EU:s ram för cybersäkerhetscertifiering

EU:s ram för cybersäkerhetscertifiering av IKT-produkter möjliggör skräddarsydda och riskbaserade EU-certifieringssystem.

Certifiering spelar en avgörande roll för att öka förtroendet och säkerheten för kritiska produkter och tjänster för den digitala världen. För närvarande finns det ett antal olika system för säkerhetscertifiering av IKT-produkter i EU. Utan en gemensam ram för EU-omfattande giltiga cybersäkerhetscertifikat finns det dock en ökande risk för fragmentering och hinder mellan medlemsstaterna.

Certifieringsramen

Certifieringsramen kommer att tillhandahålla EU-omfattande certifieringssystem som en omfattande uppsättning regler, tekniska krav, standarder och förfaranden. Ramen kommer att bygga på en överenskommelse på EU-nivå om utvärdering av säkerhetsegenskaperna hos en viss IKT-baserad produkt eller tjänst. Det ska intyga att IKT-produkter och IKT-tjänster som har certifierats i enlighet med ett sådant system uppfyller angivna krav.

I varje europeiskt system bör särskilt följande anges:

De kategorier av produkter och tjänster som omfattas.
Cybersäkerhetskraven, såsom standarder eller tekniska specifikationer.
Typ av utvärdering, t.ex. självbedömning eller tredje part.
Den avsedda säkerhetsnivån.

Assuransnivån används för att informera användarna om en produkts cybersäkerhetsrisk och kan vara grundläggande, betydande och/eller hög. De står i proportion till den risknivå som är förknippad med den avsedda användningen av produkten, tjänsten eller processen, när det gäller sannolikheten för och konsekvenserna av en olycka. En hög säkerhetsnivå skulle innebära att den certifierade produkten klarade de högsta säkerhetstesterna.

Det resulterande certifikatet

Certifikatet kommer att erkännas i alla EU-medlemsstater, vilket gör det lättare för företag att handla över gränserna och för köpare att förstå produktens eller tjänstens säkerhetsdetaljer.

Mer information om arbetet med EU:s cybersäkerhetscertifiering finns i Enisas cybersäkerhetscertifiering.

EU:s system för cybersäkerhetscertifiering med gemensamma kriterier (EUCC)

Det första systemet som antas inom ramen för cybersäkerhetsakten bygger på den välkända internationella standarden Common Criteria, som används för att utfärda certifikat i Europa i nästan 30 år nu. Systemet drar nytta av det goda anseendet hos europeiska leverantörer och certifierare som använder den gemensamma kriteriebaserade certifieringen över hela världen. Systemet kommer att börja vara tillgängligt för säljare från och med den 27 februari 2025.

Systemet kommer att tillämpas i hela EU, på frivillig basis, och är inriktat på certifiering av IKT-produkters cybersäkerhet under deras livscykel, bland annat följande:

Biometriska system
Brandväggar (både hårdvara och mjukvara)
Detekterings- och svarsplattformar
Routrar
Strömställare
Specialiserad programvara (t.ex. SIEM- och IDS/IDP-system)
Datadioder
Operativsystem (även för mobila enheter)
Krypterade lagringsutrymmen
Databaser
Smarta kort och säkra element ingår i alla typer av produkter, till exempel i pass som används dagligen av alla medborgare.

Mer information om EUCC finns på Enisas webbplats för certifiering.

Unionens rullande arbetsprogram för europeisk cybersäkerhetscertifiering

Unionens rullande arbetsprogram för europeisk cybersäkerhetscertifiering offentliggjordes samtidigt som det första EU-omfattande systemet för cybersäkerhetscertifiering (EUCC). I det första URWP beskrivs strategiska prioriteringar för framtida europeiska system för cybersäkerhetscertifiering, med beaktande av den senaste lagstiftnings- och marknadsutvecklingen, såsom cyberresiliensakten och förordningen om europeisk digital identitet. Detta kan i slutändan leda till att nya system begärs när så är nödvändigt och lämpligt. Dessutom beskrivs de strategiska prioriteringar som ska beaktas vid utarbetandet av ett europeiskt system för cybersäkerhetscertifiering.

I URWP betonas följande områden för framtida europeisk cybersäkerhetscertifiering kopplad till EU-lagstiftningen:

ID-plånböcker
Hanterade säkerhetstjänster
Industriella automations- och styrsystem
Livscykelutveckling för säkerhet som bygger på kreditvärderingsinstitutens krav
Kryptografiska mekanismer

Europeiska gruppen för cybersäkerhetscertifiering (ECCG)

Europeiska gruppen för cybersäkerhetscertifiering (ECCG) inrättades för att bidra till att säkerställa ett konsekvent genomförande och en konsekvent tillämpning av cybersäkerhetsakten. Den består av företrädare för nationella myndigheter för cybersäkerhetscertifiering eller företrädare för andra relevanta nationella myndigheter. ECCG är avgörande för utarbetandet av kandidatcertifikatsystemet och det allmänna genomförandet av certifieringsramen.

Intressentgruppen för cybersäkerhetscertifiering (SCCG)

Efter det att cybersäkerhetsakten trädde i kraft 2019 inrättades gruppen för cybersäkerhetscertifiering (Stakeholder Cybersecurity Certification Group, SCCG).

Samordningsgruppen för cybersäkerhetscertifiering ansvarar för att ge råd till kommissionen och Enisa i strategiska frågor som rör cybersäkerhetscertifiering och bistå kommissionen vid utarbetandet av unionens rullande arbetsprogram. Detta är den första expertgruppen för cybersäkerhetscertifiering som inrättats av Europeiska kommissionen.

Följa gruppens arbete

Senaste nytt

Pressmeddelande
28 marec 2025

Kommissionen investerar 1,3 miljarder euro i artificiell intelligens, cybersäkerhet och digitala färdigheter

Kommissionen kommer att anslå 1,3 miljarder euro till utbyggnaden av kritisk teknik som är strategiskt viktig för Europas framtid och kontinentens tekniska suveränitet genom arbetsprogrammet för programmet för ett digitalt Europa för 2025–2027, som antas i dag.

Image representing the EU flag next to the Republic of Korea flag

Pressmeddelande
10 marec 2025

EU och Korea fördjupar banden med det banbrytande digitala handelsavtalet

EU och Republiken Korea har slutfört förhandlingarna om ett banbrytande avtal om digital handel, vilket understryker deras engagemang för ett starkt och tillförlitligt partnerskap som är lämpligt för att möta dagens snabba digitala utveckling.

Digital illustration of a glowing padlock icon surrounded by circuit board patterns and data streams, representing cybersecurity and data protection.

Pressmeddelande
24 februar 2025

Kommissionen lanserar ny cybersäkerhetsplan för att förbättra EU:s samordning av cyberkriser

I dag lägger kommissionen fram ett förslag för att säkerställa effektiva och ändamålsenliga insatser vid storskaliga cyberincidenter.

Pressmeddelande
21 februar 2025

Kommissionen och den höga representanten lägger fram kraftfulla åtgärder för att förbättra säkerheten för undervattenskablar

Den 21 februari presenterade verkställande vice ordförande Henna Virkkunen i Helsingfors det gemensamma meddelandet från kommissionen och vice ordföranden för kommissionen/unionens höga representant för utrikes frågor och säkerhetspolitik om att stärka säkerheten och motståndskraften hos undervattenskablar.

Läs om Cybersäkerhet

Läs mer

Översikt

Cybersäkerhetspolitik

Europeiska unionen arbetar på olika fronter för att främja cyberresiliens, skydda vår kommunikation och data och hålla samhället och ekonomin på nätet säkra.