EU's ramme for cybersikkerhedscertificering

EU's ramme for cybersikkerhedscertificering af produkter inden for informations- og kommunikationsteknologi (IKT) muliggør skræddersyede og risikobaserede EU-certificeringsordninger.

Certificering spiller en afgørende rolle med hensyn til at øge tilliden til og sikkerheden af kritiske produkter og tjenester til den digitale verden. På nuværende tidspunkt findes der en række forskellige sikkerhedscertificeringsordninger for IKT-produkter i EU. Uden en fælles ramme for EU-dækkende gyldige cybersikkerhedsattester er der imidlertid en stigende risiko for fragmentering og hindringer mellem medlemsstaterne.

Certificeringsrammen

Certificeringsrammen vil omfatte EU-dækkende certificeringsordninger som et omfattende sæt regler, tekniske krav, standarder og procedurer. Rammen vil være baseret på en aftale på EU-plan om evaluering af sikkerhedsegenskaberne ved et bestemt IKT-baseret produkt eller en bestemt IKT-baseret tjeneste. Det attesterer, at IKT-produkter og -tjenester, der er certificeret i overensstemmelse med en sådan ordning, opfylder bestemte krav.

Hver europæisk ordning bør navnlig specificere:

de kategorier af produkter og tjenesteydelser, der er omfattet
cybersikkerhedskravene, f.eks. standarder eller tekniske specifikationer
typen af evaluering, f.eks. selvevaluering eller tredjepart
Det tilsigtede sikkerhedsniveau.

Tillidsniveauerne bruges til at informere brugerne om et produkts cybersikkerhedsrisiko og kan være grundlæggende, væsentlige og/eller høje. De står i et rimeligt forhold til det risikoniveau, der er forbundet med den tilsigtede anvendelse af produktet, tjenesteydelsen eller processen, med hensyn til sandsynligheden for og virkningen af en ulykke. Et højt sikkerhedsniveau ville betyde, at det certificerede produkt bestod de højeste sikkerhedstests.

Det resulterende certifikat

Det resulterende certifikat vil blive anerkendt i alle EU's medlemsstater, hvilket vil gøre det lettere for virksomhederne at handle på tværs af grænserne og for køberne at forstå produktets eller tjenesteydelsens sikkerhedselementer.

Du kan få mere at vide om det arbejde, der er gjort med EU's cybercertificering, i ENISA's cybersikkerhedscertificering.

EU's cybersikkerhedscertificeringsordning for fælles kriterier (EUCC)

Den første ordning, der skal vedtages i henhold til certificeringsrammen i forordningen om cybersikkerhed, er baseret på den anerkendte internationale standard for fælles kriterier, der har været anvendt til at udstede certifikater i Europa i næsten 30 år nu. Ordningen drager fordel af det høje omdømme, som europæiske leverandører og certificeringsorganer, der anvender den fælles kriteriebaserede certificering i hele verden, har. Ordningen vil være tilgængelig for leverandører fra den 27. februar 2025.

Ordningen vil finde anvendelse i hele EU på frivillig basis og fokuserer på certificering af IKT-produkters cybersikkerhed i deres livscyklus, herunder:

Biometriske systemer
Firewalls (både hardware og software)
Detektions- og reaktionsplatforme
Routere
Afbrydere
Specialiseret software (såsom SIEM- og IDS/IDP-systemer)
Datadioder
Operativsystemer (herunder til mobile enheder)
Krypterede lagre
Databaser
Smartkort og sikre elementer, der indgår i alle former for produkter, f.eks. i pas, der dagligt anvendes af alle borgere.

Du kan læse mere om EUCC på ENISA's certificeringswebsted.

Unionens rullende arbejdsprogram for europæisk cybersikkerhedscertificering (URWP)

EU's rullende arbejdsprogram for europæisk cybersikkerhedscertificering blev offentliggjort samtidig med den første EU-dækkende cybersikkerhedscertificeringsordning (EUCC). Det første arbejdsprogram skitserer strategiske prioriteter for fremtidige europæiske cybersikkerhedscertificeringsordninger under hensyntagen til den seneste lovgivnings- og markedsudvikling såsom forordningen om cyberrobusthed og forordningen om en europæisk digital identitet. Dette kan i sidste ende føre til anmodninger om nye ordninger, hvor det er nødvendigt og hensigtsmæssigt. Desuden skitseres de strategiske prioriteter, der skal tages i betragtning ved udarbejdelsen af enhver europæisk cybersikkerhedscertificeringsordning.

URWP understreger følgende områder for fremtidig europæisk cybersikkerhedscertificering i forbindelse med EU-lovgivning:

ID-tegnebøger
Administrerede sikkerhedstjenester
Industrielle automatiserings- og kontrolsystemer
Udvikling af sikkerhedslivscyklus på grundlag af kreditvurderingsbureauernes krav
Kryptografiske mekanismer

Den Europæiske Cybersikkerhedscertificeringsgruppe (ECCG)

Den Europæiske Cybersikkerhedscertificeringsgruppe (ECCG) blev oprettet for at bidrage til at sikre en konsekvent gennemførelse og anvendelse af forordningen om cybersikkerhed. Det består af repræsentanter for nationale cybersikkerhedscertificeringsmyndigheder eller repræsentanter for andre relevante nationale myndigheder. ECCG er afgørende for udarbejdelsen af kandidatcertifikatordningen og den generelle gennemførelse af certificeringsrammen.

Cybersikkerhedscertificeringsgruppen for Interessenter (SCCG)

Efter ikrafttrædelsen af forordningen om cybersikkerhed i 2019 blev Cybersikkerhedscertificeringsgruppen for Interessenter (SCCG) oprettet.

SCCG er ansvarlig for at rådgive Kommissionen og ENISA om strategiske spørgsmål vedrørende cybersikkerhedscertificering og bistå Kommissionen med udarbejdelsen af Unionens rullende arbejdsprogram. Dette er den første ekspertgruppe for cybersikkerhedscertificering, som Europa-Kommissionen har nedsat.

Følg gruppens arbejde

Seneste nyheder

Digital illustration of a glowing padlock icon surrounded by circuit board patterns and data streams, representing cybersecurity and data protection.

Pressemeddelelse
13 maj 2025

EU lancerer en europæisk sårbarhedsdatabase for at øge sin digitale sikkerhed

Europa-Kommissionen har i dag bebudet, at Den Europæiske Sårbarhedsdatabase (EUVD) vil blive lanceret af EU's Agentur for Cybersikkerhed (ENISA).

A digital padlock with a circuit board design against a blue background with binary code. It is related to computer security, data security, and cyber security.

Pressemeddelelse
07 maj 2025

Kommissionen opfordrer 19 medlemsstater til fuldt ud at gennemføre NIS 2-direktivet

Europa-Kommissionen har i dag besluttet at sende en begrundet udtalelse til 19 medlemsstater (Bulgarien, Tjekkiet, Danmark, Tyskland, Estland, Irland, Spanien, Frankrig, Cypern, Letland, Luxembourg, Ungarn, Nederlandene, Østrig, Polen, Portugal, Slovenien, Finland og Sverige) for ikke at have givet meddelelse om fuld gennemførelse af NIS 2-direktivet (direktiv (EU) 2022/2555).

An office meeting room with five people discussing around a table, with tables and charts in the background.

Pressemeddelelse
25 April 2025

Kommissionen indkalder forslag til udvælgelse af medlemmer af det nyoprettede rådgivende udvalg for cybersikkerhed på sundhedsområdet

Kommissionen opfordrer eksperter til at indsende deres ansøgning om at blive medlem af det nyoprettede rådgivende organ for cybersikkerhed på sundhedsområdet.

Person in a suit sitting at a desk holding holographic circle with a scale surrounded. It is surrounded by smaller circles with symbols a book, a gavel, a computer, a file and graphics. On the desk, there is a balance scale and some documents.

Press release
11 April 2025

Commission opens consultation on revising EU Cybersecurity Act

In an effort to strengthen the EU’s resilience against rising cyber threats, the Commission seeks input to evaluate and revise the 2019 Cybersecurity Act. This initiative reflects the Commission’s ongoing commitment to simplifying rules.

Søg på Cybersikkerhed

Se også

Det store billede

Cybersikkerhedspolitikker

Den Europæiske Union arbejder på forskellige fronter for at fremme cyberrobusthed, beskytte vores kommunikation og data og sikre onlinesamfundet og -økonomien.

Grav dybere

Cybersikkerhedscertificeringsgruppen for interessenter
Cybersikkerhedscertificeringsgruppen for interessenter blev oprettet for at yde rådgivning om...