5 godzin temu
- Rozporządzenie Ministra Cyfryzacji z 29.5.2025 r. w sprawie udzielania pomocy de minimis na wsparcie podmiotów prowadzących działalność w zakresie zbiorowego zaopatrzenia w wodę objętych krajowym systemem cyberbezpieczeństwa, w ramach Krajowego Planu Odbudowy i Zwiększania Odporności (Dz.U. z 2025 r. poz. 729; dalej: DeMinimisWodaCyberbezpR) weszło w 30.5.2025 r.
- Rozporządzenie wykonuje ustawę z 6.12.2006 r. o zasadach prowadzenia polityki rozwoju (t.j. Dz.U. z 2025 r. poz. 198).
- Rozporządzenie realizuje cele i obowiązki wynikające z przepisów unijnych, w szczególności z rozporządzenia (UE) 2023/2831 z 13.12.2023 r. w sprawie stosowania art. 107 i 108 Traktatu o funkcjonowaniu Unii Europejskiej do pomocy de minimis (Dz.Urz. UE L z 2023 r. Nr 295, s. 2831) oraz rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z 17.4.2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz.Urz. UE L z 2019 r. Nr 151, s. 15).
W obliczu narastającej liczby cyberataków (jak poinformowało Ministerstwo Cyfryzacji, w 2024 r. odnotowało ponad 627 tys. zgłoszeń incydentów – o 60% więcej niż rok wcześniej), sektor zaopatrywania w wodę, mający niebagatelne znaczenie z punktu widzenia infrastruktury krytycznej, stał się przedmiotem działań ochronnych finansowanych z komponentu C KPO.
Zgodnie z § 1 DeMinimisWodaCyberbezpR w rozporządzeniu określone zostało szczegółowe przeznaczenie, warunki i tryb udzielania podmiotom prowadzącym działalność w zakresie zbiorowego zaopatrzenia w wodę, objętym krajowym system cyberbezpieczeństwa pomocy de minimis w zakresie inwestycji C3.1.1 „Cyberbezpieczeństwo – CyberPL, infrastruktura przetwarzania danych optymalizacja infrastruktury służb państwowych odpowiedzialnych za bezpieczeństwo”, wskazanej w komponencie C „Transformacja Cyfrowa” w ramach Krajowego Planu Odbudowy i Zwiększania Odporności. Zgodnie z § 17 DeMinimisWodaCyberbezpR pomoc de minimis może być udzielana do 30.6.2026 r.
Adresaci wsparcia i zakres kwalifikowalności
Zgodnie z § 4 DeMinimisWodaCyberbezpR pomoc de minimis może zostać udzielona podmiotom prowadzącym działalność w zakresie zbiorowego zaopatrzenia w wodę, wykorzystującym technologie operacyjne w przemysłowych systemach sterowania. Należą do nich:
- przedsiębiorstwa wodociągowo-kanalizacyjne, operatorzy usług kluczowych w rozumieniu art. 5 ustawy z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2024 r. poz. 1077),
- spółki prawa handlowego, wykonujące zadania o charakterze użyteczności publicznej w rozumieniu przepisów ustawy z 20.12.1996 r. o gospodarce komunalnej (t.j. Dz.U. z 2021 r. poz. 679),
- jednostki sektora finansów publicznych w rozumieniu art. 9 pkt 2–4 ustawy z 27.8.2009 r. o finansach publicznych (t.j. Dz.U. z 2024 r. poz. 1530).
Wsparcie na projekt grantowy może zostać skierowane pod warunkiem, iż uprawnione podmioty realizują w nim co najmniej jeden z następujących celów z zakresu cyberbezpieczeństwa:
- wdrożenie środków organizacyjnych służących zapewnieniu cyberbezpieczeństwa,
- zakup lub modernizacja środków technicznych służących zapewnieniu cyberbezpieczeństwa,
- rozwój kompetencji personelu w zakresie cyberbezpieczeństwa.
Warunki finansowania
Pomoc jest bezzwrotna (§ 9 DeMinimisWodaCyberbezpR) i może pokrywać do 100% kosztów kwalifikowanych projektu grantowego (§ 7 ust. 1 DeMinimisWodaCyberbezpR), które obejmują w szczególności koszty poniesione na:
- przegląd, opracowanie i wdrożenie systemu zarządzania bezpieczeństwem informacji lub aktualizację tego systemu;
- wprowadzenie środków obejmujących m.in.: analizę ryzyka i politykę bezpieczeństwa systemów teleinformatycznych, obsługę incydentu, ciągłość działania i zarządzanie kryzysowe, stosowanie kryptografii i szyfrowania, kontrolę dostępu i uwierzytelnianie wieloskładnikowe;
- audyt systemu zarządzania bezpieczeństwem informacji przeprowadzony przez wykwalifikowanego audytora, stanowiący dowód wdrożenia i stosowania ww. systemu w organizacji lub instytucji;
- zakup i wdrożenie systemów teleinformatycznych, w tym urządzeń, systemu i usług zapewniających zapobieganie zagrożeniom cyberbezpieczeństwa, wykrywanie tych zagrożeń i reagowanie na nie;
- usługi wdrożenia i konfiguracji urządzeń i systemu oraz wsparcia eksperckiego w zakresie cyberbezpieczeństwa;
- zakup i wdrożenie systemów lub usług na potrzeby operacyjnych centrów bezpieczeństwa;
- zakup lub rozwój systemów lub usług zarządzania podatnościami i skanerów podatności;
- szkolenia z zakresu cyberbezpieczeństwa dla kadry danego podmiotu, istotnej z punktu widzenia wdrożonej polityki cyberbezpieczeństwa lub systemu zarządzania bezpieczeństwem informacji, w tym w szczególności w zakresie środków wdrażanych w ramach projektu grantowego;
- szkolenia z zakresu cyberbezpieczeństwa dla: informatyków odpowiedzialnych za cyberbezpieczeństwo, kadry kierowniczej oraz pozostałych pracowników podmiotu, w tym symulowane cyberataki na użytkowników sieci i systemów informacyjnych w organizacji;
- usługi doradcze w zakresie cyberbezpieczeństwa.
Zgodnie z § 8 ust. 2 DeMinimisWodaCyberbezpR pomoc de minimis może być udzielana na pokrycie kosztów poniesionych od 1.1.2025 r.
Procedura składania wniosków
Wniosek należy złożyć elektronicznie w systemie Centrum Projektów Polska Cyfrowa (CPPC) (§ 10 DeMinimisWodaCyberbezpR): informacje wskazane we wniosku i załączniki określa § 10 ust. 2–3 DeMinimisWodaCyberbezpR. W przypadku braków formalnych możliwe jest wezwanie do uzupełnienia wniosku (§ 10 ust. 6 DeMinimisWodaCyberbezpR). Jeden podmiot może złożyć tylko jeden wniosek na nabór (§ 11 ust. 7 DeMinimisWodaCyberbezpR) – jesli podmiot, o którym mowa w § 4 DeMinimisWodaCyberbezpR, złożył więcej niż jeden wniosek, CPPC rozpatruje wyłącznie ten, który został złożony jako pierwszy, pozostałe wnioski pozostawiając bez rozpoznania.
CPPC prowadzi nabory w trybie konkursowym, zamieszczając ogłoszenie na swojej stronie internetowej (§ 11 ust. 3–5 DeMinimisWodaCyberbezpR). Rozporządzenie wskazuje minimalny termin składania wniosków – 30 dni kalendarzowych od dnia ogłoszenia naboru (§ 11 ust. 6 DeMinimisWodaCyberbezpR).
Zgłoszenia oceniane są zgodnie z regulaminem konkursu (§ 13 ust. 1 DeMinimisWodaCyberbezpR), a ocena obejmuje m.in. cele projektu, zasadność kosztów i trwałość rezultatów (§ 13 ust. 3 DeMinimisWodaCyberbezpR).
Pomoc przyznawana jest na podstawie umowy zawieranej z CPPC (§ 14 DeMinimisWodaCyberbezpR), po której zawarciu beneficjent zobowiązany jest do składania okresowych sprawozdań z realizacji projektu (§ 16 DeMinimisWodaCyberbezpR). Dzięki precyzyjnie określonym zasadom udzielania wsparcia, sektor wodociągowy może w sposób efektywny podnieść poziom swojego cyberbezpieczeństwa. Rozporządzenie odpowiada na rosnące zagrożenia cyfrowe i umożliwia skierowanie publicznych środków do sektora, w którym przerwanie ciągłości usług mogłoby mieć poważne skutki społeczne. Sektor wodociągowy, szeroko wykorzystujący systemy OT (Operational Technology), wymaga wsparcia nie tylko sprzętowego, ale także kompetencyjnego. Nowe przepisy dają realną szansę na profesjonalizację i zabezpieczenie tej infrastruktury.
![Arlen – za mundurem inwestorzy sznurem? Debiut w czasach „zbrojeniowej gorączki” [Analiza IPO] (Analizy i komentarze)](https://www.sii.org.pl/static/img/018215/arlen-1360-2.jpg)
