Sakstrinn

  1. Faktanotat
  2. Foreløpig posisjonsnotat
  3. Posisjonsnotat
  4. Gjennomføringsnotat

Opprettet 21.06.2022

Spesialutvalg: Indre marked

Dato sist behandlet i spesialutvalg: 11.03.2026

Hovedansvarlig(e) departement(er): Digitaliserings- og forvaltningsdepartementet

Vedlegg/protokoll i EØS-avtalen: Vedlegg II. Tekniske forskrifter, standarder, prøving og sertifisering

Kapittel i EØS-avtalen: XIX. Generelle bestemmelser innen området tekniske handelshindringer

Status

Rettsakten ble vedtatt i EU 23. oktober 2024.

Rettsakten er under vurdering i EØS-/EFTA-statene.

Sammendrag av innhold

Forordningen introduserer bindende cybersikkerhetskrav for produkter med digitale elementer gjennom hele deres livssyklus, og pålegger tilsvarende forpliktelser for økonomiske aktører. Målet er å styrke cybersikkerheten i det indre marked ved å sikre at både maskinvare og programvare oppfyller definerte sikkerhetsstandarder. Forordningen skal redusere sårbarheter i produkter som plasseres på markedet i EU/EØS, og sikre at produsenter blir ansvarlige for cybersikkerheten i produktene gjennom hele produktets livssyklus.

Den fastsetter: (a) regler for tilgjengeliggjøring av produkter med digitale elementer på markedet for å sikre cybersikkerheten til slike produkter; (b) essensielle cybersikkerhetskrav for design, utvikling og produksjon av produkter med digitale elementer, og forpliktelser for økonomiske operatører i forhold til disse produktene med hensyn til cybersikkerhet; (c) essensielle cybersikkerhetskrav for håndtering av sårbarheter som produsentene skal sette i verk for å sikre cybersikkerheten til produkter med digitale elementer i den tiden produktene forventes å være i bruk, og forpliktelser for økonomiske operatører i forhold til disse prosessene; (d) regler om markedsovervåking, inkludert overvåking og håndhevelse av reglene og kravene nevnt i denne artikkelen.

Reguleringen er ment å komplementere kravene i det grunnleggende EU cybersikkerhetsrammeverket i EU, Directive on the Security of Network and Information Systems (NIS2) og EU Cybersecurity Act.

Kapittel I: Generelle bestemmelser

Angir forordningens formål, anvendelsesområde og definisjoner. Formålet er å sikre cybersikkerhet for produkter med digitale elementer og fastsette krav til design, utvikling, produksjon og håndtering av sårbarheter. Dette innebærer et ansvar fra utviklings- og designfasen og inntil fem år fra produktet plasseres på markedet. Reguleringen vil gjelde for alle produkter som er koblet enten direkte eller indirekte til en annen enhet eller et annet nettverk. Dette omfatter produkter som er koblet til et annet utstyr eller nettverk gjennom en kabel, ledning eller trådløst, eller gjennom programvaren i produktet. Produkter som ikke er direkte koblet til et annet utstyr eller nettverk omfattes også av reguleringen hvis produktet for eksempel er en del av et større system som er koblet til et nettverk eller system. På noen produktområder er det allerede fastsatt krav til nettsikkerhet på EU-nivå, og de er unntatt fra reguleringen. Dette gjelder medisinsk utstyr (forordning (EU) 2017/745), in-vitro diagnostisk medisinsk utstyr (forordning (EU) 2017/746), produkter omfattet av luftfartsregulering (forordning (EU) 2018/1139) og produkter omfattet av typegodkjenning av kjøretøy (forordning (EU) 2019/2144). Forordningen får heller ikke anvendelse på produkter med digitale elementer som er utviklet utelukkende for nasjonal sikkerhet eller militære formål, eller for produkter spesifikt designet for å behandle klassifisert informasjon.

Kapittel II: Økonomiske operatørers forpliktelser og bestemmelser om åpen kildekode-programvare

Beskriver forpliktelser for produsenter, importører, distributører og autoriserte representanter. Produsenter må sikre at produktene er designet, utviklet og produsert i samsvar med essensielle cybersikkerhetskrav. Det er også bestemmelser om åpen kildekode-programvare og sikkerhetsattestering.

Kapittel III: Overensstemmelse av produkter med digitale elementer

Omhandler prosedyrer for samsvarsvurdering, inkludert intern kontroll, EU-typegodkjenning og full kvalitetskontroll. Produsenter må dokumentere teknisk informasjon og sikre at produktene oppfyller cybersikkerhetskravene.

Kapittel IV: Notifisering av samsvarsvurderingsorganer

Beskriver prosessen for notifisering av samsvarsvurderingsorganer, inkludert krav til disse organene og deres operasjonelle forpliktelser. Samsvarsvurderingsorganer må være uavhengige og kompetente.

Kapittel V: Markedsovervåking og håndhevelse

Omhandler markedsovervåking, kontroll av produkter med digitale elementer på markedet, og prosedyrer for håndtering av produkter som utgjør en betydelig cybersikkerhetsrisiko. Markedsovervåkingsmyndigheter skal sikre at produkter på markedet oppfyller kravene.

Kapittel VI: Delegerte fullmakter og komitéprosedyre

Beskriver prosedyrene for delegerte fullmakter og komitéprosedyre. Kommisjonen kan vedta delegerte rettsakter for å spesifisere tekniske krav og prosedyrer.

Kapittel VII: Konfidensialitet og sanksjoner

Omhandler regler for konfidensialitet og sanksjoner ved brudd på forordningen. Medlemsstatene skal fastsette regler om straffer for overtredelser av forordningen.

Kapittel VIII: Overgangs- og sluttbestemmelser

Inneholder overgangsbestemmelser, endringer i andre regelverk og ikrafttredelse. Forordningen trer i kraft 11. desember 2027, med enkelte bestemmelser som trer i kraft tidligere.

Lenke til faktaark om forordningen: Cyber Resilience Act - Factsheet | Shaping Europe’s digital future (europa.eu)

Merknader
Rettslige konsekvenser

Gjennomføring av forordningen vil kreve endringer i nasjonal lovgivning for å innføre de nye cybersikkerhetskravene. Dette inkluderer etablering av mekanismer for samsvarsvurdering, markedsovervåking og sanksjoner ved manglende overholdelse.

Forordningen må tilpasses norsk lovverk og harmoniseres med eksisterende regler for IT-sikkerhet og personvern.

Det vil bli behov for å utpeke en nasjonal tilsynsmyndighet med ansvar for å overvåke etterlevelse og ilegge eventuelle sanksjoner.

Økonomiske og administrative konsekvenser

I høringen Cyber resilience act – new cybersecurity rules for digital products and ancillary services (europa.eu) som lå til grunn for Kommisjonens forslag, ble det vist til at initiativet forventes å ha positive økonomiske konsekvenser. Å innføre horisontale cybersikkerhetskrav for digitale produkter og tilleggstjenester vil forbedre cybersikkerheten for forbrukere og brukere i hele forsyningskjeden og øke utvalget av varer og tjenester med høyere sikkerhet. Dette vil kunne styrke tilliten til den digitale økonomien, bidra til økonomisk vekst og investeringer. Videre vil forbedring av cybersikkerheten til produkter og tjenester bidra til å redusere tap av inntekter på grunn av cyberangrep, og redusere utgifter for å forhindre angrep. En studie utført av Kommisjonen i 2021 for å vurdere behovet for horisontale cybersikkerhetskrav for digitale produkter indikerte at fordelene med regulatorisk intervensjon ville oppveie de potensielle kostnadene. Å innføre ett sett med krav til samme type produkt på EU-nivå i stedet for ulike potensielt avvikende nasjonale regler, vil redusere regulatoriske kostnader og lage like spillregler for aktørene i markedet. Dette forventes å fremme konkurranse og innovasjon og stimulere den digitale overgangen. Initiativet forventes også å ha positive sosiale konsekvenser ved at nettkriminalitet reduseres. Det vil forbedre beskyttelsen av grunnleggende rettigheter (spesielt personopplysninger) ved å bidra til å redusere antall og alvorlighetsgraden av hendelser, inkludert datainnbrudd. Til slutt ble det i høringen understreket at styrking av cybersikkerheten til digitale produkter og tilleggstjenester kan ha positive miljøpåvirkninger ved å bidra til bredere bruk av siste generasjons digitale infrastruktur og tjenester, som er mer bærekraftige. Forordningen kan også føre til utskifting av eldre infrastrukturer, som ikke bare er mindre sikre, men også mindre energieffektive og miljøvennlige. Rettsakten innebærer plikter for produsenter og andre markedsaktører som gjør digitale produkter og software tilgjengelig på markedet i EU/EØS. Nye krav vil innbære at produkter som dekkes av rettsakten må være konstruert slik at de ivaretar kravene til cybersikkerhet. Dette vil innebære økte kostnader for produsenter.

For det offentlige vil en gjennomføring av ny regulering innebære kostnader til regelverksendringer og ressurser til oppfølging med tilsyn med at aktørene overholder kravene. Det må også påregnes noen kostnader knyttet til deltaktelse i aktuelle arbeidsgrupper under Kommisjonen og oppfølging av rapporteringsplikter i forordningen.
 

Sakkyndige instansers merknader

Rettsakten er under vurdering i spesialutvalget for indre marked, der berørte departementer er representert.

Konklusjon:

Forordningen er EØS-relevant og er aktuell, og anbefales tatt inn i EØS-avtalens vedlegg II, med forbehold om Stortingets godkjenning for innlemming i EØS-avtalen.

Vurdering

Det vurderes at en regulering som fastsetter horisontale krav til digitale produkter og tilleggstjenester vil bidra til økt cybersikkerhet i Norge som i resten av EU/EØS. Norge har ikke nasjonale regler som ivaretar de utfordringene som er skissert knyttet til cybersikkerhet. En regulering på EU/EØS nivå vurderes som hensiktsmessig. Forordningen anses som EØS-relevant. Behovet for tilpasningstekst er under vurdering. 

Andre opplysninger

Nøkkelinformasjon

Institusjon: Parlament og Råd
Type rettsakt: Forordning
KOM-nr.: KOM(2022)454
Rettsaktnr.: EU 2024/2847
Basis rettsaktnr.:
Celexnr.: 32024R2847

EFTA-prosessen

Dato mottatt standardskjema: 10.12.2024
Frist returnering standardskjema: 12.04.2025
Dato returnert standardskjema:
EØS-relevant: Ja
Akseptabelt: Ja
Tekniske tilpasningstekster: Nei
Materielle tilpasningstekster: Nei
Art. 103-forbehold: Ja

Norsk regelverk

Endring av norsk regelverk: Ja
Høringsstart:
Høringsfrist:
Frist for gjennomføring:

Fylker og kommuner

Berører fylker og kommuner i vesentlig grad.

Lenker