(fra deparrtementets EØS-notat, sist oppdatert 23.10.2025)

Sammendrag av innhold

Forordningen har som formål å gjennomføre sikre en harmonisert tilnærming til meldinger etter cybersikkerhetsforordningen artikkel 61 og forenkle meldingsprosessen til EU-kommisjonen. Gjennomføringsforordningen gir regler som spesifiserer omstendighetene, formatene og prosedyrene for meldingene.

Etter cybersikkerhetsforordningen artikkel 61(1) skal nasjonale cybersikkerhetssertifiseringsmyndigheter melde inn samsvarsvurderingsorganer som er akkreditert, og eventuelt autorisert, til å utstede europeiske cybersikkerhetssertifikater. Etter artikkel 61(2) skal EU-kommisjonen offentliggjøre en liste over de innmeldte samsvarsvurderingsorganene.

I Artikkel 2 presiseres det blant annet at nasjonale cybersikkerhetssertifiseringsmyndigheter skal benytte det elektroniske varslingsverktøyet som er utviklet og som forvaltes av EU-kommisjonen, jf. beslutning nr. 768/2008/EF[KM1] . I vedlegget til forordningen fremgår det hva varselet skal inneholde.

Artikkel 3 fastsetter at Kommisjonen skal tildele et identifikasjonsnummer til innmeldte samsvarsvurderingsorganer. Selv om organet er meldt i henhold til flere europeiske cybersikkerhetssertifiseringsordninger eller unionsrettsakter, skal den likevel tildeles et identifikasjonsnummer i henhold til denne gjennomføringsforordningen.

Når Kommisjonen gjør listen over de meldte samsvarsvurderingsorganene tilgjengelig på det elektroniske varslingsverktøyet, skal den inkludere identifikasjonsnumrene som er tildelt de meldte samsvarsvurderingsorganene og aktivitetene de er meldt for.

ENISA skal gjøre informasjonen om de meldte samsvarsvurderingsorganene tilgjengelig på nettstedet om europeiske cybersikkerhetssertifiseringsordninger nevnt i artikkel 50 (1) i forordning (EU) 2019/881.

Artikkel 4 fastsetter regler for endringsmeldinger. Blant annet skal nasjonale cybersikkerhetsmyndigheter uten unødige forsinkelser gi varsel om endringer. Myndighetene skal også etter behov begrense, suspendere eller trekke tilbake en melding dersom myndighetene, i samarbeid med det nasjonale akkrediteringsorganet, kommer til at et innmeldt samsvarsvurderingsorgan ikke lenger oppfyller kravene. Dette skal også varsles til EU-kommisjonen uten unødige forsinkelser.

Merknader
Rettslige konsekvenser

Forordningen er en gjennomføringsforordning til europaparlaments- og rådsforordning (EU) 2019/881 (cybersikkerhetsforordningen), som er innlemmet i EØS-avtalen. Det konstitusjonelle forbeholdet for innlemmelse av rettsakten er også hevet, så forordningen er gjeldende i Norge. Digitalsikkerhetsloven (som trer i kraft 1. oktober 2025) gir hjemmel til å inkorporere cybersikkerhetsforordningen som norsk forskrift. Slik forskrift er under utarbeidelse i justis- og beredskapsdepartementet.  Gjennomføringsforordningen vil på samme måte gjennomføres i nasjonal rett ved at den i sin helhet inkorporeres som forskrift til digitalsikkerhetsloven.

Økonomiske og administrative konsekvenser

Gjennomføringsforordningen spesifiserer allerede gjeldende forpliktelser som følge av cybersikkerhetsforordningen. Forordningen vil dermed ikke innebære en økning i økonomiske eller administrative konsekvenser sammenlignet med cybersikkerhetsforordningen.

Sakkyndige instansers merknader

Dette EØS-notatet har vært forelagt Spesialutvalget for Kommunikasjoner.

Vurdering

Forordningen gjennomfører bestemmelser i cybersikkerhetsforordningen som allerede er innlemmet i EØS-avtalen og gjeldende i EØS. Gjennomføringsforordningen anses dermed som EØS-relevant og akseptabel.

Status

Gjennomføringsforordningen ble vedtatt 18. desember 2024 og trådte i kraft i EU 8. januar 2025.