Data-, Informations- og Cybersikkerhed

hand-3044387_1280.jpg

Inden for data-, informations- og cybersikkerhed efterspørges 2. og 3. parts bedømmelse i stigende omfang. Derfor udvikles der løbende ordninger og prøvningsmetoder på området. Det sker internationalt og nationalt; styret af myndigheder, organisationer og interessenter. ISO og ETSI har udgivet dokumenter, der beskriver krav til produkter/systemer på området og krav til bedømmelsen af dem.  

DANAK tilbyder akkreditering til certificering, inspektion og prøvning på området.

 

ISMS, informationssikkerhed

Certificering af virksomheders ledelsessystem, baseret på ISO-standarder inden for 27000-serien. Her sættes rammer for virksomhedernes og certificeringsorganernes arbejde. Digitaliseringsstyrelsen har udarbejdet vejledninger til offentlige myndigheder om implementering af ISO/IEC 27001. Vejledningerne er tilgængelige på styrelsens webside. DANAK tilbyder akkreditering til certificering af ledelsessystem efter ISO 17021-1 med tilføjelsen informationssikkerhed ISO/IEC 27006. Læs om akkreditering til ledelsessystemer på DANAKs webside, hvor der også findes et ansøgningsskema.

 

Medicinsk udstyr (software), ledelsessystem

Certificering af virksomheders ledelsessystem, baseret på ISO-standarden 13485. Certificering kan omfatte mange typer medicinsk udstyr, herunder software. DANAK tilbyder akkreditering til certificering baseret på ISO 17021-1. Læs om akkreditering til ledelsessystemer på DANAKs webside, hvor der også findes et ansøgningsskema.

 

GDPR, EU forordning 2016/679

Håndtering af persondata. Interessenter kan udvikle certificeringsordninger inden for forordningens rammer. Ordningerne skal baseres på kravene til produktcertificering ISO/IEC 17065 samt Datatilsynets tillægskrav. Ordningerne skal godkendes af Datatilsynet og bedømmes af DANAK, hvorefter de skal offentliggøres på EUs liste over ordninger på området. Herefter kan der akkrediteres til certificering efter den pågældende ordning. Læs mere i DANAKs AMC 31 og Datatilsynets vejledning på området.

 

eIDAS, EU forordning 910/2014

Krav til elektronisk identifikation og tillidstjenester. Området dækker: elektronisk signatur, tidsstempler og autentifikation af websider. Virksomheder kan certificeres på baggrund af kravene til produktcertificering ISO/IEC 17065 plus EU anerkendte tekniske standarder på de enkelte områder. EU har krav om, at der anvendes akkrediteret certificering for visse ydelser og sikkerhedsniveauer. DANAK tilbyder akkreditering på området. Med en akkreditering kan certificeringsorganet søge Digitaliseringsstyrelsen om at blive notificeret inden for det akkrediterede område (optaget på EU's liste).

 

Cybersikkerhed, EU forordning 2019/881

Fælles EU-regler fastsætter krav til cybersikkerhedscertificering af informations- og kommunikationsteknologi (IKT). IKT kan omfatte produkter, tjenester og processer på området, og der kræves enten prøvning efter ISO/IEC 17025 eller produktcertificering efter ISO/IEC 17065. De fælles regler er fastsat i cybersikkerhedsordninger, hvor hver ordning bygger på tekniske standarder samt kravene i forordningen. Ordningerne skal sikre, at der kan udstedes europæiske cybersikkerhedsattester og EU-overensstemmelseserklæringer, der anerkendes i alle EU-lande. EU Kommissionen offentliggør en liste over anerkendte ordninger. Yderligere information kan findes på ENISAs webside under menupunktet ”Cybersecurity Standards and Certification”. DANAK tilbyder akkreditering til prøvning og produktcertificering på området.

 

Cyber Resilience Act (CRA), EU forordning (kommende)

CRA er tæt på at være klar til udgivelse. I CRA fastsættes krav til hardware og software, specielt for kritisk infrastruktur.

 

Gældende EU direktiver opdateres med krav til cybersikkerhed

Nye krav er på vej via præcisering/udvidelse af krav i gældende EU regler fx i Maskindirektivet og Radioudstyrsdirektivet 2014/53/EU.

Radioudstyrsdirektivet: Der kræves fra 1. august 2025 særskilt notificering til 3 kravelementer i direktivet. Disse 3 krav vedrører cybersikkerhed. Tekniske standarder på området er i høring, og de vil kunne blive harmoniserede standarder. Andre EU-lande har dog allerede skabt baggrund for notificering (enten via akkreditering eller myndighedsgodkendelse – afhængigt af den nationale lovgivning). DANAK kan ligeledes behandle ansøgninger på området.

Maskindirektivet 2006/42/EF ændres til maskinforordning EU 2023/1230. Maskinforordningen skal anvendes fra den 20. januar 2027, hvor maskindirektivet ophæves. Cybersikkerhed skal tages i betragtning i forhold til forordningens dækningsområde, men de enkelte produkttyper kan også være omfattet af cybersikkerhedskrav, der er fastsat i andre regelsæt fx i radioudstyrsdirektivet.

 

Cyber Security for Consumer Internet of Things, IOT

Ordningen bygger på ETSI dokumenter. Her er fastsat krav til produkterne, og til hvorledes opfyldelse af disse krav skal efterprøves. DANAK tilbyder akkreditering til inspektion på området.

 

Andre ordninger, ikke under akkreditering

Der findes en række andre ordninger, som ikke for nærværende er dækket af akkreditering. Det gælder fx det danske D-mærke og Digitaliseringsstyrelsens NSIS-krav. Læs mere om disse på de respektive websider.