BRANŻA: BANKOWOŚĆ · DORA ART. 13 + NIS-2 ART. 21

Equifax - dane 147 mln osób wyciekły, kara 700 mln USD.
Banki w UE pod NIS-2 i DORA równolegle.

Szkolenie dla banku - zgodne z NIS-2 i DORA, pełna dokumentacja audytowa w cenie.

Grupy 5-30 osób, stacjonarnie lub online (Zoom) Dla zarządu, HR i IT Security - materiały dopasowane do roli
Zamów 30-min rozmowę Zobacz co dostajesz
Dlaczego to nie teoria

Trzy ataki, które w ostatnich latach uderzyły w banki i ich klientów

To nie są hipotetyczne scenariusze. To konkretne banki, konkretne straty, konkretne tytuły w prasie branżowej - plus polski kontekst z raportów CERT Polska, KNF i ZBP.

1

Bangladesh Bank — heist przez SWIFT, luty 2016

Atakujący (przypisywani do grupy Lazarus) wysłali 35 fałszywych zleceń przez SWIFT z konta Bangladesh Bank w Federal Reserve Bank of New York. Pięć poleceń na łącznie 101 mln USD przeszło - z czego 81 mln USD trafiło do banków na Filipinach. Pozostałe 30 poleceń na 850 mln USD zablokowano tylko dzięki literówce w jednym ze zleceń ("fandation" zamiast "foundation"). Wektor wejścia: malware-keylogger na stacjach roboczych. Do dziś odzyskano około 15 mln USD.

Źródła: Wikipedia (z cytatami FBI i Reuters) · ISACA Journal 2023 · BankInfoSecurity.

2

ICBC Financial Services — ransomware, listopad 2023

Największy bank świata pod względem aktywów. Ransomware LockBit 3.0 sparaliżował 8 listopada 2023 amerykański oddział ICBC. Skutek: ponad 62 mld USD niezrealizowanych rozliczeń na rynku US Treasuries w jeden dzień, konieczność przekazywania danych transakcyjnych na pendrive'ach między biurami. SEC w 2025 nie nałożyło kary finansowej tylko z uwagi na "meaningful cooperation" - ale stwierdziło, że ICBC "inadequate preparations for a potential cybersecurity incident". Wektor: podatność CVE-2023-4966 ("Citrix Bleed").

Źródła: CNBC, 10.11.2023 · SEC Administrative Proceeding nr 34-101794.

3

Atak na KNF i polskie banki — "watering hole", 2016-2017

Od października 2016 do lutego 2017 strona KNF zawierała zainfekowany JavaScript, który wybiórczo atakował komputery w kilkunastu polskich bankach (filtracja po zakresach IP). Wektor: dziura w nieaktualnym serwerze JBoss. Analitycy Symantec i BAE Systems wskazali na powiązania z grupą Lazarus - tą samą, która dokonała heistu w Bangladeshu. Jeden z największych ataków APT w historii polskiego sektora finansowego. Pieniądze klientów nie ucierpiały tylko dlatego, że bankowi analitycy zareagowali szybko.

Źródła: Niebezpiecznik - pełna analiza · Rządowe Centrum Bezpieczeństwa · Money.pl.

68% naruszeń cyber angażuje element ludzki.

Atak nie zaczyna się od exploitu zero-day. Zaczyna się od kliknięcia w link, wpisania hasła na fałszywej stronie, otwarcia załącznika, ulegania socjotechnice. W raporcie antyfraudowym BIK 2024 manipulacja i socjotechnika zostały wskazane jako najskuteczniejsza metoda wyłudzeń. W banku, gdzie każdy pracownik ma dostęp do danych klienta lub systemu transakcyjnego, szkolenie nie jest "miękkim dodatkiem" - to obrona, która adresuje 2/3 realnego ryzyka.

Źródła: Verizon DBIR 2024 (PDF) · Raport Antyfraudowy BIK 2024.

Co musisz wiedzieć

NIS-2 i DORA w 4 punktach

Co musisz zrobić

Wdrożyć procedury bezpieczeństwa, regularnie szkolić zespół (kadrę zarządzającą i pracowników), prowadzić rejestr ryzyk i incydentów, wyznaczyć osobę odpowiedzialną. Termin: DORA obowiązuje od 17 stycznia 2025, dyrektywa NIS-2 weszła w życie, polska ustawa KSC w transpozycji.

Kogo dotyczy

Banki, instytucje kredytowe, SKOK-i od progu SME (50 osób lub 10 mln EUR obrotu). Dostawców objętych firm dotyczy przez zapisy kontraktowe (zarządzanie łańcuchem dostaw - art. 21).

Co grozi za brak

Kara administracyjna do 10 mln EUR lub 2% rocznego obrotu (wybiera się kwotę wyższą). Przy podmiotach kluczowych - osobista odpowiedzialność członków zarządu (art. 20). DORA dodaje własny reżim sankcji.

Co sprawdza audytor

Dokumentację procedur bezpieczeństwa, dowody przeprowadzonych szkoleń (lista obecności, program, certyfikaty), plan reagowania na incydenty, gotowość do raportowania w 24h.

Wartość

Co konkretnie dostajesz

Szkolenie dopasowane do realiów banku - oddziały, call-center, back-office, ryzyko, compliance, IT. Konkretne przykłady ataków na sektor bankowy, nie generyczne slajdy.

Szkolenie na żywo (3, 5 lub 8h)

Stacjonarnie w centrali, oddziale lub online przez Zoom. 6-8 modułów zależnie od pakietu. Pracownicy dostają realne przykłady: phishing pod klienta banku, BEC na korporacie, ataki na SWIFT, socjotechnika na recepcji i w call-center.

Dokumentacja audytowa DORA + NIS-2

Lista obecności z podpisami, program szkolenia dopasowany do roli, test końcowy z wynikami, imienne certyfikaty. Wszystko w PDF, podpisane elektronicznie. Dokładnie to, czego audytor wewnętrzny i zewnętrzny (KNF, biegły rewident) potrzebuje do zamknięcia wymogu z art. 13 DORA.

Dopasowanie do banku

Realne scenariusze z sektora bankowego - phishing pod "BNP Paribas SMS" do klienta, BEC od "prezesa klienta korporacyjnego" do analityka w back-office, socjotechnika w oddziale ("jestem z centrali IT, daj login"), podejrzany email od "Krajowej Izby Rozliczeniowej". Nie abstrakcja - rzeczy, które już się zdarzyły.

Test końcowy + wynik per osoba

12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu DORA: "training shall be applicable to all employees" - nie wystarczy obecność, trzeba pokazać, że wiedza została sprawdzona. Wyniki w raporcie zbiorczym + imiennie, gotowe do wpięcia w dokumentację ICT risk management.

W cenie, bez dopłat: certyfikat imienny PDF dla każdego uczestnika, konsultacje 1:1 (20 min przed + 20 min po szkoleniu), dojazd i nocleg w cenie (cała Polska).

Trzy pakiety - od 3 do 8 godzin, dopasowane do Was

Starter
3 godziny
4 moduły podstawowe
  • Phishing i BEC
  • Hasła i MFA
  • Bezpieczna praca z pocztą
  • Co robić w razie incydentu

Dla: zespoły 5-15 osób, mały bank spółdzielczy lub SKOK, pierwsze szkolenie.

Standard
5 godzin
6 modułów + warsztat
  • Wszystko ze Startera
  • Ataki na sektor bankowy (SWIFT, APT, ransomware)
  • Socjotechnika - oddział, call-center, back-office
  • Warsztat: rozpoznawanie phishingu pod klienta banku

Dla: zespoły 10-30 osób, oddział lub department, pełne pokrycie art. 13 DORA.

Pełny dzień
8 godzin
6 + 2 moduły + praktyka
  • Wszystko ze Standardu
  • Moduł dla zarządu (DORA art. 5, NIS-2 art. 20)
  • Dane osobowe klienta i RODO w praktyce
  • Praktyka: analiza realnej kampanii phishingowej pod bank PL

Dla: zespoły 20+ osób, bank z oddziałami, IT-security, compliance.

Po szkoleniu Twój zespół

Cena

Transparentna stawka za osobę

Bez pakietów ukrytych kosztów. Bez minimum zamówienia. Dojazd i nocleg w cenie - cała Polska. Poza tym zasięgiem - ustalamy indywidualnie.

Stacjonarnie u Ciebie
W Twojej sali, z Twoimi przykładami, dopasowane do profilu instytucji
800 PLN netto / os

Dojazd i nocleg w cenie · minimum 5 osób

Online
Przez Zoom
600 PLN netto / os

Nagranie dostępne przez 30 dni · minimum 5 osób

Szybki rachunek. Oddział 25 osób, pakiet Standard online: 25 × 600 PLN = 15 000 PLN netto. Sankcje DORA i NIS-2 liczone są od obrotu grupy - dla podmiotu kluczowego minimum to 10 mln EUR lub 2% rocznego obrotu. Do tego odpowiedzialność osobista członków zarządu.

Najczęstsze pytania

Cztery obiekcje, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.

Mamy ISO 27001. To wystarczy pod NIS-2?

Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.

Damy radę sami - YouTube, blogi, ChatGPT.

Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.

Mamy czas - NIS-2 w Polsce jeszcze nie obowiązuje.

Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.

Czy można sfinansować szkolenie z KFS/BUR?

Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.

Dlaczego mi zaufać

Adrian Maryniewski

Adrian Maryniewski

Tester oprogramowania • Trener

LinkedIn

9 lat w IT - jako tester oprogramowania widziałem z bliska, jak działają systemy firm od środka. Wiem gdzie zwykle pojawiają się luki i jak atakujący je wykorzystują. Na szkoleniu nie czytam teorii ze slajdów - pokazuję realne ataki krok po kroku, na przykładach z bankowości.

  • Certyfikaty: ISTQB (testowanie), CompTIA Security+ (w toku).
  • Doświadczenie projektowe: Nordea Bank, DNV, Logintegra, xcactus.
  • Ukończone kursy: OTWA (Ofensywne Testowanie Web Aplikacji), Zostań Pentesterem, Cyber Awareness EY, Cyber Awareness Santander Consumer Bank.
  • Specjalizacja: Testowanie aplikacji webowych, szkolenia z cyberbezpieczeństwa dla pracowników biurowych.

Zamów 30-min rozmowę

Sprawdzimy czy NIS-2 Was dotyczy. Dobierzemy moduły pod Waszą firmę. Dostaniecie wycenę. Zero spamu, zero zobowiązań - nawet jeśli nie kupujecie.

Zgłoszenie trafi bezpośrednio do mnie - odpowiadam osobiście w ciągu 24h. Dane przetwarzane zgodnie z RODO.