Offentlig høring over samlet certifikatpolitik version 8.0 for OCES og kvalificerede certifikater samt nedlæggelse af særskilte validerings- og tidsstemplingspolitikker

• Digitaliseringsstyrelsen samler fem tidligere certifikatpolitikker i én samlet politik (Version 8.0) for at sikre overensstemmelse med eIDAS2-forordningen.
• Den nye politik dækker både kvalificerede certifikater og OCES-certifikater (Offentlige Certifikater til Elektroniske Services).
• Særskilte politikker for valideringstjenester og tidsstemplingstjenester nedlægges, da disse områder nu reguleres direkte af EU-lovgivning og ETSI-standarder.
• OCES-certifikater vil fremadrettet blive reguleret som en ikke-kvalificeret tillidstjeneste, men med krav om aktivt tilsyn svarende til kvalificerede certifikater.
• Politikken implementerer en række ETSI-standarder (EN 319 401, 411-1, 411-2) som direkte kravgrundlag.
• Certifikater udstedt under denne politik må have en gyldighedsperiode på maksimalt 4 år.
• Tillidstjenesteudbydere (CA) skal opretholde en ansvarsforsikring med en dækning på minimum 25 mio. DKK pr. år.
• Høringsfristen er fastsat til onsdag den 21. januar 2026 kl. 12.00, med forventet endelig publicering i februar 2026.

Tekniske og Organisatoriske Krav

Dokumentet er struktureret efter RFC 3647-standarden og henviser i vidt omfang til tekniske specifikationer i ETSI EN 319-serien. Nogle af de centrale krav omfatter:

Nedlæggelse af Politikker

Et centralt element i høringen er nedlæggelsen af den specifikke politik for valideringstjenester og tidsstemplingstjenester. Digitaliseringsstyrelsen vurderer, at der ikke længere er behov for opretholdelse af disse danske særpolitikker, da EU-lovgivningen nu refererer direkte til de standarder, som de danske politikker tidligere blot henviste til.

Tidsplan

• Høringsfrist: 21. januar 2026 kl. 12.00.
• Forventet publicering: Februar 2026.
• Ikrafttrædelse: Datoen er markeret som XX.XX.XXXX i udkastet, men gamle certifikater må ikke udstedes senere end seks måneder efter den nye politiks ikrafttræden.

Lovens anvendelsesområde

Loven gælder for:

• Producenter og udbydere af IKT-produkter, -tjenester og -processer, som er omfattet af en europæisk cybersikkerhedscertificeringsordning.
• Overensstemmelsesvurderingsorganer, som er de organer, der udfører selve certificeringen.

Certificering er som udgangspunkt frivillig, medmindre det er gjort obligatorisk i anden lovgivning.

Myndighedsstruktur og roller

Sikkerhedsstyrelsen udpeges som national cybersikkerhedscertificeringsmyndighed. I denne rolle får styrelsen ansvaret for at overvåge og håndhæve reglerne i cybersikkerhedsforordningen og denne lov.

Den Danske Akkrediteringsfond (DANAK) får til opgave at akkreditere de overensstemmelsesvurderingsorganer, der skal certificere IKT-produkter, -tjenester og -processer. For at blive akkrediteret skal et organ opfylde en række krav til bl.a. uafhængighed, kompetence og integritet, som er specificeret i forordningens bilag.

Sikkerhedsstyrelsen kan i visse tilfælde bemyndige akkrediterede overensstemmelsesvurderingsorganer til at udføre opgaver under specifikke certificeringsordninger. Styrelsen kan begrænse, suspendere eller tilbagekalde en sådan bemyndigelse, hvis organet ikke overholder kravene.

Erhvervsministeren får bemyndigelse til at fastsætte nærmere regler om bl.a. etablering af et certificeringsorgan under Sikkerhedsstyrelsen og delegation af opgaver.

Tilsyn og håndhævelse

For at sikre et effektivt tilsyn får Sikkerhedsstyrelsen en række beføjelser:

• Informationskrav (§ 9): Sikkerhedsstyrelsen kan kræve alle oplysninger, der er nødvendige for at varetage tilsynsopgaven, fra overensstemmelsesvurderingsorganer, indehavere af attester og udstedere af overensstemmelseserklæringer.
• Udtagning af produkter (§ 10): Styrelsen kan udtage IKT-produkter, -tjenester eller -processer til teknisk undersøgelse for at verificere overensstemmelse med reglerne.
• Audit (§ 11): Styrelsen kan auditere de relevante aktører for at kontrollere, at de overholder lovgivningen.
• Adgang til lokaler (§ 12): Sikkerhedsstyrelsen har, mod legitimation og uden retskendelse, adgang til alle relevante erhvervslokaler for at føre tilsyn. Styrelsen kan medbringe uafhængige sagkyndige under tilsynsbesøg.

Påbud og sanktioner

Hvis et IKT-produkt, en -tjeneste eller -proces ikke overholder reglerne, kan Sikkerhedsstyrelsen udstede påbud. De mulige påbud er oplistet nedenfor i stigende grad af indgriben:

Sikkerhedsstyrelsen kan tilbagekalde en europæisk cybersikkerhedsattest (§ 14), som styrelsen selv har været involveret i udstedelsen af, hvis indehaveren:

• Ikke udleverer krævede oplysninger.
• Nægter styrelsen adgang til lokaler.
• Ikke efterkommer et påbud.
• Gentagne gange eller groft overtræder reglerne.

Kommunikation og klageadgang

Digital kommunikation (§ 15): Al skriftlig kommunikation til og fra Sikkerhedsstyrelsen vedrørende loven skal som udgangspunkt foregå digitalt. Der kan i særlige tilfælde gives dispensation.

Klageadgang (§ 16-17): Sikkerhedsstyrelsen behandler klager vedrørende:

• EU-overensstemmelseserklæringer (udstedt ved selvvurdering).
• Europæiske cybersikkerhedsattester udstedt af Sikkerhedsstyrelsen selv.
• Europæiske cybersikkerhedsattester udstedt af overensstemmelsesvurderingsorganer, hvor Sikkerhedsstyrelsen har været involveret (f.eks. ved delegation af opgaven).

Sikkerhedsstyrelsens afgørelser i disse sager er endelige og kan ikke indbringes for en anden administrativ myndighed. De kan dog, som andre forvaltningsafgørelser, indbringes for domstolene.

Ikrafttrædelse og territorial gyldighed

Loven foreslås at træde i kraft den 28. juni 2021. Loven gælder ikke for Færøerne og Grønland.