De senaste årens cyberattacker bedöms ha klargjort riskerna med bristande säkerhet inom EU:s Information- och kommunikationsteknologis (IKT) leveranskedjor. Dessa sårbarheter i kritiska produkter pekas ut av EU-kommissionen kan få omfattande konsekvenser för samhällsviktiga tjänster och infrastruktur. I ett alltmer geopolitisk osäkert läge är leverantörsberoenden och utländsk påverkan centrala riskfaktorer som EU-kommissionen känner behov att hantera. EU-kommissionen presenterade därför den 20 januari 2026 ett nytt paket för en reviderad cybersäkerhetsakt. Förslaget syftar till att stärka EU:s förmåga att motverka cyber- och hybridattacker.

Paketet fokuserar på att stärka säkerheten i EU:s IKT-leveranskedjor, som EU-kommissionen menar spelar en roll för både digital motståndskraft och ekonomisk säkerhet. Syftet med förslaget är att med tydligare regler, ett gemensamt riskramverk och mer robusta system minska sårbarheter och skapa en säker digital inre marknad.

Paketet består av flera delar. På kort sikt föreslås åtgärder för att minska risker kopplad till högriskleverantörer i EU:s IKT-nät. På längre sikt planeras ett uppdaterat certifieringssystem genom de omarbetade förslaget om EU:s ramverk för cybersäkerhetscertifiering (ECCF), menat att underlätta för företag att tidigare visa att deras produkter är cybersäkert anpassade.

Åtgärder för att minska sårbarheter

För att minska dessa risker föreslår EU-kommissionen ett gemensamt EU-ramverk för att identifiera, bedöma och hantera säkerhetsrisker inom IKT. Ramverket ska täcka 18 sektorer med målet att skapa harmoniserade och förutsägbara regler.

EU-kommissionen föreslår i paketet en översyn av det europeiska cybersäkerhetscertifieringssystem. Genom en mer effektiv certifieringsprocess, med tydligare regler, är målet att göra det lättare för företag att visa att deras produkter och tjänster uppfyller säkerhetskraven. Certifieringarna förblir frivilliga men fungerar som ett verktyg för att stärka konkurrenskraften och förtroende hos europeiska produkter.

Som del av paketet presenterar EU-kommissionen även ändringar i NIS2-direktivet (Network and Information Security Directive 2). Det ursprungliga direktivet är tillför att stärka cybersäkerheten i samhällsviktiga tjänster genom säkerhetskrav och tydligare rapporteringsregler. Syftet med ändringarna är att minska administrativa bördor, skapa tydlighet i regler och förenkla efterlevnaden för små och medelstora företag. EU-kommissionen bedömer att detta underlättar omkring 28 700 företag inom EU, via jurisdiktionsregler och tydligare rapporteringskrav.

EU:s cybersäkerhetsmyndighet (ENISA) föreslås av EU-kommissionen att få en förstärkt roll. ENISA ska enligt förslaget ges utökade resurser för att analysera gemensamma cyberhot, tidiga varningar och stödja medlemsstater och företag vid cyberattacker. ENISA ska enligt EU-kommissionen i förslaget ansvara för EU:s nya gemensamma rapporteringskanal för incidenter och arbeta med syftet att bygga upp europeisk kompetens inom cybersäkerhet, bland annat genom Cybersecurity Skills Academy.

På längre sikt ser EU-kommissionen cybersäkerhet som en central del av unionens digitala och ekonomiska motståndskraft. De åtgärder som har presenteras i förslaget är riktad till ett arbete för att stärka teknisk säkerhet och EU:s förmåga att försvara sig mot digitala hot.

Nästa steg

Den reviderade cybersäkerhetsakten kommer att börja tillämpas omedelbart efter att den formellt godkänts av Europaparlamentet och Europeiska unionens råd. Samtidigt kommer även de förslagna ändringarna i NIS2-direktivet att läggas fram för beslut. När direktivet väl antas får medlemsstaterna ett år på sig att implementera bestämmelserna i nationell lagstiftning och att överlämna de relevanta lagtexterna till EU-kommissionen.  

/Axel Vesterlund

Läs mer om förslaget här

Läs hela förslaget om den reviderade cybersäkerhetsakten här

Läs mer om förslaget i NIS2-direktivet här

Bild: Pixabay