TL;DR: Tak, dyplom ukończenia studiów magisterskich, podyplomowych, a nawet doktoratu z cyberbezpieczeństwa może być uznany za „inny równoważny dokument”, otwierając drogę do uzyskania przez specjalistę ds. cyberbezpieczeństwa świadczenia teleinformatycznego. Kluczem nie jest jednak sam „papierek”, lecz umiejętne udowodnienie pracodawcy, że program Twoich studiów merytorycznie pokrywa się z zakresem wiedzy wymaganym przez najważniejsze branżowe certyfikaty. Decyzja ma charakter uznaniowy, dlatego jako ekspert musisz dostarczyć kierownictwu solidnych argumentów.
Czym jest świadczenie teleinformatyczne i dlaczego rozporządzenie budzi wątpliwości pracodawców?
Fundusz Cyberbezpieczeństwa, działający jako państwowy fundusz celowy, wprowadził świadczenie teleinformatyczne jako kluczowe narzędzie do zatrzymania i motywowania najlepszych specjalistów w sektorze publicznym. Jest to comiesięczny dodatek do wynagrodzenia za pracę, którego wysokość zależy od kwalifikacji i realizowanych zadań.
Rozporządzenie Rady Ministrów z dnia 19 stycznia 2022 r. precyzyjnie określa wymogi, w tym posiadanie specjalistycznej wiedzy potwierdzonej konkretnymi certyfikatami. I tu pojawia się kluczowe pytanie, które nurtuje wielu specjalistów. Przy każdej liście certyfikatów prawodawca dodał furtkę w postaci sformułowania: „lub w innym równoważnym dokumencie”.
Jednocześnie w ostatnich latach obserwujemy lawinowy wzrost popularności kierunków studiów magisterskich i podyplomowych z zakresu cyberbezpieczeństwa. Wielu ambitnych pracowników sektora publicznego, chcąc podnieść swoje kwalifikacje, zainwestowało czas i środki w zdobycie właśnie takiego wykształcenia. Właśnie dlatego coraz częściej zadają sobie pytanie o wartość swojego dyplomu w kontekście tego świadczenia.
Sprawdź również: Dyrektywa NIS 2 a RODO – jak pogodzić wymogi cyberbezpieczeństwa z ochroną danych osobowych w świetle nowych regulacji prawnych?
Jakie są stawki? Mapa grup, zadań i widełek świadczenia teleinformatycznego
Aby precyzyjnie ocenić swoje możliwości, kluczowe jest zrozumienie, jak rozporządzenie kategoryzuje zadania i kwalifikacje. Poniższa tabela przedstawia syntezę ośmiu grup zadaniowych, przypisanych do nich widełek finansowych oraz certyfikatów, które stanowią punkt odniesienia dla oceny równoważności Twojego dyplomu. Zidentyfikuj grupę, która najwierniej odzwierciedla Twoje codzienne obowiązki, aby zobaczyć, o jakie świadczenie teleinformatyczne możesz się ubiegać i do jakich standardów rynkowych porównać program swoich studiów.
| Nr grupy |
Przykładowe zadania szczegółowe |
Poziom doświadczenia |
Przedział świadczenia (PLN) |
Wybrane certyfikaty wzorcowe |
| 1 |
Analiza złośliwego oprogramowania, Threat Hunting, Testy penetracyjne |
do 3 lat |
12 000 – 18 000 |
CASP+, CEH, CISSP, OSCP, PenTest+ |
|
|
od 3 do 5 lat |
18 000 – 20 000 |
CASP+, CEH, CISSP, OSCP, PenTest+ |
|
|
powyżej 5 lat |
20 000 – 30 000 |
CASP+, CEH, CISSP, OSCP, PenTest+ |
| 2 |
Kierowanie komórką cyber, Aktywna obrona, Zaawansowana obsługa incydentów |
do 3 lat |
12 000 – 18 000 |
CISM, CISSP, GCIH, OSCP |
|
|
od 3 do 5 lat |
18 000 – 20 000 |
CISM, CISSP, GCIH, OSCP |
|
|
powyżej 5 lat |
20 000 – 25 000 |
CISM, CISSP, GCIH, OSCP |
| 3 |
Analiza powłamaniowa, Projektowanie SOC/CSIRT, Monitorowanie na poziomie krajowym |
do 3 lat |
8 000 – 12 000 |
CASP+, CISM, CISSP, CySA+, OSCP |
|
|
od 3 do 5 lat |
12 000 – 20 000 |
CASP+, CISM, CISSP, CySA+, OSCP |
|
|
powyżej 5 lat |
20 000 |
CASP+, CISM, CISSP, CySA+, OSCP |
| 4 |
Zarządzanie podatnościami, Koordynacja obsługi incydentów, Monitoring w SOC/NOC |
do 3 lat |
6 000 – 9 000 |
CASP+, CEH, CySA+, OSCP, Security+ |
|
|
od 3 do 5 lat |
9 000 – 15 000 |
CASP+, CEH, CySA+, OSCP, Security+ |
|
|
powyżej 5 lat |
15 000 |
CASP+, CEH, CySA+, OSCP, Security+ |
| 5 |
Szacowanie ryzyka, Wdrażanie planów ciągłości działania (BCP), Nadzór nad ryzykiem |
do 3 lat |
5 500 – 8 500 |
CISA, CISM, CISSP, CRISC, ISO 27001 LA |
|
|
od 3 do 5 lat |
8 500 – 13 500 |
CISA, CISM, CISSP, CRISC, ISO 27001 LA |
|
|
powyżej 5 lat |
13 500 |
CISA, CISM, CISSP, CRISC, ISO 27001 LA |
| 6 |
Przygotowywanie rekomendacji, standardów i dobrych praktyk |
do 3 lat |
5 000 – 8 000 |
CAP, CASP+, CISA, CISSP |
|
|
od 3 do 5 lat |
8 000 – 12 000 |
CAP, CASP+, CISA, CISSP |
|
|
powyżej 5 lat |
12 000 |
CAP, CASP+, CISA, CISSP |
| 7 |
Utrzymanie systemów, Wstępna obsługa incydentów, Poszukiwanie znanych podatności |
do 3 lat |
4 500 – 6 000 |
CASP+, CEH, CySA+, OSCP, Security+ |
|
|
od 3 do 5 lat |
6 000 – 10 500 |
CASP+, CEH, CySA+, OSCP, Security+ |
|
|
powyżej 5 lat |
10 500 |
CASP+, CEH, CySA+, OSCP, Security+ |
| 8 |
Nadzór nad KSC, Prowadzenie szkoleń, Analizy prawne i organizacyjne |
do 3 lat |
6 000 |
CASP+, CISA, CISM, CISSP, Security+ |
|
|
powyżej 3 lat |
8 000 |
CASP+, CISA, CISM, CISSP, Security+ |
Źródło: Opracowanie własne na podstawie Rozporządzenia Rady Ministrów z dnia 19 stycznia 2022 r. (D20220131.pdf).
Czy dyplom z cyberbezpieczeństwa jest ,,równoważny” z certyfikatem?
Odpowiedź nie jest zero-jedynkowa i opiera się na interpretacji prawa administracyjnego. Sformułowanie „dokument równoważny” jest celowo nieostre, co przekazuje ciężar decyzji na organ administracyjny – w tym przypadku Twojego pracodawcę, który wnioskuje o te środki. Podlega to zasadzie uznaniowości administracyjnej. Oznacza to, że kierownik Twojej jednostki ma prawo, a nawet obowiązek, dokonać swobodnej oceny przedstawionych dowodów i zdecydować, czy Twój dyplom spełnia kryteria, jakie stawia ustawa.
Nie jest to jednak dowolność absolutna. Decyzja musi opierać się na obiektywnym i wnikliwym porównaniu merytorycznym. Twoim zadaniem, jako osoby realizującej zadania z zakresu cyberbezpieczeństwa, jest udowodnić, że zakres programowy ukończonych przez Ciebie studiów jest zbieżny lub szerszy niż materiał objęty wymienionymi w rozporządzeniu certyfikatami. To sedno argumentacji, którą musisz przygotować, aby ubiegać się o wsparcie.
Jak udowodnić równoważność dyplomu?
Samo złożenie dyplomu na biurku przełożonego nie wystarczy. Musisz przygotować kompletny materiał dowodowy, który nie pozostawi wątpliwości. Zacznij od analizy sylabusa swoich studiów – magisterskich, podyplomowych lub doktoranckich. Zidentyfikuj przedmioty i bloki tematyczne, które bezpośrednio korespondują z ośmioma domenami wiedzy wymaganymi przez certyfikat CISSP (uznawany za złoty standard) lub praktycznymi umiejętnościami testowanymi na egzaminie OSCP, kluczowymi dla zapewnienia bezpieczeństwa systemów teleinformatycznych.
Przykładowo, jeśli Twoje studia obejmowały zaawansowane bezpieczeństwo systemów, kryptografię, zarządzanie ryzykiem, testy penetracyjne czy ochronę systemów teleinformatycznych przed cyberzagrożeniami, masz solidne podstawy. Stwórz tabelę porównawczą, w której zestawisz konkretne przedmioty i liczbę godzin z domenami certyfikatów. Taki dokument to potężny sygnał pokazujący Twoje profesjonalne i analityczne podejście.
Kto ostatecznie decyduje i jak wygląda procedura?
Fundamentalną kwestią jest zrozumienie, że to nie Ty indywidualnie składasz wniosek. Cała procedura leży po stronie Twojego pracodawcy. To kierownik jednostki, na podstawie zebranych informacji, musi złożyć wniosek do ministra cyfryzacji o udzielenie wsparcia ze środków funduszu. Składa on oficjalne oświadczenie, w którym poświadcza, że spełniasz wymogi ustawy. Sam formularz wniosku nie przewiduje miejsca na Twoje załączniki czy argumentację.
Dlatego Twoja strategia musi być skoncentrowana na działaniach wewnętrznych. Przygotuj profesjonalny dokument, zawierający analizę porównawczą studiów i certyfikatów, i przedstaw je swojemu przełożonemu. Twoim celem jest dostarczenie mu gotowego, merytorycznego uzasadnienia, które da mu pewność i komfort, by złożyć wniosek o udzielenie wsparcia i podpisać oświadczenie.
Sprawdź również: Outsourcing funkcji compliance officera do naszej kancelarii. Jak możemy Ci pomóc?
Czy każda specjalizacja w IT kwalifikuje do dodatku?
Niestety nie. Świadczenie teleinformatyczne jest zarezerwowane wyłącznie dla osób realizujących zadania bezpośrednio związane z zapewnianiem cyberbezpieczeństwa w ramach krajowego systemu cyberbezpieczeństwa. Programiści, administratorzy systemów czy analitycy biznesowi, których obowiązki nie wpisują się wprost w jedną z ośmiu grup zadań określonych w załączniku do rozporządzenia (projektowanie i programowanie, eksploatacja systemów, prowadzenie audytów bezpieczeństwa, obsługa i monitorowanie incydentów, zarządzanie systemami bezpieczeństwa, badania i rozwój, zarządzanie zespołem oraz kryptografia), nie kwalifikują się do tego dodatku. Kluczowa jest faktyczna natura wykonywanych obowiązków, a nie samo miejsce pracy w dziale IT.
Co zrobić, gdy pracodawca ma wątpliwości?
Jeśli mimo przedstawienia solidnej argumentacji Twój pracodawca wciąż ma wątpliwości, co jest oczywiście zrozumiałe – w końcu to na nim spoczywa odpowiedzialność prawna – zachęcamy do przesłania tego artykułu swojemu przełożonemu lub wewnętrznemu działowi prawnemu. Przedstawiona tu analiza może stać się podstawą do podjęcia świadomej decyzji.
Jeżeli jednak Państwa organizacja potrzebuje formalnego wsparcia, aby z pełnym bezpieczeństwem prawnym pozyskać środki z funduszu cyberbezpieczeństwa, nasz zespół chętnie przygotuje dedykowaną opinię prawną. Precyzyjnie odpowie ona na wszystkie pytania i jednoznacznie oceni możliwość uznania dyplomu za dokument równoważny w Państwa konkretnym przypadku.