Cybersäkerhetsakten – vår guide för att uppfylla lagkraven

Vi hjälper ert företag att tolka och agera utifrån Cybersäkerhetsakten, från nuvarande förordning (EU) 2019/881 till nya tillägg som 2025/37 och 2024/3143.

Här förklarar vi hur ENISA:s förstärkta mandat och den europeiska ramen för cybersäkerhetscertifiering påverkar produkter, tjänster och processer. Vi pekar på EUCC och kommande ordningar, och visar vilka praktiska krav som krävs för ansökningar och kontroller.

Vårt fokus är att ge tydlig information så att ni kan planera roadmap, minska tid till marknad och samtidigt förbättra cybersäkerheten genom återanvändbara policies, tekniska kontroller och bevisföring.

Vi beskriver vilka delar av verksamheten som omfattas, hur ni identifierar tillämpningsområde och hur leverantörskedjor påverkas av nya anmälningsprocedurer för bedömningsorgan.

Viktiga punkter att ta med sig

• Vi tolkar vilka krav som gäller idag och vilka som är på väg.
• Praktiska steg för att förbereda ansökningar och samla nödvändig information.
• Hur EUCC:s assuransnivåer relaterar till er riskprofil.
• Metoder för att återanvända dokumentation mellan certifieringar.
• Påverkan på leverantörsval och tid till marknad.

Varför svenska företag behöver agera nu för att uppfylla krav och stärka cybersäkerheten

Svenska företag står inför konkreta val för att möta nya EU‑regler och stärka sin cybersäkerhet. Certifikat som erkänns i hela EU kommer snabbt att bli mer än ett kvalitetsmärke; de kan bli ett krav i upphandlingar och i leverantörsnätverk.

En tidig satsning minskar dubbelarbete, eftersom bedömningsresultat för produkter och komponenter kan återanvändas i flera marknader. Det förkortar time‑to‑market och sänker kostnader.

Kommissionens möjlighet att göra ordningar obligatoriska påverkar go‑to‑market. Vi rekommenderar en proaktiv plan så ni hinner förstärka säkerheten innan nya krav införs.

• Stärk förtroendet i värdekedjan genom EU‑erkända bevis och tydligt samarbete med leverantörer.
• Prioritera resurser och dimensionera team för maximal affärsnytta.
• Förbered er för frågor och uppföljning från medlemsstaternas myndigheter.

Med förbättrad styrning får ni färre avbrott, snabbare incidenthantering och bättre affärskontinuitet. Vi hjälper er prioritera insatser så att investeringarna ger tydlig nytta för både teknik och affär.

Vad innebär Cybersäkerhetsakten för IKT-produkter, IKT-tjänster och IKT-processer

Reglerna skapar en gemensam ram som styr hur certifiering för ikt-produkter, ikt-tjänster och ikt-processer utformas i EU. Syftet är att harmonisera krav så att samma bedömningsmetoder gäller över gränserna.

Ordningar beskriver omfattning, kriterier och metoder, och anger tre säkerhetsnivåer: grundläggande, betydande och hög. För låg risk tillåts ofta självbedömning vid grundläggande nivå.

Betydande och hög nivå kräver formell bedömning och tydliga bevis, vilket påverkar planering av testning, sårbarhetshantering och vilka interna uppgifter ni måste dokumentera. ENISA publicerar listor över ordningar och certifikat som hjälper er välja rätt spår.

• Välj nivå utifrån riskprofil och marknadskrav.
• Sätt upp governance för livscykelkrav, uppdateringar och patchhantering.
• Fokusera på processer som ger bevis utan att bromsa utvecklingstakten.

ENISA:s roll och samarbetet med medlemsstaterna och EU:s institutioner

ENISA har ett permanent mandat att höja säkerhetsnivån i EU och fungerar som referenspunkt för teknisk rådgivning. Vi ser organisationen som en praktisk partner som minskar fragmentering och levererar resurser som landar i operativa lösningar.

Stöd till nationella myndigheter, CSIRT‑nätverket och operativt samarbete

ENISA koordinerar samarbete mellan medlemsstater och EU‑organ, bland annat genom stöd till CSIRT‑nätverket och CERT‑EU. Det ger snabbare incidentrespons och bättre informationsdelning.

• ENISA levererar information och riktlinjer som täcker både strategiska och praktiska uppgifter för myndigheter och industri.
• På kommissionens begäran utformar ENISA förslag till ordningar för cybersäkerhetscertifiering och utvärderar antagna ordningar vart femte år.
• Publicerade ordningar och certifikat på ENISA:s webbplats ökar transparensen och förenklar planering av recertifieringar.

Genom strukturerad kommunikation mellan myndigheter och leverantörer minskar dubbelarbete, och med förutsägbara resurser kan ni planera era investeringar på ett mer robust sätt.

Den europeiska ramen för cybersäkerhetscertifiering och ordningar

Europeiska ordningar harmoniserar certifieringskrav och ersätter spridda nationella system. De är frivilliga men erbjuder erkännande över gränserna, vilket förenklar marknadstillträde och minskar administrativa kostnader.

Ordningarna skyddar uppgifter som lagras, överförs och behandlas, och anger tre nivåer: grundläggande, betydande och hög. Certifikat förblir giltiga till sista giltighetsdag, vilket ger förutsägbarhet i era produktcykler.

Tillverkare och leverantörer måste offentliggöra tydlig vägledning för installation och underhåll, ange hur länge cybersäkerhetsstöd erbjuds, lämna kontaktuppgifter och peka på datakataloger över kända sårbarheter.

• Ordningar gör att ikt‑produkter och ikt‑processer bedöms enligt samma kriterier i hela EU.
• Den riktade ändringen omfattar nu även utlokaliserade säkerhetstjänster och påverkar bedömningskriterier för tjänsteportföljer.
• Organisationer, experter och intressentgrupper stödjer kommissionen och ENISA med praktisk information och bästa praxis.

Vi hjälper er att strukturera de publika paket som krävs, så att certifikat, supportpolicy och sårbarhetshantering kommuniceras tydligt mot kunder och medlemsstaterna.

Aktuella ändringar och nya regler: EUCC, utlokaliserade säkerhetstjänster och anmälan av CABs

De nya genomförandeförordningarna skapar tydliga krav på både produkt‑ och tjänsteleverantörer. EUCC, som baseras på SOG‑IS Common Criteria, gäller från 27 februari 2025 och täcker assuransnivåerna betydande och hög för hårdvara, mjukvara, chips och smartkort.

Övergångsperioden tillåter fortsatt användning av nationella certifikat och konvertering av SOG‑IS‑bevis, men kompletterande krav kan krävas vid omställning.

Vad betyder ändringen för utlokaliserade säkerhetstjänster?

Förordning (EU) 2025/37 utvidgar ramverket så att utlokaliserade säkerhetstjänster omfattas av bedömning. Det innebär att leveransmodeller, ansvarsfördelning och kontinuitets‑bevis blir centrala vid bedömning.

Anmälan av CABs och transparens i Nando

Genomförandeförordning 2024/3143 reglerar hur organisationer ackrediteras och anmäls som CABs i Nando, inklusive format för anmälan och villkor för kompetensprövning.

• Vi hjälper er förstå vilka tekniska bevis och processer som krävs för EUCC.
• Vi visar hur ni bygger sårbarhetshantering och uppgiftsbevarande i både utveckling och drift.
• Vi planerar recertifiering och val av bedömningspartner utifrån tid‑to‑market och kostnad.

Hur vi hjälper dig med cybersäkerhetscertifiering och efterlevnad

Vi tar ett helhetsgrepp för att göra certifieringsresan förutsägbar och kostnadseffektiv, och vi kopplar tekniska leverabler till affärsmål så att investeringarna ger tydlig nytta.

Gap‑analys, roadmap och stöd inför EUCC, EUCS och EU5G

Vi genomför en gap‑analys mot EUCC och förbereder er inför EUCS och EU5G, med en prioriterad roadmap som väger teknikskuld, risk och affärspåverkan.

Resultatet blir en konkret plan, tidsatt och resursberäknad, som minskar överraskningar vid bedömning.

Förberedelse av dokumentation, sårbarhetshantering och kommunikation

Vi tar fram kravspårning, evidensmatriser och processbeskrivningar som täcker de viktigaste uppgifterna i utveckling, test och drift.

Vi etablerar sårbarhetshantering med SLA:er, triage och informationsdelning och skapar tydlig kommunikation mot kunder och tillsyn.

Samarbete med anmälda organ (CABs) och dialog med myndigheter

Vi orkestrerar samarbetet med CABs, planerar Nando‑tidslinjer och förbereder tekniska underlag för att göra bedömningen förutsägbar.

Vi stödjer även dialog med nationella myndigheter och ENISA‑forum, så att beslut dokumenteras och åtgärdas i tid.

• Vi anpassar arbetet efter era produkter och driftsatta lösningar för återanvändbara artefakter.
• Vi hjälper till att visa att era säkerhetstjänster och tjänster uppfyller relevanta krav.

Vår process för att förbättra cybersäkerheten och uppnå certifikat

Vi inleder med en konkret kartläggning som visar vilka processer och ikt-processer som påverkas av aktuella ordningar, och vi definierar tydligt objektsbeskrivning och tillämpningsområde.

Därefter mappar vi befintliga kontroller mot utvärderingskriterier och tar fram en gap‑lista som prioriterar åtgärder efter risk och affärspåverkan.

Vi implementerar styrmodeller för risk, change och release som följer ordningarnas metodkrav, vilket minskar friktion mellan utveckling och compliance.

Spårbarhet byggs från riskbedömningar och tekniska kontroller till certifikatkrav, så att varje beslut lämnar en evidenskedja genom hela livscykeln.

• Rutiner för sårbarhetshantering enligt EUCC, med tidslinjer för åtgärder och publicering av relevant information.
• Återanvändbara artefakter för produkter och plattformar, som snabbar upp kommande bedömningar.
• Paketering av submissions som möter bedömningsorganens förväntningar och minskar kompletteringsbehov.

Vi mäter och rapporterar hur åtgärder förbättrar cybersäkerheten, minskar risk och visar affärsnytta, samt lägger upp en plan för recertifiering och kontinuerlig efterlevnad som synkroniseras med ordningarnas översyner.

Branschfokus: moln, 5G och hanterade säkerhetstjänster

För aktörer i moln- och nätbranschen innebär kommande ordningar nya beviskrav för både produkter och tjänster. Vi beskriver hur EUCS och EU5G påverkar leveranskedjan, och hur hanterade säkerhetstjänster successivt får tydligare bedömningskriterier.

EUCS för molntjänster och konsekvenser för leverantörer och kunder

EUCS kräver att molnleverantörer visar upp kontrollramverk, hantering av datalokalitet och nivåanpassad bedömning. Vi hjälper till att paketera dokumentation så att både kunder och leverantörer kan visa spårbarhet och driftsäkerhet.

EU5G och krav på produkter, nät och komponenter

EU5G sätter fokus på tekniska bevis för radio, core och edge, och ställer krav på leverantörskedjan för ikt-produkter. Vi förbereder testplaner och bevisinsamling som täcker komponenters roll i hela nätet.

Den riktade ändringen öppnar även för ordningar som omfattar säkerhetstjänster såsom SOC, incidenthantering och penetrationstest, vilket ökar behovet av formaliserat samarbete mellan leverantör och kund.

• Dokumentera hybrida leveranser och knyt SLA:er till mätetal som stöder cybersäkerhetscertifiering.
• Synkronisera roadmap för produkter och tjänsteportföljer över flera medlemsstater.
• Skapa avtal som reglerar ansvar, datadelning och loggkrav för tredjepartsleverantörer.

Cybersäkerhetsakten

Genom löpande uppdrag till ENISA och dialog med intressenter fastställs tidpunkter och omfattning för nya krav på produkter och tjänster. Det ger branschen tydliga signaler om när design och leverans måste anpassas.

Kommissionen publicerar ett arbetsprogram som styr prioriteringar, och den europeiska kommissionen kan begära att ENISA tar fram ordningar och vägledningar. På så sätt blir regelverket dynamiskt och momenten planerade.

Expert- och intressentgrupper involverar experter från näringsliv och myndigheter så att praktiska uppgifter och bedömningsmodeller speglar verkliga behov.

• Den riktade ändringen från januari 2025 inkluderar hanterade säkerhetstjänster och klargör ansvar för leverantörer och köpare.
• Offentliga samråd, som inleddes i april 2025, ger företag möjlighet att bevaka riktningen och anpassa evidensinsamling.
• Vi rekommenderar att ni integrerar cybersäkerhet i produkt- och tjänstelivscykler med governance för spårbarhet och mätetal.

Vi kan hjälpa er att organisera roller, mandat och KPI:er så att ni levererar förutsägbara resultat vid kommande granskningar från kommissionen och andra granskare.

Slutsats

Avslutningsvis rekommenderar vi att ni omedelbart planerar er resa mot cybersäkerhetscertifiering, med fokus på EUCC nu och förberedelser för EUCS och EU5G, för att säkra marknadstillträde och kundförtroende.

Ramen ger en gemensam spelplan där ENISA publicerar ordningar och erkända certifikat, vilket innebär att en enda certifiering kan räcka för hela EU och täcka både ikt-produkter, ikt-processer och centrala tjänster.

Vår praktiska handlingsplan börjar med gap‑analys, val av mål‑assuransnivå, etablerad sårbarhetshantering och tydliga dokumentationsflöden, följt av val av CAB och en realistisk tidplan. Observera att även säkerhetstjänster nu omfattas och bör ses över i leverans‑ och SLA‑avtal.

Vi erbjuder partnerskap där vi tar ansvar för strategi, genomförande och kontinuerlig förbättring, så att ni når certifikat snabbare och med lägre operativ belastning. Låt oss tillsammans bygga en affärsdriven och skalbar efterlevnadsmodell.

dev_opsio

See Full Bio