Pod koniec ubiegłego roku Ministerstwo Cyfryzacji przedstawiło nową wersję projektu ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa. Jej celem jest dostosowanie polskiego prawa do wymogów wynikających z unijnego aktu o cyberbezpieczeństwie (Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie unijnej agencji ds. cyberbezpieczeństwa (ENISA) oraz certyfikacji cyberbezpieczeństwa technologii informacyjno-komunikacyjnych). Jest to kluczowy dokument, którego celem jest wzmocnienie cyberbezpieczeństwa na obszarze Unii Europejskiej.
Działania te mają również pobudzić rozwój rynku certyfikacji cyberbezpieczeństwa w Polsce, zwiększając dostępność bezpiecznych produktów, usług i procesów ICT oraz budując zaufanie konsumentów.
Kluczowe założenia ustawy
Projekt ustawy definiuje organizację krajowego systemu certyfikacji cyberbezpieczeństwa, zadania i obowiązki podmiotów wchodzących w skład tego systemu, a także zasady nadzoru i kontroli przestrzegania przepisów. Do systemu należeć będą m.in.:
- Polskie Centrum Akredytacji;
- Minister właściwy do spraw informatyzacji;
- jednostki oceniające zgodność;
- przedsiębiorcy, którzy będą certyfikować swoje produkty.
Co istotne, uczestnictwo w systemie ma charakter dobrowolny – obowiązki wynikające z ustawy dotyczyć będą jedynie podmiotów, które zdecydują się poddać certyfikacji.
Unijny akt o cyberodporności
Warto jednak zauważyć, że w niedalekiej przyszłości wejdzie w życie unijny Cyber Resilience Act (akt o cyberodporności), który wprowadzi obowiązkową certyfikację dla wybranych kategorii produktów, takich jak routery, inteligentne urządzenia domowe czy systemy zarządzania sieciami. Nowe przepisy zaczną obowiązywać pod koniec 2027 roku, a ich celem jest zwiększenie bezpieczeństwa cyfrowego na poziomie całej Unii Europejskiej.
Znaczenie certyfikatów
Zdaniem ustawodawcy certyfikaty cyberbezpieczeństwa mogą już wcześniej odegrać kluczową rolę w wyborach konsumenta, stając się gwarantem jakości i bezpieczeństwa produktów oraz usług ICT. Wprowadzenie wizualnego oznaczenia certyfikowanych rozwiązań zapewni konsumentom czytelne informacje o ich bezpieczeństwie.
Jak podkreślono w uzasadnieniu projektu ustawy:
"Przyjęcie przepisów w zakresie certyfikacji cyberbezpieczeństwa przyczyni się do wzrostu świadomości wśród przedsiębiorców, skłaniając ich do stosowania bezpieczniejszych rozwiązań. W dłuższej perspektywie zwiększy to poziom bezpieczeństwa obywateli."
Nadzór i kontrola
Nadzór nad krajowym systemem certyfikacji ma sprawować Minister Cyfryzacji. Będzie on odpowiedzialny za prowadzenie postępowań administracyjnych, takich jak:
- wyrażania zgody na wydanie europejskich certyfikatów odwołujących się do poziomu zaufania „wysoki”;
- wydawania zezwoleń na prowadzenie oceny zgodności w przypadku, gdy program certyfikacyjny określa szczególne wymagania dla jednostek oceniających;
- cofania i ograniczania zezwoleń na prowadzenie oceny zgodności w przypadku, gdy program certyfikacyjny określa szczególne wymagania dla jednostek oceniających zgodność;
- cofania certyfikatu odwołującego się do poziomu uzasadnienia zaufania „wysoki” wydanego wbrew przepisom rozporządzenia 2019/88 lub ustawy lub wbrew postanowieniom programu certyfikacyjnego;
- nakładania kar pieniężnych.
Minister będzie mógł także korzystać z wiedzy ekspertów zewnętrznych, w tym instytutów badawczych, takich jak NASK czy Instytut Łączności.
Akredytacja i sankcje
Jednostki chcące prowadzić badania produktów, usług i procesów ICT będą musiały uzyskać akredytację Polskiego Centrum Akredytacji. Projekt ustawy przewiduje kary administracyjne dla podmiotów dokonujących oceny zgodności bez odpowiedniej akredytacji lub utrudniających przeprowadzanie kontroli. Dochody z kar zasilą Fundusz Cyberbezpieczeństwa.
Harmonogram wdrożenia
Zgodnie z projektem, ustawa wejdzie w życie miesiąc po jej ogłoszeniu. Ustawodawca podkreśla, że taki okres pozwoli wszystkim zainteresowanym podmiotom na zapoznanie się z nowymi regulacjami i przygotowanie się do ich stosowania.
Obecnie projekt jest po etapie opiniowania, konsultacji publicznych oraz uzgodnień. Został przyjęty przez Komitet do Spraw Europejskich i wkrótce trafi pod obrady rządu, a następnie do Sejmu.
