REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Prawo » Wiadomości » Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie

Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
16 września 2025, 10:42
KIEŁTYKA GŁADKOWSKI KG Legal
KIEŁTYKA GŁADKOWSKI KG Legal
Kancelaria prawna
Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie
Dla kogo certyfikaty cyberbezpieczeństwa? Czy są obowiązkowe? Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już weszła w życie
ShutterStock

REKLAMA

REKLAMA

Certyfikaty cyberbezpieczeństwa są przeznaczone dla profesjonalistów IT, w tym dla administratorów systemów i sieci, specjalistów od bezpieczeństwa, inżynierów oraz osób aspirujących do tych ról, aby potwierdzić ich wiedzę i umiejętności praktyczne w zakresie ochrony przed zagrożeniami cyfrowymi. Certyfikacja obejmuje także produkty, usługi i procesy ICT, a ich celem jest informowanie konsumentów o poziomie bezpieczeństwa cyfrowego oraz wspieranie polskich firm na rynkach europejskich. Czy i dla kogo uzyskanie certyfikatów cyberbezpieczeństwa jest obligatoryjne?

Ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa już obowiązuje

W dniu 28 sierpnia 2025 roku weszła w życie ustawa z 25 czerwca 2025 roku o krajowym systemie certyfikacji cyberbezpieczeństwa, służąca stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz. Urz. UE L 151 z 07.06.2019, str. 15 oraz Dz. Urz. UE L 2025/37 z 15.01.2025).       
Ustawa ta określa organizację krajowego systemu certyfikacji cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu. Nowe przepisy pozwalają na wydawanie europejskich i krajowych certyfikatów bezpieczeństwa dla produktów, usług, systemów i procesów związanych z technologiami informacyjno-komunikacyjnymi (ICT). Będzie to potwierdzenie, że dany produkt, usługa lub proces spełnia określone standardy ochrony danych i odporności na cyberataki.

Rozporządzenie 2019/881 ma na celu dokonanie harmonizacji w zakresie wydawania certyfikatów cyberbezpieczeństwa, wprowadzając możliwość tworzenia europejskich programów certyfikacyjnych oraz wspólne procedury uzyskiwania certyfikatu. Dzięki temu certyfikaty z zakresu cyberbezpieczeństwa będą automatycznie honorowane na terytorium całej Unii Europejskiej. Przesądza o tym art.2 pkt.9 rozporządzenia 2019/881. Uzupełnieniem europejskiego systemu certyfikacji są tzw. krajowe schematy certyfikacji cyberbezpieczeństwa w obszarach nieobjętych europejskimi programami certyfikacji cyberbezpieczeństwa.

REKLAMA

REKLAMA

Rozporządzenie 2019/881 nakłada na wszystkie państwa członkowskie Unii Europejskiej obowiązek ustanowienia krajowego organu do spraw certyfikacji cyberbezpieczeństwa, który będzie nadzorował rynek i kontrolował prawidłowość działań w zakresie certyfikacji, ponieważ co warto zauważyć cały system certyfikacji ma w dalszym ciągu być oparty na rynkowych mechanizmach, tj. podmioty prywatne będą mogły wydawać certyfikaty w ramach krajowego schematu certyfikacji cyberbezpieczeństwa. W uzasadnieniu Rady Ministrów dla przyjętej ustawy wskazano, że przyjęte zostały rozwiązania oparte na otwarciu rynku i nie została wyznaczona jedna państwowa jednostka oceniająca zgodność, która wydawałaby certyfikaty odwołujące się do poziomu uzasadnienia zaufania „wysoki”. Przyjęcie alternatywnego rozwiązania mogłoby stanowić barierę w rozwoju prywatnych jednostek oceniających zgodność. Zmiana polega więc na swego rodzaju objęciu „parasolem” procesu wydawania certyfikatów oraz stworzeniu mechanizmów jego nadzoru.

Więcej na temat europejskiego i krajowego systemu certyfikacji cyberbezpieczeństwa, relacji między certyfikatami europejskimi oraz krajowymi, ram krajowego systemu certyfikacji cyberbezpieczeństwa, czy akredytacji, ocenie zgodności oraz roli ministra jako krajowego organu do spraw certyfikacji cyberbezpieczeństwa można przeczytać tutaj: https://www.infor.pl/prawo/nowosci-prawne/7039425,trzeba-bedzie-miec-certyfikat-cyberbezpieczenstwa-zeby-wykazac-cyberodpornosc-nowe-przepisy-od-28-sierpnia-2025-r.html       

Zobacz również:

Czy i dla kogo certyfikaty cyberbezpieczeństwa są obligatoryjne?

Rozporządzenie 2019/881 przesądza, że certyfikacja cyberbezpieczeństwa jest dobrowolna, o ile prawo Unii lub prawo państwa członkowskiego nie stanowi inaczej (art.56 ust.2). Ustawodawca polski przyjmując ustawę o krajowym systemie certyfikacji cyberbezpieczeństwa zdecydował się zachować dobrowolny charakter certyfikacji. W uzasadnieniu Rady Ministrów do przyjętej ustawy znajduje się następująca informacja: „certyfikacja w zakresie cyberbezpieczeństwa będzie procesem całkowicie dobrowolnym i będzie odbywała się na zasadach rynkowych, a klienci będą mogli swobodnie wybierać spośród podmiotów działających na rynku. Ustawa tworzy ramy, w jakich będzie wykonywana certyfikacja, równocześnie nie nakładając żadnych obowiązków na podmioty działające na rynku. Każdy chętny będzie więc mógł zarówno rozpocząć działalność w tym zakresie, jak i uzyskać certyfikację swojego produktu ICT, usługi ICT, procesu ICT lub usługi zarządzanej w zakresie bezpieczeństwa równocześnie nie będąc do tego zobowiązanym”. W tym samym uzasadnieniu wielokrotnie pada informacja na temat dobrowolności certyfikacji, co istotne dobrowolności dla dwóch kategorii podmiotów: „Należy podkreślić, że podmioty prywatne nie będą w żaden sposób zmuszone do dołączenia do tego systemu. Obowiązki z niego wynikające będą więc dotyczyć tylko tych, którzy dobrowolnie się im poddadzą. Tyczy się to zarówno jednostek oceniających zgodność, jak i podmiotów poddających się procesowi certyfikacji”.   

Na poziomie Unii na ten moment także nie istnieje żadna regulacja wprowadzająca bezpośredni obowiązek certyfikacji, aczkolwiek w rzeczywistości jest to nieco bardziej skomplikowane. Art.21 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 roku (dyrektywa NIS2) wprowadza liczne wymogi w zakresie środków zarządzania ryzkiem w cyberbezpieczeństwie, które państwa członkowskie muszą wymóc na podmiotach tzw. podmiotach kluczowych i ważnych. ust. 5 tego artykułu odsyła do aktów wykonawczych Komisji określających wymogi techniczne w odniesieniu do m.in. dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych i innych podmiotów tam się znajdujących. Zgodnie z art. 24 NIS2, państwa członkowskie mogą wymagać od podmiotów kluczowych i ważnych stosowania konkretnych produktów, procesów, usług ICT, które byłyby certyfikowane zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa przyjętymi na podstawie art.49 rozporządzenia 2019/881.                                         

Za wdrożenie przepisów dyrektywy NIS1 oraz NIS2 odpowiedzialna jest w szczególności ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa. Rozdział 3 ustawy poświęcony jest obowiązkom operatorów usług kluczowych, do których należą m.in.: obowiązek wdrożenia środków bezpieczeństwa, raportowania incydentów, przeprowadzania audytów bezpieczeństwa systemu. Analogiczne obowiązki muszą spełnić dostawcy usług cyfrowych, co reguluje rozdział 4 ustawy. Wśród tych obowiązków nie ma obowiązku posiadania europejskiego certyfikatu cyberbezpieczeństwa, choć teoretycznie zgodnie z przepisami NIS2 mógłby taki obowiązek istnieć. Jednocześnie, uzyskanie odpowiedniego certyfikatu cyberbezpieczeństwa przez operatorów usług kluczowych w szczególności, ale również przez dostawców usług cyfrowych może się okazać konieczne lub co najmniej przydatne. Liczne i kosztowne wymogi stawiane przed operatorami usług kluczowych mogłyby zostać zredukowane w momencie uzyskania certyfikatu cyberbezpieczeństwa, np. za sprawą skrócenia obowiązkowego audytu.                                                                         

REKLAMA

Jedyny obecnie przyjęty europejski program certyfikacji cyberbezpieczeństwa jest oparty na normie Common Criteria (ISO/IEC 15408). Wymogi jakie stawia legislacja europejska i polska operatorom usług kluczowych są w dużej mierze oparte właśnie na szeroko stosowanych normach takich jak już wskazana ISO/IEC 15408 czy ISO/EIC 27001 lub ISO/IEC 27002. Oznacza to, że opracowanie infrastruktury należycie bezpiecznej, zgodnie z wymogami najczęściej wykorzystanych norm wymaga bardzo podobnych lub wręcz tożsamych środków potrzebnych do uzyskania europejskiego certyfikatu cyberbezpieczeństwa. Jego otrzymanie z kolei może wiązać się z benefitami w postaci skrócenia procedur takich jak audyty bezpieczeństwa. Podobnie sytuacja ma się z przywołanymi wcześniej wymogami stawianymi na gruncie dyrektywy NIS2 np. DNS[1], opartymi w dużej mierze na stosowanych powszechnie normach ISO/EIC.

Dalszy ciąg materiału pod wideo

Także inne akty prawne UE, nakładają lub umożliwiają nakładanie kolejnych wymogów w zakresie cyberbezpieczeństwa na różne sektory gospodarki. Do takich regulacji zaliczyć można Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 roku w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Rozporządzenie DORA), którego celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług ICT na rynku finansowym. W wyniku dającego się zauważyć trendu polegającego na wprowadzaniu kolejnych wymogów raportowania, testów odporności, zarządzania ryzykiem itp. europejskie certyfikaty cyberbezpieczeństwa mogą się okazać bardzo przydatnym sposobem na zrealizowanie wszystkich stawianych wymogów w sposób znaczący łatwiejszy, choć warto zastrzec, że nie ma tutaj żadnego mechanizmu automatycznego spełnienia wymogów w momencie uzyskania certyfikatu.

Certyfikaty cyberbezpieczeństwa w zamówieniach publicznych

Warto podkreślić, że uzyskanie certyfikatów cyberbezpieczeństwa nie jest na ten moment obligatoryjne, ale może się okazać w przyszłości konieczne również w obszarze zamówień publicznych. Zamawiający ma bowiem prawo wskazywać w SIWZ (Specyfikacja Istotnych Warunków Zamówienia) wymóg posiadania określonego certyfikatu i choć teoretycznie stawiane wymogi powinny być proporcjonalne, oparte na niedyskryminacji i równym traktowaniu, co oznacza, że równoważny sposób wykazania zgodności w większości przypadków powinien być wystarczający. Uzyskanie certyfikatu może być, wobec tego, przydatne przy uczestniczenia w przetargach zarówno, gdy w SIWZ wskazano konkretny certyfikat cyberbezpieczeństwa lub gdy odwołano się jedynie do norm takich jak ISO/EIC, ponieważ jak wspominano wcześniej certyfikaty cyberbezpieczeństwa tworzone w dużej mierze w oparciu właśnie o te normy, co pozwala na wykazanie równoważnego sposobu wykazania zgodności z wymogami.

Autorzy:
K. Jakub Gładkowski, radca prawny, KIELTYKA GLADKOWSKI KG LEGAL
Ireneusz Łaskawiec, prawnik, KIELTYKA GLADKOWSKI KG LEGAL

*********

[1] Szczegółowe wymogi w tym zakresie wynikają m.in. z Rozporządzenia Wykonawczego Komisji (UE) 2024/2690 z dnia 17 października 2024 roku ustanawiającego zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz doprecyzowujące przypadki, w których incydent uznaje się za poważny w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawców usług zaufania.

oprac. Paweł Huczko
Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
Zasiłki z MOPS na jedzenie, leki i ogrzewanie. Przykład jednej osoby
15 sty 2026

Pomoc z opieki społecznej może okazać się nieoceniona w sytuacji, gdy zabrakło pieniędzy na zaspokojenie niezbędnej potrzeby bytowej. MOPS może przyznać zasiłek celowy na zakup żywności czy leków. Jakie warunki muszą zostać spełnione, żeby uzyskać taką pomoc?
Podniosłeś rękę na ratownika? Od nowego roku to bilet w jedną stronę za kratki. Sądy mają surowiej i natychmiast karać agresorów
15 sty 2026

Od ok. dwóch tygodni w Polsce obowiązuje nowa rzeczywistość prawna. Jeśli komuś przyjdzie do głowy uderzyć ratownika medycznego lub znieważyć policjanta, nie wykpi się już grzywną. 1 stycznia 2026 roku weszły w życie drakońskie kary za ataki na służby mundurowe i medyków. Państwo mówi dość agresji wobec tych, którzy przyjeżdżają na ratunek. Sprawdzamy, co dokładnie się zmieniło.
Media społecznościowe dopiero od 15 roku życia. Szefowa MEN zdradza szczegóły projektu
15 sty 2026

Korzystanie z mediów społecznościowych przez dzieci i młodzież budzi kontrowersje na całym świecie, zaś część krajów rozważa wprowadzenie odpowiednich uregulowań prawnych. W gronie tym znalazła się również Polska. Szefowa MEN Barbara Nowacka przekazała w czwartek, że poselski projekt ws. ograniczenia korzystania z mediów społecznościowych będzie wzorowany na australijskich regulacjach. Oczekujemy, że big techy nie będą dopuszczały dzieci do korzystania ze szkodliwych treści - powiedziała.
Nowe 1000 plus dla seniorów. Ustawa w mocy od 14 stycznia 2026 r. Kto musi złożyć wniosek za okres od 1 stycznia do 31 grudnia 2026 r.? Wnioski od 1 lipca do 31 sierpnia 2026 r.
15 sty 2026

Uwaga: ustawa dot. zmian w zakresie bonu ciepłowniczego jest w mocy od 14 stycznia 2026 r. Mimo że wnioski na okres od 1 stycznia do 31 grudnia 2026 roku będą przyjmowane dopiero od 1 lipca do 31 sierpnia 2026 roku, nowo wprowadzona ustawa umożliwia władzom samorządowym pozostawienie wniosków bez rozpoznania, co w praktyce oznacza brak wypłaty środków. Czy seniorzy i inne osoby stracą nawet 1000 zł? Pokrótce analizujemy najważniejsze założenia związane z nowymi przepisami.

REKLAMA

Trudniejszy start zawodowy dla młodych. Co zmienia rynek pracy?
15 sty 2026

W ubiegłym roku na rynku pracy opublikowano o jedną trzecią mniej ofert dla osób rozpoczynających karierę zawodową niż w 2024 roku – informuje „Rzeczpospolita"
W 2026 roku drożej o 100% (w niektórych sprawach o 50%) za czynności adwokatów i radców prawnych
15 sty 2026

Ministerstwo Sprawiedliwości poinformowało, że od 1 stycznia 2026 r. obowiązują wyższe stawki minimalne za czynności adwokatów i radców prawnych, obejmujące zarówno koszty nieopłaconej pomocy prawnej udzielanej z urzędu, jak i stawki minimalne przy pełnomocnictwie z wyboru.
Wyrok: gmina ma zapłacić właścicielowi mieszkania 67 tys. zł z odsetkami jako odszkodowanie za niezapewnienie lokalu socjalnego na eksmisję zadłużonego najemcy
15 sty 2026

Polski rynek wynajmu mieszkań daleki jest od normalności. Sytuacja na rynku najmu mieszkań jest z pewnością daleka od normalności. Problemy eksmisyjne istnieją od wielu lat i mają charakter systemowy o czym niedawno przypomniał Rzecznik Praw Obywatelskich. Zgłaszają się do niego właściciele mieszkań mający spore problemy z pozbyciem się uciążliwych lokatorów. Okazuje się, że obecna sytuacja wywiera negatywny wpływ również na gminne finanse. Niedawno lokalne media zwróciły uwagę na wysoką kwotę (70 tys. zł), którą właściciel jednego z toruńskich mieszkań uzyskał przed sądem od gminy za długotrwałe niezapewnienie przez gminę lokum socjalnego dla zadłużonych lokatorów - wobec których w 2012 roku (!) zapadł wyrok eksmisyjny. Mowa o sytuacji, w której lokatorzy nie płacą czynszu już od … około 15 lat.
NSA broni obywatela, który zabudował sobie balkon i dostał nakaz rozbiórki: Prawo budowlane tego typu prac nie reguluje
15 sty 2026

W mediach pojawiają się co jakiś czas informacje trwożące mieszkańców bloków, którzy postanowili zabudować sobie balkon. Czy faktycznie muszą się bać, że nie wystąpili o pozwolenie na budowę, czy rozbudowę? Czy muszą obawiać się nakazu usunięcia tej zabudowy (rozbiórki) na własny koszt? Zdaniem Naczelnego Sądu Administracyjnego - wyrażonym w cytowanym niżej wyroku - zabudowa balkonu witryną szklaną w ramach PCV nie daje podstaw do kwalifikacji robót do rozbudowy w rozumieniu art. 3 pkt 6 ustawy - Prawo budowlane. NSA uznał, że tego typu konstrukcji nie regulują wprost przepisy Prawa budowlanego. A zatem - zdaniem sądu - nie trzeba występować o pozwolenie na budowę ani zgłaszać takich prac do nadzoru budowlanego. Ponadto § 14a ust. 2 rozporządzenia MSWiA w sprawie warunków technicznych użytkowania budynków mieszkalnych dopuszcza wprost instalowanie na budynku mieszkalnym wielorodzinnym urządzeń związanych z użytkowaniem budynku lub mieszkania, jak: kraty, żaluzje, rolety, zabudowy balkonów i loggii.

REKLAMA

Młodego ojca nie można zwolnić przez 12 miesięcy. Jednak od tej zasady jest wyjątek. Wskazał na niego Sąd Najwyższy
14 sty 2026

Nie tylko matki, ale również ojcowie podlegają na gruncie prawa pracy ochronie związanej z rodzicielstwem. Jednym z jej przejawów, jest ochrona trwałości stosunku pracy. Jednak istnieją przypadki, w których pracodawca ma prawo odmówić rodzicom ochrony. Dlaczego?
Wyrok WSA: nieważna jest część postanowień uchwały o strefie czystego transportu w Krakowie
15 sty 2026

Wojewódzki Sąd Administracyjny w Krakowie 14 stycznia 2026 r. orzekł nieważność zapisów uchwały o strefie czystego transportu (SCT) w Krakowie, które odnoszą się do przyjętej przez radnych miasta definicji mieszkańca oraz nieuwzględnienia prywatnych placówek medycznych przy zwalnianiu z opłat. Prezydent Krakowa jest zadowolony z wyroku, przeciwnicy SCT zapowiadają wniesienie kasacji.
Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA