Rada Ministrów przyjęła projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa przygotowany przez Ministerstwo Cyfryzacji. Przepisy umożliwią wydawanie europejskich i krajowych certyfikatów dla produktów, usług i procesów ICT. Dobrowolna certyfikacja jest zgodna z unijnymi standardami. Ma zwiększyć bezpieczeństwo danych, wspierać rozwój technologii, ułatwiać udział w przetargach i potwierdzać odporność na cyberzagrożenia. Projekt przewiduje udział zarówno firm, jak i instytucji publicznych w ocenie zgodności oraz nadzór Ministra Cyfryzacji i Polskiego Centrum Akredytacji nad systemem.
– Cyberbezpieczeństwo to dziś fundament zaufania w cyfrowym świecie. Nowe prawo, które przygotowaliśmy, to nie tylko narzędzie ochrony – to także impuls dla rozwoju technologii, konkurencyjności i odporności państwa. Tworzymy jasne i równe zasady, które pozwolą firmom budować wiarygodność, a obywatelkom i obywatelom – korzystać z bezpiecznych rozwiązań cyfrowych – mówi wicepremier i minister cyfryzacji Krzysztof Gawkowski.
Certyfikat cyberbezpieczeństwa – zaufanie i odporność
Nowe przepisy mają zwiększyć bezpieczeństwo cyfrowe w całej Unii Europejskiej. System oparty na europejskim Akcie o cyberbezpieczeństwie umożliwi potwierdzenie, że dany produkt lub usługa spełnia określone standardy ochrony.
Certyfikacja pozwoli:
- zwiększyć odporność cyfrową instytucji publicznych, firm i infrastruktury krytycznej,
- budować zaufanie użytkowników do certyfikowanych rozwiązań,
- wspierać rozwój nowoczesnych technologii w sektorze ICT.
Jasne oznaczenie cyberbezpieczeństwa dla użytkowników
Produkty, usługi, aplikacje i oprogramowanie z certyfikatem będą zawierać czytelną informację o poziomie ochrony danych i odporności na cyberataki. Konsument zyska możliwość świadomego wyboru – certyfikat stanie się gwarancją cyfrowego bezpieczeństwa.
Certyfikacja potwierdzi, że dane rozwiązanie spełnia wymagania w zakresie ochrony danych i odporności na zagrożenia. Umieszczone oznaczenie pomoże firmom budować reputację i wiarygodność – zarówno w relacjach z klientami, jak i partnerami biznesowymi.
Przewaga konkurencyjna i nowe możliwości
Firmy posiadające certyfikat będą mogły skuteczniej rywalizować na rynku. Spełnienie wymogów europejskich otwiera dostęp do nowych rynków i projektów w branży ICT, komunikacji cyfrowej czy sztucznej inteligencji.
Możliwa będzie certyfikacja:
- produktów i usług ICT,
- procesów organizacyjnych,
- usług związanych z zarządzaniem bezpieczeństwem,
- systemów zarządzania cyberbezpieczeństwem,
- osób spełniających wymogi określone w schematach certyfikacyjnych.
Certyfikacja jest dobrowolna. Oznacza to, że firma może, ale nie musi przystąpić do procesu. Ustawa umożliwi wydawanie w Polsce europejskich certyfikatów, które będą automatycznie uznawane przez wszystkie państwa członkowskie Unii Europejskiej.
Prostszy dostęp do unijnego rynku
Polskie firmy zyskają przewagę na rynku dzięki możliwości potwierdzenia jakości produktów i usług zgodnie z unijnymi wymaganiami. Certyfikaty będą respektowane także w przetargach publicznych instytucji krajów UE. Uproszczone procedury ułatwią konkurowanie certyfikowanych produktów na rynkach europejskich.
– Chcemy, żeby system certyfikacji cyberbezpieczeństwa był realnym wsparciem dla firm. Nie tworzymy dodatkowych barier, lecz warunki do rozwoju – zgodne z europejskimi standardami, a jednocześnie elastyczne i przyjazne rynkowo. Przejrzyste zasady i dobrowolność udziału to klucz do budowania zaufania, a także silnej pozycji polskich przedsiębiorstw w całej Unii Europejskiej – mówi wiceminister cyfryzacji Paweł Olszewski.
Nowe szanse dla krajowego rynku certyfikacji
Ustawa wprowadza jednolite zasady dla wszystkich podmiotów, np. NASK, które będą oceniać zgodność produktów z wymogami cyberbezpieczeństwa i wydawać certyfikaty. Dzięki temu, że europejskie certyfikaty będą ważne we wszystkich państwach członkowskich, polskie jednostki oceniające zgodność będą mogły przyciągnąć klientów z innych państw, w szczególności z Europy Środkowo-Wschodniej.
Przewidziano również możliwość tworzenia krajowych schematów certyfikacyjnych. W ich ramach możliwe będzie wydawanie polskich certyfikatów dla tych produktów i usług, które nie podlegają regulacjom unijnym. To rozwiązanie umożliwi promowanie wysokich standardów bezpieczeństwa także w obszarach nieobjętych prawem UE.
Ułatwienia dla firm i konsumentów
Krajowy certyfikat:
- zwiększy wiarygodność firmy na rynku,
- ułatwi decyzje zakupowe konsumentom,
- będzie mógł być wymagany w przetargach publicznych i projektach partnerstwa publiczno-prywatnego.
Koszty badań laboratoryjnych potrzebnych do uzyskania certyfikatu ponosi przedsiębiorca. Jednak sama ustawa nie reguluje kwestii cen, co zapewni konkurencyjność i elastyczność ofert rynkowych.
Równe zasady dla sektora publicznego i prywatnego
Firmy – na równi z instytucjami publicznymi – będą mogły wydawać certyfikaty na wszystkich poziomach bezpieczeństwa, także tych najwyższych. Ustawa nie wprowadza dodatkowych wymagań dla jednostek oceniających zgodność.
Zasady współpracy pomiędzy firmami a jednostkami certyfikującymi będą określane w umowach, które muszą zawierać:
- zakres certyfikacji,
- sposób ochrony danych i informacji poufnych,
- zasady odpowiedzialności za opóźnienia.
Nadzór i odpowiedzialność
Minister Cyfryzacji – we współpracy z Polskim Centrum Akredytacji – będzie czuwać nad funkcjonowaniem całego systemu certyfikacji. Będzie też odpowiedzialny za:
- nadzór nad jednostkami certyfikującymi,
- wyjaśnianie nieprawidłowości zgłoszonych przez obywateli,
- kontrolę zgodności produktów z programami certyfikacyjnymi.
W przypadku europejskich certyfikatów najwyższego poziomu minister będzie mógł cofnąć certyfikat, jeśli badanie wykaże niespełnienie wymaganych standardów.
Nowa ustawa – impuls dla cyfrowego bezpieczeństwa Polski
Ustawa będzie stanowić fundament dla wzmocnienia krajowego systemu cyberbezpieczeństwa – połączy interesy firm, konsumentów i administracji. Z jednej strony wesprze rozwój innowacyjnych rozwiązań cyfrowych, z drugiej – pozwoli lepiej chronić dane i wzmacniać zaufanie do usług cyfrowych.