20. januar la Europakommisjonen frem en cybersikkertspakke som skal bidra til å styrke EUs kapasitet og motstandskraft innen cybersikkerhet. Pakken inneholder to elementer: forslag til revidert cybersikkerhetsforordning («Cyber Security Act 2») og en målrettet endring av NIS2-direktivet.

Revidert cybersikkerhetsforordning

Målet med revisjonen er å forbedre sikkerheten i EUs forsyningskjeder for IKT. Forslaget skal også bidra til å lette overholdelse av eksisterende cybersikkerhetsregler, styrke EUs byrå for cybersikkerhet (ENISA), og sørge for at produkter som når EUs borgere kan cybersikres gjennom enklere sertifiseringsprosesser. Forslaget er markert EØS-relevant fra Kommisjonens side, og opphever cybersikkerhetsforordningen fra 2019 som er innlemmet i EØS. 2019-forordningen etablerte et permanent mandat for ENISA og innførte et europeisk rammeverk for cybersikkerhetssertifisering.

Bakgrunn

20. januar la Kommisjonen frem en evalueringen av ENISA og det europeiske rammeverket for cybersikkerhetssertifisering. Evalueringen identifiserte flere utfordringer, blant annet at ENISAs mandat «could benefit from strategically reassessing its re priorities to adapt smoothly to evolving cybersecurity challenges».

Å styrke ENISAs operative rolle kan adressere disse bekymringene. En omstrukturering vil gjøre det mulig for ENISA å takle dynamiske trusler mer proaktivt, og ha økt påvirkning gjennom felles opplæringsinitiativ. Evalueringen påpekte også behov for et sterkere og mer åpent forhold til medlemsstatene. Evalueringen viser også at det europeiske rammeverket for cybersertifisering har svakheter, der langvarige sertifiseringsprosesser forverres av teknisk kompleksitet og press fra lobbyvirksomhet.

I sin begrunnelse for revisjonen av forordningen viser Kommisjonen også til at trussel-landskapet har utviklet seg betydelig siden 2019, og til en kompleks geopolitisk virkelighet. Både EUs strategi for en europeisk beredskapsunien og EUs indre sikkerhetsstrategi (ProtectEU) gir cybersikkerhet en sentral plass i europeisk motstandsdyktighet, og sikkerhetspakken kan derfor også forstås i lys av disse.

Kommisjonen skriver at forordningsforslaget tar sikte på å håndtere:

• misforhold mellom EUs rammeverk for cybersikkerhet og interessenters behov
• forsinket gjennomføring av rammeverket for cybersikkerhetssertifisering
• kompleksiteten og mangfoldet i cybersikkerhetsrelaterte retningslinjer
• økende sikkerhetsrisikoer i IKT-forsyningskjeder

Basert på disse utfordringene er Kommisjonens overordnede mål å øke kapasitet og motstandskraft gjennom å (i) bidra til å styrke EUs cybersikkerhetsforvaltning slik at myndigheter og interessenter er bedre forberedt på å forebygge, oppdage og reagere på trusler, (ii) å støtte utvikling, gjennomføring og bruk av felles EU-instrumenter (som sertifiseringsordninger) og et harmonisert rammeverk på tvers av EUs medlemsstater.

Forslaget lister opp flere spesifikke mål (s. 2), herunder mer strukturert mellomstatlig samarbeid og målet om å «De-risk critical ICT supply chains from entities established in or controlled by entities from third countries posing cybersecurity concerns (highrisk suppliers) and reduce critical dependencies by developing a coherent and effective framework at EU level to address ICT supply chain security risks.» I vedlegget til forslaget (må lastes ned) gis en oversikt over hvilke endringer som er foreslått i forhold til forordningen fra 2019.

Styrking av sikkerheten i EUs IKT-forsyningskjeder

Den foreslåtte forordningen har som mål å redusere risiko i EUs IKT-forsyningskjede fra leverandører fra tredjeland. Forslaget etablerer et rammeverk for sikkerhet i IKT-forsyningskjeden. Pakken gir EU-myndigheter mulighet til obligatorisk risikovurdering i telekomnett fra høyrisiko-leverandører, basert på 5G security toolbox. Fakta-arket illustrerer hvordan dette skal foregå:

• koordinerte risikovurderinger på EU-nivå for å identifisere sårbarheter
• identifisering av viktige ressurser i IKT- forsyningskjedene
• avbøtende tiltak for å håndtere identifiserte risiko

Agence Europe skriver at forslaget gjør det mulig for Kommisjonen og medlemsstatene å innføre restriksjoner (tilgang til offentlige anskaffelser, visse EU-programmer, sertifiseringer) eller til og med utelukke visse leverandører eller produsenter. Politico skriver at «The cyber bill aims to restrict Chinese vendors from providing tech equipment for critical and sensitive infrastructure in Europe and is expected to impact wider tech supply chains across telecoms, energy, security and transport sectors.»

Forenkling og styrking av rammeverket for cybersikkerhetssertifisering

Forordningslaget vil sikre at produkter og tjenester som når EUs forbrukere testes mer effektivt. Dette vil bli gjort gjennom et rammeverk for cybersikkerhetssertifisering. Rammeverket skal bidra til å sikre et høyt sikkerhetsnivå i komplekse IKT-forsyningskjeder for borgere, bedrifter og myndigheter, jf. illustrajon i fakta-arket (s. 2) om hvordan systemet skal fungere.

Pakken inneholder også tiltak for å forenkle overholdelsen av EUs nettsikkerhetsregler for selskaper som opererer i EU, og supplerer det foreslåtte kontaktpunktet for hendelsesrapportering.  

Styrking av ENISA

Da Kommisjonen ba om innspill til forslaget som nå er lagt frem inkluderte høringen en tydeliggjøring av mandatet til ENISA, jf. omtale i EU/EØS-nytt 6. mai 2025. Siden vedtakelsen av den første cybersikkerhetsforordningen i 2019 har ENISA blitt en hjørnestein i EUs cybersikkerhetsøkosystem. Europaparlamentets utredningstjeneste orienterer i en briefing nærmere om utviklingen av ENISAs rolle siden 2019: I løpet av de siste årene har ENISA blitt en etablert aktør. Byrået har støttet medlemsstatene i politikkutvikling, bidratt til å bygge teknisk og operativ kapasitet, og fremmet utveksling av «god praksis». ENISAs betydning når det gjelder å legge til rettet for samarbeid og tilby ekspertise er bredt anerkjent. Samtidig har utvidelsen av byråets mandat skapt utfordringer når det gjelder prioritering, og interessenter melder at det er behov for sterkere koordineringsmekanismer.

Forordningsforslaget «Cyber Security Act 2» styrker blant annet ENISAs rolle i operativt samarbeid, blant annet ved «tidlig varsling» om cybertrusler og -hendelser. ENISA skal også sikres tilstrekkelige ressurser. Videre skal ENISA i samarbeid med Europol og Computer Security Incident Response Teams støtte bedrifter etter utpressingsforsøk. Byrået vil også spille en nøkkelrolle i å videreutvikle «Cybersecurity Skills Academy».

Endring av NIS2

NIS2-direktivet om sikkerhet i nett- og informasjonssystemer ligger til vurdering for innlemmelse i EØS. Direktivet ble vedtatt i 2022 og skal erstatte NIS1-direktivet, som også er innlemmet i EØS. NIS2- direktivet sitt virkeområde omfatter tilbydere av samfunnsviktige tjenester innen 18 definerte sektorer. NIS2 er en del av en større pakke med tiltak fra EU, hvor også direktiv (EU) 2022/2557 om kritiske enheters motstandsdyktighet (CER-direktivet) inngår. Daværende justis- og beredskapsminister Emilie Mehl orienterte Europautvalget 15. mars 2024 om arbeidet med å utrede hvordan NIS2-direktivet og CER-direktivet kan og bør gjennomføres i norsk rett. For nærmere informasjon, se informasjonspakken til Europautvalget 15. mars 2024.  EU/EØS-nytt omtalte også nye gjennomføringsregler under NIS2 i EU/EØS-nytt 23. oktober 2024.

Et forslag til en målrettet endring av NIS 2-direktivet (Europalov) ledsager forordningsforslaget. Også denne rettsakten er markert EØS-relevant fra Kommisjonens side. Rettsakten omhandler forenklingstiltak og tilpasninger til den foreslåtte cybersikkerhetsforordningen. Direktivet støtter opp om revisjon av cybersikkerhetsforordningen, og vil «address the specific objective 4 (SPO4) of the CSA revision impact assessment, i.e. to establish mechanisms and conditions to help facilitate compliance with cybersecurity requirements and in that way make their implementation more coherent and effective. Targeted amendments to the NIS 2 Directive aim to simplify compliance with and ensure streamlined and coherent implementation of specific aspects of the cybersecurity framework, including with regard to scope, definitions, ransomware reporting and supervision of entities providing cross-border services.» Endringene innfører definisjonsmessige avklaringer og presiserer direktivets virkeområde. Kommisjonen påpeker blant annet at «Considering the increasing risks to submarine data transmission infrastructure and their resulting high criticality, it is necessary to ensure that all types of operators of submarine data transmission infrastructure are covered by Directive (EU) 2022/2555.»

Reaksjoner

Briefingen fra EPRS (fra januar 2026) omtaler utvalgte «experts' and stakeholders' views» tilknyttet revisjonen av cybersikkerhetsforordningen. Politico anslår at forslaget vil bli gjenstand for diskusjon i Rådet, da nasjonale sikkerhetsspørsmål er et område som faller utenfor EUs kompetanse. Politico viser også til uttalelser fra bransjen, som telekomlobbygruppen Connect Europe, som sier: «Connect Europe warns that the adoption of the current CSA draft will exacerbate the burden imposed on the sector, with multi-billion-euro additional regulatory costs that are currently likely to be underestimated. While the proposal seeks to revamp the EU cybersecurity certification framework, its ICT supply chain obligations risk imposing significant additional constraints on operators.»

Betydning for Norge

Rettsaktene i cybersikkerhetspakken er markert EØS-relevante fra Kommisjonens side. Cybersikkerhetsforordningen fra 2019 er også innlemmet i EØS-avtalen, og regjeringen arbeider med å utrede hvordan NIS2 skal gjennomføres i norsk rett. Norge deltar også i ENISA, og en økt rolle for byrået antas dermed også å kunne få betydning for Norge.

Ytterligere informasjon

Commission strengthens EU cybersecurity resilience and capabilities  
Questions & Answers | Factsheet
Revised Cybersecurity Act
NIS2 targeted amendments
Briefing fra EPs utredningstjeneste (januar 2026)