Cybersäkerhetsmärket berättar köparen direkt att följande delområden i produkten i fråga har genomförts på ett informationssäkert sätt.

Lösenord

Med åtkomsthantering säkerställs att endast produktens ägare kan hantera produktens funktion. Åtkomsthantering till produkten, apparaten eller tjänsten, såsom lösenord, certifikat eller identifieringsmetoder följer bästa praxis.

Programuppdateringar

Programvaran som används i produkten har säkerställts och hålls uppdaterad. Programvaran i produkten uppdateras under produktens hela livscykel.

Dataskydd

Produktägaren informeras om hur och för vilket ändamål personuppgifter samlas in och vem som behandlar dem.

Säker dataöverföring och -lagring

Data är skyddade under överföring och lagring. Produkten har relevanta metoder för dataöverföring, identifiering och kryptering samt praxis för nyckelhantering.

Säkra nättjänster och ekosystemgränssnitt

Nättjänster för produkten ska förverkligas med hjälp av säkra praxis. De tjänster som inte behövs ska tas ur bruk. Det finns en beskrivning av nättjänster för produkten och ekosystemgränssnitt.

Säkra förinställningar

Produktens eller tjänstens förinställningar ska fastställas så att de i första hand är planerade för att skydda användaren.

Cybersäkerhetsmärket baserar sig på ETSI-standard EN 303 645.

Kraven för Cybersäkerhetsmärket baserar sig på standarden ETSI EN 303 645. Det är en insamling av informationssäkerhetskrav för nätanslutna konsumentapparater. Kraven för Cybersäkerhetsmärket har valts och prioriterats med hjälp av hotlistan OWASP IoT TOP 10. Det primära syftet är alltså att svara på de vanligaste informationssäkerhetshoten som kommer via internet och gäller konsumentbruk.

I en produkt som förses med Cybersäkerhetsmärket har man beaktat apparatens hela ekosystem. Andra standarder som tillämpas är OWASP Mobile Application Security Verification Standard (MASVS), EUCS, ISO 27k och Cloud Security Alliance (CSA).

Krav för att beviljas Cybersäkerhetsmärket

När ett företag ansöker om ett Cybersäkerhetsmärke ska det fylla i en blankett för överensstämmelse med krav som innehåller uppgifter om egenskaperna hos produkten eller tjänsten. Cybersäkerhetscentret bedömer uppgifterna på blanketten. En oberoende tredje part gör en granskning av säkerhet för produkten för vilken Cybersäkerhetsmärket söks och dessa resultat jämförs med kraven på Cybersäkerhetsmärket. När de inlämnade uppgifterna och egenskaperna anses vara tillräckliga, beviljar Cybersäkerhetscentret Cybersäkerhetsmärket.

Uppdaterad