Od 3 kwietnia 2026 sektor infrastruktury cyfrowej - dostawcy usług hostingu, DNS, rejestracji TLD, chmury, data center, CDN, usług zaufania (eIDAS), dostawcy sieci łączności elektronicznej - jest "kluczowym podmiotem" zgodnie z Dyrektywą NIS-2 (Załącznik I pkt 8). To oznacza konkretny obowiązek: regularne szkolenia pracowników z higieny cyberbezpieczeństwa - zapisane wprost w art. 21 ust. 2 lit. g.
W Twoim przypadku incydent nie zatrzymuje "tylko" Twojej firmy - zatrzymuje tysiące firm, które od Ciebie zależą. Jeśli nie udokumentujesz szkoleń, odpowiedzialność spada osobiście na członków zarządu (art. 20), a kara dla spółki może sięgnąć 10 mln EUR lub 2% rocznego obrotu - wybiera się kwotę wyższą (art. 34 ust. 4).
Rozmawiamy o Twojej firmie - skala ruchu, liczba klientów downstream, co już macie z procedur.
To nie są hipotetyczne scenariusze. To konkretne firmy, konkretne straty klientów downstream, konkretne tytuły w prasie branżowej.
Atakujący dostali się do środowiska build SolarWinds we wrześniu 2019 i wstrzyknęli backdoor do pakietów Orion od marca 2020. Około 18 000 klientów zainstalowało złośliwą aktualizację. Wśród ofiar: amerykańskie departamenty Treasury, Commerce, DHS, State oraz FireEye, Microsoft, Intel, Cisco, Deloitte. Atakujący mieli dostęp bez detekcji przez ponad 14 miesięcy. Wykryła to dopiero FireEye we własnym środowisku 13 grudnia 2020. Lekcja dla każdego dostawcy software/SaaS: Twoja pipeline CI/CD to cel numer jeden.
Źródła: CISA Advisory AA20-352A · Mandiant/FireEye raport SUNBURST · TechTarget - pełna analiza.
Pożar wybuchł o 00:47 w serwerowni zasilania. 100 strażaków i 44 pojazdy walczyły 6 godzin. SBG2 (5 pięter, 500 m²) spłonęło całkowicie, sąsiednie budynki uszkodzone. 14 046 serwerów zniszczonych, 120 000 usług w pełni lub częściowo dotkniętych. Wielu klientów straciło dane bezpowrotnie - byli przekonani, że hosting = backup. Ponad 140 klientów pozwało OVH w pozwie zbiorowym o ponad 10 mln EUR. Przyczyna: prawdopodobnie przeciek wody na inwerterze + brak automatycznego systemu gaśniczego w serwerowni zasilania.
Źródła: DataCenterDynamics - analiza · Uptime Institute - lessons learned · HN - class action 140 klientów.
Trzy fale ataku DDoS przez botnet Mirai (~145 000 zainfekowanych urządzeń IoT - głównie kamery i routery z domyślnymi hasłami) położyły DNS Dyn. Padły: Twitter, Spotify, Reddit, Netflix, Amazon, PayPal, GitHub, Airbnb, PlayStation Network - tysiące serwisów, które ustawiły sobie Dyn jako primary DNS. Skutek długofalowy: 14 000 klientów (~8%) odeszło od Dyn po incydencie. Pokazało, że DNS to single point of failure dla całego internetu. Dla Twoich klientów B2B: brak DNS = brak usługi, nieważne, że serwer żyje.
Źródła: Wikipedia - DDoS attacks on Dyn · Krebs on Security · ThousandEyes - analiza techniczna.
Holenderski CA DigiNotar został złamany w czerwcu 2011 (wejście przez serwer WWW w DMZ 17.06, kompromitacja sieci CA 1.07). Atakujący mieli pełną kontrolę nad wszystkimi 8 serwerami podpisującymi certyfikaty. Wystawił setki fałszywych certyfikatów - m.in. wildcard na *.google.com (10 lipca 2011), użyty do ataku MITM na ~300 000 kont Gmail w Iranie. Wszystkie główne przeglądarki usunęły root DigiNotar z zaufanych 29 sierpnia 2011. Firma ogłosiła bankructwo we wrześniu 2011 - dwa miesiące od wykrycia. Sygnał dla każdego QTSP (eIDAS): zaufanie to jedyne co masz. Raz stracone = koniec.
Źródła: Wikipedia - DigiNotar · ENISA - Operation Black Tulip · IEEE Spectrum.
Największy atak DDoS w ponad 20-letniej historii home.pl. Druga fala, poranna, zablokowała ruch do wszystkich usług: domeny, hosting stron WWW, poczta. Skutek - niedostępne były strony i skrzynki tysięcy klientów B2B w Polsce, w tym systemy rezerwacji biletów, sklepy online, systemy księgowe SMB. Atak celował w infrastrukturę, nie w dane - ale z perspektywy klienta home.pl różnica jest akademicka: strona i poczta nie działają. CERT Polska w 2024 roku obsłużył ponad 600 tysięcy zgłoszeń (wzrost o 62% r/r) i zarejestrował ponad 235 tysięcy przypadków phishingu. Każdy dostawca hostingu/DNS/ISP w Polsce jest w tym celowniku.
Źródła: Niebezpiecznik - awaria home.pl DDoS · Money.pl · CERT Polska raport 2024 (NASK) · Raport CERT Polska 2024 (PDF).
68% naruszeń cyber angażuje element ludzki.
Nie chodzi o exploit zero-day ani supergeniusza z kapturem. Chodzi o kliknięcie w link, wpisanie hasła na fałszywej stronie, otwarcie załącznika, uleganie socjotechnice. Dla dostawcy infrastruktury to jest podwójnie bolesne: Twój admin klika w phishing → atakujący dostaje kluczyk do panelu → padają Twoi klienci. Szkolenie pracowników to nie "miękki dodatek" — to obrona, która adresuje 2/3 realnego ryzyka.
Źródło: Verizon Data Breach Investigations Report 2024 — "the human element was a component of 68% of breaches".
Dyrektywa 2022/2555 (NIS-2) została transponowana do polskiego porządku prawnego przez nowelizację ustawy o KSC (opublikowana 2 marca 2026) i obowiązuje w pełni od 3 kwietnia 2026. Poniżej cztery konkretne artykuły, które dotyczą Twojej firmy bezpośrednio.
Punkt 8 wymienia: punkty wymiany ruchu internetowego (IXP), dostawców usług DNS, rejestry nazw TLD, dostawców usług chmury obliczeniowej, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści (CDN), dostawców usług zaufania, dostawców publicznych sieci łączności elektronicznej i usług komunikacji elektronicznej. Wszyscy - "essential entities". Wyższa stawka kar, surowsza egzekucja, obowiązek wczesnego ostrzeżenia o incydencie w ciągu 24h.
"Podstawowe praktyki w zakresie higieny cyberbezpieczeństwa i szkolenia w zakresie cyberbezpieczeństwa" - cytat wprost z dyrektywy. Nie "zalecane". Wymagane. Dla wszystkich pracowników - NOC, SOC, devopsów, helpdesku, sprzedaży, administracji - każdy kto dotyka systemów lub rozmawia z klientami.
Organy zarządzające zatwierdzają środki cyberbezpieczeństwa, nadzorują ich wdrożenie i ponoszą osobistą odpowiedzialność za naruszenia. Członkowie zarządu mają obowiązek odbyć szkolenie - a pracowników zachęca się "regularnie" do analogicznych. W przypadku incydentu audytor pyta o zapisy szkoleniowe CEO, CTO, CISO z imienia i nazwiska.
Dla kluczowych podmiotów: minimum 10 000 000 EUR lub 2% całkowitego rocznego obrotu na poziomie światowym - w zależności od tego, która kwota jest wyższa. Do tego sankcje osobiste: zawieszenie funkcji CEO, CTO, członka zarządu. Organ nadzorujący w Polsce: CSIRT NASK (sektor prywatny), CSIRT GOV (administracja), CSIRT MON (wojsko).
Dokumentacja ≠ papierek. Audytor sprawdza: listę obecności, program szkolenia, test końcowy, certyfikaty, cykliczność (raz na rok lub po zmianie stanowiska). Brak któregokolwiek = niewypełnienie art. 21. Brak art. 21 = kara z art. 34. Do tego jeśli masz klientów finansowych - dochodzi DORA, jeśli świadczysz usługi zaufania - eIDAS i wymogi kwalifikowanych dostawców.
Szkolenie dopasowane do realiów dostawcy infrastruktury cyfrowej — NOC, SOC, devops, helpdesk, sprzedaż, back office. Konkretne przykłady ataków: supply chain, ransomware na panel kliencki, social engineering na helpdesku, phishing na admina BGP/DNS.
Stacjonarnie u Ciebie w siedzibie lub online przez Zoom. 6-8 modułów zależnie od pakietu. Pracownicy dostają realne przykłady: phishing pod "nowy klient enterprise", socjotechnika na helpdesku ("zapomniałem hasła, jestem CTO klienta"), podszywanie się pod vendorów, atak supply chain na CI/CD.
Lista obecności z podpisami, program szkolenia, test końcowy z wynikami, imienne certyfikaty. Wszystko w PDF, podpisane elektronicznie. Dokładnie to, czego audytor CSIRT NASK, audytor ISO 27001 lub audytor SOC 2 potrzebuje do zamknięcia wymogu z art. 21.
Realne scenariusze z infrastruktury cyfrowej - fałszywy "wniosek o reset hasła" do panelu klienta, spoofing numeru CEO klienta na telefon helpdesku, zainfekowany pendrive w DC, atak na klucz BGP/RPKI, kampania przez LinkedIn do adminów z "ofertą pracy". Nie abstrakcja - rzeczy które już się zdarzyły.
12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu: nie wystarczy obecność - trzeba pokazać że wiedza została sprawdzona. Wyniki w raporcie zbiorczym + imiennie. Podział możliwy per zespół: NOC osobno, SOC osobno, helpdesk osobno.
Dla: zespoły 5-15 osób, pierwsze szkolenie w firmie.
Dla: zespoły 10-30 osób, kompleksowe pokrycie art. 21.
Dla: zespoły 20+ osób, firma z NOC/SOC i klientami enterprise.
Dokumentacja gotowa dla audytora wewnętrznego, audytora ISO 27001 / SOC 2 i dla organu nadzorującego (CSIRT NASK). Jeden komplet PDF-ów zamyka wymóg art. 21 ust. 2 lit. g dla wszystkich uczestników. Możesz pokazać klientowi enterprise, ubezpieczycielowi cyber, inwestorowi due-diligence.
Helpdesk nie zresetuje hasła "CTO klienta" bez wideoweryfikacji. NOC zauważy podejrzane zmiany w BGP/DNS. Devops nie skopiuje klucza SSH do czatu. Sprzedaż rozpozna fake-RFP przychodzące z fałszywego domeny vendora. To kapitał, który zostaje w firmie na lata.
Skoro 68% ataków zaczyna się od człowieka, to szkolenie jest najtańszym sposobem na zamknięcie największej furtki. Cena szkolenia < koszt jednej godziny downtime Twojej platformy pomnożony przez liczbę klientów na SLA 99,99%. Matematyka prosta.
Bez pakietów ukrytych kosztów. Bez minimum zamówienia. Dojazd i nocleg w cenie (do 300 km). Poza tym zasięgiem - ustalamy indywidualnie.
Dojazd i nocleg w cenie · minimum 5 osób
Nagranie dostępne przez 30 dni · minimum 5 osób
Szybki rachunek. Firma 25 osób (NOC + SOC + helpdesk + sprzedaż), pakiet Standard online: 25 × 600 PLN = 15 000 PLN netto. Kara z art. 34 NIS-2 za nieudokumentowanie szkoleń z art. 21 zaczyna się od 10 mln EUR lub 2% rocznego obrotu. Do tego koszt jednej godziny downtime core usługi na SLA 99,99%.
Porównaj skalę: OVHcloud - 14 046 serwerów i 120 000 usług dotkniętych, Dyn DNS - 14 000 klientów odeszło (~8%), DigiNotar - bankructwo 2 miesiące po incydencie. Szkolenie dla 25 osób to mniej niż 0,1% tych strat.
Sześć obiekcji, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.
Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.
Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.
Bez znajomości oferty konkurencji trudno odpowiedzieć. Najczęściej różnica jest w: zakresie materiału (ile artykułów NIS-2 omówionych praktycznie), doświadczeniu prowadzącego (pentester korporacyjny vs trener bez projektów), dokumentacji audytowej (zwykłe slajdy vs dedykowana pod NIS-2), dostępie po szkoleniu (brak kontaktu vs AI-asystent + konsultacje 1:1), gwarancji (brak vs 25% miejsc powtórki). 30-minutowa rozmowa rozwiewa wątpliwości w kilku pytaniach - bez zobowiązań.
Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.
NIS-2 dotyczy "essential entities" (Załącznik I) oraz "important entities" (Załącznik II) od progu SME - 50 pracowników lub 10 mln EUR obrotu. W praktyce: jeśli firma działa w jednym z 18 wymienionych sektorów i przekracza próg - NIS-2 was dotyczy. Jeśli firma jest poniżej progu, ale jest dostawcą dla podmiotu NIS-2 - dostaje wymogi przez zapisy kontraktowe. Atakujący też nie rozróżnia rozmiaru firmy, tylko skuteczność zabezpieczeń.
Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.
9 lat w IT: testowanie oprogramowania, automatyzacja, konsulting dla firm sektora finansowego i przemysłowego. Nie jestem pentesterem - jestem inżynierem, który przez dekadę widział z bliska jak pękają procesy i systemy w organizacjach.
Szkolenia z Cyber Awareness prowadziłem m.in. dla: EY (2019), Santander Consumer Bank (2021), Nordea Bank (2018), DNV. Klienci - korporacje, które nie mogą sobie pozwolić na błąd w security.
Certyfikaty: ISTQB (testowanie), OTWA (Offensive Tooling & Web Application), CompTIA Security+ (w toku). Podejście: pokazuję zespołom jak nie dać się okraść - bo przez 9 lat widziałem z bliska jak tego nie robić.
30 minut rozmowy. Ty opowiadasz o firmie - ile DC, ilu klientów, jakie SLA, co już macie z cyber (albo że tylko checklista od CSIRT). Ja mówię, jaki pakiet pasuje, kiedy możemy to zrobić i jak wygląda dokumentacja. Jeśli Ci to pasuje - ustalamy termin. Jeśli nie - dostajesz bezpłatnie checklistę "co musi być w dokumentacji audytowej NIS-2 art. 21".
Zero spamu, zero zobowiązań, zero "niezobowiązujących ofert handlowych".