Cyberbezpieczeństwo z nowymi regulacjami prawnymi
W obszarze regulacji dotyczących cyberbezpieczeństwa większość zainteresowanych wyczekuje uchwalenia ustawy nowelizującej krajowy system cyberbezpieczeństwa, w związku z Dyrektywą NIS2. Tymczasem równolegle procedowany był akt prawny, który stanowi uzupełnienie krajowego systemu cyberbezpieczeństwa. Mowa o ustawie o krajowym systemie certyfikacji cyberbezpieczeństwa, która weszła w życie 28 sierpnia.
Certyfikacja wymuszona unijnym rozporządzeniem…
Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa (KSCC) stanowi odpowiedź na rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881, które ustanowiło europejskie ramy certyfikacji cyberbezpieczeństwa i zapewniło wspólne warunki w zakresie uzyskiwania certyfikatów w państwach członkowskich. Ustawa pozwala na uzyskanie certyfikatu nie tylko dla produktów ICT, usług ICT, procesów ICT, ale również dla systemów zarządzania cyberbezpieczeństwem oraz dla osób w zakresie ich umiejętności w obszarze cyberbezpieczeństwa.
…ale w dalszym ciągu dobrowolna
Pomimo tego, że kwestia certyfikacji cyberbezpieczeństwa zostanie uregulowana aktem rangi ustawy, w dalszym ciągu certyfikacja pozostanie w pełni dobrowolna. Odnosi się to zarówno do jednostek oceniających zgodność, jak również i podmiotów poddających się certyfikacji.
Schematy dla certyfikatów prywatnych
Prywatne programy certyfikacyjne znajdowały się do tej pory poza obszarem prawnego uregulowania, a wartość danego certyfikatu była w zasadzie ustalana przez właściciela i pomysłodawcę programu certyfikacji. Projekt ustawy nie doprowadzi do „unieważnienia” prywatnych programów certyfikacji, ale wprowadzi zasadę, iż nie będą miały statusu krajowych schematów certyfikacji cyberbezpieczeństwa. Również wydawane w ich ramach certyfikaty nie będą miały statusu krajowych certyfikatów cyberberbezpieczeństwa.
Szansa dla rozwoju krajowego rynku certyfikacji
Dzięki nowym regulacjom przedsiębiorcy z branży IT uzyskają dostęp do certyfikatów obowiązujących na terenie całej UE. Będą mogli oni objąć certyfikacją nie tylko swoje produkty i usługi, ale również personel. Pozytywnie odnieść się należy również do roli NASK-PIB i innych państwowych instytutów badawczych. Przypomnijmy, że NASK-PIB jest obecnie jedyną jednostką certyfikującą w Polsce w ramach metodologii Common Criteria. Ekspercka wiedza skupiona w ramach państwowych instytutów badawczych, w szczególności NASK-PIB oraz Instytut Łączności – Państwowy Instytut Badawczy zostać ma wykorzystana do realizacji przez te podmioty zadań zleconych na rzecz ministra właściwego do spraw informatyzacji.
Czynnik budujący przewagę konkurencyjną
Wspominaliśmy o dobrowolności w zakresie certyfikacji. Wydaje się jednak, że z czasem rynek sam niejako wymusi certyfikację poszczególnych obszarów. Certyfikat nadany konkretnemu produktowi lub usłudze z pewnością będzie stanowił środek w kierunku budowania przewagi nad pozostałymi konkurentami z danej branży. Certyfikaty mogą również stać się z czasem czynnikiem, który będzie stanowił wymóg w postępowaniach przetargowych, a podmioty zamawiające będą mogły zaadresować swoje potrzeby w kierunku konkretnego certyfikatu w zakresie produktów ICT bądź usług ICT.
Prace nad ustawą wdrażającą Dyrektywę NIS 2 w toku
Z kolei w ramach prac nad ustawą o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, doczekaliśmy się już siódmej odsłony. Tym razem jest to projekt (UC32) z dnia 12 sierpnia 2025 r. Przypominamy, że Dyrektywa NIS zakładała wdrożenie przepisów do krajowych porządków prawnych państw członkowskich do 17 października 2024 r.
Po uchwaleniu ustawa wejdzie w życie w 1 miesiąc od daty publikacji, a kolejne 6 miesięcy od wejścia w życie będą przeznaczone dla podmiotów objętych projektem na wdrożenie przewidzianych w nim środków.
Co nowego w kolejnym projekcie ustawy?
W nowym projekcie wyprowadzono zmiany m.in. w następujących obszarach: doprecyzowano kryteria wielkościowe przy kwalifikacji podmiotów ważnych, tak aby zgodnie z dyrektywą NIS 2, uwzględniały duże przedsiębiorstwa; doprecyzowano przepisy o właściwości polskiego organu właściwego do spraw cyberbezpieczeństwa wobec podmiotów z sektora infrastruktury cyfrowej, jeżeli wyznaczyły przedstawiciela posiadającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej; w zał. nr 1 doprecyzowano rodzaj podmiotu „Podmioty prowadzące na terenie portu działalność wspomagającą transport morski” odnosząc się do unijnej klasyfikacji NACE – ma to na celu uspójnienie projektu z nowelizacją ustawy o zarządzaniu kryzysowym; w zał. nr 1 w podsektorze transportu drogowego doprecyzowano rodzaj podmiotu na podmioty świadczące usługę ITS – co odpowiada pojęciu operatora ITS z dyrektywy NIS 2.
