Reklama

Cyberbezpieczeństwo

Krajowy system certyfikacji cyberbezpieczeństwa. Jest projekt

kable internetowe
Czas zająć się certyfikacja w cyberbezpieczeństwie.
Autor. Brett Sayles/Pexels

Opublikowano projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa. Jego celem jest zorganizowanie procedur dla certyfikacji cyberbezpieczeństwa produktów i usług ICT oraz określenie nadzoru i kontroli nad certyfikowanymi podmiotami. Ważną rolę odegra jedno z centrów.

Projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa wynika z konieczności implementacji rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych. Jego pojawienie się zapowiadaliśmy już w tym tekście.

Teraz pojawił się dokument określający szczegółowe założenia systemu certyfikacji.

„Krajowy system certyfikacji cyberbezpieczeństwa ma na celu wspieranie wytwarzania wysokiej jakości produktów ICT, usług ICT i procesów ICT przez wprowadzenie procedur w zakresie certyfikacji produktów ICT, usług ICT lub procesów ICT w ramach europejskich albo krajowych programów certyfikacji cyberbezpieczeństwa” - czytamy w projekcie.

System certyfikacji cyberbezpieczeństwa obejmie: ministra właściwego do spraw informatyzacji (chodzi o ministra cyfryzacji); Polskie Centrum Akredytacji; jednostki prowadzące ocenę produktów ICT, usług ICT lub procesów ICT w zakresie cyberbezpieczeństwa; dostawców produktów ICT, usług ICT lub procesów ICT (którzy poddają je ocenie).

Reklama

Ocena zgodności produktów, usług, procesów ICT jest określona na podstawie europejskiego programu certyfikacji cyberbezpieczeństwa na warunkach określonych w umowie (między dostawcą a jednostką oceniającą zgodność). Z kolei ocena zgodności odbywa się zgodnie z wymogami bezpieczeństwa, określonymi w krajowym programie certyfikacji cyberbezpieczeństwa.

Czytaj też

Uprawnienia ministra

Minister właściwy do spraw informatyzacji (czyli minister cyfryzacji) pełni funkcję krajowego organu do spraw certyfikacji cyberbezpieczeństwa. Do jego zadań należy m.in. sprawowanie nadzoru nad funkcjonowaniem krajowego systemu certyfikacji cyberbezpieczeństwa; przeprowadzanie kontroli w stosunku do podmiotów krajowego systemu certyfikacji cyberbezpieczeństwa; przeprowadzanie wzajemnego przeglądu; współpraca z innymi podmiotami (w szczególności z Polskim Centrum Akredytacji); zatwierdzanie europejskich certyfikatów cyberbezpieczeństwa (o poziomie uzasadnienia zaufania wysoki); rozpoznawanie skarg złożonych na jednostki oceniające zgodność; przekazywanie ENISA oraz Europejskiej Grupie do Spraw Certyfikacji Cyberbezpieczeństwa (ECCG) corocznego raportu z działań czy uczestniczenie w pracach ECCG.

Minister może z urzędu, w drodze decyzji, cofnąć albo zawiesić zezwolenie, jeśli jednostka oceniająca zgodność naruszyła przepisy rozporządzenia (2019/881), ustawy lub określonego europejskiego programu certyfikacji cyberbezpieczeństwa. Decyzję o zawieszeniu zezwolenia wydaje się na czas określony (nie dłuższy niż 2 lata).

Reklama

Minister miałby określać (w drodze rozporządzenia) krajowe programy certyfikacji cyberbezpieczeństwa dla wybranych produktów ICT, usług ICT lub procesów ICT. Chodzi o zarówno: wymogi; warunki wydania, utrzymywania, przedłużania i odnawiania ważności krajowych certyfikatów; sposób monitorowania produktów, usług, procesów i ich zgodności pod względem wymogów krajowych programów certyfikacji; dokumentację techniczną i sposób jej przechowywania; treść i wzór graficzny krajowych certyfikatów czy okres dostępności dokumentacji technicznej.

Minister może też - w ramach przeprowadzanej kontroli - poddać produkt/ usługę/proces ICT, któremu został wydany europejski/ krajowy certyfikat lub deklaracja zgodności, badaniom; bądź zlecić ich przeprowadzenie. Uchylenie certyfikatu nastepuje na drodze decyzji ministra. Koszty badań ponosi dostawca.

Natomiast państwowe instytuty badawcze wspierają ministra w realizacji takich zadań jak: przygotowanie opinii, analiz, ekspertyz, weryfikacja dokumentów; przeprowadzanie badań produktów ICT; publikacja specyfikacji technicznych, norm i standardów; reprezentowanie krajowych interesów w grupach normalizacyjnych; przygotowanie krajowych programów certyfikacji cyberbezpieczeństwa; realizowanie czynności z zakresu oceny zgodności.

Dodatkowo ich zadaniem jest „rozwijanie potencjału badawczo-rozwojowego oraz zdolności w obszarze oceny zgodności i certyfikacji cyberbezpieczeństwa”.

Reklama

Kary pieniężne na rzecz Funduszu Cyberbezpieczeństwa

W projekcie ustawy przewidziano także kary pieniężne, nakładane na dostawców produktów/ usług/ procesów, którzy nie wykonują obowiązków dotyczących certyfikacji. Jej wysokość może wynosić do dwudziestokrotności przeciętnego wynagrodzenia. O karach pieniężnych decyduje minister, a ustalając jej wysokość bierze pod uwagę zakres lub charakter naruszenia oraz dotychczasową działalność podmiotu.

Wpływy z tytułu kar pieniężnych stanowią przychód Funduszu Cyberbezpieczeństwa. Od decyzji ministra w sprawie nałożenia kary pieniężnej przysługuje odwołanie do Sądu Okręgowego w Warszawie – Sądu Ochrony Konkurencji i Konsumentów.

Polskie Centrum Akredytacji

Jak informowaliśmy, istotną rolę w krajowym systemie certyfikacji cyberbezpieczeństwa będzie pełniło również Polskie Centrum Akredytacji (PCA). Do jego zadań należy nadzorowanie akredytowanych podmiotów.

W ustawie wskazano, że to PCA jest jednostką, która dokonuje akredytacji podmiotu oceniającego zgodność procedur. Informuje też ministra (nie później niż w terminie 14 dni) o udzieleniu akredytacji. Udziela się jej na nie dłużej niż 5 lat. Przekazuje również ministrowi wiadomość o odmowie udzielenia akredytacji, jej cofnięciu, zawieszeniu, ograniczeniu zakresu jednostce oceniającej zgodność.

Polskie Centrum Akredytacji sprawuje też nadzór w zakresie udzielonej akredytacji nad jednostkami oceniającymi zgodność produktów/ usług/ procesów ICT.

Koszty systemu certyfikacji

Na wdrożenie systemu certyfikacji cyberbezpieczeństwa w budżecie państwa przewidziano w 2024 roku 784 tys. zł; w 2025 - 10,19 mln; w 2026 roku i aż do 2033 roku - po 12 mln rocznie.

Ustawa ma wejść w życie po upływie miesiąca od dnia ogłoszenia.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Komentarze

    Reklama