Szkolenia ISO 27001 w Polsce – SZBI, NIS2 i audytorzy bezpieczeństwa

W dobie powszechnej cyfryzacji, przenoszenia zasobów do chmury obliczeniowej oraz narastającej fali cyberataków typu ransomware, norma ISO/IEC 27001 stała się najbardziej pożądanym standardem zarządzania na świecie. Określa ona wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI / z ang. ISMS – Information Security Management System). W 2026 roku posiadanie kompetencji w tym obszarze to już nie tylko kwestia ochrony danych firmy, ale twardy wymóg prawny wynikający z wdrożenia europejskiej dyrektywy NIS2 oraz rozporządzenia DORA.

Portal centrum.jakosci.pl agreguje oferty od blisko 4000 firm szkoleniowych. Nie jesteśmy jednostką certyfikującą i nie prowadzimy własnych szkoleń. Naszym zadaniem jest dostarczenie dyrektorom IT, oficerom bezpieczeństwa (CISO) oraz specjalistom ds. compliance obiektywnej wiedzy, która ułatwi nawigację po skomplikowanym rynku kursów i akredytacji (takich jak IRCA czy PECB). Poniższy przewodnik szczegółowo wyjaśnia architekturę normy, ścieżki certyfikacji personalnej oraz różnice między poszczególnymi standardami.

Rok 2026: Koniec okresu przejściowego i dominacja ISO 27001:2022

Osoby poszukujące szkoleń z zakresu ISO 27001 muszą mieć świadomość fundamentalnej zmiany, jaka dokonała się na rynku. 31 października 2025 roku ostatecznie zakończył się trzyletni okres przejściowy dla starszej edycji normy z 2013 roku. Wszystkie certyfikaty wydane na starą wersję straciły ważność. Obecnie jedynym obowiązującym standardem jest ISO/IEC 27001:2022.

Czego uczy się na nowoczesnych szkoleniach w kontekście tej aktualizacji? Przede wszystkim całkowicie nowej struktury Załącznika A, który jest sercem operacyjnym normy:

1. Redukcja i konsolidacja zabezpieczeń: Liczbę punktów kontrolnych (zabezpieczeń) zmniejszono z 114 (w wersji 2013. do 93 (w wersji 2022). Wiele starych zabezpieczeń połączono ze sobą, eliminując redundancję.
2. Nowy podział tematyczny: Zamiast dawnych 14 domen, zabezpieczenia podzielono na 4 logiczne grupy (tzw. motywy): Organizacyjne (37 zabezpieczeń), Ludzkie (8), Fizyczne (14) oraz Technologiczne (34).
3. 11 zupełnie nowych zabezpieczeń: Najlepsze szkolenia szczegółowo omawiają nowe wymogi, które odpowiadają na współczesne zagrożenia. Należą do nich m.in.: *Threat Intelligence* (rozpoznanie zagrożeń), *Information security for use of cloud services* (bezpieczeństwo chmury), *Data masking* (maskowanie danych), czy *Data leakage prevention* (systemy DLP).
4. Atrybuty zabezpieczeń (Hashtagi): W powiązanej normie ISO 27002 wprowadzono system atrybutów ułatwiający filtrowanie zabezpieczeń, np. według koncepcji cyberbezpieczeństwa (Identyfikacja, Ochrona, Wykrywanie, Reagowanie, Odzyskiwanie – co silnie koresponduje ze standardem NIST CSF).

ISO 27001 a Dyrektywa NIS2 i Krajowe Ramy Interoperacyjności (KRI)

W 2026 roku kluczowym motywatorem do udziału w szkoleniach ISO 27001 w Polsce są regulacje prawne.

• Dyrektywa NIS2: Objęła ona swoimi rygorystycznymi wymaganiami tysiące średnich i dużych przedsiębiorstw w kilkunastu sektorach (m.in. energetyka, transport, ochrona zdrowia, produkcja żywności, usługi cyfrowe). Chociaż NIS2 nie nakazuje wprost certyfikacji ISO 27001, to wdrożenie tego standardu pokrywa od 80% do 90% wymogów dyrektywy w zakresie analizy ryzyka, bezpieczeństwa łańcucha dostaw i polityk cyberbezpieczeństwa. Szkolenia aktualizujące z ISO 27001 niemal zawsze posiadają dziś moduł "mapowania" zabezpieczeń normy na wymogi ustawy o krajowym systemie cyberbezpieczeństwa (KSC).
• Krajowe Ramy Interoperacyjności (KRI): Dla polskiej administracji publicznej i samorządowej (urzędy miast, gmin, jednostki podległe) § 20 ust. 2 rozporządzenia KRI wprost wskazuje, że wdrożenie i certyfikacja systemu zgodnego z Polską Normą PN-EN ISO/IEC 27001 jest równoznaczne ze spełnieniem ustawowych wymogów dotyczących zarządzania bezpieczeństwem informacji.

Anatomia Normy: Wiedza przekazywana na warsztatach szkoleniowych

Szkolenia z ISO 27001 są znacznie bardziej "techniczne" niż te z zakresu ISO 9001 czy 14001, choć wciąż mówimy o standardzie *zarządzania*, a nie o podręczniku dla administratorów sieci. Oś programowa kursów opiera się na następujących elementach:

• Pkt 6.1.2. Szacowanie ryzyka w bezpieczeństwie informacji: To najważniejszy moduł każdego szkolenia. Uczestnicy uczą się budować metodykę oceny ryzyka (często opierając się na wytycznych z normy pomocniczej ISO/IEC 27005). Obejmuje to inwentaryzację aktywów (serwery, laptopy, bazy danych, ale i kluczowi pracownicy), identyfikację podatności (np. brak aktualizacji systemów) oraz zagrożeń (np. atak phishingowy).
• Pkt 6.1.3. Postępowanie z ryzykiem i Deklaracja Stosowania (SoA): Kursanci warsztatowo tworzą *Statement of Applicability (SoA)*. To kluczowy dokument w SZBI, w którym organizacja musi ustosunkować się do każdego z 93 zabezpieczeń z Załącznika A, uzasadniając jego wdrożenie (lub wykluczenie) na podstawie wcześniej przeprowadzonej analizy ryzyka. Bez poprawnego SoA nie ma możliwości przejścia audytu certyfikującego.
• Zarządzanie incydentami (Załącznik A.5.24 \- A.5.28): Nauka tworzenia procedur reagowania na naruszenia bezpieczeństwa (Data Breach), z uwzględnieniem ścisłych ram czasowych na zgłaszanie incydentów (np. 72 godziny do UODO w przypadku danych osobowych, 24 godziny wczesnego ostrzeżenia do CSIRT w ramach NIS2).
• Zarządzanie ciągłością działania (Business Continuity \- ICT Readiness): Elementy te zazębiają się ze standardem ISO 22301, ucząc planowania odzyskiwania danych po awarii (Disaster Recovery Plan) oraz testowania kopii zapasowych (RPO \- Recovery Point Objective i RTO \- Recovery Time Objective).

Ścieżki szkoleniowe ISO 27001: Kogo i na jaki kurs wysłać?

Analizując platformę centrum.jakosci.pl, wyraźnie widzimy trójpodział specjalizacji edukacyjnych w obszarze bezpieczeństwa informacji. Wybór odpowiedniego kursu zależy od roli, jaką pracownik ma pełnić w organizacji.

1. Pełnomocnik ds. SZBI / Menedżer Bezpieczeństwa Informacji

Zgodnie z wymaganiami, Najwyższe Kierownictwo musi wyznaczyć osobę odpowiedzialną za utrzymanie systemu. Zwykle jest to CISO (Chief Information Security Officer), Dyrektor IT lub dedykowany Menedżer Compliance.

• Czas trwania szkolenia: 2 do 3 dni (16-24 godziny).
• Charakterystyka: Szkolenie omija głębokie aspekty techniczne (np. konfigurację firewalli), skupiając się w 100% na procesie zarządczym. Instruktorzy uczą projektowania polityk bezpieczeństwa, metodyki szacowania ryzyka, klasyfikacji informacji (np. dane jawne, poufne, ściśle tajne) oraz współpracy z dostawcami usług chmurowych (wymogi dla umów SLA).
• Dla kogo: Osoby odpowiedzialne za wdrożenie normy od "zera" i doprowadzenie organizacji do udanej certyfikacji przez niezależną jednostkę.

2. Audytor Wewnętrzny ISO 27001

Audytorzy wewnętrzni w SZBI muszą charakteryzować się specyficznym podejściem – muszą rozumieć zarówno procedury papierowe, jak i potrafić "porozmawiać" z administratorami systemów informatycznych.

• Czas trwania szkolenia: Przeważnie 2 do 3 dni.
• Charakterystyka: Kurs łączy wiedzę o 93 zabezpieczeniach Załącznika A z technikami audytowania. Uczestnicy uczą się, jak weryfikować dowody obiektywne (np. sprawdzanie logów systemowych, weryfikacja konfiguracji VPN, weryfikacja dowodów wykonania testów penetracyjnych). Ważnym elementem jest nauka audytowania kultury bezpieczeństwa (tzw. security awareness) wśród zwykłych pracowników.
• Dla kogo: Pracownicy działów IT, inspektorzy ochrony danych (IOD), członkowie zespołów SOC (Security Operations Center), którzy mają prowadzić niezależne audyty 1. strony we własnej firmie.

3. Audytor Wiodący ISO 27001 (Lead Auditor)

Najwyższy i najbardziej pożądany na rynku stopień certyfikacji kompetencyjnej, otwierający drzwi do pracy jako niezależny audytor kontraktowy (Lead Auditor) dla jednostek certyfikujących.

• Czas trwania szkolenia: Ściśle regulowane 5 dni intensywnych warsztatów.
• Egzamin i Akredytacja: Z uwagi na specyfikę branży IT, rynek zdominowany jest przez dwie potężne akredytacje globalne: brytyjską CQI/IRCA oraz kanadyjską PECB (Professional Evaluation and Certification Board). Egzaminy końcowe są bardzo trudne, wymagają pisemnej analizy skomplikowanych studiów przypadku (case studies) i wykazania się zdolnością do klasyfikacji krytycznych niezgodności (np. brak retencji logów z serwera krytycznego).
• Charakterystyka: Zarządzanie zespołem audytowym, planowanie audytów wielolokalizacyjnych (np. audytowanie głównych serwerowni oraz pracy zdalnej), ocena gotowości firmy do audytu Etapu 2.

Jak wybrać odpowiednie szkolenie na centrum.jakosci.pl?

Wybierając szkolenie spośród tysięcy ofert, warto zastosować kryteria eliminacji, które odróżnią kursy teoretyczne od tych o wysokiej wartości rynkowej:

• Ekspertyza prowadzącego: W audytach bezpieczeństwa informacji nie ma miejsca dla teoretyków jakości. Prowadzący szkolenie (szczególnie audytorskie) powinien być nie tylko Audytorem Wiodącym ISO 27001, ale najlepiej posiadać również branżowe certyfikacje techniczne, takie jak CISA (Certified Information Systems Auditor), CISSP czy CISM.
• Warsztaty z analizy ryzyka: Sprawdź w agendzie, czy szkolenie przewiduje pracę na arkuszach kalkulacyjnych lub specjalistycznym oprogramowaniu do szacowania ryzyka. Teoretyczne omówienie ryzyka nie przygotuje pracownika do opracowania Deklaracji Stosowania (SoA).
• Wersja normy: Bezwzględnie upewnij się w 2026 roku, że tytuł szkolenia i agenda opierają się na wersji ISO/IEC 27001:2022. Szkolenia oparte na standardzie z 2013 roku są całkowicie bezużyteczne i wprowadzają w błąd.