Organizacja musi spełnić wymagania UKSC dotyczące szkoleń oraz ciągłego podnoszenia świadomości cyberzagrożeń, w szczególności obowiązki odnoszące się do kadry kierowniczej (art. 8e) oraz personelu w ramach systemu zarządzania bezpieczeństwem informacji (art. 8). W praktyce problemem nie jest wyłącznie „przeprowadzenie szkolenia”, lecz zapewnienie trwałego procesu edukacyjnego, który gwarantuje spójność treści, regularność działań, mierzalność efektów i pełną audytowalność w skali całej organizacji.

Potrzeba biznesowa sprowadza się do wdrożenia powtarzalnego programu, który łączy dwa poziomy szkolenia (kierownictwo oraz personel), automatyzuje komunikację i egzekwowanie ukończeń, a jednocześnie generuje dowody wymagane przez UKSC. Liczby używane w tym onepagerze mają charakter przykładowy i służą wyłącznie zobrazowaniu skali problemu typowej dla dużych organizacji; zaproponowany model pozostaje taki sam niezależnie od faktycznej liczby osób objętych programem.


Rozwiązaniem jest uruchomienie KnowBe4 jako centralnej platformy programu szkoleniowego i świadomościowego. Dla kadry kierowniczej (w rozumieniu art. 8e) wdrażana jest dedykowana ścieżka „Executive/Management”, która spełnia ustawowy wymóg co najmniej jednego szkolenia w roku kalendarzowym, a jednocześnie umożliwia realizację dodatkowych działań szkoleniowych i uzupełniających w ciągu roku. Program obejmuje zagadnienia wskazane w art. 8e (m.in. nadzór nad bezpieczeństwem, odpowiedzialność kierowniczą, analizę ryzyka, reagowanie na incydenty oraz zadania wynikające z art. 7b, 7c, 7f, 8, 8d–8f, 9–12b, 14 i 15), jest zakończony testem wiedzy i generuje jednoznaczne dowody udziału.

Dla całego personelu (w rozumieniu art. 8 ust. 1 pkt 2 lit. i–j) wdrażany jest program ciągłego podnoszenia świadomości cyberzagrożeń, który obejmuje tematy wymagane ustawowo (rodzajecyberzagrożeń, cyberhigiena, reagowanie na incydenty i zasady zgłaszania, skutki naruszeń bezpieczeństwa informacji), a następnie jest systematycznie wzmacniany działaniami praktycznymi, w szczególności kampaniami symulacji phishingu, krótkimi modułami edukacyjnymi oraz regularnie odświeżaną treścią.

Efektem programu jest spełnienie wymagań UKSC w zakresie szkoleń i świadomości: zapewnienie udokumentowanych działań szkoleniowych dla kierownictwa (art. 8e) oraz wdrożenie ciągłego, mierzalnego programu podnoszenia świadomości personelu (art. 8), ukierunkowanego na trwałą zmianę zachowań. Organizacja uzyskuje stan „audit-ready”, czyli jedno źródło dowodów ukończeń i wyników, możliwość raportowania zgodności per jednostka i rola oraz realną redukcję ryzyka incydentów wynikających z czynnika ludzkiego, w szczególności phishingu i błędów operacyjnych.