Od 17 stycznia 2025 banki komercyjne, spółdzielcze i SKOK-i są w pełni objęte rozporządzeniem DORA (Digital Operational Resilience Act). Art. 13 wymaga wprost: obowiązkowe programy świadomości ICT i szkolenia z cyberodporności dla wszystkich pracowników oraz kadry zarządzającej - i dla dostawców ICT, gdzie to zasadne.
Dyrektywa NIS-2 dokłada drugą warstwę: w Załączniku I pkt 3 "credit institutions" są zdefiniowane jako podmioty kluczowe. Dla instytucji finansowych DORA jest lex specialis, ale obowiązek regularnych szkoleń pracowników pojawia się w obu aktach - i w obu sankcje są realne. KNF i UKNF egzekwują; niedotrzymanie zamyka drogę do outsourcingu, hostingu w chmurze i certyfikatów audytu.
Rozmawiamy o Twojej instytucji - liczba oddziałów, wielkość back-office, co już macie zamknięte po wdrożeniu DORA.
To nie są hipotetyczne scenariusze. To konkretne banki, konkretne straty, konkretne tytuły w prasie branżowej - plus polski kontekst z raportów CERT Polska, KNF i ZBP.
Atakujący (przypisywani do grupy Lazarus) wysłali 35 fałszywych zleceń przez SWIFT z konta Bangladesh Bank w Federal Reserve Bank of New York. Pięć poleceń na łącznie 101 mln USD przeszło - z czego 81 mln USD trafiło do banków na Filipinach. Pozostałe 30 poleceń na 850 mln USD zablokowano tylko dzięki literówce w jednym ze zleceń ("fandation" zamiast "foundation"). Wektor wejścia: malware-keylogger na stacjach roboczych. Do dziś odzyskano około 15 mln USD.
Źródła: Wikipedia (z cytatami FBI i Reuters) · ISACA Journal 2023 · BankInfoSecurity.
Największy bank świata pod względem aktywów. Ransomware LockBit 3.0 sparaliżował 8 listopada 2023 amerykański oddział ICBC. Skutek: ponad 62 mld USD niezrealizowanych rozliczeń na rynku US Treasuries w jeden dzień, konieczność przekazywania danych transakcyjnych na pendrive'ach między biurami. SEC w 2025 nie nałożyło kary finansowej tylko z uwagi na "meaningful cooperation" - ale stwierdziło, że ICBC "inadequate preparations for a potential cybersecurity incident". Wektor: podatność CVE-2023-4966 ("Citrix Bleed").
Źródła: CNBC, 10.11.2023 · SEC Administrative Proceeding nr 34-101794.
Od października 2016 do lutego 2017 strona KNF zawierała zainfekowany JavaScript, który wybiórczo atakował komputery w kilkunastu polskich bankach (filtracja po zakresach IP). Wektor: dziura w nieaktualnym serwerze JBoss. Analitycy Symantec i BAE Systems wskazali na powiązania z grupą Lazarus - tą samą, która dokonała heistu w Bangladeshu. Jeden z największych ataków APT w historii polskiego sektora finansowego. Pieniądze klientów nie ucierpiały tylko dlatego, że bankowi analitycy zareagowali szybko.
Źródła: Niebezpiecznik - pełna analiza · Rządowe Centrum Bezpieczeństwa · Money.pl.
CERT Polska w 2024 odnotował ponad 600 tys. zgłoszeń incydentów (wzrost o 62% r/r) i blisko 355 tys. zgłoszeń podejrzanych SMS-ów. Tylko w lipcu 2024 przestępcy masowo podszywali się pod BNP Paribas i ING Bank Śląski - SMS o "blokadzie dostępu do bankowości elektronicznej" + link do strony phishingowej. Dla banku oznacza to: dziesiątki tysięcy klientów klikających miesięcznie + ryzyko reputacyjne + chargebacki. Dla pracownika banku w call-center: każda zgłoszona próba oszustwa to zdarzenie do obsłużenia w ciągu minut.
Źródła: CERT Polska - Raport roczny 2024 (PDF) · KNF - oszustwa internetowe lipiec 2024.
Business Email Compromise: atakujący podszywa się pod prezesa klienta korporacyjnego, pisze do księgowej z prośbą o pilny przelew "omijający procedurę". FBI IC3 raportuje 2,9 mld USD zgłoszonych strat w 2023 (21 489 spraw) i 55,5 mld USD skumulowanych strat w latach 2013-2023. Dla banku ryzyko jest podwójne: (a) roszczenia klientów korporacyjnych, jeśli procedura KYC/AML nie zatrzymała przelewu; (b) obowiązek dokumentacji działań przeciwdziałających - art. 13 DORA. Obrona: wyszkolony pracownik front-line i back-office, który rozpoznaje wzorzec i uruchamia procedurę dwuosobowego potwierdzenia.
Źródła: FBI IC3 Annual Report 2023 (PDF) · FBI IC3 PSA - "BEC: 55 Billion Scam", 11.09.2024.
68% naruszeń cyber angażuje element ludzki.
Atak nie zaczyna się od exploitu zero-day. Zaczyna się od kliknięcia w link, wpisania hasła na fałszywej stronie, otwarcia załącznika, ulegania socjotechnice. W raporcie antyfraudowym BIK 2024 manipulacja i socjotechnika zostały wskazane jako najskuteczniejsza metoda wyłudzeń. W banku, gdzie każdy pracownik ma dostęp do danych klienta lub systemu transakcyjnego, szkolenie nie jest "miękkim dodatkiem" - to obrona, która adresuje 2/3 realnego ryzyka.
Źródła: Verizon DBIR 2024 (PDF) · Raport Antyfraudowy BIK 2024.
DORA (Rozporządzenie 2022/2554) obowiązuje w pełni od 17 stycznia 2025 we wszystkich państwach UE bez transpozycji. NIS-2 definiuje banki jako podmioty kluczowe. Poniżej cztery artykuły, które dotyczą Twojej instytucji bezpośrednio.
"Financial entities shall develop ICT security awareness programmes and digital operational resilience training as compulsory modules in their staff training schemes. These programmes and training shall be applicable to all employees and to senior management staff." Dosłowny cytat z rozporządzenia - nie "zalecane". Obowiązkowe.
"Credit institutions" w rozumieniu art. 4 ust. 1 Rozporządzenia (UE) nr 575/2013 są w Załączniku I NIS-2 zdefiniowane jako podmioty kluczowe. Dla instytucji finansowych DORA jest lex specialis wobec NIS-2, ale zakresy się uzupełniają - a polska ustawa KSC 2.0 (projekt do Sejmu 7 listopada 2025) dokłada lokalną warstwę nadzoru.
"The management body shall bear the ultimate responsibility for managing the financial entity's ICT risk." Zarząd ma też obowiązek odbyć szkolenie: "shall actively keep up to date with sufficient knowledge and skills to understand and assess ICT risk." To nie formalność - to podstawa egzekwowania odpowiedzialności przy incydencie.
Dla podmiotów kluczowych: minimum 10 000 000 EUR lub 2% całkowitego rocznego obrotu - w zależności od tego, która kwota jest wyższa. DORA dodaje własny reżim sankcji i nadzoru - w tym możliwość wstrzymania działalności i odpowiedzialność osobistą członków organów.
Dokumentacja ≠ slajdy w intranecie. Audytor (wewnętrzny, KNF, biegły rewident) sprawdza: listę obecności, program szkolenia dopasowany do roli, test końcowy, certyfikaty, cykliczność (co najmniej raz w roku, art. 13 DORA), włączenie kadry zarządzającej, włączenie dostawców ICT gdzie zasadne. Brak któregokolwiek = niewypełnienie art. 13. W audycie DORA to jest pierwsza rzecz, którą się sprawdza.
Źródła: DORA art. 13 - tekst oficjalny · DORA vs NIS-2 - financial entities · SANS Institute — DORA/NIS-2 dla sektora finansowego.
Szkolenie dopasowane do realiów banku - oddziały, call-center, back-office, ryzyko, compliance, IT. Konkretne przykłady ataków na sektor bankowy, nie generyczne slajdy.
Stacjonarnie w centrali, oddziale lub online przez Zoom. 6-8 modułów zależnie od pakietu. Pracownicy dostają realne przykłady: phishing pod klienta banku, BEC na korporacie, ataki na SWIFT, socjotechnika na recepcji i w call-center.
Lista obecności z podpisami, program szkolenia dopasowany do roli, test końcowy z wynikami, imienne certyfikaty. Wszystko w PDF, podpisane elektronicznie. Dokładnie to, czego audytor wewnętrzny i zewnętrzny (KNF, biegły rewident) potrzebuje do zamknięcia wymogu z art. 13 DORA.
Realne scenariusze z sektora bankowego - phishing pod "BNP Paribas SMS" do klienta, BEC od "prezesa klienta korporacyjnego" do analityka w back-office, socjotechnika w oddziale ("jestem z centrali IT, daj login"), podejrzany email od "Krajowej Izby Rozliczeniowej". Nie abstrakcja - rzeczy, które już się zdarzyły.
12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu DORA: "training shall be applicable to all employees" - nie wystarczy obecność, trzeba pokazać, że wiedza została sprawdzona. Wyniki w raporcie zbiorczym + imiennie, gotowe do wpięcia w dokumentację ICT risk management.
Dla: zespoły 5-15 osób, mały bank spółdzielczy lub SKOK, pierwsze szkolenie.
Dla: zespoły 10-30 osób, oddział lub department, pełne pokrycie art. 13 DORA.
Dla: zespoły 20+ osób, bank z oddziałami, IT-security, compliance.
Dokumentacja gotowa dla audytora wewnętrznego, KNF, biegłego rewidenta i partnerów ICT. Jeden komplet PDF-ów zamyka wymóg art. 13 DORA dla wszystkich uczestników. Możesz pokazać korespondentowi zagranicznemu, ubezpieczycielowi cyber, dostawcy chmury przy aneksie outsourcingowym.
Nie klikną w link z "SMS-em o blokadzie". Zauważą, że prośba "prezesa klienta" o pilny przelew łamie procedurę. Zadzwonią przez drugi kanał zamiast wykonać "pilny transfer". Zgłoszą dziwnego "serwisanta centrali IT" w oddziale. To kapitał, który zostaje w banku na lata - i który KNF liczy jako część dojrzałości kontroli wewnętrznej.
Skoro 68% ataków zaczyna się od człowieka, a BIK 2024 wskazuje socjotechnikę jako najskuteczniejszą metodę - szkolenie jest najtańszym sposobem na zamknięcie największej furtki. Cena szkolenia < koszt jednego dnia przestoju systemu bankowości elektronicznej. Matematyka prosta.
Bez pakietów ukrytych kosztów. Bez minimum zamówienia. Dojazd i nocleg w cenie (do 300 km od Kwidzyna). Poza tym zasięgiem - ustalamy indywidualnie.
Dojazd i nocleg w cenie · minimum 5 osób
Nagranie dostępne przez 30 dni · minimum 5 osób
Szybki rachunek. Oddział 25 osób, pakiet Standard online: 25 × 600 PLN = 15 000 PLN netto. Sankcje DORA i NIS-2 liczone są od obrotu grupy - dla podmiotu kluczowego minimum to 10 mln EUR lub 2% rocznego obrotu. Do tego odpowiedzialność osobista członków zarządu.
Porównaj skalę: Bangladesh Bank - 101 mln USD skradzione, ICBC - 62 mld USD niezrealizowanych rozliczeń, BEC w sektorze - 55,5 mld USD strat 2013-2023. Szkolenie dla 25 osób to mniej niż 0,01% tych strat.
Sześć obiekcji, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.
Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.
Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.
Bez znajomości oferty konkurencji trudno odpowiedzieć. Najczęściej różnica jest w: zakresie materiału (ile artykułów NIS-2 omówionych praktycznie), doświadczeniu prowadzącego (pentester korporacyjny vs trener bez projektów), dokumentacji audytowej (zwykłe slajdy vs dedykowana pod NIS-2), dostępie po szkoleniu (brak kontaktu vs AI-asystent + konsultacje 1:1), gwarancji (brak vs 25% miejsc powtórki). 30-minutowa rozmowa rozwiewa wątpliwości w kilku pytaniach - bez zobowiązań.
Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.
NIS-2 dotyczy "essential entities" (Załącznik I) oraz "important entities" (Załącznik II) od progu SME - 50 pracowników lub 10 mln EUR obrotu. W praktyce: jeśli firma działa w jednym z 18 wymienionych sektorów i przekracza próg - NIS-2 was dotyczy. Jeśli firma jest poniżej progu, ale jest dostawcą dla podmiotu NIS-2 - dostaje wymogi przez zapisy kontraktowe. Atakujący też nie rozróżnia rozmiaru firmy, tylko skuteczność zabezpieczeń.
Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.
9 lat w IT: testowanie oprogramowania, automatyzacja, konsulting dla firm sektora finansowego i przemysłowego. Nie jestem pentesterem - jestem inżynierem, który przez dekadę widział z bliska jak pękają procesy i systemy w organizacjach.
Szkolenia z Cyber Awareness prowadziłem m.in. dla: EY (2019), Santander Consumer Bank (2021), Nordea Bank (2018), DNV. Klienci - korporacje, które nie mogą sobie pozwolić na błąd w security.
Certyfikaty: ISTQB (testowanie), OTWA (Offensive Tooling & Web Application), CompTIA Security+ (w toku). Podejście: pokazuję zespołom jak nie dać się okraść - bo przez 9 lat widziałem z bliska jak tego nie robić.
30 minut rozmowy. Ty opowiadasz o instytucji - ilu pracowników, jakie role (oddział / call-center / back-office / IT / compliance), co już macie z cyber po wdrożeniu DORA. Ja mówię, jaki pakiet pasuje, kiedy możemy to zrobić i jak wygląda dokumentacja audytowa. Jeśli Ci to pasuje - ustalamy termin. Jeśli nie - dostajesz bezpłatnie checklistę "co musi być w dokumentacji DORA art. 13 i NIS-2 art. 21".
Zero spamu, zero zobowiązań, zero "niezobowiązujących ofert handlowych".