Z ogromną uwagą śledzimy wszelkie inicjatywy legislacyjne mające na celu podniesienie poziomu cyberbezpieczeństwa w Polsce. Dlatego więc, z ogromną satysfakcją informujemy, że 29.04.2025 r. Rada Ministrów przyjęła projekt ustawy o Krajowym Systemie Certyfikacji Cyberbezpieczeństwa (KSCC). To ważny krok w kierunku ujednolicenia standardów bezpieczeństwa i zwiększenia odporności naszych cyfrowych zasobów.
Inicjatywa ma na celu poprawę standardów cyberbezpieczeństwa, zapobieganie fragmentaryzacji rynku w UE oraz dostarczanie konsumentom jasnych informacji o bezpieczeństwie produktów i usług. Ma również zachęcić polskich przedsiębiorców do pozyskiwania klientów z innych krajów Europy Środkowej, gdzie rynek certyfikacji cyberbezpieczeństwa jest mniej rozwinięty, a szczególności dążyć do:
- wspierania wytwarzania wysokiej jakości produktów ICT (Technologii Informacyjno-Komunikacyjnych), usług ICT, procesów ICT i usług zarządzanych w zakresie bezpieczeństwa
- budowania systemów zarządzania cyberbezpieczeństwem
- zapewnienia wykwalifikowanych specjalistów w obszarze cyberbezpieczeństwa
- zapewnienie spełniania przez produkty ICT, usługi ICT, procesy ICT i usługi zarządzane w zakresie bezpieczeństwa wymogów w zakresie ochrony dostępności, autentyczności, integralności i poufności przetwarzanych danych.
- zapewnienie bezpieczeństwa oferowanych lub dostępnych produktów ICT, usług ICT, procesów ICT i usług zarządzanych w zakresie bezpieczeństwa w trakcie ich całego cyklu życia.
Wobec powyższego, ustawa dotyczyć będzie dotyczyć głównie usług ICT, które są cyfrowymi usługami i usługami w zakresie danych, świadczonymi w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika (wewnętrznego lub zewnętrznego). Obejmują one zarówno sprzęt, oprogramowanie, sieci komunikacyjne, jak i związane z nimi usługi i aplikacje. Dostawcy ICT mogą oferować bardzo zróżnicowane usługi, w tym między innymi usługi chmurowe(Cloud Services), usługi hostingowe czy wsparcie techniczne (Help Desk).
Zgodnie z projektem krajowy system certyfikacji cyberbezpieczeństwa będzie obejmował następujące podmioty:
- ministra właściwego do spraw informatyzacji, który pełnić będzie rolę krajowego organu ds. certyfikacji cyberbezpieczeństwa, nadzorując cały system
- Polskie Centrum Akredytacji;
- jednostki oceniające zgodność;
- dostawców, którzy poddają swoje produkty ICT, usługi ICT, procesy ICT lub usługi zarządzane w zakresie bezpieczeństwa ocenie zgodności w ramach danego europejskiego programu certyfikacji cyberbezpieczeństwa albo danego krajowego schematu certyfikacji cyberbezpieczeństwa;
- osoby fizyczne, które poddają swoją wiedzę i umiejętności praktyczne ocenie zgodności w ramach danego krajowego schematu certyfikacji cyberbezpieczeństwa;
- a także podmioty, które poddają wykorzystywane przez siebie systemy zarządzania cyberbezpieczeństwem ocenie zgodności w ramach danego krajowego schematu certyfikacji cyberbezpieczeństwa.
Z kolei art.2.2 projektu ustawy, definiuje nam pojęcie certyfikacji, stanowiąc, że jest to potwierdzenie, że produkt ICT, usługa ICT, proces ICT, usługa zarządzana w zakresie bezpieczeństwa, osoba fizyczna lub system zarządzania cyberbezpieczeństwem spełniają wymogi określone w europejskim programie certyfikacji cyberbezpieczeństwa albo krajowym schemacie certyfikacji cyberbezpieczeństwa, które skutkuje wydaniem certyfikatu potwierdzającego zgodność z tymi wymogami. Po ustaleniu definicji oraz zakresu podmiotowego, kluczowym staje się, kto dokonywać będzie certyfikacji? Otóż, zgodnie z art. 16 projektu ustawy, upoważnionymi do certyfikacji będą jednostki oceniające zgodność, które muszą posiadać akredytację Polskiego Centrum Akredytacji (PCA) w odpowiednim zakresie. Z kolei nadzór nad całym krajowym systemem certyfikacji cyberbezpieczeństwa będzie sprawowany przez ministra właściwego do spraw informatyzacji. Ponadto to, będzie on uprawniony do przeprowadzania kontroli podmiotów wchodzących w skład systemu oraz do zatwierdzania wydawania europejskich certyfikatów cyberbezpieczeństwa o poziomie uzasadnienia zaufania „wysoki”. Minister będzie mieć również prawo zlecać badania certyfikowanych produktów i systemów, aby upewnić się, że spełniają one wymogi.
Projektowane przepisy przewidują, że certyfikacja produktów, usług i procesów ICT oraz zarządzanych usług ICT w obszarze bezpieczeństwa będzie miała charakter dobrowolny oraz będzie odbywać się na mocy umowy zawartej między dostawcą a jednostką oceniającą zgodność. Podstawę dla tej umowy stanowić będą wymogi określone w odpowiednim krajowym lub europejskim programie certyfikacji cyberbezpieczeństwa. Warto również zaznaczyć, że krajowe programy certyfikacji cyberbezpieczeństwa umożliwią certyfikowanie zarówno osób fizycznych, jak i systemów zarządzania cyberbezpieczeństwem. Wspomniany proces certyfikacji będzie mógł obejmować, w przypadku produktów, usług, procesów ICT lub systemów zarządzania cyberbezpieczeństwem, badanie dokumentacji technicznej, audyty, badanie konkretnych właściwości lub analizę ich funkcjonowania, a w przypadku osób fizycznych, przewidywany jest test wiedzy i umiejętności praktycznych z zakresu cyberbezpieczeństwa.
Co ważne, art.10 ust.1 projektu ustawy stanowi, że krajowy certyfikat będzie wydawany na okres nie krótszy niż 2 lata i nie dłuższy niż 5 lat i może zostać przedłużony, jeśli certyfikowany podmiot lub produkt nadal spełnia wymogi. A co jeżeli zostaną wykryte niezgodności po certyfikacji? W tej sytuacji posiadacz certyfikatu będzie miał 14 dni na przedstawienie propozycji działań zaradczych i 2 miesiące na usunięcie niezgodności, zanim certyfikat zostanie cofnięty. To rozwiązanie ma na celu wspieranie ciągłego doskonalenia, a nie natychmiastowe sankcjonowanie.
A zatem, co konkretnie ustawa oznacza dla przedsiębiorców, administracji publicznej i obywateli? Zanurzmy się w szczegóły i odpowiedzmy sobie na pytanie dlaczego w ogóle potrzebujemy krajowego systemu certyfikacji cyberbezpieczeństwa? W dobie nieustannie rosnącej liczby i złożoności cyberzagrożeń, kluczowe staje się posiadanie mechanizmów, które pozwolą na wiarygodną ocenę poziomu bezpieczeństwa produktów, usług i procesów. Dotychczasowy brak spójnego systemu certyfikacji w Polsce utrudniał identyfikację bezpiecznych rozwiązań i budowanie zaufania w cyfrowym świecie. Przyjęty projekt ustawy ma na celu wypełnienie tej luki, a więc, jakie rozwiązania przyniosą nowe przepisy.
✔️Certyfikowane cyberbezpieczeństwo
Certyfikat będzie dowodem, że dany produkt lub usługa spełnia konkretne wymogi bezpieczeństwa, co przełoży się na lepszą ochronę przed cyberzagrożeniami dla podmiotów publicznych i prywatnych oraz na większą pewność użytkowników, co do bezpieczeństwa wybieranych rozwiązań oraz wsparcie dla rozwoju branży ICT.
✔️Wzmocnienie pozycji na rynku
Należy zaznaczyć, że certyfikat cyberbezpieczeństwa to nie tylko pieczęć bezpieczeństwa, ale też klucz do nowych możliwości biznesowych. Firmy, które zdecydują się na certyfikację, zyskają mocniejszą pozycję na rynku, wyróżniając się na tle konkurencji. Co więcej, spełnienie europejskich standardów otworzy im drzwi do międzynarodowych projektów w dynamicznie rozwijających się sektorach, takich jak technologie informacyjne, komunikacja cyfrowa czy sztuczna inteligencja. Certyfikować będzie można różnorodne aspekty działalności – od konkretnych produktów i usług IT, przez wewnętrzne procesy i systemy zarządzania bezpieczeństwem, aż po kompetencje specjalistów. Choć decyzja o certyfikacji jest dobrowolna, to dzięki ustawie polskie firmy będą mogły uzyskiwać europejskie certyfikaty, honorowane w całej Unii Europejskiej, co znacząco ułatwi im ekspansję zagraniczną.
✔️Te same zasady certyfikacji
Co istotne, firmy z sektora prywatnego uzyskają takie same uprawnienia jak instytucje publiczne w zakresie wydawania certyfikatów bezpieczeństwa na wszystkich poziomach. Ponadto nie przewidziano żadnych specjalnych, dodatkowych wymagań dla podmiotów oceniających zgodność. Relacje między firmami a jednostkami certyfikującymi będą opierać się na jasnych umowach, które precyzyjnie określą, co będzie certyfikowane, jak będą chronione dane i kto odpowiada za ewentualne problemy z terminowością.
✔️Bezpieczeństwo pod lupą
Jak wspomniano, nadzór nad funkcjonowaniem systemu certyfikacji cyberbezpieczeństwa będzie sprawowany przez Ministra Cyfryzacji, wspieranego przez Polskie Centrum Akredytacji, zatem to oni będą odpowiedzialni za nadzorowanie pracy jednostek certyfikujących, wyjaśnianie wszelkich wątpliwości zgłaszanych przez użytkowników oraz weryfikowanie, czy certyfikowane produkty są zgodne z ustalonymi programami. Co istotne, w odniesieniu do europejskich certyfikatów o najwyższym poziomie bezpieczeństwa, minister ma uprawnienie do cofnięcia certyfikatu, jeśli przeprowadzona kontrola ujawni niespełnienie niezbędnych wymogów.
Podsumowując, wprowadzenie krajowego systemu certyfikacji cyberbezpieczeństwa to istotny krok naprzód w budowaniu bezpieczniejszej i bardziej zaufanej przestrzeni cyfrowej w Polsce. Ustawa przyniesie korzyści zarówno dla przedsiębiorców, zwiększając ich konkurencyjność i otwierając nowe rynki, jak i dla konsumentów, którzy zyskają jasne informacje ułatwiające im podejmowanie bezpiecznych decyzji. Nadzór nad systemem zapewni jego wiarygodność i skuteczność. Zachęcamy do śledzenia dalszych losów tej ważnej inicjatywy, która ma potencjał znacząco podnieść poziom naszego cyberbezpieczeństwa.
Przyjęte regulacje mają wejść w życie po miesiącu od ogłoszenia w Dzienniku Ustaw.
Projekt ustawy dostępny pod linkiem.
