PN-EN 18037:2025-04 – sektorowe podejście do oceny cyberbezpieczeństwa

W marcu 2025 r. opublikowana została europejska norma EN 18037, która w kwietniu została wdrożona do zbioru Polskich Norm jako PN-EN 18037:2025-04 Wytyczne do sektorowej oceny cyberbezpieczeństwa. Dokument opracowano w ramach prac Wspólnego Komitetu CEN/CLC/JTC 13 Cybersecurity and Data Protection.
Funkcję Project Leadera w pracach nad normą pełniła Elżbieta Andrukiewicz, Przewodnicząca PKN/KT 182 ds. Ochrony Informacji w Systemach Teleinformatycznych.
Norma stanowi odpowiedź na rosnącą potrzebę skutecznego i spójnego zarządzania cyberbezpieczeństwem w tzw. usługach sektorowych – czyli świadczonych w ramach złożonych systemów, obejmujących wielu interesariuszy i działających często w kluczowych obszarach, takich jak energetyka, transport, opieka zdrowotna, administracja publiczna czy finanse.
Dotychczas brakowało jednolitej metodyki umożliwiającej ocenę ryzyka i określenie wymagań w zakresie cyberbezpieczeństwa oraz zaufania do produktów, procesów i usług ICT funkcjonujących w tych sektorach. Norma PN-EN 18037:2025-04 wypełnia tę lukę, oferując spójne, holistyczne i zharmonizowane podejście do oceny poziomu bezpieczeństwa i poziomu uzasadnienia zaufania – z uwzględnieniem roli danego elementu w całym systemie sektorowym.
Nowa norma umożliwia m.in.:
- identyfikację wymagań dotyczących cyberbezpieczeństwa w zależności od funkcji danego produktu, procesu lub usługi ICT w systemie sektorowym,
- określenie oczekiwanego poziomu bezpieczeństwa i zaufania dla danego komponentu,
- wsparcie dla procesów certyfikacyjnych oraz działań w zakresie zapewnienia zgodności z obowiązującymi wymaganiami.
Wdrożenie PN-EN 18037:2025-04 może przyczynić się do zwiększenia odporności sektorów kluczowych na zagrożenia cyfrowe oraz ułatwić współpracę pomiędzy organizacjami odpowiedzialnymi za bezpieczeństwo systemów ICT.