Program szkolenia zarządu z cyberbezpieczeństwa — agenda 3h, moduł po module
Szczegółowa agenda 3‑godzinnego szkolenia zarządu zgodnego z art. 8e KSC 2.0. Trzy moduły: prawo (1h), strategia ryzyka (1h), realne incydenty z SOC (1h). Mapowanie modułów na konkretne artykuły ustawy.
Kluczowe wnioski
- Optymalna agenda szkolenia zarządu: 3 godziny w 3 modułach po 60 minut — prawo, strategia, realne incydenty.
- Każdy moduł powinien zakończyć się 5–10 minut praktyki (kazus, checklista, tabletop), nie tylko wykładem.
- Agenda musi mapować się na zakres szkolenia z art. 8e ust. 2 — czyli na obowiązki z art. 7b ust. 4, 7c, 7f ust. 3, 8, 8d, 8f ust. 1 i 2, 9–12b, 14 i 15.
- Trzech prowadzących (prawnik, vCISO, ekspert SOC) daje merytoryczną głębię, której nie pokrywa jedna osoba.
Co musi zawierać agenda — wymóg ustawowy
Art. 8e ust. 2 KSC 2.0 (nowelizacja Dz.U. 2026 poz. 252) wymaga, aby zakres szkolenia obejmował wykonywanie obowiązków określonych w konkretnych artykułach ustawy:
Zakres szkolenia obejmuje wykonywanie obowiązków, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8f ust. 1 i 2, art. 9–12b, art. 14 i art. 15.
To znaczy: dobra agenda nie wymyśla zakresu — odzwierciedla katalog ustawowy. Każdy moduł szkolenia powinien być mapowany na konkretne artykuły.
| Artykuł | Czego dotyczy | Moduł u nas |
|---|---|---|
| art. 7b ust. 4 | Aktualizacja danych w wykazie | Prawnik |
| art. 7c | Wniosek o wpis, oświadczenia kierownika | Prawnik |
| art. 7f ust. 3 | Terminy 12 i 24 m‑cy | Prawnik |
| art. 8 | System zarządzania bezpieczeństwem informacji | vCISO |
| art. 8d | Obowiązki kierownika (5 punktów) | Prawnik + vCISO |
| art. 8f ust. 1 i 2 | KRK i niekaralność | Prawnik |
| art. 9 | Min. 2 osoby kontaktowe | vCISO |
| art. 10 | Kanał zgłoszeń cyberzagrożeń | Ekspert SOC |
| art. 11 | Obsługa incydentów | Ekspert SOC |
| art. 12 | Raportowanie incydentów do CSIRT (24h/72h/30 dni) | Ekspert SOC |
| art. 12a | Wczesne ostrzeżenia | Ekspert SOC |
| art. 12b | Sprawozdania okresowe i końcowe | Ekspert SOC |
| art. 14 | Wewnętrzne struktury cybersec | vCISO |
| art. 15 | Audyt cyberbezpieczeństwa | vCISO |
Agenda, która pomija którykolwiek z tych obszarów, w razie sporu z audytorem może być zakwestionowana jako niespełniająca zakresu szkoleniowego.
Rekomendowana struktura 3‑godzinna
W SecIQ stosujemy poniższą strukturę jako sprawdzony standard rynkowy. Pokrywa wszystkie obszary z art. 8e ust. 2, mieści się w jednym posiedzeniu zarządu, ma 3 prowadzących dla głębi merytorycznej.
Moduł 1 (0:00 — 1:00) — Prawnik
Cel: zarząd rozumie, kiedy odpowiada osobiście (art. 8c), jakie ma własne obowiązki (art. 8d), jak udokumentować decyzje, jak unikać zarzutów z 14 podstaw z art. 73a.
| Czas | Temat | Mapping art. 8e ust. 2 |
|---|---|---|
| 0:00 — 0:10 | Wprowadzenie: KSC 2.0, terminy z art. 7f ust. 3 | art. 7f ust. 3 |
| 0:10 — 0:25 | Obowiązki rejestracyjne i aktualizacja danych | art. 7b ust. 4, art. 7c |
| 0:25 — 0:40 | Art. 8c — odpowiedzialność kierownika (ust. 1, 2, 3); art. 8d — 5 obowiązków kierownika | art. 8d |
| 0:40 — 0:50 | Art. 8e — coroczne szkolenie i jego zakres; art. 8f — KRK | art. 8f ust. 1 i 2 |
| 0:50 — 1:00 | Art. 73a — katalog 14 podstaw kar dla kierownika; dowód staranności i polisa D&O | (kontekst sankcyjny) |
Praktyka: 5‑minutowy kazus — „prezes podpisuje politykę bez czytania" — uczestnicy odpowiadają, czy to spełnia art. 8d pkt 1 i jakie ryzyko z art. 73a generuje.
Moduł 2 (1:00 — 2:00) — vCISO
Cel: zarząd potrafi czytać analizę ryzyka, planować adekwatne środki finansowe (art. 8d pkt 2), przydzielać i nadzorować zadania (art. 8d pkt 3), zapewnić strukturę nadzorczą (art. 14) i audyt (art. 15).
| Czas | Temat | Mapping art. 8e ust. 2 |
|---|---|---|
| 1:00 — 1:15 | Art. 8 — SZBI: jak go czytać, gdzie szukać luk | art. 8 |
| 1:15 — 1:30 | Art. 8d pkt 2 — planowanie środków finansowych: jak zarząd zna sensowne kwoty | art. 8d |
| 1:30 — 1:45 | Art. 9 — wyznaczanie osób kontaktowych; art. 14 — wewnętrzne struktury cyber | art. 9, art. 14 |
| 1:45 — 2:00 | Art. 15 — audyt cyberbezpieczeństwa: kogo, jak często, co przygotować | art. 15 |
Praktyka: wzór klauzul cyber do umów z dostawcami oraz przykład struktur z art. 14 — uczestnicy dostają templates do zabrania.
Moduł 3 (2:00 — 3:00) — Ekspert SOC
Cel: zarząd zna 3 realne scenariusze, ma checklist „pierwsza godzina po telefonie", potrafi podjąć decyzję w 30 minut. Pokrywa obowiązki incydentowe i raportowanie z art. 10–12b.
Kurs NIS2 dla zarządów i IT managerów
Poznaj wymagania dyrektywy NIS2, harmonogram wdrożenia i kary. 4 moduły, certyfikat ukończenia.
Zapisz się na kurs| Czas | Temat | Mapping art. 8e ust. 2 |
|---|---|---|
| 2:00 — 2:15 | Case #1 — Ransomware w średniej firmie (anonimizowany) | art. 11, art. 12 |
| 2:15 — 2:30 | Case #2 — BEC ze stratą 1,4 mln EUR — proces decyzji zarządu | art. 11, art. 12 |
| 2:30 — 2:45 | Case #3 — Supply chain attack przez polskiego SaaS‑a | art. 10, art. 11 |
| 2:45 — 3:00 | Tabletop exercise — Twój zarząd w roli; art. 12a i 12b — wczesne ostrzeżenia i sprawozdania | art. 12a, art. 12b |
Praktyka: checklista „kiedy dzwonić, kiedy płacić, kiedy milczeć" — uczestnicy dostają drukowaną wersję plus link do biblioteki online.
Dlaczego trzech prowadzących, nie jeden
Zakres z art. 8e ust. 2 obejmuje 10+ artykułów ustawy w trzech różnych warstwach: prawnej (rejestracja, odpowiedzialność, sankcje), strategicznej (SZBI, środki, struktury, audyt) i operacyjnej (incydenty, raportowanie). Jeden trener, który mówi we wszystkich trzech warstwach, w którymś jest poza specjalizacją — i zarząd to wyczuje.
- Prawnik rozumie ustawę, orzeczenia i mechanikę odpowiedzialności z art. 8c i 73a — konsultant cyber tłumaczy je z drugiej ręki.
- vCISO rozumie kompromis budżet ↔ ryzyko z perspektywy 20+ lat pracy w cyber — prawnik tego nie zastąpi.
- Ekspert z operacyjnego SOC widzi incydenty na żywo — bez własnego SOC dostawca opowiada hipotezy.
To podejście różni nas od większości rynku, gdzie standardem jest 1 trener z puli 4–6 ekspertów.
Dokumentacja agendy — co musi mieć raport po szkoleniu
Raport agendy podpisany przez dostawcę powinien zawierać:
- Datę i godziny modułów — z dokładnością do 15 minut
- Imienna lista uczestników z czasem wejścia/wyjścia (logi z platformy w online)
- Mapping modułów na art. 8e ust. 2 — który obszar ustawy został omówiony, w jakiej części
- Listę materiałów przekazanych — slajdy, checklisty, wzory dokumentów
- Imię i kompetencje prowadzącego(ych) — minimum: stopnie, certyfikaty, doświadczenie
- Podpis dostawcy — z datą i numerem dokumentu (do rejestru)
Taki raport plus imienne certyfikaty plus oświadczenia uczestników = pełen pakiet dowodowy do akt zarządu — pierwszy element obrony podczas kontroli.
Częste błędy w agendzie szkoleń dla zarządu
- Za dużo wprowadzenia, za mało praktyki — 30 minut „co to jest cyber" to strata czasu zarządu, który już to wie.
- Brak mapowania na artykuły ustawy — agenda „cyberbezpieczeństwo organizacji" bez wskazania konkretnych artykułów to dla kontrolera funkcjonalny brak szkolenia z art. 8e ust. 2.
- Brak case'ów lokalnych (PL) — zarząd nie czuje incydentu w „US healthcare provider".
- Tabletop tylko jako finał — lepiej rozłożyć 3 mikro‑decyzje w trakcie modułów.
- Brak materiałów do zabrania — slajdy bez checklist i wzorów to wykład, nie szkolenie.
- Jeden trener przez 3 godziny — zarząd traci uwagę po 90 minutach jednego głosu.
Jak wygląda agenda SecIQ w praktyce
Szkolenie dla zarządu w SecIQ odbywa się w opisanym schemacie 3 × 60 minut. Po sesji zarząd dostaje:
- Pełen pakiet dowodowy (certyfikaty + raport agendy z mapowaniem na art. 8e ust. 2 + oświadczenia)
- 4 dokumenty robocze: wzór polityki bezpieczeństwa, klauzule cyber do umów, checklistę kryzysową, oświadczenie zgodności art. 8e
- Dostęp do biblioteki e‑learning na 12 miesięcy (video, quizy, dodatkowe case'y)
- Konsultację follow‑up 30 minut z vCISO w ciągu 90 dni
Umów szkolenie i otrzymaj agendę dopasowaną do branży →
Źródła
FAQ
Czy 3 godziny to za mało dla zarządu?
Czy zarząd musi siedzieć przez wszystkie 3 godziny?
Co jeśli mam tylko 90 minut wolnego czasu w grafiku zarządu?
SecIQ Team
Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą.
O zespole →
