BRANŻA: INFRASTRUKTURA CYFROWA · NIS-2 ART. 21

OVH pożar + atak - tysiące firm straciło dane jednego dnia.
Hosting, DNS i trust services pod NIS-2.

Szkolenie dla dostawcy infrastruktury cyfrowej - zgodne z NIS-2, dokumentacja audytowa w cenie.

Grupy 5-30 osób, stacjonarnie lub online (Zoom) Dla zarządu, HR i IT Security - materiały dopasowane do roli
Zamów 30-min rozmowę Zobacz co dostajesz
Dlaczego to nie teoria

Trzy incydenty, które w ostatnich latach pokazały jak kruchy jest stos cyfrowy

To nie są hipotetyczne scenariusze. To konkretne firmy, konkretne straty klientów downstream, konkretne tytuły w prasie branżowej.

1

SolarWinds SUNBURST — supply chain attack, grudzień 2020

Atakujący dostali się do środowiska build SolarWinds we wrześniu 2019 i wstrzyknęli backdoor do pakietów Orion od marca 2020. Około 18 000 klientów zainstalowało złośliwą aktualizację. Wśród ofiar: amerykańskie departamenty Treasury, Commerce, DHS, State oraz FireEye, Microsoft, Intel, Cisco, Deloitte. Atakujący mieli dostęp bez detekcji przez ponad 14 miesięcy. Wykryła to dopiero FireEye we własnym środowisku 13 grudnia 2020. Lekcja dla każdego dostawcy software/SaaS: Twoja pipeline CI/CD to cel numer jeden.

Źródła: CISA Advisory AA20-352A · Mandiant/FireEye raport SUNBURST · TechTarget - pełna analiza.

2

OVHcloud — pożar data center SBG2, Strasburg, 10 marca 2021

Pożar wybuchł o 00:47 w serwerowni zasilania. 100 strażaków i 44 pojazdy walczyły 6 godzin. SBG2 (5 pięter, 500 m²) spłonęło całkowicie, sąsiednie budynki uszkodzone. 14 046 serwerów zniszczonych, 120 000 usług w pełni lub częściowo dotkniętych. Wielu klientów straciło dane bezpowrotnie - byli przekonani, że hosting = backup. Ponad 140 klientów pozwało OVH w pozwie zbiorowym o ponad 10 mln EUR. Przyczyna: prawdopodobnie przeciek wody na inwerterze + brak automatycznego systemu gaśniczego w serwerowni zasilania.

Źródła: DataCenterDynamics - analiza · Uptime Institute - lessons learned · HN - class action 140 klientów.

3

Dyn DNS — atak DDoS Mirai, 21 października 2016

Trzy fale ataku DDoS przez botnet Mirai (~145 000 zainfekowanych urządzeń IoT - głównie kamery i routery z domyślnymi hasłami) położyły DNS Dyn. Padły: Twitter, Spotify, Reddit, Netflix, Amazon, PayPal, GitHub, Airbnb, PlayStation Network - tysiące serwisów, które ustawiły sobie Dyn jako primary DNS. Skutek długofalowy: 14 000 klientów (~8%) odeszło od Dyn po incydencie. Pokazało, że DNS to single point of failure dla całego internetu. Dla Twoich klientów B2B: brak DNS = brak usługi, nieważne, że serwer żyje.

Źródła: Wikipedia - DDoS attacks on Dyn · Krebs on Security · ThousandEyes - analiza techniczna.

68% naruszeń cyber angażuje element ludzki.

Nie chodzi o exploit zero-day ani supergeniusza z kapturem. Chodzi o kliknięcie w link, wpisanie hasła na fałszywej stronie, otwarcie załącznika, uleganie socjotechnice. Dla dostawcy infrastruktury to jest podwójnie bolesne: Twój admin klika w phishing → atakujący dostaje kluczyk do panelu → padają Twoi klienci. Szkolenie pracowników to nie "miękki dodatek" — to obrona, która adresuje 2/3 realnego ryzyka.

Źródło: Verizon Data Breach Investigations Report 2024 — "the human element was a component of 68% of breaches".

Co musisz wiedzieć

NIS-2 w 4 punktach

Co musisz zrobić

Wdrożyć procedury bezpieczeństwa, regularnie szkolić zespół (kadrę zarządzającą i pracowników), prowadzić rejestr ryzyk i incydentów, wyznaczyć osobę odpowiedzialną. Termin: dyrektywa już obowiązuje, polska ustawa KSC w transpozycji.

Kogo dotyczy

Dostawców hostingu, DNS, IXP, trust services, chmury od progu SME (50 osób lub 10 mln EUR obrotu). Dostawców objętych firm dotyczy przez zapisy kontraktowe (zarządzanie łańcuchem dostaw - art. 21).

Co grozi za brak

Kara administracyjna do 10 mln EUR lub 2% rocznego obrotu (wybiera się kwotę wyższą). Przy podmiotach kluczowych - osobista odpowiedzialność członków zarządu (art. 20).

Co sprawdza audytor

Dokumentację procedur bezpieczeństwa, dowody przeprowadzonych szkoleń (lista obecności, program, certyfikaty), plan reagowania na incydenty, gotowość do raportowania w 24h.

Wartość

Co konkretnie dostajesz

Szkolenie dopasowane do realiów dostawcy infrastruktury cyfrowej — NOC, SOC, devops, helpdesk, sprzedaż, back office. Konkretne przykłady ataków: supply chain, ransomware na panel kliencki, social engineering na helpdesku, phishing na admina BGP/DNS.

Szkolenie na żywo (3, 5 lub 8h)

Stacjonarnie u Ciebie w siedzibie lub online przez Zoom. 6-8 modułów zależnie od pakietu. Pracownicy dostają realne przykłady: phishing pod "nowy klient enterprise", socjotechnika na helpdesku ("zapomniałem hasła, jestem CTO klienta"), podszywanie się pod vendorów, atak supply chain na CI/CD.

Dokumentacja audytowa

Lista obecności z podpisami, program szkolenia, test końcowy z wynikami, imienne certyfikaty. Wszystko w PDF, podpisane elektronicznie. Dokładnie to, czego audytor CSIRT NASK, audytor ISO 27001 lub audytor SOC 2 potrzebuje do zamknięcia wymogu z art. 21.

Dopasowanie do branży

Realne scenariusze z infrastruktury cyfrowej - fałszywy "wniosek o reset hasła" do panelu klienta, spoofing numeru CEO klienta na telefon helpdesku, zainfekowany pendrive w DC, atak na klucz BGP/RPKI, kampania przez LinkedIn do adminów z "ofertą pracy". Nie abstrakcja - rzeczy które już się zdarzyły.

Test końcowy + wynik per osoba

12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu: nie wystarczy obecność - trzeba pokazać że wiedza została sprawdzona. Wyniki w raporcie zbiorczym + imiennie. Podział możliwy per zespół: NOC osobno, SOC osobno, helpdesk osobno.

W cenie, bez dopłat: certyfikat imienny PDF dla każdego uczestnika, konsultacje 1:1 (20 min przed + 20 min po szkoleniu), dojazd i nocleg w cenie (cała Polska).

Trzy pakiety - od 3 do 8 godzin, dopasowane do Was

Starter
3 godziny
4 moduły podstawowe
  • Phishing i BEC
  • Hasła, MFA, klucze API
  • Bezpieczna praca z pocztą i Slack
  • Co robić w razie incydentu (zgłoszenie do CSIRT)

Dla: zespoły 5-15 osób, pierwsze szkolenie w firmie.

Standard
5 godzin
6 modułów + warsztat
  • Wszystko ze Startera
  • Ataki na branżę (supply chain, ransomware, DDoS, DNS hijack)
  • Socjotechnika - helpdesk, NOC, recepcja DC, serwisanci
  • Warsztat: rozpoznawanie phishingu i fake ticket

Dla: zespoły 10-30 osób, kompleksowe pokrycie art. 21.

Pełny dzień
8 godzin
6 + 2 moduły + praktyka
  • Wszystko ze Standardu
  • Moduł dla zarządu (obowiązki NIS-2 art. 20, raportowanie incydentów)
  • Dane osobowe i RODO w praktyce dostawcy IT
  • Praktyka: analiza realnego ticketu-pułapki + sesja Q&A z zespołem

Dla: zespoły 20+ osób, firma z NOC/SOC i klientami enterprise.

Po szkoleniu Twój zespół

Cena

Transparentna stawka za osobę

Bez pakietów ukrytych kosztów. Bez minimum zamówienia. Dojazd i nocleg w cenie - cała Polska.

Stacjonarnie u Ciebie
W Twojej sali, z Twoimi przykładami, z whiteboardami
800 PLN netto / os

Dojazd i nocleg w cenie · minimum 5 osób

Online
Przez Zoom
600 PLN netto / os

Nagranie dostępne przez 30 dni · minimum 5 osób

Szybki rachunek. Firma 25 osób (NOC + SOC + helpdesk + sprzedaż), pakiet Standard online: 25 × 600 PLN = 15 000 PLN netto. Kara z art. 34 NIS-2 za nieudokumentowanie szkoleń z art. 21 zaczyna się od 10 mln EUR lub 2% rocznego obrotu. Do tego koszt jednej godziny downtime core usługi na SLA 99,99%.

Najczęstsze pytania

Cztery obiekcje, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.

Mamy ISO 27001. To wystarczy pod NIS-2?

Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.

Damy radę sami - YouTube, blogi, ChatGPT.

Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.

Mamy czas - NIS-2 w Polsce jeszcze nie obowiązuje.

Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.

Czy można sfinansować szkolenie z KFS/BUR?

Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.

Dlaczego mi zaufać

Adrian Maryniewski

Adrian Maryniewski

Tester oprogramowania • Trener

LinkedIn

9 lat w IT - jako tester oprogramowania widziałem z bliska, jak działają systemy firm od środka. Wiem gdzie zwykle pojawiają się luki i jak atakujący je wykorzystują. Na szkoleniu nie czytam teorii ze slajdów - pokazuję realne ataki krok po kroku, na przykładach z infrastruktury cyfrowej.

  • Certyfikaty: ISTQB (testowanie), CompTIA Security+ (w toku).
  • Doświadczenie projektowe: Nordea Bank, DNV, Logintegra, xcactus.
  • Ukończone kursy: OTWA (Ofensywne Testowanie Web Aplikacji), Zostań Pentesterem, Cyber Awareness EY, Cyber Awareness Santander Consumer Bank.
  • Specjalizacja: Testowanie aplikacji webowych, szkolenia z cyberbezpieczeństwa dla pracowników biurowych.

Zamów 30-min rozmowę

Sprawdzimy czy NIS-2 Was dotyczy. Dobierzemy moduły pod Waszą firmę. Dostaniecie wycenę. Zero spamu, zero zobowiązań - nawet jeśli nie kupujecie.

Zgłoszenie trafi bezpośrednio do mnie - odpowiadam osobiście w ciągu 24h. Dane przetwarzane zgodnie z RODO.