ISO 27001:2022: dowody szkoleniowe na potrzeby NIS2 i DORA
Jest 09:12 we wtorkowy poranek w lutym 2026 roku. Analityk finansowy w szybko skalującym się fintechu otrzymuje wiadomość e-mail, która wygląda, jakby pochodziła od CFO, z prośbą o pilny przegląd pliku płatności dla dostawcy. Załącznik otwiera przekonującą stronę logowania Microsoft. Analityk waha się, przypomina sobie zeszłomiesięczną symulację phishingową i moduł dotyczący oszustw płatniczych, po czym zgłasza wiadomość przez portal bezpieczeństwa zamiast wprowadzać dane uwierzytelniające.
Dla CISO ta pojedyncza decyzja oznacza środek kontrolny działający w praktyce.
Dla audytora sama historia nie wystarczy.
Tydzień później pojawia się wniosek o dowody: „Proszę przedstawić dowody kompleksowego, opartego na rolach programu świadomości i szkoleń w zakresie bezpieczeństwa informacji, obejmujące metryki skuteczności oraz zapisy potwierdzające objęcie programem całego personelu, w tym kierownictwa”.
To zdanie zmienia rozmowę. Arkusz kalkulacyjny z wpisem „Ukończono” przy 97 procentach pracowników nie jest już wystarczający. Audytor zapyta, kto przeszkolił analityka, kiedy szkolenie zostało przypisane, czy było obowiązkowe, czy było oparte na rolach, czy dział finansów otrzymał dodatkowe szkolenie z zakresu świadomości oszustw płatniczych, czy uwzględniono nowych pracowników i wykonawców, czy kierownictwo zatwierdziło program, czy szkolenie zmieniono po ostatniej kampanii phishingowej oraz czy zapisy ukończenia szkoleń zostały zachowane.
W 2026 roku dowody szkoleń z zakresu świadomości bezpieczeństwa znajdują się na styku ISO/IEC 27001:2022, NIS2, DORA, GDPR i NIST CSF 2.0. Nie jest to już coroczne ćwiczenie HR. To nadzór zarządczy, postępowanie z ryzykiem, gotowość do obsługi incydentów, rozliczalność prawna i dowód audytowy.
Clarysec traktuje świadomość bezpieczeństwa jako operacyjny system dowodowy, a nie zestaw slajdów. Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, Zenith Controls: The Cross-Compliance Guide Zenith Controls, Information Security Awareness and Training Policy - SME Information Security Awareness and Training Policy - SME oraz Information Security Awareness and Training Policy Information Security Awareness and Training Policy łączą szkolenia oparte na rolach z SZBI, obowiązkami regulacyjnymi, reagowaniem na incydenty, dostępem dostawców i przeglądem zarządzania.
Dlaczego ogólne szkolenia z zakresu świadomości bezpieczeństwa zawodzą w 2026 roku
Zmiana regulacyjna jest jednoznaczna. NIS2 czyni cyberbezpieczeństwo odpowiedzialnością kierownictwa w podmiotach kluczowych i ważnych. Article 20 wymaga, aby organy zarządzające zatwierdzały środki zarządzania ryzykiem cyberbezpieczeństwa, nadzorowały ich wdrożenie i odbywały szkolenia. Article 21 obejmuje podstawową cyberhigienę i szkolenia z cyberbezpieczeństwa jako element wymaganego bazowego zestawu środków zarządzania ryzykiem. Dla dostawców chmury obliczeniowej, dostawców centrów danych, dostawców usług zarządzanych, dostawców zarządzanych usług bezpieczeństwa, dostawców DNS, rejestrów TLD, internetowych platform handlowych i wyszukiwarek szkolenia stały się kwestią na poziomie zarządu.
DORA podnosi poprzeczkę dla podmiotów finansowych i dostawców ICT obsługujących sektor finansowy. Obowiązuje od 17 stycznia 2025 roku i wymaga, aby podmioty finansowe utrzymywały wewnętrzne ramy ładu i kontroli dla zarządzania ryzykiem ICT. Organy zarządzające muszą nadzorować ryzyko ICT, budżety, audyty, uzgodnienia ze stronami trzecimi, ciągłość działania, plany reagowania i odtwarzania oraz cyfrową odporność operacyjną. DORA Articles 17 to 19 wymagają również, aby incydenty związane z ICT były wykrywane, klasyfikowane, eskalowane, komunikowane i zgłaszane. To szkolenie sprawia, że procedury te są wykonalne pod presją.
ISO/IEC 27001:2022 zapewnia organizacjom podstawę systemu zarządzania. Klauzule od 4 do 10 obejmują kontekst, strony zainteresowane, przywództwo, ocenę ryzyka, postępowanie z ryzykiem, kompetencje, świadomość, udokumentowane informacje, ocenę wyników i doskonalenie. Norma jest skalowalna między sektorami i wielkościami organizacji, dlatego Clarysec wykorzystuje ją jako model operacyjny dla zintegrowanego dostosowania ISO, NIS2, DORA, GDPR i NIST ISO/IEC 27001:2022.
GDPR dodaje warstwę rozliczalności. Organizacje muszą wykazać, że dane osobowe są przetwarzane zgodnie z prawem, rzetelnie, bezpiecznie oraz z zastosowaniem odpowiednich środków technicznych i organizacyjnych. Pracownicy, którzy obsługują dane osobowe, administrują systemami, tworzą oprogramowanie, wspierają klientów lub prowadzą dochodzenia dotyczące incydentów, potrzebują szkoleń z zakresu prywatności i eskalacji naruszeń.
NIST CSF 2.0 wzmacnia ten sam kierunek. Jego funkcja GOVERN łączy wymagania prawne, regulacyjne, umowne, dotyczące prywatności oraz interesariuszy z rolami, odpowiedzialnościami, politykami, zasobami, nadzorem i zarządzaniem ryzykiem przedsiębiorstwa. Profile NIST CSF pomagają również przełożyć obowiązki szkoleniowe na plany doskonalenia stanu obecnego i docelowego.
Wniosek jest prosty: gotowe do audytu szkolenia z zakresu świadomości bezpieczeństwa muszą dowodzić, że ludzie znają swoje obowiązki, że szkolenie jest dostosowane do roli i ryzyka oraz że dowody są wystarczająco kompletne dla audytorów, regulatorów, klientów i kierownictwa.
Problem audytowy: „przeszkoliliśmy wszystkich” nie jest dowodem
Wiele organizacji nie przechodzi audytów nie dlatego, że nie przeprowadziły szkoleń, lecz dlatego, że nie potrafią udowodnić, iż szkolenia zostały zaprojektowane, przypisane, ukończone, poddane przeglądowi i udoskonalone.
Słaby pakiet dowodowy zwykle obejmuje jeden coroczny PDF, arkusz ukończeń bez dat, brak dowodów onboardingu, brak objęcia wykonawców, brak szkoleń dla użytkowników uprzywilejowanych, brak szkolenia kierownictwa, brak modułów opartych na rolach dla programistów lub finansów, brak powiązania z oceną ryzyka i brak dowodu, że szkolenie zostało zaktualizowane po incydentach lub zmianach regulacyjnych.
Audytorzy nie oczekują plakatu motywacyjnego. Oczekują łańcucha dowodów.
Polityka Clarysec dla SME wyraża to oczekiwanie wprost. Information Security Awareness and Training Policy - SME, Objectives, clause 3.3, wymaga od organizacji, aby:
„Ustanowiły udokumentowane zapisy ukończenia w celu wykazania zgodności z wymaganiami prawnymi, umownymi i audytowymi”.
Ta sama polityka SME przekształca szkolenie w zachowaną udokumentowaną informację. Policy Implementation Requirements, clause 6.3.2, stanowi:
„Centralny arkusz kalkulacyjny lub Human Resource Information System musi utrzymywać te zapisy przez co najmniej trzy lata”.
Dla środowisk korporacyjnych Information Security Awareness and Training Policy, Purpose, clause 1.2, ustanawia bardziej ustrukturyzowane oczekiwanie:
„Niniejsza polityka wspiera ISO/IEC 27001 Clause 7.3 oraz Annex A Control 6.3 poprzez wymaganie ustrukturyzowanych, opartych na ryzyku ram świadomości i szkoleń, dostosowanych do ról organizacyjnych oraz zmieniających się zagrożeń”.
To sformułowanie ma znaczenie: ustrukturyzowane, oparte na ryzyku, dostosowane do ról i uwzględniające zmieniające się zagrożenia. To różnica między pozorowaną świadomością a możliwymi do obrony kompetencjami.
Zacznij od ról, nie od kursów
Najczęstszy błąd polega na zakupie treści przed zdefiniowaniem odpowiedzialności. W zintegrowanym programie zgodności właściwe pierwsze pytanie nie brzmi: „Której platformy szkoleniowej powinniśmy użyć?”. Właściwe pytanie brzmi: „Które role tworzą, zarządzają, zatwierdzają, przetwarzają, zabezpieczają lub odtwarzają aktywa informacyjne?”.
ISO/IEC 27001:2022 Clause 5.3 wymaga przypisania i komunikowania odpowiedzialności oraz uprawnień dla ról w zakresie bezpieczeństwa informacji. Clause 7.2 wymaga kompetencji osób wykonujących pracę pod nadzorem organizacji, opartych na wykształceniu, szkoleniu lub doświadczeniu. Clause 7.3 wymaga świadomości Polityki bezpieczeństwa informacji, wkładu w skuteczność SZBI oraz skutków niezgodności.
W Zenith Blueprint, ISMS Foundation & Leadership, Step 5: Communication, Awareness, and Competence, Clarysec przekłada to na język wdrożeniowy:
„Zidentyfikuj wymagane kompetencje: ustal, jaka wiedza i umiejętności są niezbędne dla różnych ról w Twoim ISMS”.
Blueprint podaje praktyczne przykłady: personel IT może potrzebować bezpiecznej konfiguracji serwerów, programiści potrzebują bezpiecznego kodowania, HR potrzebuje bezpiecznego postępowania z danymi osobowymi, a ogół personelu potrzebuje świadomości phishingu. Podkreśla także znaczenie zapisów:
„Utrzymuj zapisy kompetencji: Clause 7.2 oczekuje, że zachowasz udokumentowane informacje jako dowód kompetencji”.
Oznacza to, że program szkoleniowy powinien zaczynać się od matrycy ról i ryzyk.
| Grupa ról | Zakres szkolenia | Dowody do zachowania | Wartość dla zgodności |
|---|---|---|---|
| Wszyscy pracownicy | Phishing, higiena haseł, MFA, dopuszczalne użytkowanie, bezpieczeństwo urządzeń, zgłaszanie incydentów | Raport ukończenia, wynik testu wiedzy, potwierdzenie zapoznania się z polityką, wersja treści | ISO/IEC 27001:2022 Clause 7.3, ISO/IEC 27002:2022 control 6.3, NIS2 Article 21 |
| Najwyższe kierownictwo i zarząd | Ład w zakresie cyberryzyka, obowiązki z NIS2 Article 20, nadzór DORA, apetyt na ryzyko, decyzje kryzysowe | Lista obecności, pakiet materiałów dla zarządu, protokoły, zatwierdzenie programu | NIS2 Article 20, DORA Article 5, dowody przywództwa dla ISO/IEC 27001:2022 |
| Programiści | Bezpieczne kodowanie, OWASP Top 10, bezpieczny SDLC, bezpieczeństwo API, obsługa podatności, narzędzia do zarządzania sekretami | Ukończenie modułu, wyniki laboratoriów, lista kontrolna bezpiecznego tworzenia kodu, dowody działań naprawczych | ISO/IEC 27002:2022 controls 8.25 and 8.28, oczekiwania DORA dotyczące ryzyka ICT |
| Administratorzy IT i systemów | Dostęp uprzywilejowany, rejestrowanie, zarządzanie podatnościami, odtwarzanie kopii zapasowych, kontrola zmian, utwardzanie | Zapis ukończenia, powiązanie z przeglądem dostępu, udział w ćwiczeniach typu tabletop | ISO/IEC 27002:2022 controls 8.8 and 8.13, gotowość odpornościowa DORA |
| HR | Poufność, wdrożenie i zakończenie współpracy, proces dyscyplinarny, postępowanie z danymi szczególnych kategorii | Zapis szkolenia HR, lista kontrolna onboardingu, potwierdzenie zapoznania się z polityką | Rozliczalność GDPR, ISO/IEC 27002:2022 people controls |
| Finanse | Oszustwa płatnicze, podszywanie się pod dostawców, rozdzielenie obowiązków, eskalacja podejrzanych żądań | Ukończenie ukierunkowanego modułu, wyniki symulacji phishingowej | Redukcja ryzyka oszustw, gotowość do obsługi incydentów NIS2 i DORA |
| Obsługa klienta | Weryfikacja tożsamości, bezpieczna obsługa zgłoszeń, ochrona danych osobowych, ścieżki eskalacji | Ukończenie modułu rolowego, próbka przeglądu zgłoszeń, potwierdzenie dotyczące prywatności | Rozliczalność podmiotu przetwarzającego w GDPR, zapewnienie dla klientów |
| Osoby reagujące na incydenty | Klasyfikacja, eskalacja, zabezpieczenie materiału dowodowego, terminy zgłoszeń regulacyjnych, wnioski z doświadczeń | Zapis ćwiczenia, raport scenariusza, przypisanie ról, rejestr działań | NIS2 Article 23, DORA Articles 17 to 19, ISO/IEC 27002:2022 incident controls |
| Wykonawcy z dostępem do systemów | Dopuszczalne użytkowanie, kanał zgłaszania, postępowanie z danymi, warunki dostępu | Potwierdzenie wykonawcy, zapis onboardingu, powiązanie z akceptacją dostępu | Zapewnienie dostawców, nadzór nad dostępem, zgodność z wymaganiami umownymi |
Ta matryca nie jest tylko harmonogramem szkoleń. To mapa zgodności pokazująca, dlaczego różne populacje otrzymują różne szkolenia.
Połącz szkolenie z łańcuchem środków kontrolnych
W Zenith Controls ISO/IEC 27002:2022 control 6.3, Information Security Awareness, Education and Training, jest klasyfikowany jako środek zapobiegawczy wspierający poufność, integralność i dostępność. Jego koncepcją cyberbezpieczeństwa jest Protect, zdolnością operacyjną Human Resource Security, a domenami bezpieczeństwa Governance i Ecosystem.
Interpretacja zgodności krzyżowej w Zenith Controls jest bezpośrednia:
„Control 6.3 odpowiada na wymóg NIS2 dotyczący szkoleń i świadomości bezpieczeństwa poprzez wdrożenie ustrukturyzowanego programu świadomości obejmującego cyberhigienę, pojawiające się zagrożenia oraz obowiązki personelu”.
To samo mapowanie łączy ISO/IEC 27002:2022 control 6.3 z oczekiwaniami GDPR wobec pracowników obsługujących dane osobowe, szkoleniami bezpieczeństwa ICT DORA dostosowanymi do ról oraz NIST SP 800-53 Rev.5 AT-2, AT-3 i AT-4 w zakresie szkoleń i świadomości, szkoleń opartych na rolach oraz zapisów szkoleń.
Kluczowe jest to, że control 6.3 nie funkcjonuje samodzielnie. Zenith Controls wiąże go z ISO/IEC 27002:2022 control 5.2, Information Security Roles and Responsibilities, ponieważ role definiują, kto potrzebuje jakiego szkolenia. Wiąże go z control 6.8, Information Security Event Reporting, ponieważ pracownicy nie mogą zgłosić czegoś, czego nie potrafią rozpoznać. Wiąże go także z control 5.36, Compliance with Policies, Rules and Standards for Information Security, ponieważ zgodność zależy od tego, czy ludzie znają zasady.
Tworzy to praktyczny łańcuch kontroli:
- Zdefiniuj odpowiedzialności.
- Przypisz szkolenia bazowe i oparte na rolach.
- Udowodnij ukończenie.
- Sprawdź zrozumienie.
- Monitoruj zgodność.
- Koryguj luki.
- Włącz wnioski do postępowania z ryzykiem i przeglądu zarządzania.
Ma to znaczenie dla NIS2, ponieważ Article 21 wymaga analizy ryzyka, polityk, obsługi incydentów, ciągłości działania, bezpieczeństwa łańcucha dostaw, bezpiecznego nabywania i utrzymania, oceny skuteczności środków kontrolnych, cyberhigieny i szkoleń, kryptografii, bezpieczeństwa HR, kontroli dostępu, zarządzania aktywami oraz MFA lub bezpiecznego uwierzytelniania tam, gdzie jest to właściwe.
Ma to znaczenie dla DORA, ponieważ ład, zarządzanie incydentami, reagowanie i odtwarzanie, ryzyko stron trzecich oraz testowanie odporności działają tylko wtedy, gdy ludzie wiedzą, co robić przed wystąpieniem incydentu.
Zbuduj gotowy do audytu pakiet dowodowy
Dojrzały pakiet dowodowy zawiera więcej niż listy obecności. Pokazuje nadzór, projekt, realizację, ukończenie, skuteczność i doskonalenie. Clarysec zaleca strukturę sześciu folderów.
| Folder dowodowy | Co zawiera | Dlaczego ma znaczenie |
|---|---|---|
| 01 Ład | Zatwierdzona polityka, cele szkoleniowe, zatwierdzenie kierownictwa, budżet, plan roczny | Wykazuje zaangażowanie kierownictwa i nadzór |
| 02 Mapowanie ról | Inwentarz ról, matryca kompetencji, reguły przypisywania szkoleń, zakres wykonawców | Potwierdza projekt oparty na ryzyku i rolach |
| 03 Treści szkoleniowe | Prezentacje kursów, moduły LMS, szablony phishingowe, biuletyny bezpieczeństwa, historia wersji | Pokazuje, czego faktycznie uczono ludzi |
| 04 Zapisy ukończenia | Eksporty z LMS, zapisy HRIS, listy obecności, wyniki testów wiedzy, potwierdzenia | Wykazuje udział i zachowane udokumentowane informacje |
| 05 Dowody skuteczności | Metryki symulacji phishingowych, wyniki wywiadów, trendy zgłaszania incydentów, wyniki ćwiczeń typu tabletop | Pokazuje, czy szkolenie zmieniło zachowanie |
| 06 Doskonalenie | Działania korygujące, zaktualizowane moduły, wnioski z doświadczeń, dane wejściowe do przeglądu zarządzania | Pokazuje ciągłe doskonalenie |
Korporacyjna polityka Clarysec wymaga onboardingu, corocznego szkolenia przypominającego i modułów opartych na rolach. Information Security Awareness and Training Policy, Governance Requirements, clause 5.1.1.2, stanowi:
„Uwzględnij onboarding, coroczne szkolenie przypominające oraz moduły szkoleniowe oparte na rolach”.
Ta sama polityka przypisuje własność dowodów. Governance Requirements, clauses 5.3.1 and 5.3.1.1, stanowią:
„CISO lub osoba delegowana musi utrzymywać:”
„Zapisy ukończenia dla każdego użytkownika”.
Dla SME polityka SME dodaje pragmatyczny rytm. Information Security Awareness and Training Policy - SME, Policy Implementation Requirements, clause 6.1.1, stanowi:
„Materiały muszą być praktyczne, odpowiednie do roli i aktualizowane corocznie”.
Obejmuje również szkolenia uruchamiane zmianą. Clause 6.5.1 stanowi:
„Gdy role stanowiskowe ulegają zmianie lub wprowadzane są systemy, może być wymagane ukierunkowane szkolenie świadomościowe (np. bezpieczne udostępnianie plików, nowe wymagania dotyczące ochrony danych i minimalizacji danych)”.
Ta klauzula jest szczególnie ważna w 2026 roku, ponieważ migracja do chmury obliczeniowej, narzędzia AI, nowe integracje płatnicze, nowi procesorzy i zmiany w raportowaniu regulacyjnym mogą zmieniać ryzyko szybciej niż cykl roczny.
Tygodniowy plan ratunkowy przed audytem
Rozważmy dostawcę SaaS lub fintech zatrudniającego 180 osób, przygotowującego się do audytu nadzoru ISO/IEC 27001:2022, badania due diligence klienta w zakresie DORA, przeglądu rozliczalności GDPR oraz pytań klientów wynikających z NIS2. CISO ma tydzień, aby przekształcić ogólne zapisy ukończeń w możliwy do obrony pakiet dowodowy.
Dzień 1: Potwierdź zakres i obowiązki
Wykorzystaj ISO/IEC 27001:2022 Clauses 4.1 to 4.4, aby potwierdzić kontekst, strony zainteresowane i zakres SZBI. Uchwyć zobowiązania umowne wobec klientów, obowiązki administratora lub podmiotu przetwarzającego wynikające z GDPR, oczekiwania NIS2 ze strony klientów krytycznych oraz wnioski due diligence dostawcy ICT związane z DORA.
Następnie przełóż te obowiązki na potrzeby szkoleniowe. GDPR wymaga, aby personel obsługujący dane osobowe rozumiał poufność, minimalizację, okres przechowywania i eskalację naruszeń. NIS2 wymaga cyberhigieny, szkolenia pracowników i nadzoru kierownictwa. Klienci kierujący się DORA będą oczekiwać dowodów, że zespoły wspierające usługi krytyczne rozumieją eskalację incydentów, odporność, kontrolę dostępu, kopie zapasowe i odtwarzanie oraz koordynację ze stronami trzecimi.
Dzień 2: Zbuduj matrycę opartą na rolach
Wykorzystaj wytyczne z Zenith Blueprint i mapowania w Zenith Controls dla ISO/IEC 27002:2022 controls 5.2 and 6.3. Uwzględnij pracowników, wykonawców, użytkowników uprzywilejowanych, programistów, zespoły wsparcia, HR, finanse, najwyższe kierownictwo i osoby reagujące na incydenty.
Powiąż każdą rolę z systemami i ryzykami. Programiści otrzymują bezpieczne kodowanie i obsługę podatności. Zespoły wsparcia otrzymują weryfikację tożsamości i bezpieczną obsługę zgłoszeń. Finanse otrzymują oszustwa płatnicze i weryfikację zmian dostawcy. Najwyższe kierownictwo otrzymuje ład, rozliczalność prawną, apetyt na ryzyko i podejmowanie decyzji kryzysowych.
Dzień 3: Dostosuj politykę i przypisania
Przyjmij lub zaktualizuj odpowiednią politykę Clarysec. Użyj polityki SME dla lekkiego modelu operacyjnego albo polityki korporacyjnej dla silniejszego ładu i własności dowodów. Potwierdź, że polityka obejmuje onboarding, coroczne szkolenia przypominające, moduły oparte na rolach, okres przechowywania dowodów, objęcie wykonawców i szkolenia uruchamiane zmianą.
Opublikuj politykę, zbierz potwierdzenia i powiąż moduły szkoleniowe z rodzinami stanowisk w HRIS lub LMS.
Dzień 4: Przeprowadź ukierunkowane szkolenie
Nie szkol wszystkich ze wszystkiego. Przeszkol wszystkich z bazowych środków kontrolnych, a następnie przypisz moduły specyficzne dla ról.
Moduł bazowy powinien obejmować phishing i inżynierię społeczną, higienę haseł i MFA, dopuszczalne użytkowanie, bezpieczne postępowanie z informacjami, kanały zgłaszania incydentów, zgłaszanie utraconych urządzeń oraz podstawy ochrony danych.
Moduły specyficzne dla ról powinny obejmować bezpieczny SDLC dla programistów, dostęp uprzywilejowany i odtwarzanie kopii zapasowych dla IT, dane pracowników dla HR, oszustwa płatnicze dla finansów, klasyfikację incydentów dla osób reagujących oraz ład NIS2 i DORA dla najwyższego kierownictwa.
Dzień 5: Wyeksportuj i zwaliduj dowody
Utwórz sześcioczęściowy pakiet dowodowy. Wyeksportuj raporty ukończenia, wyniki testów wiedzy, numery wersji kursów, potwierdzenia zapoznania się z polityką i harmonogramy szkoleń. Zidentyfikuj braki w ukończeniu i otwórz działania korygujące.
Następnie sprawdź zrozumienie przez wywiady. Zapytaj pracowników z różnych działów:
- Jakie szkolenie bezpieczeństwa ukończyłeś?
- Jak zgłaszasz podejrzaną wiadomość e-mail?
- Co zrobisz, jeśli zgubisz laptop?
- Gdzie możesz znaleźć Politykę bezpieczeństwa informacji?
- Jakie dane osobowe obsługujesz w swojej roli?
Zapisz wyniki jako próbkę audytu wewnętrznego. Audytorzy często wykorzystują wywiady, aby zweryfikować, czy świadomość została przyswojona, a nie tylko dostarczona.
Dzień 6: Powiąż szkolenie z reagowaniem na incydenty
Wykorzystaj szkolenie ze zgłaszania incydentów jako pomost do ISO/IEC 27002:2022 control 6.8, NIS2 Article 23 oraz DORA Articles 17 to 19.
NIS2 Article 23 wymaga etapowego zgłaszania istotnych incydentów, w tym wczesnego ostrzeżenia w ciągu 24 godzin od uzyskania świadomości, zgłoszenia w ciągu 72 godzin oraz raportu końcowego w ciągu jednego miesiąca. DORA wymaga, aby poważne incydenty związane z ICT były klasyfikowane, eskalowane, komunikowane i zgłaszane w wymaganym cyklu raportowania.
Pracownicy nie muszą zapamiętywać terminów prawnych, ale muszą zgłaszać podejrzane incydenty na tyle szybko, aby organizacja mogła ich dotrzymać.
W Zenith Blueprint, Controls in Action, Step 16: People Controls II, Clarysec stwierdza:
„Skuteczny system reagowania na incydenty zaczyna się nie od narzędzi, lecz od ludzi”.
To nie jest miękka wskazówka. To odporność operacyjna.
Dzień 7: Przygotuj narrację audytową
Końcowa narracja audytowa powinna być krótka i oparta na dowodach:
„Zidentyfikowaliśmy potrzeby szkoleniowe na podstawie ról SZBI, obowiązków prawnych i umownych, wyników oceny ryzyka oraz dostępu do systemów. Przypisaliśmy moduły bazowe i oparte na rolach przez LMS. Zachowaliśmy zapisy ukończenia, wyniki testów wiedzy, wersje treści i potwierdzenia. Sprawdziliśmy skuteczność poprzez symulacje phishingowe, wywiady i metryki zgłaszania incydentów. Brak ukończenia jest śledzony jako działanie korygujące. Kierownictwo przegląda program corocznie oraz po istotnych zmianach”.
Poparta dowodami narracja może wytrzymać pytania audytowe ISO/IEC 27001:2022, kontrolę ładu w NIS2, due diligence klientów w DORA, przegląd rozliczalności GDPR oraz ocenę środków kontrolnych w stylu NIST.
Mapowanie zgodności krzyżowej dla szkoleń z zakresu świadomości bezpieczeństwa
Świadomość bezpieczeństwa bywa błędnie klasyfikowana jako zadanie HR. W praktyce jest to środek kontrolny zgodności krzyżowej, który dotyka ładu, zarządzania ryzykiem, prywatności, reagowania na incydenty, zapewnienia dostawców i odporności.
| Ramy lub regulacja | Znaczenie szkolenia | Punkt wdrożenia Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Kompetencje, świadomość, przywództwo, przypisanie ról, udokumentowane informacje, monitorowanie, audyt wewnętrzny i doskonalenie | Zenith Blueprint Step 5 i Step 15, klauzule polityki dotyczące onboardingu, corocznych szkoleń przypominających, szkoleń opartych na rolach i dowodów |
| ISO/IEC 27002:2022 | Control 6.3 świadomość, edukacja i szkolenie, powiązane z 5.2 role, 6.8 zgłaszanie zdarzeń oraz 5.36 monitorowanie zgodności | Zenith Controls mapuje atrybuty, powiązane środki kontrolne, oczekiwania audytowe i dostosowanie między ramami |
| NIS2 | Szkolenie kierownictwa, szkolenie pracowników w zakresie cyberbezpieczeństwa, cyberhigiena, gotowość do obsługi incydentów i rozliczalność ładu | Moduł dla zarządu, moduł bazowy dla pracowników, moduł zgłaszania incydentów, dowód zatwierdzenia przez kierownictwo |
| DORA | Ład ICT, nadzór kierownictwa, uczenie się i doskonalenie, eskalacja incydentów, testowanie odporności i oczekiwania wobec stron trzecich | Szkolenie dla najwyższego kierownictwa, moduły ról ICT, szkolenie osób reagujących na incydenty, pakiet dowodowy dla dostawców |
| GDPR | Rozliczalność, bezpieczne przetwarzanie, świadomość ról w zakresie prywatności, rozpoznawanie naruszeń i postępowanie z danymi osobowymi | Szkolenia z prywatności dla HR, wsparcia, sprzedaży, inżynierii i zespołów incydentowych |
| NIST CSF 2.0 | Funkcja GOVERN, role, polityki, obowiązki prawne, nadzór, profile i planowanie doskonalenia | Obecny i docelowy profil szkoleń, rejestr luk i priorytetowy plan działań |
| NIST SP 800-53 Rev.5 | Szkolenie świadomościowe, szkolenie oparte na rolach i zapisy szkoleń | Mapowanie do AT-2, AT-3 i AT-4 przez Zenith Controls |
| Zapewnienie inspirowane COBIT 2019 | Cele ładu, rozliczalność, zdolność, wskaźniki skuteczności działania i raportowanie zarządcze | KPI szkoleniowe, własność ról, przegląd zarządzania i zamykanie działań korygujących |
NIST CSF 2.0 jest szczególnie przydatny dla organizacji, które muszą wyjaśnić dojrzałość interesariuszom spoza świata ISO. Jego metoda Organizational Profiles wspiera planowanie stanu obecnego i docelowego. Na przykład Current Profile może wskazywać, że istnieje bazowa świadomość, ale szkolenie programistów z bezpiecznego kodowania jest niekompletne. Target Profile może wymagać, aby wszyscy programiści ukończyli szkolenie z bezpiecznego kodowania, ujawniania podatności i zarządzania sekretami do Q3.
Jak audytorzy i regulatorzy testują dowody szkoleniowe
Różni przeglądający zadają różne pytania, ale wszyscy testują tę samą prawdę: czy organizacja wie, co ludzie muszą robić, i czy potrafi udowodnić, że ludzie są przygotowani, aby to zrobić?
Audytor ISO/IEC 27001:2022 powiąże dowody szkoleniowe z Clauses 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 and 10.2 oraz środkami kontrolnymi z Załącznika A. Należy spodziewać się pytań o to, jak określono wymagania kompetencyjne, skąd pracownicy znają Politykę bezpieczeństwa informacji, jak szkoleni są nowi pracownicy i wykonawcy, jak obsługiwany jest brak ukończenia, jak szkolenie oparte na rolach wiąże się z oceną ryzyka i Statement of Applicability oraz jak oceniana jest skuteczność.
Zenith Controls wskazuje, że audytorzy korzystający z ISO/IEC 19011:2018 będą przeglądać program nauczania, harmonogramy, materiały, listy obecności, certyfikaty ukończenia i kompetencje trenerów. Wskazuje także, że audytorzy ISO/IEC 27007:2020 mogą wykorzystywać wywiady, aby ustalić, czy pracownicy wiedzą, jak zgłaszać incydenty i pamiętają kluczowe komunikaty szkoleniowe.
Przegląd ukierunkowany na NIS2 wyjdzie poza wskaźniki ukończenia. Zapyta, czy organ zarządzający zatwierdził i nadzorował środki zarządzania ryzykiem cyberbezpieczeństwa, czy kierownictwo odbyło szkolenie, czy szkolenia personelu z cyberhigieny są regularne oraz czy zgłaszanie incydentów jest zrozumiałe. Article 21 wymaga również procedur oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa, dlatego metryki phishingu, trendy zgłaszania incydentów i ustalenia z audytu stają się dowodami skuteczności kontroli.
Przegląd DORA, zwłaszcza prowadzony przez klienta finansowego oceniającego dostawcę ICT, skoncentruje się na odporności operacyjnej. Należy spodziewać się pytań o personel wspierający krytyczne usługi finansowe, zapisy szkoleń dla zespołów zarządzających systemami płatniczymi, szkolenie kierownictwa w zakresie ryzyka ICT stron trzecich, klasyfikację incydentów zgodnie z DORA Article 18 oraz szkolenie wykonawców w zakresie dostępu do środowiska klienta.
Przegląd GDPR skoncentruje się na rozliczalności. Organizacja musi wykazać, że personel obsługujący dane osobowe rozumie zgodne z prawem przetwarzanie, poufność, minimalizację, okres przechowywania, bezpieczne postępowanie i eskalację naruszeń. Dla dostawców SaaS, fintechów i dostawców usług zarządzanych dowody szkoleniowe są częścią wykazania, że wymagania dotyczące prywatności są osadzone w zachowaniach operacyjnych.
Metryki potwierdzające skuteczność kontroli
Ukończenie jest konieczne, ale niewystarczające. Silniejszy pulpit na 2026 rok pokazuje, czy szkolenie poprawiło zachowanie.
| Metryka | Co pokazuje | Interpretacja audytowa |
|---|---|---|
| Ukończenie według roli | Czy przypisane populacje ukończyły wymagane moduły | Podstawowa zgodność i pokrycie |
| Ukończenie przez nowych pracowników w terminie docelowym | Czy kontrole onboardingu działają | Dojrzałość HR i nadzoru nad dostępem |
| Ukończenie szkolenia przez użytkowników uprzywilejowanych | Czy użytkownicy wysokiego ryzyka są przygotowani | Priorytetyzacja oparta na ryzyku |
| Współczynnik kliknięć i zgłoszeń w symulacji phishingowej | Czy zachowanie się poprawia | Skuteczność świadomości |
| Zgłoszenia incydentów od pracowników | Czy ludzie rozpoznają i zgłaszają zdarzenia | Powiązanie z gotowością do obsługi incydentów |
| Czas od podejrzanej wiadomości e-mail do zgłoszenia | Czy zgłaszanie wspiera terminy regulacyjne | Gotowość NIS2 i DORA |
| Powtarzający się brak ukończenia | Czy egzekwowanie i eskalacja działają | Monitorowanie zgodności |
| Aktualizacje szkoleń po incydentach lub zmianach | Czy wnioski z doświadczeń napędzają doskonalenie | Ciągłe doskonalenie |
Metryki te wspierają ISO/IEC 27001:2022 Clause 9.1 w zakresie monitorowania i pomiaru, Clause 9.2 dla audytu wewnętrznego, Clause 10.1 dla ciągłego doskonalenia oraz Clause 10.2 dla niezgodności i działań korygujących. ISO/IEC 27002:2022 control 5.36 wzmacnia wymóg, że zgodność z politykami, zasadami i normami musi być monitorowana, oceniana i poddawana działaniom naprawczym.
Typowe ustalenia, które Clarysec widzi w audytach
Te same słabości powtarzają się regularnie.
Organizacje szkolą pracowników, ale zapominają o najwyższym kierownictwie. W NIS2 i DORA szkolenie kierownictwa jest częścią ładu, a nie premią za dojrzałość.
Organizacje realizują szkolenie roczne, ale ignorują zmiany ról. Inżynier wsparcia przechodzący do DevOps potrzebuje szkolenia z dostępu uprzywilejowanego, rejestrowania, kopii zapasowych i eskalacji incydentów.
Organizacje uwzględniają pracowników, ale zapominają o wykonawcach. Zenith Blueprint Step 15 zaleca rozszerzenie szkolenia na wykonawców lub strony trzecie mające dostęp do systemów lub danych.
Organizacje uczą zgłaszania incydentów, ale tworzą atmosferę strachu. Jeśli personel wierzy, że zostanie ukarany za kliknięcie linku phishingowego, może milczeć. Zenith Blueprint Step 16 podkreśla proste kanały zgłaszania, zgłaszanie wspierane świadomością i kulturę bez obwiniania.
Organizacje nie potrafią udowodnić wersjonowania treści. Jeśli audytor zapyta, co pracownicy ukończyli w marcu, aktualna prezentacja na SharePoint nie wystarczy. Zachowaj wersję, która została dostarczona.
Organizacje nie łączą szkolenia z postępowaniem z ryzykiem. Jeśli ransomware, oszustwa płatnicze, błędna konfiguracja chmury obliczeniowej lub wycieki danych są ryzykami najwyższego poziomu, plan szkoleniowy powinien pokazywać ukierunkowane postępowanie dla odpowiednich ról.
Gdzie pasuje Clarysec
Clarysec pomaga organizacjom zbudować jeden możliwy do obrony program zamiast pięciu rozłącznych ścieżek zgodności.
Information Security Awareness and Training Policy - SME daje mniejszym organizacjom praktyczną bazę: oczekiwania oparte na rolach, udokumentowane zapisy, coroczne aktualizacje, szkolenia uruchamiane zmianą oraz okres przechowywania wynoszący co najmniej trzy lata.
Korporacyjna Information Security Awareness and Training Policy daje większym organizacjom silniejszy ład: ustrukturyzowaną świadomość opartą na ryzyku, onboarding, coroczne szkolenia przypominające, moduły oparte na rolach, własność zapisów po stronie CISO oraz gotowość do kontroli regulacyjnych w ramach GDPR, DORA i NIS2.
Zenith Blueprint mówi zespołom wdrożeniowym, co robić po kolei. Step 5 wbudowuje kompetencje i świadomość w fundament SZBI. Step 15 operacjonalizuje ISO/IEC 27002:2022 control 6.3 poprzez coroczne szkolenie, moduły specyficzne dla ról, onboarding, symulacje phishingowe, dowody udziału, ukierunkowane biuletyny, szkolenie wykonawców i wzmacnianie zachowań. Step 16 łączy świadomość ze zgłaszaniem incydentów inicjowanym przez personel.
Zenith Controls daje zespołom ds. zgodności mapowanie krzyżowe. Łączy ISO/IEC 27002:2022 control 6.3 z rolami, zgłaszaniem zdarzeń, monitorowaniem zgodności, ryzykami czynnika ludzkiego w ISO/IEC 27005:2024, oczekiwaniami szkoleniowymi GDPR, NIS2 Article 21, szkoleniami ICT DORA, kontrolami świadomości NIST i metodykami audytu. Łączy także control 5.2 z odpowiedzialnościami w ramach ładu oraz control 5.36 z monitorowaniem zgodności i działaniami korygującymi.
Razem te zasoby pozwalają CISO wyjaśnić nie tylko, jakie szkolenie się odbyło, lecz także dlaczego się odbyło, kto go wymagał, jakie ryzyko ograniczało, jak zostało udowodnione i jak się doskonali.
Przygotuj dowody szkoleń bezpieczeństwa do audytu już teraz
Jeśli Twoje obecne dowody to arkusz kalkulacyjny, prezentacja i nadzieja, że pracownicy pamiętają adres e-mail do zgłoszeń, teraz jest czas, aby podnieść ich dojrzałość.
Zacznij w tym tygodniu od czterech działań:
- Utwórz matrycę szkoleń opartą na rolach, powiązaną z odpowiedzialnościami SZBI, dostępem do systemów i obowiązkami regulacyjnymi.
- Przyjmij lub zaktualizuj politykę świadomości Clarysec, używając Information Security Awareness and Training Policy - SME lub Information Security Awareness and Training Policy.
- Zbuduj sześcioczęściowy pakiet dowodowy obejmujący ład, mapowanie ról, treści, ukończenie, skuteczność i doskonalenie.
- Użyj Zenith Blueprint i Zenith Controls, aby zmapować dowody szkoleniowe do oczekiwań audytowych ISO/IEC 27001:2022, NIS2, DORA, GDPR i NIST.
Świadomość bezpieczeństwa ma wartość, gdy zmienia zachowanie. Dowody zgodności mają wartość, gdy konsekwentnie potwierdzają to zachowanie.
Clarysec pomaga zbudować jedno i drugie.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
