Centrum Audytu Bezpieczeństwa Sp. z o.o.

+48 881 256 247 | biuro@cab.com.pl
cyber hygiene

Cyber hygiene i szkolenia w NIS 2

24.02.2026

cyber hygiene

Dlaczego technologia nie obroni organizacji bez świadomych ludzi

W całym cyklu dotyczącym NIS 2 przeszliśmy przez polityki, zarządzanie ryzykiem, incydenty, ciągłość działania, łańcuch dostaw i bezpieczeństwo techniczne systemów.

Teraz dochodzimy do obszaru, który często jest traktowany jako „miękki”, ale w rzeczywistości decyduje o skuteczności wszystkiego, co wdrożono wcześniej.

Rozdział 8 wytycznych ENISA dotyczy podstawowej higieny cyberbezpieczeństwa oraz szkoleń. I jasno pokazuje jedno:
bez świadomych ludzi nie ma skutecznego systemu bezpieczeństwa.

Cyber hygiene – codzienna praktyka, nie kampania raz w roku

ENISA wymaga, aby pracownicy:

  • byli świadomi ryzyk,
  • rozumieli znaczenie cyberbezpieczeństwa,
  • stosowali praktyki higieny cyfrowej w codziennej pracy.

Nie chodzi o jednorazową prezentację ani mailing ostrzegający przed phishingiem.
Mowa o stałym, zaplanowanym programie budowania świadomości.

Program podnoszenia świadomości powinien:

  • być cykliczny i obejmować nowych pracowników,
  • być spójny z polityką bezpieczeństwa i procedurami,
  • obejmować także członków najwyższego kierownictwa,
  • w uzasadnionych przypadkach obejmować dostawców i usługodawców.

Cyber hygiene w rozumieniu ENISA obejmuje m.in.:

  • zasadę czystego biurka i ekranu,
  • silne uwierzytelnianie i MFA,
  • bezpieczne korzystanie z poczty i Internetu,
  • ochronę przed phishingiem i socjotechniką,
  • bezpieczne używanie urządzeń mobilnych,
  • bezpieczne teleworking,
  • zgłaszanie zdarzeń,
  • aktualizacje oprogramowania,
  • bezpieczną konfigurację urządzeń.

To zestaw zachowań, które mają być codzienną praktyką, a nie teorią.

Program świadomości musi być testowany i aktualizowany

ENISA podkreśla, że program podnoszenia świadomości:

  • powinien być okresowo testowany pod kątem skuteczności,
  • powinien być aktualizowany co najmniej raz w roku,
  • powinien uwzględniać zmiany w krajobrazie zagrożeń.

Testowanie może obejmować:

  • quizy wiedzy,
  • symulacje realistycznych scenariuszy,
  • analizę wskaźników skuteczności.

W praktyce oznacza to, że organizacja powinna być w stanie wykazać:

  • kto przeszedł szkolenie,
  • jakie treści były przekazywane,
  • jakie były wyniki weryfikacji wiedzy,
  • jakie wnioski wyciągnięto.

To bezpośrednio łączy się z rozdziałem 7 wytycznych, czyli oceną skuteczności środków bezpieczeństwa.

Szkolenia specjalistyczne – nie każdy potrzebuje tego samego

ENISA wyraźnie rozróżnia ogólną świadomość od szkoleń specjalistycznych.

Organizacja powinna:

  • zidentyfikować role wymagające kompetencji bezpieczeństwa,
  • zapewnić tym osobom regularne, adekwatne szkolenia,
  • powiązać program szkoleniowy z polityką bezpieczeństwa.

Szkolenia muszą być dostosowane do funkcji:

  • administratorzy systemów powinni być szkoleni z bezpiecznej konfiguracji i operacyjnego zarządzania systemami,
  • programiści z bezpiecznego wytwarzania,
  • osoby wysokiego szczebla z rozumienia zagrożeń, odpowiedzialności i zarządzania kryzysowego,
  • personel powinien być szkolony z rozpoznawania incydentów i właściwego reagowania.

Szkolenie powinno obejmować m.in.:

  • bezpieczną konfigurację systemów i urządzeń mobilnych,
  • aktualne zagrożenia,
  • zachowanie w sytuacjach incydentowych,
  • zasady uwierzytelniania,
  • bezpieczne przetwarzanie danych,
  • raportowanie zdarzeń.

Istotne jest także szkolenie osób, które zmieniają stanowisko i obejmują role wymagające nowych kompetencji bezpieczeństwa.

Szkolenia muszą być procesem, nie projektem

Program szkoleniowy:

  • powinien być realizowany cyklicznie,
  • aktualizowany co najmniej raz w roku,
  • uwzględniać zmiany w zagrożeniach i technologii,
  • obejmować ocenę skuteczności,
  • posiadać dokumentację potwierdzającą udział pracowników.

To nie jest działanie „HR-owe”.
To element systemu zarządzania ryzykiem.

NIS 2 bardzo wyraźnie podkreśla odpowiedzialność kierownictwa.
Członkowie organów zarządzających również powinni być objęci programem świadomości i szkoleń.

Co to oznacza w praktyce dla organizacji

W świecie NIS 2:

  • brak programu świadomości to brak spełnienia wymogów,
  • brak testowania skuteczności to luka systemowa,
  • brak szkoleń dla kadry zarządzającej to realne ryzyko odpowiedzialności.

Cyberbezpieczeństwo nie kończy się na firewallu ani EDR.
Zaczyna się od decyzji ludzi i ich codziennych nawyków.

Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!

Przejdź do treści