„Kto normalny w cyber pracuje za państwowe pieniądze” – to popularne w środowisku pytanie może (choć nie musi) wkrótce przejść do lamusa. Projekt ustawy o dodatkach już jest – pytanie, czy zostanie przegłosowany i jak zostanie w praktyce wdrożony.
W obszarze cyberbezpieczeństwa państwa ostatnio dużo się dzieje. Opublikowany niedawno (który to już? siódmy?) projekt zmian do Ustawy o krajowym systemie cyberbezpieczeństwa wprowadzał szereg nowych obowiązków i pomysłów na cyber w kraju. Jednym z tych pomysłów było utworzenie funduszu celowego, mającego wspierać realizację zadań w obszarze cyberbezpieczeństwa podmiotów publicznych.
Projekt ustawy jest już nieaktualny. Zapisy dotyczące powołania Funduszu Cyberbezpieczeństwa zostały przeniesione do oddzielnego projektu nowej ustawy, który został 12.11.2021 opublikowany na stronach Sejmu. Co ciekawe, w piśmie przewodnim Rady Ministrów do Marszałek Sejmu podkreślona jest pilność i waga tego projektu, a jako argument Premier wskazuje bezpieczeństwo państwa. Czyżby ktoś się obudził z letargu?
Komu i dlaczego
Sam tytuł projektu ustawy mówi w zasadzie bardzo dużo „…o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa”, a gdy zagłębimy się w treść projektu, to robi się jeszcze ciekawiej. Fundusz Cyberbezpieczeństwa powoływany tą ustawą będzie podstawą do przyznawania tzw. świadczenia teleinformatycznego (pachnie PRL-em prawda?) dla osób zajmujących się obszarem cyberbezpieczeństwa w podmiotach publicznych. Będzie to dodatek do pensji, który ma w założeniu wyrównać dysproporcje między sektorem prywatnym a publicznym.
Nie, nie we wszystkich podmiotach publicznych, ale w określonych w art. 5 projektu. Dodatek obejmie zespoły CSIRT poziomu krajowego (NASK, MON i GOV), zespoły CSIRT sektorowe (nawet mamy taki jeden w kraju – w KNF, a jego kierownik będzie gościem najbliższej Rozmowy Kontrolowanej), CSIRT INT, który jest nowym tworem wpisanym w nowelizację UKSC (będzie działał w strukturze Agencji Wywiadu i obsługiwał incydenty w placówkach zagranicznych RP oraz w samej agencji), organy właściwe oraz… i tutaj pojawia się szereg instytucji i służb mundurowych wymienionych z nazwy. W ich przypadku chodzi o zapewnienie cyberbezpieczeństwa danych instytucji, co wydaje się zrozumiałe, patrząc na ich rolę i zadania ustawowe.
Niestety dodatek nie jest stały, tylko cykliczny, przyznawany na dany rok kalendarzowy po złożeniu odpowiedniego wniosku przez osobę kierującą daną organizacją lub służbą. Istnieje oczywiście ryzyko, że dzisiaj dodatek jest, a za rok go nie będzie – ale i tak jest to lepsze niż ni,c bo teraz nie ma go wcale.
Czy dałoby się to zrobić w inny sposób, np. określając minimalną pensję bezpiecznika w sektorze publicznym? Patrząc na katalog podmiotów uprawnionych do wnioskowania o świadczenie, wydaje się to zadaniem karkołomnym – mamy tutaj miszmasz służb mundurowych, wojska, podmiotów publicznych, a w każdym z nich regulacje dotyczące wynagradzania pracowników diametralnie się różnią.
A ile konkretnie?
Wydaje się, że jest to wypracowany (oby dobrze przemyślany) konsensus pomiędzy wszystkimi chętnymi do wykrojenia kawałka tego tortu.
A jest z czego kroić, bo zgodnie z zapisami projektu na rok 2022 przewidziano do rozdysponowania 150 mln zł i po 100 mln zł w każdym kolejnym roku kalendarzowym.
Dużo? Zgodnie z szacunkowymi wyliczeniami zawartymi w „Ocenie skutków regulacji” do projektu ustawy świadczenie będzie obejmowało około 1000 osób. Dzieląc 150 mln na 1000 osób pracujących 12 miesięcy w roku, otrzymamy 12,5 tys. zł na osobę. Ale wiadomo, jak to jest ze średnią – są tacy, którzy dostaną 2 tys., tacy, którzy dostaną 20 tys., ale są też tacy, którzy nie dostaną nic.
Konkretne przedziały dostępnych kwot wynikają z projektu Rozporządzenia Rady Ministrów, który jest dołączony do projektu ustawy i definiuje kryteria przyznawania dodatku.
Specjaliści od cyber zostali podzieleni na 3 grupy, co wydaje się sensownym podejściem. Każda z tych grup zdefiniowana jest zakresem realizowanych zadań.
Pierwsza grupa obejmuje kompetencje głównie techniczne, takie jak analiza złośliwego oprogramowania, informatyka śledcza, wyszukiwanie podatności, obsługa incydentów, testy penetracyjne, tworzenie i rozwijanie narzędzi, analiza zagrożeń, audyty bezpieczeństwa, kierowanie SOC czy CSIRT.
Druga grupa obejmuje obszar analityczny, czyli tworzenie rekomendacji, nadzór nad podmiotami krajowego systemu cyberbezpieczeństwa, cyberbezpieczeństwo wewnętrzne w organizacji, współpraca krajowa i zagraniczna w obszarze cyber czy prowadzenie szkoleń z cyberbezpieczeństwa.
Trzecia grupa jest otwartym katalogiem (o tym później), który definiuje „inne zadania związane z zapewnieniem cyberbezpieczeństwa niż określone w grupie I i II”.
W projekcie Rozporządzenia widzimy też bardzo duży rozstrzał wysokości świadczeń w poszczególnych grupach:
- dla grupy I jest to od 6 do 30 tys. zł brutto,
- dla grupy II od 4 do 20 tys. zł brutto,
- dla grupy III od 2 do 10 tys. zł brutto.
Warto też dodać, że zgodnie z projektem ustawy wysokość całkowitego wynagrodzenia, ze wszystkimi dodatkami, nie może przekroczyć 42 670 zł brutto.
Niestety (a może celowo) wysokość świadczenia oparta jest o tak rozmyte kryteria, że ciężko nie zidentyfikować olbrzymiego pola do nadużyć. Pierwsze dwie grupy mówią o minimalnym dwuletnim doświadczeniu w realizacji zadań, które są w nich określone, a grupa III mówi o doświadczeniu trzyletnim. Jak wszyscy wiemy (chyba każdy zna takie przypadki), niekoniecznie staż pracy świadczy o wiedzy i kompetencjach.
Wysokość dodatku jest ustalana przez daną organizację na postawie wewnętrznych decyzji. Projekt ustawy zawiera wprawdzie zapisy mówiące o konieczności weryfikacji wiedzy merytorycznej przez kierownika danej organizacji, mowa jest o testach wiedzy i kompetencji (sprawdzian ustny, pisemny lub zdalny) i dokumentowaniu ich wyników lub przedstawieniu aktualnych dowodów o posiadanej wiedzy merytorycznej (a jednak warto robić certyfikaty i szkolenia), ale nie oszukujmy się – administracja publiczna ze swoją przejrzystością procesów zatrudnienia (czyt. braku przejrzystości), nepotyzmem i całym narzutem politycznym raczej nie gwarantują, że będzie to robione profesjonalnie – może z małymi wyjątkami organizacji, które traktują kwestie cyberbezpieczeństwa na tyle poważnie, żeby nie zatrudniać niekompetentnych krewnych i znajomych królika.
Oby nie okazało się, że ci ostatni, obecnie pracujący w cyber publicznym, zostaną zwolnieni po to, żeby zatrudnić znajomych. Oby tak się nie wydarzyło, bo to przy obecnym stanie cyberbezpieczeństwa kraju byłoby samobójstwem.
Podsumowanie
Jaki będzie skutek tej ustawy? Czy uda się zrealizować zakładane cele? Ciężko to w tej chwili ocenić, jak w przypadku wielu aktów prawnych, które mają dopiero wejść w życie – wszystko może się jeszcze zmienić w toku prac sejmowych. Trzymamy kciuki, bo zmiana jest niewątpliwie konieczna – zarówno do utrzymania obecnych kadr, jak i pozyskiwania nowych.
Komentarze
Czyli teraz CSIRT-y będą nowym EXATEL-em :D
https://innpoland.pl/153379,panstwowa-firma-da-swietnie-zarobic-o-ile-jestes-kolega-prezesa
https://www.money.pl/gospodarka/20-tys-zl-za-dzien-pracy-tyle-zarabiaja-ludzie-blaszczaka-w-spolce-exatel-6671690442103328a.html
Skoro już o Exatel i pracy w nim mowa – zawsze można zajrzeć na stronę z aktualnymi rekrutacjami :) https://exatel.pl/oferty-pracy/
Powinno być tak jak w starożytnej Grecji – na takim stanowisku powinno się dostawać tyle kasy, by nie kusiło przejść na Ciemną Stronę Mocy.
Sorki, gdybym za 3k PLN miał stać na straży cyber, walczyć z hakerami, bitkojnami i dostawać za dyżur 50zł, to chyba kwestią tylko czasu było znalezienie dodatkowych opcji na zapełnienie garnka.
@Moris
I dlatego nie można zatrudniać osób inteligentnych. Zaraz znajdą dodatkową opcję, łobuzy. Lepiej takich ciołków żeby nawet jak im pod nos opcję podetkną, nie umieli jej rozpoznać ;)
A w samorządach dalej będą dymać za frajer robiąc cuda przy kompletnym braku funduszy (pomijając ten szaleńczy projekt cyfrowa gmina który rozbije się o przyszłoroczną dostępność sprzętu). Ciekawe co by się stało jakby nagle zabrakło tych wszystkich ludzi w samorządach…
Jak to co by się stało? Nic. Nikt normalny i kompetentny nie pracuje w samorządówce.
Tak sprytnie ominęli wysokość tych zarobków jak dostawcy internetu prędkość łącza jaką nam sprzedają :-D Pewnie na stanowisku które będzie przydzielało te dodatki umieszczą odpowiednią osobę która będzie na liście Dworczyka oznaczona jako zaufana politycznie. Osoba ta nigdy nie przydzieli dodatku w wysokości 42K tylko będzie to max 10-15K Gdy fachowiec zorientuje się o co chodzi to się zwolni i przyjdzie następny i tak w kółko. No ale wszędzie będą trąbić ,że zarobki to 42K :-D Ostatnio w Poznaniu widziałem wielkie banery oznajmiające ,że potrzebują fachowców elektryków chyba i płaca 20K :-D Dopiero za trzecim razem gdy przejeżdżałem obok baneru dostrzegłem iż pisze tam drobnym druczkiem 20K za 3 miesiące. Gdy przyjdzie do podpisania umowy z informatykiem to wtedy pewnie wyskoczą wszystkie kwiatki. Oczywiście mam nadzieje ,że się myle.
@Tomek
To tak jak z ceną benzyny. Na stacjach pewnej sieci widziałem po 3 zł! Za pół litra.
Mi się najbardziej „podoba” w budżetówkowych rekrutacjach, że ogłaszają się tylko na BIP-ach :D
Dziesiąta zakładka, piątej podstrony… i tam są ogłoszenia o pracę. Kto o nich wie? Ci, co mają wiedzieć. Potem zgodnie z prawdą „wybraliśmy najlepszego kandydata”… spośród 3 chętnych.
na jakim świecie ty żyjesz?
Rozwiń.
Chyba, że chodzi o jakieś wyjątki od reguły. Może i są, nie wiem. Ale generalnie nie ma budżetu na kupno ogłoszeń na pracuj_pl i podobnych. Już nie mówiąc, że nawet nie ma pomysłu by to robić. Bo po co? Kandydat nie ma być najlepszy, tylko „właściwy”.
Panie mateuszu od jutra jest pan głównym specjalistą ds cyberbezpieczeństwa
„Czy uda się zrealizować zakładane cele?” – oczywiście. Rodzina PiS na swoim. Dlatego też zwolniono szefa CERT, aby wybitni inaczej fachowcy z PiS mieli takie dodatki do pensji.
Gdy rzeczywistość brzmi jak sarkazm…
a ile to wyjdzie netto według „polskiego” „ładu”?
Co tu dużo mówić….
W skarbówce obecnie pracownicy US mają wynagradzania z przed fiufiu lat.
Patrząc tylko na inflację to zatrzymali się na ok. 2010 roku.
Natomiast dyrektorzy, ich zastępcy, zastępcy zastępców, doradcy ogólnie pracownicy izb skarbowych i naczelnicy urzędów wyprzedzają znacznie inflację a suma nagród i dodatków rocznie często przekracza 100000zł.
Jak by tego było mało od połowy 2020 r. pracownikom US zabrano premie, które są wpisane w każdą umowę o pracę by z nich sfinansować zakup szczepionek, oczywiście w od tamtego czasu dyrektorzy i im podobni z izb skarbowych otrzymują dodatki covidowe pracując do dziś na pracy zdalnej na zmianę z pracą w biurze.
Tak samo będą sprawiedliwe rozdzielone środki z tego artykułu.
Pozdrawiam.
po kilku miesiącach jaki mamy stan?
Szok kierownictw w gov. Aż tyle????!!!
Wypłaty zablokowane.
Nie pomagają argumenty, że:
– to środki z zewnątrz – nie obciążają budżetu danej jednostki,
– nie są potrzebne procedury wewnętrzne bo jest ustawa i rozporządzenie,
– celem ustawy było zachowanie specjalistów cyber w sektorze publicznym.
No i co? Nic. jeszcze chwila i znowu zacznie się exodus z sektora publicznego, a ministrowie i dyrektorzy generalni będą pewni bezpieczeństwa, które zapewnią … papierowe ankiety.
U mnie podwyżki były i awanse niedawno, a teraz będzie ten dodatek. Ciekaw jestem w jakiej wysokości, bo jedni twierdzą, że te kwoty to rocznie (to by śmieszne były) inni twierdzą, że miesięcznie… przekonam się zapewne niebawem.
Witam
Orientuje się ktoś może czy zmiana ww. ustawy będzie w ogóle dalej procedowana? Ostatnia zmiana projektu ustawy zmieniającej jest z 22 grudnia 2022 i dalej cisza… A grosz by się przydał…