Lov om supplerende bestemmelser til forordningen om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (lov om cybersikkerhedscertificering) § 13

I medfør af § 16, stk. 1, i lov nr. 1518 af 18. december 2018 om erhvervsfremme, som senest ændret ved lov nr. 796 af 9. juni 2020, har erhvervsministeren fastsat regler om udpegning af et nationalt akkrediteringsorgan og dets opgavevaretagelse, som er nødvendige for anvendelsen af Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om bl.a. kravene til akkreditering. I bekendtgørelse nr. 913 af 25. september 2009 om akkreditering af virksomheder er der i kapitel 3 fastsat nærmere regler om tilsyn med akkrediterede virksomheder, herunder suspendering og ophør af akkrediteringen. Som følge heraf er der efter Erhvervsministeriets opfattelse allerede i dansk ret et etableret system og fuldt ud fyldestgørende grundlag for at træffe passende foranstaltninger over for akkrediterede virksomheder – og dermed også overensstemmelsesvurderingsorganer – som ikke overholder reglerne.

Det følger af artikel 58, stk. 8, litra c, i forordningen om cybersikkerhed, at cybersikkerhedscertificeringsmyndigheden i overensstemmelse med national ret skal kunne træffe passende foranstaltninger til at sikre, at overensstemmelsesvurderingsorganer, indehavere af en europæisk cybersikkerhedsattest og udstedere af EU-overensstemmelseserklæringer overholder bestemmelserne i denne forordning eller en europæisk cybersikkerhedscertificeringsordning.

Det følger af artikel 58, stk. 8, litra f, at cybersikkerhedscertificeringsmyndigheden skal kunne pålægge sanktioner i overensstemmelse med national ret, jf. forordningens artikel 65, og at kunne kræve øjeblikkeligt ophør af overtrædelser af de forpligtelser, der er fastsat i denne forordning.

Det foreslås i § 13, at Sikkerhedsstyrelsen kan udstede påbud til en indehaver af en europæisk cybersikkerhedsattest eller en udsteder af en EU-overensstemmelseserklæring, der har bragt et IKT-produkt, en IKT-tjeneste eller en IKT-proces i omsætning, som ikke overholder bestemmelserne i forordningen om cybersikkerhed, regler fastsat i medfør af forordningen, denne lov eller regler fastsat i medfør af denne lov. Ved at bringe i omsætning forstås den første tilgængeliggørelse af produktet, tjenesten eller processen på EU-markedet.

Der kan udstedes påbud om en række foranstaltninger, som fremgår af bestemmelsens nr. 1-4. Det foreslås i nr. 1, at Sikkerhedsstyrelsen kan udstede påbud om at gøre brugerne opmærksomme på risici. Det foreslås i nr. 2, at Sikkerhedsstyrelsen kan udstede påbud om at standse markedsføring, der kan vildlede brugerne. Det foreslås i nr. 3, at Sikkerhedsstyrelsen kan udstede påbud om afhjælpe forhold, som ikke er i overensstemmelse med reglerne. Det foreslås i nr. 4, at Sikkerhedsstyrelsen kan udstede påbud om at standse salg, levering eller udbud af produktet, tjenesten eller processen.

De fire reaktionsmuligheder kan benyttes enkeltvis, men bestemmelsen er formuleret, så de mindst indgribende foranstaltninger nævnes først, mens de mest indgribende nævnes til sidst. I overensstemmelse med det forvaltningsretlige proportionalitetsprincip bør der ikke bruges mere indgribende foranstaltninger end nødvendigt for at opnå formålet. Afhængigt af omfanget og karakteren af regelbruddet kan bestemmelserne anvendes på samme tid for at sikre, at der træffes den mest effektive foranstaltning.

I nogle tilfælde er det tilstrækkeligt at informere brugerne om de risici, der er ved et IKT-produkt, en IKT-tjeneste eller en IKT-proces, der er bragt i omsætning, og som ikke opfylder de krav, der stilles.

Bestemmelsen i nr. 1 vedrører IKT-produkter, -tjenester eller -processer, hvor der er risiko for, at cybersikkerheden kompromitteres, herunder navnlig risiko for at fortroligheden af data, der er lagret, overført eller behandlet, er brudt eller på anden vis ladt ubeskyttet. Bestemmelsen kan dermed anvendes i tilfælde, hvor det ses som en passende reaktion, at en indehaver eller en udsteder forpligtes til at oplyse, at brug af varen er behæftet med risici. Informationen kan f.eks. gives på hjemmesider og apps, der sælger/udbyder/anvender produktet, tjenesten eller processen eller på anden måde, som myndigheden måtte finde nødvendig for at oplyse brugerne om risikoen. Der kan være tale om bl.a. at angive relevante sikkerhedsforanstaltninger, der skal udøves af brugeren. Der kan opstå behov for at anvende andre kanaler for meddelelse af informationen, end det normalt vil være tilfældet, for at sikre at den når ud til modtagergruppen. Målgruppen er efter denne bestemmelse brugerne af produktet, tjenesten eller processen og omfatter ikke information til andre led i en forhandlingskæde.

Efter bestemmelsen i nr. 2 kan Sikkerhedsstyrelsen påbyde at stoppe markedsføring, der kan vildlede brugerne. Bestemmelsen skal sikre, at det er muligt at hindre fortsat markedsføring af et IKT-produkt, -tjeneste eller -proces, der ikke er i overensstemmelse med de gældende regler. Markedsføring forstås i den henseende som reklame, kampagne, emballering, udstilling m.v., og som kan give brugere, herunder erhvervsdrivende, et fejlagtigt indtryk af, at produktet, tjenesten eller processen er i overensstemmelse med reglerne, hvis det fortsat markedsføres med en attest, mærkat, erklæring eller lignende, afhængigt af den pågældende certificeringsordning. For så vidt angår påbud om at stoppe tilgængeliggørelsen af IKT-produkter, -tjenester eller -processer på markedet henvises til nr. 4.

Efter bestemmelsen i nr. 3 kan Sikkerhedsstyrelsen træffe afgørelse om at afhjælpe forhold, som ikke er i overensstemmelse med reglerne. Dette gælder både afhjælpning af forhold vedrørende en europæisk cybersikkerhedsattest eller en EU-overensstemmelseserklæring. Det vil være relevant at kræve afhjælpning i situationer, hvor det efter en proportionalitetsvurdering ikke findes hensigtsmæssigt, eksempelvis at standse salg, levering eller udbud af produktet, tjenesten eller processen, og hvis fejlen kan afhjælpes på en mindre indgribende måde. Afhjælpning kan både ske ved, at det tilbydes brugeren, at manglen på f.eks. et produkt afhjælpes af indehaveren eller udstederen, eller ved at brugeren selv foretager en udskiftning af enkle dele for at opnå den fornødne sikkerhed. Denne løsning er som udgangspunkt egnet til ukomplicerede afhjælpninger. Det er indehaveren eller udstederen, som afholder udgifterne til udbedring af manglerne ved produktet, tjenesten eller processen. Påbud om afhjælpning kan både være relevant over for produkter, tjenester eller processer, som allerede er solgt til brugeren, og over for produkter, tjenester eller processer, som er videresolgt til andre erhvervsdrivende i en omsætningskæde og/eller varer, der befinder sig på et lager.

Efter bestemmelsen i nr. 4 kan indehavere eller udstedere påbydes at stoppe salg, levering eller udbud. Forbud mod salg angår de produkter, tjenester eller processer, som indehaveren eller udstederen fortsat har rådighed over og vedrører altså ikke de produkter, tjenester eller processer, som allerede er omsat og indgår i en omsætningskæde, f.eks. de distributører og detailbutikker, som et produkt måtte være solgt til. Der er altså ikke tale om hverken traditionelt tilbagekald, hvor varen tilbagekaldes fra den endelige bruger eller traditionel tilbagetrækning, hvor en vare fjernes fra markedet og handelskæden, inden det når ud til slutbrugeren.

I situationer hvor producenter og udbydere selv sælger, leverer eller udbyder produktet, tjenesten eller processen, vil salgstoppet i særdeleshed være relevant, da produktet, tjenesten eller processen afsættes direkte til brugeren. Påbuddet kan rette sig mod indehaveren af en europæisk cybersikkerhedsattest eller den, der har udstedt en EU-overensstemmelseserklæring.

Muligheden for at give et påbud efter § 13 retter sig ikke mod overensstemmelsesvurderingsorganer, men alene mod indehavere og udstedere af attester, selvom overensstemmelsesvurderingsorganer er specifikt nævnt i forordningens artikel 58, stk. 8, litra c. De foranstaltninger, der skal anvendes, skal ifølge denne bestemmelse i forordningen være i overensstemmelse med national ret, og der findes allerede i dansk ret en række regelfastsatte sanktionsmuligheder over for disse organer. Hvis forudsætningerne for at et overensstemmelsesvurderingsorgan ikke kan opretholde en akkreditering inden for cybersikkerhedscertificering er til stede, vil det derfor være DANAK, der skal vurdere og håndtere de konstaterede afvigelser. I denne proces vil også de afvigelser, som måtte være konstateret af Sikkerhedsstyrelsen indgå.