Certyfikacja cyberbezpieczeństwa

wrz 17, 2025 | Bez kategorii

Certyfikacja cyberbezpieczeństwa jest jednym z kluczowych elementów budowania zaufania w cyfrowym świecie, w którym coraz większa część naszej aktywności – zawodowej, społecznej i prywatnej – przenosi się do środowiska wirtualnego. Produkty i usługi ICT, na których polegamy, muszą być bezpieczne, odporne na ataki i chronić dane użytkowników. Dlatego Unia Europejska, wychodząc naprzeciw rosnącym zagrożeniom, przyjęła w 2019 roku rozporządzenie znane jako Akt o cyberbezpieczeństwie (Cybersecurity Act), które ustanawia jednolite ramy prawne dla europejskich programów certyfikacji cyberbezpieczeństwa. Ramy te mają na celu harmonizację wymagań, ułatwienie uznawania certyfikatów we wszystkich państwach członkowskich i tym samym zmniejszenie barier na jednolitym rynku cyfrowym. Zgodnie z treścią rozporządzenia, certyfikacja dotyczy produktów, usług i procesów ICT w kontekście ich bezpieczeństwa – takich jak dostępność, integralność, poufność i autentyczność danych czy ich funkcjonalności. Co istotne, certyfikaty wydane w jednym państwie członkowskim są uznawane we wszystkich pozostałych, co pozwala producentom na wprowadzenie swoich rozwiązań na rynek unijny bez konieczności powtarzania kosztownych i czasochłonnych procedur w każdym kraju z osobna. Certyfikacja odbywa się na trzech poziomach gwarancji: podstawowym, istotnym i wysokim.

Poziom podstawowy (basic), stosowany jest w sytuacjach, gdy produkt lub usługa wiążą się z niewielkim ryzykiem i narażone są głównie na proste, powszechne zagrożenia. Celem certyfikacji na tym poziomie jest zminimalizowanie ryzyka incydentów cyberbezpieczeństwa przy użyciu podstawowych mechanizmów weryfikacji. W praktyce oznacza to głównie przegląd dokumentacji technicznej produktu oraz potwierdzenie, że spełnia on określone w schemacie certyfikacji wymagania bezpieczeństwa. Jeżeli sama dokumentacja nie jest wystarczająca, stosuje się proste działania kompensacyjne, które pozwalają na potwierdzenie, że produkt nie ma znanych, krytycznych podatności. Ten poziom certyfikacji jest relatywnie szybki i tani, co czyni go dostępnym dla szerokiego grona producentów, ale nie zapewnia bardzo głębokiej analizy czy testów odpornościowych. Przykłady produktów i usług, które mogą być certyfikowane na tym poziomie, to domowe routery Wi-Fi, standardowe aplikacje biurowe, urządzenia IoT dla konsumentów (np. inteligentne żarówki czy czujniki temperatury), a także proste systemy e-commerce, które nie przetwarzają danych wrażliwych na dużą skalę.

Poziom istotny (substantial) jest przeznaczony dla produktów i usług stosowanych w środowiskach o umiarkowanym poziomie ryzyka, gdzie zagrożenia mogą pochodzić od źródeł dysponujących pewnymi zasobami, ale niekoniecznie zaawansowanymi technikami ataków. Certyfikacja na tym poziomie wymaga głębszej oceny niż na poziomie podstawowym – oprócz przeglądu dokumentacji i weryfikacji braku publicznie znanych podatności przeprowadza się testy funkcjonalne, które mają potwierdzić, że mechanizmy bezpieczeństwa zostały poprawnie zaimplementowane i działają zgodnie z przeznaczeniem. Kryteria na poziomie substantial obejmują także analizę ryzyk i weryfikację, czy produkt zapewnia odporność na bardziej złożone ataki niż te, które są uwzględniane przy poziomie basic. Jest to poziom preferowany w sytuacjach, gdy skutki ewentualnego incydentu mogłyby być poważne, ale nie krytyczne dla bezpieczeństwa państwa czy infrastruktury. Przykłady zastosowań obejmują sprzęt sieciowy dla małych i średnich przedsiębiorstw, systemy zarządzania tożsamością pracowników, oprogramowanie księgowe i kadrowe, platformy e-learningowe przetwarzające dane osobowe, a także usługi chmurowe oferujące przetwarzanie danych biznesowych.

Poziom wysoki (high) zaś zarezerwowany jest dla produktów i usług, które muszą być odporne na najbardziej zaawansowane zagrożenia, w tym ataki sponsorowane przez podmioty państwowe (np. północnokoreańskie) lub inne dysponujące znacznymi zasobami i wysokimi kompetencjami. Kryteria na tym poziomie są najbardziej rygorystyczne i obejmują nie tylko przegląd dokumentacji oraz testy funkcjonalne, lecz także testy penetracyjne oraz inne metody aktywnego sprawdzania odporności na ataki. Celem jest potwierdzenie, że produkt jest w stanie skutecznie bronić się przed zaawansowanymi technikami włamań i podatnościami typu „zero-day”. Wymaga to bardzo dokładnej analizy dokumentacji projektowej, często obejmującej szczegółową analizę architektury i kodu źródłowego, a także symulacji realistycznych scenariuszy ataków. Przykładami produktów i usług, które wymagają certyfikacji na poziomie high, są systemy SCADA w energetyce i przemyśle, rozwiązania używane w centrach danych administracji publicznej, systemy wojskowe i obronne, oprogramowanie szyfrujące stosowane w infrastrukturze państwowej, a także kluczowe usługi finansowe, np. systemy rozliczeń bankowych lub platformy płatności międzybankowych.

Dla lepszego zrozumienia tych poziomów warto zestawić je z międzynarodową normą ISO/IEC 15408, znaną jako Common Criteria (CC), która definiuje siedem poziomów oceny – EAL1 do EAL7 (Evaluation Assurance Levels). Najniższy z nich, EAL1, odpowiada prostemu potwierdzeniu, że produkt działa zgodnie z dokumentacją i że podstawowe funkcje bezpieczeństwa zostały poprawnie zaimplementowane. EAL2 wprowadza wymóg bardziej uporządkowanego projektu i testów, a EAL3 i EAL4 obejmują szczegółową analizę projektową, testy penetracyjne i bardziej formalne procedury oceny, stanowiąc w praktyce złoty standard dla zastosowań komercyjnych. Poziomy EAL5–EAL7 są rzadziej stosowane i dotyczą najbardziej wymagających środowisk, w których konieczna jest weryfikacja formalna projektu, dowody matematyczne poprawności mechanizmów bezpieczeństwa czy wyjątkowo rygorystyczne testy odporności.

Choć rozporządzenie unijne nie przypisuje wprost poziomów EAL do poziomów basic, substantial i high, w praktyce istnieje między nimi pewna korelacja. Poziom basic można przyrównać do EAL1–EAL2, substantial często odpowiada EAL3 lub EAL4, a poziom high wymaga oceny na poziomie co najmniej EAL4, a w niektórych przypadkach nawet EAL5, szczególnie w kontekście produktów używanych w środowiskach wysokiego ryzyka.

Takie podejście pozwala na dostosowanie oceny do rzeczywistego ryzyka, a jednocześnie tworzy spójny i porównywalny system certyfikacji produktów i usług w obszarze cyberbezpieczeństwa w całej Unii Europejskiej. W efekcie użytkownicy mogą mieć większą pewność, że certyfikowane produkty faktycznie spełniają określone standardy bezpieczeństwa, a producenci otrzymują czytelne wytyczne, jakie wymagania muszą spełnić, aby ich rozwiązania były uznawane za bezpieczne na całym rynku unijnym.

Cały system certyfikacji jest nadzorowany przez ENISA – Agencję UE ds. Cyberbezpieczeństwa, której mandat został wzmocniony i nadano jej stałą rolę w procesie tworzenia i utrzymywania europejskich programów certyfikacji. ENISA wraz z Europejską Grupą ds. Certyfikacji Cyberbezpieczeństwa przygotowuje propozycje programów, a także publikuje tzw. kroczący program prac, wskazujący strategiczne priorytety i kategorie produktów, które w przyszłości mogą zostać objęte certyfikacją.

Na gruncie polskim działania te znalazły odzwierciedlenie w projekcie KSO3C – Krajowym schemacie oceny i certyfikacji bezpieczeństwa oraz prywatności produktów i systemów IT zgodnym ze wspomnianą już normą CC. Projekt ten, realizowany przez konsorcjum w składzie: Instytut Łączności – Państwowy Instytut Badawczy, NASK-PIB oraz Sieć Badawcza Łukasiewicz – Instytut Technik Innowacyjnych EMAG, miał na celu zbudowanie pełnej infrastruktury certyfikacyjnej w Polsce: laboratoriów oceniających, jednostki certyfikującej, procedur i metod oceny, zgodnych z wymaganiami normy ISO/IEC 15408. W ramach projektu powstały laboratoria oceniające (w IŁ-PIB i EMAG), odpowiedzialne za przeprowadzanie technicznych ocen produktów i systemów, a także jednostka certyfikująca w NASK-PIB, która wydaje certyfikaty tym produktom, które pomyślnie przejdą proces oceny. Polski schemat uzyskał formalny status uczestnika międzynarodowych porozumień SOGIS-MRA oraz CCRA, co oznacza, że certyfikaty wydawane w Polsce są uznawane przez inne państwa należące do tych układów, w tym większość krajów UE, jak również wybranych państw spoza Europy. Projekt został zakończony w lutym 2023 roku, osiągając swoje założone cele i umożliwiając w praktyce certyfikację polskich produktów i usług IT na poziomie EAL 1–4. Dzięki temu Polska dołączyła do grupy państw dysponujących własnym, autoryzowanym schematem certyfikacji zgodnym z Common Criteria.

Korzyści płynące z certyfikacji cyberbezpieczeństwa są wielowymiarowe. Przede wszystkim certyfikat jest gwarancją jakości i bezpieczeństwa, która zwiększa zaufanie klientów i użytkowników, co jest kluczowe w dobie rosnącej liczby incydentów naruszenia bezpieczeństwa informacji czy cyberbezpieczeństwa. Posiadanie certyfikatu może stanowić przewagę konkurencyjną, zwłaszcza w przetargach publicznych, w których często pojawiają się wymagania dotyczące zgodności z określonymi normami dot. bezpieczeństwa. Certyfikacja ułatwia również ekspansję na rynki zagraniczne – uznawanie certyfikatów w całej UE obniża koszty i skraca czas wprowadzenia produktu czy usługi. Z punktu widzenia państwa i społeczeństwa, powszechniejsza certyfikacja podnosi ogólny poziom cyberbezpieczeństwa, poprawia odporność infrastruktury krytycznej na ataki oraz stan bezpieczeństwa całego ekosystemu cyfrowego.

Nie można jednak pominąć wyzwań, które stoją przed systemem certyfikacji. Proces certyfikacji jest kosztowny i czasochłonny, co dla mniejszych producentów może być barierą. Spełnienie wymagań normy Common Criteria czy programów ENISA wymaga specjalistycznej wiedzy, zasobów i odpowiedniej dokumentacji. Kolejnym wyzwaniem jest dynamiczny charakter zagrożeń – kryteria certyfikacji muszą być stale aktualizowane, by uwzględniały nowe techniki ataku, nowe podatności czy technologie, takie jak IoT czy sztuczna inteligencja. Ważne jest także budowanie świadomości i popytu – aby certyfikacja nie stała się jedynie formalnością, ale realnym elementem strategii bezpieczeństwa, potrzebne jest zainteresowanie zarówno ze strony rynku, jak i administracji publicznej.

Proces certyfikacji obejmuje kilka etapów. Najpierw producent musi określić, czy jego produkt lub usługa wymaga certyfikacji, a jeśli tak – na jakim poziomie. Następnie przygotowuje produkt do oceny, w tym niezbędną dokumentację bezpieczeństwa, taką jak profil zabezpieczeń czy opis mechanizmów ochrony. Potem wybiera laboratorium oceniające i jednostkę certyfikującą, które przeprowadzają testy i oceny zgodnie z normami. Pozytywny wynik oceny skutkuje wydaniem certyfikatu, który zawiera informacje o zakresie i poziomie bezpieczeństwa. W dalszej kolejności istotne jest utrzymanie zgodności – w przypadku wprowadzania zmian w produkcie może być konieczna ponowna ocena, a jednostki certyfikujące prowadzą nadzór i audyty.

Przykładowymi produktami, które mogą być poddane certyfikacji, są urządzenia sieciowe stosowane w infrastrukturze krytycznej, oprogramowanie przetwarzające dane wrażliwe, systemy zarządzania tożsamością czy usługi chmurowe wykorzystywane przez administrację publiczną. W praktyce certyfikacja może stać się jednym z warunków udziału w zamówieniach publicznych i warunkiem zawarcia kontraktu, zwłaszcza w sektorach wymagających wysokiego poziomu bezpieczeństwa, takich jak energetyczny, telekomunikacyjny czy finansowy.

Patrząc w przyszłość, rozwój certyfikacji cyberbezpieczeństwa w Polsce i w Europie będzie postępował wraz z rozwojem programów ENISA oraz kolejnymi aktami prawnymi, które mogą wprowadzać obowiązek certyfikacji dla wybranych kategorii produktów. Wdrażanie nowych technologii, w tym rozwiązań opartych na sztucznej inteligencji, będzie wymagało dostosowywania schematów oceny do nowych zagrożeń i modeli ryzyka. Kluczowe będzie również zaangażowanie sektora prywatnego i podnoszenie świadomości wśród producentów i dostawców, aby certyfikacja stała się nie tylko wymogiem formalnym, lecz także realnym elementem strategii rozwoju i zapewniania bezpieczeństwa produktów.

Certyfikacja cyberbezpieczeństwa jest zatem nie tylko narzędziem regulacyjnym, ale też strategicznym instrumentem wzmacniania suwerenności cyfrowej, konkurencyjności gospodarki oraz ochrony interesów użytkowników. Dobrze wdrożony system certyfikacji może stanowić fundament budowy zaufania w cyfrowym świecie, co w perspektywie przyczyni się do bezpiecznej transformacji cyfrowej i rozwoju nowoczesnej gospodarki opartej na cyberprzestrzeni.

Źródła:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych (Cybersecurity Act) – tekst aktu prawnego
  2. Ministerstwo Cyfryzacji – Certyfikacja cyberbezpieczeństwa – oficjalna strona programu i działań w Polsce: https://www.gov.pl/web/cyfryzacja/certyfikacja
  3. Ministerstwo Cyfryzacji – Akt o cyberbezpieczeństwie – omówienie rozporządzenia 2019/881 i jego znaczenia: https://www.gov.pl/web/cyfryzacja/akt-o-cyberbezpieczenstwie
  4. Projekt KSO3C – Krajowy schemat oceny i certyfikacji – informacje o konsorcjum, celach i wynikach projektu: https://www.gov.pl/web/cyfryzacja/kso3c-ocena-cyberbezpieczenstwa-produktow-i-uslug-it
  5. Instytut Łączności – Państwowy Instytut Badawczy – komunikat o zakończeniu projektu KSO3C: https://www.gov.pl/web/instytut-lacznosci/projekt-kso3c-zakonczony-sukcesem 
  6. KSO3C – oficjalna strona projektu – informacje o statusie międzynarodowym PL-Scheme i uznawaniu certyfikatów: https://www.kso3c.pl 
  7. Strona ENISA (EU Agency for Cybersecurity) – informacje o europejskich programach certyfikacji: https://www.enisa.europa.eu/topics/certification

Autor: Tomasz Cieślik