Szeroko rozumiane pojęcie ICT, czyli Information and Communication Technology (Technologie Informacyjne i Komunikacyjne) zostało wpisane do znowelizowanej Krajowej Ustawy Cyberbezpieczeństwa z dnia 25 czerwca 2025, przyjętej 28 sierpnia 2025 przez Sejm RP.
Jako przykłady ICT możemy wymienić… W zasadzie pod ICT można podciągnąć prawie wszystko, co jest powiązane z cyberbezpieczeństwem i przetwarzaniem informacji, łącznie z kompetencjami personelu. Na przykład certyfikowane będą usługi bezpieczeństwa (np. monitoring SOC) – czy spełnia określone standardy, czy system zarządzania cyberbezpieczeństwem w firmie jest zgodny z określonym schematem, czy osoba fizyczna np. CISO, CTO mają zweryfikowaną wiedzę i umiejętności praktyczne.
Do ICT możemy przypisać następujące zagadnienia:
- Proces wytwarzania systemu (SDLC, DevOps).
- Proces zarządzania incydentami bezpieczeństwa IT.
- Proces backupu i odzyskiwania danych.
- Hosting aplikacji lub stron WWW.
- Usługi w chmurze (SaaS, PaaS, IaaS).
- Utrzymanie i monitoring infrastruktury IT.
- Wsparcie helpdesk i serwis użytkowników.
- Bezpieczeństwo: SOC, testy penetracyjne, zarządzanie antywirusowe.
- Oprogramowanie biurowe, systemy ERP, aplikacje mobilne.
- Sprzęt: routery, serwery, laptopy, telefony.
- Oprogramowanie bezpieczeństwa: antywirusy, firewalle.
- Platformy e-learningowe, systemy wideokonferencyjne.
- I wiele więcej.
Z ustawy wynika, iż ustawodawca celowo zastosował szeroką definicję ICT, aby certyfikacja obejmowała nie tylko technologie, ale też organizacje i ludzi.
… produkt ICT, usługa ICT, proces ICT, usługa zarządzana w zakresie bezpieczeństwa, system zarządzania cyberbezpieczeństwem lub dana osoba fizyczna…
Fragment ustawy
Link do ustawy: https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20250001017
„12) krajowy certyfikat – dokument poświadczający, iż dany produkt ICT, dana usługa ICT, dany proces ICT, dana usługa zarządzana w zakresie bezpieczeństwa, dany system zarządzania cyberbezpieczeństwem lub dana osoba fizyczna zostały ocenione pod względem zgodności ze szczegółowymi wymogami określonymi w krajowym schemacie certyfikacji cyberbezpieczeństwa;”
Jest to tak zwana definicja krajowego certyfikatu, który będzie obowiązywał w ramach przyjętego systemu certyfikacji ICT w Polsce.
Drabinka certyfikacji
- Ministrem odpowiedzialnym za pełnienie roli organu krajowego ds. ów certyfikatów jest minister cyfryzacji. Do jego zadań należy ustanawianie krajowych schematów certyfikacji, kontrola i nadzór nad jednostkami oceniającymi zgodność, zatwierdzanie certyfikatów.
- Polskie Centrum Akredytacji (PCA) odpowiada za akredytację jednostek, podmiotów oceniających zgodność. Zapewnia nadzór nad nimi w ramach krajowych schematów i programów unijnych.
- Jednostki, podmioty oceniające zgodność po uzyskaniu akredytacji przez PCA mogą przeprowadzać ocenę zgodności z wymaganiami danego schematu lub programu (krajowego lub europejskiego). Wydają certyfikaty, monitorują spełnianie wymagań po wydaniu certyfikatu, reagują w przypadku niezgodności.
- Dostawcy, producenci, usługodawcy, osoby fizyczne to ci, którzy chcą uzyskać krajowy certyfikat. Dostawca produktu ICT, usługi ICT, procesu ICT, usługi zarządzanej w zakresie bezpieczeństwa, systemu zarządzania cyberbezpieczeństwem lub osoba fizyczna posiadająca wiedzę i praktyczne umiejętności.
Certyfikacja w ramach krajowego systemu (na razie) jest dobrowolna, tutaj ustawa nie nakłada obligatoryjnie obowiązku posiadania certyfikatu. Tym niemniej może to oznaczać dla wielu firm, iż aby działać w określonych obszarach ICT np. hosting WWW albo serwery dla podmiotów publicznych, należy liczyć się z obowiązkiem spełniania dodatkowych wymagań.
Co wymaga dalszych regulacji?
Sama ustawa nie określa szczegółowo wszystkich schematów certyfikacji. Wiele będzie zależało od rozporządzeń Ministra Cyfryzacji, które ustanowią konkretne krajowe schematy.
Certyfikat będzie formalnym potwierdzeniem, iż produkt, usługa, proces ICT spełniają określone standardy np.
- ochronę przed atakami,
- zachowują tzw. dostępność, integralność, autentyczność, poufność systemów lub danych,
- potwierdzają kompetencje inżynierów.
Certyfikaty wydane w ramach europejskich programów certyfikacji zostaną automatycznie uznawane we wszystkich państwach członkowskich UE. To ma ułatwić działanie firm na jednolitym rynku cyfrowym i zapobiegać fragmentacji.
Krajowy certyfikat będzie istotny od 2 lat i nie dłużej niż 5 lat z możliwością odnowienia. Dodatkowo dokumentacja techniczna i inne materiały związane z certyfikacją muszą być przechowywane przez określony czas (minimum 10 lat po wygaśnięciu certyfikatu) na potrzeby kontroli.
