Przejdź do treści
dyrektywanis2.com

Blog · 18 lutego 2026 · 6 min

Szkolenia zarządu w NIS2 — Art. 20 i co realnie wystarczy

Art. 20 NIS2 to jeden z najmniej omawianych — i najczęściej źle rozumianych — przepisów dyrektywy. Wprowadza dwa obowiązki: nadzór zarządu nad wdrożeniem środków oraz regularne szkolenia tego zarządu. „Regularnie" to słowo, które otwiera szeroką interpretację — i właśnie dlatego budzi pytania.

Treść Art. 20 — bez interpretacji

Dyrektywa wskazuje, że organy zarządzające Podmiotów Kluczowych i Ważnych „zatwierdzają środki zarządzania ryzykiem cyberbezpieczeństwa" oraz „nadzorują ich wdrożenie". Drugi ustęp dodaje obowiązek regularnych szkoleń członków organów zarządzających oraz analogiczne zalecenie wobec pracowników podmiotu. Polski projekt nowelizacji KSC z lipca 2025 r. praktycznie przepisuje to brzmienie bez modyfikacji.

Co istotne — dyrektywa nie podaje minimalnej częstotliwości, formatu ani zakresu tematycznego. Ta swoboda interpretacyjna ma dwie strony. Z jednej — pozwala firmie dopasować szkolenie do swojego profilu ryzyka i wielkości. Z drugiej — naraża na arbitralną ocenę organu właściwego w trakcie kontroli.

Praktyka — co naprawdę „wystarcza"

Stan wiedzy na początek 2026 r. opiera się na trzech źródłach: interpretacjach pierwszych państw, które wdrożyły dyrektywę (Niemcy, Belgia, Holandia, Włochy), wytycznych ENISA z 2024 r. oraz pierwszych raportach pokontrolnych. Zbiorczy wniosek:

  • Częstotliwość: minimum dwa razy w roku dla członków zarządu. Raz na rok dla rady nadzorczej i wybranych członków kierownictwa wyższego szczebla. Dla pracowników liniowych — co najmniej raz w roku, plus testy phishingowe co kwartał.
  • Czas trwania jednego szkolenia zarządu: 60–120 minut. Krótsza forma jest oceniana jako pozorna; dłuższa zazwyczaj niewykonalna w kalendarzu zarządu.
  • Forma: najczęściej spotkanie w sali (in-person) albo wideokonferencja z rejestrem obecności. Forma e-learningowa jest dopuszczalna, ale słabo broni się przed audytorem — bo trudno udowodnić faktyczną obecność i zrozumienie.
  • Prowadzący: osoba z udokumentowaną wiedzą o cyberbezpieczeństwie i prawie (CISO firmy, vCISO zewnętrzny, prawnik z firmy doradczej, ekspert zewnętrzny). Pierwsze szkolenia często prowadzi dwóch ludzi — prawnik i technik — bo zakres tematyczny obejmuje obie strony.
  • Materiały: prezentacja PDF lub PPT, lista obecności podpisana przez uczestników, krótki test sprawdzający zrozumienie (3–5 pytań). Test nie jest formalnie wymagany przez dyrektywę, ale jest mocnym dowodem dla audytu.

Co powinno się znaleźć w programie

ENISA w wytycznych z 2024 r. proponuje minimalny zakres tematyczny szkolenia. Polskie pierwsze projekty wdrożeniowe rozbudowują go o specyfikę krajową (Art. 12a, struktura CSIRT). Praktyczny zakres jednej sesji 90-minutowej dla zarządu:

  1. Wprowadzenie do NIS2 i polskiej nowelizacji KSC (10 min). Co to za regulacja, jaki jest harmonogram, dlaczego ich firma jest objęta.
  2. Kary i odpowiedzialność osobista (15 min). Art. 12a KSC, regres do 600% wynagrodzenia, ubezpieczenie D&O, cywilna odpowiedzialność z KSH.
  3. Dziesięć obowiązków technicznych Art. 21 (15 min). Bez technicznych detali, na poziomie zarządczym — które są wdrożone, które w toku, które brakuje.
  4. Raportowanie incydentów (10 min). Kaskada 24 h / 72 h / 1 miesiąc, rola zarządu w zatwierdzaniu zgłoszeń, scenariusze.
  5. Łańcuch dostaw (10 min). Art. 21(2)(d), klauzule kontraktowe, scoring ryzyka dostawców.
  6. Tabletop (20 min). Hipotetyczny incydent (ransomware, wyciek danych, niedostępność dostawcy chmury) — zarząd przechodzi przez decyzje, które realnie podejmie.
  7. Test sprawdzający (10 min). 5 pytań wielokrotnego wyboru z protokołowanym wynikiem.

Najczęstsze błędy

  1. Jednorazowe szkolenie i potem cisza. „Regularne" w Art. 20 oznacza co najmniej dwa razy w roku — jedno szkolenie w styczniu 2026 r. nie wystarczy do końca roku.
  2. Bez listy obecności. Bez dowodu obecności konkretnych członków zarządu szkolenie jest dla audytora niewidoczne. Lista obecności z odręcznymi podpisami albo potwierdzenie elektroniczne — niezbędne.
  3. Tylko e-learning. Korporacyjne platformy LMS bywają wygodne, ale dla zarządu są oceniane jako forma pozorna. „Kliknięcie next" przez prezesa nie wytrzymuje audytu.
  4. Bez aktualizacji programu. Szkolenie z 2026 r. nie pasuje do stanu prawnego w 2027 r. — co najmniej raz w roku program musi być aktualizowany o zmiany regulacyjne i wniosków z kontroli.
  5. Brak zakresu praktycznego. Wykład prawniczy bez tabletopu jest oceniany jako niewystarczający. Zarząd musi przećwiczyć decyzje, nie tylko ich wysłuchać.

Dokumentacja dla audytu

Audytor wewnętrzny albo organ właściwy w trakcie kontroli weryfikuje szkolenia przez katalog dokumentów. Minimalny zestaw, jaki warto mieć w jednym folderze:

  • Polityka szkoleń bezpieczeństwa — krótki dokument (2–3 strony) określający, kogo, jak często i z czego się szkoli. Zatwierdzony przez zarząd.
  • Roczny plan szkoleń — kalendarz z konkretnymi datami i odbiorcami.
  • Materiały z każdej sesji — prezentacja w PDF, agenda, lista zarządzeń.
  • Listy obecności — podpisane przez uczestników albo z elektronicznym potwierdzeniem.
  • Testy sprawdzające i ich wyniki (anonimowo albo z nazwiskami — kwestia ochrony danych pracowniczych).
  • Protokoły z tabletopów — krótkie notatki, jakie wnioski wyciągnięto.
  • Raport roczny do zarządu z agregatu szkoleń — ile osób przeszkolono, jaka frekwencja, jakie wnioski.

Kto może realizować szkolenia

Dyrektywa nie wymaga konkretnych certyfikatów po stronie prowadzącego. Praktyka rynkowa preferuje trzy modele:

  • CISO wewnętrzny + prawnik zewnętrzny. Najtańszy model w firmach, które mają dedykowanego CISO. Wymaga, by CISO miał kompetencje miękkie do mówienia do zarządu — nie wszyscy CISO je mają.
  • vCISO zewnętrzny. Coraz częstszy model w polskich firmach średniej wielkości. vCISO prowadzi szkolenie w ramach miesięcznego abonamentu, dzięki czemu zarząd ma jedną osobę zewnętrzną odpowiedzialną za nadzór i edukację. Tak działa model Alterity Solutions.
  • Wyspecjalizowana firma szkoleniowa. Dla największych podmiotów — z dedykowanym programem cykli rocznych, certyfikatami uczestnictwa i e-learningowym wsparciem.

Wskazówka — pierwsze szkolenie w 2026 r.

Praktyczna rada dla firm wchodzących w zakres NIS2 w marcu 2026: pierwsze szkolenie zarządu zorganizować przed wejściem nowelizacji w życie — najlepiej w styczniu lub lutym 2026 r. Powody są dwa. Po pierwsze — kalendarz zarządów zwykle puchnie w pierwszym kwartale, więc rezerwacja terminu „na ostatnią chwilę" jest trudna. Po drugie — w razie incydentu w pierwszych tygodniach obowiązywania ustawy, dowód przeszkolenia zarządu przed datą wejścia jest dla organu właściwego mocnym argumentem obronnym.

Co dalej

Szkolenia zarządu są jednym z elementów ogólnej higieny zgodności NIS2 — równie ważnym jak rejestracja w S46 i procedura raportowania. Pełen zarys obowiązków technicznych jest w pillarze Obowiązki techniczne NIS2, a plan działania na pierwsze 30 dni — w artykule NIS2 w praktyce — pierwsze 30 dni. Jeśli zarząd nie ma czasu samodzielnie budować programu szkoleń — model vCISO obejmuje to świadczenie standardowo.

Umów konsultację