REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Prawo » Wiadomości » Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie

Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
16 września 2025, 10:42
KIEŁTYKA GŁADKOWSKI KG Legal
KIEŁTYKA GŁADKOWSKI KG Legal
Kancelaria prawna
oprac. Paweł Huczko
Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie
Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie
ShutterStock

REKLAMA

REKLAMA

Certyfikaty cyberbezpieczeństwa są przeznaczone dla profesjonalistów IT, w tym dla administratorów systemów i sieci, specjalistów od bezpieczeństwa, inżynierów oraz osób aspirujących do tych ról, aby potwierdzić ich wiedzę i umiejętności praktyczne w zakresie ochrony przed zagrożeniami cyfrowymi. Certyfikacja obejmuje także produkty, usługi i procesy ICT, a ich celem jest informowanie konsumentów o poziomie bezpieczeństwa cyfrowego oraz wspieranie polskich firm na rynkach europejskich. Czy i dla kogo uzyskanie certyfikatów cyberbezpieczeństwa jest obligatoryjne?

Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już obowiązuje

W dniu 28 sierpnia 2025 roku weszła w życie ustawa z 25 czerwca 2025 roku o krajowym systemie certyfikacji cyberbezpieczeństwa, służąca stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz. Urz. UE L 151 z 07.06.2019, str. 15 oraz Dz. Urz. UE L 2025/37 z 15.01.2025).       
Ustawa ta określa organizację krajowego systemu certyfikacji cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu. Nowe przepisy pozwalają na wydawanie europejskich i krajowych certyfikatów bezpieczeństwa dla produktów, usług, systemów i procesów związanych z technologiami informacyjno-komunikacyjnymi (ICT). Będzie to potwierdzenie, że dany produkt, usługa lub proces spełnia określone standardy ochrony danych i odporności na cyberataki.

Rozporządzenie 2019/881 ma na celu dokonanie harmonizacji w zakresie wydawania certyfikatów cyberbezpieczeństwa, wprowadzając możliwość tworzenia europejskich programów certyfikacyjnych oraz wspólne procedury uzyskiwania certyfikatu. Dzięki temu certyfikaty z zakresu cyberbezpieczeństwa będą automatycznie honorowane na terytorium całej Unii Europejskiej. Przesądza o tym art.2 pkt.9 rozporządzenia 2019/881. Uzupełnieniem europejskiego systemu certyfikacji są tzw. krajowe schematy certyfikacji cyberbezpieczeństwa w obszarach nieobjętych europejskimi programami certyfikacji cyberbezpieczeństwa.

REKLAMA

REKLAMA

Rozporządzenie 2019/881 nakłada na wszystkie państwa członkowskie Unii Europejskiej obowiązek ustanowienia krajowego organu do spraw certyfikacji cyberbezpieczeństwa, który będzie nadzorował rynek i kontrolował prawidłowość działań w zakresie certyfikacji, ponieważ co warto zauważyć cały system certyfikacji ma w dalszym ciągu być oparty na rynkowych mechanizmach, tj. podmioty prywatne będą mogły wydawać certyfikaty w ramach krajowego schematu certyfikacji cyberbezpieczeństwa. W uzasadnieniu Rady Ministrów dla przyjętej ustawy wskazano, że przyjęte zostały rozwiązania oparte na otwarciu rynku i nie została wyznaczona jedna państwowa jednostka oceniająca zgodność, która wydawałaby certyfikaty odwołujące się do poziomu uzasadnienia zaufania „wysoki”. Przyjęcie alternatywnego rozwiązania mogłoby stanowić barierę w rozwoju prywatnych jednostek oceniających zgodność. Zmiana polega więc na swego rodzaju objęciu „parasolem” procesu wydawania certyfikatów oraz stworzeniu mechanizmów jego nadzoru.

Więcej na temat europejskiego i krajowego systemu certyfikacji cyberbezpieczeństwa, relacji między certyfikatami europejskimi oraz krajowymi, ram krajowego systemu certyfikacji cyberbezpieczeństwa, czy akredytacji, ocenie zgodności oraz roli ministra jako krajowego organu do spraw certyfikacji cyberbezpieczeństwa można przeczytać tutaj: https://www.infor.pl/prawo/nowosci-prawne/7039425,trzeba-bedzie-miec-certyfikat-cyberbezpieczenstwa-zeby-wykazac-cyberodpornosc-nowe-przepisy-od-28-sierpnia-2025-r.html       

Zobacz również:

Czy i dla kogo certyfikaty cyberbezpieczeństwa są obligatoryjne?

Rozporządzenie 2019/881 przesądza, że certyfikacja cyberbezpieczeństwa jest dobrowolna, o ile prawo Unii lub prawo państwa członkowskiego nie stanowi inaczej (art.56 ust.2). Ustawodawca polski przyjmując ustawę o krajowym systemie certyfikacji cyberbezpieczeństwa zdecydował się zachować dobrowolny charakter certyfikacji. W uzasadnieniu Rady Ministrów do przyjętej ustawy znajduje się następująca informacja: „certyfikacja w zakresie cyberbezpieczeństwa będzie procesem całkowicie dobrowolnym i będzie odbywała się na zasadach rynkowych, a klienci będą mogli swobodnie wybierać spośród podmiotów działających na rynku. Ustawa tworzy ramy, w jakich będzie wykonywana certyfikacja, równocześnie nie nakładając żadnych obowiązków na podmioty działające na rynku. Każdy chętny będzie więc mógł zarówno rozpocząć działalność w tym zakresie, jak i uzyskać certyfikację swojego produktu ICT, usługi ICT, procesu ICT lub usługi zarządzanej w zakresie bezpieczeństwa równocześnie nie będąc do tego zobowiązanym”. W tym samym uzasadnieniu wielokrotnie pada informacja na temat dobrowolności certyfikacji, co istotne dobrowolności dla dwóch kategorii podmiotów: „Należy podkreślić, że podmioty prywatne nie będą w żaden sposób zmuszone do dołączenia do tego systemu. Obowiązki z niego wynikające będą więc dotyczyć tylko tych, którzy dobrowolnie się im poddadzą. Tyczy się to zarówno jednostek oceniających zgodność, jak i podmiotów poddających się procesowi certyfikacji”.   

Na poziomie Unii na ten moment także nie istnieje żadna regulacja wprowadzająca bezpośredni obowiązek certyfikacji, aczkolwiek w rzeczywistości jest to nieco bardziej skomplikowane. Art.21 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 roku (dyrektywa NIS2) wprowadza liczne wymogi w zakresie środków zarządzania ryzkiem w cyberbezpieczeństwie, które państwa członkowskie muszą wymóc na podmiotach tzw. podmiotach kluczowych i ważnych. ust. 5 tego artykułu odsyła do aktów wykonawczych Komisji określających wymogi techniczne w odniesieniu do m.in. dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych i innych podmiotów tam się znajdujących. Zgodnie z art. 24 NIS2, państwa członkowskie mogą wymagać od podmiotów kluczowych i ważnych stosowania konkretnych produktów, procesów, usług ICT, które byłyby certyfikowane zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa przyjętymi na podstawie art.49 rozporządzenia 2019/881.                                         

Za wdrożenie przepisów dyrektywy NIS1 oraz NIS2 odpowiedzialna jest w szczególności ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa. Rozdział 3 ustawy poświęcony jest obowiązkom operatorów usług kluczowych, do których należą m.in.: obowiązek wdrożenia środków bezpieczeństwa, raportowania incydentów, przeprowadzania audytów bezpieczeństwa systemu. Analogiczne obowiązki muszą spełnić dostawcy usług cyfrowych, co reguluje rozdział 4 ustawy. Wśród tych obowiązków nie ma obowiązku posiadania europejskiego certyfikatu cyberbezpieczeństwa, choć teoretycznie zgodnie z przepisami NIS2 mógłby taki obowiązek istnieć. Jednocześnie, uzyskanie odpowiedniego certyfikatu cyberbezpieczeństwa przez operatorów usług kluczowych w szczególności, ale również przez dostawców usług cyfrowych może się okazać konieczne lub co najmniej przydatne. Liczne i kosztowne wymogi stawiane przed operatorami usług kluczowych mogłyby zostać zredukowane w momencie uzyskania certyfikatu cyberbezpieczeństwa, np. za sprawą skrócenia obowiązkowego audytu.                                                                         

REKLAMA

Jedyny obecnie przyjęty europejski program certyfikacji cyberbezpieczeństwa jest oparty na normie Common Criteria (ISO/IEC 15408). Wymogi jakie stawia legislacja europejska i polska operatorom usług kluczowych są w dużej mierze oparte właśnie na szeroko stosowanych normach takich jak już wskazana ISO/IEC 15408 czy ISO/EIC 27001 lub ISO/IEC 27002. Oznacza to, że opracowanie infrastruktury należycie bezpiecznej, zgodnie z wymogami najczęściej wykorzystanych norm wymaga bardzo podobnych lub wręcz tożsamych środków potrzebnych do uzyskania europejskiego certyfikatu cyberbezpieczeństwa. Jego otrzymanie z kolei może wiązać się z benefitami w postaci skrócenia procedur takich jak audyty bezpieczeństwa. Podobnie sytuacja ma się z przywołanymi wcześniej wymogami stawianymi na gruncie dyrektywy NIS2 np. DNS[1], opartymi w dużej mierze na stosowanych powszechnie normach ISO/EIC.

Dalszy ciąg materiału pod wideo

Także inne akty prawne UE, nakładają lub umożliwiają nakładanie kolejnych wymogów w zakresie cyberbezpieczeństwa na różne sektory gospodarki. Do takich regulacji zaliczyć można Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 roku w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Rozporządzenie DORA), którego celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług ICT na rynku finansowym. W wyniku dającego się zauważyć trendu polegającego na wprowadzaniu kolejnych wymogów raportowania, testów odporności, zarządzania ryzykiem itp. europejskie certyfikaty cyberbezpieczeństwa mogą się okazać bardzo przydatnym sposobem na zrealizowanie wszystkich stawianych wymogów w sposób znaczący łatwiejszy, choć warto zastrzec, że nie ma tutaj żadnego mechanizmu automatycznego spełnienia wymogów w momencie uzyskania certyfikatu.

Certyfikaty cyberbezpieczeństwa w zamówieniach publicznych

Warto podkreślić, że uzyskanie certyfikatów cyberbezpieczeństwa nie jest na ten moment obligatoryjne, ale może się okazać w przyszłości konieczne również w obszarze zamówień publicznych. Zamawiający ma bowiem prawo wskazywać w SIWZ (Specyfikacja Istotnych Warunków Zamówienia) wymóg posiadania określonego certyfikatu i choć teoretycznie stawiane wymogi powinny być proporcjonalne, oparte na niedyskryminacji i równym traktowaniu, co oznacza, że równoważny sposób wykazania zgodności w większości przypadków powinien być wystarczający. Uzyskanie certyfikatu może być, wobec tego, przydatne przy uczestniczenia w przetargach zarówno, gdy w SIWZ wskazano konkretny certyfikat cyberbezpieczeństwa lub gdy odwołano się jedynie do norm takich jak ISO/EIC, ponieważ jak wspominano wcześniej certyfikaty cyberbezpieczeństwa tworzone w dużej mierze w oparciu właśnie o te normy, co pozwala na wykazanie równoważnego sposobu wykazania zgodności z wymogami.

Autorzy:
K. Jakub Gładkowski, radca prawny, KIELTYKA GLADKOWSKI KG LEGAL
Ireneusz Łaskawiec, prawnik, KIELTYKA GLADKOWSKI KG LEGAL

*********

[1] Szczegółowe wymogi w tym zakresie wynikają m.in. z Rozporządzenia Wykonawczego Komisji (UE) 2024/2690 z dnia 17 października 2024 roku ustanawiającego zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz doprecyzowujące przypadki, w których incydent uznaje się za poważny w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawców usług zaufania.

Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
Dziura budżetowa rośnie. Deficyt państwa sięgnął już ponad 89 mld
20 maja 2026

Ministerstwo Finansów pokazało najnowsze dane o stanie budżetu. Deficyt po kwietniu wyniósł już 89,29 mld zł, czyli niemal jedną trzecią całorocznego planu. Resort wskazuje jednak na rosnące wpływy z VAT i CIT oraz wyższe dochody samorządów z PIT.
Adwokat dla rodziny – Interdyscyplinarne ujęcie dobra dziecka
20 maja 2026

Sekcja Prawa Rodzinnego oraz Sekcja Praw Dziecka przy Okręgowej Radzie Adwokackiej w Warszawie, we współpracy z Wydziałem Stosowanych Nauk Społecznych Uniwersytetu Warszawskiego, zapraszają do udziału w konferencji „ADWOKAT DLA RODZINY – Interdyscyplinarne ujęcie dobra dziecka”, która odbędzie się 22 maja 2026 r. w Auli Starego BUW Uniwersytetu Warszawskiego w Warszawie.
Tak działa oszustwo na pomyłkowy przelew BLIK. Bank radzi jak nie dać się nabrać złodziejowi
20 maja 2026

VeloBank S.A. przestrzega, że pojawił się nowy typ oszustwa bankowego, który wykorzystuje przelew BLIK i przypadkowe osoby jako nieświadomych pośredników w oszustwie. Na czym polega to oszustwo i jak nie dać się nabrać cyberprzestępcy?
Poradnik bezpieczeństwa dla dzieci i młodzieży. Ma przygotować najmłodszych na sytuacje zagrożenia
20 maja 2026

Ministerstwo Edukacji Narodowej finalizuje prace nad specjalną wersją „Poradnika bezpieczeństwa” skierowaną do uczniów szkół podstawowych. Poradnik ma tłumaczyć zasady bezpieczeństwa w sposób dostosowany do wieku odbiorców, z naciskiem na praktyczne wskazówki i zrozumiałe procedury działania.

REKLAMA

MRiT przypomina: zmiany w rozporządzeniu o projekcie budowlanym – budowle ochronne i dokładność miar, część obowiązuje już teraz
20 maja 2026

MRiT przypomina: od 19 maja 2026 (a część później) są zmienione przepisy dotyczące projektów budowlanych. Najważniejsze zmiany: wymiary na rysunkach z dokładnością do 0,01 m, obowiązek uwzględnienia warunków ochrony ludności (budowle ochronne, miejsca doraźnego schronienia) oraz dokładniejszy opis dostępności dla osób niepełnosprawnych. Sprawdź, czy Twój projekt musi spełniać nowe wymagania.
Polskie rolnictwo potrzebuje prawdziwych ustaw, a nie ustawek - podkreśla Minister Rolnictwa, a raport: Kondycja finansowa polskich rolników 2026 - budzi wielki niepokój
20 maja 2026

Polskie rolnictwo potrzebuje prawdziwych ustaw, a nie ustawek - podkreśla Minister Rolnictwa, a raport: "Kondycja finansowa polskich rolników. 2026" przynosi niepokojące odkrycia dotyczące sytuacji finansowej rodzin zajmujących się uprawą ziemi i hodowlą zwierząt. Dane zgromadzone w badaniu rysują obraz sektora rolniczego, który nie tyle prosperuje, ile nieustannie balansuje na granicy przetrwania. Co dalej z polską wsią, polskimi rolnikami i polskimi rodzinami żyjącymi na wsi?
Ceny paliw w czwartek 21 maja. Ile kierowcy zapłacą jutro na stacjach benzynowych?
20 maja 2026

Minister energii wydał kolejne obwieszczenie, w którym określił ceny benzyny i oleju napędowego na czwartek. Sprawdzamy, ile maksymalnie kierowcy zapłacą za paliwo na stacjach benzynowych w dniu 21 maja.
Wyższe koszty uzyskania prawa jazdy. Wzrosną opłaty za badania psychologiczne
20 maja 2026

Wkrótce wzrośnie opłata za badanie psychologiczne w zakresie psychologii transportu, które jest wymagane do m.in. do uzyskania przy niektórych kategorii prawa jazdy. Podwyżka jest uzasadniana coraz wyższymi rzeczywistymi kosztami przeprowadzania badania.

REKLAMA

ZUS: każdy rok pracy po osiągnięciu wieku emerytalnego to o 8-12% większa kwota emerytury. Masz ponad 50 lat? Sprawdź jaką emeryturę możesz dostać
20 maja 2026

ZUS radzi, by zanim złoży się wniosek emerytalny - sprawdzić prognozowaną wysokość emerytury. To ważne, by decyzję o zakończeniu aktywności zawodowej podejmować świadomie. Jeżeli prognozowana emerytura jest dla nas za mała trzeba wiedzieć, że osiągnięcie wieku emerytalnego wcale nie oznacza rezygnacji z pracy. A - jak wyjaśnia ZUS - dłuższa praca się opłaca, bo każdy rok aktywności zawodowej po osiągnięciu wieku emerytalnego to wzrost świadczenia o 8-12 proc.
Zapadła decyzja sejmowej Komisji do Spraw Petycji: czy będzie dodatkowy długi weekend majowy w 2026 r., tj. wolne od pracy 23, 24 i 25 maja?
20 maja 2026

Dodatkowy dzień wolny od pracy nie tylko za święto przypadające w sobotę, ale również w niedzielę, czyli tak jak będzie to miało miejsce w tegoroczne Zielone Świątki – to postulat petycji zbiorowej, autorstwa Fundacji „Można Lepiej”, która została złożona do Sejmu. Czy w związku z powyższym – poniedziałek 25 maja 2026 r., będzie dodatkowym dniem wolnym od pracy, w zamian za pierwszy dzień Zielonych Świątek wypadający w niedzielę (tym samym sprawiając, że będzie można cieszyć się jeszcze jednym, długim weekendem majowym)? W dniu 13 maja 2026 r. zapadła w tej sprawie decyzja sejmowej Komisji do Spraw Petycji.
Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA