Status
EU-kommisjonen la frem forslaget 20. januar 2026.
EU-kommisjonen har lagt frem forslag til en ny forordning som skal oppheve og erstatte dagens cybersikkerhetsforordning (Cyber Security Act). Bakgrunnen er et skjerpet trusselbilde og et behov for et mer effektivt og mindre fragmentert regelverk i EU.
Kommisjonen peker særlig på at utvikling og utrulling av europeiske sertifiseringsordninger under det europeiske rammeverket for cybersikkerhetssertifisering (ECCF) har gått for sakte, og at det er behov for enklere og mer forutsigbare prosesser for å utvikle, vedlikeholde og oppdatere sertifiseringsordninger.
Et sentralt grep i forslaget er derfor å endre og forenkle sertifiseringsregelverket slik at det i større grad kan brukes som et praktisk verktøy for etterlevelse. Forslaget skal gi mer forutsigbare og smidige prosesser for å utvikle og vedlikeholde sertifiseringsordninger. ENISA får en mer sentral rolle, blant annet med ansvar for forvaltning og vedlikehold av ordningene.
Samtidig utvides hva som kan sertifiseres, ved at virksomheter i tillegg til IKT-produkter, tjenester, prosesser og administrerte sikkerhetstjenester også skal kunne sertifisere sin egen "cyber posture". Formålet er å bygge tillit og interoperabilitet på tvers av medlemsstatene, og gjøre etterlevelse av relevant EU-regelverk enklere der sertifisering kan gi presumsjon for samsvar.
Forslaget innfører videre et rammeverk for å håndtere sikkerhetsutfordringer i IKT-forsyningskjeden på EU-nivå, særlig knyttet til kritisk infrastruktur og risiko fra tredjelandleverandører, avhengigheter og mulig utenlandsk påvirkning. Ambisjonen er å styrke koordineringen, redusere dobbeltarbeid og administrativ byrde over tid, og legge til rette for mer ensartet og effektiv etterlevelse på tvers av EU.