Zgodnie z założeniami rządowej "Strategii cyberbezpieczeństwa dla RP" CERT/CSIRT Narodowy ma być budowany na bazie CERT Polska, który działa w ramach NASK. Utworzenie CERT Narodowego ma nastąpić na podstawie umowy pomiędzy NASK a Ministerstwem Cyfryzacji. Obecnie NASK, który jest instytutem naukowo-badawczym nadzorowanym od niedawna przez ministra cyfryzacji, prowadzi też działalność komercyjną przez spółki zależne i ma monopol domenowy. Dzięki temu generuje spore przychody. Otwartym jest więc pytanie, czy gdyby NASK powierzono zadania związane z tworzeniem CERT-u Narodowego, oznaczać to będzie automatycznie odcięcie tej instytucji  od komercyjnej działalności.

Zastępca dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji Piotr Januszewicz podczas dyskusji w siedzibie spółki Orange Polska nie chciał jeszcze w tej sprawie składać ostatecznych deklaracji.

 - W tej sprawie będą robione jeszcze analizy. Mamy jednak świadomość, że zagwarantowanie odpowiednio wysokich uposażeń wysoko wyszkolonym pracownikom CERT Narodowego, może być problemem dla instytucji publicznej. Właśnie w  kontekście zapewnienia odpowiedniego finansowania tej instytucji trzeba rozpatrywać tę kwestię. Zależy nam bowiem na zatrzymaniu fachowców, a uposażenia mogą być tu problemem - oświadczył Piotr Januszewicz.

Z kolei wiceprezes Orange Polska Piotr Muszyński zgadza się, że CERT Narodowy - zgodnie z intencją autorów założeń do "Strategii cyberbezpieczeństwa dla RP" - może być budowany w oparciu o CERT Polska działający w ramach  NASK. Jego zdaniem musi to być jednak instytucja niekomercyjna, by nie istniały wątpliwości w kwestii przekazywania jej wrażliwych danych.