MC: Ramy prawne dla certyfikacji cyberbezpieczeństwa - projekt ustawy Ministerstwa Cyfryzacji (komunikat)

- Ministerstwo Cyfryzacji informuje:

Rada Ministrów przyjęła projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa przygotowany przez Ministerstwo Cyfryzacji. Przepisy umożliwią wydawanie europejskich i krajowych certyfikatów dla produktów, usług i procesów ICT. Dobrowolna certyfikacja jest zgodna z unijnymi standardami. Ma zwiększyć bezpieczeństwo danych, wspierać rozwój technologii, ułatwiać udział w przetargach i potwierdzać odporność na cyberzagrożenia. Projekt przewiduje udział zarówno firm, jak i instytucji publicznych w ocenie zgodności oraz nadzór Ministra Cyfryzacji i Polskiego Centrum Akredytacji nad systemem.

"Cyberbezpieczeństwo to dziś fundament zaufania w cyfrowym świecie. Nowe prawo, które przygotowaliśmy, to nie tylko narzędzie ochrony – to także impuls dla rozwoju technologii, konkurencyjności i odporności państwa. Tworzymy jasne i równe zasady, które pozwolą firmom budować wiarygodność, a obywatelkom i obywatelom – korzystać z bezpiecznych rozwiązań cyfrowych" – mówi wicepremier i minister cyfryzacji Krzysztof Gawkowski.

Certyfikat cyberbezpieczeństwa – zaufanie i odporność

Nowe przepisy mają zwiększyć bezpieczeństwo cyfrowe w całej Unii Europejskiej. System oparty na europejskim Akcie o cyberbezpieczeństwie umożliwi potwierdzenie, że dany produkt lub usługa spełnia określone standardy ochrony.

Certyfikacja pozwoli:

- zwiększyć odporność cyfrową instytucji publicznych, firm i infrastruktury krytycznej,

- budować zaufanie użytkowników do certyfikowanych rozwiązań,

- wspierać rozwój nowoczesnych technologii w sektorze ICT.

Jasne oznaczenie cyberbezpieczeństwa dla użytkowników

Produkty, usługi, aplikacje i oprogramowanie z certyfikatem będą zawierać czytelną informację o poziomie ochrony danych i odporności na cyberataki. Konsument zyska możliwość świadomego wyboru – certyfikat stanie się gwarancją cyfrowego bezpieczeństwa.

Certyfikacja potwierdzi, że dane rozwiązanie spełnia wymagania w zakresie ochrony danych i odporności na zagrożenia. Umieszczone oznaczenie pomoże firmom budować reputację i wiarygodność – zarówno w relacjach z klientami, jak i partnerami biznesowymi.

Przewaga konkurencyjna i nowe możliwości

Firmy posiadające certyfikat będą mogły skuteczniej rywalizować na rynku. Spełnienie wymogów europejskich otwiera dostęp do nowych rynków i projektów w branży ICT, komunikacji cyfrowej czy sztucznej inteligencji.

Możliwa będzie certyfikacja:

- produktów i usług ICT,

- procesów organizacyjnych,

- usług związanych z zarządzaniem bezpieczeństwem,

- systemów zarządzania cyberbezpieczeństwem,

- osób spełniających wymogi określone w schematach certyfikacyjnych.

Certyfikacja jest dobrowolna. Oznacza to, że firma może, ale nie musi przystąpić do procesu. Ustawa umożliwi wydawanie w Polsce europejskich certyfikatów, które będą automatycznie uznawane przez wszystkie państwa członkowskie Unii Europejskiej.

Prostszy dostęp do unijnego rynku

Polskie firmy zyskają przewagę na rynku dzięki możliwości potwierdzenia jakości produktów i usług zgodnie z unijnymi wymaganiami. Certyfikaty będą respektowane także w przetargach publicznych instytucji krajów UE. Uproszczone procedury ułatwią konkurowanie certyfikowanych produktów na rynkach europejskich.

"Chcemy, żeby system certyfikacji cyberbezpieczeństwa był realnym wsparciem dla firm. Nie tworzymy dodatkowych barier, lecz warunki do rozwoju – zgodne z europejskimi standardami, a jednocześnie elastyczne i przyjazne rynkowo. Przejrzyste zasady i dobrowolność udziału to klucz do budowania zaufania, a także silnej pozycji polskich przedsiębiorstw w całej Unii Europejskiej" – mówi wiceminister cyfryzacji Paweł Olszewski.

Nowe szanse dla krajowego rynku certyfikacji

Ustawa wprowadza jednolite zasady dla wszystkich podmiotów, np. NASK, które będą oceniać zgodność produktów z wymogami cyberbezpieczeństwa i wydawać certyfikaty. Dzięki temu, że europejskie certyfikaty będą ważne we wszystkich państwach członkowskich, polskie jednostki oceniające zgodność będą mogły przyciągnąć klientów z innych państw, w szczególności z Europy Środkowo-Wschodniej.

Przewidziano również możliwość tworzenia krajowych schematów certyfikacyjnych. W ich ramach możliwe będzie wydawanie polskich certyfikatów dla tych produktów i usług, które nie podlegają regulacjom unijnym. To rozwiązanie umożliwi promowanie wysokich standardów bezpieczeństwa także w obszarach nieobjętych prawem UE.

Ułatwienia dla firm i konsumentów

Krajowy certyfikat:

- zwiększy wiarygodność firmy na rynku,

- ułatwi decyzje zakupowe konsumentom,

- będzie mógł być wymagany w przetargach publicznych i projektach partnerstwa publiczno-prywatnego.

Koszty badań laboratoryjnych potrzebnych do uzyskania certyfikatu ponosi przedsiębiorca. Jednak sama ustawa nie reguluje kwestii cen, co zapewni konkurencyjność i elastyczność ofert rynkowych.

Równe zasady dla sektora publicznego i prywatnego

Firmy – na równi z instytucjami publicznymi – będą mogły wydawać certyfikaty na wszystkich poziomach bezpieczeństwa, także tych najwyższych. Ustawa nie wprowadza dodatkowych wymagań dla jednostek oceniających zgodność.

Zasady współpracy pomiędzy firmami a jednostkami certyfikującymi będą określane w umowach, które muszą zawierać:

- zakres certyfikacji,

- sposób ochrony danych i informacji poufnych,

- zasady odpowiedzialności za opóźnienia.

Nadzór i odpowiedzialność

Minister Cyfryzacji – we współpracy z Polskim Centrum Akredytacji – będzie czuwać nad funkcjonowaniem całego systemu certyfikacji. Będzie też odpowiedzialny za:

- nadzór nad jednostkami certyfikującymi,

- wyjaśnianie nieprawidłowości zgłoszonych przez obywateli,

- kontrolę zgodności produktów z programami certyfikacyjnymi.

W przypadku europejskich certyfikatów najwyższego poziomu minister będzie mógł cofnąć certyfikat, jeśli badanie wykaże niespełnienie wymaganych standardów.

Nowa ustawa – impuls dla cyfrowego bezpieczeństwa Polski

Ustawa będzie stanowić fundament dla wzmocnienia krajowego systemu cyberbezpieczeństwa - połączy interesy firm, konsumentów i administracji. Z jednej strony wesprze rozwój innowacyjnych rozwiązań cyfrowych, z drugiej – pozwoli lepiej chronić dane i wzmacniać zaufanie do usług cyfrowych.

UWAGA: komunikaty publikowane są w serwisie PAP bez wprowadzania przez PAP SA jakichkolwiek zmian w ich treści, w formie dostarczonej przez nadawcę. Nadawca komunikatu ponosi odpowiedzialność za jego treść – z zastrzeżeniem postanowień art. 42 ust. 2 ustawy prawo prasowe.(PAP)

kom/ kk/ lm/