Stanowisko, którego nie obsadzisz ogłoszeniem na Pracuj.pl

Na polskim rynku pracy brakuje specjalistów ds. bezpieczeństwa informacji. Globalny niedobór sięga czterech milionów osób, a w Polsce sytuacja nie wygląda lepiej — konkurencja o wykwalifikowanych ludzi toczy się między sektorem prywatnym, który oferuje wynagrodzenia liczone w dziesiątkach tysięcy złotych, a sektorem publicznym, który proponuje taryfikator i trzynastkę. Wynik tej rywalizacji jest z góry przesądzony.

Tymczasem obowiązki rosną. Rozporządzenie w sprawie Krajowych Ram Interoperacyjności (KRI) w §20 wymaga od podmiotów publicznych wyznaczenia osoby odpowiedzialnej za utrzymanie i doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, transponująca dyrektywę NIS-2, rozszerza ten wymóg na przedsiębiorstwa wodociągowe, ciepłownie, spółki komunalne. A norma ISO 27001:2022 — coraz częściej wymagana w przetargach — zakłada, że ktoś kompetentny czuwa nad systemem na co dzień.

Odpowiedzią, po którą sięga coraz więcej organizacji, jest outsourcing tej funkcji. Rozwiązanie dobre — pod warunkiem, że zostanie przeprowadzone z rozwagą. Bo źle dobrany pełnomocnik z zewnątrz potrafi zaszkodzić bardziej niż jego brak.

Kiedy outsourcing ma sens — a kiedy jest wymówką

Outsourcing pełnomocnika ds. bezpieczeństwa informacji sprawdza się w organizacjach, które spełniają przynajmniej jeden z warunków: nie są w stanie pozyskać odpowiednio wykwalifikowanego pracownika na etat, potrzebują dostępu do szerszego zespołu ekspertów niż jedna osoba, lub chcą niezależnego spojrzenia na stan bezpieczeństwa — wolnego od wewnętrznych zależności i przyzwyczajeń.

W praktyce dotyczy to większości jednostek samorządu terytorialnego, ich jednostek podległych — ośrodków pomocy społecznej, powiatowych centrów pomocy rodzinie, bibliotek, szkół — a także spółek komunalnych: przedsiębiorstw wodociągowych, ciepłowni, zakładów gospodarki odpadami, spółek komunikacyjnych.

Outsourcing nie ma natomiast sensu, gdy organizacja traktuje go jako sposób na pozbycie się problemu. Pełnomocnik z zewnątrz nie zwalnia kierownictwa z odpowiedzialności za bezpieczeństwo informacji — ani prawnie, ani faktycznie. To partner, nie zastępca.

Pięć kryteriów, które oddzielają partnera od wykonawcy

Zespół, nie człowiek z teczką

Bezpieczeństwo informacji to dziedzina interdyscyplinarna. Wymaga kompetencji z zakresu prawa (RODO, KRI, NIS-2, UoKSC), technologii IT (sieci, systemy, infrastruktura), technologii OT (SCADA, PLC — jeśli mówimy o wodociągach czy ciepłowniach), zarządzania ryzykiem i audytu.

Żadna pojedyncza osoba nie opanuje tego wszystkiego na wystarczającym poziomie. Dlatego kluczowe pytanie przy wyborze partnera brzmi: kto stoi za tą osobą? Czy pełnomocnik ma zaplecze — prawnika, specjalistę IT, audytora — czy jest samotnym konsultantem, który obiecuje wszystko, a dostarcza prezentacje PowerPoint?

Firma oferująca outsourcing tej funkcji powinna dysponować zespołem, którego kompetencje się uzupełniają. Audytor nie musi konfigurować firewalla — ale ktoś w tym zespole powinien umieć to zrobić, gdy zajdzie taka potrzeba.

Doświadczenie branżowe — nie każdy sektor to samo

Spółka wodociągowa to nie kancelaria prawna. Urząd gminy to nie firma e-commerce. Szkoła to nie bank. Specyfika sektora publicznego — procedury zamówień publicznych, wieloletnie plany finansowe, zależność od dotacji, rotacja kadr po wyborach samorządowych — wymaga od pełnomocnika nie tylko wiedzy technicznej, ale rozumienia kontekstu, w którym ta organizacja funkcjonuje.

Pytaj o konkretne doświadczenie: ile jednostek samorządu terytorialnego obsługuje ta firma? Czy pracowała z przedsiębiorstwami wod-kan? Czy zna systemy dziedzinowe — eDokumenty, BeSTi@, systemy ewidencji ludności? Czy rozumie, że w urzędzie gminy liczącej trzy tysiące mieszkańców budżet na cyberbezpieczeństwo mieści się w kwocie, za którą korporacja kupuje jedną licencję?

Dostępność i czas reakcji

Pełnomocnik, który pojawia się raz na kwartał, podpisuje protokół przeglądu i znika, nie jest pełnomocnikiem — jest podpisem na dokumencie. Realna dostępność oznacza jasno określony czas reakcji na incydent (najlepiej liczony w godzinach, nie dniach), regularne wizyty lub wideokonferencje, stały kontakt operacyjny z wyznaczonym informatykiem w organizacji.

W umowie powinien znaleźć się konkretny SLA: czas reakcji na zgłoszenie incydentu, maksymalny czas na dostarczenie raportu, częstotliwość przeglądów. Ogólniki w rodzaju „zapewniamy bieżące wsparcie" to za mało — i w przypadku kontroli lub audytu mogą okazać się bezwartościowe.

Transparentność raportowania

Dobry pełnomocnik nie ukrywa się za żargonem. Raporty dla kierownictwa powinny być zrozumiałe dla osób nietechnicznych — wójta, burmistrza, prezesa spółki. Powinny zawierać jasną ocenę stanu bezpieczeństwa, listę zidentyfikowanych ryzyk, rekomendacje z priorytetami oraz postęp w realizacji wcześniejszych zaleceń.

Pytaj kandydatów o przykładowe raporty (zanonimizowane). Sposób raportowania wiele mówi o sposobie pracy — jeśli raport to trzydziestostronicowy dokument pełen tabel i skrótów, którego nikt nie czyta, to znaczy, że coś jest nie tak z podejściem, nie tylko z formatem.

Podejście partnerskie, nie podległościowe

Pełnomocnik z zewnątrz powinien traktować organizację jak partnera — znać jej ludzi, rozumieć jej ograniczenia, proponować rozwiązania dopasowane do możliwości. Nie może narzucać procedur skopiowanych z korporacyjnego szablonu, które w urzędzie gminy będą martwą literą.

Jednocześnie powinien mieć odwagę mówić rzeczy niewygodne. Jeśli wójt używa prywatnego pendrive'a z danymi mieszkańców, pełnomocnik powinien to zgłosić — uprzejmie, ale stanowczo. Partner, który zawsze przytakuje, nie chroni organizacji. Chroni swoją umowę.

Pułapki, na które trzeba uważać

Firma-słup — certyfikat bez pokrycia

Na rynku funkcjonują podmioty, które oferują „outsourcing pełnomocnika" sprowadzający się do podpisania umowy, przekazania szablonów dokumentacji i minimalnego kontaktu. Dokumenty wyglądają poprawnie — do czasu, gdy przyjdzie kontrola PUODO lub audyt certyfikujący ISO 27001 i okaże się, że polityki nie odzwierciedlają rzeczywistości organizacji, analiza ryzyka jest kopią z innej jednostki, a pracownicy nie pamiętają ostatniego szkolenia.

Zabezpieczenie: w umowie należy zawrzeć konkretne obowiązki — liczbę wizyt lub spotkań, wymóg personalizacji dokumentacji, obowiązek przeprowadzenia szkoleń z potwierdzeniem uczestnictwa.

Konflikt interesów — audytor i wdrożeniowiec w jednej osobie

Jeśli ta sama firma, która pełni funkcję pełnomocnika ds. bezpieczeństwa informacji, jednocześnie sprzedaje organizacji sprzęt IT, licencje oprogramowania lub inne usługi — powstaje konflikt interesów. Pełnomocnik powinien rekomendować rozwiązania najlepsze dla organizacji, nie dla własnego rachunku zysków i strat.

Nie oznacza to, że firma nie może świadczyć obu usług — ale granica musi być jasno wytyczona. Rekomendacje pełnomocnika powinny być niezależne od oferty handlowej firmy, a organizacja powinna mieć prawo do ich niezależnej weryfikacji.

Brak ciągłości — rotacja konsultantów

Outsourcing zakłada, że organizacja zyskuje stabilnego partnera. Jeśli co pół roku zmienia się osoba kontaktowa, wiedza o specyfice organizacji jest za każdym razem budowana od nowa. To nie tylko strata czasu — to ryzyko bezpieczeństwa, bo nowy konsultant nie zna historii incydentów, nie rozumie kontekstu wcześniejszych decyzji, nie orientuje się w niuansach lokalnej infrastruktury.

W umowie warto zastrzec minimalny okres ciągłości personelu kluczowego oraz procedurę przekazania wiedzy w przypadku zmiany.

Jak zabezpieczyć swój interes w umowie

Umowa z firmą zewnętrzną pełniącą funkcję pełnomocnika ds. bezpieczeństwa informacji powinna zawierać — poza standardowymi postanowieniami — kilka elementów specyficznych dla tego typu usługi.

Pierwszym jest precyzyjny zakres obowiązków z podziałem na zadania cykliczne (przeglądy, szkolenia, raporty) i reaktywne (obsługa incydentów, wsparcie przy kontroli). Drugim — mierzalne wskaźniki jakości usługi (KPI): liczba przeprowadzonych szkoleń, czas reakcji na incydent, terminowość raportów, odsetek zrealizowanych rekomendacji z poprzedniego przeglądu.

Trzecim elementem jest klauzula wyjścia — procedura zako&j�.�qaޙ[�XH��0����X�K�0�ܘHؙZ�]Z�H��Z�^�[�YH��\]�Z���[Y[�XښH֐�K�\ܝ0������Y�1!Y0����[�Z����[�[^��^�Z�HH�ޙ[�X�X]\�Xq�����]�ܞ�۞X���[XX�[[��K�ܙ�[�^�XژH�YH[�oH���q!��Z��Y�Z�Y[H��]��K�0�ܞH�X]�XH�Y[�XH��[Y[�XښH8�'�����\ޘH��\ۛ�f�!�[�[Z�X[�H����ޝ�\�[H8�%�Y���f�!�H���YY�X[��f�!ˈq���[�ۚZ���]۱!]��XH��1&\��Z��\��YZ�ܘqo]�X�[��ܛXXښH�ܙ�[�^�XښN��Z���X��f��XX� [��Y[�X� [�X���؛��X� �[[��H��[��H�X�^�Z��YH�Y�[��q!��\�YH�Y���f��K�Zܙ\����YY�X[��f��H�H�\�\ޙ[�XHHX�^�YXޙ[�YH�˂�����\��Z�]�Hܙ�[�^�XښH8�%��H��Z��YH��Z�Z�B�����Y�q&X�[ܜ�������q!Y���H1fܙY�YZ��Y[��f��K؜��Y�Z�!X�H

\�q&X�HZY\ޚ�qa�����X�Y��q���q&H�H�]��\��[��q���[�ۚZ�Hˈ�^�YXޙqa��H[��ܛXXښH�[K�Z��Y[�H[��ܛX]Z��ޙY1���Z�ܘH�]�]�Y�ˈ���H[�[8�% M����[�ZY\�q&Xޛ�YH��\���[HؙZ�]Z�!X�[H]Y]ܘK�]ۚZ�HH�Xژ[\�1&HU8�%ޝ��q��YH[��]��[Xq!��q!Y���f�!�֐�K[Hqo��Y����q!�ܙ�[�^�Xڱ&H��[[������T�L���[XX�Y���[YY���Y1o]K�Z�H�ޙqfۚYZ���^��Xޘ[���H]] ���\��!Y�Z[�H�q&X�[�XH�Y����[ZH�Y��[ZH8�%�fܛ��Y[H�[��H���Xޛ�Z��X�[�Z�!K�Z��Y[H����\��H��][�[�Z�ޚ���!HH�Z[��[H�fܛ��Y[H�[\�H8�%�[ZX\��^��Xޘq!�ޙqf��]H��&X��X�q���[�ۚZ�����X�Y��q��q&H�H[�[ܝ\��N��Y[�\��\��]۱&]���H؜��Y�Z�!X�H�q�!H��Z�\�&K�Y�Z���0�ڛ�H��[Y[�XژK�Y��]H���Y\�K��0���Hޚ��[�XHH��7��4�dność rzędu 40% w porównaniu z oddzielnym zatrudnieniem.

Spółka ciepłownicza, która przeszła audyt certyfikujący ISO 27001:2022, zdecydowała się na outsourcing pełnomocnika po certyfikacji — do utrzymania systemu i doskonalenia. Kluczowym kryterium wyboru było doświadczenie partnera w środowiskach OT, gdzie cykl aktualizacji mierzy się w latach, a okno serwisowe musi być zaplanowane z kilkutygodniowym wyprzedzeniem.

Jak Fib.Code realizuje tę usługę

Fib.Code oferuje outsourcing pełnomocnika ds. bezpieczeństwa informacji w modelu, który łączy stałą dostępność z multidyscyplinarnym zapleczem. Za każdą obsługiwaną organizacją stoi zespół: audytor bezpieczeństwa informacji, prawnik specjalizujący się w ochronie danych, specjalista IT z doświadczeniem w infrastrukturze JST i spółek komunalnych.

Pracujemy z samorządami, przedsiębiorstwami wodociągowymi, ciepłowniami, szkołami i jednostkami podległymi. Znamy systemy dziedzinowe, rozumiemy procedury zamówień publicznych, wiemy, że budżet na cyberbezpieczeństwo w małej gminie wygląda inaczej niż w spółce z sektora energetycznego — i potrafimy w ramach tego budżetu dostarczyć realną wartość.

Nasze warunki współpracy są transparentne: określony zakres, mierzalne KPI, jasna klauzula wyjścia, pełne przekazanie dokumentacji po zakończeniu umowy. Bo jeśli klient zostaje z uami — to dlatego, że chce, nie dlatego, że musi.

O modelu vCISO — wirtualnego dyrektora bezpieczeństwa, który stanowi rozszerzenie usługi pełnomocnika o komponent strategiczny — pisaliśmy szerzej w artykule vCISO — wirtualny dyrektor bezpieczeństwa.

Chętnie porozmawiamy o tym, jak możemy wesprzeć Państwa organizację: l.grabowski@fibcode.com | fibcode.com/pl/kontakt