Certyfikacja cyberbezpieczeństwa zasługuje na własny projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa. Jej wprowadzenie do porządku prawnego będzie kluczowym krokiem w stronę zwiększenia bezpieczeństwa cyfrowego w Polsce.
Wprowadzenie certyfikacji cyberbezpieczeństwa, planowane było już w 2019 roku na podstawie Cybersecurity Act. Cybersecurity Act, oficjalnie znany jako “Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie unijnej agencji ds. cyberbezpieczeństwa (ENISA) oraz certyfikacji cyberbezpieczeństwa technologii informacyjno-komunikacyjnych, uchylające rozporządzenie (UE) nr 526/2013 (Cybersecurity Act)”, to kluczowy akt prawny Unii Europejskiej, który ma na celu wzmocnienie cyberbezpieczeństwa na terenie całej UE. Jego rolą w pierwszej kolejności jest wzmocnienie Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) i ustanowienie europejskiego systemu certyfikacji cyberbezpieczeństwa dla produktów, usług i procesów ICT, a także zwiększenie zaufania konsumentów i przedsiębiorstw do technologii informacyjno-komunikacyjnych poprzez stworzenie jednolitych standardów bezpieczeństwa, które będą uznawane w całej UE.
Cele i korzyści płynące z certyfikacji
Dzięki temu aktowi, UE dąży do zwiększenia swojej odporności na cyberzagrożenia, promując współpracę między państwami członkowskimi oraz sektorem publicznym i prywatnym, co ma kluczowe znaczenie dla ochrony danych i stabilności gospodarki cyfrowej.
Zagadnienie „certyfikacji cyber” wydaje się być jednym z kluczowych zagadnień dla polskiego rynku technologii informacyjno-komunikacyjnych (ICT). Początkowo miała być ona zaimplementowana wraz z nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (uKSC) i wprowadzeniem dyrektywy NIS2. Jednakże obecnie kwestia certyfikacji została wyjęta z nowelizacji i umieszczona w osobnej regulacji, która jest w trakcie przygotowań (w czerwcu 2024 odbyły się konsultacje). W mojej ocenie, to posunięcie znacząco zwiększa szanse na skuteczne wdrożenie certyfikacji do polskiego prawa.
Korzyści płynące z takiego sposobu wprowadzenia certyfikacji opartej na Cybersecurity Act dla sektora publicznego, jak i prywatnego są oczywiste. Powstanie scentralizowany proces, który ułatwi nadzór nad certyfikacją i egzekwowaniem przepisów. Minister właściwy do spraw informatyzacji, pełniący także funkcję krajowego organu do spraw certyfikacji cyberbezpieczeństwa, będzie mógł monitorować i koordynować tę działalność, co pozwoli na wyrównanie poziomu cyberbezpieczeństwa i ujednolicenie standardów w skali kraju, ale na przyszłość także szybszą i skoordynowana implementację nowych standardów. Dedykowana ustawa powinna także zapewnić większą przejrzystość przepisów, ułatwiając ich zrozumienie i wdrożenie przez podmioty działające na rynku.
Europejska strefa cyberbezpieczeństwa
Certyfikacja cyberbezpieczeństwa na poziomie europejskim ma na celu przede wszystkim stworzenie jednolitych standardów ochrony w całej Unii Europejskiej. Wspólne kryteria i procedury umożliwią harmonizację, czy też uwspólnienie poziomu bezpieczeństwa między krajami członkowskimi. Zwiększy także zaufanie konsumentów i przedsiębiorstw do technologii ICT, ułatwi wymianę danych i współpracę transgraniczną, a także zredukuje ryzyko związane z cyberzagrożeniami, wzmacniając stabilność gospodarki cyfrowej w całej UE. Jednolite standardy pomogą również w zabezpieczeniu kluczowych sektorów, takich jak energetyka, transport, zdrowie czy bankowość, co jest krytyczne dla bezpieczeństwa narodowego i publicznego.
Katalog certyfikacji
Certyfikacja obejmuje różne elementy ekosystemu cyberbezpieczeństwa, w tym produkty ICT, usługi ICT oraz procesy ich wytwarzania i realizacji działań cyberbezpieczeństwa. Produkty i usługi muszą spełniać określone standardy bezpieczeństwa, natomiast procesy muszą być zgodne z najlepszymi praktykami w zakresie zarządzania ryzykiem i ochrony danych.
Dla przykładu, certyfikacji mogą podlegać systemy zarządzania informacjami w firmach, a także procedury reagowania na incydenty cybernetyczne. Systemy zarządzania informacjami, takie jak systemy zarządzania bezpieczeństwem informacji (ISMS), muszą być zgodne z normami ISO/IEC 27001, które określają wymagania dotyczące ustanawiania, wdrażania, utrzymywania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji. Oprogramowanie takie jak Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), Next-Generation Antivirus (NGAV), Security Information and Event Management (SIEM), Managed Detection and Response (MDR) lub model Zero Trust Security, muszą być regularnie testowane i certyfikowane pod kątem skuteczności w wykrywaniu i usuwaniu zagrożeń, co jest często potwierdzane przez niezależne laboratoria testowe. Cybersecurity Act przewiduje również określone zasady dotyczące częstotliwości recertyfikacji. Schematy certyfikacyjne opracowywane przez ENISA są oceniane co pięć lat, aby uwzględniać opinie i zapewniać, że pozostają one aktualne w kontekście zmieniających się zagrożeń i technologii.
Procedury reagowania na incydenty cybernetyczne obejmują zarządzanie incydentami, od ich wykrycia po analizę, odpowiedź i odzyskiwanie. Certyfikacja tych procedur może obejmować zgodność z normami takimi jak ISO/IEC 27035, która definiuje zasady zarządzania incydentami bezpieczeństwa informacji. Procesy zarządzania ryzykiem, które identyfikują, oceniają i priorytetyzują ryzyka cybernetyczne, również mogą podlegać certyfikacji. Normy takie jak ISO 31000 pomagają organizacjom w ustanawianiu zasad i wytycznych zarządzania ryzykiem, które są kluczowe dla skutecznego zarządzania bezpieczeństwem.
Dodatkowo, certyfikacji mogą podlegać także systemy zarządzania tożsamością i dostępem (IAM), które są kluczowe dla ochrony danych osobowych i zarządzania dostępem do zasobów IT. Certyfikowane systemy IAM muszą spełniać standardy takie jak ISO/IEC 27001 oraz normy specyficzne dla danego sektora. Usługi chmurowe, które przechowują i przetwarzają dane, również podlegają certyfikacji w zakresie bezpieczeństwa. Normy takie jak ISO/IEC 27017 i ISO/IEC 27018 określają wytyczne dotyczące bezpieczeństwa informacji w chmurze i ochrony danych osobowych w chmurze, zapewniając zgodność z najlepszymi praktykami w branży.
Certyfikacja może również obejmować technologie IoT (Internet of Things), które muszą spełniać rygorystyczne wymagania bezpieczeństwa ze względu na ich rosnące znaczenie w różnych sektorach, od przemysłu po inteligentne domy. Normy takie jak ETSI EN 303 645 pomagają zapewnić, że urządzenia IoT są bezpieczne i odporne na ataki.
Strategiczne korzyści z certyfikacji cyber
Jak widać na powyższych przykładach certyfikacja cyberbezpieczeństwa obejmuje szeroki zakres produktów, usług i procesów w ekosystemie ICT.
Dla polskich firm, które są użytkownikami tych technologii „cyber”, certyfikacja zapewnia, że wykorzystywane produkty i usługi spełniają najwyższe standardy bezpieczeństwa, co może znacząco przyczynić się do zmniejszenia ryzyka cyberataków i incydentów. Ponadto, zwiększa zaufanie klientów i partnerów biznesowych, budując wiarygodność, pozwalając wyróżnić się jako dostawcy bezpiecznych produktów i usług.
Dla firm dojrzałych cyfrowo, certyfikacja stanowi potwierdzenie ich zaawansowanych zdolności w zakresie cyberbezpieczeństwa. Dla firm mniej dojrzałych, certyfikacja może być wsparciem w podnoszeniu poziomu bezpieczeństwa. Jest to szczególnie ważne w kontekście konieczności spełnienia nowych regulacji, jak NIS2, które mogą być trudne do wdrożenia bez odpowiedniego wsparcia i wskazówek. Certyfikacja stymuluje również innowacje i rozwój technologiczny, ponieważ wymogi certyfikacyjne często prowadzą do wdrażania nowych, innowacyjnych rozwiązań.
NASK będzie obecny w procesie certyfikacji
W tym kontekście niezwykle ważną rolę na rynku może odegrać spółka NASK S.A. Jako kluczowy podmiot w polskim systemie cyberbezpieczeństwa. NASK ma potencjał, aby znacząco wpłynąć na zapewnienie wysokiego poziomu bezpieczeństwa, szczególnie w sektorze administracji publicznej, ale także i innych obszarach gospodarki oraz podmiotach działających na rynku komercyjnym. NASK może wspierać procesy certyfikacyjne, dostarczać niezbędne szkolenia czy prowadzić dedykowane audyty oraz doradzać w zakresie implementacji najlepszych praktyk.
Dziś NASK S.A. odgrywa kluczową rolę w podnoszeniu poziomu cyberbezpieczeństwa w Polsce, zwłaszcza w kontekście administracji publicznej, ale także strategicznych podmiotów gospodarki, przyczyniając się do tworzenia bezpiecznego środowiska cyfrowego.
Dla dostawców technologii i integratorów, w szczególności krajowych, certyfikacja jest szansą na zwiększenie konkurencyjności. Posiadanie certyfikatów potwierdzających zgodność z europejskimi standardami otwiera drzwi do nowych rynków i projektów. Proces certyfikacji wymaga jednak inwestycji w aktualizację produktów i usług, co w wielu przypadkach może być wyzwaniem dla mniejszych firm, jednak długoterminowe korzyści z posiadania certyfikowanych produktów przewyższają te koszty.
Projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa jest kluczowym krokiem w stronę zwiększenia bezpieczeństwa cyfrowego w Polsce. Certyfikacja zapewnia jednolite standardy, niezbędne w dobie rosnących zagrożeń. Dla polskich firm, zarówno dojrzałych cyfrowo, jak i tych mniej zaawansowanych, jest to szansa na podniesienie poziomu bezpieczeństwa oraz zdobycie przewagi konkurencyjnej. Jestem przekonany, że implementacja tych regulacji w polskim prawie przyczyni się do zwiększenia zgodność z europejskimi standardami, co z kolei jest kluczowe dla prawidłowej współpracy międzynarodowej i ochrony danych na najwyższym możliwym (obecnie) poziomie.
Szymon Krupa, wiceprezes Zarządu NASK SA
