Kilka dni temu w życie weszły nowe, ważne przepisy dotyczące certyfikacji cyberbezpieczeństwa. Nowe przepisy pozwolą na wydawanie europejskich i krajowych certyfikatów bezpieczeństwa dla produktów, usług, systemów i procesów związanych z technologiami informacyjno-komunikacyjnymi (ICT). Będzie to potwierdzenie, że dany produkt, usługa lub proces spełnia określone standardy ochrony danych i odporności na cyberataki. Jest to też ważny dokument w przetargach publicznych.
- Nowe ważne ramy certyfikacji cyberbezpieczeństwa. Weszła w życie ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa
- Ujednolicenie certyfikatów w Unii Europejskiej?
- Zawiła relacja europejskich certyfikatów z krajowymi
- Czym jest krajowy system certyfikacji cyberbezpieczeństwa?
- Ramy krajowego systemu certyfikacji cyberbezpieczeństwa
- Tworzenie krajowych schematów certyfikacji cyberbezpieczeństwa
- Akredytacja i ocena zgodności
- Ocena zgodności z wymogami europejskiego programu certyfikacji cyberbezpieczeństwa
- Rola ministra
Nowe ważne ramy certyfikacji cyberbezpieczeństwa. Weszła w życie ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa
W dniu 28 sierpnia 2025 roku weszła w życie ustawa z 25 czerwca 2025 roku o krajowym systemie certyfikacji cyberbezpieczeństwa, służąca stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz. Urz. UE L 151 z 07.06.2019, str. 15 oraz Dz. Urz. UE L 2025/37 z 15.01.2025).
Rozporządzenie 2019/881 ustanowiło europejskie ramy certyfikacji cyberbezpieczeństwa, wprowadzając możliwość tworzenia europejskich programów certyfikacyjnych oraz wspólne zasady w zakresie uzyskiwania certyfikatów. W motywie 69 przywoływanego rozporządzenia wskazano: konieczne jest zatem przyjęcie wspólnego podejścia i ustanowienie europejskich ram certyfikacji cyberbezpieczeństwa, określających główne wymogi horyzontalne dotyczące europejskich programów certyfikacji cyberbezpieczeństwa, które mają zostać opracowane, oraz umożliwiających uznawanie i posługiwanie się we wszystkich państwach członkowskich europejskimi certyfikatami cyberbezpieczeństwa i unijnymi deklaracjami zgodności odnoszącymi się do produktów ICT, usług ICT lub procesów ICT. [...] Te europejskie ramy certyfikacji cyberbezpieczeństwa powinny mieć dwojaki cel. Po pierwsze powinny pomóc w zwiększeniu zaufania do produktów, usług i procesów ICT, które uzyskały certyfikację na podstawie europejskich programów certyfikacji cyberbezpieczeństwa. Po drugie powinny one pomagać uniknąć mnożenia się sprzecznych lub nakładających się wzajemnie krajowych programów cyberbezpieczeństwa i ograniczyć dzięki temu koszty ponoszone przez przedsiębiorstwa działające na jednolitym rynku cyfrowym. W motywie 70 z kolei: Europejskie ramy certyfikacji cyberbezpieczeństwa należy ustanowić w sposób ujednolicony we wszystkich państwach członkowskich, aby zapobiec praktykom poszukiwania krajów, w których najłatwiej uzyskać certyfikat, z uwagi na różnice w poziomach wymagań w różnych państwach członkowskich.
Ujednolicenie certyfikatów w Unii Europejskiej?
Każdy z certyfikatów wydanych w ramach określonego europejskiego programu cyberbezpieczeństwa, o którym mowa w art. 2 pkt 9 rozporządzenia 2019/881, będzie automatycznie uznawany w całej Unii europejskiej. Jak wskazano w uzasadnieniu RM dla przyjęcia ustawy, rozporządzenie 2019/881 nakłada na wszystkie państwa członkowskie UE obowiązek ustanowienia krajowego organu do spraw certyfikacji cyberbezpieczeństwa, który będzie nadzorował rynek i kontrolował prawidłowość działań w zakresie certyfikacji. W celu wdrożenia przepisów rozporządzenia konieczne było także wprowadzenie do polskie systemu prawnego procedury związanej z akredytacją podmiotów uprawnionych do wydawania certyfikatów. W ustawie przewidziano także wprowadzenie krajowego schematu certyfikacji cyberbezpieczeństwa w obszarach nieobjętych europejskimi programami certyfikacji cyberbezpieczeństwa.
Zgodnie z art. 1 ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa ustawa określa organizację krajowego systemu certyfikacji cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu, w tym sposób sprawowania nadzoru nad działalnością podmiotów wchodzących w skład tego systemu, kontroli działalności tych podmiotów oraz koordynacji ich działalności.
Zawiła relacja europejskich certyfikatów z krajowymi
Relacja między tymi modelami (europejskim i polskim systemem certyfikacji) lub między ustawą o krajowym systemie certyfikacji cyberbezpieczeństwa a rozporządzeniem 2019/881 wydaje się w niektórych aspektach dość skomplikowana, niezrozumiała lub nawet chaotyczna. Problem w tym przepisach wydaje się polegać na równoległości funkcjonowania systemu krajowego oraz europejskiego.
Zgodnie bowiem z rozporządzeniem Polska będzie wydawała europejski certyfikat cyberbezpieczeństwa zgodnie z tym jak on jest definiowany na gruncie art. 2 pkt 11 rozporządzenia 2019/881, do której to definicji odsyła zresztą ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa. Rozporządzenie 2019/881 obok europejskiego programu certyfikacji cyberbezpieczeństwa (art. 2 pkt 9) i powiązanego europejskiego certyfikatu cyberbezpieczeństwa (art. 2 pkt 11) przewiduje krajowy program certyfikacji cyberbezpieczeństwa (art. 2 pkt 10).
W ustawie o krajowym systemie certyfikacji cyberbezpieczeństwa, dokładnie w art. 2 pkt 12 mowa jest dodatkowo o krajowym certyfikacie definiowanym jako dokumencie poświadczającym, że dany produkt ICT, dana usługa ICT, dany proces ICT, dana usługa zarządzana w zakresie bezpieczeństwa, dany system zarządzania cyberbezpieczeństwem lub dana osoba fizyczna zostały ocenione pod względem zgodności ze szczegółowymi wymogami określonymi w krajowym schemacie certyfikacji cyberbezpieczeństwa.
Pojęcie krajowego schematu certyfikacji cyberbezpieczeństwa jest interesujące z tego powodu, że jest sposobem na rozszerzenie krajowego programu certyfikacji cyberbezpieczeństwa zdefiniowanego w rozporządzeniu 2019/881. Krajowy program certyfikacji cyberbezpieczeństwa może dotyczyć wyłącznie produktów, usług i procesów ICT, a także usług zarządzanych w zakresie bezpieczeństwa. Taka definicja jednak sprawia, że państwa członkowskie nie mają podstawy, by wydawać w ramach krajowych programów certyfikacji, certyfikatów obejmujących osoby (np. ekspertów ds. cyberbezpieczeństwa) czy systemy zarządzania bezpieczeństwem. Z tego powodu, polski ustawodawca w art. 2 pkt 13 stworzył pojęcie krajowego schematu certyfikacji cyberbezpieczeństwa, która brzmi następująco: krajowy schemat certyfikacji cyberbezpieczeństwa - krajowy program certyfikacji cyberbezpieczeństwa, o którym mowa w art. 2 pkt 10 rozporządzenia 2019/881 oraz kompleksowy zbiór regulacji przyjętych przez krajowy organ do spraw certyfikacji cyberbezpieczeństwa, mających zastosowanie do certyfikacji systemów zarządzania cyberbezpieczeństwem albo osób fizycznych w zakresie cyberbezpieczeństwa.
Czym jest krajowy system certyfikacji cyberbezpieczeństwa?
Jak wskazano w art. 3 ust. 1 ww. ustawy : Krajowy system certyfikacji cyberbezpieczeństwa stanowi zbiór podmiotów, o których mowa w ust. 2 oraz procedur związanych z certyfikacją […] w ramach europejskich programów certyfikacji cyberbezpieczeństwa albo krajowych schematów certyfikacji cyberbezpieczeństwa oraz procedur w zakresie certyfikacji systemów certyfikacji cyberbezpieczeństwa lub osób fizycznych w ramach krajowych schematów certyfikacji cyberbezpieczeństwa […]”, a także w ust. 2: Krajowy system certyfikacji cyberbezpieczeństwa obejmuje: 1) ministra właściwego do spraw informatyzacji; 2) Polskie Centrum Akredytacji; 3) jednostki oceniające zgodność; 4) dostawców, którzy poddają swoje produkty, usługi, procesy ICT lub usługi zarządzane w zakresie bezpieczeństwa ocenie zgodności w ramach danego europejskiego programu certyfikacji cyberbezpieczeństwa albo danego krajowego schematu certyfikacji cyberbezpieczeństwa; 5) osoby fizyczne, które poddają swoją wiedzę i umiejętności praktyczne ocenie zgodności w ramach danego krajowego schematu certyfikacji cyberbezpieczeństwa; 6) podmioty, które poddają wykorzystywane przez siebie systemy zarzadzania cyberbezpieczeństwem ocenie zgodności w ramach danego krajowego schematu certyfikacji cyberbezpieczeństwa.
O relacji między krajowymi programami certyfikacji cyberbezpieczeństwa a europejskimi programami certyfikacji cyberbezpieczeństwa przesądza także art. 57 ust.1 rozporządzenia 2019/881. Stanowi on, że: krajowe programy certyfikacji cyberbezpieczeństwa i powiązane z nimi procedury dotyczące produktów ICT, usług ICT, procesów ICT i usług zarządzanych w zakresie bezpieczeństwa, które są objęte europejskim programem certyfikacji cyberbezpieczeństwa, przestają być skuteczne z dniem określonym w akcie wykonawczym przyjętym na podstawie art. 49 ust. 7. Krajowe programy certyfikacji cyberbezpieczeństwa i powiązane z nimi procedury dotyczące produktów ICT, usług ICT, procesów ICT i usług zarządzanych w zakresie bezpieczeństwa, które nie są objęte europejskim programem certyfikacji cyberbezpieczeństwa, będą nadal istnieć.
Rozróżnienie między krajowym certyfikatem a krajowym certyfikatem cyberbezpieczeństwa zostało w uzasadnieniu RM dla ustawy zarysowane w ten sposób, że krajowy certyfikat będzie wydawany dla produktu, usługi, procesu ICT oraz usługi zarządzanej w zakresie bezpieczeństwa, systemu zarządzania bezpieczeństwem, który zapewnia dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych bądź udostępnianych funkcji lub usług na poziomie odpowiednim do potencjalnych cyberzagrożeń, oraz minimalizuje znane ryzyka w zakresie cyberzagrożeń. W związku z tym posiadanie takiego certyfikatu będzie stanowiło gwarancję odpowiedniego poziomu ochrony. Z kolei krajowy certyfikat cyberbezpieczeństwa będzie mógł być wydany osobie fizycznej, która posiada wiedzę i praktyczne umiejętności gwarantujące skuteczną realizację zadań z zakresu cyberbezpieczeństwa. Jego posiadacze będą mogli wyróżnić się na rynku pracy, a potencjalni pracodawcy, w tym instytucje publiczne, będą miały dowód ich kompetencji.
Ramy krajowego systemu certyfikacji cyberbezpieczeństwa
Przepis art. 6 ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa określa, że produkt, usługa, proces ICT, usługa zarządzana w zakresie bezpieczeństwa, system zarządzania cyberbezpieczeństwem lub wiedza i umiejętności praktyczne osoby fizycznej z zakresu cyberbezpieczeństwa mogą być poddane ocenie zgodności zgodnie z danym krajowym schematem certyfikacji cyberbezpieczeństwa. W art.7 ustawy o krajowym systemie znalazły się przesłanki wydania krajowego certyfikatu.
Do takich przesłanek należą: zapewnienie dostępności, autentyczności, integralności lub poufności przetwarzanych danych lub udostępnianych funkcji lub usług na poziomie odpowiednim do potencjalnych cyberzagrożeń oraz minimalizacja znanego ryzyka w zakresie cyberzagrożeń. W przypadku osób fizycznych, krajowy certyfikat może zostać wydany osobie fizycznej, która posiada wiedzę i umiejętności praktyczne gwarantujące realizację zadań z zakresu cyberbezpieczeństwa. Metodą służącą sprawdzeniu czy wymagania są dostosowane do odpowiedniego schematu certyfikacji cyberbezpieczeństwa może być: badanie dokumentacji technicznej, audyt, badanie konkretnych właściwości lub analiz funkcjonowania. W przypadku osób fizycznych sprawdzenie kompetencji będzie następowało w drodze testu wiedzy i umiejętności praktycznych (art. 8 ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa). Krajowy certyfikat będzie mógł być wydawany na okres nie krótszy niż 2 lata i nie dłuższy niż 5 lat, co zgodnie z uzasadnieniem ustawy jest związane z tym, że cyberbezpieczeństwo to obszar szybko się rozwijający, co oznacza, że wydany w przeszłości certyfikat nie musi odpowiadać poziomowi kompetencji jaki byłby potrzebny obecnie, równocześnie jednak ważność musi być na tyle długa, by certyfikat pełnił swoją funkcję oraz cechował się użytecznością na rynku. Ważność certyfikatu można przedłużyć (art.10 ustawy o krajowym systemie cyberbezpieczeństwa).
Uzyskanie krajowego certyfikatu wiążę się także z pewnymi obowiązkami po stronie jego posiadacza, w tym obowiązkami informacyjnymi wobec jednostki oceniającej zgodność, co zostało szerszej wskazane w art.12 ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa. Ustawa przewiduje, że dokumentacja techniczna dotycząca przedmiotu certyfikacji będzie musiała być przechowywana przez okres 10 lat od wygaśnięcia certyfikatu. Jest to niezbędne dla potrzeb monitorowania i ewentualnej kontroli prawidłowości działań jednostek oceniających zgodność (art.14 ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa).
Tworzenie krajowych schematów certyfikacji cyberbezpieczeństwa
Zgodnie z art.15 ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa: Minister właściwy do spraw informatyzacji może określić, w drodze rozporządzenia, krajowy schemat certyfikacji cyberbezpieczeństwa dla wybranych produktów ICT, usług ICT, procesów ICT, usług zarządzanych w zakresie bezpieczeństwa, systemów zarządzania cyberbezpieczeństwem lub osób fizycznych, zawierający:
1) szczegółowe wymogi dla produktów ICT, usług ICT, procesów ICT, usług zarządzanych w zakresie bezpieczeństwa, systemów zarządzania cyberbezpieczeństwem podlegających ocenie zgodności lub osób fizycznych, których wiedza i umiejętności praktyczne z zakresu cyberbezpieczeństwa podlegają ocenie zgodności;
2) szczegółowe metody stosowane w celu wykazania, że produkt ICT, usługa ICT, proces ICT, usługa zarządzana w zakresie bezpieczeństwa, system zarządzania cyberbezpieczeństwem lub osoba fizyczna spełniają wymogi, o których mowa w pkt 1;
3) szczegółowe warunki wydawania, utrzymywania i przedłużania ważności krajowych certyfikatów;
4) szczegółowy sposób monitorowania zgodności produktów ICT, usług ICT, procesów ICT, usług zarządzanych w zakresie bezpieczeństwa, systemów zarządzania cyberbezpieczeństwem lub osób fizycznych z wymogami, o których mowa w pkt 1, w tym mechanizmy służące wykazaniu zgodności z tymi wymogami;
5) szczegółowy zakres dokumentacji technicznej dotyczącej certyfikacji oraz sposób przechowywania i niszczenia tej dokumentacji;
6) okres przechowywania dokumentacji technicznej dotyczącej certyfikacji;
7) okres, na jaki jest wydawany krajowy certyfikat;
8) wzór krajowego certyfikatu.
Akredytacja i ocena zgodności
Oceny zgodności dokonuje jednostka oceniająca zgodność posiadająca akredytację w zakresie odnoszącym się do danego europejskiego programu certyfikacji cyberbezpieczeństwa albo danego krajowego schematu certyfikacji cyberbezpieczeństwa. Aby prowadzić ocenę zgodności produktów, usług, procesów, usług zarządzanych w zakresie bezpieczeństwa systemów zarządzania cyberbezpieczeństwem oraz osób, zainteresowane podmioty będą musiały uzyskać akredytację PCA (Polskie Centrum Akredytacji). Polskie Centrum Akredytacji informuje ministra właściwego do spraw informatyzacji, nie później niż w terminie 14 dni od dnia udzielenia akredytacji, o udzieleniu akredytacji w zakresie odnoszącym się do danego europejskiego programu certyfikacji cyberbezpieczeństwa albo danego krajowego schematu certyfikacji cyberbezpieczeństwa, podobnie jak o odmowie udzielenia, zawieszeniu lub ograniczeniu zakresu akredytacji jednostce oceniającej zgodność nie później niż w terminie 14 dni od dnia podjęcia danego rozstrzygnięcia.
Polskie Centrum Akredytacji sprawuje nadzór w zakresie udzielonej akredytacji nad jednostkami oceniającymi zgodność w obszarze objętym danym europejskim programem certyfikacji cyberbezpieczeństwa albo danym krajowym schematem certyfikacji cyberbezpieczeństwa, z uwzględnieniem wymagań, o których mowa w art. 22 ust.4 ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku oraz wymogów określonych w:
1) załączniku do rozporządzenia 2019/881,
2) europejskich programach certyfikacji cyberbezpieczeństwa,
3) krajowych schematach certyfikacji cyberbezpieczeństwa (art.16 i 17 ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa).
Ocena zgodności z wymogami europejskiego programu certyfikacji cyberbezpieczeństwa
Produkt, usługa, proces ICT lub usługa zarządzana w zakresie bezpieczeństwa (a więc zakres podmiotowy jest węższy) mogą być poddane ocenie zgodności zgodnie z danym europejskim programem certyfikacji cyberbezpieczeństwa na podstawie umowy zawartej przez dostawcę i jednostkę oceniającą zgodność. Ocena zgodności, o której mowa odnosi się do jednego z poziomów uzasadnienia zaufania wskazanych w art. 52 rozporządzenie 2019/881. Umowa, o której mowa, określa w szczególności produkt ICT, usługę ICT, proces ICT lub usługę zarządzaną w zakresie bezpieczeństwa, które mają zostać poddane ocenie zgodności, zakres certyfikacji, europejski program certyfikacji cyberbezpieczeństwa, w ramach którego ma być wydany europejski certyfikat, poziom uzasadnienia zaufania, do którego ma odwoływać się ten certyfikat, obowiązki stron związane z certyfikacją oraz obowiązki związane z ochroną informacji przekazywanych jednostce oceniającej zgodność, a zwłaszcza sposób ochrony tajemnic handlowych i innych informacji poufnych, w tym tajemnic przedsiębiorstwa, a także ochrony praw własności intelektualnej (art.5 ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa).
Przepis art. 49 ust.7 rozporządzenia 2019/881 stanowi, że Komisja, w oparciu o propozycję programu przygotowaną przez ENISA, może przyjmować akty wykonawcze ustanawiające europejski program certyfikacji cyberbezpieczeństwa dotyczący produktów ICT, usług ICT, procesów ICT i usług zarządzanych w zakresie bezpieczeństwa spełniający odpowiednie wymogi określone w art. 51, 51a, 52 i 54. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 66 ust” oraz w ust.8, że „ENISA przynajmniej raz na 5 lat dokonuje oceny każdego przyjętego europejskiego programu certyfikacji cyberbezpieczeństwa, biorąc pod uwagę informacje zwrotne otrzymane od zainteresowanych stron. W razie potrzeby, Komisja lub ECCG mogą zwrócić się do ENISA z wnioskiem o rozpoczęcie procesu opracowania zmienionej propozycji programu zgodnie z art. 48 i niniejszym artykułem.
W obecnym momencie, przyjęty został jeden europejski program certyfikacji cyberbezpieczeństwa, tj. European Cybersecurity Certification Scheme on Common Criteria (EUCC), który obowiązuje od lutego 2025 roku. Odwołuje się on do produktów ICT (hardware, software, komponenty) i bazuje na normie Common Criteria (ISO/IEC 15408). Taki certyfikat wydany w Polsce będzie uznawany w całej UE. W fazie przygotowawczym są inne programy, m.in. European Cybersecurity Certification Scheme for Cloud Services (EUCS) dotyczący usług chmurowych.
Rola ministra
Krajowym organem do spraw certyfikacji cyberbezpieczeństwa, o którym mowa w art.58 rozporządzenia 2019/881 jest Minister właściwy do spraw informatyzacja (art. 4 ustawy o krajowym systemie cyberbezpieczeństwa). W ramach obowiązków nakładanych na krajowy organ administracji rządowej właściwy w sprawach cyberbezpieczeństwa minister będzie prowadzić szereg postępować administracyjnych m.in.: wyrażania zgody na wydanie europejskich certyfikatów odwołujących się do poziomu „wysoki”; wydawania zezwoleń na prowadzenie oceny zgodności w przypadku, gdy program certyfikacyjny określa szczególne wymagania dla jednostek oceniających; 3) cofania i ograniczania zezwoleń na prowadzenie oceny zgodności w przypadku, gdy program certyfikacyjny określa szczególne wymagania dla jednostek oceniających zgodność; cofania certyfikatu odwołujące się do poziomu uzasadnienie zaufania „wysoki” wydanego wbrew przepisom rozporządzenia 2019/88 lub ustawy lub wbrew postanowieniom programu certyfikacyjnego; nakładania kar pieniężnych.
W ramach przygotowywanych przez Europejską Agencję ds. Cyberbezpieczeństwa (ENISA) programów certyfikacji pojawiła się procedura wprowadzenia zmian w metodyce oceny stosowanej przez jednostkę oceniającą zgodność. Tego typu wyjątek od standardowej procedury certyfikacji wymaga zgody organu właściwego do spraw cyberbezpieczeństwa. W związku z tym, konieczne było ustanowienie odpowiedniej procedury w przepisach krajowych. Art. 21 ust. 1 ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa stanowi, że: „W przypadku, gdy dany europejski program certyfikacji cyberbezpieczeństwa przewiduje możliwość wprowadzenia zmian w metodyce oceny, która ma być stosowana przez jednostkę oceniającą zgodność, jednostka ta może wystąpić do ministra właściwego do spraw informatyzacji z wnioskiem o wprowadzenie zmian w tej metodyce. Wniosek zawiera propozycje zmian w metodyce oceny, która ma być stosowana przez jednostkę oceniającą zgodność, wraz z uzasadnieniem.
K. Jakub Gładkowski, partner KG LEGAL KIEŁTYKA GŁADKOWSKI
Ireneusz Łaskawiec, prawnik, KG LEGAL KIEŁTYKA GŁADKOWSKI