Logotyp serwisu CyberDefence24
Reklama

Komisja przyjęła projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa

Projekt ustawy o systemie certyfikacji cyberbezpieczeństwa został przyjęty przez sejmową komisję cyfryzacji. Co znalazło się w poprawkach zgłoszonych przez komisję?
Projekt ustawy o systemie certyfikacji cyberbezpieczeństwa został przyjęty przez sejmową komisję cyfryzacji. Co znalazło się w poprawkach zgłoszonych przez komisję?
Autor. Mimi Thian/Unsplash

Sejmowa Komisja Cyfryzacji przyjęła projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa. I czytanie przyniosło kilkanaście poprawek do tekstu dokumentu. Regulacja ma dostosować polskie przepisy do unijnego Aktu o cyberbezpieczeństwie w zakresie certyfikacji.

Sprawa krajowego systemu certyfikacji cyberbezpieczeństwa toczy się od zeszłego roku.  Na początku maja poznaliśmy założenia projektu ustawy, zaś sam dokument został zaprezentowany pod koniec miesiąca. Na łamach CyberDefence24 informowaliśmy też o przyjęciu projektu przez rząd, co miało miejsce nieco ponad miesiąc temu.

Reklama

Projekt ustawy przed komisją

We wtorek 3 czerwca br. projekt ustawy trafił pod obrady sejmowej Komisji Cyfryzacji. Jak wyjaśniał wiceminister Paweł Olszewski, dokument dostosuje polskie prawo do rozporządzenia unijnego znanego jako Akt o cyberbezpieczeństwie. Ma również na celu m.in. zwiększenie odporności cyfrowej instytucji publicznych czy firm, a także wsparcie nowoczesnych technologii w sektorze ICT.

Dodatkowo, na produktach, usługach czy aplikacjach posiadających certyfikaty mają pojawić się informacje dotyczące odporności na cyberataki i zapewnionej ochrony danych.

Konsument zyska możliwość świadomego wyboru produktów i usług wyróżniających się pod względem jakości i bezpieczeństwa” – wskazał wiceszef resortu cyfryzacji.

Dodatkowo, w ustawie przewidziano wyznaczenie Krajowego Organu do Spraw Certyfikacji Cyberbezpieczeństwa. Ma nim być minister właściwy ds. informatyzacji, czyli szef resortu cyfryzacji. Będzie odpowiedzialny za kontrole wraz z Polskim Centrum Akredytacji oraz nadzór nad podmiotami z Krajowego Systemu Certyfikacji Cyberbezpieczeństwa.

Czytaj też

Reklama

Zapis zapewniający transparentność

Podczas rozpatrywania samej zawartości projektu, większość zgłoszonych poprawek miała charakter redakcyjny. Zdziwienie przedstawicieli Biura Legislacyjnego Sejmu wzbudził jednak zapis art. 4 ust. 4 dokumentu. Ich zdaniem, przepis dotyczący nierealizowania nadzoru nad państwowymi instytutami badawczymi przez tę samą komórkę w urzędzie obsługującym ministra ds. cyfryzacji nie musi znajdować się w ustawie.

Marcin Wysocki z Departamentu Cyberbezpieczeństwa wskazał jednak w odpowiedzi, że załącznik do Aktu o cyberbezpieczeństwie wskazuje na konieczność zapewnienia transparentności i niezależności wykonywania kompetencji związanych z Krajowym Organem ds. Certyfikacji Cyberbezpieczeństwa. Pod tym kątem wzorowano się m.in. na rozwiązaniach w innych krajach UE.

Zdecydowaliśmy się na takie rozdzielenie merytoryczne właśnie tych kompetencji, które by się łączyły u ministra cyfryzacji. W naszej ocenie takie rozwiązanie spełnia te wszystkie wymogi wynikające z prawa unijnego” – wyjaśnił przedstawiciel resortu.

Czytaj też

Reklama

Rozporządzenie fakultatywne

Pojawiło się także pytanie dotyczące odesłań do Krajowego Schematu Certyfikacji Cyberbezpieczeństwa, pojawiających się w tekście ustawy. Według art. 15 projektu, KSCC ma zostać określony fakultatywnym rozporządzeniem, zatem przepisy nie będą działać do czasu wydania odpowiedniego dokumentu. 

Wiceminister Olszewski wyjaśnił, że rozporządzenie ma być odpowiedzią na potrzeby rynku, zaś faktultatywność i przejrzystość są ideą wdrożenia prawa unijnego.

Jeżeli okaże się potrzebne, są osoby posiadające konkretne kompetencje - to minister będzie mógł w drodze rozporządzenia wydać krajowy schemat certyfikacji cyberbezpieczeństwa określający wymagania i sposób uzyskiwania certyfikatu potwierdzającego dane kwalifikacje” – dodał wiceszef resortu cyfryzacji.

Czytaj też

Reklama

Wątpliwości wokół kryteriów

W innym pytaniu zwrócono z kolei uwagę na kryteria zawieszania zezwolenia doyczące czynności w zakresie certyfikacji cyberbezpieczeństwa, zawarte w ust. 6 i 9. Określono je jako „bardzo ogólne”, zaś zdaniem pytającego powinny być „bardziej precyzyjne”

Wiceszef Ministerstwa Cyfryzacji zapewnił jednak, że wspomniane zezwolenie będzie od razu cofane w przypadku braku zgodności z przepisami i niemożnością jego przywrócenia. Wskazał zarówno na naruszenia będące przestępstwami, jak i niezaliczające się do tego grona.

„U_ważamy, że ten zapis daje nam absolutną elastyczność i wspiera sam proces certyfikacji i przejrzystość tego procesu_” – dodał Olszewski.

Ostatecznie projekt został przyjęty wraz z poprawkami przez komisję, zaś na posła sprawozdawcę wyznaczono Pawła Bliźniuka z Koalicji Obywatelskiej. Teraz projekt czeka II czytanie na sali sejmowej.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].

Reklama
Reklama

SK@NER: Jak przestępcy czyszczą nasze konta?

Komentarze

    Reklama

    Czytaj także

    Nowy phishing z Iranu. Odpowiada za niego znana grupa
    Duży incydent w Hiszpanii. Wyciekły dane premiera i rządu
    Wizy edukacyjne do USA. Znamy stanowisko UODO
    Apple wprowadza zmiany. Efekt postępowania KE
    Sejm uprości dostęp do danych. mObywatel zyska nowe funkcje
    #CyberWojska Danii - zintegrowane struktury i elastyczność operacyjna
    Ransomware, czyli poważne zagrożenie dla polskich organizacji
    Ataki ransomware. Jak się przed nimi skutecznie chronić?
    Problem Muska w Unii Europejskiej - chodzi o sztuczną inteligencję
    AI jako fact-checker na wojnie izraelsko-irańskiej