REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie
Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie
ShutterStock

REKLAMA

REKLAMA

Certyfikaty cyberbezpieczeństwa są przeznaczone dla profesjonalistów IT, w tym dla administratorów systemów i sieci, specjalistów od bezpieczeństwa, inżynierów oraz osób aspirujących do tych ról, aby potwierdzić ich wiedzę i umiejętności praktyczne w zakresie ochrony przed zagrożeniami cyfrowymi. Certyfikacja obejmuje także produkty, usługi i procesy ICT, a ich celem jest informowanie konsumentów o poziomie bezpieczeństwa cyfrowego oraz wspieranie polskich firm na rynkach europejskich. Czy i dla kogo uzyskanie certyfikatów cyberbezpieczeństwa jest obligatoryjne?

Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już obowiązuje

W dniu 28 sierpnia 2025 roku weszła w życie ustawa z 25 czerwca 2025 roku o krajowym systemie certyfikacji cyberbezpieczeństwa, służąca stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz. Urz. UE L 151 z 07.06.2019, str. 15 oraz Dz. Urz. UE L 2025/37 z 15.01.2025).       
Ustawa ta określa organizację krajowego systemu certyfikacji cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu. Nowe przepisy pozwalają na wydawanie europejskich i krajowych certyfikatów bezpieczeństwa dla produktów, usług, systemów i procesów związanych z technologiami informacyjno-komunikacyjnymi (ICT). Będzie to potwierdzenie, że dany produkt, usługa lub proces spełnia określone standardy ochrony danych i odporności na cyberataki.

Rozporządzenie 2019/881 ma na celu dokonanie harmonizacji w zakresie wydawania certyfikatów cyberbezpieczeństwa, wprowadzając możliwość tworzenia europejskich programów certyfikacyjnych oraz wspólne procedury uzyskiwania certyfikatu. Dzięki temu certyfikaty z zakresu cyberbezpieczeństwa będą automatycznie honorowane na terytorium całej Unii Europejskiej. Przesądza o tym art.2 pkt.9 rozporządzenia 2019/881. Uzupełnieniem europejskiego systemu certyfikacji są tzw. krajowe schematy certyfikacji cyberbezpieczeństwa w obszarach nieobjętych europejskimi programami certyfikacji cyberbezpieczeństwa.

REKLAMA

REKLAMA

Rozporządzenie 2019/881 nakłada na wszystkie państwa członkowskie Unii Europejskiej obowiązek ustanowienia krajowego organu do spraw certyfikacji cyberbezpieczeństwa, który będzie nadzorował rynek i kontrolował prawidłowość działań w zakresie certyfikacji, ponieważ co warto zauważyć cały system certyfikacji ma w dalszym ciągu być oparty na rynkowych mechanizmach, tj. podmioty prywatne będą mogły wydawać certyfikaty w ramach krajowego schematu certyfikacji cyberbezpieczeństwa. W uzasadnieniu Rady Ministrów dla przyjętej ustawy wskazano, że przyjęte zostały rozwiązania oparte na otwarciu rynku i nie została wyznaczona jedna państwowa jednostka oceniająca zgodność, która wydawałaby certyfikaty odwołujące się do poziomu uzasadnienia zaufania „wysoki”. Przyjęcie alternatywnego rozwiązania mogłoby stanowić barierę w rozwoju prywatnych jednostek oceniających zgodność. Zmiana polega więc na swego rodzaju objęciu „parasolem” procesu wydawania certyfikatów oraz stworzeniu mechanizmów jego nadzoru.

Więcej na temat europejskiego i krajowego systemu certyfikacji cyberbezpieczeństwa, relacji między certyfikatami europejskimi oraz krajowymi, ram krajowego systemu certyfikacji cyberbezpieczeństwa, czy akredytacji, ocenie zgodności oraz roli ministra jako krajowego organu do spraw certyfikacji cyberbezpieczeństwa można przeczytać tutaj: https://www.infor.pl/prawo/nowosci-prawne/7039425,trzeba-bedzie-miec-certyfikat-cyberbezpieczenstwa-zeby-wykazac-cyberodpornosc-nowe-przepisy-od-28-sierpnia-2025-r.html       

Czy i dla kogo certyfikaty cyberbezpieczeństwa są obligatoryjne?

Rozporządzenie 2019/881 przesądza, że certyfikacja cyberbezpieczeństwa jest dobrowolna, o ile prawo Unii lub prawo państwa członkowskiego nie stanowi inaczej (art.56 ust.2). Ustawodawca polski przyjmując ustawę o krajowym systemie certyfikacji cyberbezpieczeństwa zdecydował się zachować dobrowolny charakter certyfikacji. W uzasadnieniu Rady Ministrów do przyjętej ustawy znajduje się następująca informacja: „certyfikacja w zakresie cyberbezpieczeństwa będzie procesem całkowicie dobrowolnym i będzie odbywała się na zasadach rynkowych, a klienci będą mogli swobodnie wybierać spośród podmiotów działających na rynku. Ustawa tworzy ramy, w jakich będzie wykonywana certyfikacja, równocześnie nie nakładając żadnych obowiązków na podmioty działające na rynku. Każdy chętny będzie więc mógł zarówno rozpocząć działalność w tym zakresie, jak i uzyskać certyfikację swojego produktu ICT, usługi ICT, procesu ICT lub usługi zarządzanej w zakresie bezpieczeństwa równocześnie nie będąc do tego zobowiązanym”. W tym samym uzasadnieniu wielokrotnie pada informacja na temat dobrowolności certyfikacji, co istotne dobrowolności dla dwóch kategorii podmiotów: „Należy podkreślić, że podmioty prywatne nie będą w żaden sposób zmuszone do dołączenia do tego systemu. Obowiązki z niego wynikające będą więc dotyczyć tylko tych, którzy dobrowolnie się im poddadzą. Tyczy się to zarówno jednostek oceniających zgodność, jak i podmiotów poddających się procesowi certyfikacji”.   

Na poziomie Unii na ten moment także nie istnieje żadna regulacja wprowadzająca bezpośredni obowiązek certyfikacji, aczkolwiek w rzeczywistości jest to nieco bardziej skomplikowane. Art.21 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 roku (dyrektywa NIS2) wprowadza liczne wymogi w zakresie środków zarządzania ryzkiem w cyberbezpieczeństwie, które państwa członkowskie muszą wymóc na podmiotach tzw. podmiotach kluczowych i ważnych. ust. 5 tego artykułu odsyła do aktów wykonawczych Komisji określających wymogi techniczne w odniesieniu do m.in. dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych i innych podmiotów tam się znajdujących. Zgodnie z art. 24 NIS2, państwa członkowskie mogą wymagać od podmiotów kluczowych i ważnych stosowania konkretnych produktów, procesów, usług ICT, które byłyby certyfikowane zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa przyjętymi na podstawie art.49 rozporządzenia 2019/881.                                         

Za wdrożenie przepisów dyrektywy NIS1 oraz NIS2 odpowiedzialna jest w szczególności ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa. Rozdział 3 ustawy poświęcony jest obowiązkom operatorów usług kluczowych, do których należą m.in.: obowiązek wdrożenia środków bezpieczeństwa, raportowania incydentów, przeprowadzania audytów bezpieczeństwa systemu. Analogiczne obowiązki muszą spełnić dostawcy usług cyfrowych, co reguluje rozdział 4 ustawy. Wśród tych obowiązków nie ma obowiązku posiadania europejskiego certyfikatu cyberbezpieczeństwa, choć teoretycznie zgodnie z przepisami NIS2 mógłby taki obowiązek istnieć. Jednocześnie, uzyskanie odpowiedniego certyfikatu cyberbezpieczeństwa przez operatorów usług kluczowych w szczególności, ale również przez dostawców usług cyfrowych może się okazać konieczne lub co najmniej przydatne. Liczne i kosztowne wymogi stawiane przed operatorami usług kluczowych mogłyby zostać zredukowane w momencie uzyskania certyfikatu cyberbezpieczeństwa, np. za sprawą skrócenia obowiązkowego audytu.                                                                         

REKLAMA

Jedyny obecnie przyjęty europejski program certyfikacji cyberbezpieczeństwa jest oparty na normie Common Criteria (ISO/IEC 15408). Wymogi jakie stawia legislacja europejska i polska operatorom usług kluczowych są w dużej mierze oparte właśnie na szeroko stosowanych normach takich jak już wskazana ISO/IEC 15408 czy ISO/EIC 27001 lub ISO/IEC 27002. Oznacza to, że opracowanie infrastruktury należycie bezpiecznej, zgodnie z wymogami najczęściej wykorzystanych norm wymaga bardzo podobnych lub wręcz tożsamych środków potrzebnych do uzyskania europejskiego certyfikatu cyberbezpieczeństwa. Jego otrzymanie z kolei może wiązać się z benefitami w postaci skrócenia procedur takich jak audyty bezpieczeństwa. Podobnie sytuacja ma się z przywołanymi wcześniej wymogami stawianymi na gruncie dyrektywy NIS2 np. DNS[1], opartymi w dużej mierze na stosowanych powszechnie normach ISO/EIC.

Dalszy ciąg materiału pod wideo

Także inne akty prawne UE, nakładają lub umożliwiają nakładanie kolejnych wymogów w zakresie cyberbezpieczeństwa na różne sektory gospodarki. Do takich regulacji zaliczyć można Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 roku w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Rozporządzenie DORA), którego celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług ICT na rynku finansowym. W wyniku dającego się zauważyć trendu polegającego na wprowadzaniu kolejnych wymogów raportowania, testów odporności, zarządzania ryzykiem itp. europejskie certyfikaty cyberbezpieczeństwa mogą się okazać bardzo przydatnym sposobem na zrealizowanie wszystkich stawianych wymogów w sposób znaczący łatwiejszy, choć warto zastrzec, że nie ma tutaj żadnego mechanizmu automatycznego spełnienia wymogów w momencie uzyskania certyfikatu.

Certyfikaty cyberbezpieczeństwa w zamówieniach publicznych

Warto podkreślić, że uzyskanie certyfikatów cyberbezpieczeństwa nie jest na ten moment obligatoryjne, ale może się okazać w przyszłości konieczne również w obszarze zamówień publicznych. Zamawiający ma bowiem prawo wskazywać w SIWZ (Specyfikacja Istotnych Warunków Zamówienia) wymóg posiadania określonego certyfikatu i choć teoretycznie stawiane wymogi powinny być proporcjonalne, oparte na niedyskryminacji i równym traktowaniu, co oznacza, że równoważny sposób wykazania zgodności w większości przypadków powinien być wystarczający. Uzyskanie certyfikatu może być, wobec tego, przydatne przy uczestniczenia w przetargach zarówno, gdy w SIWZ wskazano konkretny certyfikat cyberbezpieczeństwa lub gdy odwołano się jedynie do norm takich jak ISO/EIC, ponieważ jak wspominano wcześniej certyfikaty cyberbezpieczeństwa tworzone w dużej mierze w oparciu właśnie o te normy, co pozwala na wykazanie równoważnego sposobu wykazania zgodności z wymogami.

Autorzy:
K. Jakub Gładkowski, radca prawny, KIELTYKA GLADKOWSKI KG LEGAL
Ireneusz Łaskawiec, prawnik, KIELTYKA GLADKOWSKI KG LEGAL

*********

[1] Szczegółowe wymogi w tym zakresie wynikają m.in. z Rozporządzenia Wykonawczego Komisji (UE) 2024/2690 z dnia 17 października 2024 roku ustanawiającego zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz doprecyzowujące przypadki, w których incydent uznaje się za poważny w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawców usług zaufania.

Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: INFOR

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Czy kancelarii prawnej potrzebny jest marketing

Rynek prawny obserwujemy od lat i widzimy, że kancelarie coraz bardziej dostrzegają rolę marketingu, a nawet możemy zaryzykować stwierdzenie, że marketing prawniczy sam w sobie staje się trendem. Świadczy o tym chociażby rosnąca liczba wydarzeń branżowych czy coraz większe zainteresowanie rankingami prawniczymi.

Rewolucja dla osób z niepełnosprawnościami: Rząd szykuje ustawę o asystencji osobistej, która zmieni życie tysięcy Polaków

Już jutro, 28 października 2025 roku, Rada Ministrów zajmie się projektem ustawy o asystencji osobistej osób z niepełnosprawnościami, co zapowiada prawdziwą rewolucję w systemie wsparcia w Polsce. Informację tę przekazał w piątek wiceminister rodziny i pełnomocnik rządu ds. osób z niepełnosprawnych, Łukasz Krasoń, który podkreślił wagę tego wydarzenia. Jak zapowiadają eksperci i sam resort rodziny, nowa ustawa może wreszcie ujednolicić dostęp do usług asystenckich, który do tej pory był rozproszony i zależny od czasowych programów realizowanych przez samorządy oraz organizacje pozarządowe.

Obowiązki pracodawcy w zakresie ochrony zdrowia pracowników – aktualne przepisy 2025

Badania okresowe, szkolenia BHP, profilaktyka i zdrowie psychiczne – to nie przywilej, lecz obowiązek pracodawcy. Zobacz, jak firmy w 2025 roku muszą dbać o bezpieczeństwo i dobrostan swoich pracowników.

Ostatnie dwa miesiące na uzyskanie decyzji o warunkach zabudowy dla swojej działki – właściciele nieruchomości, którzy to przeoczą, później już tylko stracą [LISTA NAJWAŻNIEJSZYCH ZMIAN I TERMINÓW]

Decyzję o warunkach zabudowy, której uzyskanie jest niezbędne m.in. do posadowienia na swojej działce domu (o ile na danym obszarze nie obowiązuje miejscowy plan zagospodarowania przestrzennego), na „starych zasadach”, które dawały właścicielowi nieruchomości największą „wolność” w zakresie realizowanej przez niego inwestycji – będzie można uzyskać jeszcze tylko przez najbliższe dwa miesiące. Decyzje WZ wydane przez gminy po tym terminie, będą już bowiem podlegały nowym, zdecydowanie bardziej restrykcyjnym regulacjom.

REKLAMA

Koniec z leasingiem auta na full wypas. To już nie będzie się tak opłacać

Niezły samochód za atrakcyjną cenę. Taki dobry biznes mogli do końca grudnia robić przedsiębiorcy, którzy korzystali z aut w ramach umowy leasingowej. Kiedy leasing się kończył kupowali auta do celów prywatnych, po oferowanych przez firmy, preferencyjnych stawkach. Te praktyki, które pozwalały na niepłacenie podatków zostały ukrócone trzy lata temu. Nieskutecznie? Prawna furtka pozwala na ich ominięcie. Teraz i ona zostanie zatrzaśnięta.

Przełomowy wyrok NSA - skarbówka przegrywa w sądzie, bo stosowała zawyżone stawki akcyzy dla samochodów osobowych. Takie samochody powinny być tańsze

Przełomowy wyrok Naczelnego Sądu Administracyjnego (NSA) jest faktem. NSA stwierdził, że stawki akcyzy od tysięcy aut były błędnie określane przez skarbówkę na zawyżonym poziomie. To powodowało finalnie wyższą cenę samochodu, za co płacił klient. Wszystko oczywiście przez niekorzystną dla podatników interpretację przepisów stosowaną latami.

Koniec z opłatami za wjazd na cmentarz – na Wszystkich Świętych zaparkujesz za darmo. Przełomowy wyrok WSA w Olsztynie [Święto Zmarłych 2025]

Organy samorządowe nie mogą ustanawiać (a cmentarze – na tej postawie) pobierać jakichkolwiek opłat, które są niezwiązane z pochówkiem zmarłych, tj. m.in. opłat za wjazd na cmentarz i korzystanie z cmentarza – orzekł WSA w Olsztynie. W związku ze zbliżającym się Wszystkich Świętych i wzmożonym ruchem na cmentarzach – warto, aby osoby, które będą odwiedzać groby swoich bliskich, znały te zasady.

Komisja w PZON i WZON uzdrawia niepełnosprawnych ze świadczenia pielęgnacyjnego. Trzema pytaniami. Tak prostymi, że trudno wierzyć w medycynę

Jeżeli dziecko odpowie, to rodzice tracą około 40 000 zł - to przybliżona roczna wartość świadczenia pielęgnacyjnego, które po takim badaniu tracą rodzice. Badanie medyczne w postaci trzech pytań lekarze stosują wobec dzieci ze spektrum autyzmu. Jeżeli dziecko odpowie zostaje automatyczne uznane za niebędące osobą niepełnosprawną. Piszą do nas o tym rodzice dzieci, którym odbiera się w 2025 r. orzeczenia o niepełnosprawności w taki sposób, aby rodzice nie mieli świadczenia pielęgnacyjnego 3287 zł miesięcznie. Podobnie odbierane są orzeczenia dzieciom z zespołem Aspergera, Chodzi tu o dzieci, które dysponowały właściwymi (dla tego świadczenia) orzeczeniami w okresie kilku ostatnich lat. Rodzice uważają, że ich dzieci zostały cudownie "uzdrowione". Najczęściej odbywa się to poprzez tzw. punkt 7 orzeczenia. Jest to wskazanie "konieczności stałej lub długotrwałej opieki lub pomocy innej osoby w związku ze znacznie ograniczoną możliwością samodzielnej egzystencji". Jeżeli dziecko nie wymaga tego, to nie ma świadczenia pielęgnacyjnego. Z listów rodziców wynika, że usunięcie z orzeczenia pkt 7 toobecnie nie incydenty a seria orzeczeń w PZON i WZON w całej Polsce.

REKLAMA

Osoby niepełnosprawne walczą o rozszerzenie dodatku dopełniającego. I dla socjalnej renty. I dla osób niezdolnych do pracy

Podwyżka ta podniosłaby rentę socjalną w 2026 r. do kwoty 4806 zł brutto. Nie została zrealizowana. Do redakcji Infor.pl trafiają stale listy osób niepełnosprawnych walczących o przeprowadzenie przez Sejm dwóch ustaw (albo nowelizacji istniejących) w związku z obietnicą z 2023 r. zrównania renty socjalnej i pensji minimalnej : 1) ZMIANY W RENCIE CHOROBOWEJ w postaci obiecanej ustawy wprowadzającej dodatek dopełniający w kwocie 2610,72 zł brutto miesięcznie każdemu renciście socjalnemu (dziś tylko dla osób niezdolnych do samodzielnej egzystencji mających rentę socjalną). 2) ZMIANY W RENCIE CHOROBOWEJ. Druga ustawa dotyczy rencistów chorobowych (renta z tytułu niezdolności do pracy) i jej nowelizacji tak, aby osoby z tym świadczeniem także otrzymały odpowiednik dodatku dopełniającego. Będący w identycznej sytuacji renciści chorobowi nie mają tego dodatku. Z listów do Infor.pl wynika bezradność osób niepełnosprawnych i prośba do dziennikarzy o to, aby ich próba przekonania najważniejszych ośrodków władzy była znana społeczeństwu. Aby ich starania nie przykryło milczenie i cisza. Przykładowe prośby o wsparcie informacyjne w artykule.

ZUS dla osób z niepełnosprawnościami. Świadczenia i planowane zmiany na 2026 rok

Jakie świadczenia mogą otrzymać z Zakładu Ubezpieczeń Społecznych osoby z niepełnosprawnościami? Jak uzyskać orzeczenie? Co może się zmienić w 2026 roku? Oto najważniejsze przepisy i kwoty!

REKLAMA