MSP, MSSP, IT outsourcing, integrator - od 3 kwietnia 2026 jesteś kluczowym podmiotem NIS-2 (Załącznik I pkt 9, "ICT service management B2B"). Jednocześnie jesteś pierwszym celem atakujących: jedno włamanie do Twojej konsoli RMM to dostęp do kilkudziesięciu sieci klientów.
Art. 21 wymaga regularnych szkoleń pracowników z higieny cyber. Art. 20 nakłada osobistą odpowiedzialność zarządu. Art. 34 ust. 4 - kara do 10 mln EUR lub 2% rocznego obrotu, wybiera się kwotę wyższą. A Twój klient i tak spyta: "Pokaż dokumentację szkoleń zespołu, bo to mój obowiązek z art. 21 ust. 2 lit. d - supply chain security".
Rozmawiamy o Twojej firmie - ilu klientów obsługujesz, jakie narzędzia RMM używacie, co już macie.
Bycie MSP ma dwie strony: skala daje przewagę kosztową - i skalę ataku. Poniżej konkretne incydenty z ostatnich lat, każdy z linkiem do źródła.
Grupa REvil wykorzystała podatność zero-day (CVE-2021-30116) w platformie RMM Kaseya VSA. Efekt: około 60 bezpośrednich klientów Kaseya (MSP) zainfekowanych, a przez nich 800-1 500 firm klientów końcowych w kilkudziesięciu krajach. REvil zażądał 70 mln USD za uniwersalny deszyfrator. Przykład pokazowy: jedno włamanie do dostawcy narzędzia RMM = setki zakładów stoją.
Źródła: Wikipedia - Kaseya VSA · CISA - Guidance dla MSP · Varonis - analiza ataku.
Rosyjska grupa APT (SVR) wprowadziła trojan do legalnej aktualizacji platformy monitoringu SolarWinds Orion. Orion miał ponad 33 000 klientów, a złośliwą aktualizację pobrało około 18 000 organizacji, w tym Pentagon, Departament Skarbu, Microsoft, FireEye. Atak niewykryty przez 9 miesięcy. Ubezpieczyciele oszacowali łączne straty dotkniętych firm na średnio 12 mln USD per firma. Klasyczny przykład: integrator = single point of failure dla setek klientów.
Źródła: US GAO - skala ataku · Wikipedia - SolarWinds breach · MITRE ATT&CK C0024.
Krytyczna podatność (CVSS 10.0) typu authentication bypass w popularnym narzędziu zdalnego zarządzania używanym przez tysiące MSP. Wystarczy żądanie HTTP z dodatkiem do URL-a, by przejąć całą konsolę ScreenConnect bez hasła. W ciągu kilku dni aktywnie wykorzystywały ją LockBit, Black Basta i Bl00dy - MSP tracili dostęp do konsol, a przez konsole atakujący wchodzili do sieci klientów. CISA wpisała CVE-2024-1709 do KEV (Known Exploited Vulnerabilities) 22 lutego 2024.
Źródła: CISA KEV alert · Huntress - analiza techniczna · Palo Alto Unit42.
Nie atak, lecz wadliwa aktualizacja sensora Falcon od dostawcy MSSP/EDR. Efekt w kilka godzin: 8,5 mln komputerów z Windows w BSOD na całym świecie. Około 16 896 lotów odwołanych w 72 godziny. Sama Delta Airlines podała straty 500 mln USD (380 mln utraconych przychodów + 170 mln dodatkowych kosztów) i złożyła pozew. Parametrix oszacował łączne straty Fortune 500 na 5,4 mld USD. Pokazuje: jeden wendor security może położyć pół gospodarki - a winny będzie też integrator, który "wdrożył to u klienta".
Źródła: Wikipedia - CrowdStrike outages 2024 · Fortune - 5,4 mld USD strat · NPR - Delta 500 mln USD.
Grupa Termite zaszyfrowała środowisko managed services hostingu Blue Yonder (dostawca oprogramowania supply chain dla retail) 21 listopada 2024. Konsekwencje u klientów końcowych: Starbucks - problemy z listami płac i grafikami w sklepach w USA/Kanadzie, Morrisons (około 500 sklepów w UK) - awaria systemu magazynowego dla świeżej żywności. CEO Morrisons przyznał, że atak wpłynął na wyniki świątecznej sprzedaży. Atakujący twierdzą, że wykradli 680 GB danych. Wzorzec: MSP/SaaS pada - klienci nie mogą pracować.
Źródła: Dark Reading - Blue Yonder · Cybersecurity Dive - recovery.
68% naruszeń cyber angażuje element ludzki.
U MSP ten "element ludzki" to nie tylko Twój inżynier - to każda osoba z dostępem do narzędzi, które mają klucze do sieci klientów. Konto admina ScreenConnect phishowane z laptopa helpdesku = koniec. Szkolenie pracowników to nie "miękki dodatek" - to obrona, która adresuje 2/3 realnego ryzyka u Ciebie i u Twoich klientów.
Źródło: Verizon Data Breach Investigations Report 2024 — "the human element was a component of 68% of breaches".
Dyrektywa 2022/2555 (NIS-2) obowiązuje w pełni od 3 kwietnia 2026. MSP i MSSP są wprost wymienieni w Załączniku I pkt 9 ("ICT service management B2B") jako sektor kluczowy. Do tego dochodzi drugi wymiar: klienci na mocy art. 21 ust. 2 lit. d muszą Cię audytować jako dostawcę. Poniżej cztery konkretne artykuły dotyczące Twojej firmy.
"ICT service management (B2B)" - nowa kategoria w NIS-2, obejmuje MSP ("managed service provider") i MSSP ("managed security service provider"). MSP z 50+ pracownikami lub obrotem ponad 10 mln EUR to podmiot "ważny". 250+ pracowników lub obrót 50+ mln EUR - "kluczowy" (essential). Obowiązek zgłaszania incydentów w 24h, surowsza egzekucja, wyższe kary.
"Podstawowe praktyki w zakresie higieny cyberbezpieczeństwa i szkolenia w zakresie cyberbezpieczeństwa" - cytat wprost z dyrektywy. Dla wszystkich pracowników mających dostęp do systemów. U MSP to szczególnie boli: help desk, NOC, serwisanci terenowi, handlowcy - każdy z dostępem do narzędzi RMM lub konsoli klienta.
Każdy Twój klient objęty NIS-2 ma obowiązek oceny bezpieczeństwa swoich bezpośrednich dostawców (Ty). Pierwsze pytanie w ankiecie due diligence: "jak szkolicie pracowników z cyber, pokażcie dokumentację". Brak dokumentacji = odpadasz z przetargów, tracisz kontrakty, klient szuka innego MSP.
Dla kluczowych podmiotów: minimum 10 000 000 EUR lub 2% całkowitego rocznego obrotu na poziomie światowym - kwota wyższa. Sankcje osobiste dla zarządu: zawieszenie funkcji CEO, CTO, członka zarządu. Plus drugi front: klient, który dostanie karę bo Ty go zawiodłeś - wejdzie z regresem.
Dokumentacja ≠ papierek. Audytor klienta sprawdza: listę obecności Twojego zespołu, program szkolenia, test końcowy, certyfikaty, cykliczność (raz na rok, po każdej zmianie stanowiska, po każdym onboardingu nowego inżyniera). Brak = nie przechodzisz due diligence. Nie przechodzisz due diligence = tracisz umowę.
Szkolenie dopasowane do realiów MSP i integratora IT - RMM, PSA, ticketing, dostępy do konsol klienckich, onboarding nowych inżynierów. Realne scenariusze ataków na branżę, nie generyczne slajdy "uważaj na phishing".
Stacjonarnie u Ciebie w biurze lub online przez Zoom. 6-8 modułów zależnie od pakietu. Zespół helpdesku, NOC i handlowców dostaje realne przykłady: phishing pod MFA konta admina, BEC w kontekście faktury od klienta, podszycie pod "inżyniera vendora RMM", socjotechnika pod nowego inżyniera w trakcie onboardingu.
Lista obecności z podpisami, program szkolenia, test końcowy z wynikami per osoba, imienne certyfikaty. Wszystko w PDF, podpisane elektronicznie. Dokładnie to, co chce zobaczyć audytor wewnętrzny (art. 21) oraz Twój klient w due diligence (art. 21 ust. 2 lit. d - supply chain).
Realne scenariusze dla MSP - mail od "serwisu ConnectWise z krytycznym patchem", faktura od "stałego vendora sprzętu" z podmienionym kontem, prośba od "nowego klienta" o dostęp testowy do konsoli, podszycie pod prezesa do działu sprzedaży z "pilnym przelewem". Nie abstrakcja - rzeczy, które już się zdarzyły.
12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu: nie wystarczy obecność - trzeba pokazać, że wiedza została sprawdzona. Szczególnie istotne dla helpdesku i inżynierów z dostępem do konsol klientów. Wyniki w raporcie zbiorczym + imiennie.
Dla: zespoły 5-15 osób, pierwsze szkolenie w firmie.
Dla: zespoły 10-30 osób, kompleksowe pokrycie art. 21.
Dla: zespoły 20+ osób, firmy z NOC, helpdeskiem 24/7 i własną ofertą security.
Jeden komplet PDF-ów zamyka wymóg art. 21 ust. 2 lit. g u Ciebie jako podmiotu kluczowego. Ten sam komplet wysyłasz klientom, którzy robią Ci audyt dostawcy (art. 21 ust. 2 lit. d). Przewaga konkurencyjna w przetargach: masz gotowe, konkurent nie ma.
Helpdesk nie kliknie w link udający "vendor RMM - krytyczny patch". Inżynier rozpozna podstawionego "klienta", który prosi o reset hasła. Handlowiec zadzwoni do prezesa zamiast wykonać "pilny przelew". Każde z tych trzech kliknięć = ransomware u Ciebie i 30 sieci klientów.
68% ataków zaczyna się od człowieka. Szkolenie to najtańszy sposób na zamknięcie największej furtki. Wiele polis cyber dla MSP ma też niższe składki lub wyższe limity, jeśli pokażesz udokumentowane regularne szkolenia zespołu. Matematyka: koszt szkolenia < jeden incydent u jednego klienta.
Bez pakietów ukrytych kosztów. Bez minimum zamówienia poza 5 osobami. Dojazd i nocleg w cenie (do 300 km od Kwidzyna). Poza tym zasięgiem - ustalamy indywidualnie.
Dojazd i nocleg w cenie · minimum 5 osób
Nagranie dostępne przez 30 dni · minimum 5 osób
Szybki rachunek. MSP 25 osób, pakiet Standard online: 25 × 600 PLN = 15 000 PLN netto. Jeden udany phishing na konto admina = przeciętnie kilkaset tysięcy PLN kosztów odzyskiwania + retencja klienta, który akurat idzie do konkurencji. A kara z art. 34 NIS-2 za nieudokumentowanie szkoleń zaczyna się od 10 mln EUR lub 2% rocznego obrotu.
Porównaj skalę: JBS - 11 mln USD okupu, Change Healthcare - 2,4 mld USD strat, Dole - 10,5 mln USD. Szkolenie dla 15 osób to mniej niż 0,1% tych strat.
Sześć obiekcji, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.
Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.
Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.
Bez znajomości oferty konkurencji trudno odpowiedzieć. Najczęściej różnica jest w: zakresie materiału (ile artykułów NIS-2 omówionych praktycznie), doświadczeniu prowadzącego (pentester korporacyjny vs trener bez projektów), dokumentacji audytowej (zwykłe slajdy vs dedykowana pod NIS-2), dostępie po szkoleniu (brak kontaktu vs AI-asystent + konsultacje 1:1), gwarancji (brak vs 25% miejsc powtórki). 30-minutowa rozmowa rozwiewa wątpliwości w kilku pytaniach - bez zobowiązań.
Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.
NIS-2 dotyczy "essential entities" (Załącznik I) oraz "important entities" (Załącznik II) od progu SME - 50 pracowników lub 10 mln EUR obrotu. W praktyce: jeśli firma działa w jednym z 18 wymienionych sektorów i przekracza próg - NIS-2 was dotyczy. Jeśli firma jest poniżej progu, ale jest dostawcą dla podmiotu NIS-2 - dostaje wymogi przez zapisy kontraktowe. Atakujący też nie rozróżnia rozmiaru firmy, tylko skuteczność zabezpieczeń.
Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.
9 lat w IT: testowanie oprogramowania, automatyzacja, konsulting dla firm sektora finansowego i przemysłowego. Nie jestem pentesterem - jestem inżynierem, który przez dekadę widział z bliska jak pękają procesy i systemy w organizacjach.
Szkolenia z Cyber Awareness prowadziłem m.in. dla: EY (2019), Santander Consumer Bank (2021), Nordea Bank (2018), DNV. Klienci - korporacje, które nie mogą sobie pozwolić na błąd w security.
Certyfikaty: ISTQB (testowanie), OTWA (Offensive Tooling & Web Application), CompTIA Security+ (w toku). Podejście: pokazuję zespołom jak nie dać się okraść - bo przez 9 lat widziałem z bliska jak tego nie robić.
30 minut rozmowy. Ty opowiadasz o firmie - ilu inżynierów, ilu klientów, jakie narzędzia RMM, co już macie z cyber (albo że nic). Ja mówię, jaki pakiet pasuje, kiedy możemy to zrobić i jak wygląda dokumentacja do wysłania klientom w due diligence. Jeśli Ci to pasuje - ustalamy termin. Jeśli nie - dostajesz bezpłatnie checklistę "co musi być w dokumentacji audytowej NIS-2 art. 21 dla MSP".
Zero spamu, zero zobowiązań, zero "niezobowiązujących ofert handlowych".