Anden høring om opdatering af Spillemyndighedens certificeringsprogram
I forbindelse med høringen af Spillemyndighedens certificeringsprogram tidligere på året har Spillemyndigheden modtaget høringssvar, som har givet anledning til yderligere ændringer af certificeringsprogrammet. Interesserede parter er velkomne til at komme med bemærkninger til opdateringen.
Bemærkningerne skal være Spillemyndigheden i hænde senest mandag den 10. januar 2022. Bemærkningerne skal indsendes via Spillemyndighedens kontaktformular, hvor kategorien ”Certificering” vælges.
Indsend dine bemærkninger via kontaktformularen
Spillemyndigheden forventer, at det opdaterede certificeringsprogram vil træde i kraft den 1. januar 2023, så der er tid for både tilladelsesindehavere og testvirksomheder til at blive opdateret i forhold til de ændrede krav.
De nye ændringer vedrører primært kravene der stilles til testvirksomhederne, som skal foretage prøvning og inspektion mv. af tilladelsesindehavernes spil- og forretningssystemer. Ændringerne, der er foretaget på dette område, kan illustreres på denne måde:
Nuværende krav
- Teststandarder: ISO 17020 eller ISO 17025
- Inspektionsstandarder: ISO 17020 eller ISO 17025
- Ledelsessystem for informationssikkerhed: ISO 17020 eller ISO 17025
- Penetrationstest: ISO 17020 eller ISO 17025 + PCI/ASV-godkendelse
- Sårbarhedsscanning: ISO 17020 eller ISO 17025 + PCI/ASV-godkendelse
- Program for styring af systemændringer: ISO 17020 eller ISO 17025
Fremtidige krav
- Teststandarder: ISO 17025 eller ISO 17065
- Inspektionsstandarder: ISO 17020 eller ISO 17065
- Ledelsessystem for informationssikkerhed: ISO 17021-1 eller ISO 17065
- Penetrationstest: ISO 17025, ISO 17065 eller PCI/ASV-godkendelse
- Sårbarhedsscanning: PCI/ASV-godkendelse
- Program for styring af systemændringer: ISO 17021-1 eller ISO 17065
Forklaring af ISO-akkreditering
- ISO 17020: Krav til forskellige typer inspektionsorganer
- ISO 17021-1: Krav til organer, der foretager audit og certificering af ledelsessystemer.
- ISO 17025: Generelle krav til prøvnings- og kalibreringslaboratoriers kompetence
- ISO 17065: Krav til organer, der certificerer produkter, processer og serviceydelser.
Spillemyndigheden anser det for nødvendigt at foretage ovenstående ændringer, så der fremover anvendes ISO-akkrediteringer, der er målrettet indenfor det enkelte område. Dette betyder bl.a. at ISO-17020- og ISO-17025 akkrediteringer, som er målrettet henholdsvis inspektionsorganer og prøvningslaboratorier, og som hidtil har været anvendt på samtlige områder, fremover kun vil kunne anvendes på de områder, som selve ISO-akkrediteringen er målrettet.
Hverken ISO 17020 eller ISO 17025 er fx målrettet vurdering af ledelsessystemer, hvorfor ingen af dem er optimale at anvende på områderne ”Ledelsessystem for informationssikkerhed” og ”Program for styring af systemændringer”.
På området for sårbarhedsscanning har Spillemyndigheden valgt at fastholde det første udkast og kræve en ASV-godkendelse, da denne anses for at være den førende standard indenfor sårbarhedsscanninger.
På området for penetrationstest findes der ikke én standard. Kvaliteten afhænger på dette område i høj grad af personlige egenskaber. Spillemyndigheden vil dog ikke lade kravene til testvirksomhederne alene bero på personlige kvalifikationer. Vi ser et behov for at testvirksomheden kan dokumentere, at de som virksomhed lever op til nogle standarder. Spillemyndigheden lægger derfor op til, at testvirksomheder enten skal have en ISO-17025, en ISO-17065 eller en ASV-godkendelse for at kunne foretage penetrationstest.
Spillemyndigheden bemærker, at de nye ISO-akkrediteringer, der bringes i spil, ikke bør være ukendte for testvirksomheder, der almindeligvis opererer i spillebranchen, da de allerede anvendes i andre jurisdiktioner.