• strona główna
  • Szkolenia phishingowe jako obowiązek prawny – co muszą wiedzieć polskie firmy w 2025 roku?

Szkolenia phishingowe jako obowiązek prawny – co muszą wiedzieć polskie firmy w 2025 roku?

Autor: Zespół prawników Cyberpolex – kancelaria specjalizująca się w prawie cyberbezpieczeństwa i ochronie danych osobowych
Polskie przedsiębiorstwa stają przed koniecznością nie tylko technicznego zabezpieczenia infrastruktury IT, ale przede wszystkim spełnienia ścisłych obowiązków prawnych wynikających z krajowego i unijnego prawa. W 2025 roku kluczowym elementem tej odpowiedzialności są szkolenia phishingowe, które przestają być opcją – stają się wymogiem prawnym dla szerokiego grona podmiotów.

Nowe przepisy – od opcji do obowiązku

Zgodnie z projektem nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) oraz wdrażaną w Polsce dyrektywą NIS2 (Dyrektywa (UE) 2022/2555), wszystkie podmioty kluczowe i ważne – czyli firmy działające w sektorach takich jak energetyka, transport, bankowość, opieka zdrowotna, a także nowo objęte sektory (m.in. produkcja żywności, poczta, przestrzeń kosmiczna, gospodarowanie odpadami) – są zobowiązane do wdrażania systemowych rozwiązań zarządzania cyberbezpieczeństwem.

Jednym z kluczowych elementów takiego systemu jest regularne szkolenie pracowników w zakresie zagrożeń socjotechnicznych, w tym phishingu. Przepisy wyraźnie wskazują, że środki bezpieczeństwa muszą obejmować wszystkich pracowników, niezależnie od stanowiska – od kierownictwa po osoby administracyjne i techniczne.

Artykuł 21 ust. 1 dyrektywy NIS2 nakłada na podmioty obowiązek „wdrażania polityk bezpieczeństwa, w tym procedur szkoleniowych i podnoszenia świadomości”.

Co w polskim porządku prawnym zostanie uregulowane w nowelizowanej ustawie o KSC.

Konsekwencje prawne – nie tylko kary, ale i osobista odpowiedzialność

Nieprzestrzeganie tych obowiązków wiąże się z poważnymi skutkami prawnymi:

  • Kary pieniężne – mogą sięgać nawet 2% obrotu netto podmiotu z poprzedniego roku obrotowego (art. 68 ust. 1 projektu ustawy).
  • Osobista odpowiedzialność członków zarządu – nowelizacja wprowadza obowiązek przeszkolenia kierownictwa w zakresie cyberbezpieczeństwa, a jego zaniedbanie może skutkować sankcjami administracyjnymi.
  • Obowiązek zgłaszania incydentów – każda firma objęta KSC musi zgłaszać incydenty cybernetyczne przez system S46 do właściwego zespołu CSIRT, a także udostępniać dokumentację szkoleń na żądanie organów nadzorczych.

Warto podkreślić, że organy nadzoru – takie jak minister cyfryzacji, pełnomocnik rządu ds. cyberbezpieczeństwa czy sektorowi regulatorzy (np. KNF, UKE) – zyskują nowe uprawnienia kontrolne, w tym prawo do nakładania audytów, wyznaczania urzędników monitorujących czy żądania dokumentacji.

Co powinno zawierać prawidłowe szkolenie phishingowe?

Z punktu widzenia prawnego, szkolenie nie może być symboliczne. Aby spełniać wymogi prawa, musi być:

  • Regularne – przeprowadzane co najmniej raz w roku, a w przypadku sektorów krytycznych – częściej.
  • Dostosowane do branży – uwzględniać specyficzne zagrożenia danego sektora (np. ataki BEC w finansach, spear phishing w administracji publicznej).
  • Udokumentowane – z protokołem, listą uczestników, testami wiedzy i wynikami kampanii symulacyjnych.
  • Mierzalne – efektywność szkolenia powinna być mierzona statystykami (np. liczba kliknięć w symulowany phishing przed i po szkoleniu).

Taka dokumentacja staje się kluczowym elementem dowodu due diligence w przypadku kontroli lub dochodzenia po incydencie.

Nowość 2025: krajowy system certyfikacji UKSCC

W 2025 roku rusza Krajowy System Certyfikacji Cyberbezpieczeństwa (UKSCC), który pozwala na oficjalne potwierdzenie zgodności szkoleń i rozwiązań z wymogami prawa. Certyfikat UKSCC może stanowić istotny argument wobec organów nadzoru, że firma rzetelnie spełnia swoje obowiązki.

Jak Cyberpolex wspiera firmy w spełnieniu obowiązków?

W Cyberpolex łączy się doświadczenie prawnicze z wiedzą techniczną z zakresu cyberbezpieczeństwa. Oferujemy:

  • Audyt zgodności z przepisami KSC i NIS2, w tym ocenę skuteczności dotychczasowych szkoleń.
  • Opracowanie spersonalizowanych programów szkoleniowych, w tym kampanii phishingowych z analizą wyników i dokumentacją zgodną z wymogami prawnymi.
  • Wsparcie w przygotowaniu procedur bezpieczeństwa, polityk ISMS oraz dokumentacji dla systemu S46.
  • Reprezentację przed organami nadzoru w przypadku incydentów lub kontroli.

Nasze podejście opiera się na minimalizacji ryzyka prawnego, a nie tylko technicznym „zaznaczeniu” formalności. Wierzymy, że prawdziwe bezpieczeństwo to połączenie świadomości pracowników, solidnej dokumentacji i strategii prawnej.

Podsumowanie

W 2025 roku szkolenia phishingowe to nie tylko najlepsza praktyka – to bezwarunkowy obowiązek prawny dla setek polskich firm. Brak odpowiednich działań może skutkować nie tylko stratami finansowymi, ale również osobistą odpowiedzialnością członków zarządu. Dlatego warto inwestować nie tylko w technologię, ale przede wszystkim w prawnie poprawne i skuteczne szkolenia, które stanowią fundament odporności cybernetycznej każdej organizacji.

Jeśli chcesz upewnić się, że Twoja firma spełnia aktualne wymogi prawa – skontaktuj się z nami: kontakt@cyberpolex.pl.