L 174 - svar på MFU spm. 3 om kompetencer og ressourcer i Sikkerhedsstyrelsen til at løfte opgaven med cybersikkerhedscertificeringsordningen, fra erhvervsministeren
Tilhører sager:
- Hovedtilknytning: Forslag til lov om supplerende bestemmelser til forordningen om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (lov om cybersikkerhedscertificering). (Spørgsmål 3)
- Hovedtilknytning: Forslag til lov om supplerende bestemmelser til forordningen om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (lov om cybersikkerhedscertificering). (Spørgsmål 3)
Aktører:
- Besvaret af: erhvervsministeren
- Adressat: erhvervsministeren
- Stiller/MFU: Christoffer Aagaard Melson
- Besvaret af: erhvervsministeren
- Adressat: erhvervsministeren
- Stiller/MFU: Christoffer Aagaard Melson
ERU L 174 - svar på spm. 3.docx
https://www.ft.dk/samling/20201/lovforslag/l174/spm/3/svar/1761589/2358447.pdf
ERHVERVSMINISTEREN 19. marts 2021 ERHVERVSMINISTERIET Slotsholmsgade 10-12 1216 København K Tlf. 33 92 33 50 Fax. 33 12 37 78 CVR-nr. 10092485 EAN nr. 5798000026001 em@em.dk www.em.dk Folketingets Erhvervsudvalg Besvarelse af spørgsmål 3 ad L 174 stillet af udvalget den 12. marts efter ønske fra Christoffer Aagaard Melson (V). Spørgsmål: Ministeren bedes redegøre for, hvilke kompetencer og ressourcer der er til stede i Sikkerhedsstyrelsen til at løfte opgaven med cybersikkerhedscerti- ficeringsordningen, herunder hvordan opgaven løftes og koordineres med andre relevante myndigheder som Center for Cybersikkerhed og Erhvervs- styrelsen. Svar: Udpegningen af Sikkerhedsstyrelsen som såkaldt cybercertificeringsmyn- dighed er sket ud fra en vurdering af, hvilken myndighed der har de bedste faglige forudsætninger for at opbygge en ordning, der muliggør certifice- ring, og for at udføre den efterfølgende opgave med at føre tilsyn med både udstedere af certifikater og de virksomheder, som lader deres produkter, tjenester eller processer certificere. Selve organiseringen omkring certificering indebærer i Danmark, at Sik- kerhedsstyrelsen skal etablere en ordning med DANAK som akkredite- ringsorgan, der får til opgave at udpege og føre tilsyn med overensstem- melsesvurderingsorganerne (der udsteder certifikater). Sikkerhedsstyrelsen bistår DANAK med tilsynsaktiviteterne. Det er altså overensstemmelses- vurderingsorganerne, der i praksis verificerer, at et produkt lever op til en given certificering; og DANAK der kontrollerer, at overensstemmelsesvur- deringsorganerne har de nødvendige kompetencer til at kunne udstede cer- tifikater. Sikkerhedsstyrelsen har en lignende rolle inden for blandt andet metrologi, autorisationer og udfører derudover markedsovervågning af fx CE- og energimærkning på en række produkter, som forventes at kunne blive om- fattet af cybersikkerhedscertificering på lidt længere sigt. Det er derfor vurderingen, at Sikkerhedsstyrelsen er klædt godt på til at varetage opgaven. Ud over organisering og tilsyn med selve ordningen, Erhvervsudvalget 2020-21 L 174 - endeligt svar på spørgsmål 3 Offentligt 2/3 som skal sikre, at det er muligt at blive certificeret, skal Sikkerhedsstyrel- sen føre tilsyn med certificeringer. Altså at det certificerede produkt lever op til relevante krav. I praksis vil et tilsyn med en certificering sigte mod at få bekræftet, at cer- tificeringen er givet på et tilstrækkeligt og korrekt grundlag. Det sker typisk ved at gennemgå virksomhedens dokumentation for, at produktet, tjenesten eller processen er i overensstemmelse med relevante standarder for cyber- sikkerhed. I særlige tilfælde (f.eks. klagesager) vil et produkt, en tjeneste eller proces kunne udtages til yderligere kontrol og Sikkerhedsstyrelsen vil i disse sam- menhænge kunne involvere uafhængige laboratorier, som har de nødven- dige teknologier og kompetencer til at foretage en tilbundsgående undersø- gelse. Opgaven er direkte sammenlignelig med opgaver, som Sikkerhedsstyrelsen varetager i dag på andre områder, og derfor råder Sikkerhedsstyrelsen over medarbejdere, som har de fornødne faglige kompetencer til at vurdere re- levant dokumentation og overensstemmelse med standarder. Selvom dette er tilfældet, og Sikkerhedsstyrelsen i dag udfører tilsvarende opgaver på andre fagområder, er det er imidlertid klart, at cybersikkerhed er et nyt område for Sikkerhedsstyrelsen. Det indebærer, at skal ske en løbende opbygning af både kompetencer og kapacitet. For at understøtte denne udvikling arbejder Sikkerhedsstyrelsen sammen med blandt andre Center for Cybersikkerhed og Erhvervsstyrel- sen. I praksis samarbejdes der eksempelvis omkring vedtagelse af nye certifice- ringsordninger på EU-niveau, hvor Sikkerhedsstyrelsen, Erhvervsstyrelsen og Center for Cybersikkerhed er i løbende dialog om danske bidrag til EU- drøftelserne om udarbejdelsen af certificeringsordninger. Herved opnås fagligt kendskab til de certificeringsordninger, som Sikkerhedsstyrelsen ef- terfølgende skal føre tilsyn med. Derudover har Center for Cybersikkerhed en rådgivende funktion som fag- lig sparringspartner, der kan bistå Sikkerhedsstyrelsen i tilfælde, hvor der måtte være tale om særligt komplekse eller tekniske problemstillinger in- den for cybersikkerhed. Det bemærkes, at Center for Cybersikkerhed alene har en rolle som spar- ringspartner og rådgiver. Centret deltager altså ikke i tilsynsaktiviteter, konkret sagsbehandling mv. 3/3 Med venlig hilsen Simon Kollerup