Rada Ministrów przyjęła projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa przygotowany przez Ministerstwo Cyfryzacji. Przepisy umożliwią wydawanie europejskich i krajowych certyfikatów dla produktów, usług i procesów ICT.
Możliwa będzie certyfikacja:
- produktów i usług ICT,
- procesów organizacyjnych,
- usług związanych z zarządzaniem bezpieczeństwem,
- systemów zarządzania cyberbezpieczeństwem,
- osób spełniających wymogi określone w schematach certyfikacyjnych.
Certyfikacja będzie dobrowolna. Oznacza to, że firma może, ale nie musi przystąpić do procesu. Ustawa umożliwi wydawanie w Polsce europejskich certyfikatów, które będą automatycznie uznawane przez wszystkie państwa członkowskie Unii Europejskiej.
Jak podkreśla resort, dobrowolna certyfikacja ma zwiększyć bezpieczeństwo danych, wspierać rozwój technologii, ułatwiać udział w przetargach i potwierdzać odporność na cyberzagrożenia. Projekt przewiduje udział zarówno firm, jak i instytucji publicznych w ocenie zgodności oraz nadzór Ministra Cyfryzacji i Polskiego Centrum Akredytacji nad systemem.
Produkty, usługi, aplikacje i oprogramowanie z certyfikatem będą zawierać czytelną informację o poziomie ochrony danych i odporności na cyberataki. Konsument zyska możliwość świadomego wyboru – certyfikat stanie się gwarancją cyfrowego bezpieczeństwa.
Certyfikacja potwierdzi, że dane rozwiązanie spełnia wymagania w zakresie ochrony danych i odporności na zagrożenia. Umieszczone oznaczenie pomoże firmom budować reputację i wiarygodność – zarówno w relacjach z klientami, jak i partnerami biznesowymi.
Nowe przepisy mają zwiększyć bezpieczeństwo cyfrowe w całej Unii Europejskiej. System oparty na europejskim Akcie o cyberbezpieczeństwie umożliwi potwierdzenie, że dany produkt lub usługa spełnia określone standardy ochrony.
Według Ministerstwa Cyfryzacji certyfikacja pozwoli:
- zwiększyć odporność cyfrową instytucji publicznych, firm i infrastruktury krytycznej,
- budować zaufanie użytkowników do certyfikowanych rozwiązań,
- wspierać rozwój nowoczesnych technologii w sektorze ICT.
Resort liczy też, że dzięki temu polskie firmy zyskają przewagę na rynku dzięki możliwości potwierdzenia jakości produktów i usług zgodnie z unijnymi wymaganiami. Certyfikaty będą respektowane także w przetargach publicznych instytucji krajów UE. Uproszczone procedury ułatwią konkurowanie certyfikowanych produktów na rynkach europejskich.
– Chcemy, żeby system certyfikacji cyberbezpieczeństwa był realnym wsparciem dla firm. Nie tworzymy dodatkowych barier, lecz warunki do rozwoju – zgodne z europejskimi standardami, a jednocześnie elastyczne i przyjazne rynkowo. Przejrzyste zasady i dobrowolność udziału to klucz do budowania zaufania, a także silnej pozycji polskich przedsiębiorstw w całej Unii Europejskiej – mówi wiceminister cyfryzacji Paweł Olszewski.
Ustawa wprowadza jednolite zasady dla wszystkich podmiotów, np. NASK, które będą oceniać zgodność produktów z wymogami cyberbezpieczeństwa i wydawać certyfikaty. Dzięki temu, że europejskie certyfikaty będą ważne we wszystkich państwach członkowskich, polskie jednostki oceniające zgodność będą mogły przyciągnąć klientów z innych państw, w szczególności z Europy Środkowo-Wschodniej.
Przewidziano również możliwość tworzenia krajowych schematów certyfikacyjnych. W ich ramach możliwe będzie wydawanie polskich certyfikatów dla tych produktów i usług, które nie podlegają regulacjom unijnym. To rozwiązanie umożliwi promowanie wysokich standardów bezpieczeństwa także w obszarach nieobjętych prawem UE.
Firmy – na równi z instytucjami publicznymi – będą mogły wydawać certyfikaty na wszystkich poziomach bezpieczeństwa, także tych najwyższych. Ustawa nie wprowadza dodatkowych wymagań dla jednostek oceniających zgodność.
Zasady współpracy pomiędzy firmami a jednostkami certyfikującymi będą określane w umowach, które muszą zawierać:
- zakres certyfikacji,
- sposób ochrony danych i informacji poufnych,
- zasady odpowiedzialności za opóźnienia.
Minister Cyfryzacji – we współpracy z Polskim Centrum Akredytacji – będzie czuwać nad funkcjonowaniem całego systemu certyfikacji. Będzie też odpowiedzialny za:
- nadzór nad jednostkami certyfikującymi,
- wyjaśnianie nieprawidłowości zgłoszonych przez obywateli,
- kontrolę zgodności produktów z programami certyfikacyjnymi.
W przypadku europejskich certyfikatów najwyższego poziomu minister będzie mógł cofnąć certyfikat, jeśli badanie wykaże niespełnienie wymaganych standardów.