Lov om supplerende bestemmelser til EU's cybersikkerhedsforordning (lov om cybersikkerhedscertificering)
Kort Titel
2020/1 SF.L L 174
Dato
25. februar 2021
Vedtaget
28. april 2021
Ikraft
5. maj 2021
Lovudkast
Åbn LinkMinisterie
Erhvervsministeriet
- Lovforslaget supplerer EU's cybersikkerhedsforordning (EU 2019/881) og etablerer en national ramme for cybersikkerhedscertificering i Danmark.
- Sikkerhedsstyrelsen udpeges som den nationale cybersikkerhedscertificeringsmyndighed med ansvar for tilsyn og håndhævelse.
- Den Danske Akkrediteringsfond (DANAK) får til opgave at akkreditere de organer, der skal udføre certificeringer, kendt som overensstemmelsesvurderingsorganer.
- Sikkerhedsstyrelsen tildeles en række tilsynsbeføjelser, herunder ret til at kræve oplysninger, foretage audits, få adgang til lokaler uden retskendelse og udstede påbud.
- Der indføres regler om, at skriftlig kommunikation til og fra Sikkerhedsstyrelsen som udgangspunkt skal foregå digitalt.
- Loven fastlægger en klageadgang, hvor Sikkerhedsstyrelsen behandler klager over visse attester og erklæringer, og dens afgørelser kan ikke påklages administrativt.
- Loven træder i kraft den 28. juni 2021 og gælder ikke for Færøerne og Grønland.
Dette lovforslag har til formål at supplere Europa-Parlamentets og Rådets forordning (EU) 2019/881 (cybersikkerhedsforordningen) og etablere de nationale rammer for en europæisk cybersikkerhedscertificeringsordning i Danmark. Formålet er at styrke cybersikkerheden og tilliden til digitale produkter, tjenester og processer (IKT) på det indre marked. Loven giver danske virksomheder mulighed for at få certificeret deres IKT-løsninger og giver forbrugere og andre virksomheder et bedre grundlag for at vælge sikre digitale løsninger.
Lovens anvendelsesområde
Loven gælder for:
- Producenter og udbydere af IKT-produkter, -tjenester og -processer, som er omfattet af en europæisk cybersikkerhedscertificeringsordning.
- Overensstemmelsesvurderingsorganer, som er de organer, der udfører selve certificeringen.
Certificering er som udgangspunkt frivillig, medmindre det er gjort obligatorisk i anden lovgivning.
Myndighedsstruktur og roller
Sikkerhedsstyrelsen udpeges som national cybersikkerhedscertificeringsmyndighed. I denne rolle får styrelsen ansvaret for at overvåge og håndhæve reglerne i cybersikkerhedsforordningen og denne lov.
Den Danske Akkrediteringsfond (DANAK) får til opgave at akkreditere de overensstemmelsesvurderingsorganer, der skal certificere IKT-produkter, -tjenester og -processer. For at blive akkrediteret skal et organ opfylde en række krav til bl.a. uafhængighed, kompetence og integritet, som er specificeret i forordningens bilag.
Sikkerhedsstyrelsen kan i visse tilfælde bemyndige akkrediterede overensstemmelsesvurderingsorganer til at udføre opgaver under specifikke certificeringsordninger. Styrelsen kan begrænse, suspendere eller tilbagekalde en sådan bemyndigelse, hvis organet ikke overholder kravene.
Erhvervsministeren får bemyndigelse til at fastsætte nærmere regler om bl.a. etablering af et certificeringsorgan under Sikkerhedsstyrelsen og delegation af opgaver.
Tilsyn og håndhævelse
For at sikre et effektivt tilsyn får Sikkerhedsstyrelsen en række beføjelser:
- Informationskrav (§ 9): Sikkerhedsstyrelsen kan kræve alle oplysninger, der er nødvendige for at varetage tilsynsopgaven, fra overensstemmelsesvurderingsorganer, indehavere af attester og udstedere af overensstemmelseserklæringer.
- Udtagning af produkter (§ 10): Styrelsen kan udtage IKT-produkter, -tjenester eller -processer til teknisk undersøgelse for at verificere overensstemmelse med reglerne.
- Audit (§ 11): Styrelsen kan auditere de relevante aktører for at kontrollere, at de overholder lovgivningen.
- Adgang til lokaler (§ 12): Sikkerhedsstyrelsen har, mod legitimation og uden retskendelse, adgang til alle relevante erhvervslokaler for at føre tilsyn. Styrelsen kan medbringe uafhængige sagkyndige under tilsynsbesøg.
Påbud og sanktioner
Hvis et IKT-produkt, en -tjeneste eller -proces ikke overholder reglerne, kan Sikkerhedsstyrelsen udstede påbud. De mulige påbud er oplistet nedenfor i stigende grad af indgriben:
| Påbudstype | Beskrivelse |
|---|---|
| Opmærksomhed på risici | Påbyde indehaveren/udstederen at gøre brugerne opmærksomme på risici ved produktet, tjenesten eller processen. |
| Standsning af vildledende markedsføring | Påbyde standsning af markedsføring, der kan give et fejlagtigt indtryk af sikkerhedsniveauet. |
| Afhjælpning af mangler | Påbyde, at forhold, der ikke er i overensstemmelse med reglerne, bliver rettet. |
| Standsning af salg og udbud | Påbyde, at salg, levering eller udbud af produktet, tjenesten eller processen standses. |
Sikkerhedsstyrelsen kan tilbagekalde en europæisk cybersikkerhedsattest (§ 14), som styrelsen selv har været involveret i udstedelsen af, hvis indehaveren:
- Ikke udleverer krævede oplysninger.
- Nægter styrelsen adgang til lokaler.
- Ikke efterkommer et påbud.
- Gentagne gange eller groft overtræder reglerne.
Kommunikation og klageadgang
Digital kommunikation (§ 15): Al skriftlig kommunikation til og fra Sikkerhedsstyrelsen vedrørende loven skal som udgangspunkt foregå digitalt. Der kan i særlige tilfælde gives dispensation.
Klageadgang (§ 16-17): Sikkerhedsstyrelsen behandler klager vedrørende:
- EU-overensstemmelseserklæringer (udstedt ved selvvurdering).
- Europæiske cybersikkerhedsattester udstedt af Sikkerhedsstyrelsen selv.
- Europæiske cybersikkerhedsattester udstedt af overensstemmelsesvurderingsorganer, hvor Sikkerhedsstyrelsen har været involveret (f.eks. ved delegation af opgaven).
Sikkerhedsstyrelsens afgørelser i disse sager er endelige og kan ikke indbringes for en anden administrativ myndighed. De kan dog, som andre forvaltningsafgørelser, indbringes for domstolene.
Ikrafttrædelse og territorial gyldighed
Loven foreslås at træde i kraft den 28. juni 2021. Loven gælder ikke for Færøerne og Grønland.
Lignende afgørelser
