Cybersäkerhetsakten – vår guide för att uppfylla lagkraven

Vi hjälper ert företag att tolka och agera utifrån Cybersäkerhetsakten, från nuvarande förordning (EU) 2019/881 till nya tillägg som 2025/37 och 2024/3143.

Här förklarar vi hur ENISA:s förstärkta mandat och den europeiska ramen för cybersäkerhetscertifiering påverkar produkter, tjänster och processer. Vi pekar på EUCC och kommande ordningar, och visar vilka praktiska krav som krävs för ansökningar och kontroller.

Vårt fokus är att ge tydlig information så att ni kan planera roadmap, minska tid till marknad och samtidigt förbättra cybersäkerheten genom återanvändbara policies, tekniska kontroller och bevisföring.

Vi beskriver vilka delar av verksamheten som omfattas, hur ni identifierar tillämpningsområde och hur leverantörskedjor påverkas av nya anmälningsprocedurer för bedömningsorgan.

Viktiga punkter att ta med sig

• Vi tolkar vilka krav som gäller idag och vilka som är på väg.
• Praktiska steg för att förbereda ansökningar och samla nödvändig information.
• Hur EUCC:s assuransnivåer relaterar till er riskprofil.
• Metoder för att återanvända dokumentation mellan certifieringar.
• Påverkan på leverantörsval och tid till marknad.

Varför svenska företag behöver agera nu för att uppfylla krav och stärka cybersäkerheten

Svenska företag står inför konkreta val för att möta nya EU‑regler och stärka sin cybersäkerhet. Certifikat som erkänns i hela EU kommer snabbt att bli mer än ett kvalitetsmärke; de kan bli ett krav i upphandlingar och i leverantörsnätverk.

En tidig satsning minskar dubbelarbete, eftersom bedömningsresultat för produkter och komponenter kan återanvändas i flera marknader. Det förkortar time‑to‑market och sänker kostnader.

Kommissionens möjlighet att göra ordningar obligatoriska påverkar go‑to‑market. Vi rekommenderar en proaktiv plan så ni hinner förstärka säkerheten innan nya krav införs.

• Stärk förtroendet i värdekedjan genom EU‑erkända bevis och tydligt samarbete med leverantörer.
• Prioritera resurser och dimensionera team för maximal affärsnytta.
• Förbered er för frågor och uppföljning från medlemsstaternas myndigheter.

Med förbättrad styrning får ni färre avbrott, snabbare incidenthantering och bättre affärskontinuitet. Vi hjälper er prioritera insatser så att investeringarna ger tydlig nytta för både teknik och affär.

Vad innebär Cybersäkerhetsakten för IKT-produkter, IKT-tjänster och IKT-processer

Reglerna skapar en gemensam ram som styr hur certifiering för ikt-produkter, ikt-tjänster och ikt-processer utformas i EU. Syftet är att harmonisera krav så att samma bedömningsmetoder gäller över gränserna.

Ordningar beskriver omfattning, kriterier och metoder, och anger tre säkerhetsnivåer: grundläggande, betydande och hög. För låg risk tillåts ofta självbedömning vid grundläggande nivå.

Betydande och hög nivå kräver formell bedömning och tydliga bevis, vilket påverkar planering av testning, sårbarhetshantering och vilka interna uppgifter ni måste dokumentera. ENISA publicerar listor över ordningar och certifikat som hjälper er välja rätt spår.

• Välj nivå utifrån riskprofil och marknadskrav.
• Sätt upp governance för livscykelkrav, uppdateringar och patchhantering.
• Fokusera på processer som ger bevis utan att bromsa utvecklingstakten.

ENISA:s roll och samarbetet med medlemsstaterna och EU:s institutioner

ENISA har ett permanent mandat att höja säkerhetsnivån i EU och fungerar som referenspunkt för teknisk rådgivning. Vi ser organisationen som en praktisk partner som minskar fragmentering och levererar resurser som landar i operativa lösningar.

Stöd till nationella myndigheter, CSIRT‑nätverket och operativt samarbete

ENISA koordinerar samarbete mellan medlemsstater och EU‑organ, bland annat genom stöd till CSIRT‑nätverket och CERT‑EU. Det ger snabbare incidentrespons och bättre informationsdelning.

• ENISA levererar information och riktlinjer som täcker både strategiska och praktiska uppgifter för myndigheter och industri.
• På kommissionens begäran utformar ENISA förslag till ordningar för cybersäkerhetscertifiering och utvärderar antagna ordningar vart femte år.
• Publicerade ordningar och certifikat på ENISA:s webbplats ökar transparensen och förenklar planering av recertifieringar.

Genom strukturerad kommunikation mellan myndigheter och leverantörer minskar dubbelarbete, och med förutsägbara resurser kan ni planera era investeringar på ett mer robust sätt.

Den europeiska ramen för cybersäkerhetscertifiering och ordningar

Europeiska ordningar harmoniserar certifieringskrav och ersätter spridda nationella system. De är frivilliga men erbjuder erkännande över gränserna, vilket förenklar marknadstillträde och minskar administrativa kostnader.

Ordningarna skyddar uppgifter som lagras, överförs och behandlas, och anger tre nivåer: grundläggande, betydande och hög. Certifikat förblir giltiga till sista giltighetsdag, vilket ger förutsägbarhet i era produktcykler.

Tillverkare och leverantörer måste offentliggöra tydlig vägledning för installation och underhåll, ange hur länge cybersäkerhetsstöd erbjuds, lämna kontaktuppgifter och peka på datakataloger över kända sårbarheter.

• Ordningar gör att ikt‑produkter och ikt‑processer bedöms enligt samma kriterier i hela EU.
• Den riktade ändringen omfattar nu även utlokaliserade säkerhetstjänster och påverkar bedömningskriterier för tjänsteportföljer.
• Organisationer, experter och intressentgrupper stödjer kommissionen och ENISA med praktisk information och bästa praxis.

Vi hjälper er att strukturera de publika paket som krävs, så att certifikat, supportpolicy och sårbarhetshantering kommuniceras tydligt mot kunder och medlemsstaterna.

Aktuella ändringar och nya regler: EUCC, utlokaliserade säkerhetstjänster och anmälan av CABs

De nya genomförandeförordningarna skapar tydliga krav på både produkt‑ och tjänsteleverantörer. EUCC, som baseras på SOG‑IS Common Criteria, gäller från 27 februari 2025 och täcker assuransnivåerna betydande och hög för hårdvara, mjukvara, chips och smartkort.

Övergångsperioden tillåter fortsatt användning av nationella certifikat och konvertering av SOG‑IS‑bevis, men kompletterande krav kan krävas vid omställning.

Vad betyder ändringen för utlokaliserade säkerhetstjänster?

Förordning (EU) 2025/37 utvidgar ramverket så att utlokaliserade säkerhetstjänster omfattas av bedömning. Det innebär att leveransmodeller, ansvarsfördelning och kontinuitets‑bevis blir centrala vid bedömning.

Anmälan av CABs och transparens i Nando

Genomförandeförordning 2024/3143 reglerar hur organisationer ackrediteras och anmäls som CABs i Nando, inklusive format för anmälan och villkor för kompetensprövning.

• Vi hjälper er förstå vilka tekniska bevis och processer som krävs för EUCC.
• Vi visar hur ni bygger sårbarhetshantering och uppgiftsbevarande i både utveckling och drift.
• Vi planerar recertifiering och val av bedömningspartner utifrån tid‑to‑market och kostnad.

Hur vi hjälper dig med cybersäkerhetscertifiering och efterlevnad

Vi tar ett helhetsgrepp för att göra certifieringsresan förutsägbar och kostnadseffektiv, och vi kopplar tekniska leverabler till affärsmål så att investeringarna ger tydlig nytta.

Gap‑analys, roadmap och stöd inför EUCC, EUCS och EU5G

Vi genomför en gap‑analys mot EUCC och förbereder er inför EUCS och EU5G, med en prioriterad roadmap som väger teknikskuld, risk och affärspåverkan.

Resultatet blir en konkret plan, tidsatt och resursberäknad, som minskar överraskningar vid bedömning.

Förberedelse av dokumentation, sårbarhetshantering och kommunikation

Vi tar fram kravspårning, evidensmatriser och processbeskrivningar som täcker de viktigaste uppgifterna i utveckling, test och drift.

Vi etablerar sårbarhetshantering med SLA:er, triage och informationsdelning och skapar tydlig kommunikation mot kunder och tillsyn.

Samarbete med anmälda organ (CABs) och dialog med myndigheter

Vi orkestrerar samarbetet med CABs, planerar Nando‑tidslinjer och förbereder tekniska underlag för att göra bedömningen förutsägbar.

Vi stödjer även dialog med nationella myndigheter och ENISA‑forum, så att beslut dokumenteras och åtgärdas i tid.

• Vi anpassar arbetet efter era produkter och driftsatta lösningar för återanvändbara artefakter.
• Vi hjälper till att visa att era säkerhetstjänster och tjänster uppfyller relevanta krav.

Vår process för att förbättra cybersäkerheten och uppnå certifikat

Vi inleder med en konkret kartläggning som visar vilka processer och ikt-processer som påverkas av aktuella ordningar, och vi definierar tydligt objektsbeskrivning och tillämpningsområde.

Därefter mappar vi befintliga kontroller mot utvärderingskriterier och tar fram en gap‑lista som prioriterar åtgärder efter risk och affärspåverkan.

Vi implementerar styrmodeller för risk, change och release som följer ordningarnas metodkrav, vilket minskar friktion mellan utveckling och compliance.

Spårbarhet byggs från riskbedömningar och tekniska kontroller till certifikatkrav, så att varje beslut lämnar en evidenskedja genom hela livscykeln.

• Rutiner för sårbarhetshantering enligt EUCC, med tidslinjer för åtgärder och publicering av relevant information.
• Återanvändbara artefakter för produkter och plattformar, som snabbar upp kommande bedömningar.
• Paketering av submissions som möter bedömningsorganens förväntningar och minskar kompletteringsbehov.

Vi mäter och rapporterar hur åtgärder förbättrar cybersäkerheten, minskar risk och visar affärsnytta, samt lägger upp en plan för recertifiering och kontinuerlig efterlevnad som synkroniseras med ordningarnas översyner.

Branschfokus: moln, 5G och hanterade säkerhetstjänster

För aktörer i moln- och nätbranschen innebär kommande ordningar nya beviskrav för både produkter och tjänster. Vi beskriver hur EUCS och EU5G påverkar leveranskedjan, och hur hanterade säkerhetstjänster successivt får tydligare bedömningskriterier.

EUCS för molntjänster och konsekvenser för leverantörer och kunder

EUCS kräver att molnleverantörer visar upp kontrollramverk, hantering av datalokalitet och nivåanpassad bedömning. Vi hjälper till att paketera dokumentation så att både kunder och leverantörer kan visa spårbarhet och driftsäkerhet.

EU5G och krav på produkter, nät och komponenter

EU5G sätter fokus på tekniska bevis för radio, core och edge, och ställer krav på leverantörskedjan för ikt-produkter. Vi förbereder testplaner och bevisinsamling som täcker komponenters roll i hela nätet.

Den riktade ändringen öppnar även för ordningar som omfattar säkerhetstjänster såsom SOC, incidenthantering och penetrationstest, vilket ökar behovet av formaliserat samarbete mellan leverantör och kund.

• Dokumentera hybrida leveranser och knyt SLA:er till mätetal som stöder cybersäkerhetscertifiering.
• Synkronisera roadmap för produkter och tjänsteportföljer över flera medlemsstater.
• Skapa avtal som reglerar ansvar, datadelning och loggkrav för tredjepartsleverantörer.

Cybersäkerhetsakten

Genom löpande uppdrag till ENISA och dialog med intressenter fastställs tidpunkter och omfattning för nya krav på produkter och tjänster. Det ger branschen tydliga signaler om när design och leverans måste anpassas.

Kommissionen publicerar ett arbetsprogram som styr prioriteringar, och den europeiska kommissionen kan begära att ENISA tar fram ordningar och vägledningar. På så sätt blir regelverket dynamiskt och momenten planerade.

Expert- och intressentgrupper involverar experter från näringsliv och myndigheter så att praktiska uppgifter och bedömningsmodeller speglar verkliga behov.

• Den riktade ändringen från januari 2025 inkluderar hanterade säkerhetstjänster och klargör ansvar för leverantörer och köpare.
• Offentliga samråd, som inleddes i april 2025, ger företag möjlighet att bevaka riktningen och anpassa evidensinsamling.
• Vi rekommenderar att ni integrerar cybersäkerhet i produkt- och tjänstelivscykler med governance för spårbarhet och mätetal.

Vi kan hjälpa er att organisera roller, mandat och KPI:er så att ni levererar förutsägbara resultat vid kommande granskningar från kommissionen och andra granskare.

Slutsats

Avslutningsvis rekommenderar vi att ni omedelbart planerar er resa mot cybersäkerhetscertifiering, med fokus på EUCC nu och förberedelser för EUCS och EU5G, för att säkra marknadstillträde och kundförtroende.

Ramen ger en gemensam spelplan där ENISA publicerar ordningar och erkända certifikat, vilket innebär att en enda certifiering kan räcka för hela EU och täcka både ikt-produkter, ikt-processer och centrala tjänster.

Vår praktiska handlingsplan börjar med gap‑analys, val av mål‑assuransnivå, etablerad sårbarhetshantering och tydliga dokumentationsflöden, följt av val av CAB och en realistisk tidplan. Observera att även säkerhetstjänster nu omfattas och bör ses över i leverans‑ och SLA‑avtal.

Vi erbjuder partnerskap där vi tar ansvar för strategi, genomförande och kontinuerlig förbättring, så att ni når certifikat snabbare och med lägre operativ belastning. Låt oss tillsammans bygga en affärsdriven och skalbar efterlevnadsmodell.

FAQ

Vad är målet med Cybersäkerhetsakten och hur påverkar den våra produkter och tjänster?

Målet är att skapa en harmoniserad europeisk ram för cybersäkerhetscertifiering som ökar förtroendet för IKT-produkter, IKT-tjänster och IKT-processer, minskar fragmentering mellan medlemsstaterna och ställer tydliga krav på tillverkare och leverantörer kring säkerhetsnivåer, offentliggörande av information och certifikat.

Varför behöver svenska företag agera nu för att uppfylla kraven?

Företag måste agera proaktivt för att undvika marknadshinder och sanktioner, säkerställa kompatibilitet med EU:s ordningar som EUCC och EUCS, och för att skydda sina kunder och affärsdata genom bättre processer, kommunikation och resurshantering.

Hur fungerar klassificeringen av säkerhetsnivåer: grundläggande, betydande och hög?

Nivåerna anger kravens strikthet och granskningsdjup: grundläggande täcker lägre riskprodukter med enklare kontroller, betydande kräver mer omfattande gransknings- och assuransåtgärder, medan hög innebär djup teknisk bedömning och högre krav på transparens, sårbarhetshantering och dokumentation.

Vad är EUCC och vilka assuransnivåer omfattar den?

EUCC är en Common Criteria-baserad ordning för IKT-produkter som särskilt reglerar assuransnivåerna ”betydande” och ”hög”, vilket innebär att produkter utsätts för formell granskning och tester av anmälda organ för att verifiera teknisk säkerhet och efterlevnad.

Hur påverkar ändringen 2025/37 företag som levererar säkerhetstjänster?

Riktad ändring 2025/37 utökar ramen till att inkludera utlokaliserade säkerhetstjänster, vilket kräver att leverantörer klargör ansvar, säkerhetsåtgärder och samarbetsrutiner, samt att vissa tjänster kan behöva certifiering eller anmälan till relevanta myndigheter.

Vad innebär genomförandeförordning 2024/3143 för CABs och anmälan via Nando?

Förordningen kräver att organ för bedömning av överensstämmelse (CABs) anmäls genom NANDO-plattformen, vilket ökar transparensen och möjliggör operativt samarbete mellan medlemsstater och kommissionen, samt tydliggör ackrediterings- och övervakningskrav.

Vilken roll har ENISA i detta ramverk och hur samarbetar de med medlemsstaterna?

ENISA ska stödja nationella myndigheter, CSIRT-nätverket och operativt samarbete genom vägledning, harmonisering av ordningar och teknisk expertis, samt bistå i utveckling av certifieringsmodeller och informationsutbyte mellan medlemsstater och EU-institutioner.

Vad måste tillverkare och leverantörer offentliggöra för certifierade produkter och tjänster?

De måste tillhandahålla tydlig dokumentation om certifikatets räckvidd, säkerhetsnivå, sårbarhetshanteringsprocesser, kontaktpunkter för incidentrapportering och annan relevant information som underlättar riskbedömning för kunder och myndigheter.

Hur kan vi som företag förbereda oss inför EUCC, EUCS och EU5G?

Vi rekommenderar en gap-analys följt av en roadmap, förberedelse av teknisk och administrativ dokumentation, etablering av sårbarhetshantering och kommunikationsrutiner, samt tidig dialog med anmälda organ och relevanta myndigheter för att effektivisera certifieringsprocessen.

Vad innebär frivilliga ordningar som ersätter nationella system?

Frivilliga europeiska ordningar harmoniserar krav och bedömningar i hela EU, vilket minskar behovet av separata nationella certifikat, underlättar marknadstillträde och skapar enhetliga förväntningar på tekniska och organisatoriska säkerhetsåtgärder.

Vilka särskilda krav gäller för molntjänster och EUCS?

EUCS ställer krav på skydd av data, transparens i leveranskedjan, ansvarsfördelning mellan kund och leverantör samt tekniska kontroller för konfidentialitet, integritet och tillgänglighet; leverantörer måste dokumentera dessa aspekter för kunder och certifieringsorgan.

Hur stödjer ni samarbete med anmälda organ (CABs) och myndigheter?

Vi agerar som partner i dialogen genom att förbereda underlag, koordinera tester och revisioner, kommunicera tekniska krav och följa upp åtgärder, så att processen mot certifikat blir tydlig, kostnadseffektiv och tekniskt förankrad.

Vilka praktiska steg ingår i er process för att förbättra cybersäkerheten och uppnå certifikat?

Processen börjar med kartläggning och riskanalys, fortsätter med gap-analys och roadmap, inkluderar dokumentation och tekniska åtgärder, samt avslutas med testning, samarbete med CABs och löpande förbättring av organisationens processer och kommunikation.

Hur påverkar dessa regler leverantörer av hanterade säkerhetstjänster?

Leverantörer måste formalisera roller och ansvar, implementera robusta sårbarhetshanterings- och incidentrutiner, och i vissa fall genomgå certifiering eller anmälan för att visa efterlevnad och säkerställa kundernas förtroende.