Znaczenie certyfikacji w systemie cyberbezpieczeństwa
W związku z Aktem o cyberbezpieczeństwie i przepisami prawa europejskiego zawartymi w rozporządzeniu w sprawie ENISA, konieczne jest stworzenie krajowego systemu certyfikacji cyberbezpieczeństwa, aby dostosować polskie regulacje do rynku europejskiego. Te zmiany pojawiają się w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, który ponownie trafił pod obrady Rady Ministrów. Utworzenie przejrzystych zasad certyfikacji cyberbezpieczeństwa pozwoli na stworzenie jednolitych zasad uznawania, że produkty, usługi i procesy ICT spełniają ustalone przez Unię Europejską wymogi.
Zagadnienia związane z cyberbezpieczeństwem są obecnie jednymi z najważniejszych obszarów prawidłowego funkcjonowania nie tylko samej branży, ale również całego państwa. Kwestie związane z bezpieczeństwem dotyczą wszystkich bez wyjątku, a praktyki związane ze zgodnością i polityką działania są istotne zarówno dla sektora prywatnego, jak i publicznego. Nie dziwi, więc fakt, że temat certyfikacji cyberbezpieczeństwa i wszystkich zapisów z nim związanych budzi tak wiele dyskusji.
Certyfikacja cyberbezpieczeństwa ma znaczenie
26 maja 2021 r. ENISA formalnie przekazała Komisji Europejskiej pierwszy unijny program certyfikacji cyberbezpieczeństwa – European Union Common Criteria scheme. Program został oparty na międzynarodowych standardach Common Criteria, Common Methodology for Information Technology Security Evaluation (CC) oraz normy ISO/IEC 15408 i ISO/IEC 18045. Program EUCC został przygotowany przez ENISA przy wsparciu grupy ekspertów ds. certyfikacji cyberbezpieczeństwa i przedstawicieli państw członkowskich UE wchodzących w skład Europejskiej Grupy ds. Certyfikacji Cyberbezpieczeństwa (ECCG).
Europejskie ramy certyfikacji cyberbezpieczeństwa określają mechanizm ustanawiania europejskich programów certyfikacji cyberbezpieczeństwa i potwierdzania, że produkty, usługi i procesy ICT, które oceniono na podstawie tych programów, są zgodne z określonymi wymogami mającymi na celu zabezpieczenie dostępności, autentyczności, integralności lub poufności przechowywanych, przekazywanych lub przetwarzanych danych bądź funkcji lub usług oferowanych albo dostępnych za ich pośrednictwem w trakcie całego cyklu życia.
- Certyfikacja cyberbezpieczeństwa to nic innego jak potwierdzenie zgodności rozwiązań z określonymi kryteriami, dokonane przez niezależny podmiot na podstawie ewaluacji przeprowadzonej przez akredytowane laboratorium. W niektórych sektorach, np. technologii informacyjnych, certyfikacja jest szeroko rozpowszechniona i stanowi o przewadze konkurencyjnej firm. Odpowiada także za podniesienie poziomu odporności systemów informacyjnych administracji publicznej i sektora prywatnego oraz osiąganie zdolności do skutecznego zapobiegania i reagowania na incydenty – wyjaśnia Wiesław Paluszyński, wiceprezes PIIT oraz przewodniczący Sektorowej Rady ds. kompetencji Telekomunikacja i Cyberbezpieczeństwo.
Europejskie zmiany legislacyjne zapewniają warunki do utworzenia krajowego systemu certyfikacji cyberbezpieczeństwa, który pozwoli wszystkim zainteresowanym podmiotom na dostęp do możliwości testowania, badania produktów ICT, usług i procesów, otrzymywania certyfikatów cyberbezpieczeństwa opartych na europejskich programach, a także powszechnie uznawanych na obszarze Unii Europejskiej.
Akt o cyberbezpieczeństwie
Akt o cyberbezpieczeństwie - znany jako Cybersecurity Act, to druga po dyrektywnie NIS ogólnoeuropejska regulacja w zakresie cyberbezpieczeństwa. Warto podkreślić, że certyfikacja cyberbezpieczeństwa określona przez Akt o cyberbezpieczeństwie jest dobrowolna, o ile prawo Unii Europejskiej lub prawo państwa członkowskiego nie stanowi inaczej. Komisja Europejska ma za zadanie regularnie oceniać wydajność i użyteczność przyjętych europejskich programów certyfikacji cyberbezpieczeństwa oraz to, czy określony program należy uczynić obowiązkowym za pomocą regulacji unijnych w celu zapewnienia odpowiedniego poziomu cyberbezpieczeństwa produktów, usług i procesów ICT i poprawy funkcjonowania rynku wewnętrznego.
- Z istotnych kwestii, w odniesieniu do programów europejskich, w Akcie o cyberbezpieczeństwie wprowadza się poziomy uzasadnienia zaufania, które muszą być proporcjonalne do poziomu ryzyka związanego z przewidzianym stosowaniem produktu, usługi czy procesu ICT pod względem prawdopodobieństwa wystąpienia i skutków incydentu – dodaje Wiesław Paluszyński. - Co równie ważne, na podstawowym poziomie dopuszcza się samoocenę, można powiedzieć, że samocertyfikację zgodności. Akt przewiduje także określanie treści i formatu wydawanego certyfikatu lub deklaracji zgodności.
Certyfikacja cyberbezpieczeństwa w ustawie o KSC
Właściwe i skuteczne działanie systemu certyfikacji będzie w znacznej mierze zależało od jednostek oceniających. Będą one musiały spełniać szczegółowe wymogi dotyczące ich kwalifikacji technicznych, które zostaną wskazane w krajowym programie certyfikacji cyberbezpieczeństwa, określonym w formie rozporządzenia Rady Ministrów. Oceny zgodności w ramach krajowego systemu certyfikacji cyberbezpieczeństwa mają dokonywać jednostki oceniające, akredytowane przez Polskie Centrum Akredytacji. Prace nad ustawą o krajowym systemie cyberbezpieczeństwa nadal trwają, a branża ICT oczekuje na ich zakończenie.
Certyfikacja cyberbezpieczeństwa to kolejny, niezwykle istotny element europejskiej strategii jednolitego rynku cyfrowego. Stworzenie europejskich ram certyfikacji cyberbezpieczeństwa to przełomowy krok, który w efekcie umożliwi zniesienie barier w cyfryzacji i zwiększy konkurencyjność europejskich firm.
- W celu dalszego rozwoju sektora technologii informatycznych i komunikacyjnych niezbędne jest włączenie Polski w międzynarodowy system oceny i certyfikacji oparty na międzynarodowych normach i standardach – przekonuje Wiesław Paluszyński.
Warto przy tym także zwrócić uwagę na ciągły deficyt wykwalifikowanych ekspertów w zakresie certyfikacji cyberbezpieczeństwa, którzy w perspektywie najbliższych kilku lat będą wdrażać nowe zasady do codziennego funkcjonowania. W prawidłowym reagowaniu na incydenty główną rolę pełnią właśnie ludzie, a to w jaki sposób powinno się kształcić i rozwijać kompetencji w zakresie cyberbezpieczeństwie jest jednym z najważniejszych elementów, które nadal wymagają dopracowania.

Polski biznes nie jest przygotowany na cyberzagrożenia

Cyberbezpieczeństwo dla firm – skuteczne rozwiązania iIT Distribution Polska

Emitel Partnerem Technologicznym Impact’25
Więcej ważnych informacji
Jedynka Newserii

Jedynka Newserii

Ochrona środowiska

Rozszerzenie UE wśród priorytetów duńskiej prezydencji. Akcesja nowych państw może mieć znaczenie dla bezpieczeństwa i gospodarki
Wraz z czerwcem kończy się druga polska prezydencja w Radzie Unii Europejskiej. W ciągu sześciu miesięcy instytucja ta pod przewodnictwem Polski podejmowała działania na rzecz bezpieczeństwa, w wielu wymiarach: zewnętrznym, wewnętrznym, informacyjnym, ekonomicznym, energetycznym, żywnościowym i zdrowotnym. Przede wszystkim doprowadziła do przełomowego wzrostu wydatków UE na obronność. Od 1 lipca pałeczkę przejmują Duńczycy, którzy zwrócą uwagę m.in. na obronę Bałtyku.
Transport
Ruszyła ważna inwestycja przemysłowa w województwie opolskim. Powstanie tu centrum logistyczne dla giganta motoryzacyjnego

Nowe regionalne Centrum Kompletacji i Dystrybucji, które powstanie w parku logistycznym i produkcyjnym Prologis Park Ujazd w województwie opolskim, będzie związane z rynkiem automotive aftermarket, konkretnie kompletacją i dystrybucją zestawów naprawczych dla branży motoryzacyjnej. Obiekt będzie służył firmie Schaeffler, a za jej budowę odpowiada Prologis. Jak podkreśla jego przedstawiciel, będzie to budynek niezależny od paliw kopalnych bezpośrednio dostarczanych do budynku i wyposażony w wiele rozwiązań prośrodowiskowych.
Konsument
Konsumenci rynku telekomunikacyjnego narzekają na nieprzejrzyste oferty. Jeden z operatorów chce je wyeliminować

Co piąty Polak dostrzega pozytywne zmiany na rynku usług telekomunikacyjnych, głównie jego rozwój, zarówno pod kątem liczby ofert, jak i rozwoju technologii. Gorzej jednak wypada przejrzystość ofert – wynika z badania Urzędu Komunikacji Elektronicznej. Konsumenci są zmęczeni skomplikowanymi taryfami i ukrytymi kosztami, dlatego coraz większym zainteresowaniem cieszą się proste pakiety. Dlatego też T-Mobile startuje z nową ofertą „Po prostu", z jednym, prostym abonamentem bez żadnych limitów.
Partner serwisu
Szkolenia

Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.