PN-EN 18037:2025-04 – sektorowe podejście do oceny cyberbezpieczeństwa

W marcu 2025 r. opublikowana została europejska norma EN 18037, która w kwietniu została wdrożona do zbioru Polskich Norm jako PN-EN 18037:2025-04 Wytyczne do sektorowej oceny cyberbezpieczeństwa. Dokument opracowano w ramach prac Wspólnego Komitetu CEN/CLC/JTC 13 Cybersecurity and Data Protection.

Funkcję Project Leadera w pracach nad normą pełniła Elżbieta Andrukiewicz, Przewodnicząca PKN/KT 182 ds. Ochrony Informacji w Systemach Teleinformatycznych.

Norma stanowi odpowiedź na rosnącą potrzebę skutecznego i spójnego zarządzania cyberbezpieczeństwem w tzw. usługach sektorowych – czyli świadczonych w ramach złożonych systemów, obejmujących wielu interesariuszy i działających często w kluczowych obszarach, takich jak energetyka, transport, opieka zdrowotna, administracja publiczna czy finanse.

Dotychczas brakowało jednolitej metodyki umożliwiającej ocenę ryzyka i określenie wymagań w zakresie cyberbezpieczeństwa oraz zaufania do produktów, procesów i usług ICT funkcjonujących w tych sektorach. Norma PN-EN 18037:2025-04 wypełnia tę lukę, oferując spójne, holistyczne i zharmonizowane podejście do oceny poziomu bezpieczeństwa i poziomu uzasadnienia zaufania – z uwzględnieniem roli danego elementu w całym systemie sektorowym.

Nowa norma umożliwia m.in.:

• identyfikację wymagań dotyczących cyberbezpieczeństwa w zależności od funkcji danego produktu, procesu lub usługi ICT w systemie sektorowym,
• określenie oczekiwanego poziomu bezpieczeństwa i zaufania dla danego komponentu,
• wsparcie dla procesów certyfikacyjnych oraz działań w zakresie zapewnienia zgodności z obowiązującymi wymaganiami.

Wdrożenie PN-EN 18037:2025-04 może przyczynić się do zwiększenia odporności sektorów kluczowych na zagrożenia cyfrowe oraz ułatwić współpracę pomiędzy organizacjami odpowiedzialnymi za bezpieczeństwo systemów ICT.