Wprowadzenie do projektu ustawy
Projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa opublikowany przez Rządowe Centrum Legislacji 21 maja 2024 roku jest ważnym krokiem w kierunku zwiększenia bezpieczeństwa cyfrowego w Polsce. Głównym celem projektu ustawy jest ustanowienie krajowego systemu certyfikacji, który ma wspierać produkcję i świadczenie wysokiej jakości produktów ICT, usług ICT oraz procesów ICT poprzez wprowadzenie odpowiednich procedur certyfikacyjnych.
Nowe regulacje to odpowiedź na zagrożenia związane z cyberatakami, w tym atakami pochodzącymi ze Wschodu. Wprowadzenie jednolitych standardów bezpieczeństwa ma zapewnić spójną i efektywną ochronę przed cyberzagrożeniami.
Elementy projektu ustawy
Projekt ustawy określa organizację krajowego systemu certyfikacji cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w jego skład. W szczególności projekt definiuje pojęcia związane z cyberbezpieczeństwem, takie jak akredytacja, ocena zgodności, czy certyfikacja. Wprowadza także krajowe programy certyfikacji, które będą nadzorowane przez ministra właściwego do spraw informatyzacji.
1. Organizacja systemu. Krajowy system certyfikacji obejmuje ministra właściwego do spraw informatyzacji, Polskie Centrum Akredytacji oraz jednostki oceniające zgodność. Podmioty te będą odpowiedzialne za ocenę i certyfikację produktów, usług i procesów ICT, zapewniając ich zgodność z europejskimi i krajowymi standardami bezpieczeństwa.
2. Procedury certyfikacyjne. Projekt ustawy przewiduje, że produkty, usługi i procesy ICT mogą być poddane ocenie zgodności zarówno na podstawie europejskich, jak i krajowych programów certyfikacji cyberbezpieczeństwa. Ocena ta będzie obejmować weryfikację zgodności z określonymi wymogami bezpieczeństwa, które będą szczegółowo określone w odpowiednich programach.
3. Nadzór i kontrola. Minister właściwy do spraw informatyzacji będzie pełnił rolę krajowego organu do spraw certyfikacji cyberbezpieczeństwa. Do jego zadań należeć będzie m.in. sprawowanie nadzoru nad funkcjonowaniem systemu certyfikacji, przeprowadzanie kontroli oraz współpraca z Polskim Centrum Akredytacji. Minister będzie również odpowiedzialny za zatwierdzanie europejskich certyfikatów cyberbezpieczeństwa o wysokim poziomie zaufania.
4. Współpraca z instytutami badawczymi. Państwowe instytuty badawcze będą wspierać ministra właściwego do spraw informatyzacji w realizacji zadań związanych z certyfikacją cyberbezpieczeństwa. Ich rolą będzie przygotowywanie opinii, ekspertyz i analiz, weryfikacja dokumentów oraz przeprowadzanie badań produktów ICT. Instytuty te będą również odpowiedzialne za publikację specyfikacji technicznych, norm i standardów.
Kontrowersje i opinie
Publikacja projektu ustawy spotkała się z mieszanymi reakcjami. Część przedsiębiorców i przedstawicieli samorządów wyraziła obawy, że nowe regulacje mogą wprowadzić dodatkowe obciążenia administracyjne i finansowe. Krytycy projektu ustawy podkreślają, że koszty związane z certyfikacją oraz konieczność spełniania nowych wymogów mogą być znaczne, co szczególnie dotknie małe i średnie przedsiębiorstwa.
Jednak zwolennicy projektu ustawy argumentują, że jest on niezbędny w kontekście rosnącego zagrożenia cyberatakami. Wprowadzenie jednolitych standardów bezpieczeństwa ma nie tylko zwiększyć poziom ochrony, ale także poprawić zaufanie do polskich produktów i usług ICT na rynkach międzynarodowych.
Przyszłość cyberbezpieczeństwa w Polsce
Nowe przepisy mają stworzyć spójny i skuteczny system ochrony przed cyberzagrożeniami. Realizacja założeń projektu ustawy będzie wymagała ścisłej współpracy pomiędzy rządem, sektorem prywatnym oraz instytucjami badawczymi. Ważne będzie również monitorowanie i dostosowywanie przepisów do zmieniających się warunków oraz zagrożeń w cyberprzestrzeni.
Projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa, mimo wspomnianych kontrowersji, jest krokiem w kierunku, mającym zwiększyć bezpieczeństwo cyfrowe w Polsce i dostosować krajowe standardy do wymogów europejskich. Przyszłość pokaże, jakie efekty przyniesie wdrożenie tych regulacji i jak wpłyną one na ochronę cyfrowej infrastruktury w kraju.
Opinie ekspertów
Barbara Sowa, konsultant ds. bezpieczeństwa i audytu, 4Prime sp. z o.o.
Rozumiem, że to, co nowe i nieznane może budzić obawy. Nie rozumiem natomiast głosów mówiących, że nowe regulacje pogrążą mniejsze podmioty, jakby zapominając, że atak hakerski i, na przykład, spowodowany nim przestój w działalności może skutkować tym samym. Poza tym, zwracam uwagę, że nie każda technologia czy usługa podnoszące poziom bezpieczeństwa musi kosztować miliony. Mamy usługi, które powstały z myślą o takich właśnie podmiotach. Kosztują one kilka tysięcy złotych miesięcznie, a są kompleksowe i pozwolą szybko zareagować na incydent. Niejednokrotnie może się okazać, że podobne kwoty organizacja bez mrugnięcia okiem wydają na inne, mniej kluczowe dla funkcjonowania firmy przedsięwziecia. Mam nadzieję, że nałożony przez NIS2 obowiązek szkoleń z cyberbezpieczeństwa dla członków zarządu sprawi, że przedsiębiorcy będą wiedzieć o tym obszarze coraz więcej i tym samym bać się zmian coraz mniej.
Stanisław Czapnik, ekspert z dziedziny cyberbezpieczeństwa i rozwoju nowych technologii oraz sztucznej inteligencji, audytor, NT GROUP
Projekt noweli ustawy o KSC, bazując na wchodzącej w życie 18 października 2024 dyrektywie NIS 2 wprowadza z jednej strony oczekiwany w zakresie poprawy ogólnego cyberbezpieczeństwa w UE, z drugiej zaś, na co zwraca uwagę autor artykułu poniesienie znacznych kosztów. W ślad za artykułem, pragnę zwrócić uwagę na kilka istotnych kwestii. Po pierwsze względna spójność przepisów NIS 2 z RODO, ESG oraz DORA nie generuje konieczności wprowadzania znacznej ilości nowych dokumentów. Po drugie standaryzacja procesu zarządzania incydentami, wprowadzenie osób odpowiedzialnych oraz odpowiedzialności instytucjonalnej za incydenty zdecydowanie zwiększy poziom bezpieczeństwa. Po trzecie jednolity nadzór oraz organizacja systemu reagowania na incydenty a także współpraca z instytucjami badawczymi powinno przynieść zakładane przez twórców dyrektywy efekty. Jednakże nie do końca jasne jeszcze sposoby klasyfikacji incydentów mogą wpłynąć na błędne klasyfikowanie, a przez to wadliwą procedurę zgłaszania, a co za tym idzie reakcji na incydenty. Moim zdaniem, powołanie sektorowych zespołów ds. cyberbezpieczeństwa mogłoby usprawnić procesy, jak i obniżyć koszty wdrożenia ustawy w poszczególnych branżach. Jednakże wprowadzenie opisanych przepisów jest jednoznacznym krokiem w przód w zakresie przeciwdziałania cyberprzestępczości zwłaszcza w obecnej sytuacji geopolitycznej.
Renata Davidson, Davidson Consulting i Wspólnicy
Zachęcam właścicieli i zarządy wszystkich podmiotów, które po raz pierwszy zostaną objęte ustawą o KSC, aby spojrzały na jej wymagania jak na szansę. Szansę na uporządkowanie bardzo ważnego obszaru, od którego zależy przetrwanie firmy. Każdy kto zainwestował pieniądze w powstanie i funkcjonowanie spółki, jest żywotnie zainteresowany jej przetrwaniem, ograniczeniem strat i zapobieganiu utracie przychodów. Gdy ktoś pyta mnie o ROI cyberbezpieczeństwa lub ciągłości działania odpowiadam: oszacuj potencjalne straty, których dzięki temu unikniesz. To jest Twoje ROI.
