L 174 - svar på MFU spm. 2 om administration af cybersikkerhedscertificeringsordningen, herunder i forhold til små virksomheder, fra erhvervsministeren

ERHVERVSMINISTEREN
19. marts 2021
ERHVERVSMINISTERIET
Slotsholmsgade 10-12
1216 København K
Tlf. 33 92 33 50
Fax. 33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
em@em.dk
www.em.dk
Folketingets Erhvervsudvalg
Besvarelse af spørgsmål 2 ad L 174 stillet af udvalget den 12. marts
efter ønske fra Christoffer Aagaard Melson (V).
Spørgsmål:
Ministeren bedes redegøre udførligt for, hvordan administrationen af cy-
bersikkerhedscertificeringsordningen vil foregå, og hvordan det sikres, at
også de små virksomheder får mulighed for at kunne opnå certificering på
en måde, så det sikres at de små virksomheder ikke får sværere ved at kon-
kurrere end de større virksomheder. Herunder bedes ministeren redegøre
for, hvilke – og hvor store - omkostninger, der er forbundet for virksomhe-
derne med at søge og opnå cybersikkerhedscertificering, specificeret på
forskellige virksomhedsstørrelser
Svar:
Med forordningen om cybersikkerhed skabes den europæiske ramme for,
at det bliver muligt for virksomheder at opnå certificering af cybersikker-
hed. Med andre ord er forordningen ikke i sig selv en europæisk cybersik-
kerhedscertificeringsordning. Forordningen definerer, hvordan certifice-
ringsordningerne fastlægges.
Lovforslaget sikrer den danske gennemførelse af forordningen, bl.a. ved at
Sikkerhedsstyrelsen udpeges som national cybersikkerhedscertificerings-
myndighed. Denne udpegning indebærer, at Sikkerhedsstyrelsen tillægges
opgaver af overordnet karakter, f.eks. at føre tilsyn med reglerne i de euro-
pæiske cybersikkerhedscertificeringsordninger, at behandle klager og at
samarbejde med andre myndigheder.
Lovforslaget supplerer forordningen og fastlægger ikke administrationen
af de enkelte certificeringsordninger. Der er endnu ikke godkendt konkrete
certificeringsordninger, da arbejdet, som foregår på EU-niveau, er forsinket
på grund af COVID-19. Det er derfor ikke på nuværende tidspunkt muligt
at redegøre udførligt for administrationen af hver enkelt certificeringsord-
ning. Således vil det afhænge af den enkelte certificeringsordning, hvilke
krav der gælder og dermed der tilkoblede administrationen.
Grundlæggende gælder dog, at virksomheder kan opnå certificering af de-
res produkt, tjeneste eller proces, hvis de lever op til kravene i relevante
Erhvervsudvalget 2020-21
L 174 - endeligt svar på spørgsmål 2
Offentligt
2/3
standarder eller et tilsvarende sikkerhedsniveau. Disse krav fastsættes i de
enkelte certificeringsordninger.
I praksis vil certificering oftest fungere ved, at virksomheden bestiller en
certificering ved et såkaldt overensstemmelsesvurderingsorgan, dvs. en
virksomhed, som er akkrediteret (godkendt) af DANAK til, at de må ud-
stede certifikater inden for cybersikkerhed. Forudsætningen for dette er
dog, at der er vedtaget konkrete certificeringsordninger på europæisk ni-
veau.
På nuværende tidspunkt er flere europæiske cybersikkerhedscertificerings-
ordninger på vej. Længst er arbejdet med den såkaldte EUCC-ordning
(Common Criteria based European candidate cybersecurity certification
scheme). Det er en ordning, som fastsætter nogle generelle krav, som kan
bruges på tværs af relevante IKT-produkter, tjenester eller processer. Un-
dervejs er også arbejdet med ordninger inden for hhv. cloud-tjenester og
5G. Endelig er det forventningen, at arbejdet med IoT (Internet of Things)
og IACS (Industrial Automation Control Systems) påbegyndes snarest. Ar-
bejdet med nye certificeringsordninger vil løbende blive offentliggjort af
Kommissionen.
Forordningens artikel 54 opstiller en lang række elementer, der som mini-
mum skal omfattes af alle certificeringsordningerne. Det gælder f.eks. en
ordnings eventuelle tillidsniveau (”grundlæggende”, ”betydeligt” eller
”højt”), reglerne for overvågning af produkter mv., og om det er muligt at
foretage såkaldt selvvurdering af overensstemmelse.
Små og store virksomheder vil på lige vilkår kunne opnå certificering i
henhold til en certificeringsordning, alt efter hvilke krav, der stilles i ord-
ningen. Nogle certificeringsordninger vil dog forventeligt være mere rele-
vante for store virksomheder, end mindre virksomheder, ligesom der kan
være forskelle i relevansen på tværs af brancher.
Omkostningerne ved certificering vil også variere afhængigt af produktet,
tjenesten eller processen samt evaluerings- og sikringsniveauet. Idet der
endnu ikke findes nogle endeligt vedtagne certificeringsordninger, og fordi
der er mange variabler, der kan have indflydelse, er det ikke muligt at re-
degøre for omkostningerne, heller ikke efter virksomhedsstørrelse.
En certificeringsordning med grundlæggende tillidsniveau vil som ud-
gangspunkt være mindre omkostningstung end ordninger med betydeligt
eller højt tillidsniveau. Det skyldes bl.a., at der som udgangspunkt vil være
færre og mindre komplekse komponenter, som skal evalueres for at opnå
certificering.
3/3
Af samme grund vil det også være muligt at fastsætte i en certificerings-
ordning med grundlæggende tillidsniveau, at en producent eller udbyder
selv kan vurdere overensstemmelsen (selvvurdering). Dermed kan produ-
centen eller udbyderen selv udstede en EU-overensstemmelseserklæring i
stedet for at søge og opnå certificeret hos en tredjepart (overensstemmel-
sesvurderingsorgan). I disse tilfælde kan udgiften til en tredjepart altså und-
gås.
En certificeringsordning med højt tillidsniveau vil i udgangspunktet være
relativt omkostningstung, fordi den krævede evaluering omhandler avan-
cerede risici. Af samme grund vil det i udgangspunktet formentlig være
virksomheder med flere ressourcer der har kapaciteten, til at udbyde mere
komplekse IKT-produkter, tjenester og processer, som vil overveje en cer-
tificering, hvor tillidsniveauet er højt.
Generelt forventes det, at certificering vil være en relativt stor udgift for
virksomhederne. I forslaget til forordningen om cybersikkerhed1
angives
som det eneste eksempel, at et certifikat til et såkaldt smart meter der atte-
sterer, at produktet og dets omkringliggende struktur overholder de højeste
tekniske og sikkerhedsmæssige standarder (BSI »Smart Meter Gateway«
certificate), beløber sig til mere end en million euro. Det antages dog, at
udgiften vil være væsentligt mindre på andre og mindre omfattende certi-
ficeringer.
Det er igen vigtigt at fremhæve, at certificering – medmindre andet fast-
sættes nationalt eller i EU – er frivillig. Det vil derfor være op til den en-
kelte virksomhed at afveje de positive effekter, som en certificering vil
have, over for de omkostninger, som er forbundet hermed.
Med venlig hilsen
Simon Kollerup
1
Proposal for a regulation of the European Parliament and of The Council on ENISA, the »EU
Cybersecurity Agency«, and repealing Regulation (EU) 526/2013, and on Information and Commu-
nication Technology cybersecurity certification (»Cybersecurity Act«), The European Commission,
Brussels 13.9.2017