Lov om supplerende bestemmelser til forordningen om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (lov om cybersikkerhedscertificering) § 12

Det følger af artikel 58, stk. 8, litra d, i forordningen om cybersikkerhed, at cybersikkerhedscertificeringsmyndigheden skal kunne få adgang til alle lokaler hos overensstemmelsesvurderingsorganer eller indehavere af en europæisk cybersikkerhedsattest med henblik på at udføre undersøgelser i overensstemmelse med EU-retten eller medlemsstaternes processuelle regler.

Det foreslås i § 12, stk. 1, at Sikkerhedsstyrelsen til enhver tid mod behørig legitimation og uden retskendelse har adgang til alle lokaler hos overensstemmelsesvurderingsorganer eller indehavere af en europæisk cybersikkerhedsattest med henblik på at føre tilsyn efter lovens kapitel 4.

Det er kun muligt for Sikkerhedsstyrelsen at anvende bestemmelsen i § 12 til at tilvejebringe oplysninger til brug for et tilsyn. Det betyder, at bestemmelsen kan anvendes med henblik på at konstatere, om overensstemmelsesvurderingsorganer og indehavere af en europæisk cybersikkerhedsattest agerer i overensstemmelse med reglerne og lever op til deres forpligtelser. Det skal således være formålet med adgangen, at der skal indhentes oplysninger, der er nødvendige for selve tilsynet.

Bestemmelsen afgrænses af det almindelige forbud mod at udsætte andre for selvinkriminering, som det bl.a. kan udledes af Den Europæiske Menneskerettighedskonventions artikel 6 og § 10 i retssikkerhedsloven. Er der konkret mistanke om, at det af oplysningerne vil fremgå, at den pågældende har begået noget strafbart, kan det således ikke kræves, at der under tilsynet udleveres oplysninger.

Adgangshjemlen gælder både i relation til proaktive tilsyn, hvor Sikkerhedsstyrelsen har planlagt tilsynsopgaven på forhånd, og reaktive tilsynsopgaver, som oftest sker efter en udefrakommende begivenhed, som f.eks. en klage over en attest eller en EU-overensstemmelseserklæring. Anvendelsen af bestemmelsen skal ske under hensyntagen til bestemmelserne i lovbekendtgørelse nr. 1121 af 12. november 2019 om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter, herunder reglerne om fravigelse af varsling af tilsyn, jf. § 5, stk. 4-7.

Sikkerhedsstyrelsen kan anvende den foreslåede bestemmelse, hvis det skønnes nødvendigt for at føre et effektivt tilsyn, uden der på forhånd er en konkret formodning om, at en attest eller EU-overensstemmelseserklæring ikke er i overensstemmelse med reglerne. For at Sikkerhedsstyrelsen kan føre et effektivt tilsyn, er det nødvendigt at få adgang til steder, hvor myndigheden ikke på forhånd ved, at der er ikke-overensstemmende IKT-produkter, -tjenester eller -processer. På den måde bliver tilsynet med certificeringen udført på baggrund af en risikobaseret tilgang til indsamlet data og kvalificering af risikobilledet, så tilsynet kan sættes ind der, hvor der er størst risiko for f.eks. kompromittering af cybersikkerheden og tilrettelægges så effektivt som muligt.

Om det er nødvendigt at føre tilsyn på lukkede lokaliteter, f.eks. producenters fabrikations-, salgs- eller lagerlokaler m.v. vil bl.a. afhænge af, om Sikkerhedsstyrelsen ellers vil kunne få et tilstrækkeligt retvisende billede af regelefterlevelsen. Derudover indgår en vurdering af, om det er muligt at skaffe oplysningerne på anden måde, om det er nødvendigt, at myndigheden umiddelbart selv kan udvælge de områder, som tilsynet skal dække, herunder dokumentationen herfor, eller om det er tilstrækkeligt, at producenten eller udbyderen udvælger og eventuelt fremsender dokumentationen.

Det indgår derfor også i vurderingen, om den fremsendte dokumentation må anses for at være dækkende og repræsentativ til at foretage en vurdering af, om reglerne er opfyldt. Er dette ikke tilfældet, kan det være nødvendigt for Sikkerhedsstyrelsen at få adgang til de steder, hvor IKT-produkter, -tjenester eller -processer er tilgængelige for at kunne foretage en fyldestgørende vurdering. Endelig vil det indgå i vurderingen, hvordan tilsynet udføres mest effektivt. Der er her tale om en proportionalitetsafvejning.

Hvis det ud fra en samlet betragtning af bl.a. ovenstående elementer vurderes, at det vil være nødvendigt at føre tilsyn på ikke-offentligt tilgængelige lokaliteter, vil Sikkerhedsstyrelsen således kunne anvende bestemmelsen. Hvis det derimod ikke skønnes at være nødvendigt, herunder proportionalt med det Sikkerhedsstyrelsen vil opnå ved at få adgang til de pågældende lokaler, vil bestemmelsen ikke kunne anvendes. Sikkerhedsstyrelsen vil i sådanne tilfælde alene kunne føre varslede tilsyn, jf. § 5, stk. 1-3, i lovbekendtgørelse om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter, føre tilsyn på de steder, der er offentligt tilgængelige, eller bede om at få tilsendt dokumentation, jf. lovforslagets § 9.

Det foreslås i stk. 2, at Sikkerhedsstyrelsen kan være bistået af en eller flere uafhængige sagkyndige i forbindelse med adgangen efter stk. 1.

I forbindelse med tilsyn, der kræver specialistviden, kan Sikkerhedsstyrelsen have behov for bistand fra en eller flere sagkyndige med henblik på at oplyse sagen i tilstrækkeligt omfang. Det foreslås derfor med bestemmelsen, at en eller flere sagkyndige, der har en særlig viden inden for området, har adgang til samme sted som tilsynsmyndigheden, så længe den eller de sagkyndige ledsages af mindst en medarbejder fra Sikkerhedsstyrelsen.

Det vil bero på en konkret vurdering, om en sagkyndig er uafhængig i relationen til en udbyder eller producent. Eksempelvis kan Sikkerhedsstyrelsen ikke medbringe en sagkyndig til et kontrolbesøg, hvis den sagkyndige er direkte konkurrent til den pågældende udbyder eller producent. Er der tale om et område, hvor der er meget få sagkyndige, vil der således skulle foretages en afvejning af, hvor stort behovet er for at medbringe en sagkyndig over for beskyttelsen af udbyderens eller producentens forretningshemmeligheder, der må anses som tungtvejende.

Center for Cybersikkerhed kan ikke betragtes som en uafhængig sagkyndig, som kan bistå Sikkerhedsstyrelsen i forbindelse med adgangen efter bestemmelsens stk. 1. Center for Cybersikkerhed kan dog i mere generel henseende være rådgiver og sparringsparter for Sikkerhedsstyrelsen.

Der henvises til pkt. 3.2. i lovforslagets almindelige bemærkninger.