– Cyberbezpieczeństwo to dziś fundament zaufania w cyfrowym świecie. Nowe prawo, które przygotowaliśmy, to nie tylko narzędzie ochrony – to także impuls dla rozwoju technologii, konkurencyjności i odporności państwa. Tworzymy jasne i równe zasady, które pozwolą firmom budować wiarygodność, a obywatelkom i obywatelom – korzystać z bezpiecznych rozwiązań cyfrowych – mówi wicepremier i minister cyfryzacji Krzysztof Gawkowski.

Nowe przepisy mają zwiększyć bezpieczeństwo cyfrowe w całej Unii Europejskiej. System oparty na europejskim Akcie o cyberbezpieczeństwie umożliwi potwierdzenie, że dany produkt lub usługa spełnia określone standardy ochrony. 

Certyfikacja pozwoli: 

• zwiększyć odporność cyfrową instytucji publicznych, firm i infrastruktury krytycznej, 

• budować zaufanie użytkowników do certyfikowanych rozwiązań, 

• wspierać rozwój nowoczesnych technologii w sektorze ICT. 

Produkty, usługi, aplikacje i oprogramowanie z certyfikatem będą zawierać czytelną informację o poziomie ochrony danych i odporności na cyberataki. Konsument zyska możliwość świadomego wyboru – certyfikat stanie się gwarancją cyfrowego bezpieczeństwa. 

Certyfikacja potwierdzi, że dane rozwiązanie spełnia wymagania w zakresie ochrony danych i odporności na zagrożenia. Umieszczone oznaczenie pomoże firmom budować reputację i wiarygodność – zarówno w relacjach z klientami, jak i partnerami biznesowymi.  

Firmy posiadające certyfikat będą mogły skuteczniej rywalizować na rynku. Spełnienie wymogów europejskich otwiera dostęp do nowych rynków i projektów w branży ICT, komunikacji cyfrowej czy sztucznej inteligencji. 

Możliwa będzie certyfikacja: 

• produktów i usług ICT, 

• procesów organizacyjnych, 

• usług związanych z zarządzaniem bezpieczeństwem, 

• systemów zarządzania cyberbezpieczeństwem, 

• osób spełniających wymogi określone w schematach certyfikacyjnych. 

Certyfikacja jest dobrowolna. Oznacza to, że firma może, ale nie musi przystąpić do procesu. Ustawa umożliwi wydawanie w Polsce europejskich certyfikatów, które będą automatycznie uznawane przez wszystkie państwa członkowskie Unii Europejskiej. 

Polskie firmy zyskają przewagę na rynku dzięki możliwości potwierdzenia jakości produktów i usług zgodnie z unijnymi wymaganiami. Certyfikaty będą respektowane także w przetargach publicznych instytucji krajów UE. Uproszczone procedury ułatwią konkurowanie certyfikowanych produktów na rynkach europejskich. 

– Chcemy, żeby system certyfikacji cyberbezpieczeństwa był realnym wsparciem dla firm. Nie tworzymy dodatkowych barier, lecz warunki do rozwoju – zgodne z europejskimi standardami, a jednocześnie elastyczne i przyjazne rynkowo. Przejrzyste zasady i dobrowolność udziału to klucz do budowania zaufania, a także silnej pozycji polskich przedsiębiorstw w całej Unii Europejskiej – mówi wiceminister cyfryzacji Paweł Olszewski. 

Ustawa wprowadza jednolite zasady dla wszystkich podmiotów, np. NASK, które będą oceniać zgodność produktów z wymogami cyberbezpieczeństwa i wydawać certyfikaty. Dzięki temu, że europejskie certyfikaty będą ważne we wszystkich państwach członkowskich, polskie jednostki oceniające zgodność będą mogły przyciągnąć klientów z innych państw, w szczególności z Europy Środkowo-Wschodniej.  

Przewidziano również możliwość tworzenia krajowych schematów certyfikacyjnych. W ich ramach możliwe będzie wydawanie polskich certyfikatów dla tych produktów i usług, które nie podlegają regulacjom unijnym. To rozwiązanie umożliwi promowanie wysokich standardów bezpieczeństwa także w obszarach nieobjętych prawem UE. 

Krajowy certyfikat: 

• zwiększy wiarygodność firmy na rynku, 

• ułatwi decyzje zakupowe konsumentom, 

• będzie mógł być wymagany w przetargach publicznych i projektach partnerstwa publiczno-prywatnego. 

Koszty badań laboratoryjnych potrzebnych do uzyskania certyfikatu ponosi przedsiębiorca. Jednak sama ustawa nie reguluje kwestii cen, co zapewni konkurencyjność i elastyczność ofert rynkowych. 

Firmy – na równi z instytucjami publicznymi – będą mogły wydawać certyfikaty na wszystkich poziomach bezpieczeństwa, także tych najwyższych. Ustawa nie wprowadza dodatkowych wymagań dla jednostek oceniających zgodność. 

Zasady współpracy pomiędzy firmami a jednostkami certyfikującymi będą określane w umowach, które muszą zawierać: 

• zakres certyfikacji, 

• sposób ochrony danych i informacji poufnych, 

• zasady odpowiedzialności za opóźnienia. 

Minister Cyfryzacji – we współpracy z Polskim Centrum Akredytacji – będzie czuwać nad funkcjonowaniem całego systemu certyfikacji. Będzie też odpowiedzialny za: 

• nadzór nad jednostkami certyfikującymi, 

• wyjaśnianie nieprawidłowości zgłoszonych przez obywateli, 

• kontrolę zgodności produktów z programami certyfikacyjnymi. 

W przypadku europejskich certyfikatów najwyższego poziomu minister będzie mógł cofnąć certyfikat, jeśli badanie wykaże niespełnienie wymaganych standardów. 

Ustawa będzie stanowić fundament dla wzmocnienia krajowego systemu cyberbezpieczeństwa - połączy interesy firm, konsumentów i administracji. Z jednej strony wesprze rozwój innowacyjnych rozwiązań cyfrowych, z drugiej – pozwoli lepiej chronić dane i wzmacniać zaufanie do usług cyfrowych.