BRANŻA: ADMINISTRACJA PUBLICZNA · NIS-2 ART. 21

Urząd Miasta Kraków, ZUS, urzędy skarbowe - cyberataki na administrację rosną.
NIS-2 + ustawa KSC obowiązują.

Szkolenie dla urzędu, które wytrzyma kontrolę audytora - z dokumentacją zgodną z art. 21 NIS-2.

Grupy 5-30 osób, stacjonarnie lub online (Zoom) Dla zarządu, HR i IT Security - materiały dopasowane do roli
Zamów 30-min rozmowę Zobacz co dostajesz
Dlaczego to nie teoria

Trzy ataki, które w ostatnich latach sparaliżowały urzędy i instytucje publiczne

To nie są hipotetyczne scenariusze. To konkretne urzędy, konkretne dane mieszkańców, konkretne publiczne pieniądze wydane na posprzątanie bałaganu.

1

Starostwo Powiatowe w Jędrzejowie - wrzesień 2024

20 września 2024 cyberprzestępcy zaszyfrowali systemy starostwa. Grupa RansomHub ogłosiła kradzież danych 80 000 mieszkańców powiatu - imiona, imiona rodziców, adresy, numery PESEL, maile. Atak uderzył w geoportal, BESTiA (sprawozdania budżetowe), FORIS, Płatnik ZUS. Sprawą zajęły się CERT Polska i CBZC. Po ataku ofiary otrzymywały dodatkowe maile z wyłudzeniem - oszuści wykorzystali wyciek do drugiej fali.

Źródła: CyberDefence24 · Urząd Miejski Jędrzejów — komunikat · CyberDefence24 — incydenty 2024.

2

Miasto Baltimore, USA - maj 2019, ransomware RobbinHood

7 maja 2019 ransomware zaszyfrował większość systemów miejskich Baltimore. Hakerzy żądali 13 bitcoinów (~76 000 USD). Miasto odmówiło. Efekt: maile urzędników padły, nie dało się wnieść opłat miejskich online, wstrzymano transakcje nieruchomości. Pełne wznowienie systemów - do września. Całkowity koszt dla miasta: 18 mln USD (przeszło 200× żądany okup). To drugi duży urząd po Atlancie (2018) - który sam kosztował około 17 mln USD.

Źródła: Wikipedia — atak Baltimore 2019 · BankInfoSecurity — 18 mln USD · Becker's — Atlanta 17 mln USD.

3

Kostaryka - kwiecień 2022, stan wyjątkowy z powodu ransomware

Najpoważniejszy incydent dla rządu państwa w historii. Grupa Conti od 17 kwietnia 2022 zaatakowała ponad 27 instytucji rządowych: ministerstwo finansów, skarbówkę, cła, ubezpieczenia społeczne, ministerstwo nauki. 8 maja prezydent Rodrigo Chaves ogłosił stan wyjątkowy - pierwszy w historii spowodowany ransomware. Conti zażądał 10 mln USD, potem 20 mln. Rząd odmówił. Conti opublikował 97% skradzionych danych. Straty pośrednie szacowane na 200 mln USD/dzień przez tygodnie.

Źródła: Wikipedia — Costa Rica 2022 · Bleeping Computer · Analiza techniczna ataku.

68% naruszeń cyber angażuje element ludzki.

Nie chodzi o exploit zero-day ani supergeniusza z kapturem. Chodzi o kliknięcie w link przez urzędnika, wpisanie hasła na fałszywej stronie "ministerstwa", otwarcie załącznika "pilne - do podpisu wójta". Szkolenie pracowników to nie "miękki dodatek" - to obrona, która adresuje 2/3 realnego ryzyka.

Źródło: Verizon Data Breach Investigations Report 2024 — "the human element was a component of 68% of breaches".

Co musisz wiedzieć

NIS-2 w 4 punktach

Co musisz zrobić

Wdrożyć procedury bezpieczeństwa, regularnie szkolić zespół (kadrę zarządzającą i pracowników), prowadzić rejestr ryzyk i incydentów, wyznaczyć osobę odpowiedzialną. Termin: dyrektywa już obowiązuje, polska ustawa KSC w transpozycji.

Kogo dotyczy

Urzędy administracji centralnej, regionalnej, samorządowej od progu SME (50 osób lub 10 mln EUR obrotu). Dostawców objętych firm dotyczy przez zapisy kontraktowe (zarządzanie łańcuchem dostaw - art. 21).

Co grozi za brak

Kara administracyjna do 10 mln EUR lub 2% rocznego obrotu (wybiera się kwotę wyższą). Przy podmiotach kluczowych - osobista odpowiedzialność członków zarządu (art. 20).

Co sprawdza audytor

Dokumentację procedur bezpieczeństwa, dowody przeprowadzonych szkoleń (lista obecności, program, certyfikaty), plan reagowania na incydenty, gotowość do raportowania w 24h.

Wartość

Co konkretnie dostajecie

Szkolenie dopasowane do realiów urzędu - ePUAP, EZD, SIDAS, geoportal, BESTiA, ewidencja gruntów, USC, wydziały komunikacji, obywatelska poczta z fakturami. Konkretne przykłady ataków na administrację publiczną, nie generyczne slajdy.

Szkolenie na żywo (3, 5 lub 8h)

Stacjonarnie w urzędzie (sala narad, biblioteka, dom kultury) lub online przez Zoom. 6-8 modułów zależnie od pakietu. Urzędnicy dostają realne przykłady: fałszywy mail od "Ministerstwa Cyfryzacji", phishing pod fakturę dla skarbnika, podejrzany pendrive na biurku, dziwny "serwisant" w okienku.

Dokumentacja audytowa

Lista obecności z podpisami, program szkolenia, test końcowy z wynikami, imienne certyfikaty. Wszystko w PDF, podpisane elektronicznie. Dokładnie to, czego audytor NIK, CSIRT NASK lub wojewoda potrzebuje do zamknięcia wymogu z art. 21 UKSC.

Dopasowanie do administracji

Realne scenariusze z polskich urzędów: mail od "Pełnomocnika Rządu ds. Cyberbezpieczeństwa" z malware, faktura za serwis ePUAP ze zmienionym kontem, "wójt prosi o pilny przelew" do skarbnika, podszywanie się pod mieszkańca żądającego dostępu do dokumentów. Nie abstrakcja - ataki które już się zdarzyły w Jędrzejowie, Kościerzynie, Obrazowie.

Test końcowy + wynik per osoba

12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu: nie wystarczy obecność - trzeba pokazać że wiedza została sprawdzona. Wyniki w raporcie zbiorczym + imiennie. Kierownik jednostki widzi, który dział jest najsłabszy i gdzie dowalić powtórkę.

W cenie, bez dopłat: certyfikat imienny PDF dla każdego uczestnika, konsultacje 1:1 (20 min przed + 20 min po szkoleniu), dojazd i nocleg w cenie (cała Polska).

Trzy pakiety - od 3 do 8 godzin, dopasowane do Was

Starter
3 godziny
4 moduły podstawowe
  • Phishing i fałszywe maile "od ministerstwa"
  • Hasła i MFA w systemach urzędowych
  • Bezpieczna praca z pocztą i załącznikami
  • Co robić w razie incydentu (kontakt z CSIRT NASK)

Dla: mała gmina 5-15 osób, pierwsze szkolenie NIS-2.

Standard
5 godzin
6 modułów + warsztat
  • Wszystko ze Startera
  • Bezpieczeństwo systemów urzędowych (ePUAP, EZD, SIDAS)
  • Socjotechnika - okienko, recepcja, "serwisant"
  • Warsztat: rozpoznawanie fałszywych maili

Dla: urząd gminy/starostwo 10-30 osób, pokrycie art. 21.

Pełny dzień
8 godzin
6 + 2 moduły + praktyka
  • Wszystko ze Standardu
  • Moduł dla kierownictwa (obowiązki NIS-2 art. 20 - wójt, burmistrz, starosta)
  • RODO w praktyce urzędu (ewidencja, USC, wydział komunikacji)
  • Praktyka: analiza realnego phishingu "od Ministerstwa Cyfryzacji"

Dla: duży urząd miasta/starostwo 20+ osób, jednostka z działem IT.

Po szkoleniu Twój zespół

Cena

Transparentna stawka za osobę

Bez pakietów z ukrytymi kosztami. Bez minimum zamówienia poza 5 osobami. Dojazd i nocleg w cenie - cała Polska. Faktura VAT, zgodna z zamówieniem publicznym do 30 000 EUR.

Stacjonarnie u Was
W sali narad urzędu, z Waszymi przykładami
800 PLN netto / os

Dojazd i nocleg w cenie · minimum 5 osób

Online
Przez Zoom
600 PLN netto / os

Nagranie dostępne przez 30 dni · minimum 5 osób

Szybki rachunek. Gmina 25 urzędników, pakiet Standard online: 25 × 600 PLN = 15 000 PLN netto. Koszt odzyskania po udanym ransomware to wg doświadczeń Atlanty i Baltimore 17-18 mln USD. Dla polskich gmin: realnie tygodnie paraliżu, skargi mieszkańców, kontrola RODO, pytanie radnych "jak to się stało". Szkolenie kosztuje ułamek tego ryzyka.

Finansowanie: KFS / BUR dla sektora publicznego

Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) zaplanowana na Q4 2026. Po rejestracji instytucje publiczne (urzędy, placówki ochrony zdrowia, przedsiębiorstwa wodno-kanalizacyjne) mogą otrzymać zwrot nawet 80% kosztów szkolenia z Krajowego Funduszu Szkoleniowego (KFS).

Jeśli chcą Państwo zrealizować szkolenie po rejestracji BUR - powiedzmy o tym na 30-minutowej rozmowie, zarezerwujemy termin w IV kwartale.

Najczęstsze pytania

Cztery obiekcje, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.

Mamy ISO 27001. To wystarczy pod NIS-2?

Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.

Damy radę sami - YouTube, blogi, ChatGPT.

Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.

Mamy czas - NIS-2 w Polsce jeszcze nie obowiązuje.

Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.

Czy można sfinansować szkolenie z KFS/BUR?

Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.

Dlaczego mi zaufać

Adrian Maryniewski

Adrian Maryniewski

Tester oprogramowania • Trener

LinkedIn

9 lat w IT - jako tester oprogramowania widziałem z bliska, jak działają systemy firm od środka. Wiem gdzie zwykle pojawiają się luki i jak atakujący je wykorzystują. Na szkoleniu nie czytam teorii ze slajdów - pokazuję realne ataki krok po kroku, na przykładach z administracji publicznej.

  • Certyfikaty: ISTQB (testowanie), CompTIA Security+ (w toku).
  • Doświadczenie projektowe: Nordea Bank, DNV, Logintegra, xcactus.
  • Ukończone kursy: OTWA (Ofensywne Testowanie Web Aplikacji), Zostań Pentesterem, Cyber Awareness EY, Cyber Awareness Santander Consumer Bank.
  • Specjalizacja: Testowanie aplikacji webowych, szkolenia z cyberbezpieczeństwa dla pracowników biurowych.

Zamów 30-min rozmowę

Sprawdzimy czy NIS-2 Was dotyczy. Dobierzemy moduły pod Waszą firmę. Dostaniecie wycenę. Zero spamu, zero zobowiązań - nawet jeśli nie kupujecie.

Zgłoszenie trafi bezpośrednio do mnie - odpowiadam osobiście w ciągu 24h. Dane przetwarzane zgodnie z RODO.