Program Szkoleń i Świadomości Cyberbezpieczeństwa
1. Wymaganie dla Zarządu (NIS2 art. 21 ust. 1)
Zgodnie z art. 21 ust. 1 NIS2 (implementacja do KSC), organ zarządzający musi uczestniczyć w szkoleniach z zakresu cyberbezpieczeństwa w celu uzyskania wiedzy i umiejętności wystarczających do identyfikowania ryzyk i oceny praktyk zarządzania ryzykiem cyberbezpieczeństwa.
| Uczestnik | Wymagana częstotliwość | Format | Data ostatniego szkolenia |
|---|---|---|---|
| ▸ Prezes / CEO | ▸ min. raz w rokumin. 1×/rok – NIS2 | ▸ [np. 4h warsztaty / e-learning] | ▸ DD.MM.RRRR |
| ▸ [Inni członkowie zarządu] | ▸ min. raz w rokumin. 1×/rok | ▸ | ▸ |
2. Roczny Plan Szkoleń
| Szkolenie | Grupa docelowa | Częstotliwość | Czas trwania | Format | Termin |
|---|---|---|---|---|---|
| Szkolenie wstępne z bezpieczeństwa | Nowi pracownicy | ▸ Przy zatrudnieniumax. 14 dni od zatrudnienia | ▸ [min. 2h]min. 1h | ▸ [e-learning / szkolenie live] | W trakcie onboardingu |
| Szkolenie cykliczne – ogólne | Wszyscy pracownicy | ▸ raz w rokumin. 1×/rok – NIS2 | ▸ [min. 2h]min. 1h | ▸ [np. e-learning / webinar / warsztat] | ▸ [np. Q1 każdego roku] |
| Szkolenie dla zarządu | Zarząd / Kierownictwo | ▸ raz w rokumin. 1×/rok – NIS2 art.21.1 | ▸ [min. 4h]min. 2h | ▸ [np. warsztaty z ekspertem] | ▸ |
| Szkolenie techniczne (IT) | Administratorzy, dział IT | ▸ raz w rokumin. 1×/rok | ▸ [min. 8h]min. 4h | ▸ [konferencja / kurs / certyfikacja] | ▸ |
| Symulacja phishingu | Wszyscy pracownicy | ▸ 2–4 razy w rokumin. 2×/rok | N/D (kampania) | Symulowany phishing | ▸ [np. co kwartał] |
| Szkolenie po incydencie | Dotknięci incydentem | Po każdym poważnym incydencie | ▸ [zależnie od incydentu] | ▸ [sesja debrief + szkolenie] | W ciągu 30 dni po incydencie |
3. Treści Programowe
Szkolenie wstępne i cykliczne (minimum):
- Polityka Bezpieczeństwa Informacji – podstawowe zasady (DOC-001),
- Rozpoznawanie phishingu, smishingu i vishingu,
- Bezpieczne hasła i korzystanie z MFA,
- Klasyfikacja informacji i zasady postępowania z danymi (DOC-010),
- Zgłaszanie incydentów – jak i kiedy (DOC-005/006),
- Bezpieczna praca zdalna i BYOD,
- Social engineering – rozpoznawanie manipulacji,
- Clean desk / screen policy.
Szkolenie dla zarządu (minimum):
- Krajobraz zagrożeń cyberbezpieczeństwa w sektorze,
- Wymagania NIS2/KSC i odpowiedzialność zarządu,
- Zarządzanie ryzykiem cyberbezpieczeństwa – koncepcja,
- Case studies incydentów sektorowych,
- Ćwiczenie decyzyjne (tabletop).
4. Symulacje Phishingu
Kampanie wysyłane przez: ▸ [np. KnowBe4 / Proofpoint Security Awareness / GoPhish]
| Wskaźnik | Cel organizacji | Działanie przy przekroczeniu |
|---|---|---|
| Click rate (% kliknięć w link) | ▸ [np. poniżej 5%]cel <10% | Dodatkowe szkolenie dla klikających, komunikat ogólny |
| Report rate (% zgłoszeń phishingu) | ▸ [np. powyżej 70%]cel >50% | Analiza przyczyny niskiego wskaźnika |
| Credential submission (% podających dane) | ▸ [0%]cel 0% | Natychmiastowe szkolenie 1:1, reset hasła |
5. Rejestr Szkoleń
CISO / HR prowadzi centralny rejestr uczestnictwa w szkoleniach. Rejestr zawiera: imię i nazwisko, stanowisko, typ szkolenia, datę, wynik (zdany/niezaliczony/N/D), podpis lub potwierdzenie e-learningowe.
Przechowywanie: ▸ [min. 5 lat]min. 5 lat – KSC/NIS2.
Narzędzie: ▸ [np. LMS (Moodle/KnowBe4) / rejestr HR / arkusz Excel]
Organizacja potwierdza, że szkolenia dla organu zarządzającego były przeprowadzone w roku: ▸ [rok], data: ▸ DD.MM.RRRR, uczestnicy: ▸ [lista uczestników z zarządu].
Historia Zmian
| Wersja | Data | Autor | Opis | Zatwierdził |
|---|---|---|---|---|
| ▸ 1.0 | ▸ | ▸ | ▸ Pierwsze wydanie | ▸ Zarząd |