Kakor på FMV.se

På fmv.se används kakor (cookies). Kakor används för att webbplatsen ska fungera på bästa sätt. Om du fortsätter, utan att ändra inställningarna i din dator, så godkänner du att kakor från fmv.se används.

Läs mer om hur fmv.se använder cookies

Läs mer om hur FMV behandlar dina personuppgifter, GDPR.

Detta skapar en automatisk översättning med Google Translate. Försvarets materielverk tar inte ansvar för eventuella fel.

Du behöver godkänna funktionella kakor för att använda den här funktionen.

Kontakt
Inspektionen för cybersäkerhetscertifiering (ICC)

För certifieringsorgan och evaluerare

För certifieringsorgan och evaluerare

Certifiering eller utvärdering av produkter, tjänster och processer måste genomföras av ett organ för bedömning av överensstämmelse (Certification Assessment Body, CAB). Organ för bedömning av överensstämmelse är en samlingsbeteckning för organ som utför certifieringsaktiviteter (Certification Body, CB) och organ som utför evalueringsaktiviteter (t.ex. IT Security Evaluation Facility, ITSEF). Det är tillåtet för en CAB att utföra både certifierings- och evalueringsaktiviteter så länge en separering mellan aktiviteterna säkerställs.

Tillsynen över certifikat och dessa organ är organiserad nationellt och utförs av den nationella myndigheten för cybersäkerhetscertifiering, det vill säga FMV i Sverige. Cybersäkerhetsakten (CSA) håller de organ som utför certifieringsaktiviteter ansvariga för alla certifieringsaktiviteter, inklusive evalueringsaktiviteter.

För att verka inom det europeiska ramverket för cybersäkerhetscertifiering måste en CAB vara ackrediterad av ett nationellt ackrediteringsorgan och i vissa fall (beroende på omfattning och vilken certifieringsordning som tillämpas) även bemyndigad av den svenska nationella myndigheten för cybersäkerhetscertifiering (FMV).

Ackreditering

Ackreditering ska utföras av ett nationellt ackrediteringsorgan (National Accreditation Body, NAB). I Sverige är detta Swedac (Styrelsen för ackreditering och teknisk kontroll). Organ som vill utföra certifieringsaktiviteter måste vara ackrediterade enligt ISO/IEC 17065-standarden och kopplat till den europeiska certifieringsordning och assuransnivåer och omfattning som de vill vara verksamma inom. Organ som vill utföra evalueringsaktiviteter måste vara ackrediterade enligt den tillämpliga ISO/IEC-standard som nämns i berörd europeisk certifieringsordning.

Bemyndigande

En certifieringsordning kan innehålla särskilda eller ytterligare krav för CAB, beroende på vilken assuransnivå som organet vill utföra certifierings- och evalueringsaktiviteter på. I de fall det ställs ytterligare systemkrav krävs ett formellt beslut om bemyndigande av FMV, utöver själva ackrediteringen, för att kunna ge ut certifikat.

Bemyndigande när en ordning ställer särskilda eller ytterligare krav

En europeisk ordning för cybersäkerhetscertifiering kan innehålla så kallade särskilda eller ytterligare krav (enligt artikel 54.1.f i cybersäkerhetsakten) som ett organ för bedömning av överensstämmelse behöver uppfylla för att få ge ut certifikat kopplat till en viss assuransnivå. Om sådana särskilda och ytterligare krav ställs behöver organet ansöka om ett bemyndigande hos den nationella myndigheten för cybersäkerhetscertifiering (se artikel 60.3 cybersäkerhetsakten), det vill säga hos FMV för svenska aktörer. En förutsättning för bemyndigande är att organet också är ackrediterat för den ordning och omfattning som det avser ge ut certifikat för.

Läs mer om processen för bemyndigande avseende EUCC-ordningen nedan.

Avgifter vid bemyndigande

Vid ansökan om bemyndigande kommer FMV i enlighet med självkostnadsprincipen att ta ut avgifter som täcker de kostnader som myndigheten har för sitt arbete. Den slutliga kostnaden kommer därför att variera baserat på ett flertal faktorer såsom till exempel omfattning och organisationens storlek.

I samband med ansökan om bemyndigande kommer FMV att debitera en fast ansökningsavgift på 20 000 kronor som täcker myndighetens administrativa kostnader inklusive planering av ärendets handläggning.

När ärendets handläggning är slut kommer FMV att debitera en bemyndigandeavgift som baseras på de faktiska kostnader som myndigheten haft i termer av nedlagd tid samt kostnader för eventuella externa experter och deras resekostnader.

Kostnaden för den tid som FMV lägger ned på ärendet är en timkostnad som bygger på principen om full kostnadstäckning och är en genomsnittlig kostnad baserad på löner, sociala avgifter samt täckningsbidrag för indirekta kostnader. I dagsläget är timkostnaden 1 150 kr.

Vid ett godkänt bemyndigande kommer en årlig bemyndigandeavgift tas ut under bemyndigandets giltighetstid. Storleken på denna bemyndigandeavgift kommer att kommuniceras under våren 2024.

Alla avgifter debiteras utan moms.

Bemyndigande för EUCC

Europeiska Common Criteria-baserade ordningen för cybersäkerhetscertifiering (EUCC) stadgar att ett certifieringsorgan (CB) eller en evaluerare (ITSEF) som vill ge ut certifikat för IKT-produkter på sårbarhetsanalysnivån Hög (AVA_VAN.3 eller högre) behöver få ett bemyndigande av den nationella myndigheten för cybersäkerhetscertifiering (NCCA). I Sverige är det FMV i form av Inspektionen för cybersäkerhetscertifiering (ICC) som utfärdar bemyndiganden.

Ett bemyndigande enligt EUCC ger en CAB rätt att utfärda certifikat för IKT-produkter på nivå Hög som motsvarar den omfattning som finns definierad i beslutet om bemyndigande. Det innebär att ett bemyndigande visar att CAB:en har kompetenser och arbetssätt att bedöma om produkter inom en definierad produktkategori lever upp till säkerhetskrav som stipuleras inom EUCC. Produktkategorierna kan även beskrivas som tekniska domäner i EUCC.

För att ansöka om bemyndigande behöver berörd CAB beskriva och definiera vilken eller vilka kategorier av IKT-produkter eller teknisk domän som de har kompetenser och arbetssätt att utvärdera. Denna omfattning är ett av flera ingångsvärden vid en ansökan om bemyndigande.

En ansökan om bemyndigande förutsätter att CAB:en i fråga redan är, eller är på väg att bli, ackrediterad för samma omfattning. En CAB kan således ansöka om ackreditering och samtidigt ansöka om bemyndigande. Den ackrediterande myndigheten Swedac och ICC kommer att samverka och koordinera sina respektive handläggningar.

En förutsättning för att som CAB få ett bemyndigande är att först bli ackrediterad.

Process för bemyndigande

Processen för bemyndigande sker i fyra steg:

1. Ansökan

CAB ansöker om bemyndigande via gällande ansökningsblankett.

När ICC tagit emot ansökan kommer den sökande få en bekräftelse med ett diarienummer för ärendet. Detta diarienummer ska användas vid all kommunikation om det enskilda ärendet. Notera att en ansökan om bemyndigande omfattas av kommersiell sekretess.

ICC kommer även vid mottagen ansökan att fakturera en ansökningsavgift. Se ovan avsnitt Avgifter vid bemyndigande för mer information.

2. Planering

ICC kommer att genomföra en initial granskning och planering av bedömningsarbetet. Denna planering kommer att innefatta en bedömning av hur lång tid arbetet kommer att ta samt en kostnadsberäkning. Se ovan avsnitt Avgifter för bemyndigande för närmare information om hur bemyndigandeavgiften räknas fram. Kostnadsberäkningen ska betraktas som en indikation och kan komma att förändras.

Sökande kommer att informeras om planeringen för det kommande bedömningsarbetet samt den uppskattade kostnaden. För att det fortsatta arbetet med bemyndigandet ska inledas behöver den sökande godta den uppskattade kostnaden. Om så inte sker kommer ärendet att avslutas och eventuellt upplupna kostnader utöver ansökningsavgiften kommer att faktureras den sökande.

3. Bedömning

Inför bedömningssteget kommer den sökande att behöva ge ICC tillgång till definierade underlag från ackrediteringen. Därefter kommer bedömningsarbetet att genomföras i enlighet med en kommunicerad planering. Bedömningen kommer till största del baseras på underlag från ackrediteringen men kan även innefatta kompletterande bedömningsaktiviteter som åligger den nationella myndigheten för cybersäkerhetscertifiering givet bestämmelser i EUCC eller därtill kopplade dokument (bl.a. EUCC State of the Art-dokument som anges i annexet till genomförandeakten för EUCC). Bedömningen kommer att resultera i en bedömningsrapport som den sökande kommer få ta del av.

4. Beslut

I beslutssteget bereds myndighetsbeslutet och det formella beslutet fattas baserat på den genomförda bedömningen. Beslutet med tillhörande underlag kommer att delges den sökande.

När beslutet om bemyndigande är fattat kommer bemyndigandet att publiceras på Europeiska kommissionens och Enisas hemsidor.