Förnyande av certifiering

Förnyande av certifiering

Förnyande av ett certifierat informationssystems överensstämmelse med kraven är en helhet med vilken avses ett informationssäkerhetsintyg som förnyas vart tredje år samt utförande av de samtestningar som krävs av informationssystemet inom utsatt tid.

Processen för förnyelse av överensstämmelse med kraven

När ska överensstämmelsen med kraven förnyas

Överensstämmelsen med kraven ska förnyas när det tidigare intyget om informationssäkerhet eller intyget om överensstämmelse med kraven upphör att gälla. Om betydande ändringar görs i systemet eller om kraven ändras avsevärt medan intyget om informationssäkerhet är giltigt, bedömer bedömningsorganet för informationssäkerhet om informationssäkerhetsintyget behöver uppdateras. 

Den som producerar informationssystemtjänsten ska till FPA lämna uppdaterad information om vilka av de krav i anslutning till Kanta-tjänsterna som ska samtestas som har genomförts. 

Kontakta oss i god tid och ta reda på behovet av samtestning 

För att informationssystemet ska uppfylla kraven på överensstämmelse med kraven ska det genomgå de samtestningar som följer av lagstiftningen och som FPA förutsätter. Informationssystemleverantören ska kontakta FPA och ett bedömningsorgan för informationssäkerhet sex månader innan överensstämmelsen med kraven löper ut (THL:s föreskrift 4/2024). 

FPA bedömer systemvis vilka samtestningar som krävs för att överensstämmelsen med kraven ska kunna förnyas. Det är också möjligt att det inte behövs någon samtestning. 

Bedömningen av informationssäkerhet kan inledas även om det pågår samtestningar i systemet. Valvira kontrollerar dock i samband med registreringsanmälan att de samtestningar som lagstiftningen kräver och som baserar sig på Kanta-tjänsternas aktuella specifikationer har genomförts i informationssystemet. 

Försäkra dig om en smidig samtestning

För att de samtestningar som krävs för förnyande av överensstämmelse med kraven ska kunna utföras i god tid ska du anmäla dig till samtestning senast två månader innan den planerade testningen inleds.

Innan samtestningen inleds ska informationssystemleverantören se till att de funktioner som ska samtestas har testats på ett heltäckande sätt i det egna systemet. Det är också informationssystemleverantörens ansvar att omsorgsfullt fylla i THL:s systemblankett (THL:s föreskrift 5/2024, bilaga 4). 

Med tanke på säkerställande av en smidig samtestning är det också viktigt att testfallstabellerna för Kanta-samtestning fylls i omsorgsfullt.

Beakta specifikationernas giltighetstid

När informationssystemets överensstämmelse med kraven förnyas ska informationssystemet uppdateras så att det motsvarar de gällande Kanta-specifikationerna. För alla gemensamma och servicespecifika Kanta-specifikationer anges på kanta.fi separata giltighetstider för ”voimassa sertifioinnissa” (giltig för certifiering) och "voimassa tuotantokäytössä” (giltig för produktionsbruk). Informationssystemleverantören ska se till att datumet för specifikationerna för ” giltig för certifiering” inte överskrids.

Ett bedömningsorgan för informationssäkerhet utfärdar ett informationssäkerhetsintyg

Ett bedömningsorgan för informationssäkerhet utför en bedömning av informationssäkerheten och utfärdar ett informationssäkerhetsintyg för högst tre år. 

När bedömningen av informationssäkerheten har slutförts ska du sända en registreringsanmälan med bilagor till Valvira. Uppdaterade uppgifter som gäller förnyandet av överensstämmelse med kraven ska anmälas till Valviras informationssystemregister senast inom en månad efter att det förnyade informationssystemintyget har beviljats (THL:s föreskrift 4/2024, punkt 10 Förnyande av överensstämmelse med kraven).  Mer detaljerade anvisningar ges av Valvira.

Stödmaterial

Sidan har uppdaterats 17.7.2024