Akademia NIS2/KSC2 od sekuraka – nowe, praktyczne szkolenie dla osób wdrażających tę regulację.

Jeśli w jakikolwiek sposób bierzesz udział w zapewnieniu zgodności Twojej firmy / instytucji z NIS2/KSC2 – to szkolenie jest prawdopodobnie dla Ciebie.

Budując program, postawiliśmy na praktykę – posłuchasz więc nie tylko o ważnych wymogach prawnych, ale zobaczysz, jak to wszystko wygląda w praktyce. Nie zaskoczy Cię żaden audyt :-) A gdy będziesz potrzebować wsparcia lub podpowiedzi jak NIS2 wdrażają inne instytucje / organizacje – będziesz mógł zapytać o pomoc kilkuset innych uczestników szkolenia (mamy dostępny do tego dedykowany chat).

No dobrze, ale dla kogo jest przeznaczona Akademia NIS2/KSC2 od sekuraka? Przede wszystkim dla osób z IT, które otrzymują pakiety wiedzy umożliwiające po pierwsze zrozumienie ram prawnych, a następnie sprawne ich wdrożenie oraz utrzymanie. Do uczestnictwa nie jest wymagana wiedza z bezpieczeństwa IT.

Ze szkolenia skorzystają również osoby mniej techniczne (prawnicy, osoby odpowiedzialne za compliance, project managerowie, …) – dla tych osób mamy mniejszy pakiet szkoleń w ramach biletu COMPLIANCE.

Rozpoczynamy 7 lipca! (dostępne są również nagrania każdej sesji).

Jak wygląda agenda?

Akademia NIS2/KSC2 od sekuraka to pakiet 28 skondensowanych szkoleń on-line (plus dostępne nagrania każdej sesji). Kurs obejmuje trzy moduły szkoleniowe:

• Moduł Cybersec (podpowiadający co i jak wdrożyć w organizacji aby być “zgodnym z NIS2”). Składa się z czternastu szkoleń i przeznaczony jest dla osób technicznych.
• Moduł Cyber Awareness – uświadamiający dlaczego warto dbać o cyberbezpieczeństwo. Składa się z pięciu szkoleń i przeznaczony jest dla wszystkich (zarówno osób technicznych, jak i nietechnicznych).
• Moduł Compliance (pomagający usystematyzować kluczowe aspekty formalno-prawne wdrożenia NIS2/KSC2). Składa się z dziewięciu szkoleń i przeznaczony jest dla wszystkich (osób technicznych i nietechnicznych).

Moduł Cybersec – lista szkoleń. Każde szkolenie trwa około 1.5h. Zawarte tylko w bilecie STANDARD.

• Błyskawiczne sposoby na podniesienie bezpieczeństwa organizacji   
• W audycie 100% zgodność. W praktyce 100% fail. Case studies  
• Wykonaj praktyczny rekonesans zasobów IT organizacji  
• Top 3 bezpłatnych narzędzi, które pomogą Ci we wdrożeniu NIS2  
• Praktyczny wstęp do modelowania zagrożeń  
• Podstawy zabezpieczania systemów OT/ICS  
• Jak w praktyce testować realną odporność organizacji na incydent, a nie tylko gotowość dokumentacji BCP?
• Zegar tyka: 24h na zgłoszenie. Praktyczny pokaz obsługi incydentu (IR) od detekcji po raport do CSIRT  
• Jak wdrożyć SOC na bazie bezpłatnego WAZUH? Wprowadzenie
• SOC w praktyce: jak zacząć / pro tipy #1
• SOC w praktyce: jak zacząć / pro tipy #2
• Najczęstsze podatności w systemach IT polskich firm oraz instytucji [case studies]  
• Jak testować wdrożone przez organizację zabezpieczenia? [testy penetracyjne]  
• Wiem, że mam w swoich systemach podatności. Ale co z tym zrobić? [praktyczne zarządzanie podatnościami]
• Zarządzanie ryzykiem w NIS2 – praktyczne wykorzystanie NIST CSF

Dodatkowo, w skład modułu Cybersec wchodzi dedykowana sesja pytań i odpowiedzi (około 1.5h).

Moduł Cyber Awareness – lista szkoleń. Każde szkolenie trwa około 1.5h. Zawarte we wszystkich biletach.

• Aktualne cyberataki na pracowników firm. Case studies. Pokazy praktyczne, prewencja.
• Jak zbudować program szkoleń / kulturę cyberbezpieczeństwa w organizacji? 
• SOC/IDS/XDR/SIEM/DLP/MFA – jak się połapać w tym wszystkim?  
• Dlaczego bezpieczeństwo dostawców jest istotne? Case studies incydentów.  
• Jak obecnie hackerzy przenikają do organizacji?  

Moduł Compliance. Każde szkolenie trwa około 1.5h. Zawarte we wszystkich biletach.

• Wprowadzenie. Przegląd najważniejszych wymogów NIS 2 / KSC 2 
• Osobista odpowiedzialność zarządu i jak się przed nią obronić?
• Artykuł 21 NIS 2 od środka – co naprawdę oznaczają „odpowiednie środki techniczne i organizacyjne” ? [Dowody operacyjne zgodności z dwóch perspektyw #1]
• Dokumentacja operacyjna, ENISA Technical Guidelines i zdrowy rozsądek [Dowody operacyjne zgodności z dwóch perspektyw #2]
• Współpraca z dostawcami SOC, pentesterami i innymi dostawcami usług cyberbezpieczeństwa
• Obowiązek zgłaszania incydentów a tajemnica przedsiębiorstwa – napięcia prawne.  
• NIS2 a RODO – jeden incydent, dwa reżimy, dwie instytucje.  
• Nadzór i sankcje – jak wygląda kontrola organu i jak się do niej przygotować?  
• Bezpieczeństwo łańcucha dostaw – jak napisać i ocenić umowę z dostawcą ICT pod NIS2?

Dodatkowo, w skład modułu Compliance wchodzi dedykowana sesja pytań i odpowiedzi (około 1.5h).

Nie daj się zaskoczyć audytorowi

Akademia NIS2/KSC2 od sekuraka to konkretna dawka wiedzy i gotowych rozwiązań, które przekażemy w taki sposób, abyś bez problemu spełnił wymagania ustawy. 

• Zrozumiesz, czego wymaga od Ciebie i Twojej organizacji nowe prawo i co może grozić, jeśli tego nie spełnisz. 
• Dowiesz się, jak oceniać bezpieczeństwo swoich dostawców, aby samemu być bezpiecznym.
• Poznasz konkretne, sprawdzone rozwiązania techniczne (m.in. SOC, zarządzanie incydentami, audyty), które realnie podnoszą bezpieczeństwo, a nie tylko „odhaczają” wymogi.
• Dowiesz się, jak uniknąć wysokich kar i osobistej odpowiedzialności kadry zarządzającej.
• Zrozumiesz, dlaczego warto dbać o cyberbezpieczeństwo organizacji i jak uniknąć najgroźniejszych ataków cyberprzestępców.

Nie bój się NIS2/KSC2 – to naprawdę da się ogarnąć bez bólu. Postaw na pomoc sprawdzonego i doświadczonego partnera, a żaden audytor Cię nie zaskoczy 😁

Jakie obowiązki czekają na podmioty objęte ustawą?

Dyrektywa nakłada na podmioty z sektorów kluczowych i ważnych rygorystyczne obowiązki w zakresie cyberbezpieczeństwa. Obejmują one m.in. wdrożenie zarządzania ryzykiem, raportowanie incydentów, zapewnienie ciągłości działania oraz bezpieczeństwo łańcucha dostaw. 

Główne obszary obowiązków obejmują:

1. Zarządzanie ryzykiem i środki bezpieczeństwa

Podmioty muszą wdrożyć odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne. Wymagane są m.in.: analiza ryzyka i polityka bezpieczeństwa systemów informatycznych, stosowanie kryptografii i szyfrowania danych, uwierzytelnianie wieloskładnikowe i bezpieczeństwo zasobów ludzkich oraz kontrola dostępu.

2. Ścisłe procedury zgłaszania incydentów

Obowiązuje rygorystyczny, wielostopniowy system raportowania poważnych incydentów do właściwych zespołów CSIRT lub organu nadzorczego (wczesne ostrzeżenie; maksymalnie do 24 godzin od wykrycia; zgłoszenie pełne: do 72 godzin; raport końcowy: do miesiąca od zakończenia incydentu).

3. Ciągłość działania i odtwarzanie po awarii

Podmioty muszą przygotować plany na wypadek poważnych zakłóceń, w tym m.in. procedury tworzenia kopii zapasowych (backupy) oraz procedury odzyskiwania danych i systemów.

4. Bezpieczeństwo łańcucha dostaw

Podmioty są zobowiązane do nadzorowania poziomu cyberbezpieczeństwa swoich bezpośrednich dostawców i usługodawców IT, co często wiąże się z koniecznością renegocjacji umów.

5. Odpowiedzialność kadry zarządzającej

NIS2 zdejmuje wyłączną odpowiedzialność za bezpieczeństwo z działów IT i przenosi ją na kierownictwo. Zarząd musi aktywnie zatwierdzać i nadzorować środki zarządzania ryzykiem. Członkowie zarządu są zobowiązani do regularnego odbywania szkoleń z zakresu cyberbezpieczeństwa. Za zaniedbania lub brak wdrożenia wymogów kierownictwu mogą grozić kary osobiste oraz czasowe zakazy pełnienia funkcji kierowniczych.

6. Audyty i nadzór

Niektóre podmioty podlegające NIS2 muszą regularnie przeprowadzać audyty bezpieczeństwa i dokumentować zgodność z wymaganiami. Organy nadzorcze mają prawo do przeprowadzania kontroli. 

Kogo obejmują nowe przepisy?

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca unijną dyrektywę NIS2, obejmuje podmioty kluczowe oraz podmioty ważne z 18 sektorów gospodarki. Przepisy te dotyczą organizacji, które spełniają tzw. regułę wielkości (zatrudniają co najmniej 50 pracowników lub osiągają roczny obrót/sumę bilansową powyżej 10 mln EUR), choć w określonych przypadkach status ten mogą otrzymać także mniejsze podmioty o strategicznym znaczeniu. 

Jakie kryteria zostały przyjęte przy podziale podmiotów?

• Podmioty kluczowe: zalicza się tu przede wszystkim duże przedsiębiorstwa z sektorów o najwyższym stopniu krytyczności (załącznik nr 1 do ustawy), czyli podmioty zatrudniające co najmniej 250 pracowników lub osiągające roczny obrót powyżej 50 mln EUR albo sumę bilansową powyżej 43 mln EUR. Do grupy tej należą także podmioty publiczne, w tym jednostki samorządu terytorialnego – m.in. urzędy gmin zatrudniające co najmniej 50 osób, starostwa powiatowe i miasta na prawach powiatu. Niezależnie od wielkości status podmiotu kluczowego otrzymują także niektóre kategorie szczególne istotne dla bezpieczeństwa infrastruktury cyfrowej i usług zaufania – ich pełny katalog określa ustawa.

• Podmioty ważne: to w większości średnie przedsiębiorstwa (50–249 pracowników lub obrót w przedziale 10–50 mln EUR) z sektorów objętych ustawą, które nie osiągają progu podmiotu kluczowego, a także firmy z sektorów uznanych za ważne (załącznik nr 2). Do tej kategorii zaliczają się również mniejsze podmioty publiczne, np. urzędy gmin zatrudniające poniżej 50 osób.