Polskie certyfikaty respektowane w całej Unii

Spis treści:

1. Pełna dowolność
2. Nadzór i decyzje
3. Proces przyznawania certyfikatów
4. Znaczenie dla biznesu
5. Dobrowolna konieczność

Za sprawą ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa od 28 sierpnia tego roku certyfikaty wydane w Polsce będą honorowane we wszystkich krajach Unii Europejskiej. To spora szansa dla rodzimych firm na zwiększenie międzynarodowego zaufania i tym samym rozszerzenie swojej działalności.

Na wstępie warto wytłumaczyć, skąd wspomniana regulacja trafiła w ogóle do Dziennika Ustaw. Wiąże się ona bezpośrednio z koniecznością spełnienia przez Polskę wymogów unijnych. 27 czerwca 2019 r. w życie weszło rozporządzenie (UE) 2019/881, czyli tzw. akt o cyberbezpieczeństwie. W jego ramach Unia Europejska wymaga od państw członkowskich przygotowania krajowego systemu certyfikacji, co oznacza m.in. wyznaczenie krajowego organu ds. certyfikacji, jak również wskazanie akredytowanych jednostek oceniających, które będą decydować o przyznawaniu certyfikatów dla produktów i usług ICT.

Pełne wdrożenie systemu wymagało uchwalenia odpowiednich aktów lokalnych – takowe pojawiły się już we Francji, Niemczech czy Szwecji. Teraz ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa (dalej: ukscc) weszła w życie również w Polsce. Wydany przez Parlament Europejski akt przewiduje, że certyfikat wydany w jednym państwie Unii będzie respektowany na całym jej terenie. Rozporządzenie ma więc na celu wzmocnienie cyfrowej obrony w obrębie całej Wspólnoty i zwiększenie zaufania wobec podmiotów funkcjonujących na Starym Kontynencie.

Pełna dowolność

Już na etapie aktu o cyberbezpieczeństwie bardzo wyraźnie zaznaczono, że certyfikacja będzie w pełni dobrowolna, co jest wyjaśniane w uzasadnieniu: „Certyfikacja może być bardzo kosztownym procesem, co z kolei może prowadzić do wyższych cen dla klientów i konsumentów. Potrzeba certyfikacji może być też zróżnicowana w zależności od specyficznego kontekstu stosowania produktów i usług oraz szybkiego tempa zmian technologicznych. Skorzystanie z europejskiej certyfikacji cyberbezpieczeństwa powinno zatem pozostać dobrowolne, chyba że w unijnych przepisach określających wymogi w zakresie bezpieczeństwa produktów i usług ICT postanowiono inaczej”.

Innymi słowy, dowolna organizacja może (ale nie musi) wystąpić o certyfikat dla:

• produktów ICT;
• usług ICT;
• procesów ICT;
• usług zarządzanych w zakresie bezpieczeństwa (np. SOC);
• systemów zarządzania cyberbezpieczeństwem;
• osób fizycznych.

Nadzór i decyzje

Nim przejdziemy do samego procesu przyznawania certyfikatów, musimy ustalić, kto właściwie będzie za to odpowiadał. Krajowy system certyfikacji cyberbezpieczeństwa obejmuje:

1. ministra właściwego do spraw informatyzacji;
2. Polskie Centrum Akredytacji;
3. jednostki oceniające zgodność;
4. dostawców, którzy poddają swoje produkty, usługi, procesy ICT lub usługi zarządzane w zakresie bezpieczeństwa ocenie zgodności;
5. osoby fizyczne, które poddają swoją wiedzę i umiejętności praktyczne ocenie;
6. podmioty, które poddają ocenie wykorzystywane przez siebie systemy zarządzania cyberbezpieczeństwem.

Polskie Centrum Akredytacji (pca.gov.pl) 26 sierpnia zaktualizowało listę wymagań akredytacyjnych dla jednostek oceniających zgodność – na tej podstawie zostaną wybrane podmioty, które następnie zajmą się przeprowadzaniem procesów certyfikujących. Akredytacje udzielane będą na okres nie dłuższy niż pięć lat. W tym czasie PCA sprawuje nadzór nad jednostkami, a pieczę nad całością trzyma z kolei minister cyfryzacji.

Proces przyznawania certyfikatów

Kiedy zostaną już ustalone jednostki oceniające zgodność, zainteresowane podmioty będą mogły wystąpić o przyznanie certyfikatów. Po złożeniu wniosku (w momencie pisania tego artykułu nie było jeszcze przygotowanego wzoru) nastąpi weryfikacja jego poprawności przez odpowiedni organ certyfikujący. Następnie akredytowana przez PCA jednostka przeprowadza ocenę zgodności produktu, usługi lub procesu, która polega na badaniu dokumentacji technicznej, audycie czy sprawdzeniu konkretnych właściwości przedmiotu certyfikacji. W przypadku osób fizycznych przeprowadza się z kolei test wiedzy i umiejętności praktycznych z zakresu cyberbezpieczeństwa.

Jeśli ten etap zakończy się sukcesem, certyfikat zostaje wydany – trzeba jednak zaznaczyć, że wiążącą decyzję w tej sprawie podejmuje minister cyfryzacji. Wystawiony dokument będzie ważny przez co najmniej dwa, jednak nie dłużej niż pięć lat. Przedłużenie tego okresu będzie wymagało złożenia osobnego wniosku. Trzeba jednocześnie pamiętać, że jeśli po wydaniu certyfikatu jednostka oceniająca uzna, że dany produkt, usługa lub osoba fizyczna nie spełniają już wymogów określonych w krajowym schemacie certyfikacji cyberbezpieczeństwa, to certyfikat może zostać cofnięty. Nim jednak do tego dojdzie, jednostka zwraca się do podmiotu i informuje go o niezgodnościach, a następnie prosi o przedstawienie środków zaradczych. Jeśli te zostaną zaakceptowane, podmiot ma dwa miesiące, by wprowadzić je w życie.

Kolejną istotną kwestią są koszty – wszak w cytowanym wcześniej akcie o cyberbezpieczeństwie wspomniana była dobrowolność ze względu na fakt, iż certyfikacja może być drogim procesem. Wszystkie wydatki są bowiem przerzucane na podmiot o nią się ubiegający. Zgodne są w tym zarówno unijne rozporządzenie 2019/881, jak i polska ustawa. Nie dotyczy to tylko procesu certyfikacji, ale również – jak wykazuje art. 29 ukscc – sytuacji, gdy minister cyfryzacji zdecyduje się przeprowadzić kontrolę. Co więcej, certyfikat zostanie cofnięty, jeśli nieprawidłowości, wykazane przez badanie, spełnią jedno z poniższych kryteriów:

• mają znaczący wpływ na dostępność, autentyczność, integralność lub poufność danych, sieci i systemów informatycznych danego podmiotu wykorzystującego system zarządzania cyberbezpieczeństwem;
• mają znaczący wpływ na użytkownika produktu, usługi lub procesu ICT czy też usługi zarządzanej w zakresie bezpieczeństwa;
• są nieodwracalne.

Dokument ulega jedynie zawieszeniu, jeśli usterki nie są poważne, a także istnieje możliwość ich naprawienia. Wówczas certyfikat zostaje przywrócony w momencie, gdy zostaną spełnione wymogi określone w danym europejskim programie certyfikacji cyberbezpieczeństwa. Jeśli podmiot będzie utrudniał przeprowadzenie kontroli, grozi mu kara w wysokości do dwudziestokrotności przeciętnego wynagrodzenia.

Znaczenie dla biznesu

„Wobec nasilających się zagrożeń w sferze cyfrowej wzmacnianie cyberbezpieczeństwa Polski i Europy to dla nas priorytet. Nowy system certyfikacji ma zwiększyć bezpieczeństwo cyfrowe w całej Unii Europejskiej. To nie tylko narzędzie ochrony, ale też wyraźny sygnał dla firm – tworzymy rozwiązanie, które pozwala budować reputację i zwiększać konkurencyjność polskich przedsiębiorstw. Dla obywateli zaś to możliwość świadomego wyboru rozwiązań, które gwarantują większe bezpieczeństwo” – mówił minister cyfryzacji Krzysztof Gawkowski, który będzie koordynował cały proces certyfikacyjny.

W powyższym cytacie zawarta jest podstawowa i niepodważalna zaleta ukscc i możliwości uzyskania certyfikatu. Po pierwsze, stanowi on wiarygodny dowód, że produkt, usługa lub system ICT spełnia określone standardy bezpieczeństwa, co jest istotne w relacjach z klientami, partnerami i instytucjami publicznymi. Dla firm dostarczających sprzęt sieciowy, oprogramowanie czy rozwiązania chmurowe certyfikacja zwiększa konkurencyjność i umożliwia łatwiejszy dostęp do rynków zagranicznych, ponieważ certyfikat wydany w jednym państwie członkowskim UE jest uznawany w całej Unii.

Po drugie, certyfikaty pomagają w zarządzaniu ryzykiem cybernetycznym. Przejście przez proces oceny wymaga analizy ryzyka, audytów technicznych i wdrożenia odpowiednich środków ochrony, co w praktyce redukuje podatność firmy na ataki i incydenty. Wewnętrznie daje to organizacji nagrodzonej certyfikatem pewność co do własnego bezpieczeństwa. Z kolei dla inwestorów i partnerów biznesowych posiadanie certyfikatu jest jasnym sygnałem, że przedsiębiorstwo stosuje wysokie standardy bezpieczeństwa, co zwiększa jego wiarygodność i może wpływać na decyzje finansowe lub kontraktowe.

Dobrowolna konieczność

W perspektywie długoterminowej ukscc może bezsprzecznie się przyczynić do stworzenia w Polsce nowoczesnego ekosystemu cyberbezpieczeństwa, w którym innowacje i ochrona infrastruktury IT idą w parze, a krajowe przedsiębiorstwa łatwiej wchodzą na rynki europejskie, konkurując na równych zasadach z partnerami z innych państw członkowskich. W ten sposób certyfikaty cyberbezpieczeństwa stają się nie tylko formalnym wymogiem prawnym, lecz także strategicznym instrumentem wspierającym rozwój i międzynarodową ekspansję polskich firm. Stąd też warto się zastanowić, czy wspominana już parokrotnie w tym artykule dobrowolność nie powinna być przez same zainteresowane organizacje zastąpiona słowem „konieczność”. Jeśli bowiem zajmujemy się usługami IT, to bez takiego certyfikatu możemy znaleźć się o krok za konkurencją, która powzięła wysiłek w celu jego uzyskania. Ten krok może z kolei oznaczać utratę potencjalnego klienta, a patrząc dalej – zahamować rozwój biznesu.

Autor

Tomasz Lubczyński-Wojtasz