L 174 - 2020-21 - Endeligt svar på spørgsmål 3: MFU spm. om kompetencer og ressourcer i Sikkerhedsstyrelsen til at løfte opgaven med cybersikkerhedscertificeringsordningen, til erhvervsministeren

Erhvervsudvalget 2020-21
L 174
Offentligt

Folketingets Erhvervsudvalg

ERHVERVSMINISTEREN

19. marts 2021

Besvarelse af spørgsmål 3 ad L 174 stillet af udvalget den 12. marts

efter ønske fra Christoffer Aagaard Melson (V).

Spørgsmål:

Ministeren bedes redegøre for, hvilke kompetencer og ressourcer der er til

stede i Sikkerhedsstyrelsen til at løfte opgaven med cybersikkerhedscerti-

ficeringsordningen, herunder hvordan opgaven løftes og koordineres med

andre relevante myndigheder som Center for Cybersikkerhed og Erhvervs-

styrelsen.

Svar:

Udpegningen af Sikkerhedsstyrelsen som såkaldt cybercertificeringsmyn-

dighed er sket ud fra en vurdering af, hvilken myndighed der har de bedste

faglige forudsætninger for at opbygge en ordning, der muliggør certifice-

ring, og for at udføre den efterfølgende opgave med at føre tilsyn med både

udstedere af certifikater og de virksomheder, som lader deres produkter,

tjenester eller processer certificere.

Selve organiseringen omkring certificering indebærer i Danmark, at Sik-

kerhedsstyrelsen skal etablere en ordning med DANAK som akkredite-

ringsorgan, der får til opgave at udpege og føre tilsyn med overensstem-

melsesvurderingsorganerne (der udsteder certifikater). Sikkerhedsstyrelsen

bistår DANAK med tilsynsaktiviteterne. Det er altså overensstemmelses-

vurderingsorganerne, der i praksis verificerer, at et produkt lever op til en

given certificering; og DANAK der kontrollerer, at overensstemmelsesvur-

deringsorganerne har de nødvendige kompetencer til at kunne udstede cer-

tifikater.

Sikkerhedsstyrelsen har en lignende rolle inden for blandt andet metrologi,

autorisationer og udfører derudover markedsovervågning af fx CE- og

energimærkning på en række produkter, som forventes at kunne blive om-

fattet af cybersikkerhedscertificering på lidt længere sigt.

Det er derfor vurderingen, at Sikkerhedsstyrelsen er klædt godt på til at

varetage opgaven. Ud over organisering og tilsyn med selve ordningen,

ERHVERVSMINISTERIET

Slotsholmsgade 10-12

1216 København K

Tlf.

33 92 33 50

Fax.

33 12 37 78

CVR-nr. 10092485

EAN nr. 5798000026001

[email protected]

www.em.dk

L 174 - 2020-21 - Endeligt svar på spørgsmål 3: MFU spm. om kompetencer og ressourcer i Sikkerhedsstyrelsen til at løfte opgaven med cybersikkerhedscertificeringsordningen, til erhvervsministeren

2/3

som skal sikre, at det er muligt at blive certificeret, skal Sikkerhedsstyrel-

sen føre tilsyn med certificeringer. Altså at det certificerede produkt lever

op til relevante krav.

I praksis vil et tilsyn med en certificering sigte mod at få bekræftet, at cer-

tificeringen er givet på et tilstrækkeligt og korrekt grundlag. Det sker typisk

ved at gennemgå virksomhedens dokumentation for, at produktet, tjenesten

eller processen er i overensstemmelse med relevante standarder for cyber-

sikkerhed.

I særlige tilfælde (f.eks. klagesager) vil et produkt, en tjeneste eller proces

kunne udtages til yderligere kontrol og Sikkerhedsstyrelsen vil i disse sam-

menhænge kunne involvere uafhængige laboratorier, som har de nødven-

dige teknologier og kompetencer til at foretage en tilbundsgående undersø-

gelse.

Opgaven er direkte sammenlignelig med opgaver, som Sikkerhedsstyrelsen

varetager i dag på andre områder, og derfor råder Sikkerhedsstyrelsen over

medarbejdere, som har de fornødne faglige kompetencer til at vurdere re-

levant dokumentation og overensstemmelse med standarder.

Selvom dette er tilfældet, og Sikkerhedsstyrelsen i dag udfører tilsvarende

opgaver på andre fagområder, er det er imidlertid klart, at cybersikkerhed

er et nyt område for Sikkerhedsstyrelsen.

Det indebærer, at skal ske en løbende opbygning af både kompetencer og

kapacitet. For at understøtte denne udvikling arbejder Sikkerhedsstyrelsen

sammen med blandt andre Center for Cybersikkerhed og Erhvervsstyrel-

sen.

I praksis samarbejdes der eksempelvis omkring vedtagelse af nye certifice-

ringsordninger på EU-niveau, hvor Sikkerhedsstyrelsen, Erhvervsstyrelsen

og Center for Cybersikkerhed er i løbende dialog om danske bidrag til EU-

drøftelserne om udarbejdelsen af certificeringsordninger. Herved opnås

fagligt kendskab til de certificeringsordninger, som Sikkerhedsstyrelsen ef-

terfølgende skal føre tilsyn med.

Derudover har Center for Cybersikkerhed en rådgivende funktion som fag-

lig sparringspartner, der kan bistå Sikkerhedsstyrelsen i tilfælde, hvor der

måtte være tale om særligt komplekse eller tekniske problemstillinger in-

den for cybersikkerhed.

Det bemærkes, at Center for Cybersikkerhed alene har en rolle som spar-

ringspartner og rådgiver. Centret deltager altså ikke i tilsynsaktiviteter,

konkret sagsbehandling mv.

L 174 - 2020-21 - Endeligt svar på spørgsmål 3: MFU spm. om kompetencer og ressourcer i Sikkerhedsstyrelsen til at løfte opgaven med cybersikkerhedscertificeringsordningen, til erhvervsministeren

3/3

Med venlig hilsen

Simon Kollerup