Od 17 stycznia 2025 obowiązuje Was DORA (Digital Operational Resilience Act). Od 3 kwietnia 2026 - NIS-2 w polskiej ustawie o KSC. Oba akty mówią to samo o szkoleniach: obowiązek, nie zalecenie - dla pracowników i osobno dla zarządu.
Infrastruktura rynku finansowego jest w Załączniku I pkt 4 NIS-2 jako sektor kluczowy. Dla operatorów systemów obrotu i CCP - organem właściwym jest Komisja Nadzoru Finansowego. Kary: do 10 mln EUR lub 2% rocznego obrotu (NIS-2 art. 34) oraz do 2% obrotu z DORA.
Rozmawiamy o Waszej instytucji - rola w systemie, liczba pracowników, co już macie z DORA i NIS-2.
To nie są scenariusze "co by było gdyby". To konkretne instytucje, konkretne kwoty, konkretne dni kiedy rynek nie działał.
Atak na amerykańską spółkę zależną największego banku świata (5,7 bln USD aktywów) zablokował rozliczenia obligacji skarbowych USA. Ransomware LockBit wykorzystał lukę CVE-2023-4966 (Citrix Bleed). ICBC musiał wysyłać dane rozliczeniowe na pendrive'ach przez kurierów na Manhattanie. Skala: dotyczyło 9 mld USD transakcji zabezpieczonych obligacjami Treasury; wskaźnik "repo fails" (niezrealizowanych dostaw) wzrósł z 25,5 mld do 62,2 mld USD dziennie - najwyższy od marca 2023.
Źródła: CNBC, 10.11.2023 · Bank Info Security · US Treasury — sankcje LockBit.
Seria ataków DDoS typu wolumetrycznego, skierowanych przez dostawcę sieci, zatrzymała notowania przez cztery dni z rzędu. Atak wolumetryczny przekroczył przepustowość lokalnych serwerów NZX — giełda była w trakcie migracji do chmury, ale nie zdążyła. Raport nowozelandzkiego FMA (regulator rynku) skrytykował NZX za "brak gotowości przyjęcia winy" i zauważył: inne giełdy na świecie doświadczały DDoS, ale żadna nie była wyłączona tak często i tak długo.
Źródła: CNBC, 28.08.2020 · FMA — raport pokrewny · Insurance Journal, 05.02.2021.
Napastnicy (przypisywani później Korei Północnej) skompromitowali sieć banku centralnego Bangladeszu, obserwowali jak wykonywane są przelewy SWIFT, zdobyli poświadczenia i w weekend 4-5 lutego 2016 wysłali 35 fałszywych poleceń przelewu z rachunku Bangladesh Bank w Fed NY. Kwota żądana: prawie 1 mld USD. Pięć instrukcji przeszło - skradziono 101 mln USD, z czego 81 mln do Filipin, 20 mln na Sri Lankę. Pozostałe 850 mln Fed zatrzymał dzięki literówce w poleceniu przelewu. Do 2025 roku odzyskano tylko 15 mln USD ze skradzionych 81 mln.
Źródła: Bank Info Security — atak na SWIFT · Wikipedia (z cytatami FBI i Fed) · ISACA Journal 2023.
Prorosyjska grupa hacktywistów NoName057(16) przeprowadziła koordynowaną kampanię DDoS, która wyłączyła stronę Giełdy Papierów Wartościowych w Warszawie oraz serwisy kilku polskich banków i portal gov.pl. Była to reakcja na polską politykę wobec Ukrainy. Europol w lipcu 2025 przeprowadził operację rozbicia grupy — ale model ataków (rekrutacja ochotników, narzędzie DDoSia) został już skopiowany przez inne grupy. CSIRT KNF w 2024 roku zidentyfikował 51 241 domen phishingowych wymierzonych w polski sektor finansowy — wzrost o 70% rok do roku.
Źródła: Cybernews — atak na GPW · Bleeping Computer — Europol takedown · CSIRT KNF 2024.
Partner bankowy dla fintechów (Affirm, Wise, Bilt). Atakujący weszli do sieci 9 lutego 2024 przez kliknięcie pracownika w złośliwy link. Działali w sieci niezauważeni przez niemal cztery miesiące, zanim naruszenie wykryto 29 maja. Wyciek dotknął 7,64 mln osób — pełne imiona i nazwiska, numery ubezpieczenia społecznego (SSN), dane rachunków bankowych. Bank odmówił okupu; LockBit opublikował dane na darknet leak site. Lekcja: najwyższe regulacje bankowe nie chronią przed jednym kliknięciem nieuwaznego pracownika.
Źródła: TechCrunch, 09.07.2024 · Bleeping Computer · CM-Alliance — timeline.
68% naruszeń cyber angażuje element ludzki.
Nie chodzi o exploit zero-day ani supergeniusza z kapturem. Chodzi o kliknięcie w link, wpisanie poświadczeń na podstawionej stronie administratora, otwarcie załącznika, uleganie socjotechnice. Dla infrastruktury rynku finansowego — gdzie jeden przelew SWIFT to miliony, a jedna godzina przestoju to reputacja — szkolenie pracowników to nie "miękki dodatek". To obrona, która adresuje 2/3 realnego ryzyka.
Źródło: Verizon Data Breach Investigations Report 2024 — "the human element was a component of 68% of breaches".
DORA (Rozporządzenie 2022/2554) obowiązuje od 17 stycznia 2025. NIS-2 (Dyrektywa 2022/2555) w Polsce - od 3 kwietnia 2026. Zasada lex specialis (NIS-2 art. 4): gdy DORA wymaga co najmniej tyle samo, co NIS-2 - stosuje się DORA. W praktyce: podwójna księgowość zgodności. Poniżej cztery konkretne wymogi, które dotyczą Was bezpośrednio.
"Infrastruktura rynku finansowego" - operatorzy systemów obrotu (giełdy), partnerzy centralni (CCP), centralne depozyty papierów wartościowych (CSD), systemy płatności - są zdefiniowani jako "essential entity". Wyższa stawka kar, zgłaszanie incydentów istotnych w 24h (wstępne) / 72h (aktualizacja) / 30 dni (raport końcowy).
DORA art. 13 ust. 6: podmioty finansowe "opracowują programy szkoleń w zakresie bezpieczeństwa ICT i ryzyka ICT jako obowiązkowe elementy programu szkoleniowego wszystkich pracowników i kadry kierowniczej". NIS-2 art. 21 ust. 2 lit. g: "podstawowe praktyki w zakresie higieny cyberbezpieczeństwa i szkolenia". Dwa źródła - to samo wymaganie.
NIS-2 art. 20: organy zarządzające zatwierdzają środki, nadzorują wdrożenie i ponoszą osobistą odpowiedzialność. DORA art. 5 ust. 4: "członkowie organu zarządzającego aktywnie utrzymują wystarczającą wiedzę i umiejętności do zrozumienia i oceny ryzyka ICT" - obowiązek własnego, udokumentowanego szkolenia. Zawieszenie funkcji członka zarządu jest w katalogu sankcji.
NIS-2: minimum 10 000 000 EUR lub 2% całkowitego rocznego obrotu światowego (kwota wyższa). DORA - analogicznie do 2% obrotu (dla dostawców ICT - 1% dziennego obrotu). Do tego: KNF jako organ właściwy ma uprawnienia inspekcyjne, nakazy i sankcje administracyjne.
Dokumentacja ≠ papierek. Audytor (ESMA, KNF, audyt wewnętrzny) sprawdza: listę obecności, program szkolenia, test końcowy, certyfikaty, cykliczność (minimum raz rocznie), osobne szkolenie dla zarządu. Brak któregokolwiek = niewypełnienie DORA art. 13 i NIS-2 art. 21. Brak art. 21 = kara z art. 34.
Szkolenie dopasowane do realiów instytucji rynku finansowego - SWIFT, systemy rozliczeniowe, dostęp do systemów obrotu, KNF, audyt wewnętrzny. Konkretne przykłady ataków na Waszą branżę, nie generyczne slajdy o "cyberhigienie".
Stacjonarnie u Was lub online przez Zoom. 6-8 modułów zależnie od pakietu. Pracownicy dostają realne przykłady: phishing pod "komunikat z KNF", BEC pod transakcję rozliczeniową, podszycie pod dostawcę ICT, socjotechnika w dziale operacji.
Lista obecności z podpisami, program szkolenia odwołujący się wprost do DORA art. 13 i NIS-2 art. 21, test końcowy z wynikami, imienne certyfikaty, osobny moduł dla zarządu (DORA art. 5 ust. 4). Wszystko w PDF, podpisane elektronicznie. Gotowe do audytu KNF.
Realne scenariusze z rynku finansowego - mail "pilna zmiana rachunku rozliczeniowego" od rzekomego broker-dealera, złośliwy link w "aktualizacji dokumentacji DORA", socjotechnika przed migracją systemu obrotu, podszycie pod dostawcę ICT objętego DORA. Nie abstrakcja - rzeczy które się dzieją.
12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu: sama obecność nie wystarczy - trzeba udokumentować sprawdzenie wiedzy (DORA art. 13 ust. 6: "programy... jako obowiązkowe elementy"). Wyniki w raporcie zbiorczym + imiennie.
Dla: zespoły 5-15 osób, pierwsze ustrukturyzowane szkolenie DORA / NIS-2.
Dla: zespoły 10-30 osób, pełne pokrycie DORA art. 13 + NIS-2 art. 21.
Dla: zespoły 20+ osób, instytucja z własnym działem IT i compliance.
Dokumentacja gotowa dla audytora wewnętrznego, zewnętrznego i inspektora KNF. Jeden komplet PDF-ów zamyka obowiązek szkoleniowy dla wszystkich uczestników — osobno pracownicy, osobno zarząd. Możesz pokazać regulatorowi, ubezpieczycielowi cyber, klientowi instytucjonalnemu.
Nie klikną w link z "komunikatem KNF". Zauważą że adres nadawcy w mailu "od dostawcy ICT" nie jest tym co zwykle. Zgłoszą próbę BEC pod transakcję rozliczeniową, zamiast ją wykonać. Rozpoznają podejrzaną aktywność w systemie produkcyjnym. To kapitał, który zostaje na lata.
Skoro 68% ataków zaczyna się od człowieka (Verizon DBIR), to szkolenie jest najtańszym sposobem na zamknięcie największej furtki. Cena szkolenia << koszt jednego dnia bez notowań, jednej kary KNF, jednego wycieku 7 mln rekordów. Matematyka prosta.
Bez ukrytych kosztów. Bez minimum zamówienia większego niż 5 osób. Dojazd i nocleg w cenie (do 300 km). Poza tym zasięgiem - ustalamy indywidualnie.
Dojazd i nocleg w cenie · minimum 5 osób
Nagranie dostępne przez 30 dni · minimum 5 osób
Szybki rachunek. Zespół 25 osób, pakiet Standard online: 25 × 600 PLN = 15 000 PLN netto. Kara z NIS-2 art. 34 lub DORA art. 50 zaczyna się od 10 mln EUR lub 2% rocznego obrotu — w zależności od tego, która kwota jest wyższa. Same koszty incydentu typu Evolve Bank — wyciek danych 7,6 mln osób po jednym kliknięciu — idą w dziesiątki milionów USD na powiadomienia, monitoring kredytowy i pozwy zbiorowe.
Porównaj skalę: JBS - 11 mln USD okupu, Change Healthcare - 2,4 mld USD strat, Dole - 10,5 mln USD. Szkolenie dla 15 osób to mniej niż 0,1% tych strat.
Sześć obiekcji, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.
Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.
Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.
Bez znajomości oferty konkurencji trudno odpowiedzieć. Najczęściej różnica jest w: zakresie materiału (ile artykułów NIS-2 omówionych praktycznie), doświadczeniu prowadzącego (pentester korporacyjny vs trener bez projektów), dokumentacji audytowej (zwykłe slajdy vs dedykowana pod NIS-2), dostępie po szkoleniu (brak kontaktu vs AI-asystent + konsultacje 1:1), gwarancji (brak vs 25% miejsc powtórki). 30-minutowa rozmowa rozwiewa wątpliwości w kilku pytaniach - bez zobowiązań.
Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.
NIS-2 dotyczy "essential entities" (Załącznik I) oraz "important entities" (Załącznik II) od progu SME - 50 pracowników lub 10 mln EUR obrotu. W praktyce: jeśli firma działa w jednym z 18 wymienionych sektorów i przekracza próg - NIS-2 was dotyczy. Jeśli firma jest poniżej progu, ale jest dostawcą dla podmiotu NIS-2 - dostaje wymogi przez zapisy kontraktowe. Atakujący też nie rozróżnia rozmiaru firmy, tylko skuteczność zabezpieczeń.
Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.
Pracowałem zarówno w małych firmach, jak i w korporacjach - i wszędzie widziałem to samo: jeden klik nieuważnego pracownika potrafi kosztować fortunę. W sektorze finansowym - szczególnie, bo tam kwoty i reputacja działają na inną skalę.
9 lat w IT - jako tester oprogramowania i konsultant, osoba która z bliska widzi, jak działają systemy firm od środka. Wiem, gdzie zwykle pojawiają się luki i jak atakujący je wykorzystują, bo obserwowałem to z obu stron: osoby która buduje oprogramowanie i osoby która szuka w nim słabych punktów.
Na szkoleniu nie czytam teorii z podręcznika - pokazuję realne ataki krok po kroku, na przykładach z instytucji rynku finansowego. Wasi pracownicy rozpoznają je w swojej skrzynce nawet pół roku po szkoleniu.
30 minut rozmowy. Wy opowiadacie o instytucji - rola w systemie, liczba pracowników, co już macie z DORA i NIS-2 (albo że nic). Ja mówię, jaki pakiet pasuje, kiedy możemy to zrobić i jak wygląda dokumentacja. Jeśli Wam to pasuje - ustalamy termin. Jeśli nie - dostajecie bezpłatnie checklistę "co musi być w dokumentacji szkoleniowej DORA art. 13 i NIS-2 art. 21".
Zero spamu, zero zobowiązań, zero "niezobowiązujących ofert handlowych".