Lov om supplerende bestemmelser til forordningen om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (lov om cybersikkerhedscertificering) § 6

Det følger af artikel 60, stk. 2, i forordningen om cybersikkerhed at i tilfælde, hvor en europæisk cybersikkerhedsattest udstedes af en national cybersikkerhedscertificeringsmyndighed i henhold til artikel 56, stk. 5, litra a, og artikel 56, stk. 6, akkrediteres den nationale cybersikkerhedscertificeringsmyndigheds certificeringsorgan som et overensstemmelsesvurderingsorgan i henhold til artikel 60, stk. 1. Det fremgår af artikel 60, stk. 1, at overensstemmelsesvurderingsorganer akkrediteres af nationale akkrediteringsorganer, hvilket i Danmark vil sige DANAK.

Det foreslås i § 6, at erhvervsministeren kan fastsætte nærmere regler om et certificeringsorgan under Sikkerhedsstyrelsen, som er udpeget efter artikel 60, stk. 2, i forordningen om cybersikkerhed.

På nuværende tidspunkt er der endnu ikke vedtaget nogen europæiske cybersikkerhedscertificeringsordninger. Dermed findes der ikke endnu nogle tilfælde, hvor en cybersikkerhedsattest kun må udstedes af et offentligt organ i form af Sikkerhedsstyrelsen som national cybersikkerhedscertificeringsmyndighed, jf. forordningens artikel 56, stk. 5, litra a, eller af et overensstemmelsesvurderingsorgan, hvor cybersikkerhedscertificeringsmyndigheden har forhåndsgodkendt attesten eller har delegeret kompetencen til udførelsen af opgaven til et organ, jf. forordningens artikel 56, stk. 6.

Bestemmelsen skal sikre, at det i Danmark er muligt at have et certificeringsorgan under den nationale cybersikkerhedscertificeringsmyndighed, hvis de rette omstændigheder er til stede, herunder i form af den rette tekniske kompetence. Det foreslås derfor, at erhvervsministeren bemyndiges til at kunne fastsætte regler om udpegning af et certificeringsorgan under Sikkerhedsstyrelsen. I tilfælde hvor en cybersikkerhedsattest alene kan udstedes af et offentligt organ i form af Sikkerhedsstyrelsen, jf. forordningens artikel 56, stk. 5, litra a, og artikel 56, stk. 6, vil bestemmelsen således kunne anvendes til at fastsætte de påkrævede regler herom.

Det er imidlertid ikke en forudsætning for anvendelsen af bestemmelsen, at der faktisk er vedtaget en europæisk cybersikkerhedscertificeringsordning, som vedrører forordningens artikel 56, stk. 5, litra a, eller artikel 56, stk. 6. Bestemmelsen kan således anvendes i det omfang erhvervsministeren finder det hensigtsmæssigt at etablere et certificeringsorgan under Sikkerhedsstyrelsen, f.eks. med henblik på at sikre varetagelsen af opgaver, som visse europæiske cybersikkerhedscertificeringsordninger potentielt kan medføre i fremtiden.

I forlængelse heraf forudsættes det ikke med lovforslaget, at bemyndigelsen nødvendigvis udnyttes af erhvervsministeren, uanset om der vedtages en europæisk cybersikkerhedscertificeringsordning, som vedrører forordningens artikel 56, stk. 5, litra a, eller artikel 56, stk. 6. Danmark er således efter forordningen ikke forpligtet til at udbyde certificering af enhver europæisk cybersikkerhedscertificeringsordning, som vedtages i henhold til forordningen. Det vil derfor bero på en vurdering af den enkelte cybersikkerhedscertificeringsordning, om forudsætningerne er til stede til at certificeringen kan ske i Danmark. Hvis det ikke er tilfældet, kan producenter og udbydere af IKT-produkter, -tjenester og -processer under alle omstændigheder benytte sig af muligheden for certificering i andre medlemsstater, hvor certificering efter den pågældende cybersikkerhedscertificeringsordning udbydes.

Det fremgår af forordningens artikel 58, stk. 4, at medlemsstaterne skal sikre, at de nationale cybersikkerhedscertificeringsmyndigheders aktiviteter vedrørende udstedelse af europæiske cybersikkerhedsattester omhandlet i artikel 56, stk. 5, litra a, og artikel 56, stk. 6, er strengt adskilt fra deres tilsynsaktiviteter i artikel 58 i øvrigt, og at aktiviteterne udføres uafhængigt af hinanden.

Det fremgår desuden af artikel 60, stk. 2, at i tilfælde, hvor en europæisk cybersikkerhedsattest udstedes af en national cybersikkerhedscertificeringsmyndighed i henhold til artikel 56, stk. 5, litra a, og artikel 56, stk. 6, akkrediteres den nationale cybersikkerhedscertificeringsmyndigheds certificeringsorgan som et overensstemmelsesvurderingsorgan i henhold artikel 60, stk. 1.

I udmøntningen af den foreslåede bestemmelse i § 6 vil der således skulle indgå en række overvejelser, herunder af organisatoriske og økonomiske forhold. Som følge af forordningens artikel 58, stk. 4, og 60, stk. 2, vil der for et certificeringsorgan skulle sikres uafhængighed fra Sikkerhedsstyrelsens øvrige opgaver som tilsynsførende cybersikkerhedscertificeringsmyndighed, og Sikkerhedsstyrelsen skal opfylde kravene i forordningens bilag for at blive akkrediteret af DANAK på lige fod mod andre overensstemmelsesvurderingsorganer.