Nowe ramy prawne certyfikacji cyberbezpieczeństwa. Co zmienia ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa?

traple.pl 2 dni temu

28 sierpnia 2025 r. weszła w życie ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa („UKSCC”). Określa ona ramy funkcjonowania krajowego systemu certyfikacji cyberbezpieczeństwa. Nowe przepisy wprowadzają jednolite zasady przyznawania certyfikatów cyberbezpieczeństwa, które potwierdzają, iż dane rozwiązanie jest bezpieczne i spełnia określone wymogi w zakresie ochrony danych oraz minimalizacji ryzyka związanego z cyberzagrożeniami.

Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa i Akt o cyberbezpieczeństwie

UKSCC wdraża przepisy unijnego Aktu o cyberbezpieczeństwie[1], który od 2019 r. określa ramy funkcjonowania systemu certyfikacji cyberbezpieczeństwa w Unii Europejskiej. Mimo iż Akt o cyberbezpieczeństwie – jako rozporządzenie – nie wymaga bezpośredniej implementacji, to jego przepisy nakładają na państwa członkowskie UE obowiązek wyznaczania krajowego organu ds. certyfikacji cyberbezpieczeństwa.

Jednym z celów Aktu o cyberbezpieczeństwie jest wyznaczenie ram dla tworzenia i funkcjonowania europejskich oraz krajowych programów certyfikacji cyberbezpieczeństwa. O ile programy europejskie są tworzone i uchwalane przez organy UE (do tej pory został przyjęty tylko jeden taki program), to kompetencja do tworzenia programów krajowych została przekazania państwom członkowskim UE. UKSCC ma umożliwić opracowywanie i realizowanie takich programów w Polsce.

Certyfikacja cyberbezpieczeństwa

Zgodnie z przepisami UKSCC certyfikacja cyberbezpieczeństwa stanowi proces, którego celem jest potwierdzenie, iż określone elementy systemu cyberbezpieczeństwa spełniają wymagania techniczne i organizacyjne zawarte w danym programie certyfikacji. Certyfikacji podlegają następujące elementy:

  • produkt, usługa lub proces ICT,
  • usługa zarządzana w zakresie bezpieczeństwa,
  • system zarządzania cyberbezpieczeństwem lub
  • kompetencje i wiedza osoby fizycznej.

Skutecznie przeprowadzony proces certyfikacji kończy się wydaniem certyfikatu potwierdzającego, iż dane rozwiązanie (lub osoba):

  • zapewnia odpowiedni poziom ochrony oraz dostępność, autentyczność, integralność i poufność danych w odniesieniu do przetwarzanych informacji czy świadczonych usług oraz
  • minimalizuje ryzyka związane z cyberzagrożeniami.

Certyfikacja jest narzędziem, które wspiera podnoszenie wiarygodności oferowanych technologii informacyjno-komunikacyjnych. Potwierdza wdrożenie odpowiednich środków w zakresie cyberbezpieczeństwa w organizacji, a w przypadku osoby fizycznej posiadanie kompetencji w zakresie cyberbezpieczeństwa. Certyfikat powinien stanowić pewnego rodzaju gwarancję jakości, co ma zwiększyć zaufanie klientów i kontrahentów do firmy oraz oferowanych przez nią rozwiązań.

Czy certyfikacja jest obowiązkowa?

Obecnie (tj. w sierpniu 2025 r.) w Polsce oraz na poziomie Unii Europejskiej system certyfikacji cyberbezpieczeństwa ma charakter dobrowolny. Można się jednak spodziewać, iż sytuacja ta będzie w przyszłości ewoluować. Istotny wpływ na tę zmianę mogą mieć przepisy dyrektywy NIS 2[2] oraz rozporządzenia CRA[3], zgodnie z którymi:

  • państwa członkowskie mogą wymagać, aby, dla wykazania swojej zgodności ze środkami zarządzania ryzykiem w cyberbezpieczeństwie (wymaganymi przez dyrektywę NIS 2), podmioty najważniejsze i ważne stosowały produkty, usługi lub procesy ICT certyfikowane zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa (art. 24 ust. 1 dyrektywy NIS 2);
  • Komisja Europejska jest uprawniona do przyjmowania aktów delegowanych, które określą, od których kategorii podmiotów kluczowych i ważnych należy wymagać stosowania certyfikowanych produktów, usług i procesów ICT lub uzyskania certyfikacji dla swoich własnych produktów, usług i procesów ICT na podstawie europejskiego programu certyfikacji cyberbezpieczeństwa (art. 24 ust. 1 dyrektywy NIS 2);
  • Komisja Europejska jest uprawniona do przyjmowania aktów delegowanych w celu określenia, które produkty z elementami cyfrowymi posiadające podstawową funkcjonalność kategorii produktu określonej w załączniku IV do CRA mają być zobowiązane do uzyskania europejskiego certyfikatu cyberbezpieczeństwa co najmniej na „istotnym” poziomie uzasadnienia zaufania w ramach europejskiego programu certyfikacji cyberbezpieczeństwa (art. 8 ust. 1 CRA).

Co więcej, aby zachęcać do stosowania certyfikacji cyberbezpieczeństwa, niektóre unijne przepisy wprowadzają ułatwienia dla podmiotów, które zdecydują się na przeprowadzenie procesu certyfikacji. Na szczególną uwagę zasługuje tutaj art. 27 ust. 8 CRA, który wprowadza domniemanie, zgodnie z którym produkty z elementami cyfrowymi i procedury, w odniesieniu do których wydano certyfikat w ramach europejskiego programu certyfikacji cyberbezpieczeństwa, są zgodne z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa określonymi w załączniku I do CRA (w zakresie, w jakim certyfikat obejmuje te wymogi).

Oznacza to, iż producent rozwiązania cyfrowego, który uzyskał odpowiedni certyfikat, nie musi korzystać ze standardowych środków w celu wykazania zgodności z wymaganiami CRA, co istotnie ogranicza jego obciążenie regulacyjne.

Krajowy system certyfikacji cyberbezpieczeństwa

W oparciu o przepisy UKSCC trzon krajowego systemu certyfikacji cyberbezpieczeństwa tworzą:

  1. Minister Cyfryzacji – pełni funkcję krajowego organu ds. certyfikacji cyberbezpieczeństwa. Do jego kompetencji należy w szczególności:
    • ustanawianie krajowych schematów certyfikacji (poprzez wydawane rozporządzenia),
    • prowadzenie kontroli przedmiotu certyfikacji oraz zlecanie badań zgodności,
    • podejmowanie decyzji o zawieszeniu lub cofnięciu certyfikatów europejskich,
    • publikowanie informacji o stwierdzonych niezgodnościach przedmiotu certyfikacji w Biuletynie Informacji Publicznej,
    • rozpatrywanie skarg dotyczących dostawców i jednostek oceniających zgodność.
  2. Polskie Centrum Akredytacji – udziela akredytacji jednostkom oceniającym zgodność w zakresie krajowych schematów i programów europejskich, a także sprawuje nad nimi nadzór. Akredytacje udzielone jeszcze przed wejściem w życie ustawy zachowują ważność i uzyskują status akredytacji w rozumieniu UKSCC.
  3. Jednostki oceniające zgodność – odpowiadają za przeprowadzanie procesów oceny zgodności przedmiotu certyfikacji z wymaganiami danego programu lub schematu. Do ich kompetencji należy w szczególności:
    • wydawanie certyfikatów oraz monitorowanie spełniania wymagań przez ich posiadaczy,
    • weryfikacja działań zaradczych w przypadku stwierdzenia niezgodności,
    • cofanie certyfikatów w razie braku usunięcia uchybień,
    • żądanie dokumentacji potwierdzającej spełnianie wymagań wynikających z krajowych schematów lub programów europejskich.

Krajowy schemat certyfikacji

Mimo iż do tej pory nie został wydany żaden krajowy schemat certyfikacji cyberbezpieczeństwa, to do projektu UKSCC z maja 2025 r. dołączono projekt rozporządzenia określający schemat „Firma Bezpieczna Cyfrowo”[4], który będzie skierowany do małych i średnich przedsiębiorstw.

Choć schemat „Firma Bezpieczna Cyfrowo” nie pozostało powszechnie obowiązującym aktem prawnym i nie ma ostatecznego charakteru, to z jego projektu wynika, iż organizacja będzie mogła uzyskać krajowy certyfikat dla wdrożonego systemu zarządzania cyberbezpieczeństwem, tj. przyjętych w organizacji procedur i wytycznych, które służą ochronie zasobów informacyjnych przed cyberzagrożeniami. Uzyskanie certyfikatu Firmy Bezpiecznej Cyfrowo będzie oznaczało, iż firma wdrożyła podstawowe praktyki w zakresie cyberbezpieczeństwa, takie jak:

  • prowadzenie rejestru aktywów,
  • stosowanie polityki haseł i kontroli dostępu,
  • zabezpieczenia przed atakami z internetu,
  • regularne tworzenie kopii zapasowych,
  • bezpieczne korzystanie z usług cyfrowych.

Aby przyznać certyfikat Firmy Bezpiecznej Cyfrowo, jednostka oceniająca zgodność zbada realne wdrożenie polityki bezpieczeństwa w organizacji oraz niezbędną dokumentację. Wnioskodawca ponadto będzie musiał przedłożyć oświadczenie, w którym zobowiąże się przestrzegać obowiązków informacyjnych wobec jednostki oraz zasad promowania uzyskanego certyfikatu.

Zgodnie z uzasadnieniem do projektu rozporządzania, certyfikat Firmy Bezpiecznej Cyfrowo ma stanowić dowód dojrzałości przedsiębiorcy w obszarze cyberbezpieczeństwa oraz jasny sygnał dla kontrahentów, iż ich dane są odpowiednio chronione.

Zakres oceny w ramach przyznawania certyfikatu Firmy Bezpiecznej Cyfrowo obejmuje infrastrukturę informatyczną używaną do prowadzenia biznesu. Są to wszystkie urządzenia, które mają dostęp do danych w przedsiębiorstwach, takich jak: służbowe wiadomości e-mail, dane klientów, strona internetowa, usługi online oraz informacje, do których uzyskuje się dostęp zdalnie w chmurze.

Jak przebiega proces certyfikacji?

Proces certyfikacji cyberbezpieczeństwa w oparciu o przepisy UKSCC jest przeprowadzany na podstawie umowy zawartej między dostawcą (podmiotem żądającym przeprowadzenia procesu certyfikacji) a jednostką oceniającą zgodność. Aby uzyskać certyfikat, przedmiot certyfikacji musi:

  • zapewniać dostępność, autentyczność, integralność i poufność przetwarzanych danych albo udostępnianych funkcji lub usług,
  • gwarantować poziom cyberbezpieczeństwa adekwatny do potencjalnych zagrożeń,
  • minimalizować znane ryzyka w zakresie cyberzagrożeń.

Ocena zgodności może obejmować: analizę dokumentacji technicznej, audyt, testy funkcjonalne lub badania adekwatności certyfikowanego rozwiązania. Certyfikat krajowy jest wydawany na okres od 2 do 5 lat, z możliwością przedłużenia.

Szczegółowe wymogi, które musi spełnić przedmiot certyfikacji, jak również szczegółowe zasady oceny zgodności z programem zostaną określone w rozporządzeniu wydanym przez Ministra Cyfryzacji, w ramach tworzenia krajowego schematu certyfikacji.

Obowiązki i sankcje

Posiadacz certyfikatu musi m.in.:

  • informować o wykrytych podatnościach,
  • przekazywać dokumentacji na żądanie organu nadzorczego,
  • utrzymywać zgodność przez cały okres obowiązywania certyfikatu.

W przypadku stwierdzenia niezgodności certyfikat może zostać zawieszony lub cofnięty. Dodatkowo, Minister Cyfryzacji może nałożyć kary pieniężne sięgające choćby dwudziestokrotności przeciętnego wynagrodzenia m.in. w przypadku:

  • utrudniania przeprowadzenia przez Ministra Cyfryzacji kontroli jednostki oceniającej zgodność lub dostawcy poddającego swoje rozwiązanie ICT ocenie zgodności (art. 33 ust. 3 i art. 28 UKSCC),
  • nieprzekazania na wezwanie Ministra Cyfryzacji wymaganych próbek lub informacji dotyczących certyfikowanych produktów przez dostawcę produktu ICT (art. 33 ust. 5 w zw. z art. 30 UKSCC),
  • braku publicznego udostępnienia obowiązkowych informacji o cyberbezpieczeństwie przez dostawcę w zakresie produktów, dla których wydano unijną deklarację zgodności (art. 33 ust. 6 UKSCC w zw. z art. 55 Aktu o cyberbezpieczeństwie),

Kara pieniężna może zostać nałożona na jednostkę oceniającą zgodność, która nie dopełniła określonych obowiązków (art. 33 ust. 1 i 2 UKSCC) lub odpowiednio na dostawcę, który uzyskał certyfikat bądź poddał swoje rozwiązanie ocenie celem uzyskania certyfikatu (art. 33 ust. 3-7 UKSCC).

Program EUCC – europejskie wspólne kryteria

Pierwszym (i dotychczas jedynym) przyjętym programem certyfikacji na poziomie unijnym jest European Union Common Criteria (EUCC)[5], oparty o międzynarodowy standard ISO/IEC 15408. Certyfikaty EUCC obejmują dwa poziomy zaufania: „istotny” i „wysoki”. Uzyskanie certyfikatu daje producentowi prawo do posługiwania się oficjalnym znakiem i etykietą, zwiększając tym samym wiarygodność swojego produktu na rynku.

Certyfikat EUCC może być wydawany dla:

  • produktów ICT,
  • ich dokumentacji,
  • profili zabezpieczeń (procesów ICT określających wymagania dla danej klasy produktów, które mogą być certyfikowane samodzielnie, ale zawsze w perspektywie przyszłej certyfikacji konkretnych wyrobów).

Proces uzyskania certyfikatu EUCC dla produktu ICT przebiega dwuetapowo. Obejmuje: ocenę techniczną dokonywaną przez jednostkę oceniającą bezpieczeństwo oraz weryfikację, którą realizuje organ certyfikujący. Certyfikaty są wydawane na okres do pięciu lat, z możliwością wyjątkowego przedłużenia.

Produkty opatrzone europejskim certyfikatem podlegają regularnym kontrolom prowadzonym przez Ministra Cyfryzacji (co najmniej 4% certyfikatów rocznie), jednostki certyfikujące oraz w ramach samokontroli. Sankcje za niedopełnienie obowiązków obejmują zawieszenie lub cofnięcie certyfikatu, a w razie wykrycia podatności – obowiązek ich publicznego ujawnienia.

Korzyści wynikające z certyfikacji

Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa stanowi istotny krok w budowaniu skutecznego ekosystemu cyberbezpieczeństwa w Polsce. Choć certyfikacja cyberbezpieczeństwa pozostaje na razie dobrowolna, jej przeprowadzenie już teraz może zapewnić przedsiębiorcom istotną przewagę konkurencyjną.

[1] Rozporządzenie 2019/881 w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie)

[2] Dyrektywa 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148

[3] Rozporządzenie 2024/2847 w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz w sprawie zmiany rozporządzeń (UE) nr 168/2013 i (UE) 2019/1020 i dyrektywy (UE) 2020/1828 (akt o cyberodporności)

[4] Projekt rozporządzenia znajduje się pod adresem: https://orka.sejm.gov.pl/Druki10ka.nsf/0/F3B55E4BAB961515C1258C85002F9830/%24File/1238.pdf, str. 167-178.

[5] Rozporządzenie wykonawcze Komisji (UE) 2024/482 z dnia 31 stycznia 2024 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 w odniesieniu do przyjęcia europejskiego programu certyfikacji cyberbezpieczeństwa opartego na wspólnych kryteriach (EUCC).

Idź do oryginalnego materiału
  1. Strona główna
  2. Prawo
  3. Nowe ramy prawne certyfikacji cyberbezpieczeństwa. Co zmienia ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa?

Powiązane

Potrzeby pożyczkowe budżetu brutto w 2026 r. wyniosą 690 mld zł. Rosną koszty obsługi długu publicznego

Potrzeby pożyczkowe budżetu brutto w 2026 r. wyniosą 690 mld...

8 godzin temu
Przepisy mające przyspieszyć wydawanie dzieci w sprawach opartych na konwencji haskiej budzą kontrowersje

Przepisy mające przyspieszyć wydawanie dzieci w sprawach opa...

9 godzin temu
Frekwencja w szkole. Ministerstwo edukacji idzie na wojnę z wagarami

Frekwencja w szkole. Ministerstwo edukacji idzie na wojnę z ...

9 godzin temu
Spór o edukację zdrowotną jest dla szkoły jałowy, a dla polityków pożyteczny [OPINIA]

Spór o edukację zdrowotną jest dla szkoły jałowy, a dla poli...

11 godzin temu
Uzasadnienie podwyżki CIT dla banków? "Bezprecedensowe zyski" i potrzeby zbrojeniowe

Uzasadnienie podwyżki CIT dla banków? "Bezprecedensowe zyski...

11 godzin temu
NIK MASAKRUJE KNF. Kto odpowiada za afery GETIN, POLNORD, URSUS i PBA? KONFRONTACJA

NIK MASAKRUJE KNF. Kto odpowiada za afery GETIN, POLNORD, UR...

12 godzin temu
Bogatym łatwiej się bronić. Recesja za Odrą zakazi polską gospodarkę

Bogatym łatwiej się bronić. Recesja za Odrą zakazi polską go...

12 godzin temu
Dodatek mieszkaniowy 2025. Dopłata do wynajmu mieszkania. Ile wynosi i jakie są kryteria?

Dodatek mieszkaniowy 2025. Dopłata do wynajmu mieszkania. Il...

14 godzin temu
Mandat za korzystanie z nawigacji w aucie? Przepisy i kary od sierpnia 2025

Mandat za korzystanie z nawigacji w aucie? Przepisy i kary o...

14 godzin temu

Polecane

Largest Economy in the World Introduces $250 Visa Integrity Fee for Foreign Travelers

Largest Economy in the World Introduces $250 Visa Integrity ...

42 minut temu
FAA Approves Boeing 777X New Phase 2D Noise Testing

FAA Approves Boeing 777X New Phase 2D Noise Testing

42 minut temu
Nutcase Leftists Are Adamant That Trump Is Terminally Ill

Nutcase Leftists Are Adamant That Trump Is Terminally Ill

43 minut temu
These Are The 20 Most Densely Populated Countries And Territories In The World

These Are The 20 Most Densely Populated Countries And Territ...

43 minut temu
Trump Says He Will Issue Executive Order To Require Voter ID

Trump Says He Will Issue Executive Order To Require Voter ID...

43 minut temu
’We Have Many Options’: US Warships Pass Through Panama Canal Toward Southern Caribbean

’We Have Many Options’: US Warships Pass Through Panama Cana...

43 minut temu
Replacement Of American Truckers With Unvetted, Unqualified Migrant Drivers Must Stop

Replacement Of American Truckers With Unvetted, Unqualified ...

43 minut temu
How The US Will Force Yields Lower Across The Curve

How The US Will Force Yields Lower Across The Curve

43 minut temu
Fecal Fiasco: Labor Day Letdown As East Coast Beaches Close Due To Contamination

Fecal Fiasco: Labor Day Letdown As East Coast Beaches Close ...

43 minut temu