Jednym z priorytetów obecnego Ministerstwa Cyfryzacji jest przyjęcie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).
Mówił o tym m.in. w grudniu ub. r., krótko po otrzymaniu nominacji na szefa resortu, Krzysztof Gawkowski - obecny minister cyfryzacji.
Nowy projekt nowelizacji KSC do publicznych konsultacji ma trafić pod koniec tego miesiąca. Tak przynajmniej zapowiedział podczas odbywającego się w drugiej dekadzie marca Forum Gospodarczego TIME Łukasz Wojewoda, dyrektor Departamentu Bezpieczeństwa w Ministerstwie Cyfryzacji.
Warto przypomnieć, że temat nowelizacji ustawy o KSC ciągnie się od jesieni 2020 r, kiedy to pojawiła się pierwsza jej wersja, więc już blisko cztery lata. Potem było kilka kolejnych wersji projektu tej ustawy.
Proponowane przepisy budziły wiele kontrowersji, głównie ze względu na zapisy o dostawcach wysokiego ryzyka. Miały bowiem one dotknąć głównie chińskich dostawców, a emocje i spory wywoływały m.in takie kwestie jak konieczności usunięcie z sieci produktów dostawców wysokiego ryzyka. Przedsiębiorcy telekomunikacyjni obawiali się, że to może to być bardzo kosztowne.
Jednak nowelizowana ustawa regulowała też wiele innych, jak np. powołanie operatora strategicznej sieci bezpieczeństwa (OSSB), którym miał być Exatel.
Wystarczy tylko wspomnieć, że przedstawiona w połowie ubiegłego roku jej kolejna wersja liczyła ponad 100 stron, a więc była to już mała książka.
Jednym z obszarów, o którym było znacznie ciszej w dyskusji publicznej i medialnej nad nowelizacją KSB, a który ustawa miała regulować, było stworzenie krajowego systemu certyfikacji cyberbezpieczeństwa.
Mnogość obszarów, które wchodziły w zakres nowelizacji KSC utrudniała jednak procedowanie tego aktu, bo generowało to dyskusje dużej liczby interesariuszy. Dlatego jak zapowiada Łukasz Wojewoda- opis procedury certyfikacji rozwiązań teleinformatycznych ma znaleźć się w oddzielnym akcie prawnym.
Warto tu więc przypomnieć, że przedstawiony ponad pół roku temu projektu nowelizacji KSC przewidywał utworzenie krajowego systemu certyfikacji cyberbezpieczeństwa, w ramach którego miał zostać opracowany krajowy program certyfikacji cyberbezpieczeństwa.
Krajowy system certyfikacji cyberbezpieczeństwa ma obejmować:
- ministra właściwego do spraw informatyzacji, który sprawowałby nad nim nadzór,
- Polskie Centrum Akredytacji,
- jednostki oceniające zgodność prowadzące ocenę produktów, usług I lub procesów ICT w zakresie cyberbezpieczeństwa,
- dostawców produktów i usług lub procesów ICT, którzy poddają swoje wyroby ocenie.
Dedykowane programy certyfikacji cyberbezpieczeństwa miały zostać opracowane dla poszczególnych produktów, usług lub procesów ICT, z uwzględnieniem ich specyfiki.
Podmioty prywatne miały zostać objęte systemem wyłącznie na zasadzie dobrowolności – co dotyczyć miało zarówno jednostek oceniających, jak i wytwórców. System miał służyć realizacji zapisów unijnego Aktu o cyberbezpieczeństwie.
Zgodnie z planowanymi przepisami, Rada Ministrów miała mieć prawo wydać rozporządzenia określające krajowe programy certyfikacji oparte o programy europejskie. Ich celem miało być zapewnienie, by produkty, usługi i procesy ICT spełniały określone wymogi w zakresie dostępności, autentyczności, integralności i poufności danych, funkcji lub usług w trakcie ich całego cyklu życia.
Na odpowiedź, co z tego zostanie, a co się zmieni w nowym akcie prawnym regulującym te kwestie, trzeba jeszcze poczekać.
Kogo ma obejmować krajowy system certyfikacji cyberbezpieczeństwa:
żródło: NASK