Od 3 kwietnia 2026 sektor energetyczny — produkcja i przesył energii elektrycznej, ciepłownictwo, ropa, gaz, wodór — jest "kluczowym podmiotem" zgodnie z Dyrektywą NIS-2 (Załącznik I, pkt 1). To oznacza konkretny obowiązek: regularne szkolenia pracowników z higieny cyberbezpieczeństwa — zapisane wprost w art. 21 ust. 2 lit. g.
Jeśli Twoja spółka tego nie udokumentuje, odpowiedzialność spada osobiście na członków zarządu (art. 20), a kara może sięgnąć 10 mln EUR lub 2% rocznego obrotu — wybiera się kwotę wyższą (art. 34 ust. 4).
Rozmawiamy o Twoim obiekcie — rodzaj (OSD, CHP, farma OZE, gazownia), liczba pracowników, co już macie w IT i OT.
To nie hipotetyczne scenariusze. Konkretne incydenty, konkretne straty, konkretne raporty CERT — w tym jeden polski z grudnia 2025.
Skoordynowany, destrukcyjny atak na co najmniej 30 farm wiatrowych i fotowoltaicznych, spółkę produkcyjną oraz dużą elektrociepłownię dostarczającą ciepło dla prawie pół miliona odbiorców w Polsce. Wektor: publicznie dostępne interfejsy VPN na urządzeniach Fortigate bez MFA, te same konta i hasła używane w wielu lokalizacjach. Napastnik wgrał malware typu "wiper" (niszczący dane). Atak zatrzymało EDR w elektrociepłowni. Atrybucja: klaster Static Tundra / Berserk Bear / Dragonfly, powiązany przez FBI z FSB (Centrum 16).
Źródła: CERT Polska — raport 29.12.2025 · Ministerstwo Energii — komunikat · Zaufana Trzecia Strona.
Ransomware grupy DarkSide zatrzymał Colonial Pipeline (8 850 km rurociągu, ok. 45% paliwa Wschodniego Wybrzeża USA). Wektor początkowy: skompromitowane hasło do nieaktywnego konta VPN bez MFA. 6 dni przestoju, panika stacji paliw w 5 stanach, zapłacono okup 4,4 mln USD (75 bitcoinów) — FBI później odzyskało 63,7 BTC. Do dziś flagowy przykład jak jedno hasło + brak szkolenia podstaw cyberhigieny = tydzień paraliżu infrastruktury krytycznej.
Źródła: Wikipedia (z cytatami FBI i CISA) · Cybereason — analiza techniczna · U.S. EIA — wpływ na rynek paliw.
Grupa Sandworm (GRU) skompromitowała trzy ukraińskie OSD. Wektor początkowy: spear-phishing z załącznikiem Excel, otwarty przez pracownika Prykarpattyaoblenergo. Przygotowanie trwało 8 miesięcy. Efekt: 30 stacji wyłączonych, ~230 000 ludzi bez prądu przez 1-6 godzin, zablokowana infolinia (TDoS), złośliwe KillDisk wyczyściło stacje robocze dyspozytorów.
Źródła: CISA — alert oficjalny · Wikipedia (cytaty SANS/NERC) · Raport SANS + E-ISAC (PDF).
SektorCERT: trzy fale skoordynowanych ataków, 22 spółki energetyczne, w pierwszej fali 16 firm jednocześnie, u 11 z nich atakujący przejął kontrolę nad firewallami Zyxel (podatność CVE-2023-28771). Napastnicy wiedzieli dokładnie kogo atakować — informacja o podatnych urządzeniach nie była dostępna w Shodan. Jeden z adresów IP w ataku był wcześniej używany przez Sandworm. Dotkliwość: niemal żadnego efektu na sieć, ale pokazano że w jeden dzień można zainfekować kilkadziesiąt podmiotów sektora, jeśli nie pilnują łat i konfiguracji.
Źródła: SecurityWeek · Help Net Security · The Record (Recorded Future).
Industroyer (grudnia 2016, Kijów, Ukrenergo) — pierwszy na świecie malware zbudowany wyłącznie po to, aby wydawać polecenia protokołem IEC-101/104 i IEC-61850, czyli językami stacji elektroenergetycznych. Odciął od prądu ok. 1/5 Kijowa na godzinę. W kwietniu 2022 Sandworm próbował użyć wariantu Industroyer2 przeciwko ukraińskiemu dystrybutorowi (na dziś dzień w celowniku stały m.in. substacje wysokiego napięcia) — atak udaremniono 8 kwietnia 2022. Morał: w energetyce istnieje klasa malware pisana specjalnie pod Wasze urządzenia — a wektor startowy zawsze jest ten sam (phishing, skradzione hasło, niezaktualizowane urządzenie sieciowe).
Źródła: ESET WeLiveSecurity (odkrywcy) · Google Cloud / Mandiant · Wikipedia (z cytatami ESET i Dragos).
68% naruszeń cyber angażuje element ludzki.
Kliknięty załącznik Excel w Prykarpattyaoblenergo. Hasło VPN w Colonial Pipeline. Hasło Fortigate bez MFA w polskiej elektrociepłowni. Zawsze ten sam wzorzec: początek ataku to człowiek — nie zero-day. Szkolenie pracowników adresuje 2/3 realnego ryzyka tam, gdzie najtaniej.
Źródło: Verizon Data Breach Investigations Report 2024 — "the human element was a component of 68% of breaches".
Dyrektywa 2022/2555 (NIS-2) została transponowana do polskiego porządku prawnego nowelizacją ustawy o KSC i obowiązuje w pełni od 3 kwietnia 2026. Poniżej cztery artykuły, które dotyczą Twojej firmy bezpośrednio.
Energia (electricity, district heating and cooling, oil, gas, hydrogen) to sektor zdefiniowany jako "kluczowy" (essential entity) w Załączniku I NIS-2. Dotyczy wytwórców, OSD/OSP, elektrociepłowni, farm OZE, operatorów gazu, rafinerii, stacji paliw. Wyższa stawka kar, surowsza egzekucja, obowiązek zgłaszania incydentów w ciągu 24h do CSIRT NASK, CSIRT GOV lub CSIRT MON.
"Podstawowe praktyki w zakresie higieny cyberbezpieczeństwa i szkolenia w zakresie cyberbezpieczeństwa" — cytat wprost z dyrektywy. Nie "zalecane". Wymagane. Dla wszystkich pracowników mających dostęp do systemów informatycznych — biura, dyspozytorni, stacji przesyłowych, ruchu OT.
Organy zarządzające zatwierdzają środki cyberbezpieczeństwa, nadzorują ich wdrożenie i ponoszą osobistą odpowiedzialność za naruszenia. Członkowie zarządu mają obowiązek odbyć szkolenie — a pracowników zachęca się "regularnie" do analogicznych. W ciężkich przypadkach nadzór może zawiesić funkcję CEO lub dyrektora.
Dla kluczowych podmiotów: minimum 10 000 000 EUR lub 2% całkowitego rocznego obrotu na poziomie światowym — w zależności od tego, która kwota jest wyższa. W polskiej ustawie o KSC taką stawkę potwierdza Biznes.gov.pl.
Dokumentacja ≠ papierek. Audytor sprawdza: listę obecności, program szkolenia, test końcowy, certyfikaty, cykliczność (raz na rok lub po zmianie stanowiska). Brak któregokolwiek = niewypełnienie art. 21. Brak art. 21 = kara z art. 34. Dla operatorów OT ruchu energetycznego audyt będzie wnikliwszy niż w innych sektorach.
Szkolenie dopasowane do realiów energetyki — dyspozytornia, serwisanci stacji, biuro, księgowość, zarząd. Realne przykłady ataków na operatorów OSD, CHP, farm OZE i gazownictwo, a nie generyczne slajdy o "phishingu w bankowości".
Stacjonarnie u Ciebie w biurze lub online przez Zoom. 6-8 modułów zależnie od pakietu. Pracownicy dostają realne przykłady: phishing pod fakturę od dostawcy paliwa, BEC w dziale zakupów, socjotechnika pod "serwisanta turbiny/transformatora", próba przejęcia konta VPN.
Lista obecności z podpisami, program szkolenia, test końcowy z wynikami, imienne certyfikaty. Wszystko w PDF, podpisane elektronicznie. Dokładnie to, czego potrzebuje audytor (wewnętrzny, URE, CSIRT) do zamknięcia wymogu z art. 21.
Scenariusze z energetyki — przejęcie VPN bez MFA (jak w CERT Polska 29.12.2025), phishing "zmiana taryfy" podszywający się pod OSD, mail "aktualizacja oprogramowania SCADA" z malware, BEC pod fakturę od stałego dostawcy paliwa. Nie abstrakcja — rzeczy, które już wydarzyły się w Polsce.
12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu: nie wystarczy obecność — trzeba pokazać, że wiedza została sprawdzona. Wyniki w raporcie zbiorczym + imiennie per pracownik.
Dla: zespoły 5-15 osób, pierwsze szkolenie w firmie.
Dla: zespoły 10-30 osób, kompleksowe pokrycie art. 21.
Dla: zespoły 20+ osób, obiekt z dyspozytornią i działem IT/OT.
Dokumentacja gotowa dla audytora wewnętrznego, zewnętrznego i organu nadzoru (MC, URE). Jeden komplet PDF-ów zamyka wymóg art. 21 ust. 2 lit. g dla wszystkich uczestników. Możesz pokazać ubezpieczycielowi cyber, partnerowi handlowemu, CSIRT-owi sektorowemu.
Nie klikną w "aktualizację oprogramowania SCADA" w mailu. Zauważą, że link do "portalu OSD" prowadzi pod fałszywą domenę. Zadzwonią do dyrektora zamiast wykonać "pilny przelew". Zgłoszą dziwnego serwisanta na bramie stacji. To kapitał, który zostaje na lata.
Wszystkie wielkie ataki na sektor (Colonial Pipeline, BlackEnergy, CERT Polska 29.12.2025) zaczęły się od czynnika ludzkiego — hasło, klik, brak MFA. Szkolenie to najtańszy sposób na zamknięcie największej furtki. Koszt < koszt jednego dnia przestoju sieci. Matematyka prosta.
Bez pakietów ukrytych kosztów. Bez minimum zamówienia. Dojazd i nocleg w cenie (do 300 km od Kwidzyna). Poza tym zasięgiem - ustalamy indywidualnie.
Dojazd i nocleg w cenie · minimum 5 osób
Nagranie dostępne przez 30 dni · minimum 5 osób
Szybki rachunek. Elektrociepłownia 25 osób, pakiet Standard online: 25 × 600 PLN = 15 000 PLN netto. Kara z art. 34 NIS-2 za nieudokumentowanie szkoleń z art. 21 zaczyna się od 10 mln EUR lub 2% rocznego obrotu.
Porównaj skalę: JBS - 11 mln USD okupu, Change Healthcare - 2,4 mld USD strat, Dole - 10,5 mln USD. Szkolenie dla 15 osób to mniej niż 0,1% tych strat.
Sześć obiekcji, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.
Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.
Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.
Bez znajomości oferty konkurencji trudno odpowiedzieć. Najczęściej różnica jest w: zakresie materiału (ile artykułów NIS-2 omówionych praktycznie), doświadczeniu prowadzącego (pentester korporacyjny vs trener bez projektów), dokumentacji audytowej (zwykłe slajdy vs dedykowana pod NIS-2), dostępie po szkoleniu (brak kontaktu vs AI-asystent + konsultacje 1:1), gwarancji (brak vs 25% miejsc powtórki). 30-minutowa rozmowa rozwiewa wątpliwości w kilku pytaniach - bez zobowiązań.
Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.
NIS-2 dotyczy "essential entities" (Załącznik I) oraz "important entities" (Załącznik II) od progu SME - 50 pracowników lub 10 mln EUR obrotu. W praktyce: jeśli firma działa w jednym z 18 wymienionych sektorów i przekracza próg - NIS-2 was dotyczy. Jeśli firma jest poniżej progu, ale jest dostawcą dla podmiotu NIS-2 - dostaje wymogi przez zapisy kontraktowe. Atakujący też nie rozróżnia rozmiaru firmy, tylko skuteczność zabezpieczeń.
Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.
9 lat w IT: testowanie oprogramowania, automatyzacja, konsulting dla firm sektora finansowego i przemysłowego. Nie jestem pentesterem - jestem inżynierem, który przez dekadę widział z bliska jak pękają procesy i systemy w organizacjach.
Szkolenia z Cyber Awareness prowadziłem m.in. dla: EY (2019), Santander Consumer Bank (2021), Nordea Bank (2018), DNV. Klienci - korporacje, które nie mogą sobie pozwolić na błąd w security.
Certyfikaty: ISTQB (testowanie), OTWA (Offensive Tooling & Web Application), CompTIA Security+ (w toku). Podejście: pokazuję zespołom jak nie dać się okraść - bo przez 9 lat widziałem z bliska jak tego nie robić.
30 minut rozmowy. Ty opowiadasz o obiekcie — ilu pracowników, jakie stanowiska (dyspozytorzy, serwisanci OT, biuro), co już macie z cyber (albo że nic). Ja mówię, jaki pakiet pasuje, kiedy możemy to zrobić i jak wygląda dokumentacja. Jeśli Ci to pasuje — ustalamy termin. Jeśli nie — dostajesz bezpłatnie checklistę "co musi być w dokumentacji audytowej NIS-2 art. 21".
Zero spamu, zero zobowiązań, zero "niezobowiązujących ofert handlowych".