Dyrektywa NIS-2 w Załączniku I pkt 10 wprost wymienia administrację publiczną jako sektor kluczowy: rząd centralny, władze regionalne, jednostki samorządu terytorialnego, urzędy. To oznacza konkretny obowiązek: regularne szkolenia pracowników z higieny cyberbezpieczeństwa – zapisane wprost w art. 21 ust. 2 lit. g.
Jeśli urząd tego nie udokumentuje, odpowiedzialność spada osobiście na kierownika jednostki (art. 20). Kara administracyjna dla podmiotu kluczowego zaczyna się od 10 mln EUR lub 2% rocznego obrotu – wybiera się kwotę wyższą (art. 34 ust. 4). To są publiczne pieniądze. Audytor i media to zauważą.
Rozmawiamy o Twoim urzędzie - ilu urzędników, jakie systemy (ePUAP, EZD, SIDAS, geoportal), co już macie.
To nie są hipotetyczne scenariusze. To konkretne urzędy, konkretne dane mieszkańców, konkretne publiczne pieniądze wydane na posprzątanie bałaganu.
20 września 2024 cyberprzestępcy zaszyfrowali systemy starostwa. Grupa RansomHub ogłosiła kradzież danych 80 000 mieszkańców powiatu - imiona, imiona rodziców, adresy, numery PESEL, maile. Atak uderzył w geoportal, BESTiA (sprawozdania budżetowe), FORIS, Płatnik ZUS. Sprawą zajęły się CERT Polska i CBZC. Po ataku ofiary otrzymywały dodatkowe maile z wyłudzeniem - oszuści wykorzystali wyciek do drugiej fali.
Źródła: CyberDefence24 · Urząd Miejski Jędrzejów — komunikat · CyberDefence24 — incydenty 2024.
7 maja 2019 ransomware zaszyfrował większość systemów miejskich Baltimore. Hakerzy żądali 13 bitcoinów (~76 000 USD). Miasto odmówiło. Efekt: maile urzędników padły, nie dało się wnieść opłat miejskich online, wstrzymano transakcje nieruchomości. Pełne wznowienie systemów - do września. Całkowity koszt dla miasta: 18 mln USD (przeszło 200× żądany okup). To drugi duży urząd po Atlancie (2018) - który sam kosztował około 17 mln USD.
Źródła: Wikipedia — atak Baltimore 2019 · BankInfoSecurity — 18 mln USD · Becker's — Atlanta 17 mln USD.
Najpoważniejszy incydent dla rządu państwa w historii. Grupa Conti od 17 kwietnia 2022 zaatakowała ponad 27 instytucji rządowych: ministerstwo finansów, skarbówkę, cła, ubezpieczenia społeczne, ministerstwo nauki. 8 maja prezydent Rodrigo Chaves ogłosił stan wyjątkowy - pierwszy w historii spowodowany ransomware. Conti zażądał 10 mln USD, potem 20 mln. Rząd odmówił. Conti opublikował 97% skradzionych danych. Straty pośrednie szacowane na 200 mln USD/dzień przez tygodnie.
Źródła: Wikipedia — Costa Rica 2022 · Bleeping Computer · Analiza techniczna ataku.
W 2024 Pełnomocnik Rządu ds. Cyberbezpieczeństwa wydał komunikat: do jednostek samorządu terytorialnego wysyłane są maile podszywające się pod Ministerstwo Cyfryzacji i wiceministra Pawła Olszewskiego. W załącznikach - malware. Cel: wyłudzić dane kontaktowe osób odpowiedzialnych za cyberbezpieczeństwo w urzędach i zainstalować złośliwe oprogramowanie na ich komputerach. To klasyka socjotechniki: urzędnik widzi mail "od ministra" i klika bez namysłu.
Źródła: Ministerstwo Cyfryzacji — pilny komunikat · NASK — raport CERT Polska 2024 (300 incydentów dziennie).
28 listopada 2019 wszystkie dane urzędu zostały zaszyfrowane - razem z serwerem backupu, który był podpięty do tej samej sieci (klasyczny błąd). Hakerzy żądali okupu. Wójt zgłosił sprawę na policję i do CSIRT GOV/CSIRT NASK. Dane udało się odzyskać tylko dzięki temu, że zespół Kaspersky GReAT zanalizował malware i stworzył dekryptor - praca trwała tydzień, przez ten czas urząd nie funkcjonował. Gdyby Kaspersky nie znalazł błędu w szyfrowaniu, dane byłyby bezpowrotnie stracone lub trzeba by zapłacić okup. W 2024 CERT Polska zarejestrował 147 incydentów ransomware - gminy Obrazów, Sokołów Podlaski, Sędziszów Małopolski, Powiatowy Urząd Pracy Police to kolejne ofiary.
Źródła: Sekurak — analiza ataku Kościerzyna · Antyweb — Kościerzyna · CyberDefence24 — gminy 2024.
68% naruszeń cyber angażuje element ludzki.
Nie chodzi o exploit zero-day ani supergeniusza z kapturem. Chodzi o kliknięcie w link przez urzędnika, wpisanie hasła na fałszywej stronie "ministerstwa", otwarcie załącznika "pilne - do podpisu wójta". Szkolenie pracowników to nie "miękki dodatek" - to obrona, która adresuje 2/3 realnego ryzyka.
Źródło: Verizon Data Breach Investigations Report 2024 — "the human element was a component of 68% of breaches".
Dyrektywa 2022/2555 (NIS-2) została transponowana do polskiego porządku prawnego (nowelizacja UKSC) i obowiązuje w pełni od 2026. Poniżej cztery konkretne artykuły, które dotyczą Twojej jednostki bezpośrednio.
Dyrektywa obejmuje podmioty administracji publicznej rządu centralnego oraz na poziomie regionalnym. W polskiej transpozycji objęte są również jednostki samorządu terytorialnego. Wyłączone są wyłącznie jednostki prowadzące działalność w zakresie bezpieczeństwa narodowego, obronności i egzekwowania prawa.
"Podstawowe praktyki w zakresie higieny cyberbezpieczeństwa i szkolenia w zakresie cyberbezpieczeństwa" - cytat wprost z dyrektywy. Nie "zalecane". Wymagane. Dla wszystkich urzędników i pracowników mających dostęp do systemów informatycznych - od recepcji po wydział informatyki.
Organy zarządzające (w urzędzie: wójt, burmistrz, prezydent miasta, starosta, dyrektor generalny) zatwierdzają środki cyberbezpieczeństwa, nadzorują ich wdrożenie i ponoszą osobistą odpowiedzialność za naruszenia. Kierownictwo ma obowiązek odbyć szkolenie, a pracowników "regularnie" do analogicznych.
Dla podmiotów kluczowych: minimum 10 000 000 EUR lub 2% całkowitego rocznego obrotu - w zależności od tego, która kwota jest wyższa. Dla jednostek publicznych UKSC przewiduje dodatkowo sankcje osobiste wobec kierowników i możliwość zawieszenia funkcji.
Dokumentacja ≠ papierek. Audytor (NIK, KPRM, CSIRT NASK, wojewoda) sprawdza: listę obecności, program szkolenia, test końcowy, certyfikaty, cykliczność (raz na rok lub po zmianie stanowiska). Brak któregokolwiek = niewypełnienie art. 21. Brak art. 21 = kara z art. 34. I - w przypadku samorządu - publiczne pytanie do radnych "gdzie poszły nasze pieniądze, skoro nie na bezpieczeństwo danych mieszkańców".
Szkolenie dopasowane do realiów urzędu - ePUAP, EZD, SIDAS, geoportal, BESTiA, ewidencja gruntów, USC, wydziały komunikacji, obywatelska poczta z fakturami. Konkretne przykłady ataków na administrację publiczną, nie generyczne slajdy.
Stacjonarnie w urzędzie (sala narad, biblioteka, dom kultury) lub online przez Zoom. 6-8 modułów zależnie od pakietu. Urzędnicy dostają realne przykłady: fałszywy mail od "Ministerstwa Cyfryzacji", phishing pod fakturę dla skarbnika, podejrzany pendrive na biurku, dziwny "serwisant" w okienku.
Lista obecności z podpisami, program szkolenia, test końcowy z wynikami, imienne certyfikaty. Wszystko w PDF, podpisane elektronicznie. Dokładnie to, czego audytor NIK, CSIRT NASK lub wojewoda potrzebuje do zamknięcia wymogu z art. 21 UKSC.
Realne scenariusze z polskich urzędów: mail od "Pełnomocnika Rządu ds. Cyberbezpieczeństwa" z malware, faktura za serwis ePUAP ze zmienionym kontem, "wójt prosi o pilny przelew" do skarbnika, podszywanie się pod mieszkańca żądającego dostępu do dokumentów. Nie abstrakcja - ataki które już się zdarzyły w Jędrzejowie, Kościerzynie, Obrazowie.
12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu: nie wystarczy obecność - trzeba pokazać że wiedza została sprawdzona. Wyniki w raporcie zbiorczym + imiennie. Kierownik jednostki widzi, który dział jest najsłabszy i gdzie dowalić powtórkę.
Dla: mała gmina 5-15 osób, pierwsze szkolenie NIS-2.
Dla: urząd gminy/starostwo 10-30 osób, pokrycie art. 21.
Dla: duży urząd miasta/starostwo 20+ osób, jednostka z działem IT.
Dokumentacja gotowa dla audytora NIK, CSIRT NASK, wojewody, RODO. Jeden komplet PDF-ów zamyka wymóg art. 21 ust. 2 lit. g dla wszystkich uczestników. Możesz pokazać w kontroli, na sesji rady, w raporcie do organu nadzorującego.
Nie klikną w mail "od Ministerstwa Cyfryzacji" z dziwnym załącznikiem. Zauważą, że numer konta w fakturze za serwis ePUAP jest inny niż zwykle. Zgłoszą "pilny przelew od wójta" zanim wykonają. Rozpoznają podejrzanego "serwisanta" w okienku. To kompetencja, która zostaje w urzędzie na lata.
Skoro 68% ataków zaczyna się od człowieka, szkolenie jest najtańszym sposobem na zamknięcie największej furtki. Cena szkolenia < koszt jednego dnia paraliżu urzędu. A dla mieszkańców: ich PESEL, adres i historia życia nie trafia na dark web.
Bez pakietów z ukrytymi kosztami. Bez minimum zamówienia poza 5 osobami. Dojazd i nocleg w cenie (do 300 km). Poza tym zasięgiem - ustalamy indywidualnie. Faktura VAT, zgodna z zamówieniem publicznym do 30 000 EUR.
Dojazd i nocleg w cenie · minimum 5 osób
Nagranie dostępne przez 30 dni · minimum 5 osób
Szybki rachunek. Gmina 25 urzędników, pakiet Standard online: 25 × 600 PLN = 15 000 PLN netto. Koszt odzyskania po udanym ransomware to wg doświadczeń Atlanty i Baltimore 17-18 mln USD. Dla polskich gmin: realnie tygodnie paraliżu, skargi mieszkańców, kontrola RODO, pytanie radnych "jak to się stało". Szkolenie kosztuje ułamek tego ryzyka.
Porównaj skalę: JBS - 11 mln USD okupu, Change Healthcare - 2,4 mld USD strat, Dole - 10,5 mln USD. Szkolenie dla 15 osób to mniej niż 0,1% tych strat.
Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) zaplanowana na Q4 2026. Po rejestracji instytucje publiczne (urzędy, placówki ochrony zdrowia, przedsiębiorstwa wodno-kanalizacyjne) mogą otrzymać zwrot nawet 80% kosztów szkolenia z Krajowego Funduszu Szkoleniowego (KFS).
Jeśli chcą Państwo zrealizować szkolenie po rejestracji BUR - powiedzmy o tym na 30-minutowej rozmowie, zarezerwujemy termin w IV kwartale.
Sześć obiekcji, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.
Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.
Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.
Bez znajomości oferty konkurencji trudno odpowiedzieć. Najczęściej różnica jest w: zakresie materiału (ile artykułów NIS-2 omówionych praktycznie), doświadczeniu prowadzącego (pentester korporacyjny vs trener bez projektów), dokumentacji audytowej (zwykłe slajdy vs dedykowana pod NIS-2), dostępie po szkoleniu (brak kontaktu vs AI-asystent + konsultacje 1:1), gwarancji (brak vs 25% miejsc powtórki). 30-minutowa rozmowa rozwiewa wątpliwości w kilku pytaniach - bez zobowiązań.
Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.
NIS-2 dotyczy "essential entities" (Załącznik I) oraz "important entities" (Załącznik II) od progu SME - 50 pracowników lub 10 mln EUR obrotu. W praktyce: jeśli firma działa w jednym z 18 wymienionych sektorów i przekracza próg - NIS-2 was dotyczy. Jeśli firma jest poniżej progu, ale jest dostawcą dla podmiotu NIS-2 - dostaje wymogi przez zapisy kontraktowe. Atakujący też nie rozróżnia rozmiaru firmy, tylko skuteczność zabezpieczeń.
Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.
9 lat w IT: testowanie oprogramowania, automatyzacja, konsulting dla firm sektora finansowego i przemysłowego. Nie jestem pentesterem - jestem inżynierem, który przez dekadę widział z bliska jak pękają procesy i systemy w organizacjach.
Szkolenia z Cyber Awareness prowadziłem m.in. dla: EY (2019), Santander Consumer Bank (2021), Nordea Bank (2018), DNV. Klienci - korporacje, które nie mogą sobie pozwolić na błąd w security.
Certyfikaty: ISTQB (testowanie), OTWA (Offensive Tooling & Web Application), CompTIA Security+ (w toku). Podejście: pokazuję zespołom jak nie dać się okraść - bo przez 9 lat widziałem z bliska jak tego nie robić.
30 minut rozmowy. Ty opowiadasz o urzędzie - ilu pracowników, jakie systemy (ePUAP, EZD, geoportal, cokolwiek), co już macie z cyber (albo że nic). Ja mówię, jaki pakiet pasuje, kiedy możemy to zrobić i jak wygląda dokumentacja pod audyt NIS-2. Jeśli Ci to pasuje - ustalamy termin. Jeśli nie - dostajesz bezpłatnie checklistę "co musi być w dokumentacji audytowej NIS-2 art. 21 dla urzędu".
Zero spamu, zero zobowiązań, zero "niezobowiązujących ofert handlowych".