Cyber Security Act er en forordning der er et led i EU’s strategi for at etablere en fælles ramme for at håndtere cybersikkerhedsudfordringer på europæisk plan. Ambitionen med forordningen er at hæve det generelle cybersikkerhedsniveau i medlemslandene.
Forordningen har to funktioner:
Forordningen styrker ENISA ved at tildele dem et permanent mandat og øge både antal medarbejdere og økonomiske ressourcer. ENISA skal stå for driften af EU’s certificeringsramme og løbende informere offentligheden om de seneste nyheder vedrørende certificeringsordninger samt udstedte certifikater. ENISA har derudover mandat til at øge det operationelle samarbejde på EU-niveau, støtte EU-medlemsstater, der ønsker hjælp til at håndtere deres cybersikkerhedshændelser og støtte koordineringen i EU i tilfælde af større grænseoverskridende cyberangreb og kriser.
Forordningen har også til formål at etablere en fælles europæisk cybersikkerhedscertificeringsramme, der skal forbedre cybersikkerheden på tværs af det europæiske indre marked for en bred vifte af digitale produkter og tjenester. Cybersikkerhedscertificeringen er som udgangspunkt frivillig, men vil kunne blive obligatorisk, hvis Kommissionen på et tidspunkt vurderer, at der er behov for det. Certificeringsordningerne skal bidrage til at dokumentere, at IKT-produkter og -tjenester opfylder specifikke krav.
Produkterne eller tjenesterne certificeres efter forskellige kriterier og tildeles et 'grundlæggende', 'betydeligt' eller 'højt' sikkerhedsniveau. Sikkerhedsniveauerne anvendes til at informere brugerne om cybersikkerhedsrisikoen ved et produkt. Et højt sikkerhedsniveau vil betyde, at det certificerede produkt består de højeste sikkerhedstests.
I første omgang udarbejdes der tre certificeringsordninger for cybersikkerhed:
Den første certificeringsordning (EUCC) er allerede klar og de to andre certificeringsordninger er under udvikling.
I Danmark er Styrelsen for Samfundssikkerhed den nationale cybersikerhedscertificeringsmyndighed ift. CSA’en. De er ansvarlige for at overvåge implementeringen af certifikationsskemaer og har en række opgaver såsom at godkende og føre tilsyn med de overensstemmelsesvurderingsorganer, der udfører certificeringerne, holde styr på (tilse) certifikaterne gennem hele deres levetid og deltage aktivt i udviklingen af nye europæiske certificeringsordninger m.m.
I 2026 er der kommet et forslag om at revidere Cyber Security Act. Revisionen fokuserer på at udvide ENISAs beføjelser og opgaveportefølje, styrke et fælles europæisk certificeringssystem, forenkle og harmonisere cyberregulering i EU (herunder relation til NIS 2) og udbygge sikkerhedsrammen for IKT-forsyningskæder.
Udover at lovgivningen har direkte indflydelse på ENISA, så får den også betydning for alle europæiske virksomheder, der ønsker at certificere deres IKT-produkter, -tjenester eller -processer ift. cybersikkerhed. Når en virksomhed gennemgår certificering, opnår de et cybersikkerhedcertifikat (overensstemmelsesattest), der beviser, at de opfylder kravene i en relevant certificeringsordning for cybersikkerhed. Certificeringerne garanterer ikke, at produktet, processen eller tjenesten har et passende sikkerhedsniveau, men blot at sikkerheden er evalueret på et vist niveau. Certifikaterne udstedes af en uafhængig certificeringsinstans, og anerkendes i alle EU-medlemsstater. Denne tværgående indsats vil gøre det nemmere for virksomheder at handle på tværs af landegrænser og samtidig gøre det lettere for forbrugerne at forstå sikkerhedsfunktionerne ved et produkt, en proces eller en tjeneste.
Certificeringsordningen for EUCC bygger på de såkaldte Common Criteria standarder, der dækker over en serie af internationale standarder, der stiller krav om sikkerheden i IT-produkter og -systemer:
I forbindelse med etableringen af den europæiske certificeringsordning for Common Criteria, er de internationale standarder blevet adopteret som europæiske standarder. Det betyder, at eventuelle nationale standarder på området ikke længere er gældende, men at der er en fælles tilgang på europæisk niveau.
De to øvrige certificeringsordninger, cloud og 5G, kommer også til at bygge på eksisterende standarder. Arbejdet med de to certificeringsordninger er under udarbejdelse.
