Obecny rząd zdecydował, że kwestia organizacji systemu certyfikacji cyberbezpieczeństwa w Polsce zostanie wyłączona z nowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa i regulować ją będzie oddzielny akt prawny.
I rzeczywiście, kilka dni temu, w wykazie prac legislacyjnych Rady Ministrów pojawił się projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa, który ma stanowić uzupełnienie do KSC. Projektodawcą jest resort cyfryzacji, a planowany termin przyjęcia tego aktu prawnego przez rząd to trzeci kwartał 2024 r.
Projektowane przepisy mają m.in. na celu:
- ustanowienie procedur niezbędnych do zapewnienia prawidłowości procesów certyfikacyjnych,
- określić sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy oraz rozporządzenia Parlamentu Europejskiego i Rady UE w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa
- określić sposób certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych.
Rolę krajowego organu do spraw certyfikacji cyberbezpieczeństwa pełnić będzie minister właściwy do spraw informatyzacji. Odpowiedzialny za niego jest wiceminister cyfryzacji Paweł Olszewski. Do jego zadań należeć będzie sprawowanie nadzoru nad przestrzeganiem europejskich i krajowych przepisów w zakresie certyfikacji cyberbezpieczeństwa.
W tym celu zostanie on wyposażony w szereg niezbędnych do tego kompetencji i narzędzi prawnych. Będzie m.in. przeprowadzał kontrolę w podmiotach należących do krajowego systemu certyfikacji cyberbezpieczeństwa. Będzie też dysponował uprawnieniami do uzyskiwania od tych podmiotów informacji związanych z certyfikowanymi produktami. W zakresie certyfikatów odwołujących się do poziomu zaufania „wysoki” będzie również zatwierdzał każdy wydany certyfikat.
Wszystko to koresponduje z zadaniami, jakie wyznacza mu ustawa o krajowym systemie cyberbezpieczeństwa.
Istotną rolę w krajowym systemie certyfikacji cyberbezpieczeństwa będzie pełniło również Polskie Centrum Akredytacji (PCA). Będzie ono nadzorowało akredytowane podmioty.
Wiadomo też, że będą kary administracyjne za niezrealizowanie określonych obowiązków np. za brak przekazania ministrowi właściwemu do spraw informatyzacji przez podmioty do tego zobowiązane informacji w odpowiednim terminie.
Jak podkreśla resort cyfryzacji, prowadzone kontrole oraz nakładane kary mają zapewnić wysoki poziom certyfikowanych produktów ICT, usług ICT i procesów ICT.
Bardziej dokładne założenia projektu ustawy certyfikacyjnej nie są jeszcze znane.
