusowe, EDR, XDR, ITDR, NDR 
3.2 Bezpieczeństwo www (stron i/lub platform internetowych) Oprogramowanie do zarządzania podatnościami, WAF, Firewall, NGFW, UTM 
3.3 Bezpieczeństwo stacji roboczych Oprogramowanie antywirusowe, EDR, XDR, ITDR 
3.4 Rozwiązanie bezpieczeństwa sieci UTM, NGFW, IPS/IDS, Firewall, oprogramowanie antywirusowe, SASE VPN, VPN, NAC, EDR, XDR, NDR, Network Security Policy Management & Orchestration 
3.5 Rozwiązania bezpieczeństwa styku sieci Internet z usługami wewnętrznymi WAF, NGFW, IPS/IDS, Proxy Serwer , oprogramowanie antywirusowe, HoneyPot, Web Secure Gateway , Email Secure Gateway, urządzenia i oprogramowanie typu Sandbox 
3.6 Zwiększenie niezawodności i wydajności SAN, NAS, rozbudowa pamięci RAM, dyski twarde (HDD, SDD, funkcjonalność hot swap), macierz dyskowa, rozwiązanie RAID, rozbudowa serwera o dodatkowy procesor, serwer pod rozwiązania bezpieczeństwa 
3.6 Rozwiązania sieciowe WAN/LAN/WIFI Zarządzalny switch z obsługą VLAN, MACsec, standard 802.1X, zarzadzalne centralne urządzenie WiFi, Acces Point WiFi, NAC 
3.7 Rozwiązania wirtualizacyjne System wirtualizacji, serwer do systemu wirtualizacji 
3.8 Rozwiązania kopii zapasowych Deduplikator, serwer kopii zapasowych, streamer, kaseta do Streamera, NAS, usługa kopii zapasowych w chmurze obliczeniowej 
3.9 Redundancja (HA) Rozwiązanie RAID, serwer w HA, NAS w HA, SAN, zarządzalne urządzenia sieciowe w HA, usługa redundancji w chmurze obliczeniowej 
3.10 Rozwiązania zarządzania operacyjnego ITSM, oprogramowanie do monitorowania infrastruktury informatycznej, oprogramowanie do zarządzania i aktualizacji systemów operacyjnych i oprogramowania na stacjach roboczych, serwerach, urządzeniach sieciowych, MDM, monitorowanie NetFlow 
3.11 Bezpieczeństwo komunikacji Email Secure Gateway, Web Secure Gateway, EDR, XDR, Sandbox, oprogramowanie antywirusowe, certyfikaty SSL, HSM/Software HSM 
3.12 Monitorowanie bezpieczeństwa EDR, XDR, NDR, ITDR, SIEM, SOAR, HoneyPot, menadżer logów, DLP, Network Security Policy Management & Orchestration, usługa typu MDR (Managed Detection and Response), usługa SOC (Security Operation Center), usługa CTI (Cyber Threat Intelligence) 
3.13 Reagowanie w zakresie bezpieczeństwa EDR, XDR, NDR, ITDR, SOAR, AntyDDoS, Network Security Policy Management & Orchestration, usługa typu MDR (Managed Detection and Response) 
3.14 Zarządzanie uprawnieniami użytkowników Oprogramowanie do zarządzania tożsamością i dostępem, IAM, PIM, PAM, centralny menedżer haseł, rozwiązanie MFA, klucze U2F, NAC 
3.15 Zabezpieczanie dowodów cyfrowych Oprogramowanie do analizy powłamaniowej, urządzenia do analiz powłamaniowych, analiza i zabezpieczanie dowodów cyfrowych 

Obszar Techniczny OT 

Rozwiązanie Przykłady rozwiązań 
4.1 Bezpieczeństwo systemów sterowania przemysłowego (OT/ICS/IIoT) 4.2 Bezpieczeństwo stacji roboczych OT/ICS 4.3. Rozwiązania bezpieczeństwa sieci OT/ICS/IIoT 4.4 Rozwiązania sieciowe WAN/LAN/WiFi OT/ICS/IIoT 4.5 Rozwiązania bezpieczeństwa styku sieci Internet z siecią OT/ICS/IIoT 4.6 Rozwiązania bezpieczeństwa styku sieci wewnętrznej IT z siecią OT/ICS/IIoT 4.7 Rozwiązania kopii zapasowych konfiguracji i danych systemów OT/ICS/IIoT 4.8 Redundancja (HA) OT/ICS/IIoT 4.9 Rozwiązania zarządzania operacyjnego infrastrukturą OT/ICS/IIoT 4.10 Monitorowanie bezpieczeństwa OT/ICS/IIoT 4.11 Reagowanie w zakresie bezpieczeństwa OT/ICS/IIoT Firewall sieciowy z IPS dedykowany sieciom OT, NGFW (Next Gen FireWall) z IPS dedykowany sieciom OT, SIEM (Security Information and Event Management) OT, SOAR (Security Orchestration, Automation and Response) OT, HoneyPot, UTM (Unified Threat Management) z IPS dedykowany sieciom OT, licencje na IPS (Intrusion Prevention System) dedykowany sieciom OT, IDS (Intrusion Detection System) dedykowany sieciom OT, serwer fizyczny niezbędny do zainstalowania produktu lub wdrożenia rozwiązania z zakresu bezpieczeństwa, zarządzalne urządzenia sieciowe z obsługą VLAN, MACsec, standardu 802.1X (switch), system monitorujący pracę urządzeń sieciowych OT/ICS/IoT, klucze sprzętowe U2F, szafa RACK do produktów i rozwiązań z zakresu bezpieczeństwa, bramy jednokierunkowe (Unidirectional Gateway / Data Diode), sprzętowe sondy/sensory do monitorowania sieci OT (dedykowane urządzenia do analizy protokołów przemysłowych), urządzenia do obsługi sieci Private APN, łączność przewodowa z zasilaniem w sieci OT, system klasy PAM, stacja robocza fizyczna lub wirtualna z rolą stacji przesiadkowej dedykowany do rozwiązań OT, infrastruktura PKI wraz z niezbędnymi elementami, urządzenia sieciowe z obsługą urządzeń OT/ICS/IoT 
4.12 Wsparcie ciągłości działania infrastruktury obszaru OT (techn. IT/OT/ICS/IIoT) – wydatki limitowane 20% Urządzenia typu UPS do produktów i rozwiązań z zakresu bezpieczeństwa, akumulatory do urządzeń typu UPS do produktów i rozwiązań z zakresu bezpieczeństwa, agregat prądotwórczy, mobilny agregat prądotwórczy, przyłącze elektryczne do agregatów prądotwórczych, Firewall (NGFW), system ADDoS do zabezpieczenia systemów bezpieczeństwa: wizyjnego, dostępu fizycznego i zabezpieczeń technicznych infrastruktury wodociągowej np. stacji uzdatniania wody, punktów poboru wody – działających w sieci rozległej. 

Ograniczenia dot. wydatków 

Kwalifikowalne będą tylko koszty poniesione w okresie realizacji przedsięwzięcia grantowego. Koszty usług np. gwarancji, licencji, ubezpieczenia wykraczające poza okres kwalifikowalności będą kwalifikowalne proporcjonalnie w czasie trwania okresu kwalifikowalności (+ obowiązek zapewnienia trwałości wdrażanych rozwiązań). 

Łącznie do 20% wydatków kwalifikowalnych projektu grantowego może zostać poniesione na wydatki które mają wpływ na zapewnienie ciągłości działania systemów teleinformatycznych OT np.: 

  • Zasilanie awaryjne: generatory prądu i UPS do serwerów, baterie do UPS. 
  • Zabezpieczenie systemów bezpieczeństwa: wizyjnego, dostępu fizycznego i zabezpieczeń technicznych infrastruktury wodociągowej np. stacji uzdatniania wody, punktów poboru wody – działających w sieci rozległej. 

Wydatki niekwalifikowalne 

Do wydatków niekwalifikowanych w ramach grantu zalicza się w szczególności wydatki na zakup, dostawę lub usługi, które nie służą bezpośrednio wsparciu cyberbezpieczeństwa, w szczególności: 

  • komputery stacjonarne i przenośne, urządzenia mobilne (smartfony, tablety) 
  • akcesoria i urządzenia peryferyjne (np. drukarki, skanery, urządzenia wielofunkcyjne, kserokopiarki) 
  • oprogramowanie biurowe, oprogramowanie do elektronicznego zarządzania dokumentacją i oprogramowanie systemów operacyjnych 
  • szkolenia niezwiązane z cyberbezpieczeństwem 
  • usługi dostępu do Internetu, abonamenty telefoniczne 
  • budowa infrastruktury sieci LAN/WAN/radiowej/światłowodowej 
  • budowa infrastruktury systemów bezpieczeństwa: wizyjnego, dostępu fizycznego i zabezpieczeń technicznych 
  • podatek VAT oraz wynagrodzenia pracowników jako koszty bezpośrednie 

HARMONOGRAM 

  • Ogłoszenie naboru wniosków: przełom sierpnia i września 2025 r.  
  • Termin i czas trwania naboru wniosków: 30 dni od ogłoszenia; przełom września i października 2025 r. 
  • Ocena wniosków o granty: październik – grudzień 2025 
  • Zawieranie umów o granty: grudzień – styczeń 2025 
  • Przekazanie środków (jedna transza): grudzień 2025 – styczeń 2026 
  • Realizacja projektów grantowych: kwalifikowalność od 1 stycznia 2025 r. do 30 czerwca 2026 r. 
  • Złożenie wniosku rozliczającego: do 30 czerwca 2026 r. 

Harmonogram oparty jest na deklaracjach CPPC. 

WNIOSEK O GRANT 

Składany elektronicznie przez system CPPC, zawiera: 

  • opis projektu (cel, zakres, harmonogram, koszty), 
  • opis stanu obecnego oraz opis stanu planowanego 
  • opis postępu w zakresie odporności na cyberzagrożenia 
  • dane, oświadczenia i zaświadczenia wymagane przepisami o pomocy publicznej, 

KRYTERIA OCENY WNIOSKU O GRANT 

Premiowane będą działania podnoszące w największym stopniu odporność na cyberzagrożenia. W szczególności rozwiązania w których wykorzystywane są technologie operacyjne (OT) stosowane w przemysłowych systemach sterowania (ICS). Premia oznacza przyznanie dodatkowych punktów (bonus) za wzrost odporności w premiowanych rozwiązaniach bezpieczeństwa. 

Najważniejszym kryterium jest ocena deklarowanego przyrostu odporności na cyberzagrożenia w zakresie poszczególnych rozwiązań obszarowych bezpieczeństwa (tabela powyżej). Im większa liczba uzyskanych punktów, tym wyższa ocena. Skala oceny od 0 do 3 pkt. za każde rozwiązanie, w którym planowane będą działania (0 – brak rozwiązania, 1 – niski, 2 – średni, 3 – wysoki). 

******************************************************************************************************

W ramach grantu Cyberbezpieczne Wodociągi Instytut Inteligentnego Rozwoju Sp. z o.o. wspiera w następujących zakresach, wybranych przez Klienta: 

1. Przygotowanie kompletnego wniosku o grant 

  • przeprowadzenie analizy potrzeb w obszarze organizacyjnym, kompetencyjnym oraz technicznym IT i OT na postawie przekazanych przez Zamawiającego dokumentów, ustaleń, wyników audytu cyberbezpieczeństwa 
  • wykonanie opisu obecnego rozwiązania oraz opisu planowanego rozwiązania dla wszystkich rozwiązań obszarowych bezpieczeństwa określonych we wniosku 
  • wykonanie oceny przyrostu odporności na cyberzagrożenia dla wszystkich rozwiązań obszarowych bezpieczeństwa określonych we wniosku 
  • weryfikacja kwalifikowalności wydatków oraz opracowanie zakresu finansowego (kosztorys projektu) 
  • opracowanie zakresu rzeczowego projektu (opis działań planowanych do realizacji w ramach wybranych zadań) 
  • opracowanie wskaźników projektu oraz wpływu projektu na zasady horyzontalne 
  • weryfikacja poprawności i kompletności wszystkich danych i załączników 
  • konsultacje z Centrum Projektów Polska Cyfrowa (CPPC) w trakcie przygotowywania oraz w trakcie procesu oceny grantu 
  • wykonanie korekt, poprawek, uzupełnień we wniosku o grant zgodnie z wymaganiami CPPC oraz wsparcie w ewentualnych negocjacjach z CPPC 
  • wsparcie w przypadku konieczności wniesienia odwołania do oceny wniosku 
  • wsparcie w przygotowaniu dokumentów do podpisania umowy o powierzenie grantu 
  • wsparcie do momentu podpisania umowy o powierzenie grantu 

2. Rozliczenie grantu 

  • przygotowanie, na podstawie dokumentów i danych otrzymanych od Grantobiorcy: 
  1. wniosek o wypłatę zaliczki 
  2. wniosek rozliczający otrzymany grant – rozliczenie rzeczowe i finansowe projektu 
  3. ewentualny wniosek o zmiany w projekcie 
  4. raporty o przebiegu procesu i realizacji projektu 
  5. inne wymagane dokumenty 
  • wsparcie w trakcie czynności sprawdzających i kontroli 
  • wsparcie do momentu zaakceptowania przez CPPC wniosku rozliczającego otrzymany grant 

3. Okres trwałości (3 lata od zakończenia projektu) 

  • przygotowanie wymaganych sprawozdań i raportów, na podstawie dokumentów i danych otrzymanych od Grantobiorcy, 
  • wsparcie w trakcie czynności sprawdzających i kontroli oraz wszystkich innych działaniach wymaganych w okresie trwałości 
  • wsparcie do momentu zakończenia sprawozdawczości lub kontroli okresu trwałości