REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Prawo » Wiadomości » Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie

Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
16 września 2025, 10:42
KIEŁTYKA GŁADKOWSKI KG Legal
KIEŁTYKA GŁADKOWSKI KG Legal
Kancelaria prawna
Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie
Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie
ShutterStock

REKLAMA

REKLAMA

Certyfikaty cyberbezpieczeństwa są przeznaczone dla profesjonalistów IT, w tym dla administratorów systemów i sieci, specjalistów od bezpieczeństwa, inżynierów oraz osób aspirujących do tych ról, aby potwierdzić ich wiedzę i umiejętności praktyczne w zakresie ochrony przed zagrożeniami cyfrowymi. Certyfikacja obejmuje także produkty, usługi i procesy ICT, a ich celem jest informowanie konsumentów o poziomie bezpieczeństwa cyfrowego oraz wspieranie polskich firm na rynkach europejskich. Czy i dla kogo uzyskanie certyfikatów cyberbezpieczeństwa jest obligatoryjne?

Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już obowiązuje

W dniu 28 sierpnia 2025 roku weszła w życie ustawa z 25 czerwca 2025 roku o krajowym systemie certyfikacji cyberbezpieczeństwa, służąca stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz. Urz. UE L 151 z 07.06.2019, str. 15 oraz Dz. Urz. UE L 2025/37 z 15.01.2025).       
Ustawa ta określa organizację krajowego systemu certyfikacji cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu. Nowe przepisy pozwalają na wydawanie europejskich i krajowych certyfikatów bezpieczeństwa dla produktów, usług, systemów i procesów związanych z technologiami informacyjno-komunikacyjnymi (ICT). Będzie to potwierdzenie, że dany produkt, usługa lub proces spełnia określone standardy ochrony danych i odporności na cyberataki.

Rozporządzenie 2019/881 ma na celu dokonanie harmonizacji w zakresie wydawania certyfikatów cyberbezpieczeństwa, wprowadzając możliwość tworzenia europejskich programów certyfikacyjnych oraz wspólne procedury uzyskiwania certyfikatu. Dzięki temu certyfikaty z zakresu cyberbezpieczeństwa będą automatycznie honorowane na terytorium całej Unii Europejskiej. Przesądza o tym art.2 pkt.9 rozporządzenia 2019/881. Uzupełnieniem europejskiego systemu certyfikacji są tzw. krajowe schematy certyfikacji cyberbezpieczeństwa w obszarach nieobjętych europejskimi programami certyfikacji cyberbezpieczeństwa.

REKLAMA

REKLAMA

Rozporządzenie 2019/881 nakłada na wszystkie państwa członkowskie Unii Europejskiej obowiązek ustanowienia krajowego organu do spraw certyfikacji cyberbezpieczeństwa, który będzie nadzorował rynek i kontrolował prawidłowość działań w zakresie certyfikacji, ponieważ co warto zauważyć cały system certyfikacji ma w dalszym ciągu być oparty na rynkowych mechanizmach, tj. podmioty prywatne będą mogły wydawać certyfikaty w ramach krajowego schematu certyfikacji cyberbezpieczeństwa. W uzasadnieniu Rady Ministrów dla przyjętej ustawy wskazano, że przyjęte zostały rozwiązania oparte na otwarciu rynku i nie została wyznaczona jedna państwowa jednostka oceniająca zgodność, która wydawałaby certyfikaty odwołujące się do poziomu uzasadnienia zaufania „wysoki”. Przyjęcie alternatywnego rozwiązania mogłoby stanowić barierę w rozwoju prywatnych jednostek oceniających zgodność. Zmiana polega więc na swego rodzaju objęciu „parasolem” procesu wydawania certyfikatów oraz stworzeniu mechanizmów jego nadzoru.

Więcej na temat europejskiego i krajowego systemu certyfikacji cyberbezpieczeństwa, relacji między certyfikatami europejskimi oraz krajowymi, ram krajowego systemu certyfikacji cyberbezpieczeństwa, czy akredytacji, ocenie zgodności oraz roli ministra jako krajowego organu do spraw certyfikacji cyberbezpieczeństwa można przeczytać tutaj: https://www.infor.pl/prawo/nowosci-prawne/7039425,trzeba-bedzie-miec-certyfikat-cyberbezpieczenstwa-zeby-wykazac-cyberodpornosc-nowe-przepisy-od-28-sierpnia-2025-r.html       

Zobacz również:

Czy i dla kogo certyfikaty cyberbezpieczeństwa są obligatoryjne?

Rozporządzenie 2019/881 przesądza, że certyfikacja cyberbezpieczeństwa jest dobrowolna, o ile prawo Unii lub prawo państwa członkowskiego nie stanowi inaczej (art.56 ust.2). Ustawodawca polski przyjmując ustawę o krajowym systemie certyfikacji cyberbezpieczeństwa zdecydował się zachować dobrowolny charakter certyfikacji. W uzasadnieniu Rady Ministrów do przyjętej ustawy znajduje się następująca informacja: „certyfikacja w zakresie cyberbezpieczeństwa będzie procesem całkowicie dobrowolnym i będzie odbywała się na zasadach rynkowych, a klienci będą mogli swobodnie wybierać spośród podmiotów działających na rynku. Ustawa tworzy ramy, w jakich będzie wykonywana certyfikacja, równocześnie nie nakładając żadnych obowiązków na podmioty działające na rynku. Każdy chętny będzie więc mógł zarówno rozpocząć działalność w tym zakresie, jak i uzyskać certyfikację swojego produktu ICT, usługi ICT, procesu ICT lub usługi zarządzanej w zakresie bezpieczeństwa równocześnie nie będąc do tego zobowiązanym”. W tym samym uzasadnieniu wielokrotnie pada informacja na temat dobrowolności certyfikacji, co istotne dobrowolności dla dwóch kategorii podmiotów: „Należy podkreślić, że podmioty prywatne nie będą w żaden sposób zmuszone do dołączenia do tego systemu. Obowiązki z niego wynikające będą więc dotyczyć tylko tych, którzy dobrowolnie się im poddadzą. Tyczy się to zarówno jednostek oceniających zgodność, jak i podmiotów poddających się procesowi certyfikacji”.   

Na poziomie Unii na ten moment także nie istnieje żadna regulacja wprowadzająca bezpośredni obowiązek certyfikacji, aczkolwiek w rzeczywistości jest to nieco bardziej skomplikowane. Art.21 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 roku (dyrektywa NIS2) wprowadza liczne wymogi w zakresie środków zarządzania ryzkiem w cyberbezpieczeństwie, które państwa członkowskie muszą wymóc na podmiotach tzw. podmiotach kluczowych i ważnych. ust. 5 tego artykułu odsyła do aktów wykonawczych Komisji określających wymogi techniczne w odniesieniu do m.in. dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych i innych podmiotów tam się znajdujących. Zgodnie z art. 24 NIS2, państwa członkowskie mogą wymagać od podmiotów kluczowych i ważnych stosowania konkretnych produktów, procesów, usług ICT, które byłyby certyfikowane zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa przyjętymi na podstawie art.49 rozporządzenia 2019/881.                                         

Za wdrożenie przepisów dyrektywy NIS1 oraz NIS2 odpowiedzialna jest w szczególności ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa. Rozdział 3 ustawy poświęcony jest obowiązkom operatorów usług kluczowych, do których należą m.in.: obowiązek wdrożenia środków bezpieczeństwa, raportowania incydentów, przeprowadzania audytów bezpieczeństwa systemu. Analogiczne obowiązki muszą spełnić dostawcy usług cyfrowych, co reguluje rozdział 4 ustawy. Wśród tych obowiązków nie ma obowiązku posiadania europejskiego certyfikatu cyberbezpieczeństwa, choć teoretycznie zgodnie z przepisami NIS2 mógłby taki obowiązek istnieć. Jednocześnie, uzyskanie odpowiedniego certyfikatu cyberbezpieczeństwa przez operatorów usług kluczowych w szczególności, ale również przez dostawców usług cyfrowych może się okazać konieczne lub co najmniej przydatne. Liczne i kosztowne wymogi stawiane przed operatorami usług kluczowych mogłyby zostać zredukowane w momencie uzyskania certyfikatu cyberbezpieczeństwa, np. za sprawą skrócenia obowiązkowego audytu.                                                                         

REKLAMA

Jedyny obecnie przyjęty europejski program certyfikacji cyberbezpieczeństwa jest oparty na normie Common Criteria (ISO/IEC 15408). Wymogi jakie stawia legislacja europejska i polska operatorom usług kluczowych są w dużej mierze oparte właśnie na szeroko stosowanych normach takich jak już wskazana ISO/IEC 15408 czy ISO/EIC 27001 lub ISO/IEC 27002. Oznacza to, że opracowanie infrastruktury należycie bezpiecznej, zgodnie z wymogami najczęściej wykorzystanych norm wymaga bardzo podobnych lub wręcz tożsamych środków potrzebnych do uzyskania europejskiego certyfikatu cyberbezpieczeństwa. Jego otrzymanie z kolei może wiązać się z benefitami w postaci skrócenia procedur takich jak audyty bezpieczeństwa. Podobnie sytuacja ma się z przywołanymi wcześniej wymogami stawianymi na gruncie dyrektywy NIS2 np. DNS[1], opartymi w dużej mierze na stosowanych powszechnie normach ISO/EIC.

Dalszy ciąg materiału pod wideo

Także inne akty prawne UE, nakładają lub umożliwiają nakładanie kolejnych wymogów w zakresie cyberbezpieczeństwa na różne sektory gospodarki. Do takich regulacji zaliczyć można Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 roku w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Rozporządzenie DORA), którego celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług ICT na rynku finansowym. W wyniku dającego się zauważyć trendu polegającego na wprowadzaniu kolejnych wymogów raportowania, testów odporności, zarządzania ryzykiem itp. europejskie certyfikaty cyberbezpieczeństwa mogą się okazać bardzo przydatnym sposobem na zrealizowanie wszystkich stawianych wymogów w sposób znaczący łatwiejszy, choć warto zastrzec, że nie ma tutaj żadnego mechanizmu automatycznego spełnienia wymogów w momencie uzyskania certyfikatu.

Certyfikaty cyberbezpieczeństwa w zamówieniach publicznych

Warto podkreślić, że uzyskanie certyfikatów cyberbezpieczeństwa nie jest na ten moment obligatoryjne, ale może się okazać w przyszłości konieczne również w obszarze zamówień publicznych. Zamawiający ma bowiem prawo wskazywać w SIWZ (Specyfikacja Istotnych Warunków Zamówienia) wymóg posiadania określonego certyfikatu i choć teoretycznie stawiane wymogi powinny być proporcjonalne, oparte na niedyskryminacji i równym traktowaniu, co oznacza, że równoważny sposób wykazania zgodności w większości przypadków powinien być wystarczający. Uzyskanie certyfikatu może być, wobec tego, przydatne przy uczestniczenia w przetargach zarówno, gdy w SIWZ wskazano konkretny certyfikat cyberbezpieczeństwa lub gdy odwołano się jedynie do norm takich jak ISO/EIC, ponieważ jak wspominano wcześniej certyfikaty cyberbezpieczeństwa tworzone w dużej mierze w oparciu właśnie o te normy, co pozwala na wykazanie równoważnego sposobu wykazania zgodności z wymogami.

Autorzy:
K. Jakub Gładkowski, radca prawny, KIELTYKA GLADKOWSKI KG LEGAL
Ireneusz Łaskawiec, prawnik, KIELTYKA GLADKOWSKI KG LEGAL

*********

[1] Szczegółowe wymogi w tym zakresie wynikają m.in. z Rozporządzenia Wykonawczego Komisji (UE) 2024/2690 z dnia 17 października 2024 roku ustanawiającego zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz doprecyzowujące przypadki, w których incydent uznaje się za poważny w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawców usług zaufania.

oprac. Paweł Huczko
Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
Obligacje skarbowe (oszczędnościowe) - styczeń 2026 r. - jakie oprocentowanie oferuje Ministerstwo Finansów
26 gru 2025

Po obniżkach oprocentowania obligacji skarbowych (detalicznych - oszczędnościowych) w maju, czerwcu, sierpniu, październiku, listopadzie i grudniu 2025 r. - oprocentowanie nowych emisji w styczniu 2026 r. nie ulegnie zmianie. Ministerstwo Finansów pozostawiło tym razem opłacalność tych obligacji bez zmian na kolejny miesiąc.
1700 złotych miesięcznie zastąpi 800 plus i 300 plus. Ma być przyznawane bez względu na wiek i wysokość dochodu
25 gru 2025

Co dzieje się sprawie pomysłu wprowadzenia dochodu podstawowego dla każdego? Choć o tym pomyśle dużo się mówiło w kontekście KPO, to jednak w ostatnim czasie temat zdecydowanie ucichł. Czy trzeba się obawiać likwidacji 800 plus i 300 plus?
Urlop regeneracyjny dla każdego. Trzy miesiące płatnego wolnego po spełnieniu prostych warunków. Od kiedy będzie można korzystać?
24 gru 2025

Od kiedy pracownicy skorzystają z urlopu regeneracyjnego? Aż 3 miesiące wolnego dla każdego pracownika co 7 lat. Czy te rozwiązania mają szansę wejść w życie już w 2026 roku, czy trzeba będzie na nie czekać do 2027 roku?
Od stycznia 2026 roku już 600 plus na dentystę. Dla każdego, kto opłaca składkę zdrowotną. Ale czy wiesz, jak skorzystać?
24 gru 2025

W listopadzie 2025 r. wskaźnik inflacji rok do roku wyniósł 2,5%. Jednak czy domowe budżety to odczuwają? Warto pamiętać o tym, że można dbać o nie na różne sposoby. Jednym z nich jest korzystanie z usług oferowanych przez NFZ w ramach opłacanej składki zdrowotnej.

REKLAMA

Skarga do WSA przez e-Doręczenia jest skuteczna – przełomowe orzeczenie NSA
23 gru 2025

Naczelny Sąd Administracyjny rozwiał wątpliwości dotyczące wnoszenia skarg do wojewódzkich sądów administracyjnych za pośrednictwem systemu e-Doręczeń. W serii postanowień z października i listopada 2025 r. NSA potwierdził, że taka forma jest w pełni skuteczna, mimo że przepisy p.p.s.a. nie wskazują wprost tego kanału komunikacji.
Niespodzianka dla kierowców przed świętami – obligatoryjna konfiskata pojazdu, która ma poprawić bezpieczeństwo na drogach. Prezydent podpisał ustawę
26 gru 2025

W dniu 22 grudnia 2025 r. Prezydent Karol Nawrocki złożył swój podpis pod ustawą, która ma poprawić bezpieczeństwo na polskich drogach. Ustawa wprowadza m.in. nowe rozwiązania w zakresie przepadku pojazdów mechanicznych, w tym reguluje zupełnie nowe okoliczności, w których policja dokona konfiskaty samochodu (a w dalszej kolejności – sąd będzie mógł, a w określonych przypadkach – musiał orzec przepadek pojazdu).
Niedobrze u niepełnosprawnych. Źle z Wytycznymi, świadczeniem wspierającym, kwotami świadczeń [List]
22 gru 2025

Do redakcji Infor.pl stale wpływają listy od osób niepełnosprawnych rozczarowanych praktyką przyznawania świadczeń dla nich w ostatnich latach. Główny zarzut dotyczy wysłania w grudniu 2024 r. przez przedstawicieli rządu Wytycznych do WZON, które zmodyfikowały (kwotowo w dół) zasady przyznawania świadczenia wspierającego. W opinii osób niepełnosprawnych ci z nich, którzy są w wieku 75+, niewidomi, niesłyszące oraz poruszający się na aktywnych wózkach mają limity punktów poziomu potrzeby wsparcia, co zmniejsza wartość świadczenia wspierającego (albo pozbawia go). Hipotezę tą potwierdza wprost dokument Wytycznych ujawniony przez Infor.pl w odniesieniu do osób niepełnosprawnych w wieku 75+. Obecnie czekamy na wynik interwencji RPO w odniesieniu do pozostałych grup wskazywanych jako pokrzywdzone Wytycznymi. W artykule kolejny list osoby niepełnosprawnej w tej sprawie.
Te sklepy mogą być otwarte w Wigilię w 2025 roku. W jakich zawodach poza handlem praca jest dozwolona w Wigilię i inne święta? Jakie kary grożą pracodawcom?
24 gru 2025

W 2025 roku Wigilia po raz pierwszy będzie dniem wolnym od pracy. Kodeks pracy przewiduje jednak sytuacje, w których praca w niedziele i święta, w tym w Wigilię, jest dozwolona. Które sklepy będą otwarte w Wigilię?

REKLAMA

Koniec taniego wykupu mieszkań komunalnych? W Sejmie praca wre nad nowymi przepisami, wejdą w 2027 r.
22 gru 2025

Miliony Polaków przez lata wykupywały mieszkania komunalne za ułamek ich wartości. Teraz to się skończy. Sejm pracuje nad ustawą, która zakaże gminom udzielania wysokich zniżek przy sprzedaży lokali. Zmiany mają wejść w życie latem 2027 roku. Sprawdź, co to oznacza dla najemców, seniorów i samorządów – oraz dlaczego politycy chcą zatrzymać wyprzedaż publicznego zasobu mieszkaniowego.
Wyjaśniamy dlaczego PZON i WZON usuwają punkt 7 wskazań w orzeczeniu o niepełnosprawności. To przez przepisy
22 gru 2025

Przepisy nakazują sprawdzić lekarzowi, czy osoba niepełnosprawna umie się ubrać, umyć oraz czy może wyjść na zewnątrz mieszkania. Jeżeli tak, to lekarz musi ją uznać za samodzielną i niepotrzebującą stałej opieki. Wyklucza to możliwość przyznania pkt 7 we wskazaniach do orzeczenia o niepełnosprawności (stopień znaczny). Sprawdzenie dotyczy zdolności faktycznej, a nie stanu zdrowia. Ta procedura wynika z rozporządzenie Ministra Gospodarki, Pracy i Polityki Społecznej z 15 lipca 2003 r. w sprawie orzekania o niepełnosprawności i stopniu niepełnosprawności. Do redakcji Infor.pl docierają informacje z całej Polski o nagminnym odbieraniu przez WZON i PZON pkt 7. Nie wynika to w naszej ocenie ze zmian w prawie w ostatnich kilkunastu miesiącach. To prawdopodobnie efekt przyjęcia przez PZON-y restrykcyjnej wykładni i skrajnie niekorzystnej dla osób niepełnosprawnych przepisów obowiązujących od dekad. Odebranie pkt 7 oznacza, że osoba niepełnosprawna nie wymaga ciągłej opieki, a jej opiekun nie otrzyma świadczenia pielęgnacyjnego (w 2026 r. 3386 zł miesięcznie - podwyżka o 99 zł do 2025 roku (3287 zł). Problem dotyczy przede wszystkim dzieci autystycznych, które w wieku 4-6 lat otrzymywały czasowo pkt 7, a przy ponownym stanięciu na komisji PZON w wieku np. 8 lat są pozbawiane pkt 7 - rodzice nie rozumieją jak to możliwe przy niezmienionym stanie zdrowia ich dziecka. Odpowiedź jest bardzo prosta - Wasze dzieci umieją się w wieku 8 lat samodzielnie ubrać i wykąpać, a kiedy miały 4 lata orzecznicy przyjmowali, że wymagają Waszej pomocy.
Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA