Lov om supplerende bestemmelser til forordningen om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (lov om cybersikkerhedscertificering) § 8

Et overensstemmelsesvurderingsorgan skal i henhold til forordningens artikel 60, stk. 1, være akkrediteret af det nationale akkrediteringsorgan i den medlemsstat, som overensstemmelsesvurderingsorganet er etableret i. Det følger af forordningens præambelbetragtning nr. 97 i forordningen om cybersikkerhed, at producenter og udbydere af IKT-produkter, -tjenester eller -processer frit kan vælge mellem overensstemmelsesvurderingsorganer i alle medlemsstater, når de ønsker at opnå certificering.

Muligheden for frit at vælge mellem overensstemmelsesvurderingsorganer gælder både, hvor der certificeres i henhold til en cybersikkerhedscertificeringsordning med tillidsniveauet grundlæggende eller betydeligt, jf. artikel 56, stk. 4, og tillidsniveauet højt, jf. artikel 56, stk. 6. Tilsvarende gælder, hvis det i en cybersikkerhedscertificeringsordning er fastsat, at en attest i medfør af ordningen kun må udstedes af et offentligt organ, jf. artikel 56, stk. 5. I alle tilfælde kan producenter og udbydere af IKT-produkter, -tjenester eller -processer dermed selv bestemme, hvilket organ – om nødvendigt flere organer – der skal udføre evaluering og certificering. Dette gælder uanset, om en given cybersikkerhedscertificeringsordning udbydes i Danmark.

Det foreslås i § 8, at erhvervsministeren kan fastsætte regler om udpegning af en udenlandsk cybersikkerhedscertificeringsmyndighed, et udenlandsk offentligt organ eller et andet overensstemmelsesvurderingsorgan til at varetage bestemte opgaver i henhold til en europæisk cybersikkerhedscertificeringsordning.

Forordningens artikel 54, stk. 1, indeholder en række elementer, der som minimum skal omfattes af enhver europæisk cybersikkerhedscertificeringsordning. Der kan derfor fastsættes specifikke eller yderligere krav, som ikke fremgår af artikel 54, stk. 1. Det kan vise sig nødvendigt i en cybersikkerhedscertificeringsordning at fastsætte krav om, at en cybersikkerhedsattest i henhold til ordningen kun kan udstedes af cybersikkerhedscertificeringsmyndigheden i den medlemsstat, som en producent eller udbyder af et IKT-produkt, en IKT-tjeneste eller en IKT-proces er etableret i, eller at det overlades til den enkelte medlemsstat at bestemme, om kompetencen efter udpegning overlades til en cybersikkerhedscertificeringsmyndighed eller et overensstemmelsesvurderingsorgan i en anden medlemsstat. Bevæggrunde for at fastsætte en sådan ordning kan f.eks. være, hvor der er tale om drift af kritiske infrastrukturer, f.eks. transport, vand, energi, bank eller sundhedspleje m.v.

På den baggrund vil bestemmelsen kunne anvendes til at fastsætte regler om, at en anden cybersikkerhedscertificeringsmyndighed, et offentligt organ eller et overensstemmelsesvurderingsorgan skal udføre de konkrete opgaver, der følger af den konkrete cybersikkerhedscertificeringsordning. Udpegningen sker efter aftale med den anden cybersikkerhedscertificeringsmyndighed, det offentlige organ eller overensstemmelsesvurderingsorganet.

Ligesom det er tilfældet med bestemmelsen i lovforslagets §§ 6 og 7, så forudsættes det ikke med lovforslaget, at bestemmelsen nødvendigvis udnyttes. Bestemmelsens anvendelse forudsætter, at en cybersikkerhedscertificeringsordning indeholder specifikke eller yderligere krav, som beskrevet ovenfor.

Bestemmelsen ændrer ikke på, at det er Sikkerhedsstyrelsen, der udpeges som national cybersikkerhedscertificeringsmyndighed i Danmark, og som derfor er ansvarlig for overvågningsopgaverne i medfør af forordningen om cybersikkerhed. Der henvises til bemærkningerne til lovforslagets §§ 3 og 9.