Checklista "Dobre praktyki w feedbacku"

Konstruktywny feedback to dar. Użyj tej checklisty, aby upewnić się, że Twoja informacja zwrotna jest wartościowa, motywująca i wspierająca rozwój mentee.

Przed rozmową:
  • Zbierz konkretne przykłady: Unikaj ogólników. Odwołuj się do konkretnych sytuacji i zachowań, a nie do cech osobowości.
  • Określ cel feedbacku: Co chcesz osiągnąć? Jaka zmiana w zachowaniu mentee byłaby pożądana?
  • Sprawdź swoje intencje: Upewnij się, że Twoim celem jest pomoc i wsparcie, a nie krytyka czy udowodnienie racji.
  • Wybierz odpowiedni czas i miejsce: Zapewnij prywatność i wystarczającą ilość czasu na spokojną rozmowę.
W trakcie rozmowy:
  • Zacznij od pytania o zgodę: "Czy to dobry moment, abyśmy porozmawiali o...?" / "Czy jesteś otwarty/a na informację zwrotną na temat...?".
  • Stosuj model SBI (Situation-Behavior-Impact): Opisz Sytuację, konkretne Zachowanie i jego Wpływ na Ciebie/zespół/projekt.
  • Mów w pierwszej osobie ("Komunikat Ja"): Zamiast "Zawsze się spóźniasz", powiedz "Kiedy spóźniłeś się na spotkanie, poczułem, że mój czas nie jest szanowany".
  • Oddziel fakty od interpretacji: Przedstaw to, co zaobserwowałeś, a następnie zapytaj o perspektywę mentee ("Zauważyłem, że... Jak to wygląda z Twojej strony?").
  • Skup się na przyszłości: Po omówieniu przeszłości, skoncentrujcie się na tym, co można zrobić inaczej w przyszłości.
  • Słuchaj aktywnie: Daj mentee przestrzeń na odpowiedź. Zadawaj pytania, aby upewnić się, że dobrze go rozumiesz.
  • Zakończ pozytywnym akcentem: Podkreśl mocne strony mentee i wyraź wiarę w jego/jej zdolność do rozwoju.
Po rozmowie:
  • Zaplanujcie kolejne kroki: Wspólnie ustalcie, co mentee może zrobić w związku z otrzymanym feedbackiem.
  • Zaoferuj wsparcie: "Jak mogę Ci pomóc w realizacji tego planu?".
  • Sprawdź efekty: Wróć do tematu na kolejnym spotkaniu, aby zobaczyć, jakie postępy poczynił mentee.

Bank 50 "pytań otwarcia"

Użyj tych pytań, aby lepiej poznać mentee, zrozumieć jego motywacje i zdiagnozować potrzeby. Wybierz te, które najlepiej pasują do kontekstu rozmowy.

Pytania na rozpoczęcie i budowanie relacji
  1. Co Cię sprowadza do mentoringu?
  2. Gdybyś miał/a opisać swoją dotychczasową karierę w trzech słowach, jakie by one były?
  3. Jaka jest najcenniejsza lekcja, jakiej nauczyłeś/aś się w ostatnim roku?
  4. Co robisz, żeby się zrelaksować i naładować baterie?
  5. Z jakiego osiągnięcia (zawodowego lub prywatnego) jesteś najbardziej dumny/a?
  6. Co daje Ci najwięcej energii w pracy?
  7. A co najbardziej Cię tej energii pozbawia?
  8. Jak wygląda Twój idealny dzień w pracy?
  9. Gdybyś nie musiał/a pracować, czym byś się zajął/zajęła?
  10. Kto jest dla Ciebie największą inspiracją i dlaczego?
Pytania o cele i aspiracje
  1. Gdzie widzisz siebie za 5 lat?
  2. Jak wygląda dla Ciebie sukces?
  3. Jaki jest Twój największy cel zawodowy na ten rok?
  4. Co musiałoby się stać, abyś uznał/a ten proces mentoringowy za udany?
  5. Jaka jest jedna rzecz, którą chciałbyś/chciałabyś zmienić w swoim życiu zawodowym?
  6. Jakie nowe umiejętności chciałbyś/chciałabyś zdobyć?
  7. Jaki wpływ chciałbyś/chciałabyś wywierać na swoje otoczenie/firmę?
  8. Co stoi na przeszkodzie w realizacji Twoich celów?
  9. Czego najbardziej się obawiasz w kontekście swojej kariery?
  10. Gdybyś miał/a nieograniczone zasoby, jaki projekt byś zrealizował/a?
Pytania o mocne strony i zasoby
  1. W jakich sytuacjach czujesz się najbardziej kompetentny/a?
  2. Jakie są Twoje trzy największe talenty?
  3. Za co chwalą Cię inni?
  4. Jakie zadania wykonujesz z łatwością, podczas gdy dla innych są one trudne?
  5. Opowiedz o sytuacji, w której udało Ci się rozwiązać trudny problem.
  6. Jakie masz nawyki, które wspierają Twój rozwój?
  7. Kto w Twoim otoczeniu może Cię wspierać?
  8. Z jakich swoich dotychczasowych doświadczeń możesz czerpać?
  9. Co wiesz na pewno o sobie?
  10. Jak dbasz o swój rozwój?
Pytania o wyzwania i obszary do rozwoju
  1. Z jakim wyzwaniem mierzysz się obecnie?
  2. Jaka umiejętność, gdybyś ją opanował/a, miałaby największy wpływ na Twoją karierę?
  3. W jakich sytuacjach tracisz pewność siebie?
  4. Jaki feedback najczęściej otrzymujesz?
  5. Co odkładasz na później?
  6. Czego chciałbyś/chciałabyś się oduczyć?
  7. Gdybyś mógł/mogła cofnąć czas, jaką decyzję zawodową podjąłbyś/podjęłabyś inaczej?
  8. Jak radzisz sobie z porażką lub krytyką?
  9. Co Cię frustruje w Twojej obecnej roli?
  10. Jaka jest najtrudniejsza rozmowa, którą musisz przeprowadzić?
Pytania pogłębiające i refleksyjne
  1. Co to dla Ciebie znaczy?
  2. Jakie widzisz inne możliwości?
  3. Co by się stało, gdybyś nic nie zrobił/a w tej sprawie?
  4. Jaki mały krok możesz zrobić już jutro?
  5. Czego potrzebujesz, aby pójść do przodu?
  6. Jakie założenia przyjmujesz w tej sytuacji?
  7. Jak wyglądałaby ta sytuacja z perspektywy innej osoby?
  8. Co podpowiada Ci intuicja?
  9. Czego nauczyła Cię ta sytuacja?
  10. O co jeszcze nie zapytałem/am, a co jest ważne?

Szablon agendy pierwszego spotkania

Pierwsze spotkanie jest kluczowe dla zbudowania relacji i nadania tonu całej współpracy. Poniższa agenda pomoże Ci w jego uporządkowaniu.

1. Przełamanie lodów i wzajemne poznanie się (ok. 15 min)
  • Przedstawienie się (ścieżka kariery, zainteresowania, co Cię inspiruje).
  • Podzielenie się swoimi oczekiwaniami wobec procesu mentoringu.
2. Omówienie roli mentora i mentee (ok. 10 min)
  • Co mentor może zaoferować? Czym jest, a czym nie jest mentoring?
  • Jaka jest rola i odpowiedzialność mentee?
3. Wstępna diagnoza potrzeb i celów mentee (ok. 25 min)
  • Gdzie jesteś teraz? Jakie są Twoje największe wyzwania?
  • Gdzie chcesz być za 6-12 miesięcy? Co chcesz osiągnąć?
  • Wspólne zdefiniowanie 1-3 głównych celów na proces mentoringowy.
4. Ustalenie zasad współpracy (Kontrakt) (ok. 15 min)
  • Omówienie i akceptacja kontraktu (poufność, częstotliwość, forma spotkań).
  • Ustalenie preferowanych form komunikacji między spotkaniami.
5. Podsumowanie i plan na kolejne spotkanie (ok. 5 min)
  • Podsumowanie kluczowych ustaleń.
  • Ustalenie terminu i tematu kolejnego spotkania.

Szablon "Kontraktu mentoringowego"

Kontrakt mentoringowy to umowa między mentorem a mentee, która formalizuje ich współpracę i ustala wspólne oczekiwania. Skorzystaj z poniższego szablonu jako punktu wyjścia.

1. Cele i oczekiwane rezultaty
  • Główny cel współpracy (np. rozwój kompetencji liderskich, przygotowanie do nowej roli).
  • Kluczowe obszary do rozwoju dla mentee.
  • Mierzalne wskaźniki sukcesu (po czym poznamy, że cel został osiągnięty?).
2. Zasady współpracy
  • Poufność: Wszystkie rozmowy są poufne i pozostają między mentorem a mentee.
  • Szczerość i otwartość: Zobowiązujemy się do otwartej komunikacji i konstruktywnego feedbacku.
  • Zaangażowanie: Obie strony zobowiązują się do aktywnego udziału i przygotowania do spotkań.
  • Odpowiedzialność: Mentee jest odpowiedzialny za swój rozwój, a mentor za wspieranie tego procesu.
3. Logistyka spotkań
  • Częstotliwość: Spotkania będą odbywać się (np. raz na dwa tygodnie, raz w miesiącu).
  • Czas trwania: Każde spotkanie potrwa (np. 60-90 minut).
  • Forma: Spotkania będą (np. online, na żywo, hybrydowo).
  • Odwoływanie spotkań: Spotkanie należy odwołać z co najmniej 24-godzinnym wyprzedzeniem.
  • Czas trwania procesu: Współpraca jest zaplanowana na okres (np. 6 miesięcy).

Dyrektywa NIS2: co firmy muszą wiedzieć i jak się przygotować?

Bezpieczeństwo cyfrowe stało się kluczowym priorytetem dla Unii Europejskiej, co znajduje odzwierciedlenie w nowych, zaostrzonych regulacjach. Dyrektywa NIS2, następczyni pierwszej dyrektywy NIS z 2016 roku, znacząco rozszerza zakres podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa i wprowadza bardziej rygorystyczne wymogi. Dla wielu polskich firm, zrozumienie, czy podlegają pod dyrektywę NIS2 Polska i jak zapewnić zgodność z NIS2, jest pilnym zadaniem na rok 2025, zwłaszcza w kontekście zbliżających się terminów implementacji krajowych przepisów. Ten artykuł, pełniąc rolę praktycznej listy kontrolnej, wyjaśnia kluczowe wymagania NIS2, kogo dotyczą nowe przepisy oraz jakie kroki należy podjąć, aby skutecznie przygotować organizację na wdrożenie NIS2 i uniknąć potencjalnych kar. Skupimy się na praktycznych aspektach cyberbezpieczeństwa NIS2.

NIS2 w pigułce: cele, zakres i kogo dotyczy w Polsce

Głównym celem dyrektywy NIS2 jest podniesienie ogólnego poziomu cyberbezpieczeństwa kluczowych sektorów gospodarki i usług publicznych w całej Unii Europejskiej. Dyrektywa znacząco rozszerza zakres sektorów i podmiotów objętych regulacją w porównaniu do swojej poprzedniczki. Wprowadza podział na podmioty kluczowe (essential entities) oraz podmioty ważne (important entities), działające w sektorach uznanych za krytyczne lub istotne dla funkcjonowania społeczeństwa i gospodarki.

Do sektorów o wysokiej istotności krytycznej (podmioty kluczowe) zaliczono m.in.: energetykę, transport, bankowość, infrastrukturę rynków finansowych, sektor ochrony zdrowia, infrastrukturę wody pitnej i ścieków, infrastrukturę cyfrową (w tym dostawców usług chmurowych, data center, sieci dostarczania treści), administrację publiczną oraz przestrzeń kosmiczną.

Do innych sektorów krytycznych (podmioty ważne) należą m.in.: usługi pocztowe i kurierskie, gospodarka odpadami, produkcja i dystrybucja chemikaliów, produkcja i przetwarzanie żywności, produkcja (np. wyrobów medycznych, komputerów, elektroniki, maszyn, pojazdów) oraz dostawcy usług cyfrowych (internetowe platformy handlowe, wyszukiwarki, platformy społecznościowe).

Dyrektywa obejmuje średnie i duże przedsiębiorstwa działające w tych sektorach. Małe i mikroprzedsiębiorstwa są co do zasady wyłączone, chyba że odgrywają kluczową rolę w danym sektorze (np. są jedynym dostawcą usługi w państwie członkowskim). Polskie firmy działające w wymienionych sektorach i spełniające kryteria wielkości muszą przygotować się na nowe obowiązki.

Kluczowe obowiązki w zakresie zarządzania ryzykiem cyberbezpieczeństwa

NIS2 nakłada na objęte nią podmioty obowiązek wdrożenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych, z których korzystają w swojej działalności lub przy świadczeniu usług. Dyrektywa wymienia minimalny zestaw środków, które muszą być uwzględnione. Obejmują one między innymi:  

  • Polityki analizy ryzyka i bezpieczeństwa systemów informatycznych.
  • Obsługę incydentów (procedury zapobiegania, wykrywania, reagowania).
  • Ciągłość działania (zarządzanie kopiami zapasowymi, odtwarzanie po awarii) i zarządzanie kryzysowe.
  • Bezpieczeństwo łańcucha dostaw (w tym aspekty bezpieczeństwa w relacjach z dostawcami i usługodawcami).
  • Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych (w tym obsługa i ujawnianie podatności).
  • Polityki i procedury oceny skuteczności środków zarządzania ryzykiem.
  • Podstawowe praktyki w zakresie cyberhigieny i szkolenia z cyberbezpieczeństwa.
  • Polityki i procedury dotyczące stosowania kryptografii (w tym szyfrowania).
  • Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzanie aktywami.
  • Stosowanie uwierzytelniania wieloskładnikowego lub ciągłego (tam, gdzie to stosowne).

Co istotne, NIS2 wprowadza odpowiedzialność kadry zarządzającej (np. zarządu) za wdrożenie i nadzór nad środkami cyberbezpieczeństwa. Członkowie organów zarządzających będą zobowiązani do odbycia szkoleń w tym zakresie.

Wymogi dotyczące zgłaszania incydentów: co, kiedy i jak raportować?

Dyrektywa NIS2 znacząco zaostrza i ujednolica obowiązki związane ze zgłaszaniem incydentów cyberbezpieczeństwa mających istotny wpływ na świadczenie usług. Podmioty objęte dyrektywą będą musiały zgłaszać poważne incydenty do wyznaczonego krajowego zespołu reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) oraz, w niektórych przypadkach, do właściwego organu krajowego. Proces zgłaszania będzie wieloetapowy:

  1. Wczesne ostrzeżenie: W ciągu 24 godzin od stwierdzenia incydentu – wstępna informacja o podejrzeniu wystąpienia poważnego incydentu.
  2. Powiadomienie o incydencie: W ciągu 72 godzin od stwierdzenia incydentu – bardziej szczegółowe informacje, w tym wstępna ocena incydentu, jego dotkliwości i wpływu.
  3. Sprawozdanie końcowe: W ciągu miesiąca od złożenia powiadomienia o incydencie (lub od zakończenia obsługi incydentu) – szczegółowy raport końcowy.

Podmioty będą również zobowiązane do informowania swoich klientów (odbiorców usług) o incydentach, które mogą mieć na nich istotny wpływ. Wdrożenie skutecznych procedur wykrywania, analizy i zgłaszania incydentów będzie kluczowe dla spełnienia tych wymogów.

Bezpieczeństwo łańcucha dostaw w kontekście NIS2

Jednym z kluczowych obszarów wzmocnionych przez NIS2 jest bezpieczeństwo łańcucha dostaw. Podmioty objęte dyrektywą będą musiały uwzględniać ryzyka związane ze swoimi bezpośrednimi dostawcami i usługodawcami (np. dostawcami usług przechowywania danych, oprogramowania, zarządzanych usług bezpieczeństwa). Oznacza to konieczność oceny praktyk cyberbezpieczeństwa swoich partnerów i uwzględniania aspektów bezpieczeństwa w umowach z nimi. Firmy będą musiały zadbać o to, aby ich dostawcy również stosowali odpowiednie środki bezpieczeństwa, adekwatne do potencjalnego ryzyka, jakie mogą wprowadzić do ekosystemu podmiotu objętego NIS2. Zarządzanie ryzykiem związanym z łańcuchem dostaw staje się integralną częścią ogólnego systemu zarządzania ryzykiem cyberbezpieczeństwa wymaganego przez dyrektywę.

Nadzór, kary i egzekwowanie przepisów NIS2 w Polsce

NIS2 przewiduje wzmocnienie mechanizmów nadzoru nad podmiotami objętymi dyrektywą. Wyznaczone organy krajowe będą miały uprawnienia do przeprowadzania audytów, kontroli i żądania informacji w celu weryfikacji zgodności. Co istotne, dyrektywa wprowadza również surowe kary finansowe za nieprzestrzeganie przepisów, które mają być skuteczne, proporcjonalne i odstraszające. Dla podmiotów kluczowych maksymalne kary administracyjne mogą sięgać co najmniej 10 mln EUR lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa (w zależności od tego, która kwota jest wyższa). Dla podmiotów ważnych maksymalne kary to co najmniej 7 mln EUR lub 1,4% całkowitego rocznego światowego obrotu. Te wysokie potencjalne sankcje podkreślają wagę, jaką prawodawca przywiązuje do zapewnienia zgodności z NIS2.

Checklista: kroki przygotowawcze do wdrożenia NIS2 w Twojej firmie

Przygotowanie do NIS2 to proces, który warto rozpocząć jak najszybciej. Oto kluczowe kroki, które powinna podjąć Twoja firma:

  1. Określ status firmy: Sprawdź, czy Twoja firma działa w sektorze objętym NIS2 i czy spełnia kryteria wielkości (średnie/duże przedsiębiorstwo), aby ustalić, czy podlega pod obowiązki podmiotu kluczowego czy ważnego.
  2. Przeprowadź analizę ryzyka: Dokonaj kompleksowej oceny ryzyka dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w Twojej działalności.
  3. Dokonaj analizy luk (Gap Analysis): Porównaj obecny stan zabezpieczeń i procedur w Twojej firmie z minimalnymi wymogami określonymi w NIS2 (wymienionymi wcześniej w artykule). Zidentyfikuj obszary wymagające poprawy.
  4. Opracuj i wdróż plan działań: Stwórz harmonogram wdrożenia brakujących środków technicznych, operacyjnych i organizacyjnych. Przypisz odpowiedzialności i zapewnij niezbędne zasoby.
  5. Zaktualizuj polityki i procedury: Przejrzyj i dostosuj wewnętrzne polityki bezpieczeństwa, procedury obsługi incydentów, plany ciągłości działania i zarządzania łańcuchem dostaw do wymogów NIS2.
  6. Przeszkol kadrę zarządzającą i pracowników: Zapewnij odpowiednie szkolenia z cyberbezpieczeństwa dla zarządu (zgodnie z wymogiem NIS2) oraz programy budowania świadomości dla wszystkich pracowników.
  7. Wdróż procedury zgłaszania incydentów: Upewnij się, że posiadasz mechanizmy i procedury umożliwiające terminowe wykrywanie i zgłaszanie poważnych incydentów zgodnie z wymogami NIS2.
  8. Zweryfikuj bezpieczeństwo dostawców: Oceń praktyki cyberbezpieczeństwa kluczowych dostawców i usługodawców oraz wprowadź odpowiednie zapisy do umów.
  9. Monitoruj i testuj: Wdróż mechanizmy ciągłego monitorowania bezpieczeństwa i regularnie testuj skuteczność wdrożonych środków (np. poprzez testy penetracyjne, audyty).
  10. Dokumentuj działania: Prowadź dokładną dokumentację wszystkich podjętych działań w zakresie zarządzania ryzykiem i zapewnienia zgodności, która może być wymagana podczas kontroli.

Podsumowanie: kluczowe wnioski dla czytelnika EITT

Dyrektywa NIS2 stanowi istotny krok w kierunku wzmocnienia cyberbezpieczeństwa w Unii Europejskiej, nakładając nowe, bardziej rygorystyczne obowiązki na szerszą grupę podmiotów niż dotychczas. Dla polskich firm działających w kluczowych i ważnych sektorach, zapewnienie zgodności z NIS2 staje się pilnym priorytetem. Wymaga to kompleksowego podejścia do zarządzania ryzykiem, wdrożenia odpowiednich środków bezpieczeństwa, usprawnienia procesów obsługi incydentów i zarządzania łańcuchem dostaw, a także zaangażowania kadry zarządzającej. Choć przygotowanie do NIS2 może być wyzwaniem, jest to również okazja do znaczącego podniesienia poziomu cyberodporności organizacji i lepszego przygotowania na ewoluujące zagrożenia.

Następny krok z EITT

Nie jesteś pewien, czy Twoja firma podlega pod NIS2 lub jak skutecznie wdrożyć jej wymagania? Potrzebujesz wsparcia w przeprowadzeniu analizy ryzyka, analizy luk lub opracowaniu planu dostosowawczego? EITT oferuje kompleksowe audyty zgodności, doradztwo oraz dedykowane szkolenia z zakresu dyrektywy NIS2 i zarządzania cyberbezpieczeństwem. Skontaktuj się z naszymi ekspertami, aby dowiedzieć się, jak możemy pomóc Twojej organizacji w sprawnym i skutecznym przygotowaniu się na wymogi NIS2.

MASZ PYTANIA?

Skontaktuj się z nami, aby uzyskać więcej informacji o naszych szkoleniach, programach oraz współpracy.
Chętnie odpowiemy na wszystkie Twoje zapytania!

?
?
Zapoznałem/łam się i akceptuję politykę prywatności.*

O autorze:
Justyna Kalbarczyk

Justyna to doświadczona specjalistka i współzałożycielka Effective IT Trainings (EITT), z imponującym 19-letnim stażem w branży IT i edukacji technologicznej. Koncentruje się na zarządzaniu, projektowaniu i wdrażaniu kompleksowych projektów rozwojowych oraz informatyczno-edukacyjnych dla szerokiego spektrum klientów, od sektora IT po instytucje publiczne.

W swojej pracy Justyna kieruje się zasadami innowacyjności, elastyczności i głębokiego zrozumienia potrzeb klienta. Jej podejście do rozwoju biznesu opiera się na umiejętności efektywnego łączenia koncepcji, narzędzi i zasobów ludzkich w spójne projekty szkoleniowe. Jest znana z umiejętności tworzenia spersonalizowanych rozwiązań edukacyjnych, które odpowiadają na rzeczywiste wyzwania w dynamicznym świecie IT.

Justyna szczególnie interesuje się obszarem synergii między sferą biznesową a technologiczną. Skupia się na rozwijaniu innowacyjnych metod szkoleniowych i projektów, które nie tylko podnoszą kompetencje techniczne, ale także wspierają transformację cyfrową organizacji. Jej specjalizacja obejmuje analizę potrzeb klientów, zarządzanie projektami oraz kreowanie angażujących doświadczeń szkoleniowych.

Aktywnie angażuje się w rozwój branży edukacji IT, nieustannie poszerzając swoje kompetencje poprzez zdobywanie nowych certyfikatów biznesowych i informatycznych. Wierzy, że kluczem do sukcesu w dynamicznym świecie technologii jest ciągłe doskonalenie się oraz umiejętność adaptacji do zmieniających się potrzeb rynku, co odzwierciedla w strategiach rozwoju EITT.

Pozostałe artykuly autora
Home Phone Email