Subskrybuj nas na Youtube
Zapisz się na newsletter
Ustawa ureguluje wydawanie europejskich i krajowych certyfikatów dla produktów, usług i procesów ICT. Jest elementem wdrożenia do polskiego porządku prawnego unijnego rozporządzenia - akt o cyberbezpieczeństwie (2019/881).
Minister cyfryzacji będzie nadzorował KSCC
Unijny akt przewiduje możliwość ubiegania się przez producentów i usługodawców oferujących produkty, usługi i procesy ICT o europejski certyfikat cyberbezpieczeństwa – honorowany w każdym państwie Unii Europejskiej. Nakłada też na państwa członkowskie obowiązek ustanowienia krajowego organu do spraw certyfikacji cyberbezpieczeństwa, sprawującego nadzór nad KSCC.
Zgodnie z projektem w Polsce tym organem będzie minister cyfryzacji. Z kolei Polskie Centrum Akredytacji (PCA) będzie przyznawało akredytacje. Ustawa wprowadza bowiem obowiązek akredytacji dla jednostek chcących prowadzić ocenę zgodności produktów, usług i procesów ICT z warunkami potrzebnymi do uzyskania certyfikatu cyberbezpieczeństwa.
Cyberbezpieczeństwo z certyfikatem
Projekt wprowadza też krajowe schematy certyfikacji cyberbezpieczeństwa - w obszarach nieobjętych europejskimi programami certyfikacji. Jak stwierdzono w uzasadnieniu, na rynku występuje już wiele certyfikatów prywatnych, lecz trudno jest zweryfikować ich prawdziwą wartość, gdyż każdorazowo ustala ją firma certyfikująca. „W efekcie często certyfikaty nie realizują swojej funkcji informowania o produktach spełniających określone normy” – stwierdza projektodawca.
Certyfikacja będzie procesem dobrowolnym, odbywającym się na zasadach rynkowych. Podmioty chcące uzyskać certyfikat dla swojego produktu, usługi czy procesu ICT będą mogły swobodnie wybierać spośród działających na rynku jednostek oceniających zgodność. Projektowana ustawa tworzy jednak wymogi i ramy, w jakich będzie wykonywana certyfikacja.
Jaki produkt dostanie certyfikat?
Certyfikat będzie mógł być wydany dla produktu, usługi czy procesu, który zapewnia dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych czy też udostępnianych funkcji lub usług na poziomie odpowiednim do potencjalnych cyberzagrożeń, a także minimalizuje znane ryzyka cyberzagrożeń.
Produkty, usługi, aplikacje i oprogramowanie z certyfikatem będą zawierać czytelną informację o poziomie ochrony danych i odporności na cyberataki. Certyfikacja ma zwiększyć odporność cyfrową instytucji publicznych, firm i infrastruktury krytycznej; budować zaufanie do certyfikowanych rozwiązań i wspierać rozwój nowoczesnych technologii.
