Assuransnivåer. Cybersäkerhetscertifieringar ska ske enligt en av tre assuransnivåer (”förtroendenivåer” eller ” ambitionsnivåer”): Grundläggande, Betydande och Hög. Assuransnivån anger en förtroendegrund för att en IKT-produkt, IKT-tjänst eller IKT-process uppfyller säkerhetskraven i certifieringsordning och anger i vilken omfattning en IKT-produkt, IKT-tjänst eller IKT-process har utvärderats. Assuransnivån ska stå i proportion till nivån på den risk som är förenad med den avsedda användningen av en IKT-produkt, IKT-tjänst eller IKT-process, i form av sannolikhet för och inverkan av en eventuell incident. Assuransnivåerna avspeglar motsvarande stringens och djup i fråga om utvärdering av IKT-produkten, IKT- tjänsten och IKT-processen. Nivåerna fastställs genom hänvisning till tekniska specifikationer, standarder och förfaranden med koppling till detta, inbegripet tekniska kontroller, som ska mildra eller förhindra incidenter. En assuransnivå i sig mäter dock inte säkerheten i den berörda IKT-produkten, IKT-tjänsten eller IKT- processen, utan anger ambitionsgraden av den granskning som är genomförd. Assuransnivå Grundläggande innebär att föremålet för certifieringen har utvärderats på en nivå som avser att minimera kända grundläggande risker för incidenter och cyberattacker. Den utvärdering som ska göras ska innefatta åtminstone en granskning av den tekniska dokumentationen. Assuransnivå Betydande innebär att föremålet för certifieringen har utvärderats på en nivå som avser att minimera kända cyberrisker, och risken för incidenter och cyberattacker som genomförs av aktörer med begränsade kunskaper och resurser. Utvärderingen ska visa att allmänt kända sårbarheter inte föreligger och omfattar testning för att visa att IKT-produkter, -tjänster och -processer på ett korrekt sätt omfattar nödvändiga säkerhetsfunktioner. Assuransnivå Hög innebär att föremålet för certifieringen har utvärderats på en nivå som avser att minimera risken för avancerade cyberattacker som genomförs av aktörer med omfattande kunskaper och resurser. Utvärderingen som ska göras omfattar åtminstone testning för att visa på korrekta och nödvändiga säkerhetsfunktioner enligt senast känd teknik (eng: ”state-of-the-art”) och en bedömning av motståndskraften mot kunniga angripare genom så kallade penetrationstester.
