EU's forordning om cybersikkerhed

Et nyt mandat til ENISA

ENISA, EU's Agentur for Cybersikkerhed, er nu stærkere. EU's forordning om cybersikkerhed giver agenturet et permanent mandat og giver det flere ressourcer og nye opgaver.

ENISA har fået en central rolle i oprettelsen og vedligeholdelsen af den europæiske ramme for cybersikkerhedscertificering ved at forberede det tekniske grundlag for specifikke certificeringsordninger. Det er ansvarligt for at informere offentligheden om certificeringsordningerne og de udstedte certifikater via et særligt websted. 

ENISA har mandat til at øge det operationelle samarbejde på EU-plan, hjælpe de EU-medlemsstater, der ønsker det, med at håndtere deres cybersikkerhedshændelser og støtte koordineringen af EU i tilfælde af omfattende grænseoverskridende cyberangreb og -kriser.

Denne opgave bygger på ENISA's rolle som sekretariat for det nationale netværk af enheder, der håndterer IT-sikkerhedshændelser (CSIRT'er), der er oprettet ved direktivet om sikkerhed i net- og informationssystemer (NIS-direktivet).

I januar 2026 foreslog Kommissionen en ny forordning om cybersikkerhed for yderligere at styrke EU's modstandsdygtighed og kapacitet inden for cybersikkerhed. I henhold til forslaget vil ENISA yderligere støtte virksomheder og interessenter, der opererer i EU, ved at udsende tidlige varslinger om cybertrusler og -hændelser. 

I samarbejde med Europol og enheder, der håndterer IT-sikkerhedshændelser (CSIRT'er), vil den støtte virksomhederne i deres indsats over for og genopretning efter ransomwareangreb.

ENISA vil også udvikle en fælles EU-kapacitet til sårbarhedsstyring og levere sårbarhedsstyringstjenester til interessenter. Det vil drive det fælles kontaktpunkt for indberetning af hændelser, der foreslås i den digitale omnibus.

Den reviderede forordning om cybersikkerhed har også til formål at mindske risici i EU's IKT-forsyningskæde fra tredjelandsleverandører med cybersikkerhedsproblemer. Den fastsætter en pålidelig ramme for sikkerhed i IKT-forsyningskæden ved hjælp af en harmoniseret, forholdsmæssig og risikobaseret tilgang. De seneste cybersikkerhedshændelser har fremhævet de store risici for sårbarheder i IKT-forsyningskæderne, som er afgørende for kritiske tjenester og kritisk infrastruktur.

En europæisk ramme for cybersikkerhedscertificering

Med EU's forordning om cybersikkerhed indføres en EU-dækkende ramme for cybersikkerhedscertificering af IKT-produkter, -tjenester og -processer. Virksomheder, der driver forretning i EU, vil drage fordel af kun at skulle certificere deres IKT-produkter, -processer og -tjenester én gang og få deres certifikater anerkendt i hele Den Europæiske Union.

Med forslaget til den reviderede forordning om cybersikkerhed vil den fornyede europæiske ramme for cybersikkerhedscertificering som standard skabe større klarhed og enklere procedurer for udvikling af ordninger inden for 12 måneder. 

Målrettede ændringer

Den 18. april 2023 foreslog Kommissionen en målrettet ændring af EU's forordning om cybersikkerhed. Denne målrettede ændring blev vedtaget den 15. januar 2025 og har til formål at muliggøre den fremtidige vedtagelse af europæiske certificeringsordninger for "administrerede sikkerhedstjenester", der omfatter områder som reaktion på hændelser, penetrationstest, sikkerhedsrevisioner og rådgivning. Certificering er afgørende for at sikre et højt niveau af kvalitet og pålidelighed for disse yderst kritiske og følsomme cybersikkerhedstjenester, som hjælper virksomheder og organisationer med at forebygge, opdage, reagere på eller komme på fode igen efter hændelser.

Den 20. januar 2026 foreslog Kommissionen også målrettede ændringer af NIS 2-direktivet for at øge den juridiske klarhed. Ændringerne vil forenkle overholdelsen af EU's cybersikkerhedsregler og risikostyringskrav for virksomheder, der opererer i EU. De vil lette overholdelsen for 28.700 virksomheder, herunder 6.200 mikrovirksomheder og små virksomheder.