Ustawa z dnia 25 czerwca 2025 r. o krajowym systemie certyfikacji cyberbezpieczeństwa (Dz. U. z 2025 r. poz. 1017) – zw. dalej: „ustawą”, reguluje ważny aspekt cyberbezpieczeństwa, dlatego też tak istotne jest, aby przybliżać jej regulacje. Dzisiaj skupimy się na przedstawieniu podmiotów, które wchodzą w skład krajowego systemu certyfikacji cyberbezpieczeństwa.
Na jakie podstawy prawne należy zwrócić uwagę analizując przedmiotowe zagadnienie?
Tytułem wstępu należy wyjaśnić, że przedmiotową kwestię szczegółowo reguluje art. 3 ust. 2 ustawy.
W tym miejscu warto jest również wskazać, że krajowy system certyfikacji cyberbezpieczeństwa stanowi zbiór podmiotów, o których mowa w art. 3 ust. 2 ustawy (szczegółowo opisane w dalszej części publikacji) oraz procedur związanych z certyfikacją produktów ICT, usług ICT, procesów ICT lub usług zarządzanych w zakresie bezpieczeństwa, w ramach europejskich programów certyfikacji cyberbezpieczeństwa albo krajowych schematów certyfikacji cyberbezpieczeństwa oraz procedur w zakresie certyfikacji systemów certyfikacji cyberbezpieczeństwa lub osób fizycznych w ramach krajowych schematów certyfikacji cyberbezpieczeństwa, wspierających:
- wytwarzanie wysokiej jakości produktów ICT (wyjaśnienie – element lub grupę elementów sieci lub systemów informatycznych), usług ICT (wyjaśnienie – usługa polegająca w pełni lub głównie na przekazywaniu, przechowywaniu, pobieraniu lub przetwarzaniu informacji za pośrednictwem sieci i systemów informatycznych), procesów ICT (wyjaśnienie – zestaw czynności wykonywanych w celu projektowania, rozwijania, dostarczania lub utrzymywania produktów ICT lub usług ICT) i usług zarządzanych w zakresie bezpieczeństwa (wyjaśnienie – usługa świadczona osobie trzeciej, polegająca na prowadzeniu lub zapewnianiu pomocy dla działań związanych z zarządzaniem ryzykiem w zakresie cyberbezpieczeństwa, takich jak postępowanie w przypadku incydentu, testy penetracyjne, audyty bezpieczeństwa i doradztwo w ramach wsparcia technicznego, w tym doradztwo fachowe);
- budowę systemów zarządzania cyberbezpieczeństwem;
- zapewnienie:
a) wykwalifikowanych specjalistów w obszarze cyberbezpieczeństwa,
b) spełniania przez produkty ICT, usługi ICT, procesy ICT i usługi zarządzane w zakresie bezpieczeństwa wymogów w zakresie ochrony dostępności, autentyczności, integralności i poufności przetwarzanych danych,
c) bezpieczeństwa oferowanych lub dostępnych produktów ICT, usług ICT, procesów ICT i usług zarządzanych w zakresie bezpieczeństwa w trakcie ich całego cyklu życia oraz powiązanych z nimi funkcji.
Podmioty, które wchodzą w skład krajowego systemu certyfikacji cyberbezpieczeństwa
Krajowy system certyfikacji cyberbezpieczeństwa obejmuje:
- ministra właściwego do spraw informatyzacji;
- Polskie Centrum Akredytacji;
- jednostki oceniające zgodność;
- dostawców, którzy poddają swoje produkty ICT, usługi ICT, procesy ICT lub usługi zarządzane w zakresie bezpieczeństwa ocenie zgodności w ramach danego europejskiego programu certyfikacji cyberbezpieczeństwa albo danego krajowego schematu certyfikacji cyberbezpieczeństwa;
- osoby fizyczne, które poddają swoją wiedzę i umiejętności praktyczne ocenie zgodności w ramach danego krajowego schematu certyfikacji cyberbezpieczeństwa;
- podmioty, które poddają wykorzystywane przez siebie systemy zarządzania cyberbezpieczeństwem ocenie zgodności w ramach danego krajowego schematu certyfikacji cyberbezpieczeństwa.
W razie jakichkolwiek pytań związanych z powyższą materią zapraszamy do kontaktu z mec. Maciejem Prusakiem (maciej.prusak@bsjp.pl).