Projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa
Numer projektu:
UC42
Rodzaj dokumentu:
Projekty ustaw
Typ dokumentu:
C – projekty implementujące UE
Cele projektu oraz informacja o przyczynach i potrzebie rozwiązań planowanych w projekcie:
Celem projektowanej ustawy jest:
1) organizacja systemu certyfikacji cyberbezpieczeństwa w Polsce, w szczególności ustanowienie procedur niezbędnych do zapewnienia prawidłowości procesów certyfikacyjnych;
2) określenie sposobu sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy.
Konieczność wprowadzenia projektowanych przepisów wynika z obowiązku zapewnienia stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie), dalej „rozporządzenie 2019/881”.
Projektowana ustawa wskazuje podmioty krajowego systemu certyfikacji cyberbezpieczeństwa oraz określa rolę organów państwa w tym zakresie. Minister właściwy do spraw informatyzacji będzie pełnił rolę krajowego organu do spraw certyfikacji cyberbezpieczeństwa. Oznacza to sprawowanie nadzoru nad przestrzeganiem europejskich i krajowych przepisów w zakresie certyfikacji cyberbezpieczeństwa. W tym celu minister właściwy do spraw informatyzacji zostanie wyposażony w szereg kompetencji związanych z nadzorem nad innymi podmiotami. Istotną rolę w krajowym systemie certyfikacji cyberbezpieczeństwa będzie pełniło również Polskie Centrum Akredytacji, dalej „PCA”.
1) organizacja systemu certyfikacji cyberbezpieczeństwa w Polsce, w szczególności ustanowienie procedur niezbędnych do zapewnienia prawidłowości procesów certyfikacyjnych;
2) określenie sposobu sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy.
Konieczność wprowadzenia projektowanych przepisów wynika z obowiązku zapewnienia stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie), dalej „rozporządzenie 2019/881”.
Projektowana ustawa wskazuje podmioty krajowego systemu certyfikacji cyberbezpieczeństwa oraz określa rolę organów państwa w tym zakresie. Minister właściwy do spraw informatyzacji będzie pełnił rolę krajowego organu do spraw certyfikacji cyberbezpieczeństwa. Oznacza to sprawowanie nadzoru nad przestrzeganiem europejskich i krajowych przepisów w zakresie certyfikacji cyberbezpieczeństwa. W tym celu minister właściwy do spraw informatyzacji zostanie wyposażony w szereg kompetencji związanych z nadzorem nad innymi podmiotami. Istotną rolę w krajowym systemie certyfikacji cyberbezpieczeństwa będzie pełniło również Polskie Centrum Akredytacji, dalej „PCA”.
Istota rozwiązań planowanych w projekcie, w tym proponowane środki realizacji:
Projektowana ustawa powierza zadania organu do spraw certyfikacji cyberbezpieczeństwa, o którym mowa w przepisach rozporządzenia 2019/881, ministrowi właściwemu do spraw informatyzacji. Jest to niezbędne dla wykonania przepisów tego rozporządzenia. Minister właściwy do spraw informatyzacji będzie przeprowadzał kontrolę w podmiotach należących do krajowego systemu certyfikacji cyberbezpieczeństwa. W zakresie certyfikatów odwołujących się do poziomu zaufania „wysoki” będzie również zatwierdzał każdy wydany certyfikat. Rozwiązanie takie jest gwarantem, że ocena zgodności na najwyższym poziomie bezpieczeństwa będzie przeprowadzana zgodnie z najlepszymi standardami w tej dziedzinie.
Minister właściwy do spraw informatyzacji będzie dysponował uprawnieniami do przeprowadzania kontroli u podmiotów krajowego systemu cyberbezpieczeństwa, do badania produktów ICT oraz do uzyskiwania od tych podmiotów informacji związanych z certyfikowanymi produktami. Będzie również uczestniczył w pracach na forum Unii Europejskiej z tym związanych, zwłaszcza w ramach Europejskiej Grupy Certyfikacji Cyberbezpieczeństwa.
Istotną rolę będzie odgrywało również PCA, które będzie nadzorowało akredytowane podmioty. Podstawą działania PCA w tym zakresie będzie rozdział 4 ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2022 r. poz. 1854). Są to przepisy, na podstawie których PCA działa w innych gałęziach gospodarki, w związku z czym nie będzie to wymagało dodatkowego przygotowania ze strony PCA.
Zgodnie z rozporządzeniem 2019/881 minister właściwy do spraw informatyzacji będzie wydawał decyzje zezwalając na dokonywanie określonych czynności w ramach procesu oceny zgodności, jeśli określony program certyfikacji to przewiduje.
W projekcie wprowadzone zostały kary administracyjne za nierealizowanie określonych obowiązków np. za nieprzekazanie ministrowi właściwemu do spraw informatyzacji informacji w odpowiednim terminie. Prowadzone kontrole oraz nakładane kary zapewnią wysoki poziom certyfikowanych produktów ICT, usług ICT i procesów ICT.
Minister właściwy do spraw informatyzacji będzie dysponował uprawnieniami do przeprowadzania kontroli u podmiotów krajowego systemu cyberbezpieczeństwa, do badania produktów ICT oraz do uzyskiwania od tych podmiotów informacji związanych z certyfikowanymi produktami. Będzie również uczestniczył w pracach na forum Unii Europejskiej z tym związanych, zwłaszcza w ramach Europejskiej Grupy Certyfikacji Cyberbezpieczeństwa.
Istotną rolę będzie odgrywało również PCA, które będzie nadzorowało akredytowane podmioty. Podstawą działania PCA w tym zakresie będzie rozdział 4 ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2022 r. poz. 1854). Są to przepisy, na podstawie których PCA działa w innych gałęziach gospodarki, w związku z czym nie będzie to wymagało dodatkowego przygotowania ze strony PCA.
Zgodnie z rozporządzeniem 2019/881 minister właściwy do spraw informatyzacji będzie wydawał decyzje zezwalając na dokonywanie określonych czynności w ramach procesu oceny zgodności, jeśli określony program certyfikacji to przewiduje.
W projekcie wprowadzone zostały kary administracyjne za nierealizowanie określonych obowiązków np. za nieprzekazanie ministrowi właściwemu do spraw informatyzacji informacji w odpowiednim terminie. Prowadzone kontrole oraz nakładane kary zapewnią wysoki poziom certyfikowanych produktów ICT, usług ICT i procesów ICT.
Organ odpowiedzialny za opracowanie projektu:
MC
Osoba odpowiedzialna za opracowanie projektu:
Paweł Olszewski Sekretarz Stanu
Organ odpowiedzialny za przedłożenie projektu RM:
MC
Planowany termin przyjęcia projektu przez RM:
I kwartał 2025 r.