BRANŻA: INFRASTRUKTURA RYNKU FINANSOWEGO · NIS-2 / DORA

Infrastruktury rynku finansowego (CCP, izby rozliczeniowe) -
NIS-2 Załącznik I pkt 3 i DORA nakładają się podwójnie.

Szkolenie dla infrastruktury rynku finansowego - NIS-2 + DORA, dokumentacja audytowa w pakiecie.

Grupy 5-30 osób, stacjonarnie lub online (Zoom) Dla zarządu, HR i IT Security - materiały dopasowane do roli
Zamów 30-min rozmowę Zobacz co dostajesz
Dlaczego to nie teoria

Trzy ataki, które w ostatnich latach położyły infrastrukturę rynku finansowego

To nie są scenariusze "co by było gdyby". To konkretne instytucje, konkretne kwoty, konkretne dni kiedy rynek nie działał.

1

ICBC Financial Services — ransomware LockBit, 8 listopada 2023

Atak na amerykańską spółkę zależną największego banku świata (5,7 bln USD aktywów) zablokował rozliczenia obligacji skarbowych USA. Ransomware LockBit wykorzystał lukę CVE-2023-4966 (Citrix Bleed). ICBC musiał wysyłać dane rozliczeniowe na pendrive'ach przez kurierów na Manhattanie. Skala: dotyczyło 9 mld USD transakcji zabezpieczonych obligacjami Treasury; wskaźnik "repo fails" (niezrealizowanych dostaw) wzrósł z 25,5 mld do 62,2 mld USD dziennie - najwyższy od marca 2023.

Źródła: CNBC, 10.11.2023 · Bank Info Security · US Treasury — sankcje LockBit.

2

NZX Giełda Nowozelandzka — DDoS, 25-28 sierpnia 2020

Seria ataków DDoS typu wolumetrycznego, skierowanych przez dostawcę sieci, zatrzymała notowania przez cztery dni z rzędu. Atak wolumetryczny przekroczył przepustowość lokalnych serwerów NZX — giełda była w trakcie migracji do chmury, ale nie zdążyła. Raport nowozelandzkiego FMA (regulator rynku) skrytykował NZX za "brak gotowości przyjęcia winy" i zauważył: inne giełdy na świecie doświadczały DDoS, ale żadna nie była wyłączona tak często i tak długo.

Źródła: CNBC, 28.08.2020 · FMA — raport pokrewny · Insurance Journal, 05.02.2021.

3

Bangladesh Bank - SWIFT heist, luty 2016

Napastnicy (przypisywani później Korei Północnej) skompromitowali sieć banku centralnego Bangladeszu, obserwowali jak wykonywane są przelewy SWIFT, zdobyli poświadczenia i w weekend 4-5 lutego 2016 wysłali 35 fałszywych poleceń przelewu z rachunku Bangladesh Bank w Fed NY. Kwota żądana: prawie 1 mld USD. Pięć instrukcji przeszło - skradziono 101 mln USD, z czego 81 mln do Filipin, 20 mln na Sri Lankę. Pozostałe 850 mln Fed zatrzymał dzięki literówce w poleceniu przelewu. Do 2025 roku odzyskano tylko 15 mln USD ze skradzionych 81 mln.

Źródła: Bank Info Security — atak na SWIFT · Wikipedia (z cytatami FBI i Fed) · ISACA Journal 2023.

68% naruszeń cyber angażuje element ludzki.

Nie chodzi o exploit zero-day ani supergeniusza z kapturem. Chodzi o kliknięcie w link, wpisanie poświadczeń na podstawionej stronie administratora, otwarcie załącznika, uleganie socjotechnice. Dla infrastruktury rynku finansowego — gdzie jeden przelew SWIFT to miliony, a jedna godzina przestoju to reputacja — szkolenie pracowników to nie "miękki dodatek". To obrona, która adresuje 2/3 realnego ryzyka.

Źródło: Verizon Data Breach Investigations Report 2024 — "the human element was a component of 68% of breaches".

Co musisz wiedzieć

NIS-2 w 4 punktach

Co musisz zrobić

Wdrożyć procedury bezpieczeństwa, regularnie szkolić zespół (kadrę zarządzającą i pracowników), prowadzić rejestr ryzyk i incydentów, wyznaczyć osobę odpowiedzialną. Termin: dyrektywa już obowiązuje, polska ustawa KSC w transpozycji.

Kogo dotyczy

CCP, izby rozliczeniowe, depozyty papierów wartościowych, systemy płatności od progu SME (50 osób lub 10 mln EUR obrotu). Dostawców objętych firm dotyczy przez zapisy kontraktowe (zarządzanie łańcuchem dostaw - art. 21).

Co grozi za brak

Kara administracyjna do 10 mln EUR lub 2% rocznego obrotu (wybiera się kwotę wyższą). Przy podmiotach kluczowych - osobista odpowiedzialność członków zarządu (art. 20).

Co sprawdza audytor

Dokumentację procedur bezpieczeństwa, dowody przeprowadzonych szkoleń (lista obecności, program, certyfikaty), plan reagowania na incydenty, gotowość do raportowania w 24h.

Wartość

Co konkretnie dostajecie

Szkolenie dopasowane do realiów instytucji rynku finansowego - SWIFT, systemy rozliczeniowe, dostęp do systemów obrotu, KNF, audyt wewnętrzny. Konkretne przykłady ataków na Waszą branżę, nie generyczne slajdy o "cyberhigienie".

Szkolenie na żywo (3, 5 lub 8h)

Stacjonarnie u Was lub online przez Zoom. 6-8 modułów zależnie od pakietu. Pracownicy dostają realne przykłady: phishing pod "komunikat z KNF", BEC pod transakcję rozliczeniową, podszycie pod dostawcę ICT, socjotechnika w dziale operacji.

Dokumentacja zgodna z DORA + NIS-2

Lista obecności z podpisami, program szkolenia odwołujący się wprost do DORA art. 13 i NIS-2 art. 21, test końcowy z wynikami, imienne certyfikaty, osobny moduł dla zarządu (DORA art. 5 ust. 4). Wszystko w PDF, podpisane elektronicznie. Gotowe do audytu KNF.

Dopasowanie do sektora

Realne scenariusze z rynku finansowego - mail "pilna zmiana rachunku rozliczeniowego" od rzekomego broker-dealera, złośliwy link w "aktualizacji dokumentacji DORA", socjotechnika przed migracją systemu obrotu, podszycie pod dostawcę ICT objętego DORA. Nie abstrakcja - rzeczy które się dzieją.

Test końcowy + wynik per osoba

12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu: sama obecność nie wystarczy - trzeba udokumentować sprawdzenie wiedzy (DORA art. 13 ust. 6: "programy... jako obowiązkowe elementy"). Wyniki w raporcie zbiorczym + imiennie.

W cenie, bez dopłat: certyfikat imienny PDF dla każdego uczestnika, konsultacje 1:1 (20 min przed + 20 min po szkoleniu), dojazd i nocleg w cenie (cała Polska).

Trzy pakiety - od 3 do 8 godzin, dopasowane do Was

Starter
3 godziny
4 moduły podstawowe
  • Phishing i BEC
  • Hasła, MFA, zarządzanie poświadczeniami
  • Bezpieczna praca z pocztą i komunikacją
  • Co robić w razie incydentu (24h na zgłoszenie)

Dla: zespoły 5-15 osób, pierwsze ustrukturyzowane szkolenie DORA / NIS-2.

Standard
5 godzin
6 modułów + warsztat
  • Wszystko ze Startera
  • Ataki na sektor finansowy (SWIFT, rozliczenia, CCP, CSD)
  • Ryzyko ICT third-party (DORA rozdział V)
  • Warsztat: rozpoznawanie phishingu pod KNF / dostawcę ICT

Dla: zespoły 10-30 osób, pełne pokrycie DORA art. 13 + NIS-2 art. 21.

Pełny dzień
8 godzin
6 + 2 moduły + praktyka
  • Wszystko ze Standardu
  • Moduł dla zarządu (NIS-2 art. 20 + DORA art. 5)
  • Zgłaszanie incydentów do KNF i CSIRT (24h / 72h / 30 dni)
  • Praktyka: analiza realnej próby BEC na transakcję rozliczeniową

Dla: zespoły 20+ osób, instytucja z własnym działem IT i compliance.

Po szkoleniu Twój zespół

Cena

Transparentna stawka za osobę

Bez ukrytych kosztów. Bez minimum zamówienia większego niż 5 osób. Dojazd i nocleg w cenie - cała Polska.

Stacjonarnie u Was
W Waszej sali, z Waszymi przykładami, z Waszymi systemami w tle
800 PLN netto / os

Dojazd i nocleg w cenie · minimum 5 osób

Online
Przez Zoom
600 PLN netto / os

Nagranie dostępne przez 30 dni · minimum 5 osób

Szybki rachunek. Zespół 25 osób, pakiet Standard online: 25 × 600 PLN = 15 000 PLN netto. Kara z NIS-2 art. 34 lub DORA art. 50 zaczyna się od 10 mln EUR lub 2% rocznego obrotu — w zależności od tego, która kwota jest wyższa. Same koszty incydentu typu Evolve Bank — wyciek danych 7,6 mln osób po jednym kliknięciu — idą w dziesiątki milionów USD na powiadomienia, monitoring kredytowy i pozwy zbiorowe.

Najczęstsze pytania

Cztery obiekcje, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.

Mamy ISO 27001. To wystarczy pod NIS-2?

Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.

Damy radę sami - YouTube, blogi, ChatGPT.

Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.

Mamy czas - NIS-2 w Polsce jeszcze nie obowiązuje.

Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.

Czy można sfinansować szkolenie z KFS/BUR?

Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.

Dlaczego mi zaufać

Adrian Maryniewski

Adrian Maryniewski

Tester oprogramowania • Trener

LinkedIn

9 lat w IT - jako tester oprogramowania widziałem z bliska, jak działają systemy firm od środka. Wiem gdzie zwykle pojawiają się luki i jak atakujący je wykorzystują. Na szkoleniu nie czytam teorii ze slajdów - pokazuję realne ataki krok po kroku, na przykładach z infrastruktury rynku finansowego.

  • Certyfikaty: ISTQB (testowanie), CompTIA Security+ (w toku).
  • Doświadczenie projektowe: Nordea Bank, DNV, Logintegra, xcactus.
  • Ukończone kursy: OTWA (Ofensywne Testowanie Web Aplikacji), Zostań Pentesterem, Cyber Awareness EY, Cyber Awareness Santander Consumer Bank.
  • Specjalizacja: Testowanie aplikacji webowych, szkolenia z cyberbezpieczeństwa dla pracowników biurowych.

Zamów 30-min rozmowę

Sprawdzimy czy NIS-2 Was dotyczy. Dobierzemy moduły pod Waszą firmę. Dostaniecie wycenę. Zero spamu, zero zobowiązań - nawet jeśli nie kupujecie.

Zgłoszenie trafi bezpośrednio do mnie - odpowiadam osobiście w ciągu 24h. Dane przetwarzane zgodnie z RODO.