EU-försäkran om överensstämmelse

Bedömning: Den som utfärdar en EU-försäkran om överensstäm-

melse enligt artikel 53.3 i EU:s cybersäkerhetsakt bör vara skyldig att anmäla en sådan försäkran till myndigheten för cybersäkerhets- certifiering.

Regeringen eller den myndighet som regeringen bestämmer bör ha möjlighet att meddela föreskrifter om hur anmälnings- skyldigheten, skyldigheten att ge tillgång till dokumentationen enligt artikel 53.3 och skyldigheten att lämna kompletterande cybersäkerhetsinformation enligt artikel 55.1 ska fullgöras. Av artikel 53.1 i EU:s cybersäkerhetsakt framgår att en europeisk ordning för cybersäkerhetscertifiering kan ge utrymme för en till- verkare eller leverantör av IKT-produkter, IKT-tjänster eller IKT- processer till självbedömning av överensstämmelse med de krav som anges i eller följer av en sådan ordning. En självbedömning av överens- stämmelse får dock endast avse IKT-produkter, -tjänster och -pro- cesser med låg risk som motsvarar assuransnivån ”grundläggande”. I artikel 53.2 anges att tillverkaren eller leverantören av IKT-pro- dukter, -tjänster eller -processer får utfärda en EU-försäkran om över- ensstämmelse med angivande av att det har visats att kraven i ord- ningen är uppfyllda. Genom att upprätta en sådan försäkran tar tillverkaren eller leverantören ansvar för att produkten, tjänsten eller processen överensstämmer med de krav som anges i den ordningen. Vidare anges i artikel 53.3 att tillverkaren eller leverantören av IKT-produkter, -tjänster eller -processer under den period som fast- ställts i den europeiska ordningen för cybersäkerhetscertifiering ska ge den nationella myndigheten för cybersäkerhetscertifiering som

SOU 2020:58 Reglering av cybersäkerhetscertifiering

avses i artikel 58 tillgång till EU-försäkran om överensstämmelse, teknisk dokumentation och all annan relevant information avseende IKT-produkternas eller -tjänsternas överensstämmelse med ordningen. En kopia av EU-försäkran om överensstämmelse ska också lämnas in till den nationella myndigheten för cybersäkerhetscertifiering och till Enisa.

Av artikel 55.1 följer att tillverkaren eller leverantören av IKT- produkter, -tjänster eller -processer som för vilka en EU-försäkran om överensstämmelse utfärdats även ska lämna kompletterande cyber- säkerhetsinformation enligt vad som anges i den bestämmelsen. Av andra punkten i bestämmelsen följer att informationen ska tillgäng- liggöras i elektroniskt format och finnas tillgänglig och vid behov uppdateras åtminstone fram till dess att EU-försäkran om överens- stämmelse löper ut.

Utredningen kan notera att den som utfärdar en EU-försäkran om överensstämmelse är skyldig att lämna en kopia av denna till Enisa. Utredningen anser att det på motsvarande sätt finns behov av att även den nationella myndigheten för cybersäkerhetscertifiering (se kapitel 8), som ansvarar för tillsyn enligt artikel 58, får kännedom om att en EU försäkran enligt en europeisk certifieringsordning har utfärdats. EU:s cybersäkerhetsakt innehåller inga bestämmelser om skyldighet för en tillverkare eller leverantör som utfärdar en EU-för- säkran att anmäla detta till den nationella myndigheten för cyber- säkerhetscertifiering. Om myndigheten inte får kännedom om att en sådan försäkran utfärdats finns risk för att myndigheten inte kan fullgöra tillsynsuppgiften enligt artikel 58.7 b. Av den bestämmelsen följer att den nationella myndigheten för cybersäkerhetscertifiering ska kontrollera att tillverkare eller leverantörer av IKT-produkter, -tjänster eller -processer fullgör sina skyldigheter i samband med att de genomför självbedömning av överensstämmelse i syfte att utfärda en EU-försäkran om överensstämmelse. I bestämmelsen framhålls att det gäller särskilt fullgörandet och verkställandet av en tillverkares och leverantörers skyldigheter enligt artiklarna 53.2 och 53.3 och i motsvarande europeisk ordning för cybersäkerhetscertifiering.

Utredningen bedömer att vikten av att den nationella myndig- heten för cybersäkerhetscertifiering ges rimliga förutsättningar att kunna fullgöra sin tillsynsuppgift väger tyngre än den börda som anmälningsskyldigheten innebär för de tillverkare och leverantörer som utfärdar en EU-försäkran om överensstämmelse. Det finns där-

Reglering av cybersäkerhetscertifiering SOU 2020:58

för skäl att ålägga tillverkare och leverantörer som utfärdar en EU- försäkran att anmäla detta till den angivna myndigheten. Det finns även ett behov av att närmare reglera formerna för hur detta ska gå till. Regeringen eller de myndigheter som regeringen bestämmer bör där- för kunna meddela föreskrifter om hur denna anmälningsskyldighet ska fullgöras. Det ska samtidigt betonas att en självklar utgångspunkt i detta sammanhang är att myndigheten inte begär in fler uppgifter än vad som krävs för att den ska få kännedom om att en EU-för- säkran har utfärdats. Myndighetens möjligheter att infordra ytterli- gare uppgifter regleras i artikel 53.3. Som ovan framgår följer av denna bestämmelse att den som utfärdar en EU-försäkran om överensstäm- melse ska ge den nationella myndigheten för cybersäkerhetscertifier- ing som avses i artikel 58 tillgång till teknisk dokumentation och all annan relevant information avseende produkternas eller tjänsternas överensstämmelse med ordningen under den period som fastställs i den motsvarande europeiska ordningen för cybersäkerhetscertifiering. Eftersom det inte är frågan om en obligatorisk skyldighet att lämna dokumentationen till myndigheterna utan denna inträder först på begäran begränsas också den administrativa bördan på tillverkare och leverantörer. Utgångspunkten bör även i detta sammanhang vara att myndigheterna endast bör efterfråga relevant och nödvändig doku- mentation som behövs i det enskilda fallet. Det finns även i detta fall behov av att myndigheten ska kunna meddela föreskrifter som när- mare anger formerna och omfattningen för hur denna skyldighet ska fullgöras. Regeringen och den myndighet som regeringen bestäm- mer bör meddela föreskrifter om formerna för hur skyldigheten att lämna dokumentation ska fullgöras.

Myndigheterna bör även kunna meddela föreskrifter om hur skyl- digheten att lämna kompletterande cybersäkerhetsinformation enligt artikel 55.1 ska fullgöras.

Utredningen kan i detta sammanhang samtidigt konstatera att avsaknaden av en fastställd europeisk ordning för cybersäkerhets- certifiering som ger utrymme för och, i sådant fall, närmare anger omfattningen för när en självbedömning av överensstämmelse som medför att en EU-försäkran kan utfärdas samt närmare reglerar vad som ska gälla vid ett sådant förfarande medför osäkerhet om behovet av ytterligare kompletterande nationell reglering på området. Det kan därför inte uteslutas att den nationella myndigheten för cybersäker- hetscertifiering kan komma att ha behov av att meddela ytterligare

SOU 2020:58 Reglering av cybersäkerhetscertifiering

kompletterande föreskrifter för vad som ska gälla för självbedöm- ning av överensstämmelse och utfärdande av en EU-försäkran.

En självbedömning av överensstämmelse grundas på – utöver vad som anges i en europeisk ordning för cybersäkerhetscertifiering – även på olika standarder och tekniska krav, m.m. som förutsätter expertkunskap på området. Den nationella myndigheten för cyber- säkerhetscertifiering bör därför samråda och samverka med andra berörda myndigheter och andra aktörer, bl.a. i näringslivet, vid fram- tagande av föreskrifter som meddelas av myndigheten.

Utredningen kan också notera att avsaknaden av fastställda euro- peiska ordningar som ger utrymme för självbedömning av överens- stämmelse av IKT-produkter, -tjänster och -processer medför att myn- digheternas resursbehov för att fullgöra sina uppgifter med anledning av en sådan verksamhet i dagsläget är mycket svår att bedöma, bl.a. då det i dag inte går att beräkna eller ens uppskatta i vilken utsträckning som tillverkare och leverantörer kommer att använda sig av möjlig- heten till självbedömning av överensstämmelse när den möjligheten väl ges. Motsvarande osäkerhet gäller även vad avser ansökan om fri- villig respektive obligatorisk cybersäkerhetscertifiering (se nedan). Frågan om myndigheternas eventuella resursbehov med anled- ning av införandet av det europeiska ramverket för cybersäkerhets- certifiering behandlas närmare i kapitel 8 respektive 14.

Frågan om vilka bestämmelser för handläggning av ärenden som rör självbedömning av överensstämmelse, dvs. utfärdande av EU-för- säkran, behandlas i kapitel 11.