Lov om supplerende bestemmelser til forordningen om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (lov om cybersikkerhedscertificering) § 2

Forarbejder til Lov om supplerende bestemmelser til forordningen om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (lov om cybersikkerhedscertificering) § 2

Der findes ingen nationale regler om cybersikkerhedscertificering af informations- og kommunikationsteknologi.

Det foreslås i § 2, at loven gælder for producenter og udbydere af informations- og kommunikationsteknologier (IKT-produkter, -tjenester og -processer), som er omfattet af en europæisk cybersikkerhedscertificeringsordning, og for overensstemmelsesvurderingsorganer.

Bestemmelsen medfører, at lovens anvendelsesområde stemmer overens med anvendelsesområdet for forordningen om cybersikkerhed. Det følger således af forordningens artikel 1, stk. 1, litra b, at der med forordningen fastlægges en ramme for etablering af europæiske cybersikkerhedscertificeringsordninger, der har til formål at sikre et tilstrækkeligt cybersikkerhedsniveau for IKT-produkter, -tjenester og -processer i EU.

På nuværende tidspunkt findes der ikke i EU eller i Danmark regler, der gør cybersikkerhedscertificering obligatorisk. Da cybersikkerhedscertificering efter artikel 56, stk. 2, skal være frivillig, medmindre andet er fastsat, er det nødvendigt at fastsætte et anvendelsesområde for loven, som tager højde herfor. Derfor foreslås det, at lovens bestemmelser alene finder anvendelse i det omfang, at der findes en europæisk cybersikkerhedscertificeringsordning, som omfatter den eller det pågældende IKT-produkt, -tjeneste og -proces, og hvor en producent eller udbyder tillige ønsker at udnytte muligheden for at opnå certificering eller foretage selvvurdering af overensstemmelse og herefter udstede en EU-overensstemmelseserklæring.

Bestemmelsen indebærer derfor også, at loven ikke finder anvendelse på IKT-produkter, -tjenester og -processer, der ikke omfattes af en europæisk cybersikkerhedscertificeringsordning, eller hvor producenter eller udbydere ikke ønsker at opnå certificering eller udstede en overensstemmelseserklæring i henhold til en europæisk cybersikkerhedscertificeringsordning.

Derudover foreslås det med bestemmelsen, at loven gælder for overensstemmelsesvurderingsorganer. Bestemmelsen forudsættes at gælde for ethvert overensstemmelsesvurderingsorgan, uanset om organet er privat eller offentligt, jf. forordningens artikel 56, stk. 5, litra b, og uanset om organet foretager overensstemmelsesvurdering på almindelige vilkår eller på baggrund af en generel delegation vedrørende cybersikkerhedscertificeringsordninger med tillidsniveau højt efter forordningens artikel 56, stk. 6, litra b, jf. lovforslagets § 7, stk. 1. Det samme gør sig gældende, hvis der er tale om et certificeringsorgan under Sikkerhedsstyrelsen, som eventuelt er udpeget efter artikel 60, stk. 2, i forordningen om cybersikkerhed, jf. også lovforslagets § 6.

Overensstemmelsesvurderingsorganer spiller en afgørende rolle i certificeringen af IKT-produkter, -tjenester og -processer. Som det fremgår af forordningens præambelbetragtning 77 skyldes det, at det relevante organ ved udstedelsen af en europæisk cybersikkerhedsattest bekræfter, at et IKT-produkt, en IKT-tjeneste eller en IKT-proces er blevet evalueret med henblik på overensstemmelse med specifikke sikkerhedskrav fastsat i en europæisk cybersikkerhedscertificeringsordning. Certificeringen bekræfter dermed, at de nærmere krav til et IKT-produkt, en IKT-tjeneste eller en IKT-proces er opfyldt.

Medlemsstaterne pålægges efter forordningen om cybersikkerhed at tildele en række minimumsbeføjelser til den nationale cybersikkerhedscertificeringsmyndighed, herunder bl.a. beføjelsen til at auditere overensstemmelsesvurderingsorganer efter artikel 58, stk. 8, litra b. Derudover har cybersikkerhedscertificeringsmyndigheden efter artikel 58, stk. 7, litra c, en pligt til at bistå og støtte DANAK med overvågningen af overensstemmelsesvurderingsorganernes aktiviteter.

Det forudsættes med bestemmelsen, at betegnelsen overensstemmelsesvurderingsorgan rummer alle typer af overensstemmelsesvurderingsorganer, uanset om et organ udfører både evaluering og tests m.v. af produkter, tjenester og processer og efterfølgende udstedelse af cybersikkerhedsattester, eller om organet alene evaluerer og tester m.v. eller udelukkende udsteder attester.

Det kan netop i en europæisk cybersikkerhedscertificeringsordning være fastsat, at et flere overensstemmelsesvurderingsorganer skal involveres i certificeringen af et IKT-produkt, en IKT-tjeneste eller en IKT-proces. Der kan dermed være tale om forskellige aktører.

Denne mulighed følger f.eks. af det såkaldte EU Common Criteria Scheme (EUCC), som er en konkret certificeringsramme for evaluering af sikkerheden i informationsteknologi. EUCC er i overensstemmelse med forordningens artikel 48, stk. 2, foreslået af ENISA som en europæisk cybersikkerhedscertificeringsordning. EUCC er på tidspunktet for lovforslagets fremsættelse endnu ikke vedtaget som en certificeringsordning i henhold til forordningen.

På ovenstående baggrund foreslås det, at loven gælder for overensstemmelsesvurderingsorganer for så vidt angår alle organernes aktiviteter i relation til forordningen om cybersikkerhed, herunder europæiske cybersikkerhedscertificeringsordninger.