Wydawanie przepisów dotyczących audytu technicznego podpisów elektronicznych i usług zaufanych: zapewnienie bezpieczeństwa i wzmocnienie zaufania do przestrzeni cyfrowej

Okólnik stanowi ważną podstawę prawną do standaryzacji procesów audytu technicznego, zapewniając, że systemy i organizacje dostarczające i wykorzystujące podpisy elektroniczne przestrzegają norm technicznych i zasad bezpieczeństwa informacji, przyczyniając się do wzmocnienia zaufania ludzi, przedsiębiorstw i agencji zarządzających do środowiska transakcji cyfrowych.

Zgodnie z przepisami niniejszy Okólnik stosuje się do organizacji i osób biorących udział w czynnościach audytu technicznego systemów informatycznych, procesów świadczenia usług bezpiecznego podpisu elektronicznego, certyfikatów bezpiecznego podpisu elektronicznego, podpisów cyfrowych, certyfikatów podpisu cyfrowego i innych zaufanych usług lub powiązanych z tymi czynnościami.

W szczególności agencje i organizacje tworzące i wykorzystujące bezpieczne podpisy elektroniczne są zachęcane do proaktywnego przeprowadzania audytów technicznych w celu samooceny zgodności i bezpieczeństwa swoich systemów oraz procesów świadczenia usług. To ważny krok, świadczący o potrzebie proaktywnego zapobiegania zagrożeniom cyberbezpieczeństwa, a nie jedynie reagowania na incydenty w przypadku ich wystąpienia.

Zaufani dostawcy usług są zobowiązani do przeprowadzania audytów technicznych co dwa lata, aby zagwarantować, że systemy i procesy świadczenia usług są utrzymywane w bezpiecznym i stabilnym stanie oraz spełniają wymagania techniczne zgodne z normami krajowymi.

Zgodnie z Okólnikiem podstawą oceny audytu technicznego są szczegółowe wymagania dotyczące systemów informatycznych i procesów świadczenia usług określone w przepisach technicznych, normach technicznych i wymaganiach technicznych mających zastosowanie do podpisów elektronicznych, certyfikatów elektronicznych i usług zaufanych.

Działania audytu technicznego realizowane są w dwóch głównych etapach: oceny informacji i dokumentów w procesie planowania oraz oceny faktycznej w audytowanej organizacji. Wszystkie treści muszą być obiektywne, transparentne, zgodne z wcześniej ustalonym planem i zakresem.

Maksymalny czas trwania audytu wynosi 6 miesięcy, a w razie potrzeby może zostać przedłużony o maksymalnie 45 dni w celu przeprowadzenia działań korygujących. Po zakończeniu audytu, na podstawie wyników oceny i ewentualnych działań korygujących, organizacja audytująca rozważy wydanie certyfikatu wraz z Raportem z Audytu Technicznego dla audytowanej organizacji. W przypadku niespełnienia wymagań, organizacja audytująca musi powiadomić o tym na piśmie, podając przyczyny i załączając Raport z Audytu Technicznego.

W Okólniku szczegółowo opisano również obowiązkową treść raportu z audytu technicznego, w tym: ogólne informacje o audycie, czas wdrożenia, metodę oceny, wyniki analizy ryzyka bezpieczeństwa informacji, wyniki testów systemu, zalecenia techniczne i podstawy decyzji o certyfikacji.

Zaufani dostawcy usług muszą przesyłać raporty z audytów technicznych do Ministerstwa Nauki i Technologii za pośrednictwem Narodowego Centrum Uwierzytelniania Elektronicznego (NEAC), będącego centralnym punktem syntetyzującym, monitorującym i świadczącym usługi w zakresie zarządzania państwem.

Regularne raportowanie nie tylko pomaga ocenić status operacyjny zaufanych dostawców usług, ale także tworzy ujednoliconą bazę danych na potrzeby kształtowania polityki, zarządzania ryzykiem i wspiera agencje rządowe w podnoszeniu jakości i bezpieczeństwa krajowej infrastruktury transakcji cyfrowych.

Okólnik stanowi, że organizacje przeprowadzające audyt techniczny odpowiadają za wykonywanie swoich praw i obowiązków zgodnie z przepisami prawa dotyczącymi norm i regulacji technicznych; zapewniając niezależność, obiektywizm i pełną zgodność z procedurami audytu technicznego zgodnie z przepisami dotyczącymi jakości produktów i towarów oraz bezpieczeństwa informacji sieciowej.

Krajowa Komisja ds. Norm, Metrologii i Jakości działająca przy Ministrze Nauki i Technologii jest jednostką centralną przyjmującą i oceniającą wnioski o rejestrację w celu wyznaczenia organizacji audytu technicznego oraz przedkładającą je Ministrowi Nauki i Technologii, który podejmuje decyzję o wyznaczeniu kwalifikowanych organizacji zgodnie z ustawą o normach i jakości.

Jednocześnie Narodowe Centrum Uwierzytelniania Elektronicznego odpowiada za przyjmowanie i syntezę raportów technicznych z audytów przeprowadzanych przez organizacje, a także za okresowe raportowanie do Ministra Nauki i Technologii, co ma na celu wspomaganie państwowego zarządzania świadczeniem niezawodnych usług.

Wydanie Okólnika w sprawie technicznego audytu podpisów elektronicznych i zaufanych usług uważa się za ważny krok w kierunku ukończenia krajowego korytarza prawnego dotyczącego bezpieczeństwa informacji, uwierzytelniania elektronicznego i transformacji cyfrowej.

Okólnik przyczynia się do standaryzacji niezależnego systemu oceny, wzmocnienia kontroli ryzyka, poprawy autonomii technologicznej i budowania zaufania cyfrowego wśród użytkowników w procesie dokonywania transakcji, podpisywania i wymiany danych elektronicznych.

Okólnik wchodzi w życie z dniem 1 stycznia 2026 r., co stanowi nowy krok naprzód w zakresie zarządzania technicznego oraz zapewnienia bezpieczeństwa i niezawodności krajowej infrastruktury podpisu elektronicznego. Celem jest zbudowanie bezpiecznego, przejrzystego i zrównoważonego rozwoju cyfrowego rządu, cyfrowej gospodarki i cyfrowego społeczeństwa.