REKLAMA

Rząd przyjął projekt ustawy o certyfikacji cyberbezpieczeństwa

Rada Ministrów przyjęła projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa przygotowany przez Ministerstwo Cyfryzacji. Przepisy umożliwią wydawanie europejskich i krajowych certyfikatów dla produktów, usług i procesów ICT. 

Możliwa będzie certyfikacja:

  • produktów i usług ICT,
  • procesów organizacyjnych,
  • usług związanych z zarządzaniem bezpieczeństwem,
  • systemów zarządzania cyberbezpieczeństwem,
  • osób spełniających wymogi określone w schematach certyfikacyjnych.

Certyfikacja będzie dobrowolna. Oznacza to, że firma może, ale nie musi przystąpić do procesu. Ustawa umożliwi wydawanie w Polsce europejskich certyfikatów, które będą automatycznie uznawane przez wszystkie państwa członkowskie Unii Europejskiej.

Jak podkreśla resort, dobrowolna certyfikacja ma zwiększyć bezpieczeństwo danych, wspierać rozwój technologii, ułatwiać udział w przetargach i potwierdzać odporność na cyberzagrożenia. Projekt przewiduje udział zarówno firm, jak i instytucji publicznych w ocenie zgodności oraz nadzór Ministra Cyfryzacji i Polskiego Centrum Akredytacji nad systemem.

Produkty, usługi, aplikacje i oprogramowanie z certyfikatem będą zawierać czytelną informację o poziomie ochrony danych i odporności na cyberataki. Konsument zyska możliwość świadomego wyboru – certyfikat stanie się gwarancją cyfrowego bezpieczeństwa.

Certyfikacja potwierdzi, że dane rozwiązanie spełnia wymagania w zakresie ochrony danych i odporności na zagrożenia. Umieszczone oznaczenie pomoże firmom budować reputację i wiarygodność – zarówno w relacjach z klientami, jak i partnerami biznesowymi.

Nowe przepisy mają zwiększyć bezpieczeństwo cyfrowe w całej Unii Europejskiej. System oparty na europejskim Akcie o cyberbezpieczeństwie umożliwi potwierdzenie, że dany produkt lub usługa spełnia określone standardy ochrony.

Według Ministerstwa Cyfryzacji certyfikacja pozwoli:

  • zwiększyć odporność cyfrową instytucji publicznych, firm i infrastruktury krytycznej,
  • budować zaufanie użytkowników do certyfikowanych rozwiązań,
  • wspierać rozwój nowoczesnych technologii w sektorze ICT.

Resort liczy też, że dzięki temu polskie firmy zyskają przewagę na rynku dzięki możliwości potwierdzenia jakości produktów i usług zgodnie z unijnymi wymaganiami. Certyfikaty będą respektowane także w przetargach publicznych instytucji krajów UE. Uproszczone procedury ułatwią konkurowanie certyfikowanych produktów na rynkach europejskich.

– Chcemy, żeby system certyfikacji cyberbezpieczeństwa był realnym wsparciem dla firm. Nie tworzymy dodatkowych barier, lecz warunki do rozwoju – zgodne z europejskimi standardami, a jednocześnie elastyczne i przyjazne rynkowo. Przejrzyste zasady i dobrowolność udziału to klucz do budowania zaufania, a także silnej pozycji polskich przedsiębiorstw w całej Unii Europejskiej – mówi wiceminister cyfryzacji Paweł Olszewski. 

Ustawa wprowadza jednolite zasady dla wszystkich podmiotów, np. NASK, które będą oceniać zgodność produktów z wymogami cyberbezpieczeństwa i wydawać certyfikaty. Dzięki temu, że europejskie certyfikaty będą ważne we wszystkich państwach członkowskich, polskie jednostki oceniające zgodność będą mogły przyciągnąć klientów z innych państw, w szczególności z Europy Środkowo-Wschodniej.

Przewidziano również możliwość tworzenia krajowych schematów certyfikacyjnych. W ich ramach możliwe będzie wydawanie polskich certyfikatów dla tych produktów i usług, które nie podlegają regulacjom unijnym. To rozwiązanie umożliwi promowanie wysokich standardów bezpieczeństwa także w obszarach nieobjętych prawem UE.

Firmy – na równi z instytucjami publicznymi – będą mogły wydawać certyfikaty na wszystkich poziomach bezpieczeństwa, także tych najwyższych. Ustawa nie wprowadza dodatkowych wymagań dla jednostek oceniających zgodność.

Zasady współpracy pomiędzy firmami a jednostkami certyfikującymi będą określane w umowach, które muszą zawierać:

  • zakres certyfikacji,
  • sposób ochrony danych i informacji poufnych,
  • zasady odpowiedzialności za opóźnienia.

Minister Cyfryzacji – we współpracy z Polskim Centrum Akredytacji – będzie czuwać nad funkcjonowaniem całego systemu certyfikacji. Będzie też odpowiedzialny za:

  • nadzór nad jednostkami certyfikującymi,
  • wyjaśnianie nieprawidłowości zgłoszonych przez obywateli,
  • kontrolę zgodności produktów z programami certyfikacyjnymi.

W przypadku europejskich certyfikatów najwyższego poziomu minister będzie mógł cofnąć certyfikat, jeśli badanie wykaże niespełnienie wymaganych standardów.