Certificering af cybersikkerhed for produkter, tjenester og processer

Nu kommer der fælles europæiske retningslinjer for cybersikkerhedscertificering af IKT-produkter, tjenester og processer (informations- og kommunikationsteknologi). En EU-forordning om cybersikkerhed træder i kraft 28. juni 2021, og samme dato træder supplerende dansk lovgivning om cybersikkerhedscertificering i kraft.

Frivillig ordning

For at højne cybersikkerheden i EU som led i den digitale udvikling af samfundet, udarbejdes der fælleseuropæiske certificeringsordninger for  informations- og kommunikationsteknologi. Certificeringsordningerne er frivillige at benytte. Ved at lade sit produkt, tjeneste eller proces certificere, dokumenterer virksomheden, at en række krav til cybersikkerhed er overholdt.  På den måde kan man dokumentere et vist niveau af  beskyttelse, når data fx lagres, transmitteres og behandles elektronisk.

ENISA og certificeringsordninger

Der er oprettet et EU-organ, ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), der udarbejder europæiske certificeringsordninger for cybersikkerhed i samarbejde med interessenter og den europæiske cybersikkerhedscertificeringsgruppe (ECCG). I certificeringsgruppen er Danmark repræsenteret ved Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, Erhvervsstyrelsen og Sikkerhedsstyrelsen.

Certificering eller selvvurdering

Ved certificering kan en virksomhed få en cybersikkerhedsattest (overensstemmelsesattest), der dokumenterer, at kravene i forhold til en relevant cybersikkerheds-certificeringsordning er opfyldt. Attesten udstedes af et uafhængigt certificeringsorgan og er gyldig i alle EU-lande.

Ved produkter, tjenester og processer med lav risiko kan en virksomhed i nogle tilfælde lave en selvvurdering og på den baggrund udstede en EU-overensstemmelseserklæring. Her angiver virksomheden selv, at kravene i en relevant cybersikkerheds-certificeringsordning er opfyldt.         

På EU-plan arbejdes der løbende på nye certificeringsordninger. I øjeblikket arbejdes der på at etablere certificeringsordninger for cloud-teknologi og 5G-teknologi.

ENISA vil etablere en oversigt over alle gældende certificeringsordninger og alle certificerede og selverklærede produkter fra EU-landene.

Sikkerhedsstyrelsens rolle

Sikkerhedsstyrelsen er udpeget som national cybersikkerheds-certificeringsmyndighed. Dermed skal Sikkerhedsstyrelsen kontrollere, at forordningen om cybersikkerhed overholdes i Danmark. Det gælder kontrollen med overensstemmelsesvurderingsorganer, men også med danske producenter og udbydere af IKT-produkter, -tjenester og –processer, der vælger enten certificering eller selverklæring.

Kontrol

Sikkerhedsstyrelsen kan kræve oplysninger om certificerede produkter, tjenester og processer og udtage produkter, tjenester og processer til tekniske undersøgelser.

Hvis reglerne på området ikke bliver efterlevet, kan Sikkerhedsstyrelsen kræve, at brugerne bliver gjort opmærksomme på risici, at vildledende markedsføring standses, at bestemte forhold afhjælpes eller at salg, levering eller udbud af certificerede produkter, tjenester eller processer stoppes.