Aktualności

Czego dotyczy projekt ustawy o krajowym systemie certyfikacji bezpieczeństwa?

Zofia Zborowska Zofia Zborowska Associate
13 czerwca 2024
Czego dotyczy projekt ustawy o krajowym systemie certyfikacji bezpieczeństwa?

Opublikowany w dniu 21 maja 2024 r. projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa (dalej jako „Projekt ustawy”) wynika z obowiązku zapewnienia stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno – komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (dalej jako „Akt o cyberbezpieczeństwie”).

Jednym z celów Aktu o cyberbezpieczeństwie jest utworzenie jednolitych europejskich ram certyfikacji cyberbezpieczeństwa dla produktów i usług ICT, dzięki czemu certyfikaty z zakresu cyberbezpieczeństwa będą automatycznie honorowane w całej UE. Dotychczas certyfikacja w obszarze cyberbezpieczeństwa stanowiła obszar nieuregulowany, w którym zastosowanie miały ogólne zasady prawa cywilnego i prawa umów. Akt o cyberbezpieczeństwie stanowi drugą po dyrektywie NIS część unijnej strategii cyberbezpieczeństwa. W tym miejscu warto zaznaczyć, że w związku z dynamicznym rozwojem cyfrowym – a tym samym zwiększonym ryzykiem cyberzagrożeń – od 18 października 2024 r. zacznie obowiązywać dyrektywa NIS2 stanowiąca drugą odsłonę przepisów na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych.

Poza dostosowaniem polskiego porządku prawnego do obowiązków wynikających z Aktu o cyberbezpieczeństwie, Projekt ustawy stanowi również realizację 2 celu szczegółowego Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019 – 2024, poprzez podniesienie poziomu odporności systemów informacyjnych administracji publicznej i sektora prywatnego oraz osiągnięcie zdolności do skutecznego zapobiegania i reagowania na incydenty.

Przyjęcie przepisów w zakresie certyfikacji bezpieczeństwa:

      • ma przyczynić się do zwiększenia świadomości znaczenia cyberbezpieczeństwa w sektorze przedsiębiorstw i skłonić przedsiębiorców do stosowania bezpieczniejszych, sprawdzonych rozwiązań – co tym samym podniesie poziom bezpieczeństwa obywateli;
      • stworzy ramy dla funkcjonowania krajowych programów certyfikacji cyberbezpieczeństwa, których celem będzie zapewnienie, by produkty, usługi lub procesy ICT certyfikowane zgodnie z takimi programami spełniały wymogi w celu ochrony dostępności, autentyczności, integralności i poufności przechowywanych, przekazywanych lub przetwarzanych danych lub powiązanych funkcji bądź usług oferowanych lub dostępnych za pośrednictwem tych produktów, usług lub procesów ICT w trakcie całego cyklu ich życia;
      • uzupełni krajowy system cyberbezpieczeństwa o system oceny produktów ICT, usług ICT i procesów ICT, co pozwoli na identyfikację produktów spełniających najlepsze standardy w dziedzinie cyberbezpieczeństwa;
      • nie nałoży żadnych dodatkowych obowiązków na podmioty, które nie będą zainteresowane uczestnictwem w tym systemie – certyfikacja będzie całkowicie dobrowolna.

Jakie rozwiązania zostały zaproponowane w Projekcie ustawy?

W ramach Projektu ustawy określone zostały obowiązki krajowego organu administracji rządowej właściwego w sprawach certyfikacji bezpieczeństwa – tj. ministra właściwego ds. informatyzacji. Do zadań ministra należeć będzie nadzór i kontrola nad podmiotami, m.in. poprzez przeprowadzanie badań produktów ICT w zakresie spełniania odpowiednich wymagań. Ponadto, w ramach swoich obowiązków, minister będzie prowadzić postępowania administracyjne dotyczące np. zatwierdzania certyfikatów odwołujących się do poziomu zaufania „wysoki”, wydawania zezwoleń na prowadzenie oceny zgodności w przypadku, gdy program certyfikacyjny określa szczególne wymagania dla jednostek oceniających, czy nakładania kar pieniężnych.

Zgodnie z Projektem ustawy, aby prowadzić badania produktów, usług i procesów ICT, zainteresowane podmioty będą musiały uzyskać akredytację Polskiego Centrum Akredytacji, którego podstawą działania w tym obszarze będzie rozdział 4 ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku.

W Projekcie ustawy przewiduje się również możliwość nałożenia kary administracyjnej na jednostkę, która dokonuje oceny zgodności bez wymaganej akredytacji w wysokości stanowiącej równowartość do dwudziestokrotności przeciętnego wynagrodzenia (art. 23 ust. 2 Projektu ustawy). Taki sam zakres kar wyrażony został w przypadku niewypełnienia obowiązków informacyjnych, czy utrudniania przeprowadzenia kontroli.

Projektowana ustawa wejdzie w życie po upływie miesiąca od dnia jej ogłoszenia (art. 27 Projektu ustawy).

Powiązane

„Security first” w towarzystwach ubezpieczeniowych – nowe stanowisko KNF w zakresie cyberbezpieczeństwa
13 czerwca 2024

Silne uwierzytelnianie, zasady szyfrowania i „security first” - 19 października 2022 r. UKNF opublikował nowe…

Zofia Zborowska Zofia Zborowska Associate
Chcesz otrzymywać aktualności na bieżąco?
Zapisz się do Newslettera

    Wybierz listę

    Chcę być informowany e-mailowo informacjach ze strony Raczyński Skalski & Partners Kancelaria Radców Prawnych Spółka Partnerska z siedzibą w Warszawie na podany przeze mnie adres e-mail. Czytaj dalej

    Ta witryna jest chroniona przez reCAPTCHA i obowiązuje Polityka prywatności i Warunki korzystania z usługi Google.