91% cyberataków zaczyna się od wiadomości e-mail. Nie od włamania do serwera, nie od luki zero-day w firewallu, ale od kliknięcia przez pracownika odnośnika, który wyglądał jak faktura od dostawcy. Dyrektywa NIS2, która obowiązuje w Polsce od października 2024 r., mówi wprost: jeśli Twoja firma nie szkoli pracowników z cyberbezpieczeństwa, odpowiedzialność spada na zarząd.
Co dokładnie mówi NIS2 o szkoleniach
Dyrektywa NIS2 nie pozostawia tu pola do interpretacji. Dwa artykuły są kluczowe:
- Artykuł 20 ust. 2 nakłada na organy zarządzające obowiązek zatwierdzania środków zarządzania ryzykiem w cyberbezpieczeństwie, nadzorowania ich wdrażania oraz – co najważniejsze – odbywania regularnych szkoleń. Zarząd nie może delegować odpowiedzialności za cyberbezpieczeństwo i stwierdzić „niech się tym zajmie dział IT”. Musi wiedzieć, jakie ryzyka istnieją i aktywnie nimi zarządzać.
- Artykuł 21 ust. 2 lit. g) wymaga wdrożenia „podstawowych praktyk cyberhigieny i szkoleń w zakresie cyberbezpieczeństwa”. Nie jednorazowo. Nie raz w roku. Regularnie – jako element ciągłego zarządzania ryzykiem.
To oznacza, że szkolenia pracowników z rozpoznawania zagrożeń to nie „miły dodatek” do polityki bezpieczeństwa. To wymóg prawny, za który odpowiada zarząd.
Kary, o których warto wiedzieć
NIS2 wprowadza sankcje porównywalne z RODO. Dla podmiotów kluczowych (energia, transport, zdrowie czy infrastruktura cyfrowa) maksymalna kara wynosi 10 milionów EUR lub 2% rocznego światowego obrotu – w zależności od tego, która kwota jest wyższa.
Dla podmiotów ważnych (produkcja, usługi pocztowe oraz gospodarka odpadami) limit wynosi 7 milionów EUR lub 1,4% obrotu.
Ale kary finansowe to nie jedyne ryzyko. NIS2 przewiduje również możliwość czasowego zawieszenia certyfikatów lub zezwoleń oraz – w skrajnych przypadkach – tymczasowego zawieszenia osób pełniących funkcje zarządcze. Członek zarządu, który nie dopilnował wdrożenia podstawowych praktyk cyberhigieny, ponosi konsekwencje nie tylko jako reprezentant firmy, ale jako konkretna osoba.
Scenariusz, który może spotkać każdą firmę
Poniedziałek, godzina 9:14. Pracownik działu księgowości otwiera e-mail zatytułowany „Korekta faktury – pilne”. Nadawca wygląda jak znany dostawca. Pracownik klika załącznik. W ciągu 40 minut ransomware szyfruje zasoby sieciowe. Firma traci dostęp do systemów na trzy dni.
Podczas analizy incydentu i ewentualnej kontroli regulatora pada pytanie:
Czy organizacja prowadziła regularne szkolenia pracowników z rozpoznawania phishingu?
Jeśli odpowiedź brzmi „tak” i firma jest w stanie to udokumentować – raportami ze szkoleń, wynikami symulacji oraz datami sesji – wówczas incydent jest traktowany jako ryzyko, które materializowało się mimo podjętych środków. Firma zrobiła, co mogła.
Jeśli odpowiedź brzmi „nie” albo „był wykład rok temu, ale nie mamy dokumentacji” – zarząd ma problem. Brak programu szkoleń w firmie objętej NIS2 to zaniedbanie. A zaniedbanie zarządu oznacza odpowiedzialność osobistą.
Co spełnia wymogi NIS2, a co nie
Nie każde działanie edukacyjne spełnia wymogi dyrektywy. Warto wiedzieć, gdzie przebiega granica.
Działania spełniające wymogi:
- Regularne szkolenia (co najmniej kwartalne) obejmujące aktualne zagrożenia
- Symulacje phishingowe sprawdzające realne zachowania pracowników
- Mierzalne wyniki – odsetek kliknięć, postępy w czasie, raporty per dział
- Dokumentacja gotowa pod audyt – daty, uczestnicy, tematy, wyniki
- Automatyczne doszkalanie pracowników, którzy nie zdali symulacji
Działania niespełniające wymogów:
- Jednorazowy wykład raz w roku podczas „dnia bezpieczeństwa”
- PDF z zasadami bezpieczeństwa wrzucony do intranetu
- Regulamin IT podpisywany przy zatrudnieniu i nigdy więcej nieczytany
- Szkolenie e-learningowe odbycie raz, bez powtórek i weryfikacji
Kluczowa różnica? Ciągłość i mierzalność. NIS2 wymaga procesu, a nie jednorazowego zdarzenia. Audytor nie zapyta, czy kiedykolwiek szkoliliście pracowników. Zapyta, kiedy było ostatnie szkolenie, jakie były wyniki i co zrobiliście z osobami, które nie zdały testu.
Jak wygląda program, który naprawdę spełnia NIS2
Skuteczny program szkolenia z cyberbezpieczeństwa składa się z kilku elementów, które muszą działać razem:
- Szkolenia dostosowane do poziomu ryzyka. Dział finansowy dostaje inne scenariusze niż dział produkcji. Nowy pracownik przechodzi proces wdrożenia, a doświadczony – szkolenie uzupełniające. Tematy zmieniają się w rytmie aktualnych zagrożeń.
- Regularne symulacje phishingowe. Co miesiąc pracownicy otrzymują kontrolowane wiadomości phishingowe, które odzwierciedlają realne ataki. Kto kliknie – trafia na dodatkowe szkolenie. Kto zgłosi próbę – buduje kulturę bezpieczeństwa.
- Mierzalne wyniki i trendy. Zarząd otrzymuje raport: odsetek kliknięć spadł z 32% do 8% w ciągu sześciu miesięcy. Dział sprzedaży wymaga dodatkowej uwagi. Trzy osoby klikają systematycznie – potrzebują indywidualnego podejścia.
- Dokumentacja pod audyt. Każde szkolenie, każda symulacja, każdy wynik – zapisane, datowane, gotowe do przedstawienia audytorowi lub regulatorowi. Bez szukania po skrzynkach e-mailowych i arkuszach Excela.
- Automatyzacja. Program działa sam – kolejne kampanie uruchamiają się automatycznie, raporty generują się cyklicznie, a zarząd dostaje podsumowanie bez angażowania działu IT.
Taki program można zbudować wewnętrznie, ale wymaga to wydzielonej osoby, narzędzi i czasu na utrzymanie. Dlatego wiele firm z objętych dyrektywą NIS2 decyduje się na model zarządzany – zewnętrzny zespół wdraża, prowadzi i raportuje program, a klient udostępnia jedynie listę pracowników. Wdrożenie trwa zazwyczaj dwa tygodnie, a po tym czasie firma ma działający, udokumentowany program zgodny z wymogami dyrektywy.
Następny krok
Zanim podejmiesz decyzję o wyborze rozwiązania, warto poznać punkt wyjścia. Jakie jest realne ryzyko w Twojej organizacji? Ilu pracowników kliknie coś w spreparowanej wiadomości?
Przeprowadzimy bezpłatny test podatności na phishing w Twojej firmie. Bez zobowiązań, bez instalacji, bez angażowania działu IT. Dostaniesz raport z wynikami i konkretną rekomendację – co wdrożyć, żeby spełnić wymogi NIS2.