Forordningen er et led i EU’s strategi for at etablere en fælles ramme for at håndtere cybersikkerhedsudfordringer på europæisk plan. Ambitionen med forordningen er at hæve det generelle cybersikkerhedsniveau i medlemslandene.
Forordningen har to funktioner:
Forordningen styrker ENISA ved at tildele dem et permanent mandat og øge både antal medarbejdere og økonomiske ressourcer. ENISA skal stå for driften af EU’s certificeringsramme og løbende informere offentligheden om de seneste nyheder vedrørende certificeringsordninger samt udstedte certifikater. ENISA har derudover mandat til at øge det operationelle samarbejde på EU-niveau, støtte EU-medlemsstater, der ønsker hjælp til at håndtere deres cybersikkerhedshændelser og støtte koordineringen i EU i tilfælde af større grænseoverskridende cyberangreb og kriser.
Forordningen har også til formål at etablere en fælles europæisk cybersikkerhedscertificeringsramme, der skal forbedre cybersikkerheden på tværs af det europæiske indre marked for en bred vifte af digitale produkter og tjenester. Cybersikkerhedscertificeringen er som udgangspunkt frivillig, men vil kunne blive obligatorisk, hvis Kommissionen på et tidspunkt vurderer, at der er behov for det. Certificeringsordningerne skal bidrage til at dokumentere, at IKT-produkter og -tjenester opfylder specifikke krav.
Produkterne eller tjenesterne certificeres efter forskellige kriterier og tildeles et 'grundlæggende', 'betydeligt' eller 'højt' sikkerhedsniveau. Sikkerhedsniveauerne anvendes til at informere brugerne om cybersikkerhedsrisikoen ved et produkt. Et højt sikkerhedsniveau vil betyde, at det certificerede produkt består de højeste sikkerhedstests.
I første omgang udarbejdes der tre certificeringsordninger for cybersikkerhed:
Den første certificeringsordning (EUCC) forventes at være klar i starten af 2024. Herefter vil de to øvrige certificeringsordninger blive udviklet.
I Danmark er Sikkerhedsstyrelsen den nationale myndighed for cybersikkerhedscertificering og dermed ansvarlig for at overvåge og håndhæve reglerne i den relevante certificeringsordning. De kontrollerer altså overholdelsen af forordningen og fører tilsyn med producenter og udbydere af IKT-produkter, -tjenester og -processer, der vælger enten certificering eller selverklæring.
Udover at lovgivningen har direkte indflydelse på ENISA, så får den også betydning for alle europæiske virksomheder, der ønsker at certificere deres IKT-produkter, -tjenester eller -processer ift. cybersikkerhed. Når en virksomhed gennemgår certificering, opnår de et cybersikkerhedcertifikat (overensstemmelsesattest), der beviser, at de opfylder kravene i en relevant certificeringsordning for cybersikkerhed. Certificeringerne garanterer ikke, at produktet, processen eller tjenesten har et passende sikkerhedsniveau, men blot at sikkerheden er evalueret på et vist niveau. Certifikaterne udstedes af en uafhængig certificeringsinstans, og anerkendes i alle EU-medlemsstater. Denne tværgående indsats vil gøre det nemmere for virksomheder at handle på tværs af landegrænser og samtidig gøre det lettere for forbrugerne at forstå sikkerhedsfunktionerne ved et produkt, en proces eller en tjeneste.
De tre certificeringsordninger for cybersikkerhed, der skal udarbejdes, kommer sandsynligvis til at bygge på eksisterende standarder.
Den kommende certificeringsordning for EUCC bygger på de såkaldte Common Criteria standarder, der dækker over en serie af internationale standarder, der stiller krav om sikkerheden i IT-produkter og -systemer:
I forbindelse med etableringen af den europæiske certificeringsordning for Common Criteria, er de internationale standarder blevet adopteret som europæiske standarder. Det betyder, at eventuelle nationale standarder på området ikke længere er gældende, men at der er en fælles tilgang på europæisk niveau.
De to øvrige certificeringsordninger, cloud og 5G, kommer også til at bygge på eksisterende standarder. Arbejdet med de to certificeringsordninger er under udarbejdelse.