Cyber Security Act
Innebörd, konsekvenser och tidplan för förordningen Cyber Security Act.
Senast uppdaterad: .
Innebörd, konsekvenser
Cyber Security Act (EU) 2019/881) trädde i kraft 27 Juni 2019 och ger ENISA (EU Agency for Network and Information Security) ett tydligt mandat, med nya uppgifter och resurser för att stärka säkerheten och motståndskraften i EU.En av uppgifterna är att etablera ett ramverk för cybersäkerhetscertifiering av ICT-produkter, av tjänster och av processer. Dessa certifieringar kan sedan användas för att påvisa efterlevnad mot andra förordningar eller direktiv från EU så exempelvis NIS2, eIDAS, Cyber Resilience Act eller AI act.
ENISAs uppdrag är att stödja och samordna aktiviteter mellan medlemsländerna vilket får konsvenser för att antal myndigheter i Sverige. Utöver detta kommer certifieringsramverken att få stor påverkan för de leverantörer och kunder som berörs av akten.
Detta gör SKR
SKR följer utvecklingen och kommer uppdatera här när det finns nyheter av värde för kommuner och regioner.
Tidplan, status
Den 18:e april 2023 föreslog EU kommissionen ett riktat tillägg till förordningen som innebär att ENISA även ska ta fram ramverk för certifiering av säkerhetstjänster som levereras av extern part, även kallade MSS (Managed Security Services).
Inga ramverk för certifiering är antagna ännu och arbetet går relativt långsamt. Tre förslag bereds i nuläget:
- EUCC: The European Cybersecurity Certification Scheme on Common Criteria
- EUCS: The European Certification Scheme for Cloud Services
- U5G: The European Cybersecurity Certification Scheme for 5G
Du kan få mer information om processen och vart i denna de olika ramverken befinner sig:
Informationsansvarig
-
Johan Thulin
Handläggare