REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Prawo » Wiadomości » Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie

Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
16 września 2025, 10:42
KIEŁTYKA GŁADKOWSKI KG Legal
KIEŁTYKA GŁADKOWSKI KG Legal
Kancelaria prawna
oprac. Paweł Huczko
Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie
Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie
ShutterStock

REKLAMA

REKLAMA

Certyfikaty cyberbezpieczeństwa są przeznaczone dla profesjonalistów IT, w tym dla administratorów systemów i sieci, specjalistów od bezpieczeństwa, inżynierów oraz osób aspirujących do tych ról, aby potwierdzić ich wiedzę i umiejętności praktyczne w zakresie ochrony przed zagrożeniami cyfrowymi. Certyfikacja obejmuje także produkty, usługi i procesy ICT, a ich celem jest informowanie konsumentów o poziomie bezpieczeństwa cyfrowego oraz wspieranie polskich firm na rynkach europejskich. Czy i dla kogo uzyskanie certyfikatów cyberbezpieczeństwa jest obligatoryjne?

Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już obowiązuje

W dniu 28 sierpnia 2025 roku weszła w życie ustawa z 25 czerwca 2025 roku o krajowym systemie certyfikacji cyberbezpieczeństwa, służąca stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz. Urz. UE L 151 z 07.06.2019, str. 15 oraz Dz. Urz. UE L 2025/37 z 15.01.2025).       
Ustawa ta określa organizację krajowego systemu certyfikacji cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu. Nowe przepisy pozwalają na wydawanie europejskich i krajowych certyfikatów bezpieczeństwa dla produktów, usług, systemów i procesów związanych z technologiami informacyjno-komunikacyjnymi (ICT). Będzie to potwierdzenie, że dany produkt, usługa lub proces spełnia określone standardy ochrony danych i odporności na cyberataki.

Rozporządzenie 2019/881 ma na celu dokonanie harmonizacji w zakresie wydawania certyfikatów cyberbezpieczeństwa, wprowadzając możliwość tworzenia europejskich programów certyfikacyjnych oraz wspólne procedury uzyskiwania certyfikatu. Dzięki temu certyfikaty z zakresu cyberbezpieczeństwa będą automatycznie honorowane na terytorium całej Unii Europejskiej. Przesądza o tym art.2 pkt.9 rozporządzenia 2019/881. Uzupełnieniem europejskiego systemu certyfikacji są tzw. krajowe schematy certyfikacji cyberbezpieczeństwa w obszarach nieobjętych europejskimi programami certyfikacji cyberbezpieczeństwa.

REKLAMA

REKLAMA

Rozporządzenie 2019/881 nakłada na wszystkie państwa członkowskie Unii Europejskiej obowiązek ustanowienia krajowego organu do spraw certyfikacji cyberbezpieczeństwa, który będzie nadzorował rynek i kontrolował prawidłowość działań w zakresie certyfikacji, ponieważ co warto zauważyć cały system certyfikacji ma w dalszym ciągu być oparty na rynkowych mechanizmach, tj. podmioty prywatne będą mogły wydawać certyfikaty w ramach krajowego schematu certyfikacji cyberbezpieczeństwa. W uzasadnieniu Rady Ministrów dla przyjętej ustawy wskazano, że przyjęte zostały rozwiązania oparte na otwarciu rynku i nie została wyznaczona jedna państwowa jednostka oceniająca zgodność, która wydawałaby certyfikaty odwołujące się do poziomu uzasadnienia zaufania „wysoki”. Przyjęcie alternatywnego rozwiązania mogłoby stanowić barierę w rozwoju prywatnych jednostek oceniających zgodność. Zmiana polega więc na swego rodzaju objęciu „parasolem” procesu wydawania certyfikatów oraz stworzeniu mechanizmów jego nadzoru.

Więcej na temat europejskiego i krajowego systemu certyfikacji cyberbezpieczeństwa, relacji między certyfikatami europejskimi oraz krajowymi, ram krajowego systemu certyfikacji cyberbezpieczeństwa, czy akredytacji, ocenie zgodności oraz roli ministra jako krajowego organu do spraw certyfikacji cyberbezpieczeństwa można przeczytać tutaj: https://www.infor.pl/prawo/nowosci-prawne/7039425,trzeba-bedzie-miec-certyfikat-cyberbezpieczenstwa-zeby-wykazac-cyberodpornosc-nowe-przepisy-od-28-sierpnia-2025-r.html       

Zobacz również:

Czy i dla kogo certyfikaty cyberbezpieczeństwa są obligatoryjne?

Rozporządzenie 2019/881 przesądza, że certyfikacja cyberbezpieczeństwa jest dobrowolna, o ile prawo Unii lub prawo państwa członkowskiego nie stanowi inaczej (art.56 ust.2). Ustawodawca polski przyjmując ustawę o krajowym systemie certyfikacji cyberbezpieczeństwa zdecydował się zachować dobrowolny charakter certyfikacji. W uzasadnieniu Rady Ministrów do przyjętej ustawy znajduje się następująca informacja: „certyfikacja w zakresie cyberbezpieczeństwa będzie procesem całkowicie dobrowolnym i będzie odbywała się na zasadach rynkowych, a klienci będą mogli swobodnie wybierać spośród podmiotów działających na rynku. Ustawa tworzy ramy, w jakich będzie wykonywana certyfikacja, równocześnie nie nakładając żadnych obowiązków na podmioty działające na rynku. Każdy chętny będzie więc mógł zarówno rozpocząć działalność w tym zakresie, jak i uzyskać certyfikację swojego produktu ICT, usługi ICT, procesu ICT lub usługi zarządzanej w zakresie bezpieczeństwa równocześnie nie będąc do tego zobowiązanym”. W tym samym uzasadnieniu wielokrotnie pada informacja na temat dobrowolności certyfikacji, co istotne dobrowolności dla dwóch kategorii podmiotów: „Należy podkreślić, że podmioty prywatne nie będą w żaden sposób zmuszone do dołączenia do tego systemu. Obowiązki z niego wynikające będą więc dotyczyć tylko tych, którzy dobrowolnie się im poddadzą. Tyczy się to zarówno jednostek oceniających zgodność, jak i podmiotów poddających się procesowi certyfikacji”.   

Na poziomie Unii na ten moment także nie istnieje żadna regulacja wprowadzająca bezpośredni obowiązek certyfikacji, aczkolwiek w rzeczywistości jest to nieco bardziej skomplikowane. Art.21 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 roku (dyrektywa NIS2) wprowadza liczne wymogi w zakresie środków zarządzania ryzkiem w cyberbezpieczeństwie, które państwa członkowskie muszą wymóc na podmiotach tzw. podmiotach kluczowych i ważnych. ust. 5 tego artykułu odsyła do aktów wykonawczych Komisji określających wymogi techniczne w odniesieniu do m.in. dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych i innych podmiotów tam się znajdujących. Zgodnie z art. 24 NIS2, państwa członkowskie mogą wymagać od podmiotów kluczowych i ważnych stosowania konkretnych produktów, procesów, usług ICT, które byłyby certyfikowane zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa przyjętymi na podstawie art.49 rozporządzenia 2019/881.                                         

Za wdrożenie przepisów dyrektywy NIS1 oraz NIS2 odpowiedzialna jest w szczególności ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa. Rozdział 3 ustawy poświęcony jest obowiązkom operatorów usług kluczowych, do których należą m.in.: obowiązek wdrożenia środków bezpieczeństwa, raportowania incydentów, przeprowadzania audytów bezpieczeństwa systemu. Analogiczne obowiązki muszą spełnić dostawcy usług cyfrowych, co reguluje rozdział 4 ustawy. Wśród tych obowiązków nie ma obowiązku posiadania europejskiego certyfikatu cyberbezpieczeństwa, choć teoretycznie zgodnie z przepisami NIS2 mógłby taki obowiązek istnieć. Jednocześnie, uzyskanie odpowiedniego certyfikatu cyberbezpieczeństwa przez operatorów usług kluczowych w szczególności, ale również przez dostawców usług cyfrowych może się okazać konieczne lub co najmniej przydatne. Liczne i kosztowne wymogi stawiane przed operatorami usług kluczowych mogłyby zostać zredukowane w momencie uzyskania certyfikatu cyberbezpieczeństwa, np. za sprawą skrócenia obowiązkowego audytu.                                                                         

REKLAMA

Jedyny obecnie przyjęty europejski program certyfikacji cyberbezpieczeństwa jest oparty na normie Common Criteria (ISO/IEC 15408). Wymogi jakie stawia legislacja europejska i polska operatorom usług kluczowych są w dużej mierze oparte właśnie na szeroko stosowanych normach takich jak już wskazana ISO/IEC 15408 czy ISO/EIC 27001 lub ISO/IEC 27002. Oznacza to, że opracowanie infrastruktury należycie bezpiecznej, zgodnie z wymogami najczęściej wykorzystanych norm wymaga bardzo podobnych lub wręcz tożsamych środków potrzebnych do uzyskania europejskiego certyfikatu cyberbezpieczeństwa. Jego otrzymanie z kolei może wiązać się z benefitami w postaci skrócenia procedur takich jak audyty bezpieczeństwa. Podobnie sytuacja ma się z przywołanymi wcześniej wymogami stawianymi na gruncie dyrektywy NIS2 np. DNS[1], opartymi w dużej mierze na stosowanych powszechnie normach ISO/EIC.

Dalszy ciąg materiału pod wideo

Także inne akty prawne UE, nakładają lub umożliwiają nakładanie kolejnych wymogów w zakresie cyberbezpieczeństwa na różne sektory gospodarki. Do takich regulacji zaliczyć można Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 roku w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Rozporządzenie DORA), którego celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług ICT na rynku finansowym. W wyniku dającego się zauważyć trendu polegającego na wprowadzaniu kolejnych wymogów raportowania, testów odporności, zarządzania ryzykiem itp. europejskie certyfikaty cyberbezpieczeństwa mogą się okazać bardzo przydatnym sposobem na zrealizowanie wszystkich stawianych wymogów w sposób znaczący łatwiejszy, choć warto zastrzec, że nie ma tutaj żadnego mechanizmu automatycznego spełnienia wymogów w momencie uzyskania certyfikatu.

Certyfikaty cyberbezpieczeństwa w zamówieniach publicznych

Warto podkreślić, że uzyskanie certyfikatów cyberbezpieczeństwa nie jest na ten moment obligatoryjne, ale może się okazać w przyszłości konieczne również w obszarze zamówień publicznych. Zamawiający ma bowiem prawo wskazywać w SIWZ (Specyfikacja Istotnych Warunków Zamówienia) wymóg posiadania określonego certyfikatu i choć teoretycznie stawiane wymogi powinny być proporcjonalne, oparte na niedyskryminacji i równym traktowaniu, co oznacza, że równoważny sposób wykazania zgodności w większości przypadków powinien być wystarczający. Uzyskanie certyfikatu może być, wobec tego, przydatne przy uczestniczenia w przetargach zarówno, gdy w SIWZ wskazano konkretny certyfikat cyberbezpieczeństwa lub gdy odwołano się jedynie do norm takich jak ISO/EIC, ponieważ jak wspominano wcześniej certyfikaty cyberbezpieczeństwa tworzone w dużej mierze w oparciu właśnie o te normy, co pozwala na wykazanie równoważnego sposobu wykazania zgodności z wymogami.

Autorzy:
K. Jakub Gładkowski, radca prawny, KIELTYKA GLADKOWSKI KG LEGAL
Ireneusz Łaskawiec, prawnik, KIELTYKA GLADKOWSKI KG LEGAL

*********

[1] Szczegółowe wymogi w tym zakresie wynikają m.in. z Rozporządzenia Wykonawczego Komisji (UE) 2024/2690 z dnia 17 października 2024 roku ustanawiającego zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz doprecyzowujące przypadki, w których incydent uznaje się za poważny w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawców usług zaufania.

Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
Najniższa krajowa w 2027 r. - 5200 zł czy 4950 zł brutto? Rząd uchwalił oficjalną propozycję - związki zawodowe chcą więcej
09 cze 2026

W dniu 9 czerwca 2026 r. Rada Ministrów przyjęła propozycję wysokości minimalnego wynagrodzenia za pracę (tzw. płacy minimalnej lub najniższej krajowej) oraz minimalnej stawki godzinowej w 2027 r., przedłożoną przez Minister Rodziny, Pracy i Polityki Społecznej. Ostateczną wysokość tych minimalnych kwot na przyszły rok rząd określi w rozporządzeniu, które musi być wydane do 15 września.

Stałe czy zmienne oprocentowanie kredytu hipotecznego? Jakie stawki w 2026 roku?
09 cze 2026

Rynek kredytów hipotecznych znalazł się w momencie, w którym wybór pomiędzy oprocentowaniem stałym a zmiennym przestaje być oczywistą decyzją finansową. Kredytobiorcy coraz częściej nie są w stanie jednoznacznie ocenić, która opcja będzie korzystniejsza w średnim i długim terminie, a decyzje podejmują w warunkach rosnącej niepewności co do dalszej ścieżki stóp procentowych.
Urlop wypoczynkowy pracownika zatrudnionego na zastępstwo to dla pracodawców pole do nadużyć. A zasady są proste
09 cze 2026

Pracownik zatrudniony na zastępstwo to taki sam pracownik, jak każdy inny zatrudniony na czas określony czy nieokreślony. Przysługują mu takie same prawa jak pozostałym pracownikom, ale pracodawcy kierując się zasadą tymczasowości tej współpracy, wydają się o tym zapominać.
Równowaga płci (gender balance) w zarządach spółek - co najmniej 33% płci niedostatecznie reprezentowanej. Rząd przyjął projekt ustawy
09 cze 2026

W dniu 9 czerwca 2206 r. Rada Ministrów przyjęła projekt ustawy, który ma na celu poprawę równowagi płci w organach spółek publicznych z siedzibą w Polsce, a także ustawy o wdrożeniu niektórych przepisów Unii Europejskiej w zakresie równego traktowania. Projekt wdraża do polskiego prawa unijne przepisy dotyczące równowagi płci w organach spółek giełdowych. Celem zmian jest zwiększenie udziału kobiet i mężczyzn w procesach decyzyjnych największych firm notowanych na giełdzie poprzez wprowadzenie przejrzystych zasad wyboru członków zarządów i rad nadzorczych. Rozwiązania te mają wspierać równość szans oraz podnosić jakość zarządzania spółkami.

REKLAMA

Polska poniżej średniej unijnej. Najnowsze dane o bezrobociu
09 cze 2026

Szacowana stopa bezrobocia w maju wyniosła 5,9 proc. i była o 0,1 pkt. proc. niższa niż w kwietniu – poinformowało we wtorek Ministerstwo Rodziny, Pracy i Polityki Społecznej. W urzędach pracy w maju zarejestrowanych było 917,2 tys. bezrobotnych – o 17,1 tys. mniej niż w poprzednim miesiącu.
800 plus czy 400 plus? Do 30 czerwca należy złożyć wniosek o świadczenie wychowawcze
09 cze 2026

Do 30 czerwca rodzice i opiekunowie mogą złożyć wniosek o 800 plus na nowy okres świadczeniowy. Aby nie stracić pieniędzy warto dopilnować tego terminu - świadczenie wpłynie na konto do końca sierpnia z wyrównaniem za czerwiec. W części przypadków ZUS wypłaci tylko po 400 zł na dziecko.
Ceny paliwa na środę 10 czerwca. Od jutra droższe benzyna i diesel na stacjach benzynowych
09 cze 2026

Znamy ceny benzyny i oleju napędowego, które będą obowiązywać w środę. Minister energii w najnowszym obwieszczeniu określił maksymalne ceny detaliczne paliwa obowiązujące w dniu 10 czerwca. Niestety, jutro paliwa zdrożeją.
Ponad 3 tys. zł więcej niż dekadę temu. Oto jak rosła najniższa krajowa
09 cze 2026

Rząd we wtorek ma przedstawić propozycję minimalnego wynagrodzenia za pracę w 2027 r. W ciągu 10 lat pensja minimalna wzrosła o 3056 zł, największa podwyżka była w 2024 r., kiedy to świadczenie wzrosło w sumie o 700 zł. Ostatnia dekada to także wzrost kosztów życia, głównie z powodu inflacji.

REKLAMA

Ile pracują Polacy? W UE wyprzedza nas tylko kilka krajów
09 cze 2026

W 2025 r. polscy pracownicy przepracowywali średnio 38 godzin w tygodniu, co dało 5. najwyższy wynik w Unii Europejskiej - wskazał Polski Instytut Ekonomiczny. Osoby fizyczne prowadzące działalność gospodarczą pracują w ciągu tygodnia dłużej niż pracownicy.
Nowelizacja ustawy o radcach prawnych wejdzie w życie już w czerwcu - jakie zapisy pomogą potencjalnym klientom?
09 cze 2026

Kilka dni temu prezydent podpisał nowelizację ustawy o radcach prawnych wprowadzającej szereg ważnych zmian dotyczących wykonywania zawodu radcy prawnego, zasad funkcjonowania samorządu zawodowego oraz odpowiedzialności i ochrony prawnej tej profesji. Które z nowych zmian będą korzystne dla osób chcących korzystać z usług radcy prawnego?
Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA