Fundament krajowego systemu certyfikacji. W NASK powstaje OMCC

Będzie on wsparciem dla krajowego organu ds. certyfikacji, którym jest Ministerstwo Cyfryzacji. Jednym z filarów ośrodka zostanie wykwalifikowana kadra, która będzie czuwała nad budowaniem jednolitego, systemowego modeli certyfikacji.

OMCC stanie się centrum wiedzy, innowacji i jakości, które wyznaczy kierunki rozwoju całego systemu certyfikacji w Polsce. Oparte będzie na najwyższych standardach oceny i rozwoju kompetencji w obszarze bezpieczeństwa cyfrowego. Umożliwi to doskonała kadra specjalistów, pracująca w OMCC. W ramach działań ośrodka eksperci zostaną odpowiednio przygotowani do pracy, którą będzie przede wszystkim określanie norm certyfikacji cyberbezpieczeństwa. Ich kompetencje i wiedza będą stale udoskonalane.

Szereg inicjatyw w OMCC

Nasz kraj potrzebuje systemowego, jednolitego podejścia do analizy produktów, usług i procesów (w tym dla rozwiązań chmurowych, IOT, CSAM). Potrzebuje też kadry, która będzie przygotowana i doskonalona w procesach certyfikacji. I na koniec – potrzebuje instytucji, która ma realny wpływ na to, jak Polska radzi sobie ze zwalczaniem cyberzagrożeń.

Wszystkie te potrzeby spełni tworzone właśnie OMCC – Ośrodek Modelowania Certyfikacji Cyberbezpieczeństwa. Jego działania spełniają unijne założenia, które określają Cyber Resilience Act, Cyber Security Act czy NIS2. OMCC wpisuje się także w przygotowywane przepisy ogólnopolskie.

Dzięki stworzeniu OMCC eksperci NASK będą mogli razem z innymi specjalistami zbudować wspólne, systemowe podejście m.in. do oceny zgodności usług i procesów, a także opracować dokumentację, procedury i programy, które będą odpowiadały unijnym normom, dotyczącym certyfikacji.

Działalność OMCC to także gwarancja opracowania modelowego podejścia do walidacji metodyk badawczych, które potrzebne są przy ocenie zgodności w cyberbezpieczeństwie. Co to dokładnie znaczy?

– Jeżeli mamy jakieś wymaganie dotyczącego konkretnego produkty czy procesu, to są różne sposoby na zweryfikowanie tego, czy to wymaganie zostało spełnione – tłumaczy Julia Karłowska-Kowalczyk z NASK. – I te sposoby weryfikacji to są właśnie metody badawcze. Te metody mogą być różne, obarczone mniejszym lub większym błędem. To na czym polega walidacja, to sprawdzenie, która z różnych dostępnych metod jest najlepsza.

Obszarów, które mogą być poddane certyfikacji jest bardzo dużo. W Polsce określa je m.in. ustawa o krajowym systemie certyfikacji cyberbezpieczeństwa („UKSCC”).  Wśród nich wymienia się: produkt, usugę i proces ICT, system zarządzania cyberbezpieczeństwem lub wiedzą i umiejętności praktyczne osoby fizycznej z zakresu cyberbezpieczeństwa.

Priorytety OMCC

Priorytetowymi zadaniami, realizowanymi w OMCC, będą:

1. Stworzenie Pracowni Walidacji Metod Oceny – miejsca badań i rozwoju, w którym powstają nowe metodyki, narzędzia walidacyjne oraz rozwiązania wspierające ocenę i certyfikację oraz praktyczne instrumenty dla organizacji, które chcą w sposób skuteczny i mierzalny podnosić poziom swojego cyberbezpieczeństwa.
2. Nowoczesne kwalifikacje, potwierdzone certyfikatami Jednostki Certyfikującej NASK i odpowiadające na potrzeby rynku, a także zgodne z Europejskimi Ramami Umiejętności w Zakresie Cyberbezpieczeństwa (ECSF).

W pierwszej kolejności będą to:

1. Specjalista ds. Reagowania na incydenty cyberbezpieczeństwa – ekspert, który chroni organizacje przed realnymi zagrożeniami i minimalizuje skutki ataków
2. Audytor Cyberbezpieczeństwa – profesjonalista, który buduje zaufanie, weryfikując poziom bezpieczeństwa systemów i procesów.

OMCC to krok w stronę cyfrowej odporności państwa i biznesu – ośrodek, który łączy ekspercką wiedzę, innowacyjne narzędzia i europejskie standardy, tworząc solidne fundamenty dla bezpiecznej przyszłości cyfrowej Polski.

Aby ośrodek spełniał właściwie swoją rolę, NASK pozostaje otwarty na rekomendacje podmiotów i opinie ekspertów zewnętrznych.

Jak podkreśla Paweł Kostkiewicz, dyrektor ds. certyfikacji w NASK: – Szczególnie ważny jest dla nas głos instytucji, firm i organizacji, które chcą aktywnie uczestniczyć w budowaniu krajowego ekosystemu kompetencji cyfrowych. Taka rekomendacja to nie tylko głos poparcia – to realny wpływ na kształt przyszłych standardów edukacji i bezpieczeństwa cyfrowego w Polsce.

Tych, którzy chcą być częścią tej zmiany, prosimy o kontakt:

pawel.kostkiewicz@nask.pl

julia.karlowska-kowalczyk@nask.pl

CCN – odpowiedź na cyberzagrożenia

CCN to projekt, który ma olbrzymie znaczenie dla Polski. Widzimy jak z dnia na dzień rosną zagrożenia, z którymi spotykamy się w polskiej cyberprzestrzeni. Dotyczą każdego obszaru naszego życia od cyberprzestępczości na atakach, będących elementem wojny hybrydowej, kończąc. 

Centrum Cyberbezpieczeństwa NASK będzie wspierało CSIRT NASK – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działającego na poziomie krajowym. Projekt ma być zrealizowany do 31 grudnia 2029 roku.  

W ramach CCN powstają specjalistyczne centra, ośrodki i laboratoria. Ich zadaniem jest przede wszystkim wspieranie działań CSIRT NASK i usprawnienie systemu cyberbezpieczeństwa Polski.