För certifieringsorgan och evalueringsföretag
Det europeiska ramverket för cybersäkerhetscertifiering bygger på ramverket för tredjepartgranskning som finns på den inre markanden i EU. Grunden för den regleringen är ackrediterade organ för bedömning av överensstämmelse som utför kalibrering, provning, certifiering och kontroll (se EU-förordning 765/2008). I ramverket för cybersäkerhetscertifiering måste certifiering eller provning/evaluering av produkter, tjänster och processer genomföras av ett organ för bedömning av överensstämmelse (Conformity Assessment Body, CAB). Organ för bedömning av överensstämmelse är en samlingsbeteckning för organ som utför certifiering (Certification Body, CB) och organ som utför evalueringar (t.ex. en s.k. IT Security Evaluation Facility, ITSEF som används i certifiering enligt EUCC).
Tillsynen över certifikat och dessa organ är organiserad nationellt och utförs av den nationella myndigheten för cybersäkerhetscertifiering, det vill säga FMV i Sverige. Cybersäkerhetsakten håller de organ som utför certifieringsaktiviteter ansvariga för alla certifieringsaktiviteter, inklusive evalueringsaktiviteter.
För att verka inom det europeiska ramverket för cybersäkerhetscertifiering måste ett organ för bedömning av överensstämmelse, t.ex. certifieringsorganet, vara ackrediterat av ett nationellt ackrediteringsorgan och i vissa fall (beroende på omfattning och vilken certifieringsordning som tillämpas) även bemyndigad av den svenska nationella myndigheten för cybersäkerhetscertifiering (FMV).
Ackreditering
Ackreditering ska utföras av ett nationellt ackrediteringsorgan (National Accreditation Body, NAB). I Sverige är detta Swedac (Styrelsen för ackreditering och teknisk kontroll). Organ som vill utföra certifieringsaktiviteter måste vara ackrediterade enligt ISO/IEC 17065-standarden och kopplat till den europeiska certifieringsordning och assuransnivåer och omfattning som de vill vara verksamma inom. Organ som vill utföra evalueringsaktiviteter måste vara ackrediterade enligt den tillämpliga standard som nämns i berörd europeisk certifieringsordning.
Ackrediterade organ för bedömning av överensstämmelse inom det europeiska ramverket för cybersäkerhetscertifiering kommer att publiceras på kommissionens och Enisas hemsida för certifiering. Det är FMV som nationell myndighet för cybersäkerhetscertifiering som notifierar kommissionen vilka organ som ackrediterats i Sverige.
Bemyndigande
En certifieringsordning kan innehålla särskilda eller ytterligare krav som ett ett organ för bedömning av överensstämmelse måste uppfylla för att kunna verka inom certifieringesordningen (t.ex. ge ut certifikat på en viss nivå). I de fall det ställs sådana särskilda eller ytterligare krav krävs ett formellt beslut om bemyndigande av FMV, utöver själva ackrediteringen, för att kunna ge ut certifikat.
Tillsyn
FMV kommer under ett bemyndigandes giltighetstid utöva tillsyn över CAB. Syftet med tillsynen är att säkerställa att CAB även fortsättningsvis har den tekniska kompetensen, organisatoriska strukturen och tillgången till resurser för att utfärda certifikat på nivå "hög" och därmed följa reglerna i cybersäkerhetsakten och aktuella certifieringsordningar. Tillsynen ska även bidra till att upprätthålla hög kvalitet och förtroende för certifieringssystemet.
En övergripande tillsynsplan kommer att i samband med beslut om bemyndigande presenteras för CAB. Denna tillsynsplan kommer innehålla aviserade tillsynstillfällen med ca 18 månaders intervall.
Avgiften för tillsynen kommer att baseras på de faktiska kostnader som myndigheten haft i termer av nedlagd tid samt kostnader för eventuella externa experter och deras resekostnader. En uppskattad kostnad för varje tillsynstillfälle kommer att kommuniceras till CAB i samband med beslut om bemyndigande.
Se även avsnittet avgifter.