Art. 15. 1. Minister właściwy do spraw informatyzacji może określić, w drodze rozporządzenia, krajowy schemat cer- tyfikacji cyberbezpieczeństwa dla wybranych produktów ICT, usług ICT, procesów ICT, usług zarządzanych w zakresie bezpieczeństwa, systemów zarządzania cyberbezpieczeństwem lub osób fizycznych, zawierający:
1) szczegółowe wymogi dla produktów ICT, usług ICT, procesów ICT, usług zarządzanych w zakresie bezpieczeństwa, systemów zarządzania cyberbezpieczeństwem podlegających ocenie zgodności lub osób fizycznych, których wiedza i umiejętności praktyczne z zakresu cyberbezpieczeństwa podlegają ocenie zgodności;
2) szczegółowe metody stosowane w celu wykazania, że produkt ICT, usługa ICT, proces ICT, usługa zarządzana w zakresie bezpieczeństwa, system zarządzania cyberbezpieczeństwem lub osoba fizyczna spełniają wymogi, o których mowa w pkt 1;
3) szczegółowe warunki wydawania, utrzymywania i przedłużania ważności krajowych certyfikatów;
4) szczegółowy sposób monitorowania zgodności produktów ICT, usług ICT, procesów ICT, usług zarządzanych w zakresie bezpieczeństwa, systemów zarządzania cyberbezpieczeństwem lub osób fizycznych z wymogami, o których mowa w pkt 1, w tym mechanizmy służące wykazaniu zgodności z tymi wymogami;
5) szczegółowy zakres dokumentacji technicznej dotyczącej certyfikacji oraz sposób przechowywania i niszczenia tej dokumentacji;
6) okres przechowywania dokumentacji technicznej dotyczącej certyfikacji;
7) okres, na jaki jest wydawany krajowy certyfikat;
8) wzór krajowego certyfikatu. 2. W przypadku rozporządzenia określającego krajowy schemat certyfikacji cyberbezpieczeństwa dotyczący produktów ICT, usług ICT, procesów ICT lub usług zarządzanych w zakresie bezpieczeństwa minister właściwy do spraw informaty- zacji bierze pod uwagę ich funkcje, wpływ na funkcjonowanie systemów teleinformatycznych, cyberzagrożenia, które ich dotyczą, procesy, w jakich mogą być wykorzystywane, rozwój technologii w obszarze cyberbezpieczeństwa, a także koniecz- ność zapewnienia odpowiedniej transparentności certyfikacji, odpowiedniego sposobu dokumentowania, ewidencjonowania i przechowywania dokumentacji, zapewnienia informacji niezbędnych do oceny, czy spełnione są wymogi, oraz zapewnienia odpowiedniej rozpoznawalności krajowych certyfikatów. 3. W przypadku rozporządzenia określającego krajowy schemat certyfikacji cyberbezpieczeństwa dotyczący systemów zarządzania cyberbezpieczeństwem minister właściwy do spraw informatyzacji bierze pod uwagę konieczność zapewnienia odpowiedniego poziomu cyberbezpieczeństwa systemów teleinformatycznych i danych przetwarzanych w tych systemach, zapewnienia przejrzystych i skutecznych procedur zarządzania cyberbezpieczeństwem, rozwój technologii w obszarze cyber- bezpieczeństwa, a także konieczność zapewnienia odpowiedniej transparentności certyfikacji, odpowiedniego sposobu dokumen- towania, ewidencjonowania i przechowywania dokumentacji, zapewnienia informacji niezbędnych do oceny, czy spełnione są wymogi, oraz zapewnienia odpowiedniej rozpoznawalności krajowych certyfikatów. 4. W przypadku rozporządzenia określającego krajowy schemat certyfikacji cyberbezpieczeństwa dotyczący osób fizycz- nych minister właściwy do spraw informatyzacji bierze pod uwagę konieczność odpowiedniego przygotowania osób fizycznych do wykonywania zadań z zakresu cyberbezpieczeństwa oraz wskazania zakresu wiedzy niezbędnej do skutecznej realizacji tych zadań, rozwój technologii w obszarze cyberbezpieczeństwa, a także konieczność zapewnienia odpowiedniej transparentności certyfikacji, odpowiedniego sposobu dokumentowania, ewidencjonowania oraz przechowywania dokumentacji, zapewnienia informacji niezbędnych do oceny, czy spełnione są wymogi, oraz zapewnienia odpowiedniej rozpoznawalności krajowych certyfikatów.