Prawo
Co kierownik i personel podmiotu KSC powinni wiedzieć o cyberbezpieczeństwie?
Obowiązki szkoleniowe z zakresu KSC
Skuteczność systemu cyberbezpieczeństwa w podmiotach objętych Ustawą z dnia 5 lipca 2018 r. (t.j. Dz.U. z 2026 r. poz.20) o krajowym rejestrze cyberbezpieczeństwa ale przede wszystkim od poziomu przygotowania i świadomości personelu organizacji. Obowiązki szkoleniowe nie mają charakteru fakultatywnego, lecz stanowią integralną część systemu zarządzania bezpieczeństwem informacji
oraz gwarancje bezpieczeństwa całego przedsiębiorstwa. Rosnąca liczba incydentów i cyberzagrożeń, a także ich coraz bardziej złożony charakter uzasadniają potrzebę podjęcia niezwłocznych działań poprzez zapewnienie bieżących szkoleń personelu z zakresu zwalczania i przeciwdziałania incydentom. Celem KSC jest zapewnienie ciągłości działania kluczowych usług ICT, ochrona przetwarzanych danych i infrastruktury przedsiębiorstwa oraz umożliwienie szybkiego reagowania na cyberataki. W ramach systemu zarządzania bezpieczeństwem informacji współpracują ze sobą podmioty kluczowe i ważne oraz specjalistyczne
zespoły CSIRT. Aby system mógł w pełni realizować swoją funkcję i ustawowy cel, należy przygotować nie tylko kadrę zarządzającą, ale przede wszystkim personel do wdrożenia nowych rozwiązań i standardów cyberbezpieczeństwa. Jednym z podstawowych zadań kierowników podmiotów ważnych i kluczowych jest udział w obowiązkowym szkoleniu dla własnych potrzeb, a także dalsza edukacja personelu z zakresu cyberbezpieczeństwa i podnoszenie świadomości o cyberatakach.
Kadra zarządzająca
Kierownik jako jednostka kadry zarządzającej przedsiębiorstwem zobowiązany jest podejmować działania w zakresie wdrażania i stosowania systemu zarządzania bezpieczeństwem informacji w zakresie odpowiadającym przepisom KSC. Pełne zaangażowanie kadry zarządzającej w proces wdrażania i realizacji procedur z zakresu cyberbezpieczeństwa jest kluczowe dla prawidłowego wywiązywania się z obowiązków wynikających z KSC. Aktywne uczestnictwo kadry zarządzającej w zapewnieniu najwyższej jakości procedur należy traktować jako wyznacznik dochowania należytej staranności w realizacji ustawowych obowiązków oraz ukierunkowanie polityki organizacji na dostęp do najefektywniejszych szkoleń, w tym zapewnienie najwyższego poziomu bezpieczeństwa. Kadra zarządzająca jako fundament przedsiębiorstwa, zobowiązana jest czynnie brać udział w dedykowanych szkoleniach w dziedzinie cyberbezpieczeństwa. W ramach szkoleń kadry zarządzającej kierownik powinien nabyć niezbędną wiedzę z zakresu procesu wdrażania procedur cyberbezpieczeństwa, prowadzenia dokumentacji oraz reagowania na incydenty. W trakcie szkoleń kadra zarządzająca powinna zostać przeszkolona z zakresu współpracy z organami państwowymi, powołanymi do rejestrowania zgłoszeń o cyberataku oraz innych procedur ustalonych w przedsiębiorstwie. Co ważne, szkolenia kadry zarządzającej powinny być udokumentowane (np. poprzez certyfikat szkolenia) oraz powinny odbywać się cyklicznie, co najmniej raz w roku kalendarzowym.
Personel jako element systemu bezpieczeństwa
Statystyki dowodzą, że większość incydentów cyberbezpieczeństwa wywoływana jest przez błędy pracowników, którzy nie posiadają odpowiedniej wiedzy oraz umiejętności reagowania na zagrożenia płynące z cyberprzestrzeni. Podatność czynnika ludzkiego na zewnętrzne zagrożenia, uzasadnia potrzebę dostosowania polityki przedsiębiorstw do wprowadzenia zaostrzonego systemu bezpieczeństwa. Wraz z nowelizacją przepisów KSC każdy pracownik zobowiązany jest posiadać podstawową wiedzę w zakresie rozpoznawania cyberzagrożeń, a także znać zasady cyberhigieny oraz bezpiecznego korzystania z systemów informatycznych obowiązujących w przedsiębiorstwie, minimalizując tym samym ryzyko wystąpienia cyberzagrożenia. Niezależnie od zajmowanego stanowiska każdy z pracowników powinien zostać przeszkolony ze wszystkich niezbędnych procedur realizowanych w ramach systemu bezpieczeństwa informacji przedsiębiorstwa. W połączeniu z wdrożeniem nowoczesnych rozwiązań technologicznych pracownicy, którzy dysponują odpowiednią wiedzą i umiejętnościami, są w stanie zapewnić ciągłość pracy przedsiębiorstwa oraz integralność przetwarzanych danych bez ryzyka wystąpienia negatywnych skutków.
Najczęstsze błędy podmiotów
W praktyce obserwuje się jednak tendencje traktowania szkoleń jako obowiązek o charakterze formalnym, a nie gwarancje płynności i bezpieczeństwa informacji. Najczęstszymi błędami kadry zarządzającej jest bagatelizowanie znaczenia szkoleń oraz ograniczenie ich do przekazania podstawowych informacji bez zapewnienia odpowiednich ćwiczeń na wypadek wystąpienia incydentu. W sytuacji wystąpienia cyberataku pracownicy nie znają procedur, co wiąże się z ogromnymi stratami ekonomicznymi i przestojami w funkcjonowaniu przedsiębiorstwa. W czasach narastającego zagrożenia i stosowania rozbudowanych metod technologicznych ataków niedopuszczane jest utrzymanie dotychczasowych nawyków. KSC nakłada obowiązek cyklicznych i regularnych szkoleń dostosowanych zakresem do funkcji i potrzeb pracowników. Szkolenia mają zapewnić pracownikom odpowiednią wiedzę oraz przybrać formę praktycznych ćwiczeń odzwierciedlających warunki symulacji wystąpienia incydentu, a także proces przywracania normalnego działania systemów do świadczenia usług po wystąpieniu cyberazgrożenia.
Podsumowując, wdrożenie spójnego i cyklicznego modelu szkoleń opartego na fachowej wiedzy oraz profesjonalnym zapleczu pozwoli zapewnić bezpieczeństwo informacji oraz gotowość personelu do podjęcia niezbędnych działań. O skuteczności systemu cyberbezpieczeństwa nie przesądza wyłącznie poziom zaawansowanych technologii i stosowanych środków technicznych, lecz przede wszystkim poziom przygotowania osób, które z nich korzystają. Kadra zarządzająca powinna zatem zadbać nie tylko o własne przeszkolenie, ale także o podnoszenie świadomości z zakresu cyberbezpieczeństwa swojego personelu.
Marta Heród, Gabriela Wolsza
Kancelaria Brightspot Legal
Katarzyna Orzeł, Maciej Jojczyk sp.k.
