Prezydent Andrzej Duda podpisał 23 lipca ustawę o krajowym systemie certyfikacji cyberbezpieczeństwa
Określa ona organizację krajowego systemu certyfikacji cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu, w tym sposób sprawowania nadzoru nad działalnością podmiotów tego systemu, kontroli działalności tych podmiotów oraz koordynacji ich działalności. Ustawa zmierza ponadto do podniesienia poziomu odporności systemów informacyjnych administracji publicznej i sektora prywatnego oraz osiągnięcia zdolności do skutecznego zapobiegania i reagowania na incydenty.
Zgodnie z ustawą krajowy certyfikat będzie mógł być wydany dla produktu ICT, usługi ICT, procesu ICT, usługi zarządzanej w zakresie bezpieczeństwa, systemu zarządzania cyberbezpieczeństwem, który zapewnia dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych bądź udostępnianych funkcji lub usług na poziomie odpowiednim do potencjalnych cyberzagrożeń oraz minimalizuje znane ryzyka w zakresie cyberzagrożeń. W związku z tym posiadanie takiego certyfikatu będzie stanowiło gwarancję odpowiedniego poziomu ochrony.
Certyfikacja produktów ICT, usług ICT, procesów ICT i usług zarządzanych w zakresie bezpieczeństwa będzie odbywać się dobrowolnie, na podstawie umowy zawartej między dostawcą a jednostką oceniającą zgodność
Istotną rolę w krajowym systemie certyfikacji cyberbezpieczeństwa ma odgrywać Polskie Centrum Akredytacji, które będzie sprawowało nadzór w zakresie udzielonej akredytacji nad jednostkami oceniającymi zgodność w obszarze objętym danym europejskim programem certyfikacji cyberbezpieczeństwa albo danym krajowym schematem certyfikacji cyberbezpieczeństwa.
Ustawa wejdzie w życie po upływie 30 dni od dnia ogłoszenia.
