EU:s cybersäkerhetsakt

Ett nytt mandat för Enisa

Enisa, EU:s cybersäkerhetsbyrå, är nu starkare. EU:s cybersäkerhetsakt ger byrån ett permanent mandat och ger den mer resurser och nya uppgifter.

Enisa har en nyckelroll när det gäller att inrätta och upprätthålla den europeiska ramen för cybersäkerhetscertifiering genom att förbereda den tekniska grunden för specifika certifieringssystem. Den ansvarar för att informera allmänheten om certifieringssystemen och de utfärdade certifikaten via en särskild webbplats. 

Enisa har i uppdrag att öka det operativa samarbetet på EU-nivå, hjälpa de EU-medlemsstater som vill begära det att hantera sina cybersäkerhetsincidenter och stödja samordningen av EU i händelse av storskaliga gränsöverskridande cyberattacker och cyberkriser.

Denna uppgift bygger på Enisas roll som sekretariat för nätverket av nationella enheter för hantering av it-säkerhetsincidenter (CSIRT-enheter), som inrättades genom direktivet om säkerhet i nätverks- och informationssystem (NIS-direktivet).

I januari 2026 föreslog kommissionen en ny cybersäkerhetsakt för att ytterligare stärka EU:s resiliens och kapacitet på cybersäkerhetsområdet. Enligt förslaget kommer Enisa att ytterligare stödja företag och intressenter som är verksamma i EU genom att utfärda tidiga varningar om cyberhot och cyberincidenter. 

I samarbete med Europol och enheter för hantering av it-säkerhetsincidenter (CSIRT-enheter) kommer den att hjälpa företag att reagera på och återhämta sig från angrepp med utpressningstrojaner.

Enisa kommer också att utveckla en gemensam unionskapacitet för sårbarhetshanteringstjänster och tillhandahålla sårbarhetshanteringstjänster till berörda parter. Den kommer att driva den enda kontaktpunkt för incidentrapportering som föreslås i den digitala samlingsförordningen.

Den reviderade cybersäkerhetsakten syftar också till att minska riskerna i EU:s IKT-leveranskedja från leverantörer i tredjeländer med cybersäkerhetsproblem. Den fastställer en tillförlitlig säkerhetsram för IKT-leveranskedjan med hjälp av en harmoniserad, proportionell och riskbaserad metod. Den senaste tidens cybersäkerhetsincidenter har belyst de stora riskerna för sårbarheter i IKT-leveranskedjorna, som är avgörande för kritiska tjänster och kritisk infrastruktur.

En europeisk ram för cybersäkerhetscertifiering

Genom EU:s cybersäkerhetsakt införs en EU-omfattande ram för cybersäkerhetscertifiering av IKT-produkter, IKT-tjänster och IKT-processer. Företag som gör affärer i EU kommer att gynnas av att de bara behöver certifiera sina IKT-produkter, IKT-processer och IKT-tjänster en gång och se sina certifikat erkända i hela EU.

Genom förslaget om den reviderade cybersäkerhetsakten kommer den förnyade europeiska ramen för cybersäkerhetscertifiering att skapa större klarhet och enklare förfaranden för att utveckla system inom tolv månader som standard. 

Riktade ändringar

Den 18 april 2023 föreslog kommissionen en riktad ändring av EU:s cybersäkerhetsakt. Denna riktade ändring antogs den 15 januari 2025 och syftar till att möjliggöra ett framtida antagande av europeiska certifieringssystem för ”hanterade säkerhetstjänster” som omfattar områden som incidenthantering, penetrationstester, säkerhetsrevisioner och rådgivning. Certifiering är avgörande för att säkerställa hög kvalitet och tillförlitlighet hos dessa mycket kritiska och känsliga cybersäkerhetstjänster som hjälper företag och organisationer att förebygga, upptäcka, reagera på eller återhämta sig från incidenter.

Den 20 januari 2026 föreslog kommissionen också riktade ändringar av NIS 2-direktivet för att öka den rättsliga klarheten. Ändringarna kommer att förenkla efterlevnaden av EU:s cybersäkerhetsregler och riskhanteringskrav för företag som är verksamma i EU. De kommer att underlätta efterlevnaden för 28 700 företag, inklusive 6 200 mikroföretag och små företag.