Notifikation af certificeringsprogram version 2.0

07, feb 2022

Spillemyndigheden sendte tirsdag den 25. januar 2022 den opdaterede version af certificeringsprogrammet for online væddemål, landbaseret væddemål og onlinekasino til notifikation ved EU Kommissionen. Indtil det nye certificeringsprogram træder i kraft den 1. januar 2023, vil der være en overgangsperiode, hvor du som spiludbyder selv kan vælge, om du vil følge det nuværende eller det opdaterede certificeringsprogram. 

Nedenfor kan du læse nærmere om overgangsperioden, de generelle ændringer på tværs af certificeringsprogrammet samt se et overblik over de væsentligste ændringer i de forskellige dokumenter. 

Notifikationen og dokumenterne findes på EU Kommissionens database, TRIS

Dokumenterne er med forbehold for eventuelle ændringer det må være nødvendigt at foretage på baggrund af notifikationsprocessen. 
Umiddelbart efter at ”stand still”-perioden i forbindelse med notifikationen er afsluttet den 26. april 2022, vil de opdaterede dokumenter bliver lagt på Spillemyndighedens hjemmeside, så disse er tilgængelige i overgangsperioden frem til den 1. januar 2023, hvor version 2.0 træder i kraft.

Vær opmærksom på, at som konsekvens af overgangen fra NemID til MitID vil krav 3.2.3.1 i inspektionsstandarder for online væddemål og onlinekasino blive erstattet, når de endelige krav jf. bekendtgørelserne er klar.

Overgangsperiode 2022/2023

  1. Fra den 1. januar 2023 skal alle test, inspektioner, scanninger mv. foretages i overensstemmelse med v2.0 af certificeringsprogrammet. Test og inspektioner mv. skal foretages af testvirksomheder, som har akkrediteringer i overensstemmelse med v2.0.
  2. Resten af 2022 er der valgfrihed mellem den nuværende og opdaterede version af certificeringsprogrammet. 
    1. I løbet af 2022 kan test, inspektioner og scanninger således foretages i overensstemmelse den nuværende version af certificeringsprogrammet af testvirksomheder med nuværende akkrediteringer eller akkrediteringer jf. v2.0 af certificeringsprogrammet. 
    2. Hvis der foretages test, inspektioner, scanninger mv. efter v2.0 skal arbejdet naturligvis foretages af en testvirksomhed, som har akkrediteringer jf. v2.0.
  3. Muligheden for to måneders udsættelse på visse certificeringer gælder også i overgangsperioden. I denne situation accepterer Spillemyndigheden dog ikke, at der foretages udsættelse hen over årsskiftet 2022/2023.
  4. Vi ser hvert certificeringsområde for sig. Det er således ikke et krav at ”skifte” version på alle certificeringsområder på samme tid. Man kan fx godt anvende de opdaterede krav på sårbarhedsscanning og penetrationstest, men stadig få en ISO17025 akkrediteret testvirksomhed til at lave arbejde i henhold til de nuværende test- og inspektionsstandarder (NB. i v2.0 kan en ISO17025 ikke anvendes til inspektion). 
  5. Efter udløb af stand still perioden den 26. april 2022 skal tilladelsesindehavere ikke længere indsende kvartalsvise rapporter vedr. systemændringer jf. dokument SCP.06.00.

Visualisering af overgangsperioden

Før 2023 er der valgfrihed mellem det nuværende og det opdaterede certificeringsprogram. Efter 2023 foregår test og inspektion med videre efter det opdaterede certificeringsprogram.

Generelle ændringer

  • Der er foretaget sproglige justeringer og tilføjet/justeret flere vejledningstekster på tværs af certificeringsprogrammet.
  • Det er tydeliggjort direkte i certificeringsprogrammet, hvilken tidsfrist man har til at indsende dokumentation for gennemførte certificeringer.
  • Der er foretaget en signifikant ændring i kravene der stilles til testvirksomhederne, som skal foretage prøvning og inspektion mv. af tilladelsesindehavernes spil- og forretningssystemer. Ændringerne, der er foretaget på dette område, bliver illustreret herunder. 

Krav til testvirksomheder

Nuværende krav

  • Teststandarder: ISO17020 eller ISO17025
  • Inspektionsstandarder: ISO17020 eller ISO17025
  • Ledelsessystem for informationssikkerhed: ISO17020 eller ISO17025
  • Penetrationstest: ISO17020 eller ISO17025 + PCI/ASV-godkendelse
  • Sårbarhedsscanning: ISO 17020 eller ISO17025 + PCI/ASV-godkendelse
  • Program for styring af systemændringer: ISO17020 eller ISO17025

Fremtidige krav

  • Teststandarder: ISO17025 eller ISO17065
  • Inspektionsstandarder: ISO17020 eller ISO17065
  • Ledelsessystem for informationssikkerhed: ISO17021-1 eller ISO17065
  • Penetrationstest: ISO17025, ISO17065 eller PCI/ASV-godkendelse
  • Sårbarhedsscanning: PCI/ASV-godkendelse
  • Program for styring af systemændringer: ISO17021-1 eller ISO17065

Forklaring af ISO-akkrediteringer

  • ISO17020: Krav til forskellige typer inspektionsorganer
  • ISO17021-1: Krav til organer, der foretager audit og certificering af ledelsessystemer.
  • ISO17025: Generelle krav til prøvnings- og kalibreringslaboratoriers kompetence
  • ISO17065: Krav til organer, der certificerer produkter, processer og serviceydelser.

Spillemyndigheden har fundet det nødvendigt at foretage ovenstående ændringer, så der anvendes ISO-akkrediteringer, der er målrettet indenfor det enkelte område. Dette betyder bl.a. at ISO17020- og ISO17025 akkrediteringer, som er målrettet henholdsvis inspektionsorganer og prøvningslaboratorier, og som hidtil har været anvendt på samtlige områder, fremover kun vil kunne anvendes på de områder, som selve ISO-akkrediteringen er målrettet.

Hverken ISO17020 eller ISO17025 er fx målrettet vurdering af ledelsessystemer, hvorfor ingen af dem er optimale at anvende på områderne ”Ledelsessystem for informationssikkerhed” og ”Program for styring af systemændringer”.
For sårbarhedsscanning har Spillemyndigheden valgt fortsat at kræve en ASV-godkendelse, da denne anses for at være den førende standard indenfor sårbarhedsscanninger.

For penetrationstest afhænger kvaliteten af arbejdet i høj grad af personlige egenskaber. Spillemyndigheden har dog vurderet at der, udover de personlige kvalifikationer, er behov for at testvirksomheden kan dokumentere, at de som virksomhed lever op til nogle standarder. Testvirksomhederne skal derfor enten have en ISO17025, en ISO17065 eller en ASV-godkendelse for at kunne foretage penetrationstest. 
Spillemyndigheden bemærker, at de nye ISO-akkrediteringer, der bringes i spil, ikke bør være ukendte for testvirksomheder, der almindeligvis opererer i spillebranchen, da de allerede anvendes i andre jurisdiktioner.

Kravet om at en testvirksomhed skal have mindst tre års erfaring er blevet fjernet. Dette krav afholdt fx nyetablerede testvirksomheder for at kunne foretage test og inspektioner efter certificeringsprogrammet. I forhold til erfaring vurderer Spillemyndigheden, at det er vigtigere at se på personerne, der er involveret i selve arbejdet, og mindre vigtigt, hvor mange år en virksomhed har været i gang. Kravene til personalets erfaring fastholdes derfor.

Overblik over væsentlige ændringer

Generelle krav

  • Kravene til rapportering af certificeringen er blevet specificeret.
  • Kravene til supervisering af certificeringsarbejdet er blevet specificeret. 
  • Der er præciseret i et nyt afsnit, at den første certificering altid skal ske i forbindelse med ansøgning om tilladelse. Det er samtidig præciseret, at den første certificering skal gennemføres uden fejl og mangler, for at kunne godkendes. 
  • Det er præciseret, hvornår og hvordan risikovurdering kan anvendes til godkendelse af krav. 

Teststandarder

  • RNG-krav vedrørende resultatgenerering og RNG-krav vedrørende andre funktioner er slået sammen i ét afsnit. 
  • Kravet om at spilsystemet skal sikre, at hvert spil tager minimum tre sekunder er flyttet fra inspektionsstandarderne til teststandarderne. (Onlinekasino)
  • Tilføjelse af krav til test af fysisk udstyr anvendt til live kasino. Dette dækker fx over test krav til roulette, kortblandere og kortsko. (Onlinekasino)

Inspektionsstandarder

  • Der er foretaget omstrukturering af afsnittene, så der fremover er hovedafsnit om: 
    • Skriftlig præsentation, 
    • visuel præsentation, 
    • generelle spilfunktioner og 
    • særlige spilfunktioner. 
  • Kravet om at spilsystemet skal gemme kundens status i ROFUS er fjernet, da Spillemyndigheden vurderer, at tilladelsesindehavere som udgangspunkt ikke skal gemme oplysninger om kundens ROFUS-status efter oplysningen har været anvendt til det formål, de er indhentet til.
  • Titlen på afsnittet om ”optegnelser, logge og datafastholdelse” er ændret til ”Registrering, vedligeholdelse og opbevaring af data”, og kravene i afsnit er omskrevet for at tydeliggøre, hvad der skal registreres i hvilke situationer.
  • De specifikke krav til visuel præsentation af blackjack og baccarat/punto banco er fjernet, da de er omfattet af de generelle krav til kortspil. (Onlinekasino)
  • Tilføjelse af et nyt krav til oplysning af sandsynlighed i forbindelse med jackpots. (Onlinekasino)
  • Krav vedr. onlinebingo er flyttet til peer-to-peer spil for at tydeliggøre, at det er denne type online bingo, der kan udbydes på en onlinekasinotilladelse. (Onlinekasino)
  • Tilføjet krav vedrørende tidlig lukning af væddemål (cash out) til afsnittet om særlige spilfunktioner. (Væddemål)

Ledelsessystem for Informationssikkerhed

  • Præcisering af hvilke testvirksomheder, der kan foretage en eventuel ISO 27001 certificering, som kan træde i stedet for inspektion i henhold til Spillemyndighedens krav til Ledelsessystem for informationssikkerhed.

Penetrationstest

  • I den danske version omdøbes Indtrængningsefterprøvning til penetrationstest, da dette udtryk oftere anvendes.
  • Det er præciseret, hvilken procedure der skal følges i forhold til rapportering og fornyet test, hvis penetrationstesten ikke er bestået. 
  • Afsnittet om anvendelse af en intern funktion til penetrationstest er fjernet. 

Sårbarhedsscanning

  • Det er tydeliggjort, at den gennemførte sårbarhedsscanning skal være PCI godkendt.
  • Det er præciseret at sårbarhedsscanningen, der typisk foretages forud for en penetrationstest kan anses som en gyldig kvartalsvis sårbarhedsscanning, hvis den udføres i overensstemmelse med kravene.
  • Det er præciseret, hvilken procedure der skal følges i forhold til rapportering og fornyet scanning, hvis sårbarhedsscanningen ikke er bestået. 
  • Afsnittet om anvendelse af intern funktion til sårbarhedsscanning er fjernet. 

Systemændringer

  • Krav om indsendelse af kvartalsvise rapporter til Spillemyndigheden er fjernet. Se venligst sidste punkt i beskrivelse af overgangsperioden ovenfor.
  • Detaljeret beskrivelse af situationer hvor Spillemyndigheden skal give en forudgående godkendelse af nye og ændrede spil, fremgår ikke længere. Fremover fremgår kun de overordnede krav til dette i program for styring af systemændringer. Den detaljerede beskrivelse vil fremadrettet fremgå af Spillemyndigheden tekniske krav til onlinekasino og væddemål.