Lov om supplerende bestemmelser til forordningen om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (lov om cybersikkerhedscertificering) § 7

Forarbejder til Lov om supplerende bestemmelser til forordningen om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (lov om cybersikkerhedscertificering) § 7

Det følger af artikel 56, stk. 6, i forordningen om cybersikkerhed, at i tilfælde, hvor en europæisk cybersikkerhedscertificeringsordning indeholder krav om tillidsniveau højt, kan den europæiske cybersikkerhedsattest i henhold til den pågældende ordning kun udstedes af en national cybersikkerhedscertificeringsmyndighed eller af et overensstemmelsesvurderingsorgan. Det gør sig gældende hvis a) den nationale cybersikkerhedscertificeringsmyndighed på forhånd har godkendt hver enkelt europæisk cybersikkerhedsattest, som er udstedt af et overensstemmelsesvurderingsorgan, eller b) på grundlag af den nationale cybersikkerhedscertificeringsmyndigheds generelle delegation af opgaven med at udstede sådanne europæiske cybersikkerhedsattester til et overensstemmelsesvurderingsorgan.

Forordningens artikel 56, stk. 6, medfører, at en cybersikkerhedscertificeringsmyndighed – hvis denne ikke ønsker eller ikke har mulighed for at blive akkrediteret – kan forhåndsgodkende et overensstemmelsesvurderingsorgans udstedelse af visse cybersikkerhedsattester eller delegere kompetence til organet.

Det foreslås i § 7, stk. 1, at Sikkerhedsstyrelsen kan delegere sin kompetence til at udstede europæiske cybersikkerhedsattester efter artikel 56, stk. 6, litra b, i forordningen om cybersikkerhed til et overensstemmelsesvurderingsorgan.

Det foreslås i stk. 2, at erhvervsministeren kan fastsætte nærmere regler om udførelsen af de opgaver, som er delegeret efter stk. 1.

På nuværende tidspunkt er der endnu ikke vedtaget nogen europæiske cybersikkerhedscertificeringsordninger. Der er derfor uklart, om eller hvornår det kan blive nødvendigt for en cybersikkerhedscertificeringsmyndighed at forhåndsgodkende udstedelsen af en cybersikkerhedsattest eller delegere kompetence til et overensstemmelsesvurderingsorgan efter forordningens artikel 56, stk. 6.

Med stk. 1 sikres det, at Sikkerhedsstyrelsen som cybersikkerhedscertificeringsmyndighed har mulighed for at delegere kompetencen til at udstede cybersikkerhedsattester, når der vedtages en europæisk cybersikkerhedscertificeringsordning med højt tillidsniveau. Det foreslås derfor, at erhvervsministeren kan delegere sin kompetence til at udstede europæiske cybersikkerhedsattester efter forordningens artikel 56, stk. 6, litra b, og at erhvervsministeren kan fastsætte nærmere regler herom.

Ligesom det er tilfældet med bestemmelsen i lovforslagets §§ 6 og 8, så forudsættes det ikke med lovforslaget, at bestemmelsen nødvendigvis udnyttes. Det vil således afhænge af en konkret vurdering af den enkelte cybersikkerhedscertificeringsordning, og om de rette omstændigheder er til stede, herunder om der findes et overensstemmelsesvurderingsorgan i Danmark, som er i stand til og ønsker at løfte opgaven.

Bestemmelsen i stk. 2 omhandler de tilfælde, hvor Sikkerhedsstyrelsen udnytter sin adgang, jf. den foreslåede bestemmelse i stk. 1, til at delegere opgaven i henhold til artikel 56, stk. 6, til et eller flere overensstemmelsesvurderingsorganer. Der består i disse tilfælde ikke et over-/underordnelsesforhold mellem erhvervsministeren og det pågældende organ. Der vil herefter være behov for, at erhvervsministeren fastsætter regler om rammerne for, hvorledes organet, som bemyndiges efter stk. 1, skal varetage de delegerede beføjelser, herunder rækkevidden af delegationen.