NASK tworzy Centrum Cyberbezpieczeństwa NASK (CCN) – kluczową jednostkę, która będzie miała strategiczne znaczenie dla Polski, gdy mówimy o odporności na cyberzagrożenia. Przy Centrum powstaje OMCC – Ośrodek Modelowania Certyfikacji Cyberbezpieczeństwa. To właśnie tu będą tworzone fundamenty ogólnopolskiego systemu certyfikacji cyberbezpieczeństwa.
Będzie on wsparciem dla krajowego organu ds. certyfikacji, którym jest Ministerstwo Cyfryzacji. Jednym z filarów ośrodka zostanie wykwalifikowana kadra, która będzie czuwała nad budowaniem jednolitego, systemowego modeli certyfikacji.
OMCC stanie się centrum wiedzy, innowacji i jakości, które wyznaczy kierunki rozwoju całego systemu certyfikacji w Polsce. Oparte będzie na najwyższych standardach oceny i rozwoju kompetencji w obszarze bezpieczeństwa cyfrowego. Umożliwi to doskonała kadra specjalistów, pracująca w OMCC. W ramach działań ośrodka eksperci zostaną odpowiednio przygotowani do pracy, którą będzie przede wszystkim określanie norm certyfikacji cyberbezpieczeństwa. Ich kompetencje i wiedza będą stale udoskonalane.
Szereg inicjatyw w OMCC
Nasz kraj potrzebuje systemowego, jednolitego podejścia do analizy produktów, usług i procesów (w tym dla rozwiązań chmurowych, IOT, CSAM). Potrzebuje też kadry, która będzie przygotowana i doskonalona w procesach certyfikacji. I na koniec – potrzebuje instytucji, która ma realny wpływ na to, jak Polska radzi sobie ze zwalczaniem cyberzagrożeń.
Wszystkie te potrzeby spełni tworzone właśnie OMCC – Ośrodek Modelowania Certyfikacji Cyberbezpieczeństwa. Jego działania spełniają unijne założenia, które określają Cyber Resilience Act, Cyber Security Act czy NIS2. OMCC wpisuje się także w przygotowywane przepisy ogólnopolskie.
Dzięki stworzeniu OMCC eksperci NASK będą mogli razem z innymi specjalistami zbudować wspólne, systemowe podejście m.in. do oceny zgodności usług i procesów, a także opracować dokumentację, procedury i programy, które będą odpowiadały unijnym normom, dotyczącym certyfikacji.
Działalność OMCC to także gwarancja opracowania modelowego podejścia do walidacji metodyk badawczych, które potrzebne są przy ocenie zgodności w cyberbezpieczeństwie. Co to dokładnie znaczy?
– Jeżeli mamy jakieś wymaganie dotyczącego konkretnego produkty czy procesu, to są różne sposoby na zweryfikowanie tego, czy to wymaganie zostało spełnione – tłumaczy Julia Karłowska-Kowalczyk z NASK. – I te sposoby weryfikacji to są właśnie metody badawcze. Te metody mogą być różne, obarczone mniejszym lub większym błędem. To na czym polega walidacja, to sprawdzenie, która z różnych dostępnych metod jest najlepsza.
Obszarów, które mogą być poddane certyfikacji jest bardzo dużo. W Polsce określa je m.in. ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa („UKSCC”). Wśród nich wymienia się: produkt, usugę i proces ICT, system zarządzania cyberbezpieczeństwem lub wiedzą i umiejętności praktyczne osoby fizycznej z zakresu cyberbezpieczeństwa.
Priorytety OMCC
Priorytetowymi zadaniami, realizowanymi w OMCC, będą:
Stworzenie Pracowni Walidacji Metod Oceny – miejsca badań i rozwoju, w którym powstają nowe metodyki, narzędzia walidacyjne oraz rozwiązania wspierające ocenę i certyfikację oraz praktyczne instrumenty dla organizacji, które chcą w sposób skuteczny i mierzalny podnosić poziom swojego cyberbezpieczeństwa.
Nowoczesne kwalifikacje, potwierdzone certyfikatami Jednostki Certyfikującej NASK i odpowiadające na potrzeby rynku, a także zgodne z Europejskimi Ramami Umiejętności w Zakresie Cyberbezpieczeństwa (ECSF).
W pierwszej kolejności będą to:
- Specjalista ds. Reagowania na incydenty cyberbezpieczeństwa – ekspert, który chroni organizacje przed realnymi zagrożeniami i minimalizuje skutki ataków
- Audytor Cyberbezpieczeństwa – profesjonalista, który buduje zaufanie, weryfikując poziom bezpieczeństwa systemów i procesów.
OMCC to krok w stronę cyfrowej odporności państwa i biznesu – ośrodek, który łączy ekspercką wiedzę, innowacyjne narzędzia i europejskie standardy, tworząc solidne fundamenty dla bezpiecznej przyszłości cyfrowej Polski.
Aby ośrodek spełniał właściwie swoją rolę, NASK pozostaje otwarty na rekomendacje podmiotów i opinie ekspertów zewnętrznych.
Jak podkreśla Paweł Kostkiewicz, dyrektor ds. certyfikacji w NASK: – Szczególnie ważny jest dla nas głos instytucji, firm i organizacji, które chcą aktywnie uczestniczyć w budowaniu krajowego ekosystemu kompetencji cyfrowych. Taka rekomendacja to nie tylko głos poparcia – to realny wpływ na kształt przyszłych standardów edukacji i bezpieczeństwa cyfrowego w Polsce.
CCN – odpowiedź na cyberzagrożenia
CCN to projekt, który ma olbrzymie znaczenie dla Polski. Widzimy jak z dnia na dzień rosną zagrożenia, z którymi spotykamy się w polskiej cyberprzestrzeni. Dotyczą każdego obszaru naszego życia od cyberprzestępczości na atakach, będących elementem wojny hybrydowej, kończąc.
Centrum Cyberbezpieczeństwa NASK będzie wspierało CSIRT NASK – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działającego na poziomie krajowym. Projekt ma być zrealizowany do 31 grudnia 2029 roku.
W ramach CCN powstają specjalistyczne centra, ośrodki i laboratoria. Ich zadaniem jest przede wszystkim wspieranie działań CSIRT NASK i usprawnienie systemu cyberbezpieczeństwa Polski.