EU’s Cyber Security forordning blev vedtaget i juni 2019 som en del af EU’s overordnede strategi for at styrke cybersikkerheden i Europa. Denne forordning repræsenterer et skridt i retningen af at skabe en fælles europæisk ramme for håndtering af de stadig mere komplekse cybersikkehedsudfordringer, som både offentlige og private aktører står overfor.  

Forordningen trådte i kraft den 27. Juni 2019, og nogle af dens bestemmelser blev effektive fra den. 28 juni 2021. Siden da er der løbende blevet arbejdet på at udvide og justere forordningen for at imødekomme de skiftende behov i cybersikkerhedslandskabet. 

Den 18. april 2023 fremsatte Kommissionen et forslag til en målrettet ændring af forordningen for at muliggøre vedtagelsen af europæiske certificeringsordninger.  

Den 5. marts 2024 nåede formandskabet for Rådet og Europa-Parlamentets forhandlere frem til en foreløbig aftale om denne ændring.  

Formålet med forordningen? 

EU's Cybersikkerhedsforordning har to centrale mål: 

1. At styrke ENISA (Den Europæiske Unions Agentur for Net- og Informationssikkerhed) ved at give agenturet et permanent mandat og øgede ressourcer, så det kan lede EU’s certificeringsramme for cybersikkerhed og koordinere indsatsen i tilfælde af store cyberangreb. 
2. Forordningen til formål at etablere en ensartet europæisk cybersikkerhedscertificering for IKT-produkter, -tjenester og -processer. Denne certificeringsramme skal sikre, at produkter og tjenester opfylder bestemte sikkerhedsstandarder, hvilket skal forbedre cybersikkerheden på tværs af det indre marked. Certificeringen er i første omgang frivillig, men kan blive obligatorisk, hvis EU-Kommissionen vurderer, at der er behov for det. 

Forordningen udvides løbende, og den seneste ændring foreslår at inkludere 'managed security services' som en del af de certificeringsordninger, der kan vedtages. 

Hvem skal forholde sig til forordningen?  

Cyber Security Act gælder for en bred vifte af aktører, herunder europæiske virksomheder, der udvikler og leverer IKT-produkter, -tjenester og -processer. Disse virksomheder har mulighed for at få deres produkter og tjenester certificeret i overensstemmelse med EU's cybersikkerhedsstandarder, hvilket kan være en konkurrencefordel på markedet.  

Forordningen er også relevant for udbydere af administrerede sikkerhedstjenester (managed security services), som spiller en vigtig rolle i forebyggelsen og håndteringen af cybersikkerhedshændelser. Disse udbydere kan drage fordel af den kommende certificeringsordning, som vil gøre det lettere for virksomheder og forbrugere at vurdere kvaliteten og sikkerheden af de tjenester, de tilbyder. I Danmark er Sikkerhedsstyrelsen ansvarlig for at overvåge og sikre overholdelse af de relevante certificeringsordninger. 

Næste skridt?  

Den målrettede ændring af Cyber Security Act, som blev foreløbigt aftalt den 5. marts 2024, skal nu godkendes af Rådet og Europa-Parlamentet for at blive formelt vedtaget.