Rządowy projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa trafił do Sejmu

Certyfikat cyberbezpieczeństwa pod nadzorem Ministerstwa Cyfryzacji

Ustawa ma umożliwić wydawanie w Polsce europejskich certyfikatów, które będą automatycznie uznawane przez wszystkie państwa członkowskie Unii Europejskiej. Przewiduje udział zarówno firm, jak i instytucji publicznych w ocenie zgodności oraz nadzór Ministra Cyfryzacji i Polskiego Centrum Akredytacji nad systemem certyfikacji.

Jak napisał na portalu LinkedIn Marcin Wysocki, wicedyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, „jest to duży kamień milowy”. Jednocześnie zaznaczył, jakie są zadania ministerstwa związane z systemem – jest to m.in. przygotowanie niezbędnych procedur i ram do certyfikacji portfela tożsamości cyfrowej oraz rozwinięcie założeń firmy bezpiecznej cyfrowo. Pod jego opieką jest również krajowy program potwierdzający kompetencje w obszarze cyberbezpieczeństwa.

Czego dotyczy projekt ustawy o KSCC?

Projekt ustawy przygotowany przez Ministerstwo Cyfryzacji ma na celu wykonanie prawa Unii Europejskiej i dotyczy organizacji systemu certyfikacji cyberbezpieczeństwa w Polsce. Zakłada m.in. ustanowienie procedur niezbędnych do zapewnienia prawidłowości procesów certyfikacyjnych oraz określenie sposobu sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy.

Głównym zadaniem ustawy jest zwiększenie bezpieczeństwa danych, wspieranie rozwoju technologii, ułatwienie udziału w przetargach oraz potwierdzenie odporności na cyberzagrożenia. Dodatkowo uproszczone procedury mają ułatwić konkurowanie certyfikowanych produktów na rynkach europejskich. Jak podkreślił w komunikacie Krzyszof Gawkowski, wicepremier i minister cyfryzacji, „jasne i równe zasady mają pozwolić firmom budować wiarygodność, a obywatelkom i obywatelom – korzystać z bezpiecznych rozwiązań cyfrowych”.

Certyfikat cyberbezpieczeństwa może być także wymagany np. w przetargach publicznych i projektach partnerstwa publiczno-prywatnego.

Co podlega certyfikacji?

Posiadanie certyfikatu cyberbezpieczeństwa ma być potwierdzeniem, że usługa lub produkt spełniają najwyższe standardy ochrony.

Możliwa będzie certyfikacja:

• produktów i usług ICT,
• procesów organizacyjnych,
• usług związanych z zarządzaniem bezpieczeństwem,
• systemów zarządzania cyberbezpieczeństwem,
• osób spełniających wymogi określone w schematach certyfikacyjnych.

Zobacz: Projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa

Certyfikacja – dla kogo?

Firmy prywatne, na równi z instytucjami publicznymi, będą mogą wydawać certyfikaty na wszystkich poziomach bezpieczeństwa, także tych najwyższych. Zasady współpracy z jednostką certyfikującą powinna regulować umowa, zawierająca m.in. zakres certyfikacji, sposób ochrony danych i informacji poufnych oraz zasady odpowiedzialności za opóźnienia.

Certyfikacja jest dobrowolna, co oznacza, że każda firma sama podejmuje decyzje, czy chce przystąpić do procesu (nie ma wymogu). Koszty ponosi przedsiębiorca, w tym badań laboratoryjnych potrzebnych do uzyskania certyfikatu. Ustawa nie reguluje kwestii cen, co ma zapewnić konkurencyjność i elastyczność ofert rynkowych.

Zwiększ cyberbezpieczeństwo swojej firmy z PBSG

Wspieramy firmy w zarządzaniu cyberbezpieczeństwem. Jako eksperci zajmujemy się wdrażaniem systemów bezpieczeństwa informacji i ciągłości działania, a także ich certyfikacją. Wiemy, jak ważna jest ochrona danych i aktywów, dlatego możesz nam zaufać. Działamy zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, dyrektywami unijnymi oraz najlepszymi światowymi praktykami. Jesteśmy na bieżąco z rozporządzeniami, projektami ustaw i pomagamy spełniać ich wymogi. Dzięki współpracy z nami zyskasz cenne narzędzie do budowania silnej pozycji na rynku europejskim.

Sprawdź, co możemy dla Ciebie zrobić: Cyberbezpieczeństwo