Lov om supplerende bestemmelser til forordningen om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (lov om cybersikkerhedscertificering) § 5

Forarbejder til Lov om supplerende bestemmelser til forordningen om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (lov om cybersikkerhedscertificering) § 5

Det følger af artikel 60, stk. 3, i forordningen om cybersikkerhed, at hvis europæiske cybersikkerhedscertificeringsordninger fastsætter specifikke eller yderligere krav i henhold til artikel 54, stk. 1, litra f, – bestemmelsen om obligatoriske elementer i en certificeringsordning – må kun overensstemmelsesvurderingsorganer, der opfylder disse krav, bemyndiges af den nationale cybersikkerhedscertificeringsmyndighed til at udføre opgaver i henhold til sådanne ordninger.

Det er samtidig udgangspunktet efter forordningens artikel 60, stk. 1, at overensstemmelsesvurderingsorganer skal akkrediteres af DANAK, hvis et organ opfylder kravene i bilaget til forordningen.

Der henvises til bemærkningerne til § 4 for så vidt angår DANAKs akkreditering af overensstemmelsesvurderingsorganer.

Det foreslås i § 5, stk. 1, at Sikkerhedsstyrelsen kan bemyndige overensstemmelsesvurderingsorganer efter artikel 60, stk. 3, i forordningen om cybersikkerhed til at udføre opgaver i henhold til en europæisk cybersikkerhedscertificeringsordning, jf. artikel 49 i forordningen om cybersikkerhed, hvis der i den pågældende ordning er fastsat specifikke eller yderligere krav end dem, der følger af artikel 54, stk. 1, litra f, i forordningen om cybersikkerhed.

Med bestemmelsen sikres gennemførelsen af artikel 60, stk. 3, i forordningen om cybersikkerhed. Dermed kan Sikkerhedsstyrelsen i sin egenskab af cybersikkerhedscertificeringsmyndighed bemyndige overensstemmelsesvurderingsorganer, hvis dette er påkrævet i henhold til en europæisk cybersikkerhedscertificeringsordning.

Det følger af forordningens artikel 58, stk. 7, litra e, at den nationale cybersikkerhedscertificeringsmyndighed bl.a. skal begrænse, suspendere eller inddrage bemyndigelse i henhold til forordningens artikel 60, stk. 3, hvis et overensstemmelsesvurderingsorgan overtræder kravene i forordningen.

Det foreslås i stk. 2, at hvis Sikkerhedsstyrelsen konstaterer, at et overensstemmelsesvurderingsorgan overtræder de specifikke eller yderlige krav, som er nævnt i stk. 1, kan Sikkerhedsstyrelsen begrænse eller suspendere bemyndigelsen og fastsætte en rimelig tidsfrist for afhjælpning af de konstaterede overtrædelser.

Bestemmelsen vedrører overensstemmelsesorganernes overtrædelse af forordningen om cybersikkerhed, hvad angår certificering i henhold til en bemyndigelse efter forordningens artikel 60, stk. 3, og hvordan Sikkerhedsstyrelsen i givet fald kan reagere. Bortset fra gentagne eller grove overtrædelser, jf. nærmere nedenfor om stk. 3, er det vurderingen, at overensstemmelsesvurderingsorganer bør have mulighed for at rette op på overtrædelser, før en bemyndigelse kan tilbagekaldes.

Det foreslås derfor, at en bemyndigelse kan begrænses, hvilket f.eks. kan indebære, at der ikke kan foretages certificering i henhold til en eller flere nærmere angivne cybersikkerhedscertificeringsordninger. Det foreslås yderligere, at Sikkerhedsstyrelsen kan suspendere bemyndigelsen fuldstændigt, hvilket vil medføre, at organet fratages muligheden for at foretage certificering i henhold til den pågældende bemyndigelse.

I begge tilfælde kan Sikkerhedsstyrelsen fastsætte en tidsfrist til afhjælpning af de konstaterede overtrædelser. En tidsfrist skal fastsættes efter en konkret og individuel vurdering ud fra overtrædelsens karakter, den tidsmæssige mulighed for at afhjælpe overtrædelsen og indholdet af den relevante cybersikkerhedscertificeringsordning.

Det foreslås i stk. 3, at Sikkerhedsstyrelsen kan tilbagekalde bemyndigelsen efter stk. 1. Det foreslås i nr. 1, at dette kan ske, hvis forudsætningerne for bemyndigelsen efter stk. 1 ikke længere er opfyldt. I det foreslåede nr. 2 kan tilbagekaldelse ske, hvis overensstemmelsesvurderingsorganet ikke afhjælper de konstaterede overtrædelser inden for den fastsatte frist i stk. 2. Endelig forslås det i nr. 3, at Sikkerhedsstyrelsen kan tilbagekalde bemyndigelsen, hvis overensstemmelsesvurderingsorganet gentagne gange eller ved grov forsømmelse overtræder de specifikke eller yderligere krav, som er nævnt i stk. 1.

Med bestemmelsen foreslås det således, at Sikkerhedsstyrelsen i tre tilfælde kan tilbagekalde en bemyndigelse i henhold til forordningens artikel 60, stk. 3.

For det første kan en bemyndigelse tilbagekaldes, hvis forudsætningerne ikke længere er opfyldt. Forudsætningerne for en bemyndigelse vil afhænge af de specifikke eller yderligere krav, der er fastsat i en cybersikkerhedscertificeringsordning i forordningens artikel 54, stk. 1, litra f. Forudsætningerne kan dermed variere alt efter indholdet af den enkelte cybersikkerhedscertificeringsordning.

For det andet kan bemyndigelsen tilbagekaldes, hvis overensstemmelsesvurderingsorganet ikke afhjælper konstaterede overtrædelser som beskrevet ovenfor vedrørende stk. 2. Dette gælder således, hvis et organ ikke inden for en fastsat frist har afhjulpet overtrædelsen.

Endelig kan en bemyndigelse tilbagekaldes, hvis der er tale om gentagen eller grov forsømmelse af de specifikke eller yderligere krav til en cybersikkerhedscertificeringsordning end dem, der følger af forordningens artikel 54, stk. 1, litra f. Bestemmelsen skal sikre, at Sikkerhedsstyrelsen kan gribe ind over for gentagne eller grove overtrædelser, idet sådanne overtrædelser kan underminere formålet med en cybersikkerhedscertificeringsordning. Bestemmelsen forventes alene at blive anvendt i særlige tilfælde, og hvor det samtidig er vurderingen, at bestemmelsen i stk. 2 er utilstrækkelig.