Certifieringsorganet och krav på oberoende

Förslag: Vid Försvarets materielverk (FMV) ska finnas ett ackre-

diterat organ för bedömning av överensstämmelse enligt EU:s cybersäkerhetsakt.

När chefen för det ackrediterade organet för bedömning av överensstämmelse utövar verksamhet enligt EU:s cybersäkerhets- akt är denne inte underställd myndighetschefen.

Bedömning: Certifieringsorganets ekonomiska resurser bör be-

stämmas i särskild ordning av regeringen.

Med utredningens förslag att FMV ska vara nationell myndighet för cybersäkerhetscertifiering uppkommer även frågan om CSEC, som i dag är en organisatorisk enhet inom myndigheten FMV, har en sådan organisatorisk ställning och arbetsformer att dessa möter de krav som följer av cybersäkerhetsaktens reglering av ackrediterade organ för bedömning av överensstämmelse för bedömning.

I artikel 56.4 anges att de organ för bedömning av överensstäm- melse som avses i artikel 60 får utfärda europeiska cybersäkerhets- certifikat som avser assuransnivå ”grundläggande” eller ”betydande” på grundval av de kriterier som anges en europeisk ordning för cyber- säkerhetscertifiering, som antagits av kommissionen i enlighet med artikel 49.

Ett europeiskt cybersäkerhetscertifikat får utfärdas av en natio- nell myndighet för cybersäkerhetscertifiering enligt artikel 56.5 a och 56.6 om certifieringsorganet har ackrediterats som ett organ för bedömning av överensstämmelse enligt punkt 1 i artikel 60.

Av artikel 56.5 a följer att ett sådant organ i vissa fall, dvs. när det anges i en europeisk ordning för cybersäkerhetscertifiering, ska vara en nationell myndighet för cybersäkerhetscertifiering under förut- sättning att certifieringsorganet vid myndigheten uppfyller ställda krav på ett ackrediterat organ för bedömning av överensstämmelse.

I artikel 60.1 anges att organen för bedömning av överensstäm- melse ska ackrediteras av det nationella ackrediteringsorgan som

Nationell myndighet för cybersäkerhetscertifiering SOU 2020:58

utsetts i enlighet med förordning (EG) nr 765/2008. Sådan ackredi- tering ska dock endast utfärdas under förutsättning att organet för bedömning av överensstämmelse uppfyller kraven i bilagan till cyber- säkerhetsakten. I punkten 1 i bilagan föreskrivs att organ för bedöm- ning av överensstämmelse ska vara ett tredjepartsorgan som är obe- roende av den organisation eller de IKT-produkter, IKT-tjänster eller IKT-processer som det bedömer. Om ett organ för bedömning av överensstämmelse ägs eller drivs av en offentlig myndighet eller institution ska det säkerställas och dokumenteras att organet har en oberoende ställning och att inga intressekonflikter föreligger mellan den nationella myndigheten för cybersäkerhetscertifiering och organet för bedömning av överensstämmelse.

Vidare föreskrivs att ett organ för bedömning av överensstäm- melse, dess högsta ledning och den personal som ansvarar för att ut- föra bedömningen av överensstämmelse, inte får utgöras av någon som konstruerar, tillverkar, levererar, installerar, köper, äger, an- vänder eller underhåller den IKT-produkt, IKT-tjänst eller IKT- process som bedöms, eller de som företräder någon av dessa parter (punkten 4).10

Ett organ för bedömning av överensstämmelse, dess högsta led- ning och den personal som ansvarar för genomförandet av bedöm- ningen av överensstämmelse får inte heller delta direkt i konstruk- tionen, tillverkningen, marknadsföringen, installationen, användningen eller underhållet av IKT-produkter, IKT-tjänster eller IKT-proces- ser som bedöms, eller företräda de parter som bedriver sådan verk- samhet (punkten 5).

Ett organ för bedömning av överensstämmelse, dess högsta led- ning och den personal som ansvarar för genomförandet av bedöm- ningen av överensstämmelse får inte heller delta i någon verksamhet som kan påverka deras objektivitet eller integritet i samband med den bedömningen av överensstämmelse, särskilt vad gäller konsult- tjänster (punkten 5).

En medlemsstat ska även säkerställa att den verksamhet som be- drivs av den nationella myndigheten för cybersäkerhetscertifiering i samband med utfärdande av europeiska cybersäkerhetscertifikat som avses i artikel 56.5 a och 56.6 är strikt avskild från uppgifter och

10 _{Förbudet ska inte hindra att bedömda IKT-produkter som är nödvändiga för verksamheten}

SOU 2020:58 Nationell myndighet för cybersäkerhetscertifiering

ansvarsområden i förhållande till tillsynsverksamheten och att dessa verksamheter utförs oberoende av varandra. Vidare ska den natio- nella myndigheten som utövar tillsyn vara oberoende av de enheter som den utövar tillsyn över vad gäller dess organisation, beslut om finansiering, rättsliga struktur och beslutsfattande.

Utredningen kan notera att organisationsenheten CSEC i egen- skap av nationellt certifieringsorgan av it-säkerhet redan i dag är orga- niserat på ett sätt som möter kraven på oberoende ställning inom myndigheten FMV för att möta de krav som anges i internationella överenskommelser och övriga bestämmelser i syfte att vara ett ackrediterad organ för bedömning av överensstämmelse.

Frågan är då om CSEC:s nuvarande organisation och ställning inom FMV kan anses uppfylla de krav som anges i bilagan till EU:s cybersäkerhetsakt. Enligt punkten 19 i bilagan ska ett organ för be- dömning av överensstämmelse uppfylla de krav som anges i relevant standard som harmoniserats enligt förordning (EG) nr 765/2008 för ackreditering av organ för bedömning av överensstämmelse som ut- för certifiering av IKT-produkter, IKT-tjänster eller IKT-processer. Utredningen kan konstatera att CSEC är i dag ackrediterad som organ för bedömning av överensstämmelse som utför certifiering av IKT-produkter, IKT-tjänster eller IKT-processer och får därför anses uppfylla kraven i denna punkt.

Vidare anges i punkten 6 i bilagan att när ett organ för bedömning av överensstämmelse ägs eller drivs av en offentlig myndighet eller institution ska det säkerställas och dokumenteras att organet har en oberoende ställning och att inga intressekonflikter föreligger mellan den nationella myndigheten för cybersäkerhetscertifiering och orga- net för bedömning av överensstämmelse.

FMV har föreslagit att det kan finnas skäl att stärka CSEC:s obe- roende inom myndigheten för att möta kraven på oberoende och att bl.a. organiseringen av den militära flygsäkerhetsinspektionen i För- svarsmakten kan tjäna som förebild i detta avseende.

Utredningen delar myndighetens bedömning och anser att CSEC:s oberoende inom FMV ska säkerställas genom att det i författning anges att det organ för certifiering som ska finnas i myndigheten, dvs. i nuläget CSEC, i sin certifieringsverksamhet är en oberoende funk- tion inom myndigheten FMV. Fråga uppkommer om även chefen för certifieringsorganet bör utses av regeringen och om budget och ekonomiska resurser bör bestämmas i särskild ordning.

Nationell myndighet för cybersäkerhetscertifiering SOU 2020:58

Utredningen bedömer att vad som anges i punkten 6 (se ovan) i förening med att certifieringsorganets oberoende regleras i den kompletterande nationella författningsregleringen utgör tillräckliga åtgärder för att säkerställa certifieringsorganets oberoende i den natio- nella myndigheten för cybersäkerhetscertifiering (FMV). Det saknas därför för närvarande skäl att föreslå ytterligare åtgärder, t.ex. att chefen för certifieringsorganet ska utses av någon annan än chefen för myndigheten. Utredningen anser dock att certifieringsorganets ekonomiska resurser bör beslutas i särskild ordning av regeringen. Det innebär sammantaget att certifieringsorganet, dvs. CSEC, be- döms möta angivna krav i bilagan till EU:s cybersäkerhetsakt som oberoende organ för bedömning av överensstämmelse.

I utredningsdirektiven anges att vid Försvarets materielverk finns ett nationellt certifieringsorgan för it-säkerhet i produkter och system och att myndigheten, certifieringsorganet, ska i sin verksam- het beakta nationella säkerhetsintressen. Ett sådant krav bör införas även i den reglering som föreslås av utredningen.

Utredningen noterar att den bestämmelse som redan finns anger att myndigheten, certifieringsorganet, i sin verksamhet ska beakta nationella säkerhetsintressen. Bestämmelsen är enligt sin lydelse be- gränsad till viss certifieringsverksamhet och det kan råda osäkerhet om bestämmelsens tillämpningsområde. Det bör därför enligt utred- ningens bedömning införas en motsvarande bestämmelse för myn- digheten FMV och dess certifieringsorgan och som ska tillämpas i myndighetens verksamhet som följer av EU:s cybersäkerhetsakt. Det finns därför skäl att införa en sådan bestämmelse i den komplette- rande författningsreglering som nu föreslås.