Detta skapar en automatisk översättning med Google Translate. Försvarets materielverk tar inte ansvar för eventuella fel.

Du behöver godkänna funktionella kakor för att använda den här funktionen.

Samexistens mellan CCRA och EUCC

Licensiering

Bakgrund och förutsättningar

EU kommissionen och Common Criteria Recognition Agreement (CCRA) har enats om ramarna för samexistens mellan Cybersäkerhetsakten (CSA) och den tillhörande certifieringsordningen EU Common Criteria Scheme (EUCC) med CCRA.
CCRA and EUCC co-existence

Det innebär att utfärdade EUCC-certifikat kan, efter särskilt godkännande, få nyttja CCRA:s logotyp och därmed bli erkända inom ramen för CCRA:s medlemsländer.

Vidare innefattas att certifieringsorgan (CB) och evalueringsföretag (ITSEF) som ackrediterats, samt i förekommande fall bemyndigats, även kan licensieras för att kunna utfärda certifikat inom ramen för CCRA.

Nedan beskrivs hur licensieringen av certifieringsorgan går till. För mer information om hur EUCC-certifikat kan godkännas för att använda CCRA-logotypen.

Syftet med licensieringen

Syftet med licensieringen är att säkerställa att en CB eller ITSEF har nödvändig tekniska kompetens och organisatoriska förutsättningar att utvärdera och utfärda certifikat för produkter inom ramen för CCRA.

Krav för licensiering

För att bli licensierad som certifieringsorgan eller som evalueringsföretag behöver dessa organisationer leva upp till följande krav:

  • Ackrediterade mot ISO/17065 eller ISO/17025
    För att kunna bli licensierad som certifieringsorgan behöver organisationen bli ackrediterad inom ramen för ISO/17065.
    För att kunna bli licensierad som evalueringsföretag behöver organisationen bli ackrediterad inom ramen för ISO/17025.
    Ackrediteringen utförs av den svenska ackrediteringsmyndigheten Swedac.
  • Bemyndigad
    Om certifieringsorganet eller evalueringsföretaget avser ge ut certifikat på assuransnivå Hög behöver organisationen även bli bemyndigade av den svenska nationella cybersäkerhetscertifieringsmyndigheten FMV. För mer information om bemyndigande se här.
  • Lednings- och organisationskrav
    Organisationen ska ha en tydligt dokumenterad organisation som beskriver vem som ansvarar för vad avseende ledning och styrning, säkerhet, opartiskhet, kvalitet, lokaler samt eventuella underleverantörer.
  • Säkerhetskrav
    Organisationen ska ha tydligt dokumenterade processer och rutiner inom följande områden:
    - Säkerhetshantering och riskanalys
    - Fysiska säkerhetsåtgärder
    - Informationssäkerhet
    - Säkerhetsinstruktioner och utbildning av personal
  • Kompetens, kvalifikationer och numerär
    Organisationen ska kunna visa att de har tillräckligt antal medarbetare för att kunna utföra certifieringsuppdrag med rätt kvalitet. Dessutom ska organisationen kunna visa att personalen har adekvata kvalifikationer samt kompetens för att kunna utföra definierade utvärderingsaktiviteter.

För en mer detaljerad beskrivning av kraven se CCRA-överenskommelsen.

Process för licensiering

Processen för att bli licensierad som certifieringsorgan eller evalueringsföretag består av följande faser:

Fas

Beskrivning

Ansökan

Ansökan sker via definierad ansökningsblankett. Se följande länk. FMV kommer ta emot och bekräfta ansökan. En administrativ granskning genomförs samt att faktureringen av licensieringsavgiften sker. FMV kommer även att utse en ansvarig bedömningsledare. Ansökningsblankett

Planering

Ansökan analyseras och bedömningen för licensieringen planeras. Ett uppstartsmöte med sökande kommer att bokas och genomföras.

Bedömning

Granskning genomförs och dokumenteras.

Beslut

Beslutsunderlag skapas och sökande ges möjlighet att lämna yttrande. Beslut om licensiering fattas och sökande delges.

Ansökningsförfarandet

Ansökningsblankett används för att ansöka om licensiering som certifieringsorgan eller evalueringsföretag.

Blanketten ska fyllas i och sparas som PDF för att sedan bifogas i ett e-postmeddelande till csec@fmv.se. Vänligen märk meddelandet med ”Ansökan om licensiering” i ämnesraden.

När FMV mottagit ansökan kommer sökande erhålla en mottagningsbekräftelse och ärendet tilldelas ett diarienummer.

Notera att följande underlag ska bifogas ansökan:

  • Registreringsbevis
  • Beslut om ackreditering
  • Beslut om licens som ITSEF
  • Samverkansavtal evalueringsföretag (eller motsvarande)
  • Beslut om bemyndigande för assuransnivå ”Hög”
  • Kvalitetsmanual (eller motsvarande)
  • Säkerhetsmanual (eller motsvarande)
  • Certifikat - pilotcertifiering
  • Certifieringsrapport - pilotcertifiering
  • ETR - pilotcertifiering

Se ansökningsblanketten för ytterligare beskrivningar och villkor.

Avgifter

Avgift för licensiering som certifieringsorgan

Avgiften för att ansöka om licensiering som certifieringsorgan är beroende på huruvida den ansökande sedan tidigare varit licensierad som evalueringsföretag eller ej.

Organisation som är licensierade som evalueringsföretag:

14 000 kr

Organisation som inte är licensierade som evalueringsföretag:

38 000 kr

Avgift för licensiering som evalueringsföretag

Se dokument EP-008 Charges and fees för priser avseende licensiering som evalueringsföretag.

Ovanstående priser är exklusive moms och faktureras med 30 dagars betalningsvillkor.