Od sierpnia 2025 r. zaczynają obowiązywać krajowe przepisy dotyczące certyfikacji cyberbezpieczeństwa, wprowadzone przez Ustawę o krajowym systemie certyfikacji cyberbezpieczeństwa (Dz.U. 2025 poz. 1017).
To realizacja europejskiego Cybersecurity Act (UE) 2019/881, mającego na celu ujednolicenie zasad potwierdzania bezpieczeństwa produktów i usług ICT w Unii Europejskiej.
Nowe obowiązki cyberbezpieczeństwa — harmonogram 2025–2026
Pierwsze zakazy niedopuszczalnych systemów AI
Kraje UE zobowiązane do wdrożenia prawa krajowego
Oczekiwane uchwalenie ustawy implementującej NIS2
Europejski schemat dla usług chmurowych
Audyty, zgłaszanie incydentów 24h, zarządzanie ryzykiem dostawców
AI wysokiego ryzyka: pełna dokumentacja techniczna wymagana
Najczęstsze pytania
Jakie certyfikaty cyberbezpieczeństwa są wymagane od 2025 r.?
NIS2 nie narzuca konkretnego certyfikatu, ale ISO 27001 jest de facto standardem spełniającym jej wymagania.
Czy certyfikat cyberbezpieczeństwa jest obowiązkowy dla każdej firmy?
Nie dla każdej. Podmioty kluczowe i ważne wg NIS2 muszą wykazać zarządzanie ryzykiem — ISO 27001 jest najczęściej wybieranym dowodem.
Jak długo trwa certyfikacja ISO 27001?
4–9 miesięcy. Firmy mające ISO 9001 certyfikują ISO 27001 szybciej o 30–40%.
Co to jest EUCS?
EU Cybersecurity Certification Scheme for Cloud Services — europejska certyfikacja dla dostawców usług chmurowych w UE.
Jakie kary grożą za brak zgodności z NIS2?
Podmioty kluczowe: do 10 mln EUR lub 2% obrotu. Osobista odpowiedzialność zarządu — do 10 mln EUR za zaniedbanie.
Nowe regulacje zwiększają bezpieczeństwo operacyjne organizacji oraz umożliwiają przedsiębiorstwom formalne wykazanie zgodności z wymaganiami zarówno europejskimi, jak i krajowymi.
Zgodnie z nowymi przepisami, podmioty działające w obszarze ICT, usług cyfrowych i infrastruktury krytycznej będą musiały uzyskać certyfikat cyberbezpieczeństwa potwierdzający spełnienie wymogów określonych w krajowych lub europejskich schematach certyfikacji.
Proces będzie nadzorowany przez Ministerstwo Cyfryzacji oraz Polskie Centrum Akredytacji (PCA).
Wdrożenie systemowego podejścia opartego na ISO / IEC 27001 umożliwia organizacjom nie tylko uzyskanie certyfikatu zgodności, ale również realne podniesienie poziomu ochrony informacji, danych osobowych i systemów IT.