Od 3 kwietnia 2026 sektor kosmiczny — operatorzy naziemnej infrastruktury kosmicznej, operatorzy satelitarni, dostawcy usług kosmicznych — to "kluczowy podmiot" zgodnie z Dyrektywą NIS-2 (Załącznik I pkt 11). To oznacza konkretny obowiązek: regularne szkolenia pracowników z higieny cyberbezpieczeństwa — zapisane wprost w art. 21 ust. 2 lit. g.
Jeśli Twoja firma tego nie udokumentuje, odpowiedzialność spada osobiście na członków zarządu (art. 20), a kara dla spółki może sięgnąć 10 mln EUR lub 2% rocznego obrotu — wybiera się kwotę wyższą (art. 34 ust. 4).
Rozmawiamy o Twojej organizacji — stacja naziemna, kontrola misji, zespół operacyjny, dostawcy.
To nie są hipotetyczne scenariusze. To konkretne incydenty, konkretne straty, udokumentowane publicznie — od wojny w Ukrainie po Bałtyk.
Godzinę przed rosyjską inwazją na Ukrainę atakujący dostali się przez VPN do centrum zarządzania siecią KA-SAT w Turynie (zarządzanym przez Eutelsat), a następnie rozesłali do modemów wiper AcidRain, który trwale zablokował ok. 40 000 modemów. Skutek uboczny w Niemczech: 5 800 turbin wiatrowych Enercon o łącznej mocy 11 GW straciło zdalne sterowanie i monitoring (same turbiny pracowały autonomicznie, ale operator stracił widoczność). UE, Wielka Brytania i USA oficjalnie przypisały atak rosyjskiemu wywiadowi wojskowemu GRU.
Źródła: Wikipedia — Viasat hack · SentinelOne: AcidRain Wiper · MIT Technology Review · PV Magazine (Enercon 11 GW).
Od marca 2022 rosyjskie jednostki walki elektronicznej próbowały zakłócać sygnał terminali Starlink na Ukrainie. SpaceX — według oficjeli Pentagonu — załatała jeden z ataków "linią kodu w ciągu doby", ale próby cyberataków trwają do dziś. Elon Musk publicznie przyznał: "Starlink oparł się dotąd rosyjskiemu jammingowi i próbom hakerskim, ale oni nasilają wysiłki". Dokumenty z wycieku Pentagonu (2023) opisują konkretny rosyjski system walki elektronicznej "Tobol" wymierzony w Starlink.
Źródła: Breaking Defense (Pentagon, kwiecień 2022) · Washington Post — Discord leaks Starlink · Space.com: Musk o cyberatakach na Starlink.
Konto zewnętrznego użytkownika zostało przejęte. Atakujący wykorzystali nieautoryzowane Raspberry Pi podłączone do sieci JPL jako punkt startowy, potem rozszerzyli dostęp lateralnie. Wykradli ok. 500 MB danych z systemów misji marsjańskich, w tym dwa pliki objęte ITAR (kontrola eksportu uzbrojenia). Naruszenie pozostało niewykryte przez 10 miesięcy. Audyt OIG NASA 2019: główna przyczyna to brak segmentacji sieci i brak rejestru urządzeń (shadow IT) — klasyczny problem organizacji z wieloma dostawcami zewnętrznymi.
Źródła: NASA OIG Report IG-19-022 (PDF) · BankInfoSecurity · Threatpost.
Od czerwca do października 2024 czujniki pod Gdańskiem zarejestrowały 84 godziny zakłóceń sygnałów GNSS (GPS/GLONASS/Galileo/BeiDou), w tym 29 godzin w samym październiku. Błędy pozycjonowania sięgały 30 metrów. Łotewski urząd zanotował 820 przypadków zakłóceń w 2024 r. wobec 26 w 2022 r. Finnair w okresie kwiecień-maj 2024 zawiesił loty do Tartu w Estonii. Polscy i europejscy badacze triangulowali źródło: obwód kaliningradzki. Dla operatora stacji naziemnej lub dostawcy usług kosmicznych oznacza to realne, ciągłe ryzyko operacyjne — nie teoretyczne.
Źródła: GPSPATRON & Uniwersytet Morski w Gdyni · Defense News · PBS — Baltic GPS jamming.
Coroczne zawody DARPA/US Space Force z atakowaniem realnych satelitów. W 2023 roku jeden z zespołów przejął pełną kontrolę nad satelitą Moonlighter w czasie poniżej 90 minut. Wniosek Pentagonu z 2024 (RSA Conference): stacje naziemne to najłatwiejszy cel dla państw przeciwników do zakłócania zasobów kosmicznych. ENISA w raporcie o bezpieczeństwie komercyjnych operacji satelitarnych wskazuje identyczne wektory — socjotechnika na operatora, phishing pod dostawcę łańcucha dostaw, kompromitacja konta z dostępem do systemu kontroli misji.
Źródła: Defense One (DoD, RSA 2024) · Aerospace Corporation — CYSAT 2023 · ENISA: Securing Commercial Satellite Operations.
68% naruszeń cyber angażuje element ludzki.
Nie chodzi o exploit zero-day ani supergeniusza z kapturem. Chodzi o kliknięcie w link, wpisanie hasła na fałszywej stronie, otwarcie załącznika, uleganie socjotechnice. W sektorze kosmicznym wektor numer jeden to operator stacji naziemnej, inżynier misji lub administrator IT — nie sama platforma satelitarna. Szkolenie pracowników to nie "miękki dodatek", to obrona, która adresuje 2/3 realnego ryzyka.
Źródło: Verizon Data Breach Investigations Report 2024 — "the human element was a component of 68% of breaches".
Dyrektywa 2022/2555 (NIS-2) została transponowana do polskiego porządku prawnego (ustawa o KSC) i obowiązuje w pełni od 3 kwietnia 2026. Poniżej cztery konkretne artykuły, które dotyczą Twojej organizacji bezpośrednio.
Przestrzeń kosmiczna to sektor "kluczowy" (essential entity) w Załączniku I NIS-2. Obejmuje operatorów naziemnej infrastruktury kosmicznej (ground-based), którą posiadają, którą zarządzają i którą obsługują państwa członkowskie lub podmioty prywatne, wspierających świadczenie usług kosmicznych — z wyłączeniem operatorów publicznych sieci łączności elektronicznej. Wyższa stawka kar, surowsza egzekucja, obowiązek zgłaszania incydentów w ciągu 24h.
"Podstawowe praktyki w zakresie higieny cyberbezpieczeństwa i szkolenia w zakresie cyberbezpieczeństwa" — cytat wprost z dyrektywy. Nie "zalecane". Wymagane. Dla wszystkich pracowników mających dostęp do systemów informatycznych: operatorzy stacji naziemnej, inżynierowie misji, IT, administracja, kontakt z dostawcami.
Organy zarządzające zatwierdzają środki cyberbezpieczeństwa, nadzorują ich wdrożenie i ponoszą osobistą odpowiedzialność za naruszenia. Członkowie zarządu mają obowiązek odbyć szkolenie — a pracowników zachęca się "regularnie" do analogicznych.
Dla kluczowych podmiotów: minimum 10 000 000 EUR lub 2% całkowitego rocznego obrotu na poziomie światowym — w zależności od tego, która kwota jest wyższa. Do tego sankcje osobiste: zawieszenie funkcji CEO, dyrektora operacji, członka zarządu.
Dokumentacja ≠ papierek. Audytor sprawdza: listę obecności, program szkolenia, test końcowy, certyfikaty, cykliczność (raz na rok lub po zmianie stanowiska). Brak któregokolwiek = niewypełnienie art. 21. Brak art. 21 = kara z art. 34.
Szkolenie dopasowane do realiów organizacji kosmicznej — stacja naziemna, kontrola misji, łańcuch dostaw, zespoły inżynierskie, zgodność ITAR/EAR. Konkretne przykłady ataków na Twoją branżę, nie generyczne slajdy.
Stacjonarnie u Ciebie lub online przez Zoom. 6-8 modułów zależnie od pakietu. Pracownicy dostają realne przykłady: spearphishing pod dostawcę komponentów, BEC, ataki na ground station, socjotechnika na operatora misji.
Lista obecności z podpisami, program szkolenia, test końcowy z wynikami, imienne certyfikaty. Wszystko w PDF, podpisane elektronicznie. Dokładnie to, czego audytor NIS-2 potrzebuje do zamknięcia wymogu z art. 21.
Realne scenariusze z sektora kosmicznego — mail od "kontrahenta ESA" z podmienionym numerem konta, fałszywy serwisant urządzeń antenowych, podejrzane CV "inżyniera misji" z makrem, podstawione urządzenie USB w strefie kontroli. Nie abstrakcja — wzorce które już uderzyły w JPL, Viasat, operatorów satelitarnych.
12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu: nie wystarczy obecność — trzeba pokazać że wiedza została sprawdzona. Wyniki w raporcie zbiorczym + imiennie.
Dla: zespoły 5-15 osób, pierwsze szkolenie w organizacji.
Dla: zespoły 10-30 osób, kompleksowe pokrycie art. 21.
Dla: zespoły 20+ osób, organizacja z ground station i działem IT.
Dokumentacja gotowa dla audytora wewnętrznego i zewnętrznego. Jeden komplet PDF-ów zamyka wymóg art. 21 ust. 2 lit. g dla wszystkich uczestników. Możesz pokazać kontrahentowi ESA, organowi nadzorującemu, ubezpieczycielowi cyber.
Nie klikną w "zaktualizowaną ofertę od dostawcy anten". Zauważą że numer konta w fakturze jest inny niż zwykle. Zadzwonią do kierownika zamiast wykonać "pilny przelew". Zgłoszą dziwnego serwisanta w strefie kontroli. To kapitał, który zostaje w organizacji na lata.
Skoro 68% ataków zaczyna się od człowieka, a Pentagon i ENISA zgodnie wskazują stacje naziemne jako najłatwiejszy cel — szkolenie jest najtańszym sposobem na zamknięcie największej furtki. Cena szkolenia < koszt jednego zablokowanego okna operacyjnego misji.
Bez pakietów ukrytych kosztów. Bez minimum zamówienia. Dojazd i nocleg w cenie (do 300 km od Kwidzyna). Poza tym zasięgiem — ustalamy indywidualnie.
Dojazd i nocleg w cenie · minimum 5 osób
Nagranie dostępne przez 30 dni · minimum 5 osób
Szybki rachunek. Organizacja 25 osób, pakiet Standard online: 25 × 600 PLN = 15 000 PLN netto. Kara z art. 34 NIS-2 za nieudokumentowanie szkoleń z art. 21 zaczyna się od 10 mln EUR lub 2% rocznego obrotu.
Porównaj skalę: JBS - 11 mln USD okupu, Change Healthcare - 2,4 mld USD strat, Dole - 10,5 mln USD. Szkolenie dla 15 osób to mniej niż 0,1% tych strat.
Sześć obiekcji, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.
Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.
Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.
Bez znajomości oferty konkurencji trudno odpowiedzieć. Najczęściej różnica jest w: zakresie materiału (ile artykułów NIS-2 omówionych praktycznie), doświadczeniu prowadzącego (pentester korporacyjny vs trener bez projektów), dokumentacji audytowej (zwykłe slajdy vs dedykowana pod NIS-2), dostępie po szkoleniu (brak kontaktu vs AI-asystent + konsultacje 1:1), gwarancji (brak vs 25% miejsc powtórki). 30-minutowa rozmowa rozwiewa wątpliwości w kilku pytaniach - bez zobowiązań.
Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.
NIS-2 dotyczy "essential entities" (Załącznik I) oraz "important entities" (Załącznik II) od progu SME - 50 pracowników lub 10 mln EUR obrotu. W praktyce: jeśli firma działa w jednym z 18 wymienionych sektorów i przekracza próg - NIS-2 was dotyczy. Jeśli firma jest poniżej progu, ale jest dostawcą dla podmiotu NIS-2 - dostaje wymogi przez zapisy kontraktowe. Atakujący też nie rozróżnia rozmiaru firmy, tylko skuteczność zabezpieczeń.
Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.
Pracowałem zarówno w małych firmach, jak i w korporacjach — i wszędzie widziałem to samo: jeden klik nieuważnego pracownika potrafi kosztować fortunę.
9 lat w IT — jako tester oprogramowania i konsultant, osoba która z bliska widzi, jak działają systemy firm od środka. Wiem, gdzie zwykle pojawiają się luki i jak atakujący je wykorzystują, bo obserwowałem to z obu stron: osoby która buduje oprogramowanie i osoby która szuka w nim słabych punktów.
Na szkoleniu nie czytam teorii z podręcznika — pokazuję realne ataki krok po kroku, na przykładach z sektora kosmicznego (Viasat, JPL, Starlink, Hack-a-Sat, Bałtyk). Twoi pracownicy rozpoznają je w swojej skrzynce nawet pół roku po szkoleniu.
30 minut rozmowy. Ty opowiadasz o organizacji — ilu pracowników, jakie stanowiska (operatorzy, inżynierowie misji, IT, administracja), co już macie z cyber (albo że nic). Ja mówię, jaki pakiet pasuje, kiedy możemy to zrobić i jak wygląda dokumentacja. Jeśli Ci to pasuje — ustalamy termin. Jeśli nie — dostajesz bezpłatnie checklistę "co musi być w dokumentacji audytowej NIS-2 art. 21".
Zero spamu, zero zobowiązań, zero "niezobowiązujących ofert handlowych".