STAFS 2013:18 Föreskrifter om ändring i Styrelsens för ackreditering och teknisk kontroll (SWEDAC) föreskrifter och allmänna råd (STAFS 2007:21) om organ som certifierar IT-säkerhet

Styrelsen för ackreditering och teknisk kontroll (Swedac) föreskriver med stöd av 3 § förordningen (2011:811) om ackreditering och teknisk kontroll att 1–3 §§ styrelsens föreskrifter och allmänna råd (STAFS 2007:21) om organ som certifierar IT-säkerhet ska ha följande lydelse och beslutar att de allmänna råden till 3 § ska följande lydelse.

1 § Dessa föreskrifter tillämpas på certifieringsorgan som är eller ansöker om att bli ackrediterade av SWEDAC för certifiering av IT-säkerhet hos IT-produkter, IT-system samt skyddsprofiler, Protection Profile (PP).

Föreskrifterna är ett komplement till SWEDAC:s föreskrifter och allmänna råd (STAFS 2010:10) om ackreditering samt SWEDAC:s föreskrifter och allmänna råd (STAFS 2013:5) om ackreditering av organ som certifierar produkter.

2 § I dessa föreskrifter gäller de definitioner som anges i

  1. standarden ISO/IEC 17065:2012 – Certifieringsorgan – Allmänna krav vid certifiering av produkter (ISO/IEC 17065:2012), och
  2. SIS Handbok 550 - Terminologi för informationssäkerhet.

Dessutom avses i dessa föreskrifter med

Evalueringsorganisation Organisation eller organisationsenhet som utför utvärdering. Evalueringsorganisation kan även benämnas som evalueringsenhet eller evalueringsföretag.

Evalueringsrapport (Evaluation Technical Report) Detaljerad teknisk rapport över genomförd utvärdering som lämnas av evalueringsorganisation till ett certifieringsorgan.

Certifieringsrapport (Certification/Validation Report) Rapport vilken ges ut av det ackrediterade certifieringsorganet. Dokumentet summerar resultaten från utvärderingen och intygar det sammanlagda resultatet. Det intygar även att evalueringsmetoder och procedurer har tillämpats på ett korrekt sätt.

3 § Enligt 6 § första stycket SWEDAC:s föreskrifter och allmänna råd (STAFS 2013:5) om ackreditering av organ som certifierar produkter skall den som ansöker om ackreditering visa att de kravspecifikationer mot vilka certifiering under ackreditering skall göras, samt tillämpningsdokument och dokument för tillverkningskontroll eller motsvarande, är entydiga och allmänt tillgängliga. Enligt andra stycket skall berörda intressenter ha getts tillfälle att delta i arbetet med att ta fram kravspecifikationerna.

Allmänt råd till 3 §: Kravspecifikationerna kan exempelvis vara en utgåva av standarden ISO/IEC 15408 eller den internationella standarden Common Criteria (CC).

Ikraftträdande- och övergångsbestämmelser

Denna författning träder i kraft den 1 januari 2014. 2 § i äldre lydelse ska dock fortsätta gälla för de organ som med stöd av 2 punkten i övergångsbestämmelserna till styrelsens föreskrifter och allmänna råd (STAFS 2013:5) om ackreditering av organ som certifierar produkter tillämpar 3 § styrelsens föreskrifter och allmänna råd (STAFS 2007:12) om ackreditering av organ som certifierar produkter.