Projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa

Uprzejmie informujemy, że do konsultacji publicznych został skierowany projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa.

Projektowana ustawa ma na celu dostosowanie polskiego porządku prawnego do obowiązków wynikających z wejścia w życie (w czerwcu 2019 r.) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie). Stanowi również realizację celu szczegółowego 2. Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019–2024 – podniesienie poziomu odporności systemów informacyjnych administracji publicznej i sektora prywatnego oraz osiągnięcie zdolności do skutecznego zapobiegania i reagowania na incydenty.

Wprowadzenie jednolitych zasad przyznawania certyfikatów cyberbezpieczeństwa i ich wzajemne uznawanie w państwach Unii Europejskiej zapewnią, że przedsiębiorstwa będą w stanie lepiej zabezpieczyć swoje interesy w cyberprzestrzeni. Wzajemne uznawanie certyfikatów zapewni im ponadto lepszą pozycję w konkurencji na rynku europejskim. Działania te przyczynią się do ogólnego wzrostu bezpieczeństwa w cyberprzestrzeni poprzez promocję najbezpieczniejszych rozwiązań oraz dostarczenie konsumentom informacji o bezpieczeństwie produktów i usług. Wyraźne wsparcie państwa w zakresie certyfikacji powinno również przyczynić się do zwiększenia świadomości społecznej w kwestii cyberbezpieczeństwa.

Celem projektowanej ustawy jest:

1) organizacja systemu certyfikacji cyberbezpieczeństwa w Polsce, w szczególności ustanowienie procedur niezbędnych do zapewnienia prawidłowości procesów certyfikacyjnych;

2) określenie sposobu sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy.

Kontrolę w podmiotach należących do krajowego systemu certyfikacji cyberbezpieczeństwa będzie przeprowadzał organ nadzorczy, którym będzie minister właściwy do spraw informatyzacji. Minister będzie dysponował uprawnieniami do przeprowadzania kontroli u podmiotów krajowego systemu cyberbezpieczeństwa, do badania produktów ICT oraz uzyskiwania od tych podmiotów informacji związanych z certyfikowanymi produktami. Będzie również uczestniczył w pracach na forum Unii Europejskiej z tym związanych, zwłaszcza w ramach Europejskiej Grupy Certyfikacji Cyberbezpieczeństwa. W zakresie certyfikatów odwołujących się do poziomu zaufania „wysoki” minister będzie posiadał uprawnienia do zatwierdzania każdego wydanego certyfikatu. Projektowane rozwiązanie jest gwarantem, że ocena zgodności na najwyższym poziomie bezpieczeństwa będzie przeprowadzana zgodnie z najlepszymi standardami w tej dziedzinie.

Jednostki oceniające zgodność będą mogły prowadzić ocenę zgodności i wydawać certyfikaty w ramach europejskich programów certyfikacji cyberbezpieczeństwa. Przyjęty model zakłada, że będą one mogły wydawać certyfikaty odnoszące się do wszystkich poziomów zaufania.

W projekcie wprowadzone zostały kary administracyjne za nierealizowanie określonych obowiązków np. za nieprzekazanie ministrowi informacji w odpowiednim terminie. Prowadzone kontrole oraz nakładane kary zapewnią wysoki poziom certyfikowanych produktów ICT, usług ICT i procesów ICT.

Szczegóły dotyczące proponowanych zmian w prawnych zawarte są w uzasadnieniu oraz Ocenie Skutków Regulacji (OSR), które wraz z projektem aktu prawnego znajdują się w załączeniu.

Link do informacji szczegółowych: https://legislacja.rcl.gov.pl/projekt/12385350

Uprzejmie prosimy o przekazywanie ewentualnych uwag, opinii i stanowisk do projektu w terminie do 18 czerwca 2024 r. na adres: szkop@pracodawcy.pl.