Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa (tj. Dz.U. z 2025 r. poz. 1017) ma wzmocnić odporność cyfrową instytucji publicznych, przedsiębiorstw i infrastruktury krytycznej, zwiększyć poziom ochrony kraju przed cyberzagrożeniami oraz poprawić bezpieczeństwo danych. Celem nowego systemu certyfikacji jest także budowanie zaufania użytkowników do usług cyfrowych i wspieranie innowacji technologicznych. Ułatwi on również polskim firmom konkurowanie na rynku europejskim.

Jak będzie działał krajowy system certyfikacji cyberbezpieczeństwa?

Nowe przepisy tworzą krajowy system certyfikacji cyberbezpieczeństwa. Opierają się przy tym na unijnym akcie o cyberbezpieczeństwie (rozporządzenie 2019/881). Przewiduje on, że przedsiębiorcy oferujący produkty, usługi i procesy ICT mogą się ubiegać o europejski certyfikat cyberbezpieczeństwa – honorowany w każdym państwie UE. Certyfikaty w poszczególnych krajach członkowskich wydają akredytowane jednostki oceniające zgodność. W Polsce akredytacje będzie przyznawać Polskie Centrum Akredytacji (PCA). Natomiast nadzór nad całym systemem – jako organ do spraw certyfikacji cyberbezpieczeństwa – sprawuje minister cyfryzacji. W związku z tym jest on m.in. uprawniony do przeprowadzania kontroli podmiotów wchodzących w skład krajowego systemu certyfikacji cyberbezpieczeństwa.

Kto dostanie certyfikat cyberbezpieczeństwa?

Certyfikat otrzymają produkty, usługi i procesy spełniające określone warunki. Muszą one m.in. zapewnić dostępność, autentyczność, integralność lub poufność danych czy też udostępnianych funkcji lub usług na poziomie odpowiednim do potencjalnych cyberzagrożeń. Innym wymogiem jest minimalizacja znanego ryzyka.

Wprowadzony ustawą krajowy system certyfikacji uwzględnia zróżnicowane poziomy zaufania, od podstawowego po wysoki – zależnie od skali i rygoru oceny danego produktu, usługi, procesu lub kompetencji. Certyfikaty z wysokim poziomem zaufania będzie zatwierdzał minister cyfryzacji.

Czy certyfikaty w branży ICT będą obowiązkowe?

Certyfikacja cyberbezpieczeństwa będzie procesem dobrowolnym, odbywającym się na zasadach rynkowych. Podmioty chcące uzyskać certyfikat będą mogły swobodnie wybierać spośród działających na rynku jednostek oceniających zgodność. Ustawa tworzy jednak wymogi i ramy, w jakich proces certyfikacji ma się odbywać.

Nowe przepisy mają być bodźcem dla rozwoju krajowego rynku certyfikacji, ale korzyści mogą odnieść wszystkie firmy z branży ICT. Certyfikat potwierdzający, że dany produkt, usługa czy proces ICT spełnia określone standardy ochrony, zwiększy bowiem zaufanie użytkowników i ułatwi wchodzenie na rynki w innych państwach UE.

Oprócz wprowadzenia unijnych standardów ustawa przewiduje również rozwój krajowych schematów certyfikacyjnych. Będą one dotyczyły m.in. zarządzania cyberbezpieczeństwem i potwierdzania kwalifikacji specjalistów z branży ICT.

Ustawa nie zmienia statusu dotychczas wydanych certyfikatów z zakresu cyberbezpieczeństwa. Wciąż będą one obowiązywały, ale tylko na terenie Polski.