Bakgrund och förutsättningar
EU kommissionen och Common Criteria Recognition Agreement (CCRA) har enats om ramarna för samexistens mellan Cybersäkerhetsakten (CSA) och den tillhörande certifieringsordningen EU Common Criteria Scheme (EUCC) med CCRA.
CCRA and EUCC co-existence
Det innebär att utfärdade EUCC-certifikat kan, efter särskilt godkännande, få nyttja CCRA:s logotyp och därmed bli erkända inom ramen för CCRA:s medlemsländer.
Vidare innefattas att certifieringsorgan (CB) och evalueringsföretag (ITSEF) som ackrediterats, samt i förekommande fall bemyndigats, även kan licensieras för att kunna utfärda certifikat inom ramen för CCRA.
Nedan beskrivs hur licensieringen av certifieringsorgan går till. För mer information om hur EUCC-certifikat kan godkännas för att använda CCRA-logotypen.
Syftet med licensieringen
Syftet med licensieringen är att säkerställa att en CB eller ITSEF har nödvändig tekniska kompetens och organisatoriska förutsättningar att utvärdera och utfärda certifikat för produkter inom ramen för CCRA.
Krav för licensiering
För att bli licensierad som certifieringsorgan eller som evalueringsföretag behöver dessa organisationer leva upp till följande krav:
- Ackrediterade mot ISO/17065 eller ISO/17025
För att kunna bli licensierad som certifieringsorgan behöver organisationen bli ackrediterad inom ramen för ISO/17065.
För att kunna bli licensierad som evalueringsföretag behöver organisationen bli ackrediterad inom ramen för ISO/17025.
Ackrediteringen utförs av den svenska ackrediteringsmyndigheten Swedac. - Bemyndigad
Om certifieringsorganet eller evalueringsföretaget avser ge ut certifikat på assuransnivå Hög behöver organisationen även bli bemyndigade av den svenska nationella cybersäkerhetscertifieringsmyndigheten FMV. För mer information om bemyndigande se här. - Lednings- och organisationskrav
Organisationen ska ha en tydligt dokumenterad organisation som beskriver vem som ansvarar för vad avseende ledning och styrning, säkerhet, opartiskhet, kvalitet, lokaler samt eventuella underleverantörer. - Säkerhetskrav
Organisationen ska ha tydligt dokumenterade processer och rutiner inom följande områden:
- Säkerhetshantering och riskanalys
- Fysiska säkerhetsåtgärder
- Informationssäkerhet
- Säkerhetsinstruktioner och utbildning av personal - Kompetens, kvalifikationer och numerär
Organisationen ska kunna visa att de har tillräckligt antal medarbetare för att kunna utföra certifieringsuppdrag med rätt kvalitet. Dessutom ska organisationen kunna visa att personalen har adekvata kvalifikationer samt kompetens för att kunna utföra definierade utvärderingsaktiviteter.
För en mer detaljerad beskrivning av kraven se CCRA-överenskommelsen.
Process för licensiering
Processen för att bli licensierad som certifieringsorgan eller evalueringsföretag består av följande faser:
Fas |
Beskrivning |
Ansökan |
Ansökan sker via definierad ansökningsblankett. Se följande länk. FMV kommer ta emot och bekräfta ansökan. En administrativ granskning genomförs samt att faktureringen av licensieringsavgiften sker. FMV kommer även att utse en ansvarig bedömningsledare. Ansökningsblankett |
Planering |
Ansökan analyseras och bedömningen för licensieringen planeras. Ett uppstartsmöte med sökande kommer att bokas och genomföras. |
Bedömning |
Granskning genomförs och dokumenteras. |
Beslut |
Beslutsunderlag skapas och sökande ges möjlighet att lämna yttrande. Beslut om licensiering fattas och sökande delges. |
Ansökningsförfarandet
Ansökningsblankett används för att ansöka om licensiering som certifieringsorgan eller evalueringsföretag.
Blanketten ska fyllas i och sparas som PDF för att sedan bifogas i ett e-postmeddelande till csec@fmv.se. Vänligen märk meddelandet med ”Ansökan om licensiering” i ämnesraden.
När FMV mottagit ansökan kommer sökande erhålla en mottagningsbekräftelse och ärendet tilldelas ett diarienummer.
Notera att följande underlag ska bifogas ansökan:
- Registreringsbevis
- Beslut om ackreditering
- Beslut om licens som ITSEF
- Samverkansavtal evalueringsföretag (eller motsvarande)
- Beslut om bemyndigande för assuransnivå ”Hög”
- Kvalitetsmanual (eller motsvarande)
- Säkerhetsmanual (eller motsvarande)
- Certifikat - pilotcertifiering
- Certifieringsrapport - pilotcertifiering
- ETR - pilotcertifiering
Se ansökningsblanketten för ytterligare beskrivningar och villkor.
Avgifter
Avgift för licensiering som certifieringsorgan
Avgiften för att ansöka om licensiering som certifieringsorgan är beroende på huruvida den ansökande sedan tidigare varit licensierad som evalueringsföretag eller ej.
Organisation som är licensierade som evalueringsföretag: |
14 000 kr |
Organisation som inte är licensierade som evalueringsföretag: |
38 000 kr |
Avgift för licensiering som evalueringsföretag
Se dokument EP-008 Charges and fees för priser avseende licensiering som evalueringsföretag.
Ovanstående priser är exklusive moms och faktureras med 30 dagars betalningsvillkor.