e-prawnik.pl poradnik prawa

Ramy prawne dla certyfikacji cyberbezpieczeństwa

Rządowy projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa dotyczy organizacji systemu certyfikacji cyberbezpieczeństwa w Polsce, w szczególności ustanowienia procedur niezbędnych do zapewnienia prawidłowości procesów certyfikacyjnych oraz określenia sposobu sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy.

Ramy prawne dla certyfikacji cyberbezpieczeństwa

W Sejmie jest rządowy projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa przygotowany przez Ministerstwo Cyfryzacji. Przepisy umożliwią wydawanie europejskich i krajowych certyfikatów dla produktów, usług i procesów ICT. Dobrowolna certyfikacja jest zgodna z unijnymi standardami. Ma zwiększyć bezpieczeństwo danych, wspierać rozwój technologii, ułatwiać udział w przetargach i potwierdzać odporność na cyberzagrożenia. Projekt przewiduje udział zarówno firm, jak i instytucji publicznych w ocenie zgodności oraz nadzór Ministra Cyfryzacji i Polskiego Centrum Akredytacji nad systemem.

Porady prawne

– "Cyberbezpieczeństwo to dziś fundament zaufania w cyfrowym świecie. Nowe prawo, które przygotowaliśmy, to nie tylko narzędzie ochrony – to także impuls dla rozwoju technologii, konkurencyjności i odporności państwa. Tworzymy jasne i równe zasady, które pozwolą firmom budować wiarygodność, a obywatelkom i obywatelom – korzystać z bezpiecznych rozwiązań cyfrowych" – mówił wicepremier i minister cyfryzacji Krzysztof Gawkowski.

Projekt dostosowuje polskie prawo do unijnych przepisów w sprawie ram certyfikacji cyberbezpieczeństwa. Chodzi także o podniesienie poziomu odporności systemów informacyjnych administracji publicznej i sektora prywatnego oraz zwiększenie zdolności do skutecznego zapobiegania i reagowania na incydenty, w związku z korzystaniem z certyfikowanych produktów i usług.

W ostatnich latach znacząco wzrosła rola sieci i systemów teleinformatycznych dla współczesnej gospodarki. Coraz istotniejsze jest także zapewnienie bezpieczeństwa produktów i usług funkcjonujących w cyberprzestrzeni. Dlatego w UE wprowadzone zostaną jednolite zasady przyznawania certyfikatów cyberbezpieczeństwa. Ich wzajemne uznawanie w państwach członkowskich zapewni, że przedsiębiorstwa będą w stanie lepiej zabezpieczyć swoje interesy w cyberprzestrzeni. Wzajemne uznawanie certyfikatów zapewni im także lepszą pozycję w konkurencji na rynku europejskim.

Nowe przepisy dadzą polskim przedsiębiorcom szansę na zwiększenie rozpoznawalności swoich produktów i usług oraz pozyskanie klientów z sąsiednich krajów zainteresowanych certyfikacją swoich produktów.

Przyjęte przez Radę Ministrów rozwiązania obejmują organizację systemu certyfikacji cyberbezpieczeństwa w Polsce. Ustanowione zostaną procedury niezbędnych do zapewnienia prawidłowości procesów certyfikacyjnych. Stworzone zostają podstawy do tworzenia krajowych schematów certyfikacji cyberbezpieczeństwa.

Krajowe schematy certyfikacji cyberbezpieczeństwa będą mogły dotyczyć również systemów zarządzania cyberbezpieczeństwem oraz osób. Dzięki temu przedsiębiorcy dostaną możliwość uzyskania certyfikatu na cały stosowany u siebie system zarządzania cyberbezpieczeństwem.

Z kolei certyfikaty dla poszczególnych osób, pozwolą w sposób bezstronny potwierdzić posiadane kompetencje dotyczące cyberbezpieczeństwa oraz wyróżnić się na rynku. Kontrolę w podmiotach należących do krajowego systemu certyfikacji cyberbezpieczeństwa będzie przeprowadzał Minister Cyfryzacji. Istotną rolę będzie odgrywało również Polskie Centrum Akredytacji (PCA), które będzie nadzorowało akredytowane podmioty.

Zaproponowane rozwiązania doprowadzą do rozwoju rynku certyfikacji cyberbezpieczeństwa w Polsce, a przez to do zwiększenia bezpieczeństwa w tej dziedzinie. Nowe przepisy mają ułatwić także przedsiębiorstwom konkurowanie na unijnym rynku.

Przyjęte regulacje mają wejść w życie po miesiącu od ogłoszenia w Dzienniku Ustaw.

Certyfikat cyberbezpieczeństwa – zaufanie i odporność

Nowe przepisy mają zwiększyć bezpieczeństwo cyfrowe w całej Unii Europejskiej. System oparty na europejskim Akcie o cyberbezpieczeństwie umożliwi potwierdzenie, że dany produkt lub usługa spełnia określone standardy ochrony. 

Certyfikacja pozwoli: 

  • zwiększyć odporność cyfrową instytucji publicznych, firm i infrastruktury krytycznej, 

  • budować zaufanie użytkowników do certyfikowanych rozwiązań, 

  • wspierać rozwój nowoczesnych technologii w sektorze ICT. 

Jasne oznaczenie cyberbezpieczeństwa dla użytkowników

Produkty, usługi, aplikacje i oprogramowanie z certyfikatem będą zawierać czytelną informację o poziomie ochrony danych i odporności na cyberataki. Konsument zyska możliwość świadomego wyboru – certyfikat stanie się gwarancją cyfrowego bezpieczeństwa. 

Certyfikacja potwierdzi, że dane rozwiązanie spełnia wymagania w zakresie ochrony danych i odporności na zagrożenia. Umieszczone oznaczenie pomoże firmom budować reputację i wiarygodność – zarówno w relacjach z klientami, jak i partnerami biznesowymi.  

Przewaga konkurencyjna i nowe możliwości

Firmy posiadające certyfikat będą mogły skuteczniej rywalizować na rynku. Spełnienie wymogów europejskich otwiera dostęp do nowych rynków i projektów w branży ICT, komunikacji cyfrowej czy sztucznej inteligencji. 

Możliwa będzie certyfikacja: 

  • produktów i usług ICT, 

  • procesów organizacyjnych, 

  • usług związanych z zarządzaniem bezpieczeństwem, 

  • systemów zarządzania cyberbezpieczeństwem, 

  • osób spełniających wymogi określone w schematach certyfikacyjnych. 

Certyfikacja jest dobrowolna. Oznacza to, że firma może, ale nie musi przystąpić do procesu. Ustawa umożliwi wydawanie w Polsce europejskich certyfikatów, które będą automatycznie uznawane przez wszystkie państwa członkowskie Unii Europejskiej. 

Prostszy dostęp do unijnego rynku

Polskie firmy zyskają przewagę na rynku dzięki możliwości potwierdzenia jakości produktów i usług zgodnie z unijnymi wymaganiami. Certyfikaty będą respektowane także w przetargach publicznych instytucji krajów UE. Uproszczone procedury ułatwią konkurowanie certyfikowanych produktów na rynkach europejskich. 

– "Chcemy, żeby system certyfikacji cyberbezpieczeństwa był realnym wsparciem dla firm. Nie tworzymy dodatkowych barier, lecz warunki do rozwoju – zgodne z europejskimi standardami, a jednocześnie elastyczne i przyjazne rynkowo. Przejrzyste zasady i dobrowolność udziału to klucz do budowania zaufania, a także silnej pozycji polskich przedsiębiorstw w całej Unii Europejskiej" – mówił wiceminister cyfryzacji Paweł Olszewski. 

Nowe szanse dla krajowego rynku certyfikacji

Ustawa wprowadza jednolite zasady dla wszystkich podmiotów, np. NASK, które będą oceniać zgodność produktów z wymogami cyberbezpieczeństwa i wydawać certyfikaty. Dzięki temu, że europejskie certyfikaty będą ważne we wszystkich państwach członkowskich, polskie jednostki oceniające zgodność będą mogły przyciągnąć klientów z innych państw, w szczególności z Europy Środkowo-Wschodniej.  

Przewidziano również możliwość tworzenia krajowych schematów certyfikacyjnych. W ich ramach możliwe będzie wydawanie polskich certyfikatów dla tych produktów i usług, które nie podlegają regulacjom unijnym. To rozwiązanie umożliwi promowanie wysokich standardów bezpieczeństwa także w obszarach nieobjętych prawem UE. 

Ułatwienia dla firm i konsumentów

Krajowy certyfikat: 

  • zwiększy wiarygodność firmy na rynku, 

  • ułatwi decyzje zakupowe konsumentom, 

  • będzie mógł być wymagany w przetargach publicznych i projektach partnerstwa publiczno-prywatnego. 

Koszty badań laboratoryjnych potrzebnych do uzyskania certyfikatu ponosi przedsiębiorca. Jednak sama ustawa nie reguluje kwestii cen, co zapewni konkurencyjność i elastyczność ofert rynkowych. 

Równe zasady dla sektora publicznego i prywatnego

Firmy – na równi z instytucjami publicznymi – będą mogły wydawać certyfikaty na wszystkich poziomach bezpieczeństwa, także tych najwyższych. Ustawa nie wprowadza dodatkowych wymagań dla jednostek oceniających zgodność. 

Zasady współpracy pomiędzy firmami a jednostkami certyfikującymi będą określane w umowach, które muszą zawierać: 

  • zakres certyfikacji, 

  • sposób ochrony danych i informacji poufnych, 

  • zasady odpowiedzialności za opóźnienia. 

Nadzór i odpowiedzialność

Minister Cyfryzacji – we współpracy z Polskim Centrum Akredytacji – będzie czuwać nad funkcjonowaniem całego systemu certyfikacji. Będzie też odpowiedzialny za: 

  • nadzór nad jednostkami certyfikującymi, 

  • wyjaśnianie nieprawidłowości zgłoszonych przez obywateli, 

  • kontrolę zgodności produktów z programami certyfikacyjnymi. 

W przypadku europejskich certyfikatów najwyższego poziomu minister będzie mógł cofnąć certyfikat, jeśli badanie wykaże niespełnienie wymaganych standardów. 

Nowa ustawa – impuls dla cyfrowego bezpieczeństwa Polski

Ustawa będzie stanowić fundament dla wzmocnienia krajowego systemu cyberbezpieczeństwa - połączy interesy firm, konsumentów i administracji. Z jednej strony wesprze rozwój innowacyjnych rozwiązań cyfrowych, z drugiej – pozwoli lepiej chronić dane i wzmacniać zaufanie do usług cyfrowych. 

Udostępnij

A.J.
Zespół e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

    Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!

Potrzebujesz pomocy prawnej?

Zapytaj prawnika