Szkolenia ICT/DORA po ocenie KNF ryzyka ICT za 2025 r. — czy Bank przeszkolił wszystkich, czy tylko ma plan szkolenia?

 

Ocena KNF ryzyka ICT za 2025 r. pokazała znaczenie szkoleń ICT/DORA. Sprawdź, jak Bank powinien szkolić pracowników, Zarząd, Radę Nadzorczą i role kluczowe.
Ocena KNF ryzyka ICT za 2025 r. pokazała znaczenie szkoleń ICT/DORA. Sprawdź, jak Bank powinien szkolić pracowników, Zarząd, Radę Nadzorczą i role kluczowe.

DORA nie zna wymówki: „pracownik nie miał czasu na szkolenie”

Szkolenia ICT/DORA po ocenie KNF ryzyka ICT za 2025 r. — czy Bank przeszkolił wszystkich, czy tylko ma plan szkolenia?

Ocena nadzorcza KNF ryzyka ICT za 2025 r. pokazała bankom spółdzielczym bardzo ważną rzecz: w obszarze DORA nie wystarczy posiadać procedury, strategie, rejestry i plany działań. Bank musi jeszcze wykazać, że osoby odpowiedzialne za ich stosowanie faktycznie znają swoje obowiązki, rozumieją ryzyka ICT i potrafią właściwie zareagować w sytuacji incydentu, awarii, cyberzagrożenia, problemu z dostawcą lub naruszenia procedury.

Jednym z elementów wskazywanych w ocenie nadzorczej było ryzyko związane z programami zwiększania świadomości w zakresie bezpieczeństwa ICT oraz szkoleniami dotyczącymi operacyjnej odporności cyfrowej. W raporcie KNF zwrócono uwagę m.in. na potrzebę zapewnienia odpowiednich programów świadomości, szkoleń z zakresu operacyjnej odporności cyfrowej oraz umiejętności ICT dla pracowników.

To oznacza, że szkolenie ICT/DORA nie może być traktowane jako formalny załącznik do planu szkoleń. Plan szkolenia to jeszcze nie dowód przeszkolenia. A pojedyncze szkolenie ogólne nie oznacza kompleksowego programu budowania świadomości ICT.

Plan szkolenia to nie dowód, że Bank przeszkolił pracowników

W wielu bankach spółdzielczych dokumentacyjnie temat wygląda poprawnie. Jest roczny plan szkoleń, jest platforma szkoleniowa, są szkolenia z bezpieczeństwa informacji, cyberbezpieczeństwa, RODO, AML, DORA lub ciągłości działania. Problem zaczyna się wtedy, gdy trzeba odpowiedzieć na pytania dowodowe:

Czy wszyscy pracownicy faktycznie odbyli szkolenie?
Czy osoby nieobecne zostały objęte szkoleniem uzupełniającym?
Czy Zarząd i Rada Nadzorcza miały szkolenie dostosowane do swojej odpowiedzialności?
Czy IT, ABI, ASI, ZOI, SBI, ryzyko, compliance i właściciele procesów mieli szkolenia pogłębione?
Czy po szkoleniu sprawdzono zrozumienie tematu?
Czy Bank posiada dowód uczestnictwa i oświadczenie pracownika?
Czy wyniki szkoleń zostały przedstawione Zarządowi?

Jeżeli odpowiedź brzmi: „mamy plan szkolenia”, to w praktyce może być za mało.

DORA wymaga podejścia operacyjnego i dowodowego. Bank musi umieć wykazać, że szkolenia nie tylko zaplanowano, ale wykonano, zweryfikowano i rozliczono.

Kompleksowość szkoleń ma znaczenie

W ocenie bezpieczeństwa ICT coraz większe znaczenie ma kompleksowość programu szkoleniowego. Nie chodzi wyłącznie o to, żeby pracownik raz w roku przeszedł ogólne szkolenie z cyberbezpieczeństwa. Chodzi o to, aby program szkoleń odpowiadał rzeczywistym obowiązkom, ryzykom i rolom w Banku.

Innego zakresu szkolenia potrzebuje pracownik obsługi klienta, innego członek Zarządu, innego Rada Nadzorcza, innego pracownik IT, a jeszcze innego ABI, ASI, osoba odpowiedzialna za ryzyko, compliance, outsourcing ICT, BIA, BCP/DRP lub obsługę incydentów.

Jedno szkolenie dla wszystkich nie załatwia całego problemu.

Szkolenia powinny obejmować zarówno tematy podstawowe, jak i tematy specjalistyczne, często pomijane w standardowych programach. To właśnie brak takich bardziej szczegółowych, „niszowych”, ale bardzo praktycznych tematów może powodować, że Bank formalnie ma szkolenia, ale nadzorczo trudno wykazać ich pełną adekwatność do wymagań DORA i ryzyka ICT.

Platformy szkoleniowe banków nadzorczych są ważne, ale nie zamykają całego tematu

Wiele banków korzysta dziś z platform szkoleniowych udostępnianych przez instytucje nadzorcze, zrzeszeniowe lub sektorowe. To bardzo dobre rozwiązanie i powinno być wykorzystywane jako istotny element budowania świadomości pracowników.

Trzeba jednak wyraźnie powiedzieć: platforma szkoleniowa nadzoru nie zawsze pokrywa wszystkie praktyczne, operacyjne i specjalistyczne potrzeby danego Banku.

Bank może mieć dostęp do bardzo dobrych szkoleń ogólnych, a jednocześnie nadal potrzebować uzupełnienia w zakresie:

  • praktycznego stosowania DORA w Banku Spółdzielczym,
  • roli Zarządu i Rady Nadzorczej w nadzorze nad ryzykiem ICT,
  • BIA i krytyczności procesów,
  • testowania odporności ICT,
  • obsługi incydentów ICT,
  • zgłaszania poważnych incydentów,
  • zarządzania podatnościami,
  • przeglądów dokumentacji ICT/DORA,
  • rejestru usług ICT,
  • dostawców ICT i podoutsourcingu,
  • planów wyjścia od dostawcy,
  • ciągłości działania ICT,
  • backupu i odtwarzania,
  • phishingu, socjotechniki i cyberzagrożeń,
  • obowiązków właścicieli procesów,
  • dokumentowania działań na potrzeby Zarządu i audytu.

I właśnie w tym miejscu pojawia się przestrzeń na szkolenia uzupełniające, bardziej praktyczne, krótsze i dopasowane do realnych problemów banków spółdzielczych.

PKS Servus Comp Kraków — 112 tematów, które uzupełniają programy szkoleniowe Banku

Servus Comp Kraków posiada obecnie 112 tematów w PKS — Platformie Krótkich Szkoleń. Szkolenia te nie mają na celu powielania tematów dostępnych na platformach szkoleniowych nadzoru lub instytucji sektorowych. Ich zadaniem jest uzupełnienie programu szkoleniowego Banku o tematy praktyczne, specjalistyczne i operacyjne, które często wynikają bezpośrednio z audytów, zaleceń, kontroli, ocen ryzyka, incydentów i codziennej współpracy z bankami.

To bardzo ważne, ponieważ w praktyce ocena szkoleniowa Banku nie powinna ograniczać się do pytania: „czy Bank ma platformę szkoleniową?”. Właściwe pytanie brzmi:

czy Bank ma kompletny program szkoleniowy, który obejmuje wszystkich pracowników i wszystkie kluczowe role w zakresie ICT/DORA?

PKS pozwala uzupełnić te obszary, które w standardowym programie często pozostają niewystarczająco opisane albo w ogóle nie są szkolone.

Szkolenie bez potwierdzenia i testu wiedzy jest słabym dowodem

W kontekście oceny KNF bardzo ważny jest nie tylko sam fakt udostępnienia szkolenia. Liczy się również to, czy Bank posiada dowód, że pracownik:

  • uczestniczył w szkoleniu,
  • zapoznał się z materiałem,
  • zrozumiał temat,
  • potwierdził udział,
  • przeszedł weryfikację wiedzy,
  • w razie potrzeby powtórzył szkolenie.

Dlatego do każdego szkolenia w PKS Servus Comp Kraków dołączany jest dokument sprawdzający i weryfikujący wiedzę zdobytą na szkoleniu, a także oświadczenie pracownika potwierdzające fakt uczestnictwa w szkoleniu oraz zrozumienie jego tematu.

To ma bardzo praktyczne znaczenie. W przypadku audytu, przeglądu, kontroli wewnętrznej, oceny nadzorczej lub raportowania do Zarządu Bank może wykazać nie tylko, że szkolenie było dostępne, ale również że zostało wykonane, potwierdzone i rozliczone.

To jest różnica między szkoleniem jako planem a szkoleniem jako dowodem.

Kogo Bank powinien szkolić w zakresie ICT/DORA?

Program szkoleniowy powinien obejmować nie tylko wszystkich pracowników, ale również konkretne grupy funkcjonalne. Minimalny model powinien wyglądać następująco:

Pracownicy Banku

Powinni znać podstawowe zasady bezpieczeństwa informacji, cyberzagrożenia, phishing, ochronę danych, zgłaszanie incydentów, zasady pracy z pocztą elektroniczną, dokumentami, nośnikami, systemami i klientami.

Zarząd Banku

Powinien rozumieć swoją odpowiedzialność za ramy zarządzania ryzykiem ICT, operacyjną odporność cyfrową, decyzje dotyczące ryzyk, budżetu, testów, dostawców, incydentów i działań naprawczych.

Rada Nadzorcza

Powinna rozumieć, jak nadzorować Zarząd w obszarze ICT/DORA, jakie pytania zadawać, jakie raporty otrzymywać i jak interpretować ryzyka technologiczne.

IT, ASI, ABI, ZOI, SBI

Te osoby powinny mieć szkolenia pogłębione: zarządzanie podatnościami, incydenty, testy odporności, backup, DRP, dostawcy ICT, rejestry, uprawnienia, monitoring, klasyfikacja systemów i dokumentowanie działań.

Ryzyko, compliance i kontrola wewnętrzna

Te komórki powinny rozumieć, jak weryfikować zgodność działań z DORA, jak oceniać ryzyko ICT, jak kontrolować wykonanie zaleceń i jak raportować braki.

Właściciele procesów

Powinni wiedzieć, jak ich procesy zależą od systemów ICT, dostawców, BIA, RTO/RPO, ciągłości działania, incydentów i procedur awaryjnych.

Typowy błąd: szkolenie jest, ale nie wiadomo, kogo naprawdę objęło

Bardzo częsty problem wygląda następująco: Bank ma szkolenie, ale nie posiada pełnego rozliczenia. Nie wiadomo, czy szkolenie objęło wszystkich pracowników, czy dotyczyło również Zarządu, czy Rada Nadzorcza miała osobny zakres, czy pracownicy nieobecni odbyli szkolenie uzupełniające i czy ktokolwiek zweryfikował poziom zrozumienia tematu.

Wtedy z punktu widzenia nadzorczego pojawia się luka dowodowa.

Bank powinien umieć pokazać:

  • listę osób objętych szkoleniem,
  • listę osób, które szkolenie ukończyły,
  • listę osób, które szkolenia nie ukończyły,
  • sposób ponowienia szkolenia,
  • wynik testu wiedzy,
  • oświadczenia pracowników,
  • raport zbiorczy dla Zarządu,
  • plan szkoleń uzupełniających,
  • szkolenia specjalistyczne dla ról kluczowych.

Bez tego program szkoleniowy może wyglądać dobrze w planie, ale słabo w ocenie dowodowej.

Co Bank powinien wdrożyć po ocenie KNF ryzyka ICT za 2025 r.?

1. Roczny program szkoleń ICT/DORA

Bank powinien przyjąć roczny program szkoleń obejmujący:

  • szkolenia podstawowe dla wszystkich pracowników,
  • szkolenia dla Zarządu,
  • szkolenia dla Rady Nadzorczej,
  • szkolenia specjalistyczne dla IT, ABI, ASI, ryzyka, compliance i właścicieli procesów,
  • szkolenia przypominające,
  • szkolenia po incydencie,
  • szkolenia po zmianie procedur,
  • szkolenia po zaleceniach audytowych lub nadzorczych.

2. Matrycę szkoleń według ról

Nie każdy musi przechodzić wszystko. Ale każdy powinien przejść to, co wynika z jego roli.

Bank powinien przygotować prostą matrycę:

rola — wymagane szkolenie — częstotliwość — sposób weryfikacji — dowód ukończenia.

3. Weryfikację wiedzy

Każde szkolenie powinno kończyć się testem, ankietą, oświadczeniem lub inną formą potwierdzenia zrozumienia tematu.

Najlepiej, jeżeli Bank posiada:

  • test wiedzy,
  • wynik testu,
  • potwierdzenie ukończenia,
  • oświadczenie pracownika,
  • raport zbiorczy.

4. Ponowienia dla osób nieobecnych

Brak czasu, urlop, choroba, obowiązki służbowe — to nie powinno zamykać tematu.

Bank powinien mieć mechanizm ponawiania szkoleń dla osób, które ich nie ukończyły w terminie.

5. Raport dla Zarządu

Zarząd powinien otrzymać nie tylko informację, że „szkolenia są prowadzone”, ale konkretny raport:

  • liczba osób objętych szkoleniami,
  • procent ukończenia,
  • osoby zaległe,
  • wyniki testów,
  • szkolenia specjalistyczne,
  • braki i działania naprawcze,
  • plan kolejnych szkoleń,
  • wpływ na ryzyko ICT.

Pytania i odpowiedzi

Czy wystarczy jedno szkolenie DORA dla wszystkich pracowników?

Nie. Jedno szkolenie ogólne może być elementem programu, ale nie zastępuje szkoleń specjalistycznych dla Zarządu, Rady Nadzorczej, IT, ABI/ASI, ryzyka, compliance i właścicieli procesów.

Czy platforma szkoleniowa nadzoru wystarczy?

Jest bardzo ważnym elementem, ale nie zawsze pokrywa wszystkie praktyczne i specjalistyczne potrzeby Banku. Dlatego warto ją uzupełnić szkoleniami dopasowanymi do realnych obowiązków i ryzyk w Banku.

Czy test wiedzy jest konieczny?

Z punktu widzenia dowodowego — zdecydowanie warto go mieć. Test lub inny dokument weryfikujący wiedzę pozwala wykazać, że pracownik nie tylko otrzymał materiał, ale faktycznie zapoznał się z tematem.

Czy pracownik powinien podpisywać oświadczenie o odbyciu szkolenia?

To bardzo dobre rozwiązanie. Oświadczenie pracownika o uczestnictwie i zrozumieniu tematu szkolenia wzmacnia materiał dowodowy Banku i ułatwia rozliczenie programu szkoleniowego przed Zarządem.

Czy Zarząd i Rada Nadzorcza muszą mieć osobne szkolenia?

Powinny mieć szkolenia dostosowane do swojej roli. Zarząd odpowiada za ramy zarządzania ryzykiem ICT, a Rada Nadzorcza powinna rozumieć, jak ten obszar nadzorować.

Najważniejszy wniosek dla Banku

Ocena KNF ryzyka ICT za 2025 r. pokazuje, że Bank nie powinien patrzeć na szkolenia ICT/DORA jak na formalny obowiązek kadrowy. To element zarządzania ryzykiem ICT.

Bank powinien umieć wykazać nie tylko, że szkolenie było zaplanowane, ale że zostało przeprowadzone, zrozumiane, sprawdzone, udokumentowane i zaraportowane Zarządowi.

W praktyce oznacza to konieczność budowy kompleksowego programu szkoleń, który obejmuje pracowników, Zarząd, Radę Nadzorczą, IT, ABI/ASI, ryzyko, compliance i właścicieli procesów.

DORA nie zna wymówki: „pracownik nie miał czasu na szkolenie”.

10 wybranych najważniejszych tematów po ocenie KNF ryzyka ICT 2025

  1. Strategia ICT to za mało. KNF pyta o operacyjną odporność cyfrową Banku:

    https://premiumbank.zadbajobezpieczenstwo.pl/strategia-ict-to-za-malo-knf-pyta-o-operacyjna-odpornosc-cyfrowa-banku/

  2. Backup jest? To za mało. KNF zapyta, czy Bank potrafi się odtworzyć:
    https://premiumbank.zadbajobezpieczenstwo.pl/backup-jest-to-za-malo-knf-zapyta-czy-bank-potrafi-sie-odtworzyc-strategia-ciaglosci-dzialania-ict-po-ocenie-knf-ryzyka-ict-za-2025-r/

  3. Skan to za mało. KNF zapyta, czy Bank naprawdę testuje odporność ICT:
    https://premiumbank.zadbajobezpieczenstwo.pl/skan-podatnosci-to-nie-test-odpornosci-knf-zapyta-czy-bank-naprawde-testuje-ict/

  4. Jeden dostawca, wiele systemów, jedno duże ryzyko. KNF pyta o koncentrację ICT:
    https://premiumbank.zadbajobezpieczenstwo.pl/jeden-dostawca-wiele-systemow-jedno-duze-ryzyko-knf-pyta-o-koncentracje-ict/

  5. Audyt ZDU — czy wiesz, kogo naprawdę powinien kontrolować Bank?:
    https://premiumbank.zadbajobezpieczenstwo.pl/audyt-zdu-w-banku-spoldzielczym-jak-kontrolowac-dostawcow-zewnetrznych-zgodnie-z-dora/

  6. Zarząd musi wiedzieć. KNF zapyta, kto naprawdę nadzoruje ryzyko ICT w Banku:
    https://premiumbank.zadbajobezpieczenstwo.pl/raport-ict-do-zarzadu-knf-pyta-kto-nadzoruje-ryzyko-ict-w-banku/

  7. Znalazłeś podatność? KNF zapyta, kiedy ją usunąłeś:
    https://premiumbank.zadbajobezpieczenstwo.pl/znalazles-podatnosc-knf-zapyta-kiedy-ja-usunales-zarzadzanie-podatnosciami-ict-po-ocenie-knf-ryzyka-ict-za-2025-r/

  8. Masz procedury DORA? KNF zapyta: kiedy ostatnio naprawdę je przeczytałeś?:
    https://premiumbank.zadbajobezpieczenstwo.pl/coroczny-przeglad-dokumentacji-ict-dora-w-banku-spoldzielczym-po-ocenie-nadzorczej-knf-ryzyka-ict-za-2025-r/

  9. DORA nie zna wymówki: pracownik nie miał czasu na szkolenie:
    https://premiumbank.zadbajobezpieczenstwo.pl/szkolenia-ict-dora-po-ocenie-knf-ryzyka-ict-za-2025-r-czy-bank-przeszkolil-wszystkich-czy-tylko-ma-plan-szkolenia/

  10. Dokument jest? KNF zapyta o dowód, że działa:
    https://premiumbank.zadbajobezpieczenstwo.pl/dokument-jest-knf-zapyta-o-dowod-ze-dziala/

O genezie powstania 10 wybranych tematów można dowiedzieć się więcej :
https://premiumbank.zadbajobezpieczenstwo.pl/10-wybranych-najwazniejszych-zalecen-knf-po-ocenie-ryzyka-ict-2025-praktyczne-podsumowanie-dla-bankow-spoldzielczych/

Servus Comp Kraków — PKS dla banków spółdzielczych

Servus Comp Kraków udostępnia bankom spółdzielczym PKS — Platformę Krótkich Szkoleń, obejmującą obecnie 112 tematów szkoleniowych. Zakres PKS został przygotowany tak, aby nie powielać standardowych szkoleń dostępnych na platformach nadzorczych, ale je praktycznie uzupełniać o tematy wynikające z codziennej pracy banków, audytów, zaleceń, kontroli i wymagań DORA.

Do każdego szkolenia dołączany jest dokument sprawdzający i weryfikujący wiedzę oraz oświadczenie pracownika o uczestnictwie w szkoleniu i zrozumieniu jego tematu. Dzięki temu Bank otrzymuje nie tylko materiał edukacyjny, ale również dowód wykonania szkolenia, przydatny w rozliczeniu przed Zarządem, audytem, kontrolą wewnętrzną lub w ramach działań po ocenie nadzorczej KNF ryzyka ICT.

PKS jest udostępniany bankom obsługiwanym przez Servus Comp w modelu ryczałtu miesięcznego. Dla banków zainteresowanych takim rozwiązaniem przygotowujemy indywidualną ofertę współpracy.

Jeżeli Państwa Bank chce uzupełnić program szkoleń ICT/DORA o praktyczne, specjalistyczne i dowodowe szkolenia dla pracowników, Zarządu, Rady Nadzorczej oraz ról kluczowych, zapraszamy do kontaktu z Servus Comp Kraków.

Zadzwoń lub napisz do Servus Comp, aby omówić temat.


Servus Comp Data Security, Świętokrzyska 12/403, 30-015 Kraków

tel. +48 608 407 668, +48 12 631 91 22 • biuro@servus-comp.pl

PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!

JESTEŚ ZAINTERESOWANY? ZADZWOŃ, NAPISZ DO NAS

#DORA #SzkoleniaICT #KNF #RyzykoICT #BankSpółdzielczy #Cyberbezpieczeństwo #OperacyjnaOdpornośćCyfrowa #PKS #ServusComp #SzkoleniaDORA

Dodaj komentarz