Inom offentlig sektor ökar kraven på att välja säkra system och tjänster. Snart finns EU:s nya cybersäkerhetscertifiering som ett verktyg för upphandlingar, tillsyn och intern kontroll
Vi omges av teknik överallt: i mobilen, bilen, elnätet – till och med när vi legitimerar oss. Men hur vet vi att it-säkerhetsprodukterna och systemen når upp till en lämplig säkerhetsnivå?
Som en del av svaret på den frågan rullar EU nu ut ett ramverk för certifiering som ska öka tilliten kring produkter som används i olika system.
När John Billow från Försvarets materielverk (FMV) tog plats på scenen under KommIts digitaliseringsdagar väcktes både intresse och oro i salen. EU:s digitala regelverk är redan en snårskog och nu presenterades ännu ett regelverk.
– Cybersäkerhetscertifieringen är frivillig i dag, men det finns en möjlighet att den kommer att göras obligatorisk för vissa aktörer, även om det kan dröja ett antal år innan dess, inledde John Billow.
En gemensam tråd
Bakom förändringarna står den europeiska cybersäkerhetsakten (Cybersecurity Act, CSA), tillsammans med relaterade regelverk som NIS2, DORA och CRA. På ytan kan det verka som ett lapptäcke av regelverk men enligt John Billow bildar de tillsammans en helhet som relaterar till varandra.
Den röda tråden i det växande regelverket är förstås att produkter och tjänster ska vara tillräckligt tillförlitliga för att vi ska våga använda dem. Då handlar det inte bara om cybersäkerhet – att skydda sig mot hot – utan också om att bygga robusta system som snabbt kan återställas efter incidenter.
– Vi står inför ökade cyberhot och måste hitta olika vägar att bygga tillit. Det handlar inte bara om teknik, utan om hela samhällets trygghet, poängterade John Billow
Tanken bakom ett cybersäkerhetscertifikal är att it-produkter och it-tjänster – som programvara, molntjänster eller digitala ID-lösningar – ska kunna förses med en märkning efter genomgången certifiering.
En annan sådan EU-märkning är den mer välkända europeiska CE-märkningen, som nu är aktuell i och med genomförandet av cyberresiliensakten, som gäller för alla produkter med digitala element. Märkningen ska ge organisationer och konsumenter en vägledning kring att produkten har kontrollerats och håller måttet när det gäller säkerhet.
Tre nivåer av säkerhet
Alla behov kräver inte den mest djupgående kontrollen, och därför är certifieirngsramverket uppdelat i tre nivåer, beroende på hur känslig användningsområdet är. Till exempel kan kritiska funktioner inom samhällsbärande infrastruktur kräva en högre klass.
– Certifieringen kan få en viktig kompletterande roll, både som krav vid upphandlingar och som verktyg för intern kontroll, tillsyn och efterlevnad, menade John Billow.
Processen för cybersäkerhetscertifiering är komplex men strukturerad. Swedac ansvarar för ackreditering av de oberoende organ som ska utföra kontrollerna och FMV står för tillsynen av certifieringsorganen, samt ramverket i stort. Om allt går rätt till får produkten ett certifikat – ett slags sigill som visar vilken säkerhetsnivå den håller
I sin presentation visade John Billow exempel på hur det kan se ut i praktiken: från enkla symboler till QR-koder med detaljerad information.
– Certifieringsramverket kan användas för att visa att man uppfyller olika säkerhetskrav enligt EU:s olika cybersäkerhetsregleringar, sammanfattade han.
Av: Lotta Engelbrektson