10. kadencja, 37. posiedzenie, 2. dzień - Poseł Sprawozdawca Paweł Bliźniuk

10. kadencja, 37. posiedzenie, 2. dzień (25-06-2025)

22. punkt porządku dziennego:

Sprawozdanie Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii o rządowym projekcie ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa (druki nr 1238 i 1249).

Poseł Sprawozdawca Paweł Bliźniuk:

    Dziękuję.

    Panie Marszałku! Panie Ministrze! Wysoka Izbo! Mam zaszczyt przedstawić sprawozdanie Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii o rządowym projekcie ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa.

    Rzeczony projekt został skierowany do pierwszego czytania na posiedzenie komisji, które odbyło się 3 czerwca. Komisja rozpatrzyła projekt, odbyło się pierwsze czytanie. Komisja wnosi o przyjęcie przez Wysoką Izbę przedłożonego projektu ustawy.

    Procedowana dziś ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa to jeden z kluczowych aktów prawnych wzmacniających fundamenty bezpieczeństwa cyfrowego Rzeczypospolitej Polskiej. Projekt ten ma charakter systemowy i strategiczny. Stanowi zarówno wykonanie zobowiązań wynikających z rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej 2019/881, tzw. aktu o cyberbezpieczeństwie, jak i odpowiedź na konkretne potrzeby rynku, administracji publicznej i obywateli w zakresie jakości i bezpieczeństwa produktów cyfrowych.

    Wysoka Izbo! Projektowana ustawa tworzy ramy krajowego systemu certyfikacji cyberbezpieczeństwa obejmującego m.in. produkty i usługi ICT, procesy technologiczne, usługi zarządzane w zakresie bezpieczeństwa, systemy zarządzania cyberbezpieczeństwem, a także wiedzę i kompetencje osób fizycznych w tym obszarze. Dzięki ustawie Polska będzie mogła wdrażać zarówno europejskie normy certyfikacji, jak i tworzyć krajowe schematy tam, gdzie unijne regulacje nie są jeszcze dostępne. Taki mechanizm umożliwi dynamiczne reagowanie na ewoluujące zagrożenia i potrzeby rynku. System certyfikacji będzie opierać się na trzech poziomach zaufania zgodnie z rozporządzeniem 2019/881, co pozwoli dostosować stopień rygoru oceny do skali ryzyka danego rozwiązania.

    Dlaczego ta ustawa jest niezbędna? Po pierwsze, wprowadza transparentne i jednolite standardy oceny bezpieczeństwa i technologii cyfrowych. Dotychczas w Polsce brakowało zharmonizowanego systemu certyfikacji, który pozwoliłby ocenić w sposób wiarygodny, niezależny i zgodny z unijnymi normami, czy dany produkt lub usługa ICT spełniają określone wymogi w zakresie ochrony dostępności, integralności, autentyczności i poufności danych. Po drugie, system ten stwarza konkretne narzędzie wspierające politykę zakupową sektora publicznego i bezpieczeństwo łańcucha dostaw. Wybór rozwiązań cyfrowych opartych na uznanych certyfikatach stanie się łatwiejszy, bardziej racjonalny i mniej podatny na arbitralność. Równocześnie certyfikaty krajowe i europejskie będą silnym sygnałem jakości na rynku, wspierając także polskich dostawców w ekspansji międzynarodowej. Po trzecie, projekt ustanawia kompetencje i precyzyjnie definiuje role instytucji, ministra właściwego do spraw informatyzacji jako organu nadzorczego, jednostek oceniających zgodność, Polskiego Centrum Akredytacji oraz państwowych instytutów badawczych, które będą wspierać system m.in. przez opracowanie schematów, przeprowadzanie badań, walidację procesów czy kontrolę kompetencji personelu.

    Dodatkowo projekt przewiduje konkretne mechanizmy monitorowania, odnawiania, cofania i audytu certyfikatów. Certyfikat będzie miał ważność od 2 do 5 lat i będzie mógł być przedłużany jedynie po ponownej weryfikacji zgodności z wymaganiami. Przejrzyste są też reguły dokumentowania procesu certyfikacji, postępowania w przypadku wykrycia podatności oraz zasady rozpatrywania skarg.

    Warto podkreślić szerszy kontekst strategiczny tej regulacji. W dobie wojny hybrydowej i rosnącej presji ze strony państw trzecich cyberbezpieczeństwo nie jest już tylko domeną techniczną, ale staje się kwestią bezpieczeństwa narodowego, suwerenności cyfrowej i odporności gospodarczej. Kraje takie jak Niemcy, Francja, Finlandia czy Estonia już zbudowały swoje krajowe systemy certyfikacji, które dziś funkcjonują w ścisłej integracji z mechanizmami unijnymi. Polska nie może pozostawać w tyle zarówno ze względu na ochronę interesów własnych, instytucji, obywateli, jak i konkurencyjność swoich przedsiębiorstw na jednolitym rynku cyfrowym.

    Wysoki Sejmie! Poprzez tę ustawę tworzymy zharmonizowane, profesjonalne i przejrzyste środowisko certyfikacyjne. Nie tylko budujemy zaufanie do technologii, ale również wzmacniamy krajowy potencjał w zakresie standaryzacji oceny zgodności współpracy międzynarodowej z ENISA, Europejską Grupą do Spraw Certyfikacji Cyberbezpieczeństwa czy innymi krajowymi organami nadzorczymi w Europie.

    Ustawa zawiera także rozwiązania, które promują rozwój kompetencji specjalistów, podnoszą jakość usług audytorskich i pozwalają na pełne wdrożenie mechanizmów kontroli w przypadku naruszeń lub nieprawidłowości w procesach oceny zgodności. Dlatego apeluję w imieniu komisji o jednomyślne przyjęcie tego projektu. Mamy dziś szansę przyjąć akt prawny, który wzmacnia bezpieczeństwo technologiczne państwa, sprzyja gospodarce cyfrowej i wprowadza wysokie standardy jakości w jednym z kluczowych obszarów współczesnej administracji i biznesu. Dziękuję, panie marszałku. (Oklaski)

Przebieg posiedzenia