EU:s ram för cybersäkerhetscertifiering

EU:s ram för cybersäkerhetscertifiering möjliggör skräddarsydda och riskbaserade EU-certifieringssystem.

Certifiering spelar en avgörande roll för att öka förtroendet och säkerheten för kritiska produkter och tjänster för den digitala världen. För närvarande finns det ett antal olika system för säkerhetscertifiering av IKT-produkter i EU. Utan en gemensam ram för EU-omfattande giltiga cybersäkerhetscertifikat finns det dock en ökande risk för fragmentering och hinder mellan medlemsstaterna.

Certifieringsramen

Certifieringsramen kommer att tillhandahålla EU-omfattande certifieringssystem som en omfattande uppsättning regler, tekniska krav, standarder och förfaranden. Ramen kommer att baseras på en överenskommelse på EU-nivå om utvärderingen av säkerhetsegenskaperna hos en viss IKT-baserad produkt eller tjänst. Den ska intyga att IKT-produkter och IKT-tjänster som har certifierats i enlighet med ett sådant system uppfyller de angivna kraven.

I varje europeiskt system bör särskilt följande anges:

De kategorier av produkter och tjänster som omfattas.
cybersäkerhetskraven, såsom standarder eller tekniska specifikationer,
Typen av utvärdering, t.ex. självbedömning eller tredje part.
Den avsedda säkerhetsnivån.

Assuransnivåerna används för att informera användarna om en produkts cybersäkerhetsrisk och kan vara grundläggande, betydande och/eller hög. De står i proportion till den risknivå som är förknippad med den avsedda användningen av produkten, tjänsten eller processen, när det gäller sannolikheten för och konsekvenserna av en olycka. En hög säkerhetsnivå skulle innebära att den certifierade produkten klarade de högsta säkerhetstesterna.

Det resulterande intyget

Det resulterande certifikatet kommer att erkännas i alla EU-medlemsstater, vilket gör det lättare för företag att handla över gränserna och för köpare att förstå produktens eller tjänstens säkerhetsdetaljer.

Mer information om arbetet med EU:s cybersäkerhetscertifiering finns i Enisas cybersäkerhetscertifiering.

EU:s första system för cybersäkerhetscertifiering enligt gemensamma kriterier (EUCC)

Det första systemet som ska antas inom ramen för cybersäkerhetsaktens certifieringsram bygger på den välkända internationella standarden Common Criteria, som används för att utfärda certifikat i Europa i nästan 30 år nu. Systemet drar nytta av det höga anseendet hos europeiska leverantörer och certifierare som använder Common Criteria-baserad certifiering över hela världen. Ordningen kommer att vara tillgänglig för säljare från och med den 27 februari 2025.

Systemet kommer att tillämpas i hela EU, på frivillig basis, och är inriktat på certifiering av IKT-produkters cybersäkerhet under deras livscykel, inbegripet följande:

Biometriska system
Brandväggar (både hårdvara och mjukvara)
Detektions- och svarsplattformar
Routrar
Strömställare
Specialiserad programvara (t.ex. SIEM- och IDS/IDP-system)
Datadioder
Operativsystem (även för mobila enheter)
Krypterade lagringsutrymmen
Databaser
Smartkort och säkra element som ingår i alla typer av produkter, t.ex. i pass som dagligen används av alla medborgare.

Mer information om EUCC finns på Enisas webbplats för certifiering.

En förnyad europeisk ram för cybersäkerhetscertifiering

Den 20 januari 2026 föreslog kommissionen en reviderad cybersäkerhetsakt som förnyar den europeiska ramen för cybersäkerhetscertifiering. Förslaget kommer att säkerställa att produkter och tjänster som når konsumenter i EU testas för säkerhet på ett effektivare sätt. Den nya europeiska kreditfaciliteten kommer automatiskt att skapa större klarhet och enklare förfaranden för att utveckla system inom tolv månader. Det kommer också att införa en smidigare och öppnare styrning för att bättre involvera berörda parter genom information till och samråd med allmänheten.

Certifieringssystem som förvaltas av Enisa kommer att bli ett praktiskt och frivilligt verktyg för företag. De kommer att göra det möjligt för företag att visa att de följer EU-lagstiftningen, vilket minskar bördan och kostnaderna. För EU:s medborgare, företag och offentliga myndigheter kommer det att säkerställa en hög nivå av säkerhet och förtroende för komplexa IKT-leveranskedjor.

Unionens löpande arbetsprogram för europeisk cybersäkerhetscertifiering

Unionens löpande arbetsprogram för europeisk cybersäkerhetscertifiering offentliggjordes samtidigt som det första EU-omfattande systemet för cybersäkerhetscertifiering (EUCC). I det första URWP beskrivs strategiska prioriteringar för framtida europeiska system för cybersäkerhetscertifiering, med beaktande av den senaste lagstiftnings- och marknadsutvecklingen, såsom cyberresiliensakten och förordningen om europeisk digital identitet. Detta kan så småningom leda till att nya system begärs när så är nödvändigt och lämpligt. Dessutom beskrivs de strategiska prioriteringar som ska beaktas vid utarbetandet av ett europeiskt system för cybersäkerhetscertifiering.

URWP betonar följande områden för framtida europeisk cybersäkerhetscertifiering kopplad till EU-lagstiftningen:

ID-plånböcker
Hanterade säkerhetstjänster
Industriella automations- och styrsystem
Utveckling av säkerhetslivscykeln med utgångspunkt i kreditvärderingsinstitutens krav
Kryptografiska mekanismer

Europeiska gruppen för cybersäkerhetscertifiering (ECCG)

Europeiska gruppen för cybersäkerhetscertifiering (ECCG) inrättades för att bidra till att säkerställa ett konsekvent genomförande och en konsekvent tillämpning av cybersäkerhetsakten. Den består av företrädare för nationella myndigheter för cybersäkerhetscertifiering eller företrädare för andra relevanta nationella myndigheter. ECCG är avgörande för utarbetandet av det föreslagna certifieringssystemet och det allmänna genomförandet av certifieringsramen.

Intressentgruppen för cybersäkerhetscertifiering (SCCG)

Efter ikraftträdandet av cybersäkerhetsakten 2019 inrättades intressentgruppen för cybersäkerhetscertifiering.

Samordningsgruppen för cybersäkerhet ansvarar för att ge kommissionen och Enisa råd i strategiska frågor som rör cybersäkerhetscertifiering och bistå kommissionen vid utarbetandet av unionens löpande arbetsprogram. Detta är den första expertgruppen för cybersäkerhetscertifiering som lanserats av EU-kommissionen.

Följ gruppens arbete

Senaste nytt

PRESSMEDDELANDE | 20 januar 2026

Kommissionen stärker EU:s resiliens och kapacitet när det gäller cybersäkerhet

DIGIBYTE | 12 januar 2026

Commission opens call for evidence on Open-Source Digital Ecosystems

PRESS RELEASE | 19 november 2025

Simpler EU digital rules and new digital wallets to save billions for businesses and boost innovation

PRESSMEDDELANDE | 12 november 2025

Verkställande vice ordförandena Virkkunen och Mînzatu belönar insatser för att stärka européernas digitala färdigheter vid European Digital Skills Awards

PRESSMEDDELANDE | 04 november 2025

Medlemsstaterna och kommissionen testar gemensam hantering av cybersäkerhetskriser

DIGIBYTE | 18 oktober 2025

EU och Ukraina fördjupar samarbetet om cybersäkerhet vid den fjärde cyberdialogen

Läs om Cybersäkerhet

Läs mer

Översikt

EU:s cybersäkerhetspolitik

Europeiska unionen arbetar på olika fronter för att främja cyberresiliens, skydda vår kommunikation och data och hålla samhället och ekonomin på nätet säkra.

Fördjupning

Intressentgruppen för cybersäkerhetscertifiering
Intressentgruppen för cybersäkerhetscertifiering inrättades för att ge råd i strategiska frågor som...