Lov om supplerende bestemmelser til forordningen om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (lov om cybersikkerhedscertificering) § 16

Ifølge artikel 58, stk. 7, litra f, skal de nationale cybersikkerhedscertificeringsmyndigheder behandle klager fra fysiske eller juridiske personer i forbindelse med europæiske cybersikkerhedsattester udstedt af de nationale cybersikkerhedscertificeringsmyndigheder eller med europæiske cybersikkerhedsattester udstedt af overensstemmelsesvurderingsorganer i overensstemmelse med artikel 56, stk. 6, eller i forbindelse med EU-overensstemmelseserklæringer udstedt i henhold til artikel 53.

Det følger af forordningens artikel 63, stk. 1, at fysiske og juridiske personer har ret til at klage til udstederen af en europæisk cybersikkerhedsattest. Hvis klagen vedrører en cybersikkerhedsattest udstedt af et overensstemmelsesvurderingsorgan i overensstemmelse med artikel 56, stk. 6, skal klagen indgives til den relevante cybersikkerhedscertificeringsmyndighed.

Udgangspunktet er således, at en klage skal indgives til udstederen af attesten, hvilket i de fleste tilfælde vil være overensstemmelsesvurderingsorganerne, jf. forordningens artikel 63, stk. 1.

Det foreslås i § 16, at Sikkerhedsstyrelsen behandler klager vedrørende bestemte typer af klager over bestemte attester, afhængigt af hvem der har udstedt attesterne.

Det foreslås på den baggrund i nr. 1, at Sikkerhedsstyrelsen skal behandle klager over EU-overensstemmelseserklæringer udstedt af producenter og udbydere af IKT-produkter, -tjenester og -processer i henhold til artikel 53 i forordningen om cybersikkerhed.

Det foreslås i nr. 2, at Sikkerhedsstyrelsen skal behandle klager over europæiske cybersikkerhedsattester udstedt af den nationale cybersikkerhedscertificeringsmyndighed. Cybersikkerhedscertificeringsmyndigheden kan således udstede attester efter artikel 56, stk. 5, litra a, hvis det fastsættes i en specifik cybersikkerhedscertificeringsordning, at kompetencen hertil ligger hos et offentligt organ. Dette er også tilfældet, hvis der er tale om en cybersikkerhedscertificeringsordning, som indeholder krav om tillidsniveau højt, jf. artikel 56, stk. 6.

Det foreslås i nr. 3, at Sikkerhedsstyrelsen skal behandle klager over europæiske cybersikkerhedsattester udstedt af overensstemmelsesvurderingsorganer i overensstemmelse med artikel 56, stk. 6, i forordningen om cybersikkerhed. Det følger heraf, at hvis det fastsættes i en specifik europæisk cybersikkerhedscertificeringsordning, som indeholder krav om tillidsniveau højt, skal cybersikkerhedsattesten udstedes af en national cybersikkerhedscertificeringsmyndighed eller af et overensstemmelsesvurderingsorgan, hvis attesten enten forhåndsgodkendes i hvert enkelt tilfælde, eller opgaven delegeres til organet.

Fælles for nr. 2 og 3 er, at Sikkerhedsstyrelsen skal behandle klager over en attest, som styrelsen mere eller mindre er direkte involveret i udstedelsen af; enten som direkte afsender eller på baggrund af en generel delegation, jf. § lovforslagets 7.

Som nævnt i bemærkningerne til § 6 er det muligt, at forudsætningerne for at tilbyde certificering i henhold til en specifik certificeringsordning ikke er til stede i Danmark. Det vil medføre, at producenter og udbydere af IKT-produkter, -tjenester eller -processer kan gå til anden medlemsstat, hvor en sådan certificering udbydes. Har en udbyder eller producent ansøgt om certificering af et IKT-produkt, en IKT-tjeneste eller en IKT-proces i en anden medlemsstat, vil det være cybersikkerhedscertificeringsmyndighedens certificeringsorgan, som udsteder attester i den pågældende medlemsstat, jf. artikel 56, stk. 5, litra a, der også er kompetent til at behandle klager. Det samme gælder, hvis der tale om et overensstemmelsesvurderingsorgan i en anden medlemsstat, uanset om organet udsteder attester med tillidsniveauet grundlæggende eller betydeligt, jf. artikel 56, stk. 4, eller udsteder attester med tillidsniveauet højt, jf. artikel 56, stk. 6, enten som følge af en cybersikkerhedscertificeringsmyndigheds forhåndsgodkendelse af attesten eller ved en generel delegation af opgaven.

Der er alene i forordningen om cybersikkerhed vedtaget en bestemmelse om, at den nationale cybersikkerhedscertificeringsmyndigheds udstedelse af europæiske cybersikkerhedsattester omhandlet i artikel 56, stk. 5, litra a, og artikel 56, stk. 6, skal være strengt adskilt fra myndighedens tilsynsaktiviteter, og aktiviteterne skal udføres uafhængigt af hinanden, jf. artikel 58, stk. 4.

I forordningen er der derimod ikke et krav om, at den nationale cybersikkerhedscertificeringsmyndigheds certificeringsorgans udstedelse af attester holdes adskilt fra myndighedens behandling af klager. Der er heller ikke i forordningen et krav om, at den nationale cybersikkerhedscertificeringsmyndigheds tilsyn skal holdes adskilt fra myndighedens klagebehandling.

I overensstemmelse med forordningens artikel 58, stk. 7, litra f, og artikel 63, stk. 1, indebærer bestemmelsen derfor, at Sikkerhedsstyrelsen kan behandle klager, hvor styrelsen i sin egenskab af cybersikkerhedscertificeringsmyndighed har udstedt en cybersikkerhedsattest.

Sikkerhedsstyrelsen vil ved behandlingen af klager i medfør af lovforslagets § 16 fungere som egentlig klageinstans og vil ikke med hjemmel i denne bestemmelse have kompetence til af egen drift at iværksætte undersøgelser af f.eks. producenter og udbydere, der har udfærdiget en overensstemmelseserklæring, eller af overensstemmelsesvurderingsorganer, der har udstedt en cybersikkerhedsattest. Det skyldes, at en sådan rolle varetages af Sikkerhedsstyrelsen som led i styrelsens rolle som tilsynsmyndighed. Den viden, som Sikkerhedsstyrelsen indsamler på baggrund af de modtagne klager, kan fremover få betydning for Sikkerhedsstyrelsens udvælgelse af tilsynstemaer over for de producenter og udbydere, der foretager selvvurdering.

Klagen vil danne rammen for den undersøgelse af sagen, som Sikkerhedsstyrelsen foretager i overensstemmelse med officialprincippet, og for Sikkerhedsstyrelsens afgørelse. Sikkerhedsstyrelsen skal som følge af officialprincippet sikre, at sagen er tilstrækkeligt oplyst, herunder at det fornødne cybersikkerhedsfaglige grundlag foreligger, inden der træffes afgørelse i sagen. Det forudsættes, at Sikkerhedsstyrelsen alene kan tage stilling til, om gældende regler er opfyldt – med udgangspunkt i klagens tema.

Det er ikke muligt på forhånd at angive, i hvilke tilfælde Sikkerhedsstyrelsen vil komme frem til, at gældende regler er overtrådt. Vurderingen heraf kan – ud over en ren juridisk bedømmelse – forudsætte et vist it-fagligt skøn. Dette skøn, herunder specifikke vurderinger af cybersikkerheden, vil fordre, at Sikkerhedsstyrelsen sikrer sig, at den fornødne faglige viden er til stede ved styrelsens behandling af klagesagerne. Sikkerhedsstyrelsen vil i den forbindelse i fornødent omfang inddrage sagkyndig bistand.

Lovforslaget indebærer, at en klage over en overensstemmelsesvurderingserklæring, jf. forordningens artikel 53, en europæisk cybersikkerhedsattest udstedt af Sikkerhedsstyrelsen efter artikel 56, stk. 5, litra a, eller en europæiske cybersikkerhedsattest udstedt af overensstemmelsesvurderingsorganer i overensstemmelse med forordningens artikel 56, stk. 6, efter en bemyndigelse, kan behandles samtidigt med, at Sikkerhedsstyrelsen fører tilsyn med samme udsteder eller de producenter og udbydere, som foretager selvvurdering af deres produkt, tjeneste eller proces’ overensstemmelse med den relevante europæiske ordning.