• Kogo dotyczy:

  Obowiązek ten spoczywa na kierowniku podmiotu kluczowego lub podmiotu ważnego oraz na osobie, której powierzono obowiązki kierownicze w zakresie cyberbezpieczeństwa. W przypadku, gdy kierownikiem podmiotu jest organ wieloosobowy (np. zarząd) i nie wyznaczono jednej konkretnej osoby odpowiedzialnej, odpowiedzialność za wykonywanie obowiązków (w tym odbywanie szkoleń) ponoszą wszyscy członkowie tego organu.

• Częstotliwość:

  Szkolenie musi być realizowane raz w roku kalendarzowym (art. 8e ust. 1).

• Dokumentacja:

  Udział w szkoleniu musi zostać każdorazowo udokumentowany (art. 8e ust. 3).

• Odpowiedzialność:

  Brak realizacji tego obowiązku może skutkować nałożeniem kar finansowych bezpośrednio na osobę zarządzającą, a w skrajnych przypadkach – czasowym zakazem pełnienia funkcji art. 73a oraz art. 53 ust. 9 pkt 6.

  • Wysokość kary dla kierowników podmiotów prywatnych: Kara może zostać wymierzona w kwocie do 300% miesięcznego wynagrodzenia osoby ukaranej, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.
  • Wysokość kary dla kierowników podmiotów publicznych: W przypadku podmiotów publicznych kara jest niższa i wynosi do 100% miesięcznego wynagrodzenia.
  • Okres przejściowy: Przepisy wprowadzające przewidują, że kary pieniężne za brak szkoleń kierownictwa mogą być po raz pierwszy nałożone dopiero po upływie 2 lat od dnia wejścia w życie ustawy.

• Zakres merytoryczny:

  Szkolenie obejmuje wykonywanie ustawowych obowiązków podmiotu, w tym m.in. zarządzanie ryzykiem, wdrażanie systemów bezpieczeństwa, obsługę incydentów, współpracę z CSIRT oraz przeprowadzanie audytów. A w szczególności ustawowy zakres obowiązkowego szkolenia to:

  1. Obowiązki ewidencyjne i rejestrowe (Art. 7b, 7c, 7f)

     Art. 7b ust. 4: Podmioty wpisane do wykazu z urzędu (np. urzędy, telekomy) muszą uzupełnić brakujące dane oraz zgłosić dane dotyczące działalności, która nie została objęta wpisem automatycznym.

     Art. 7c: Podmioty muszą samodzielnie złożyć wniosek o wpis do wykazu w terminie 6 miesięcy od spełnienia przesłanek bycia podmiotem kluczowym lub ważny. Wszelkie zmiany danych należy zgłaszać w ciągu 14 dni.

     Art. 7f ust. 3: Podmiot ma obowiązek złożyć wniosek o wykreślenie z wykazu, jeśli przestał spełniać przesłanki uznania go za podmiot kluczowy lub ważny w danym sektorze.

  2. System Zarządzania Bezpieczeństwem Informacji (Art. 8)

     Podmiot musi wdrożyć system zarządzania bezpieczeństwem (SZBI), który zapewnia m.in.:

     • systematyczne szacowanie ryzyka i zarządzanie nim;
     • wdrożenie środków technicznych (np. MFA, kryptografia, cyberhigiena, bezpieczeństwo łańcucha dostaw);
     • utrzymywanie planów ciągłości działania i odtwarzania po awarii;
     • edukację personelu i monitorowanie systemów w trybie ciągłym.

  3. Zadania i odpowiedzialność kierownika (Art. 8d)

     Kierownik jest bezpośrednio odpowiedzialny za:

     • podejmowanie decyzji dotyczących wdrażania i nadzoru nad SZBI;
     • planowanie środków finansowych na cyberbezpieczeństwo;
     • nadzór nad personelem i zapewnienie mu odpowiedniej wiedzy o obowiązkach.

  4. Weryfikacja personelu (Art. 8f ust. 1 i 2)

     • Osoby realizujące zadania z zakresu SZBI lub obsługi incydentów muszą przedstawić zaświadczenie o niekaralności za przestępstwa przeciwko ochronie informacji.
     • Kierownik ma obowiązek ponownego wezwania do przedstawienia takiego zaświadczenia w razie uzasadnionego podejrzenia skazania pracownika.

  5. Współpraca, dokumentacja i obsługa incydentów (Art. 9–12b)

     Art. 9: Wyznaczenie co najmniej dwóch osób do kontaktu z CSIRT, zapewnienie użytkownikom wiedzy o zagrożeniach oraz możliwości zgłaszania incydentów.

     Art. 10: Opracowanie, stosowanie i aktualizacja dokumentacji bezpieczeństwa (normatywnej i operacyjnej) oraz jej przechowywanie przez minimum 2 lata po wycofaniu.

     Art. 11–12b: Obowiązki związane z incydentami poważnymi:

     • Zgłaszanie wczesnego ostrzeżenia (24h) i samego incydentu (72h) do właściwego CSIRT.
     • Przekazywanie sprawozdań okresowych, końcowych oraz z postępów obsługi incydentu.
     • Informowanie użytkowników o poważnych zagrożeniach i incydentach.

  6. Struktury wewnętrzne i audyt (Art. 14 i 15)

     Art. 14: Podmiot musi powołać wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawrzeć umowę z zewnętrznym dostawcą usług zarządzanych (MSSP).

     Art. 15: Podmioty kluczowe muszą przeprowadzać audyt bezpieczeństwa systemu informacyjnego co najmniej raz na 3 lata i przekazywać raport z audytu do organu nadzorczego w ciągu 3 dni roboczych.

• Proponowane szkolenie dla tej grupy:

  KSC/NIS2: Obowiązki i odpowiedzialność – szkolenie dla kadry zarządzającej

SZKOLENIA DLA PRACOWNIKÓW I "CYBERHIGIENA"

Zgodnie z nowelizacją ustawy, szkolenia z zakresu cyberhigieny stanowią jeden z obowiązkowych elementów Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), który muszą wdrożyć wszystkie podmioty kluczowe i ważne.

• Kogo dotyczy:

  1. Obowiązki ogólne dla wszystkich podmiotów

     Każdy podmiot kluczowy i ważny musi wdrożyć system zarządzania bezpieczeństwem informacji, który obowiązkowo obejmuje:

     • Edukację personelu: Podmiot zapewnia edukację z zakresu cyberbezpieczeństwa dla swojego personelu (art. 8 ust. 1 pkt 2 lit. i).
     • Zasady cyberhigieny: Musi wdrażać i zapewniać stosowanie podstawowych zasad cyberhigieny (art. 8 ust. 1 pkt 2 lit. j).
     • Odpowiedzialność kierownika: To kierownik podmiotu jest zobowiązany zapewnić, aby personel był świadomy swoich obowiązków i znał wewnętrzne regulacje w tym obszarze (art. 8d pkt 4).

  2. Szczegółowe wymogi dla podmiotów publicznych

     Dla podmiotów ważnych będących jednostkami publicznymi wymogi te są uszczegółowione w załączniku nr 4 do ustawy, do którego odsyła art. 8 ust. 3. Zgodnie z tymi przepisami:

     • Stosowanie zasad: Pracownicy oraz kierownik podmiotu są zobowiązani do stosowania zasad cyberhigieny w codziennej pracy (załącznik nr 4, pkt I ppkt 14).
     • Zakres tematyczny szkoleń: System musi obejmować szkolenia osób zaangażowanych w przetwarzanie informacji, skupiające się na (załącznik nr 4, pkt I ppkt 17):
       • rodzajach cyberzagrożeń,
       • podstawowych zasadach cyberhigieny,
       • reagowaniu na wystąpienie incydentu,
       • świadomości skutków naruszenia zasad bezpieczeństwa informacji.
     • Testowanie wiedzy: Podmioty te mogą dodatkowo wprowadzić systematyczne testowanie poziomu wiedzy pracowników oraz ich nawyków w zakresie cyberhigieny (załącznik nr 4, pkt II ppkt 6).

• Częstotliwość:

  W przypadku wszystkich pracowników (nie tylko kadra kierownicza) ustawa nie wskazuje jednej, konkretnej daty lub częstotliwości (np. "raz w roku"), ale nakłada na organizacje stały obowiązek edukacyjny. Na podmiotach kluczowych i ważnych spoczywa obowiązek zapewnienia edukacji z zakresu cyberbezpieczeństwa jako elementu systemu zarządzania bezpieczeństwem informacji.

  • Zapewnienie edukacji z zakresu cyberbezpieczeństwa dla personelu jest obowiązkowym elementem systemu zarządzania bezpieczeństwem informacji (art. 8 ust. 1 pkt 2 lit. i).
  • To kierownik podmiotu jest odpowiedzialny za to, aby personel był stale świadomy swoich obowiązków i znał wewnętrzne regulacje w tym obszarze (art. 8d pkt 4).

  Dla podmiotów publicznych, wymogi są bardziej sformalizowane i wynikają z art. 8 ust. 3, który odsyła do załącznika nr 4:

  • System bezpieczeństwa musi obejmować szkolenia osób zaangażowanych w przetwarzanie informacji, m.in. z zakresu cyberhigieny i reagowania na incydenty (załącznik nr 4, pkt I ppkt 17).
  • Podmioty te są zobowiązane do dokumentowania realizacji działań szkoleniowych (załącznik nr 4, pkt IV).
  • Podmiot publiczny musi dokonywać przeglądu całego systemu zarządzania bezpieczeństwem (w tym skuteczności i aktualności szkoleń) co najmniej raz w roku (załącznik nr 4, pkt III ppkt 1).

  Podsumowując, o ile w przypadku kierownictwa wymóg corocznego szkolenia jest zapisany wprost, o tyle w przypadku reszty personelu częstotliwość edukacji wynika z przyjętego przez organizację systemu bezpieczeństwa, który, szczególnie w sektorze publicznym, musi być weryfikowany co roku.

• Dokumentacja:

  W przypadku wszystkich pracowników obowiązek dokumentowania szkoleń wynika z ogólnych zasad prowadzenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI):

  • Art. 8 ust. 1 pkt 2 lit. i nakłada na podmioty obowiązek zapewnienia edukacji z zakresu cyberbezpieczeństwa dla personelu.
  • Art. 10 ust. 1 zobowiązuje podmioty do opracowywania, stosowania i aktualizowania dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego.
  • Art. 10 ust. 4 precyzuje, że elementem tej dokumentacji jest dokumentacja operacyjna, którą stanowią zapisy poświadczające wykonywanie czynności wymaganych przez postanowienia zawarte w dokumentacji normatywnej.

  Ponieważ szkolenia personelu są wymaganym elementem systemu, fakt ich przeprowadzenia musi zostać odnotowany w dokumentacji operacyjnej jako dowód realizacji zadań SZBI.

  Dla podmiotów ważnych będących jednostkami publicznymi wymóg ten jest jeszcze silniej podkreślony w załączniku nr 4:

  • Zgodnie z pkt IV załącznika nr 4, podmiot publiczny ma ustawowy obowiązek dokumentowania realizacji działań wskazanych do realizacji w systemie zarządzania cyberbezpieczeństwa.
  • Do działań tych należą szkolenia osób zaangażowanych w proces przetwarzania informacji, obejmujące m.in. zasady cyberhigieny i reagowania na incydenty (załącznik nr 4, pkt I ppkt 17).

• Odpowiedzialność:

  Za brak realizacji obowiązków związanych z edukacją personelu w zakresie cyberbezpieczeństwa nowelizacja ustawy przewiduje surowe sankcje finansowe, które mogą zostać nałożone zarówno na samą instytucję (podmiot), jak i osobiście na jej kierownika.

  1. Kary pieniężne dla podmiotu (instytucji)

     Edukacja personelu jest integralną częścią systemu zarządzania bezpieczeństwem informacji, do którego wdrożenia zobowiązane są podmioty kluczowe i ważne. Niewykonanie tego obowiązku lub wdrożenie systemu, który nie spełnia ustawowych wymogów (np. pomija szkolenia), podlega karze pieniężnej.

     Kary pieniężne dla podmiotów kluczowych i ważnych uregulowane są w art. 73:

     • Podstawa nałożenia kary: Art. 73 ust. 1 pkt 3 – kara za niewdrożenie systemu zarządzania bezpieczeństwem informacji lub niespełnienie jego wymogów (w tym edukacji personelu i zasad cyberhigieny określonych w art. 8 ust. 1 pkt 2 lit. i oraz j).
     • Podmioty publiczne: Art. 73 ust. 1c – kara dla podmiotu ważnego będącego podmiotem publicznym za niewykonywanie obowiązków z załącznika nr 4 (obejmującego szkolenia i cyberhigienę).

  2. Kary pieniężne dla kierownika podmiotu

     Niezależnie od kary nałożonej na podmiot, organ nadzorczy może nałożyć administracyjną karę pieniężną bezpośrednio na kierownika podmiotu kluczowego lub ważnego.

     Odpowiedzialność osobista kierownictwa (i osób pełniących funkcje kierownicze w zakresie cyberbezpieczeństwa) uregulowana jest w art. 73a:

     • Kara za własne szkolenie: Art. 73a ust. 1 pkt 4 – kara za niewykonanie obowiązku corocznego szkolenia kierownika, o którym mowa w art. 8e.
     • Kara za brak edukacji personelu: Art. 73a ust. 1 pkt 2 – kara za niewykonanie obowiązków z art. 8 (obejmujących zapewnienie edukacji personelowi i wdrożenie zasad cyberhigieny).
     • Niezależność kary: Art. 73a ust. 3 – kara na kierownika może być nałożona niezależnie od kary nałożonej na podmiot.

  3. Okres przejściowy

     Zgodnie z przepisami wprowadzającymi (art. 35 niniejszej ustawy), powyższe kary (z art. 73 i 73a) mogą być po raz pierwszy nałożone dopiero po upływie 2 lat od dnia wejścia w życie ustawy.

• Zakres merytoryczny:

  Dla wszystkich pracowników podmiotu kluczowego i ważnego, ustawa oraz załącznik nr 4 (dla podmiotów publicznych) określają konkretne tematy edukacyjne:

  • Cyberhigiena w codziennej pracy: Wdrażanie i stosowanie podstawowych zasad bezpiecznego korzystania z systemów informacyjnych (art. 8 ust. 1 pkt 2 lit. j oraz załącznik nr 4, dział I, pkt 14).
  • Rozpoznawanie cyberzagrożeń: Zapoznanie z aktualnymi rodzajami ataków (np. phishing, malware), na które narażony jest proces przetwarzania informacji w podmiocie (załącznik nr 4, dział I, pkt 17 lit. a).
  • Procedury reagowania: Instruktaż, co pracownik ma zrobić w momencie zauważenia incydentu lub anomalii w systemie (załącznik nr 4, dział I, pkt 17 lit. c).
  • Bezpieczna praca zdalna i mobilna: Zasady gwarantujące bezpieczeństwo przy przetwarzaniu danych poza siedzibą firmy i podczas pracy na odległość (załącznik nr 4, dział I, pkt 8).
  • Świadomość skutków naruszeń: Wyjaśnienie konsekwencji naruszenia zasad bezpieczeństwa zarówno dla organizacji, jak i osobistej odpowiedzialności pracownika (załącznik nr 4, dział I, pkt 17 lit. d).
  • Regulacje wewnętrzne: Zapoznanie z politykami bezpieczeństwa i instrukcjami obowiązującymi w danej jednostce, za co bezpośrednią odpowiedzialność ponosi kierownik (art. 8d pkt 4).

  Elementy dodatkowe (Weryfikacja wiedzy)

  W przypadku podmiotów publicznych, system szkoleniowy może zostać rozszerzony o:

  • Testowanie zasad cyberhigieny: Systematyczne sprawdzanie realnych nawyków pracowników (załącznik nr 4, dział II, pkt 6).
  • Środki techniczne: Szkolenia z zakresu obsługi narzędzi minimalizujących ryzyko błędów ludzkich (załącznik nr 4, dział II, pkt 1).

  Brak realizacji tych tematów w ramach systemu bezpieczeństwa jest uznawany za niewdrożenie SZBI i może skutkować nałożeniem kary do 10 mln euro na podmiot kluczowy lub do 300% wynagrodzenia na kierownika (art. 73 ust. 1 pkt 3 i art. 73a ust. 1 pkt 2).

• Proponowane szkolenie dla tej grupy:

  KSC/NIS2: Cyberhigiena - zasady bezpiecznej pracy na co dzień – szkolenie dla wszystkich pracowników

SZKOLENIA DLA SPECJALISTÓW IT ORAZ OSÓB ODPOWIEDZIALNYCH ZA CYBERBEZPIECZEŃSTWO

W odniesieniu do specjalistów IT oraz osób odpowiedzialnych za bezpieczeństwo systemów (w tym personelu SOC i zespołów reagowania), nowelizacja ustawy nakłada konkretne wymogi i obowiązki, które wynikają z następujących przepisów:

• Kogo dotyczy:

  Dla personelu technicznego szkolenia są nieodłącznym elementem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), który musi wdrożyć każdy podmiot kluczowy i ważny:

  • Zapewnienie edukacji: Podmiot ma obowiązek zapewnić edukację z zakresu cyberbezpieczeństwa dla swojego personelu (art. 8 ust. 1 pkt 2 lit. i).
  • Zadania SOC i IT: Osoby realizujące zadania techniczne i operacyjne (np. SOC, IT) muszą posiadać kompetencje niezbędne do zarządzania incydentami oraz szacowania ryzyka (art. 8 ust. 1 pkt 1 i 4).
  • Zarządzanie techniczne: Zakres szkolenia musi obejmować stosowanie mechanizmów zapewniających poufność, integralność i dostępność danych oraz zarządzanie incydentami (art. 8 ust. 1 pkt 4 oraz pkt 5 lit. a).
  • Bezpieczna komunikacja: Personel techniczny musi wdrażać i znać procedury stosowania kryptografii oraz uwierzytelniania wieloskładnikowego (art. 8 ust. 1 pkt 2 lit. k oraz l).

  Weryfikacja niekaralności specjalistów (SOC i IT)

  Ustawa wprowadza restrykcyjne wymogi dopuszczenia pracowników do zadań z zakresu bezpieczeństwa:

  • Obowiązek zaświadczenia: Osoba mająca realizować zadania związane z systemem bezpieczeństwa lub obsługą incydentów musi przedstawić informację z Krajowego Rejestru Karnego o niekaralności za przestępstwa przeciwko ochronie informacji (art. 8f ust. 1).
  • Ponowna weryfikacja: Kierownik ma prawo wezwać pracownika do ponownego przedstawienia informacji z KRK w razie uzasadnionego podejrzenia skazania (art. 8f ust. 2).
  • Poświadczenie bezpieczeństwa: Wymóg ten uznaje się za spełniony, jeśli pracownik posiada ważne poświadczenie bezpieczeństwa do klauzuli "poufne" lub wyższej (art. 8f ust. 3).
  • Zakaz pracy: Osoba skazana prawomocnym wyrokiem za takie przestępstwa nie może realizować zadań związanych z bezpieczeństwem i incydentami (art. 8f ust. 4).

• Częstotliwość: tak samo jak w przypadku SZKOLENIA DLA PRACOWNIKÓW I "CYBERHIGIENA"

• Dokumentacja: tak samo jak w przypadku SZKOLENIA DLA PRACOWNIKÓW I "CYBERHIGIENA"

• Odpowiedzialność: tak samo jak w przypadku SZKOLENIA DLA PRACOWNIKÓW I "CYBERHIGIENA"

• Zakres merytoryczny:

  Obejmuje kwestie techniczne i operacyjne: zbieranie informacji o podatnościach, stosowanie kryptografii, uwierzytelnianie wieloskładnikowe, bezpieczną komunikację oraz zarządzanie incydentami (art. 8 ust. 1 pkt 2 lit. k i l oraz pkt 3 i 4) w szczególności:

  Zgodnie z ustawą, wymóg szkolenia specjalistów IT i personelu SOC z konkretnych środków technicznych stosowanych w organizacji:

  • Obowiązek znajomości narzędzi i procedur wewnętrznych: Kierownik podmiotu musi zapewnić, aby personel znał wewnętrzne regulacje podmiotu w zakresie cyberbezpieczeństwa (art. 8d pkt 4). Regulacje te opisują konkretne zasady eksploatacji i konfiguracji systemów technicznych używanych w danej jednostce.
  • Szkolenia z konkretnych mechanizmów bezpieczeństwa: Edukacja personelu musi obejmować praktyczne aspekty stosowania środków technicznych wdrożonych w ramach SZBI, w tym:
    • stosowanie kryptografii i szyfrowania (art. 8 ust. 1 pkt 2 lit. k);
    • obsługę bezpiecznych środków komunikacji elektronicznej oraz mechanizmów uwierzytelniania wieloskładnikowego, oraz kontroli dostępu (art. 8 ust. 1 pkt 2 lit. l-n).
  • Obsługa systemów monitorowania i analizy: Specjaliści IT/SOC muszą być przeszkoleni do obsługi systemów zapewniających:
    • monitorowanie w trybie ciągłym systemu informacyjnego wykorzystywanego do świadczenia usługi (art. 8 ust. 1 pkt 2 lit. g);
    • zbieranie informacji o cyberzagrożeniach i podatnościach konkretnego systemu informacyjnego podmiotu (art. 8 ust. 1 pkt 3).
  • Dokumentacja techniczna jako podstawa wiedzy: Personel musi działać w oparciu o dokumentację techniczną systemu informacyjnego oraz opisy zabezpieczeń technicznych infrastruktury, które są obowiązkowymi elementami dokumentacji bezpieczeństwa (art. 10 ust. 3 pkt 2 lit. e oraz pkt 4).
  • Specjalistyczne oprogramowanie w podmiotach publicznych: W przypadku podmiotów publicznych, system bezpieczeństwa może obejmować szkolenia z monitorowania dostępu do informacji oraz stanu działania systemów za pomocą dedykowanego oprogramowania wykorzystywanego przez pracowników (załącznik nr 4, dział II, pkt 5).
  • Minimalizacja ryzyka błędów technicznych: Edukacja obejmuje stosowanie środków technicznych (produktów, usług lub procesów ICT) mających na celu minimalizację ryzyka błędów ludzkich przy obsłudze systemów (załącznik nr 4, dział II, pkt 1).

  Wymogi dotyczące szkoleń dla kadry IT oraz personelu SOC w zakresie procedur operacyjnych. Szkolenia muszą przygotować kadrę techniczną do stosowania konkretnych procedur określonych w ustawie:

  • Zarządzanie incydentami i reagowanie: Procedury wykrywania, rejestrowania oraz stosowania środków ograniczających wpływ incydentów (art. 8 ust. 1 pkt 4 oraz pkt 5). W podmiotach publicznych obejmuje to również testowanie procedur na wypadek awarii (załącznik nr 4, dział I, pkt 12).
  • Monitorowanie i analiza: Procedury obsługi systemów monitorowania w trybie ciągłym oraz zbierania informacji o podatnościach i cyberzagrożeniach (art. 8 ust. 1 pkt 2 lit. g oraz pkt 3).
  • Kryptografia i bezpieczna komunikacja: Procedury i polityki stosowania kryptografii, szyfrowania oraz bezpiecznych kanałów komunikacji z wykorzystaniem uwierzytelniania wieloskładnikowego (art. 8 ust. 1 pkt 2 lit. k oraz l).
  • Ciągłość działania: Wdrażanie i testowanie planów ciągłości działania oraz planów odtworzenia systemów po awarii (art. 8 ust. 1 pkt 2 lit. f).
  • Obsługa techniczna i aktualizacje: Procedury regularnego aktualizowania oprogramowania i ochrony przed nieuprawnioną modyfikacją (art. 8 ust. 1 pkt 5 lit. b oraz c).

• Finansowanie i rozwój kompetencji:

  Rozwój kompetencji personelu technicznego może być wspierany z budżetu państwa:

  • Wsparcie finansowe: Minister właściwy do spraw informatyzacji może udzielać dotacji na projekty, których celem jest rozwój kompetencji w obszarze cyberbezpieczeństwa (art. 45a ust. 1 pkt 2).

• Proponowane szkolenia dla tej grupy:

  Szkolenia dotyczące stosowanych środków technicznych:

  • NGFW / zapory sieciowe
  • WAF (ochrona aplikacji WWW)
  • EDR/XDR (ochrona endpointów i serwerów + reakcja)
  • NDR / IDS/IPS (detekcja anomalii i zagrożeń w sieci)
  • SIEM (centralizacja i korelacja logów) + log management
  • SOAR (automatyzacja reakcji na incydenty, playbooki)
  • IAM: MFA (wieloskładnikowe uwierzytelnianie) + SSO, polityki dostępu
  • PAM (zarządzanie kontami uprzywilejowanymi, nagrywanie/monitoring sesji)
  • ZTNA (dostęp Zero Trust) oraz/lub SASE/SSE (SWG/CASB/ZTNA jako usługa)
  • NAC (kontrola dostępu do sieci, egzekwowanie zgodności urządzeń)
  • Skanery podatności + proces zarządzania podatnościami (VRM) i patch management
  • Bezpieczeństwo CI/CD (SAST/DAST/SCA, skanowanie sekretów, podpisywanie artefaktów)
  • DLP (ochrona przed wyciekiem danych: endpoint/e-mail/chmura)
  • Kryptografia i klucze: PKI + zarządzanie cyklem życia certyfikatów
  • Backup/DR
    • HPE Aruba Networking
    • AWS
    • Broadcom
    • Check Point
    • Citrix
    • Extreme Networks
    • F5
    • Fortinet
    • Google Cloud
    • Infoblox
    • Microsoft
    • Netskope
    • Palo Alto Networks
    • Radware
    • SUSE

• Szkolenia dotyczące stosowanych procedur operacyjnych:

  • Zarządzanie ryzykiem
  • Polityki, role i nadzór (CISO/ISMS)
  • Inwentaryzacja zasobów i klasyfikacja informacji
  • Ciągłe wykrywanie podatności + zarządzanie podatnościami i poprawkami (VM + patching)
  • Zarządzanie konfiguracją i zmianą (hardening/baseline)
  • Zarządzanie dostępem (IAM/PAM, przeglądy uprawnień)
  • Monitoring bezpieczeństwa i logowanie (SOC/SIEM)
  • Obsługa incydentów + analiza powłamaniowa/forensic
  • Kopie zapasowe, DR i ciągłość działania (BCP)
  • Bezpieczeństwo dostawców i usług (third-party)
  • Secure SDLC/CI-CD + testy bezpieczeństwa (w tym testy penetracyjne) + ćwiczenia i raportowanie
    • CompTIA
    • EC-Council
    • ISC2
    • Mile2
    • OffSec