DYREKTYWA NIS2 wdrażanie i zarządzanie cyberbezpieczeństwem
Kategoria: ! POLECANE SZKOLENIA !, Cyberbezpieczeństwo / NIS2 / DORA
*PROMOCYJNA CENA – przy zgłoszeniu 2 osób
* Promocyjna cena obowiązuje przy zgłoszenia minimum 2 osób na szkolenie realizowane w formule on-line w tym samym terminie.
W uwagach w formularzu zgłoszenia proszę dopisać: „PROMOCJA dla dwóch″
PROMOCYJNA CENA SZKOLENIA od osoby 750,-zł netto / 922,50,-zł brutto
Katalogowa cena szkolenia: netto 990,- zł / brutto 1217,7,- zł od osoby
Czas trwania szkolenia: 1 dzień w godzinach 9:00-15:30
Informacje podstawowe
Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (druk sejmowy nr 1955) — implementacja dyrektywy NIS2 i 5G Toolbox do polskiego porządku prawnego.
| Etap /Parametr | Data / Opis |
| Sejm – uchwalenie | 23 stycznia 2026 r. |
| Senat – przyjęcie bez poprawek | 28 stycznia 2026 r. |
| Podpis Prezydenta RP | 19 lutego 2026 r. + wniosek do TK |
| Ogłoszenie w Dzienniku Ustaw | 2 marca 2026 r. |
| Wejście w życie (vacatio legis 1 mies.) | 2 kwietnia 2026 r. |
| Deadline: samoidentyfikacja i rejestracja | 2 października 2026 r. (6 mies. od wejścia w życie) |
| Deadline: pełna compliance | 2 kwietnia 2027 r. (12 mies. od wejścia w życie) |
| System S46 – raportowanie incydentów | Od 2 kwietnia 2027 r. (wydłużone o 12 mies.) |
UWAGA – Trybunał Konstytucyjny (kontrola następcza)
Prezydent skierował ustawę do TK w trybie kontroli następczej. Kontrola NIE wstrzymuje wejścia w życie ustawy. Zaskarżone przepisy dotyczą: (1) mechanizmu Dostawcy Wysokiego Ryzyka (DWR) – braku odszkodowania za nakazaną wymianę sprzętu, (2) poleceń zabezpieczających – ingerencji w autonomię przedsiębiorców, (3) objęcia 18 sektorów regulacją ponad wymagania dyrektywy NIS2. Wynik TK może skutkować uchyleniem wybranych przepisów.
Adresaci szkolenia
Szkolenie przeznaczone jest dla:
- pracowników działów odpowiedzialnych za bezpieczeństwo informatyczne, których celem jest zwiększenie odporności cyfrowej organizacji, chcących zapoznać się z wymogami Dyrektywy NIS2,
- kadry menadżerskiej i pracowników związanych z bezpieczeństwem,
- wszystkich osób, które chcą dowiedzieć się więcej o dyrektywie NIS 2 i jej wpływie na zwiększenie bezpieczeństwa w firmie.
Dyrektywa NIS2 zaostrza wymogi bezpieczeństwa dla przedsiębiorstw, narzucając podejście oparte na zarządzaniu ryzykiem i określając podstawowe środki bezpieczeństwa cybernetycznego, które muszą wprowadzić wszystkie organizacje objęte zakresem dyrektywy.
Program szkolenia
MODUŁ 1 | Wprowadzenie do wdrażania i zarządzania cyberbezpieczeństwem
a) Podstawowe pojęcia i terminologia
- Kluczowe definicje: bezpieczeństwo informacji, cyberbezpieczeństwo, incydent, ryzyko
- Ekosystem regulacyjny UE: NIS2, DORA, CRA, AI Act – wzajemne relacje i pokrycia
- [NOWE 2026] Terminologia polska wg nowelizacji KSC: podmiot kluczowy, podmiot ważny, podmiot publiczny kluczowy, CSIRT sektorowy
- [NOWE 2026] Dostawca Wysokiego Ryzyka (DWR) – definicja ustawowa, tryb uznania, skutki prawne
b) Cele i korzyści wdrażania cyberbezpieczeństwa
- Strategiczne cele zarządzania cyberbezpieczeństwem w organizacji
- Perspektywa zarządu vs. perspektywa operacyjna IT
- [NOWE 2026] Odpowiedzialność osobista kierownictwa na gruncie nowelizacji KSC:
- Kary finansowe do 600% miesięcznego wynagrodzenia za rażące naruszenia obowiązków
- Zakaz pełnienia funkcji kierowniczych do 2 lat
- Zakres podmiotowy: CEO, CISO, CTO i inne osoby odpowiedzialne za bezpieczeństwo IT
c) Wyzwania związane z wdrożeniem – krajobraz 2026
- Aktualny krajobraz zagrożeń: ransomware, ataki na łańcuch dostaw, AI-driven attacks
- Specyfika sektora publicznego vs. prywatnego w kontekście KSC
- [NOWE 2026] Polskie środowisko regulacyjne po uchwaleniu KSC – wyzwania praktyczne i ryzyka wdrożeniowe
MODUŁ 2 | Dyrektywa NIS2 – wymagania i implementacja polska (nowelizacja KSC)
a) Cel i zakres dyrektywy NIS2
- Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r.
- Nowości vs. NIS1: rozszerzony zakres podmiotowy, zaostrzenie sankcji, nowe sektory
- 18 sektorów objętych regulacją – podział i charakterystyka
- [NOWE 2026] Zakończony proces implementacji NIS2 w Polsce – nowelizacja KSC jako ustawa wdrażająca
b) Podmioty objęte nowelizacją KSC [NOWE 2026]
- Kategoria 1 – Podmioty kluczowe: najwyższy rygor obowiązków, najsurowsze sankcje
- Kategoria 2 – Podmioty ważne: nieco złagodzone wymagania i progi sankcji
- Kategoria 3 – Podmioty publiczne kluczowe: większość administracji publicznej automatycznie klasyfikowana jako kluczowa
- Szacowana liczba podmiotów objętych nowelizacją: ok. 38 000
- Nowe sektory objęte polskim KSC (ponad wymagania NIS2):
- Odprowadzanie i oczyszczanie ścieków
- Usługi pocztowe i kurierskie
- Sektor kosmiczny
- Produkcja i dystrybucja żywności
- Produkcja i dystrybucja chemikaliów
- Zarządzanie usługami ICT (sektor B2B)
c) Samoidentyfikacja i rejestracja [NOWE 2026]
- Obowiązek samodzielnej oceny własnego statusu (podmiot kluczowy/ważny/poza zakresem)
- Procedura rejestracji u Ministra Cyfryzacji – termin: 2 października 2026 r.
- Kryteria klasyfikacji – sektory z załączników do ustawy i progi wielkościowe
- Wyznaczenie osoby kontaktowej / punktu zgłoszeń do właściwego CSIRT
- Konsekwencje braku samoidentyfikacji – sankcje i odpowiedzialność
d) Wymagania dot. środków technicznych i organizacyjnych
- Analiza ryzyka i polityki bezpieczeństwa systemów informatycznych
- Obsługa incydentów: wykrywanie, klasyfikacja, reagowanie, dokumentowanie
- Ciągłość działania: backup, disaster recovery, zarządzanie kryzysowe
- Bezpieczeństwo łańcucha dostaw i relacji z dostawcami zewnętrznymi
- Szyfrowanie, kontrola dostępu, uwierzytelnianie wieloskładnikowe (MFA)
- Bezpieczeństwo zasobów ludzkich i szkolenia pracowników
- Bezpieczeństwo fizyczne centrów przetwarzania danych i obiektów krytycznych
e) Raportowanie incydentów – System S46 [NOWE 2026]
- Trzyetapowy model zgłaszania incydentów wg NIS2: wczesne ostrzeżenie → zgłoszenie → raport końcowy
- [NOWE 2026] System S46 jako krajowa platforma elektronicznego raportowania:
- Obowiązek stosowania S46 ODROCZONY o 12 miesięcy – start od 2 kwietnia 2027 r.
- Wymagania techniczne i proceduralne systemu
- Format zgłoszeń i wymagane pola danych
- Progi istotności incydentów kwalifikujących do obowiązkowego zgłoszenia
- Terminy: 24h (wczesne ostrzeżenie), 72h (zgłoszenie formalne), 1 miesiąc (raport końcowy)
- Podmioty przyjmujące zgłoszenia: CSIRT NASK, CSIRT MON, CSIRT GOV, CSIRT sektorowe
f) Dostawca Wysokiego Ryzyka (DWR) [NOWE 2026]
Przepisy DWR objęte kontrolą Trybunału Konstytucyjnego
Mechanizm Dostawcy Wysokiego Ryzyka jest zaskarżony do TK. Przepisy obowiązują w pełni, lecz mogą ulec zmianie lub uchyleniu. Organizacje powinny monitorować postępowanie TK i zachować elastyczność w planowaniu wdrożeń.
- Tryb uznania dostawcy za DWR: decyzja Ministra Cyfryzacji po konsultacjach (CSIRT GOV, ABW, SKW, MC)
- Skutki decyzji o uznaniu za DWR:
- Zakaz nabywania nowych produktów i usług od danego dostawcy
- Obowiązek wycofania posiadanego sprzętu i oprogramowania DWR z podmiotów kluczowych i ważnych
- Termin wycofania: 4–7 lat od doręczenia decyzji
- Brak odszkodowania państwowego za nakazaną wymianę – kwestia zaskarżona do TK
- Weryfikacja sądowa decyzji: ograniczony dostęp do informacji niejawnych przez DWR
- Szacowane koszty branżowe: telekomunikacja ~14 mld PLN, szpitale ~3,7 mld PLN / 5 lat
- Polska wyprzedziła UE: Cybersecurity Act 2 (projekt KE, 20.01.2026) zmierza w podobnym kierunku
g) Polecenia zabezpieczające i uprawnienia organów [NOWE 2026]
- Uprawnienie ministra właściwego do wydawania poleceń zabezpieczających w sytuacjach zagrożenia
- Zakres poleceń: obowiązki techniczne i organizacyjne dla podmiotów KSC
- Tryb wydawania, zaskarżania i wykonywania poleceń
- Ingerencja w autonomię przedsiębiorców – kwestia zaskarżona do TK
h) Struktury krajowe i współpraca [NOWE 2026]
- Kolegium ds. Cyberbezpieczeństwa – skład, kompetencje, tryb pracy
- [NOWE 2026] Udział Prezydenta RP lub jego przedstawiciela w pracach KSC (poprawka parlamentarna)
- [NOWE 2026] CSIRT sektorowe – nowy element architektury polskiego KSC:
- Funkcje: reagowanie na incydenty, budowanie bazy wiedzy o zagrożeniach w sektorze
- Relacja z CSIRT NASK, CSIRT MON, CSIRT GOV
- Współpraca transgraniczna: ENISA, sieć CSIRT UE, punkty kontaktowe NIS2
MODUŁ 3 | Cykl życia cyberbezpieczeństwa – ISO/IEC 27001 a wymagania KSC
a) Etapy cyklu życia cyberbezpieczeństwa
- Model PDCA (Plan-Do-Check-Act) w kontekście SZBI i KSC
- Mapowanie wymagań ISO 27001:2022 na obowiązki wynikające z nowelizacji KSC
- [NOWE 2026] Obowiązek audytu bezpieczeństwa jako wymóg ustawowy:
- Podmioty kluczowe: audyt co 2 lata (zewnętrzny lub wewnętrzny akredytowany)
- Podmioty ważne: audyt co 3 lata
- Zakres audytu, kwalifikacje audytorów, dokumentacja wyników
b) Planowanie cyberbezpieczeństwa
- Inwentaryzacja zasobów i mapowanie procesów krytycznych
- Analiza luk (gap analysis) wobec wymagań KSC/NIS2
- Planowanie budżetu i zasobów ludzkich na dostosowanie do wymogów
- [NOWE 2026] Roadmapa compliance KSC 2026–2027 – priorytety i kamienie milowe
c) Wdrażanie cyberbezpieczeństwa
- Polityki, procedury i instrukcje bezpieczeństwa – struktura dokumentacyjna
- Techniczne środki ochrony: WAF, SIEM/SOAR, EDR/XDR, IAM, MFA, PAM
- Bezpieczeństwo łańcucha dostaw – ocena, kontraktowanie i monitoring dostawców ICT
- [NOWE 2026] Klauzule umowne uwzględniające obowiązki KSC – wymagania wobec podwykonawców
d) Monitorowanie, ocena i kontrola
- Wskaźniki KPI/KRI bezpieczeństwa – projektowanie i raportowanie
- Monitoring ciągły i zarządzanie podatnościami (vulnerability management)
- [NOWE 2026] Organy nadzorcze po nowelizacji KSC: rozszerzone uprawnienia kontrolne i sankcyjne
e) Utrzymanie i doskonalenie
- Zarządzanie zmianą w SZBI – procedury i dokumentacja
- Przeglądy zarządcze, wewnętrzne audyty, programy awareness
- Lekcje wyciągnięte z incydentów – integracja z procesem doskonalenia
MODUŁ 4 | [NOWE 2026] Harmonogram wdrożenia – wymagania czasowe KSC 2026–2027
Kluczowy moduł dodany w związku z wejściem w życie nowelizacji KSC w dniu 2 kwietnia 2026 r. Dotyczy podmiotów objętych ustawą jako kluczowe lub ważne.
| Etap / Parametr | Data / Opis |
| 2 IV 2026 | Wejście ustawy w życie – obowiązują ALL przepisy (poza S46) |
| Natychmiast | Ocena wstępna: czy organizacja podlega ustawie i jako jaki podmiot? |
| Natychmiast | Przegląd/wdrożenie procedur obsługi incydentów wg wymagań KSC |
| Natychmiast | Identyfikacja dostawców ICT pod kątem ryzyk DWR |
| Do 2 X 2026 (+6 mies.) | SAMOIDENTYFIKACJA: ocena własna + rejestracja u Min. Cyfryzacji |
| Do 2 X 2026 (+6 mies.) | Wyznaczenie osoby kontaktowej / punktu kontaktowego CSIRT |
| Do 2 IV 2027 (+12 mies.) | Pełna compliance: wszystkie wymagania techniczne i organizacyjne |
| Od 2 IV 2027 | System S46 – obowiązek raportowania incydentów przez platformę |
Zagadnienia praktyczne – lista działań wdrożeniowych
- Procedura samoidentyfikacji krok po kroku: sprawdzenie sektorów z załączników do ustawy
- Wzory dokumentów zgłoszeniowych do rejestru Ministra Cyfryzacji
- Projektowanie lub aktualizacja polityki bezpieczeństwa zgodnej z KSC
- Zarządzanie relacjami z dostawcami ICT: klauzule umowne KSC/NIS2
- Ocena ryzyka łańcucha dostaw – mapowanie i klasyfikacja dostawców
- Planowanie i zlecenie audytu bezpieczeństwa (w terminie wymaganym ustawą)
- Budowanie lub kontraktowanie zdolności SOC/CSIRT dla obsługi incydentów
- Szkolenia i podnoszenie świadomości pracowników – wymaganie ustawowe
MODUŁ 5 | [NOWE 2026] Sankcje i odpowiedzialność – reżim kar wg nowelizacji KSC
a) Kary administracyjne dla podmiotów
| Etap / Parametr | Data / Opis |
| Podmiot kluczowy | Max 10 000 000 EUR lub 2% całkowitego rocznego obrotu (wyższa kwota) |
| Podmiot ważny | Max 7 000 000 EUR lub 1,4% całkowitego rocznego obrotu (wyższa kwota) |
b) Osobista odpowiedzialność kierownictwa [NOWE 2026]
- Novum w polskim prawie cyberbezpieczeństwa – odpowiedzialność menedżerów jako osób fizycznych
- Kara finansowa dla osób fizycznych: do 600% miesięcznego wynagrodzenia za rażące naruszenia
- Zakaz pełnienia funkcji kierowniczych w podmiocie KSC: do 2 lat
- Zakres podmiotowy: CEO, CISO, CTO, Pełnomocnik ds. bezpieczeństwa i inne osoby odpowiedzialne
- Przesłanki nałożenia kary: rażące niedopełnienie obowiązków, świadome działanie wbrew przepisom
c) Najczęstsze naruszenia skutkujące sankcją
- Brak samoidentyfikacji i rejestracji w wymaganym terminie
- Niezgłoszenie istotnego incydentu w wymaganych terminach
- Brak lub nieadekwatność środków technicznych i organizacyjnych
- Nieprzeprowadzenie audytu bezpieczeństwa w wymaganym terminie
- Niedostateczne zarządzanie ryzykiem łańcucha dostaw
- Brak wyznaczenia osoby kontaktowej lub punktu zgłoszeń do CSIRT
MODUŁ 6 | Metodologia, narzędzia i kontekst europejski
a) Metodologia wdrażania compliance KSC/NIS2
- Podejście projektowe: etapy, kamienie milowe, zasoby, interesariusze
- Integracja z ISO 27001, ISO 27005, NIST CSF 2.0, CIS Controls
- [NOWE 2026] Tabela odniesień: wymagania KSC ↔ ISO 27001 ↔ NIST CSF – mapowanie kontrolek
- Quick wins vs. long-term: priorytety dla organizacji pod presją terminów ustawowych
- Zarządzanie programem compliance: RACI, raportowanie do zarządu, budżetowanie
b) Narzędzia oceny i zarządzania cyberbezpieczeństwem
- Ocena dojrzałości cyberbezpieczeństwa (maturity model) – techniki i skale
- Matryca ryzyk cyberbezpieczeństwa – budowa, wartościowanie i aktualizacja
- Rejestr incydentów: struktura, pola danych, cykl życia wpisu
- Metody oceny dostawców ICT pod kątem bezpieczeństwa – ankiety, audyty, certyfikaty
- Narzędzia rynkowe do zarządzania compliance NIS2/KSC – przegląd GRC
c) Plan doskonalenia cyberbezpieczeństwa
- Roadmapa compliance KSC 2026–2027 – szablon z kamieniami milowymi
- Mierniki skuteczności wdrożenia – KPI dla compliance i bezpieczeństwa operacyjnego
- Modele insourcingu vs. outsourcingu zdolności cyberbezpieczeństwa (SOC, CSIRT)
- Budżetowanie działań cyberbezpieczeństwa w organizacji
d) Kontekst europejski i perspektywy [NOWE 2026]
- [NOWE 2026] Cybersecurity Act 2 – projekt rozporządzenia KE z 20 stycznia 2026 r.:
- Mechanizm DWR na poziomie UE dla 18 sektorów NIS2
- Termin wycofania komponentów ICT od DWR: 36 miesięcy od publikacji listy KE
- Polska wyprzedziła UE – docelowa harmonizacja przepisów
- Relacja nowelizacji KSC do DORA (sektor finansowy) – nakładanie się obowiązków i lex specialis
- Relacja do CRA (Cyber Resilience Act) – bezpieczeństwo produktów z elementami cyfrowymi
- Perspektywa aktualizacji ENISA Good Practices dla podmiotów NIS2
Informacje organizacyjne szkolenie stacjonarne
Zapewniamy:
• komfortowe, klimatyzowane sale szkoleniowe zlokalizowane w centrum miasta,
• przerwy kawowe: kawa z ekspresu, różne rodzaje herbat, woda, soki, ciastka, owoce,
• lunch: dwudaniowy obiad.
Informacje organizacyjne szkolenie on-line
• Zapewniamy link do platformy do komunikacji audio/wideo MS TEAMS.
• Uczestnicy szkolenia muszą dysponować laptopem/komputerem z kamerką i mikrofonem z dostępem do Internetu.
Uczestnicy szkolenia otrzymują:
- dużą dawkę praktycznej wiedzy,
- certyfikat ukończenia szkolenia CTS (drukowany/elektroniczny – szkolenie stacjonarne, elektroniczny – szkolenie on-line),
- notatniki, długopisy (tylko na szkoleniu stacjonarnym),
- prezentacje trenerskie (drukowane – szkolenia stacjonarne, dostęp elektroniczny – szkolenia on-line), wykaz aktów prawnych i linki do Dz.U., lista kontrolna compliance, szablony dokumentów.
Zajęcia prowadzone są w języku polskim, autorskie materiały szkoleniowe – prezentacje trenerskie są w języku polskim.
Do podanej ceny netto należy doliczyć 23% VAT lub przedstawić oświadczenie o finasowaniu szkoleniu z środków publicznych.
druk oświadczenia do pobrania>>>