När Pär Iggström kom till FMV hösten 2023 var det för att leda arbetet att utveckla processer så FMV kan agera som nationell myndighet för cybersäkerhetscertifiering. Ett särskild fokus har varit genomförande av den första certifieringsordningen för IKT-produkter som kallas EUCC. Han hade innan dess i drygt två decennier arbetet på ett ackrediterat certifierings- och provningsorgan och därigenom fått gedigen kunskap om området ackreditering – från den sidan. Lika länge hade han på nära håll följt Swedacs verksamhet.
– Jag har sett hur positivt Swedac utvecklats under de åren. Hur myndigheten genomför bedömningar och vilket professionellt bemötande man har. Därför kändes det klokt att i min nya roll dra lärdom av den resa de gjort, säger Pär.
I praktiken har Pär Iggström och hans kollegor på FMV:s avdelning för Cybersäkerhet och certifiering med jämna mellanrum de senaste två åren haft möten med framför allt Magnus Pedersen, utredare, Fredrik Langmead, enhetschef, Mattias Andersson, bedömningsledare och Tove Sehested, jurist, på Swedac.
De två myndigheterna har också arrangerat gemensamma informationsmöten om genomförandet av EUCC. Möten riktade till intressenter och marknadsaktörer, till exempel certifieringsorgan (CB) och/eller evalueringsföretag (ITSEF). Eftersom FMV är Sveriges representant och deltar aktivt i Europeiska gruppen för cybersäkerhetscertifiering (ECCG) samverkar myndigheterna kring svenska ståndpunkter för att säkerställa att det europeiska ramverket för cybersäkerhetscertifiering får en ändamålsenlig och effektiv tillämpning. Myndigheterna för även en dialog rörande utvecklingen av kommande certifieringsordningar, bland annat rörande molntjänster, 5G och en europeisk digital plånbok.
– Det har legat i vårt intresse att dra lärdom av Swedacs kunskap, säger Pär Iggström. Hur jobbar man med bedömning och tillsyn? Hur går processen till, steg för steg? Vi har ett gemensamt intresse i att stärka europeisk cybersäkerhet likväl som att eftersträva effektivitet och noggrannhet, att ingenting faller mellan stolarna.
EUCC trädde i kraft 27 februari 2024 och tillämpas fullt ut från och med den 27 februari 2025. Det finns sedan februari 2025 ett första evaluerings- och certifieringsorgan i Sverige, ackrediterat av Swedac. För den som vill verka på den högsta av de tre assurans(säkerhets)-nivåerna för EUCC krävs utöver ackreditering ett bemyndigande som företaget i så fall ansöker om hos FMV.
– Vi hoppas att det kommer fler aktörer som vill tillhandahålla de här tjänsterna.
– Det är spännande att få vara en del av det arbete som sker med att bygga effektiva rättssäkra processer kopplade till bemyndigande och tillsyn. Cybersäkerhet är ett område där det händer mycket och det berör hela samhället, inte minst med det rådande omvärldsläget säger Pär Iggström.
För mer information om FMVs uppdrag: https://www.fmv.se/verksamhet/ovrig-verksamhet/nationella-myndigheten-for-cybersakerhetscertifiering/
För mer information om Swedacs ackrediteringsverksamhet inom området: https://www.swedac.se/amnesomraden/cybersakerhet/