Frågor och svar

En certifieringsordning enligt EU:s cybersäkerhetsakt är en uppsättning regler, tekniska krav, standarder och processer för ett specifikt IT-område där man genom en tredjepartsgranskning kan visa uppfyllelse av dessa från ett säkerhetsperspektiv. Det finns både funktionella krav som visar de faktiska säkerhetsfunktionerna som till exempel behörighetskontroll och kryptering, samt assuranskrav som visar på åtgärder som tas under framtagandet av produkten samt hur djupt evalueringen gjorts. Certifieringsordningar blir EU-lagstiftning genom att de stadfästs i genomförandeordningar beslutade av kommissionen, vilket också förutsätter ett positivt yttrande från medlemsstaterna i ett s.k. kommittéförfarande (i kommittén för cybersäkerhetscertifiering, ECCC).

Cybersäkerhetsakten (EU 2019/881) specificerar att IKT-produkter, IKT-tjänster och IKT-processer samt utlokaliserade säkerhetstjänster kan certifieras men att det måste finnas specifika certifieringsordningar för att kunna göra det. I dagsläget finns endast en certifieringsordning, den om IKT-produkter, EUCC. Enligt EUCC kan vilken IKT-produkt som helst certifieras, allt från skrivare, databaser, brandväggar och switchar till smarta kort och säkerhetsmoduler (HSM). För fler exempel på produkter certifierade enligt Common Criteria hittills, se gärna Common Criterias hemsida.

När certifieringsordningen för molntjänster, EUCS, blir antagen kommer även molntjänster kunna certifieras. Arbete med en ny certifieringsordning för utlokaliserade säkerhetstjänster pågår och kommer omfatta en mängd olika tjänster, såsom incidenthantering, penetrationstestning och nätövervakning.

Certifiering anses allmänt bidra till ökad säkerhet i IKT-produkter, -tjänster och -processer. Det leder till ökad tillit till funktionalitet och säkerhet. Certifieringsprocessen i sig består av en formell och oberoende utvärdering (evaluering) av produkten, tjänsten eller processen utifrån fastställda kriterier som uttrycks i certifieringsordningen. Certifieringen är det formella fastställande av resultatet av utvärderingen. Certifikatet och tillhörande dokumentation i sig informerar användaren om säkerhetsegenskaperna hos produkten, tjänsten eller processen. Därmed är certifiering ett viktigt underlag vid utformning och driftsgodkännande av it-system. 

Certifiering av IKT-produkter kan utgöra ett bra verktyg för att säkerställa att produktens säkerhetsfunktioner är korrekt implementerade och att produkten allmänt är utvecklad under kontrollerade former.

Det kan också vara så att organisationer ställer krav på certifieringar i upphandlingar så att de kan uppfylla olika regelverk, antingen nationella eller EU-specifika. I flera EU-rättsakter ges även möjlighet att ställa krav på certifiering, t.ex. inom en specifik sektor inom NIS2-direktivets område.

För ett företag som producerar denna typ av produkter eller tillhandahåller sådana tjänster som omfattas av certifieringsordningar finns således marknadsmässiga överväganden för att certifiera sina produkter eller tjänster.

Idag finns endast en antagen certifieringsordning, EUCC, för IKT-produkter. Den trädde i kraft den 27:e februari 2024 och certifiering mot den kan göras från och med den 27:e februari 2025. Det finns även tre beställda certifieringsordningar, en för molntjänster (EUCS), en för 5G-nätverk (EU5G) och en för den digitala identitetsplånboken (eIDAS2/EUDI Wallet). Utöver dessa finns det även två som planeras att påbörjas, en om artificiell intelligens och en om utlokaliserade säkerhetstjänster.

Ett organ för bedömning av överensstämmelse är organisationen som bedömer om en IKT-produkt, -tjänst eller -process följer de krav som ställs i en certifieringsordning. I EU-ramverket för cybersäkerhetscertifiering är organ för bedömning av överensstämmelse de organ som utför certifiering (Certification Body, CB) och organ som utför evalueringar (t.ex. en s.k. IT Security Evaluation Facility, ITSEF som används i certifiering enligt EUCC).

Ja. Certifikat ges ut av organ för bedömning av överenstämmelse där ett certifieringsorgan genomför certifieringsaktiviteter och ger ut själva certifikatet och ett evalueringsföretag genomför evalueringen av IKT-produkten/tjänsten/processen. Dessa kan vara två separata företag som samverkar eller separerade entiteter inom samma företag. För certifieringsorgan så krävs ackreditering mot ISO/IEC 17065 och för evalueringsföretag krävs ackreditering (enligt EUCC) mot ISO/IEC 17025.

Alla ackrediterade organ för bedömning av överensstämmelse i Sverige finns angivna på SWEDACs hemsida och EU:s databas Nando. I databasen Nando går det även att hitta organ i andra EU-länder.

Eftersom det är Swedac som genomför ackrediteringar så hänvisar vi till dem här. För de fall som det även krävs ett bemyndigande av FMV beror handläggningstiden på den sökta omfattningen för verksamheten.

En certifiering från start till slut kan variera beroende på vad som ska certifieras och på vilken nivå den ska certifieras på. Man kan säga att en certifiering kan ta allt från . Detta gör att även priset för en certifiering varierar.

Kontakta ett ackrediterat certifieringsorgan eller evalueringsföretag för frågor om hur en certifiering och evaluering går till. Sådana organ finns att hitta på SWEDACs hemsida och EU:s databas Nando.

Cybersäkerhetsakten (EU 2019/881) introducerar tre assuransnivåer som går att certifiera sin produkt eller tjänst mot. Dessa är grundläggande, betydande och hög. Grundläggande bygger på antingen självbedömning eller tredjepartsgranskning medan betydande och hög båda kräver tredjepartsgranskning. Det är sedan varje certifieringsordning som bestämmer vilka assuransnivåer som används inom den ordningen.

EUCC är en europeisk certifieringsordning som är baserad på den internationella standarden Common Criteria (ISO/IEC 15408). Med EUCC kan -produkter certifieras, exempelvis  databaser, smarta kort, brandväggar och skrivare. Fler exempel går att hitta på Common Criterias hemsida. EUCC använder sig av två assuransnivåer, betydande och hög, vilket betyder att tredjepartsgranskning krävs för att certifiera produkter. EUCC-certifieringsordningen går att hitta här.

Ja. EUCC kräver att evalueringen följer den metod som Common Criteria använder, Common Evaluation Methodology (ISO/IEC 18045).

Ett Common Criteria-certifikat utfärdas för en specifik konfiguration, och ändringar av denna konfiguration kräver en bedömning. Omfattningen av denna bedömning beror på huruvida ändringen berör säkerhetsfunktionalitet eller inte. Detta regleras i EUCC.

I detta sammanhang avser en molntjänst en skalbar, självbetjäningsbar och nätverksåtkomlig tjänst som tillhandahåller IT-resurser via internet.

Kraven som planeras ställas på en molntjänst går att läsa i standarden SIS-CEN/TS 18026. Den går att köpa och läsa på Svenska Institutet för Standarder (SIS) hemsida. Det förutsätter att denna standard blir hänvisad till i den ännu inte antagna genomförandeförordningen för en certifieringsordning för molntjänster.

När en EU-genomförandeförordning trätt ikraft och tillämpas fullt ut för EUCS kommer eventuella nationella certifieringsordningar som finns angående molntjänster att sluta producera effekt. I Sverige finns inga sådana nationella ordningar för molntjänster, medan t.ex. Frankrike och Tyskland har nationella ordningar.

En offentlig version av den föreslagna certifieringsordningen finns att läsa på Enisas hemsida. När utkast till förslag till genomförandeförordning lämnas av kommissionen kommer denna finnas tillgänglig på kommissionens hemsida för samråd och synpunkter.

Tanken är att ett EUCC-certifikat ska ge presumtion för kravuppfyllnad mot cyberresiliensförordningen (CRA). Som del av genomförandearbetet för den nyligen antagna CRA genomförs nu en mappning mellan kraven från EUCC och CRA för att klargöra vilka anpassningar som kan behövas av EUCC.

Enisa är EU:s cybersäkerhetsbyrå vars uppgift är att uppnå en hög gemensam nivå av cybersäkerhet i hela unionen. Enisa arbetar fram utkast till nya certifieringsordningar, tillsammans med medlemsstater och experter, på uppmaning av EU Kommissionen.

De standarder som ingår i de olika certifieringsordningarna finns att hitta på olika ställen. För EUCC kan man hitta Common Criteria-standarderna (ISO/IEC 18045 och ISO/IEC 15408) kostnadsfritt på CCRAs hemsida. Alla standarder går även att hitta på Svenska Institutet för Standarders (SIS) hemsida.

Cybersäkerhetsakten (EU 2019/881) syftar på certifiering av IKT-produkter, -tjänster, -processer och utlokaliserade säkerhetstjänster medan ISO/IEC 27001 syftar på certifiering av organisationers ledningssystem för informationssäkerhet.