W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.
Powrót

Projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa

{"register":{"columns":[{"header":"Numer projektu","value":"UC42","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"sequence":{"regex":"UC{#UC_1}"},"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Rodzaj dokumentu","registerId":20874195,"dictionaryValues":[{"id":"Projekty ustaw","value":"Projekty ustaw"}],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Typ dokumentu","registerId":20874195,"dictionaryValues":[{"id":"C – projekty implementujące UE","value":"C – projekty implementujące UE"}],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Cele projektu oraz informacja o przyczynach i potrzebie rozwiązań planowanych w projekcie","value":"Celem projektowanej ustawy jest:\n1) organizacja systemu certyfikacji cyberbezpieczeństwa w Polsce, w szczególności ustanowienie procedur niezbędnych do zapewnienia prawidłowości procesów certyfikacyjnych;\n2) określenie sposobu sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy.\nKonieczność wprowadzenia projektowanych przepisów wynika z obowiązku zapewnienia stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie), dalej „rozporządzenie 2019/881”.\nProjektowana ustawa wskazuje podmioty krajowego systemu certyfikacji cyberbezpieczeństwa oraz określa rolę organów państwa w tym zakresie. Minister właściwy do spraw informatyzacji będzie pełnił rolę krajowego organu do spraw certyfikacji cyberbezpieczeństwa. Oznacza to sprawowanie nadzoru nad przestrzeganiem europejskich i krajowych przepisów w zakresie certyfikacji cyberbezpieczeństwa. W tym celu minister właściwy do spraw informatyzacji zostanie wyposażony w szereg kompetencji związanych z nadzorem nad innymi podmiotami. Istotną rolę w krajowym systemie certyfikacji cyberbezpieczeństwa będzie pełniło również Polskie Centrum Akredytacji, dalej „PCA”.","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Istota rozwiązań planowanych w projekcie, w tym proponowane środki realizacji","value":"Projektowana ustawa powierza zadania organu do spraw certyfikacji cyberbezpieczeństwa, o którym mowa w przepisach rozporządzenia 2019/881, ministrowi właściwemu do spraw informatyzacji. Jest to niezbędne dla wykonania przepisów tego rozporządzenia. Minister właściwy do spraw informatyzacji będzie przeprowadzał kontrolę w podmiotach należących do krajowego systemu certyfikacji cyberbezpieczeństwa. W zakresie certyfikatów odwołujących się do poziomu zaufania „wysoki” będzie również zatwierdzał każdy wydany certyfikat. Rozwiązanie takie jest gwarantem, że ocena zgodności na najwyższym poziomie bezpieczeństwa będzie przeprowadzana zgodnie z najlepszymi standardami w tej dziedzinie. \nMinister właściwy do spraw informatyzacji będzie dysponował uprawnieniami do przeprowadzania kontroli u podmiotów krajowego systemu cyberbezpieczeństwa, do badania produktów ICT oraz do uzyskiwania od tych podmiotów informacji związanych z certyfikowanymi produktami. Będzie również uczestniczył w pracach na forum Unii Europejskiej z tym związanych, zwłaszcza w ramach Europejskiej Grupy Certyfikacji Cyberbezpieczeństwa.\nIstotną rolę będzie odgrywało również PCA, które będzie nadzorowało akredytowane podmioty. Podstawą działania PCA w tym zakresie będzie rozdział 4 ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2022 r. poz. 1854). Są to przepisy, na podstawie których PCA działa w innych gałęziach gospodarki, w związku z czym nie będzie to wymagało dodatkowego przygotowania ze strony PCA.\nZgodnie z rozporządzeniem 2019/881 minister właściwy do spraw informatyzacji będzie wydawał decyzje zezwalając na dokonywanie określonych czynności w ramach procesu oceny zgodności, jeśli określony program certyfikacji to przewiduje.\nW projekcie wprowadzone zostały kary administracyjne za nierealizowanie określonych obowiązków np. za nieprzekazanie ministrowi właściwemu do spraw informatyzacji informacji w odpowiednim terminie. Prowadzone kontrole oraz nakładane kary zapewnią wysoki poziom certyfikowanych produktów ICT, usług ICT i procesów ICT. ","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Oddziaływanie na życie społeczne nowych regulacji prawnych","value":"","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":false,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Spodziewane skutki i następstwa projektowanych regulacji prawnych","value":"","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":false,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Sposoby mierzenia efektów nowych regulacji prawnych","value":"","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":false,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Organ odpowiedzialny za opracowanie projektu","registerId":20874195,"dictionaryValues":[{"id":"MC","value":"MC"}],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Osoba odpowiedzialna za opracowanie projektu","value":"Paweł Olszewski Sekretarz Stanu ","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Organ odpowiedzialny za przedłożenie projektu RM","registerId":20874195,"dictionaryValues":[{"id":"MC","value":"MC"}],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Planowany termin przyjęcia projektu przez RM","value":"IV kwartał 2024 r. ","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":true,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Informacja o rezygnacji z prac nad projektem","value":"","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":false,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Status realizacji","registerId":20874195,"dictionaryValues":[],"nestedValues":[],"showInContent":false,"positionSelector":".article-area__article h2","insertMethod":"after"}]}}
Numer projektu:
UC42
Rodzaj dokumentu:
Projekty ustaw
Typ dokumentu:
C – projekty implementujące UE
Cele projektu oraz informacja o przyczynach i potrzebie rozwiązań planowanych w projekcie:
Celem projektowanej ustawy jest:
1) organizacja systemu certyfikacji cyberbezpieczeństwa w Polsce, w szczególności ustanowienie procedur niezbędnych do zapewnienia prawidłowości procesów certyfikacyjnych;
2) określenie sposobu sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy.
Konieczność wprowadzenia projektowanych przepisów wynika z obowiązku zapewnienia stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie), dalej „rozporządzenie 2019/881”.
Projektowana ustawa wskazuje podmioty krajowego systemu certyfikacji cyberbezpieczeństwa oraz określa rolę organów państwa w tym zakresie. Minister właściwy do spraw informatyzacji będzie pełnił rolę krajowego organu do spraw certyfikacji cyberbezpieczeństwa. Oznacza to sprawowanie nadzoru nad przestrzeganiem europejskich i krajowych przepisów w zakresie certyfikacji cyberbezpieczeństwa. W tym celu minister właściwy do spraw informatyzacji zostanie wyposażony w szereg kompetencji związanych z nadzorem nad innymi podmiotami. Istotną rolę w krajowym systemie certyfikacji cyberbezpieczeństwa będzie pełniło również Polskie Centrum Akredytacji, dalej „PCA”.
Istota rozwiązań planowanych w projekcie, w tym proponowane środki realizacji:
Projektowana ustawa powierza zadania organu do spraw certyfikacji cyberbezpieczeństwa, o którym mowa w przepisach rozporządzenia 2019/881, ministrowi właściwemu do spraw informatyzacji. Jest to niezbędne dla wykonania przepisów tego rozporządzenia. Minister właściwy do spraw informatyzacji będzie przeprowadzał kontrolę w podmiotach należących do krajowego systemu certyfikacji cyberbezpieczeństwa. W zakresie certyfikatów odwołujących się do poziomu zaufania „wysoki” będzie również zatwierdzał każdy wydany certyfikat. Rozwiązanie takie jest gwarantem, że ocena zgodności na najwyższym poziomie bezpieczeństwa będzie przeprowadzana zgodnie z najlepszymi standardami w tej dziedzinie.
Minister właściwy do spraw informatyzacji będzie dysponował uprawnieniami do przeprowadzania kontroli u podmiotów krajowego systemu cyberbezpieczeństwa, do badania produktów ICT oraz do uzyskiwania od tych podmiotów informacji związanych z certyfikowanymi produktami. Będzie również uczestniczył w pracach na forum Unii Europejskiej z tym związanych, zwłaszcza w ramach Europejskiej Grupy Certyfikacji Cyberbezpieczeństwa.
Istotną rolę będzie odgrywało również PCA, które będzie nadzorowało akredytowane podmioty. Podstawą działania PCA w tym zakresie będzie rozdział 4 ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2022 r. poz. 1854). Są to przepisy, na podstawie których PCA działa w innych gałęziach gospodarki, w związku z czym nie będzie to wymagało dodatkowego przygotowania ze strony PCA.
Zgodnie z rozporządzeniem 2019/881 minister właściwy do spraw informatyzacji będzie wydawał decyzje zezwalając na dokonywanie określonych czynności w ramach procesu oceny zgodności, jeśli określony program certyfikacji to przewiduje.
W projekcie wprowadzone zostały kary administracyjne za nierealizowanie określonych obowiązków np. za nieprzekazanie ministrowi właściwemu do spraw informatyzacji informacji w odpowiednim terminie. Prowadzone kontrole oraz nakładane kary zapewnią wysoki poziom certyfikowanych produktów ICT, usług ICT i procesów ICT.
Organ odpowiedzialny za opracowanie projektu:
MC
Osoba odpowiedzialna za opracowanie projektu:
Paweł Olszewski Sekretarz Stanu
Organ odpowiedzialny za przedłożenie projektu RM:
MC
Planowany termin przyjęcia projektu przez RM:
IV kwartał 2024 r.