Na początku maja 2025 r. do Sejmu wpłynął rządowy projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa. To nie tylko reakcja na europejskie przepisy (konkretnie – Rozporządzenie UE 2019/881), ale też szansa na uporządkowanie rynku, który dziś bywa nieprzejrzysty i oparty na zaufaniu do „logotypu”.
Po co nam system certyfikacji cyberbezpieczeństwa?
Do tej pory nie istniały w Polsce przepisy, które regulowałyby certyfikację z zakresu cyberbezpieczeństwa. Owszem, rynek oferuje możliwość uzyskania różnego rodzaju certyfikatów z zakresu cyber, ale są to certyfikaty prywatne, gdzie każdy właściciel „programu certyfikacyjnego” ustala własne zasady. Nie podważając sensu i wartości merytorycznej tego rodzaju certyfikatów, trzeba pamiętać, że brak jednolitych zasad/kryteriów certyfikacji może – przynajmniej w części przypadków – rodzić pytania, na ile można na takich certyfikatach polegać. Dlatego cieszy fakt, że niebawem pojawią się przepisy ustawowe w tym zakresie.
Co się zmieni w praktyce?
Wejście w życie przepisów o certyfikacji z zakresu cyberbezpieczeństwa nie spowoduje, że nie będzie już można wydawać certyfikatów prywatnych. One nadal pozostaną i osoby/podmioty zainteresowane będą mogły kontynuować ich wydawanie czy też ubieganie się o nie. Obok certyfikatów prywatnych pojawi się jednak dodatkowo możliwość certyfikacji przez jednostki akredytowane w ramach prawnych ustanowionych przez państwo. Co istotne, nowe przepisy nie nakładają żadnych dodatkowych obowiązków na podmioty niezainteresowane uczestnictwem w systemie certyfikacji.
Jakie będą poziomy certyfikacji?
Certyfikaty będą mogły być przyznawane w ramach europejskich programów certyfikacji (mamy obecnie EUCC czyli European Cybersecurity Scheme on Common Criteria, który może być stosowany do produktów ICT takich jak sprzęt czy oprogramowanie; w opracowaniu są natomiast kolejne programy adresowane dla 5G i usług chmurowych) oraz – uzupełniająco – krajowych schematów certyfikacji, które będą tworzone w drodze rozporządzeń ministra właściwego ds. informatyzacji. Na poziomie europejskim obowiązywać będzie trójstopniowa klasyfikacja (wg. poziomów zaufania: podstawowy, istotny/znaczący i wysoki), natomiast na poziomie krajowym klasyfikacja ma być jednostopniowa.
Europejskie programy certyfikacji będą dotyczyć przede wszystkim produktów, usług i procesów ICT, a wydawane w ich ramach certyfikaty będą automatycznie uznawane na terenie całej Unii Europejskiej.
Krajowe certyfikaty będą mogły być wydawane nie tylko odnośnie produktów, usług i procesów ICT, ale także odnośnie systemu zarządzania cyberbezpieczeństwem w danym podmiocie (jako całości) czy też osobistych kwalifikacji osób fizycznych.
Jak będzie wyglądać system certyfikacji?
W projekcie ustawy przewidziano, że w systemie certyfikacji będą uczestniczyć:
- minister właściwy ds. informatyzacji (odpowiedzialny m.in. za tworzenie krajowych schematów, nadzór i kontrolę),
- Polskie Centrum Akredytacji (odpowiedzialne za udzielanie akredytacji jednostkom oceniającym zgodność),
- jednostki oceniające czyli jednostki certyfikujące, w tym także firmy prywatne,
- przedsiębiorcy i osoby fizyczne, które chcą poddać się certyfikacji.
Kiedy przepisy o certyfikacji wejdą w życie?
Projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa wyprzedził co prawda w wyścigu legislacyjnym planowaną nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (implementującą dyrektywę NIS2), lecz na jego uchwalenie będziemy musieli jeszcze chwilę poczekać. Obecnie został skierowany do komisji sejmowych, a następnie przejść musi całą procedurę ustawodawczą w Sejmie i Senacie. Realnie, powinien pojawić się na przełomie Q2/Q3 2025.
Autor: r.pr. Piotr Grzelczak, Kancelaria Prawna GFP_Legal (Grzelczak Fogel i Partnerzy sp.p.)
