Polityka i prawo

Owocne spotkanie Zespołu ds. Certyfikacji w Cyberbezpieczeństwie

Fot. Ministerstwo Cyfryzacji
Fot. Ministerstwo Cyfryzacji

Omówienie założeń dostosowania polskiego prawa do wymogów wynikających z Aktu o cyberbezpieczeństwie (Cybersecurity Act) było celem czwartkowego posiedzenia w Ministerstwie Cyfryzacji.

Zespół ds. Certyfikacji to grono ekspertów działających w ramach Grupy Roboczej ds. Cyberbezpieczeństwa, czyli ciała doradczego Ministra Cyfryzacji. W pracach tej grupy uczestniczą liczni specjaliści z sektora prywatnego, stowarzyszeń branżowych oraz organizacji pozarządowych.

Podczas spotkania Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa i lider Zespołu przedstawił proponowany model rozwiązań, który zakłada m.in. współpracę sektora publicznego i prywatnego w celu zapewnienia łatwej dostępności do certyfikacji produktów, usług i procesów w obszarze cyberbezpieczeństwa.

Dodatkowo wskazano, że zgodnie z CSA możliwe jest utworzenie jednej lub wielu jednostek certyfikujących. Mogą być one publiczne lub prywatne. Polskie prawo zna oba modele. Przy jednej jednostce certyfikującej państwo ma większą kontrolę nad tym kto jest certyfikowany; model ten jest jednak niewydolny, kiedy dużo podmiotów jest zainteresowanych uzyskaniem certyfikatu.

Publiczne jednostki certyfikujące można przyporządkować do jednostek, w których obecnie funkcjonują zespoły CSIRT – wymaga to dalszych uzgodnień z tymi jednostkami. Pozwoliłoby to na zachowanie spójności systemu z krajowym systemem cyberbezpieczeństwa. Oznacza to także konieczność ustalenia odgórnie kosztów uzyskania certyfikatu. W przypadku prywatnych jednostek certyfikujących można określić sposoby ich funkcjonowania w oparciu o model stosowany dla wyrobów przeznaczonych na potrzeby obronności i bezpieczeństwa państwa. Koszty certyfikacji powinny być ustalane przez jednostkę na zasadach rynkowych. CSA dopuszcza istnienie wielu krajowych organów ds. certyfikacji cyberbezpieczeństwa (organu nadzoru), ale celem zachowania spójności działań i jednolitego nadzoru sugerowane jest ustanowienie jednego organu nadzoru. Proponowanym krajowym organem jest Minister Cyfryzacji. Do jego obowiązków należałoby m.in. monitorowanie przestrzegania ustawy, monitorowanie wykonywania obowiązków wytwórców lub dostawców w zakresie samooceny, rozpatrywanie skarg.

Według Ministerstwa Cyfryzacji administracja powinna opierać się na bezpiecznych rozwiązaniach, co jest mocnym argumentem za zachęcaniem do używania certyfikowanego sprzętu i oprogramowania. Można to też osiągnąć poprzez nałożenie obowiązku certyfikacji na wybrany sprzęt (domyślnie certyfikacja jest dobrowolna). Przy określeniu podmiotów obowiązanych do obowiązkowej certyfikacji należy odnieść się do rodzaju świadczonych usług oraz wielkość samych operatorów. Dla większości operatorów, szczególnie mniejszych, powinna wystarczyć deklaracja zgodności. Będzie to tańsze rozwiązanie. Do rozważenia jest obowiązek nadania certyfikatu o wyższym stopniu w przypadku operatorów infrastruktury krytycznej o bardzo wysokim znaczeniu (rurociągi, energetyka, obsługa organów centralnych administracji publicznej, łączność).

Niezbędne jest również określenie zasad nadzoru i kontroli, w tym produktów i usług, co do których zachodzi podejrzenie, że zostały niewłaściwie oznaczone certyfikatem. Podejrzenie może też wynikać z uzyskania informacji z innego kraju UE (KE planuje utworzenie systemu na wzór systemu RAPEX dla znaków CE). Należy pamiętać, że mimo iż będzie tylko jeden organ nadzoru, to może być wielu właścicieli programów certyfikacji, którzy będą mieli własne uprawnienia, niewynikające z ustawy. Polecany model kontroli powinien zostać opracowany w oparciu o kryteria zawarte w Prawie Przedsiębiorców (w stosunku do prywatnych jednostek certyfikujących) i ustawie o kontroli w administracji rządowej3 (w stosunku do publicznych jednostek certyfikujących). Powinny być określone sankcje jakie mogą stosować organy kontroli w przypadku niezastosowania się do zaleceń przez podmiot kontrolowany – np. cofnięcie certyfikatu. 

W czwartkowych obradach uczestniczyli również członkowie Zespołu ds. standaryzacji IoT (Grupy Roboczej ds. Internetu Rzeczy), którzy przedstawili efekty swoich prac. Dotychczasowe wnioski wskazują na konieczność połączenia wysiłków obu tematycznych zespołów w celu wypracowania minimalnych wymagań dla bezpieczeństwa Internetu Rzeczy.

Ministerstwo Cyfryzacji zachęca do zgłaszania uwag do propozycji modelu rozwiązań w zakresie certyfikacji cyberbezpieczeństwa w Polsce. Wszelkie sugestie należy przesyłać do dnia 24 stycznia 2020 roku na adres [email protected]

Informacja prasowa Ministerstwa Cyfryzacji

Komentarze

    Czytaj także