Opublikowany w dniu 21 maja 2024 r. projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa (dalej jako „Projekt ustawy”) wynika z obowiązku zapewnienia stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno – komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (dalej jako „Akt o cyberbezpieczeństwie”).
Jednym z celów Aktu o cyberbezpieczeństwie jest utworzenie jednolitych europejskich ram certyfikacji cyberbezpieczeństwa dla produktów i usług ICT, dzięki czemu certyfikaty z zakresu cyberbezpieczeństwa będą automatycznie honorowane w całej UE. Dotychczas certyfikacja w obszarze cyberbezpieczeństwa stanowiła obszar nieuregulowany, w którym zastosowanie miały ogólne zasady prawa cywilnego i prawa umów. Akt o cyberbezpieczeństwie stanowi drugą po dyrektywie NIS część unijnej strategii cyberbezpieczeństwa. W tym miejscu warto zaznaczyć, że w związku z dynamicznym rozwojem cyfrowym – a tym samym zwiększonym ryzykiem cyberzagrożeń – od 18 października 2024 r. zacznie obowiązywać dyrektywa NIS2 stanowiąca drugą odsłonę przepisów na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych.
Poza dostosowaniem polskiego porządku prawnego do obowiązków wynikających z Aktu o cyberbezpieczeństwie, Projekt ustawy stanowi również realizację 2 celu szczegółowego Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019 – 2024, poprzez podniesienie poziomu odporności systemów informacyjnych administracji publicznej i sektora prywatnego oraz osiągnięcie zdolności do skutecznego zapobiegania i reagowania na incydenty.
Przyjęcie przepisów w zakresie certyfikacji bezpieczeństwa:
-
-
- ma przyczynić się do zwiększenia świadomości znaczenia cyberbezpieczeństwa w sektorze przedsiębiorstw i skłonić przedsiębiorców do stosowania bezpieczniejszych, sprawdzonych rozwiązań – co tym samym podniesie poziom bezpieczeństwa obywateli;
- stworzy ramy dla funkcjonowania krajowych programów certyfikacji cyberbezpieczeństwa, których celem będzie zapewnienie, by produkty, usługi lub procesy ICT certyfikowane zgodnie z takimi programami spełniały wymogi w celu ochrony dostępności, autentyczności, integralności i poufności przechowywanych, przekazywanych lub przetwarzanych danych lub powiązanych funkcji bądź usług oferowanych lub dostępnych za pośrednictwem tych produktów, usług lub procesów ICT w trakcie całego cyklu ich życia;
- uzupełni krajowy system cyberbezpieczeństwa o system oceny produktów ICT, usług ICT i procesów ICT, co pozwoli na identyfikację produktów spełniających najlepsze standardy w dziedzinie cyberbezpieczeństwa;
- nie nałoży żadnych dodatkowych obowiązków na podmioty, które nie będą zainteresowane uczestnictwem w tym systemie – certyfikacja będzie całkowicie dobrowolna.
-
Jakie rozwiązania zostały zaproponowane w Projekcie ustawy?
W ramach Projektu ustawy określone zostały obowiązki krajowego organu administracji rządowej właściwego w sprawach certyfikacji bezpieczeństwa – tj. ministra właściwego ds. informatyzacji. Do zadań ministra należeć będzie nadzór i kontrola nad podmiotami, m.in. poprzez przeprowadzanie badań produktów ICT w zakresie spełniania odpowiednich wymagań. Ponadto, w ramach swoich obowiązków, minister będzie prowadzić postępowania administracyjne dotyczące np. zatwierdzania certyfikatów odwołujących się do poziomu zaufania „wysoki”, wydawania zezwoleń na prowadzenie oceny zgodności w przypadku, gdy program certyfikacyjny określa szczególne wymagania dla jednostek oceniających, czy nakładania kar pieniężnych.
Zgodnie z Projektem ustawy, aby prowadzić badania produktów, usług i procesów ICT, zainteresowane podmioty będą musiały uzyskać akredytację Polskiego Centrum Akredytacji, którego podstawą działania w tym obszarze będzie rozdział 4 ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku.
W Projekcie ustawy przewiduje się również możliwość nałożenia kary administracyjnej na jednostkę, która dokonuje oceny zgodności bez wymaganej akredytacji w wysokości stanowiącej równowartość do dwudziestokrotności przeciętnego wynagrodzenia (art. 23 ust. 2 Projektu ustawy). Taki sam zakres kar wyrażony został w przypadku niewypełnienia obowiązków informacyjnych, czy utrudniania przeprowadzenia kontroli.
Projektowana ustawa wejdzie w życie po upływie miesiąca od dnia jej ogłoszenia (art. 27 Projektu ustawy).
