Lov om supplerende bestemmelser til forordningen om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (lov om cybersikkerhedscertificering) § 14

Det følger af artikel 58, stk. 8, litra e, i forordningen om cybersikkerhed, at cybersikkerhedscertificeringsmyndigheden i overensstemmelse med national ret skal kunne tilbagekalde europæiske cybersikkerhedsattester, der er udstedt af de nationale cybersikkerhedscertificeringsmyndigheder eller europæiske cybersikkerhedsattester udstedt af overensstemmelsesvurderingsorganer i overensstemmelse med forordningens artikel 56, stk. 6, hvis sådanne attester ikke overholder bestemmelserne i forordningen eller i en europæisk cybersikkerhedscertificeringsordning.

Det foreslås i § 14, at Sikkerhedsstyrelsen kan tilbagekalde en europæisk cybersikkerhedsattest, der er udstedt af Sikkerhedsstyrelsen eller et overensstemmelsesvurderingsorgan i henhold til artikel 56, stk. 5, litra a, eller artikel 56, stk. 6, i forordningen om cybersikkerhed, hvis en indehaver af en attest ikke samarbejder med Sikkerhedsstyrelsen om tilsyn, eller hvis indehaveren af en attest gentagne gange eller ved grov forsømmelse overtræder denne lov, regler fastsat i medfør af denne lov, forordningen om cybersikkerhed eller regler udstedt i medfør af forordningen. De nærmere reaktionsmuligheder fremgår af bestemmelsens nr. 1-4 og behandles nedenfor.

Det foreslås i nr. 1, at en europæisk cybersikkerhedsattest, der er udstedt af Sikkerhedsstyrelsen eller et overensstemmelsesvurderingsorgan i henhold til artikel 56, stk. 5, litra a, eller artikel 56, stk. 6, i forordningen om cybersikkerhed, kan tilbagekaldes, hvis en indehaver ikke imødekommer Sikkerhedsstyrelsens anmodning om oplysninger, jf. § 9. Dermed sanktioneres indehaveren af en attest, hvis vedkommende undlader at indsende eller udlevere de oplysninger, som er nødvendige for, at Sikkerhedsstyrelsen kan gennemføre tilsyn. Det er væsentligt for Sikkerhedsstyrelsens mulighed for at kunne tage stilling til, om de pågældende IKT-produkter, -tjenester og -processer er overensstemmende med reglerne, at den ønskede dokumentation stilles til rådighed uden unødig forsinkelse. Modtager Sikkerhedsstyrelsen ikke de krævede oplysninger, kan det hindre myndigheden i at udøve effektivt tilsyn. Det er derfor nødvendigt, at tilsidesættelse af denne pligt kan sanktioners med et tilbagekald af attesten af hensyn til den præventive effekt.

Det foreslås i nr. 2, at en europæisk cybersikkerhedsattest, der er udstedt af Sikkerhedsstyrelsen eller et overensstemmelsesvurderingsorgan i henhold til artikel 56, stk. 5, litra a, eller artikel 56, stk. 6, i forordningen om cybersikkerhed, kan tilbagekaldes, hvis en indehaver nægter at give Sikkerhedsstyrelsen adgang, jf. § 12. Dermed sanktioneres det, hvis en attestindehaver undlader at give Sikkerhedsstyrelsen adgang til alle erhvervsmæssige lokaliteter, hvor der er oplysninger om de på gældende IKT-produkter, -tjenester og -processer, som er omfattet af anvendelsesområde for forordningen om cybersikkerhed.

Det foreslås i nr. 3, at en europæisk cybersikkerhedsattest, der er udstedt af Sikkerhedsstyrelsen eller et overensstemmelsesvurderingsorgan i henhold til artikel 56, stk. 5, litra a, eller artikel 56, stk. 6, i forordningen om cybersikkerhed, kan tilbagekaldes, hvis et påbud fra Sikkerhedsstyrelsen ikke efterkommes, jf. § 13. En indehaver af en europæisk cybersikkerhedsattest kan derfor mødes med en sanktion, hvis Sikkerhedsstyrelsens påbud ikke efterleves. Et tilbagekald af en attest i denne situation skal være med til at sikre regelefterlevelsen blandt attestindehaverne og være med til at understøtte effektiviteten i tilsynet med de pågældende IKT-produkter, -tjenester og -processer.

Det foreslås i nr. 4, at gentagne eller grove forsømmelser ligeledes kan afstedkomme et tilbagekald af en europæisk cybersikkerhedsattest, der er udstedt af Sikkerhedsstyrelsen eller et overensstemmelsesvurderingsorgan i henhold til artikel 56, stk. 5, litra a, eller artikel 56, stk. 6, i forordningen om cybersikkerhed. Når grovheden skal fastsættes kan det inddrages, om overtrædelsen har fremkaldt fare for sikkerhed, sundhed eller miljø, eller om overtrædelsen er begået som led i en systematisk overtrædelse af reglerne. Ligeledes kan det tillægges vægt, om der er tilsigtet en berigelse i forbindelse med overtrædelsen. Det vil bero på Sikkerhedsstyrelsens konkrete vurdering af hver enkelt sag. Gentagne overtrædelser omhandler de tilfælde, hvor en attestindehaver inden for de seneste år har begået en anden overtrædelse. Gentagne overtrædelser skal forstås som tilfælde, hvor attestindehaveren inden for de seneste to år har fået udstedt to påbud – altså tre i alt. Overtrædelserne behøver ikke være identiske. Hvis Sikkerhedsstyrelsen eksempelvis tidligere har udstedt to påbud til attestindehaveren, jf. lovforslagets § 13, vil dette være at betragte som en gentagelse. Der er altså tale om, at Sikkerhedsstyrelsen flere gange har behandlet sager, hvor den pågældende indehaver af en attest har vist sig ikke at optræde i overensstemmelse med reglerne.

Tilbagekald af et cybersikkerhedscertifikat ugyldiggør certifikatet før det planlagte udløb af gyldighedsperioden. Det betyder, at producenten eller udbyderen må ansøge på ny, hvis virksomheden på et senere tidspunkt igen opfylder kriterierne for at få et certifikat.

Tilbagekald vil ikke have betydning for gyldigheden af certifikatet inden tilbagekaldet. Ved tilbagekald skal producenter og udbydere af et certificeret IKT-produkt, en IKT-tjeneste eller en IKT-proces øjeblikkeligt afbryde al brug af certifikatet. Certifikatet kan ikke gøres gyldigt igen, når det først er tilbagekaldt, medmindre tilbagekaldelsen viser sig at være ugyldig.

I overensstemmelse med de principper, der er nævnt i lovforslagets § 13 om Sikkerhedsstyrelsens mulighed for at udstede påbud, fordres det, at en attestindehaver i forbindelse med et tilbagekald af en attest af egen drift iværksætter et eller flere tiltag. Det vil sige, at (slut)brugerne af et IKT-produkt, en IKT-tjeneste eller en IKT-proces i relevant omfang informeres om, at attesten er tilbagekaldt. Informationen kan gives som en generel information på hjemmesider og apps, der sælger, udbyder eller anvender produktet, tjenesten eller processen. Er produktet, tjenesten eller processen videregivet til distributør inden for EU, som enten sælger produktet, tjenesten eller processen videre til forhandlere eller direkte til brugerne, skal disse distributører på samme vis informeres. Dette skal ske som en specifik information rettet direkte til den enkelte aftager og som sætter den pågældende distributør i stand til enten at videregive information til forhandlere eller til slutbrugerne.

På samme vis skal indehaveren af en tilbagekaldt attest standse al markedsføring, der kan vildlede brugerne. Det vil sige, at salg, levering, distribution eller udbud af produktet, tjenesten eller processen som certificeret skal afbrydes fra den dato, hvor tilbagekaldet er dateret. Herudover skal indehaveren af en tilbagekaldt attest i det omfang, det er muligt, tilbyde brugeren, at den mangel, der har afstedkommet tilbagekaldet, afhjælpes.

Endelig bemærkes det, at muligheden for at tilbagekalde en cybersikkerhedsattest ligger hos det organ, der har udstedt attesten. For så vidt angår de cybersikkerhedsattester, hvor Sikkerhedsstyrelsen som national cybersikkerhedscertificeringsmyndighed hverken direkte, jf. lovforslagets § 6, eller indirekte, jf. lovforslagets § 7, har været involveret i udstedelsen, er det således overensstemmelsesvurderingsorganet, der kan tilbagekalde attesten.

Overensstemmelsesvurderingsorganer, som udfører opgaver i henhold til forordningen om cybersikkerhed, er forpligtede til at overholde betingelserne i de harmoniserede standarder under forordning (EF) nr. 765/2008, herunder ISO 17065. Denne forpligtelse medfører, at overensstemmelsesvurderingsorganer bl.a. skal træffe de fornødne foranstaltninger i tilfælde af uoverensstemmelse ved cybersikkerhedsattester, hvilket f.eks. kan være suspension eller tilbagekald af en attest.