Frivillig ordning
For at højne cybersikkerheden i EU som led i den digitale udvikling af samfundet, udarbejdes der fælleseuropæiske certificeringsordninger for informations- og kommunikationsteknologi. Certificeringsordningerne er frivillige at benytte. Ved at lade sit produkt, tjeneste eller proces certificere, dokumenterer virksomheden, at en række krav til cybersikkerhed er overholdt. På den måde kan man dokumentere et vist niveau af beskyttelse, når data fx lagres, transmitteres og behandles elektronisk.
ENISA og certificeringsordninger
Der er oprettet et EU-organ, ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), der udarbejder europæiske certificeringsordninger for cybersikkerhed i samarbejde med interessenter og den europæiske cybersikkerhedscertificeringsgruppe (ECCG). I certificeringsgruppen er Danmark repræsenteret ved Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, Erhvervsstyrelsen og Sikkerhedsstyrelsen.
Se reglerne
Certificering eller selvvurdering
Ved certificering kan en virksomhed få en cybersikkerhedsattest (overensstemmelsesattest), der dokumenterer, at kravene i forhold til en relevant cybersikkerheds-certificeringsordning er opfyldt. Attesten udstedes af et uafhængigt certificeringsorgan og er gyldig i alle EU-lande.
Ved produkter, tjenester og processer med lav risiko kan en virksomhed i nogle tilfælde lave en selvvurdering og på den baggrund udstede en EU-overensstemmelseserklæring. Her angiver virksomheden selv, at kravene i en relevant cybersikkerheds-certificeringsordning er opfyldt.
På EU-plan arbejdes der løbende på nye certificeringsordninger. I øjeblikket arbejdes der på at etablere certificeringsordninger for cloud-teknologi og 5G-teknologi.
ENISA vil etablere en oversigt over alle gældende certificeringsordninger og alle certificerede og selverklærede produkter fra EU-landene.
Sikkerhedsstyrelsens rolle
Sikkerhedsstyrelsen er udpeget som national cybersikkerheds-certificeringsmyndighed. Dermed skal Sikkerhedsstyrelsen kontrollere, at forordningen om cybersikkerhed overholdes i Danmark. Det gælder kontrollen med overensstemmelsesvurderingsorganer, men også med danske producenter og udbydere af IKT-produkter, -tjenester og –processer, der vælger enten certificering eller selverklæring.
Kontrol
Sikkerhedsstyrelsen kan kræve oplysninger om certificerede produkter, tjenester og processer og udtage produkter, tjenester og processer til tekniske undersøgelser.
Hvis reglerne på området ikke bliver efterlevet, kan Sikkerhedsstyrelsen kræve, at brugerne bliver gjort opmærksomme på risici, at vildledende markedsføring standses, at bestemte forhold afhjælpes eller at salg, levering eller udbud af certificerede produkter, tjenester eller processer stoppes.