Gjennomføringsforordning til cybersikkerhetsforordningen - meldinger om samsvarsvurderingsorganer
Kommisjonens gjennomføringsforordning (EU) 2024/3143 av 18. desember 2024 om fastsetting av omstendighetene, formatene og prosedyrene for meldinger i henhold til artikkel 61(5) i europaparlaments- og rådsforordning (EU) 2019/881 om ENISA (European Union Agency for Cybersecurity) og om sertifisering av cybersikkerhet for informasjons- og kommunikasjonsteknologi
Commission Implementing Regulation (EU) 2024/3143 of 18 December 2024 establishing the circumstances, formats and procedures for notifications pursuant to Article 61(5) of Regulation (EU) 2019/881 of the European Parliament and of the Council on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification
EØS-notat | 23.10.2025 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 10.09.2025
Spesialutvalg: Kommunikasjoner
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Justis- og beredskapsdepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg XI. Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester
Kapittel i EØS-avtalen:
Status
Gjennomføringsforordningen ble vedtatt 18. desember 2024 og trådte i kraft i EU 8. januar 2025.
Sammendrag av innhold
Forordningen har som formål å gjennomføre sikre en harmonisert tilnærming til meldinger etter cybersikkerhetsforordningen artikkel 61 og forenkle meldingsprosessen til EU-kommisjonen. Gjennomføringsforordningen gir regler som spesifiserer omstendighetene, formatene og prosedyrene for meldingene.
Etter cybersikkerhetsforordningen artikkel 61(1) skal nasjonale cybersikkerhetssertifiseringsmyndigheter melde inn samsvarsvurderingsorganer som er akkreditert, og eventuelt autorisert, til å utstede europeiske cybersikkerhetssertifikater. Etter artikkel 61(2) skal EU-kommisjonen offentliggjøre en liste over de innmeldte samsvarsvurderingsorganene.
I Artikkel 2 presiseres det blant annet at nasjonale cybersikkerhetssertifiseringsmyndigheter skal benytte det elektroniske varslingsverktøyet som er utviklet og som forvaltes av EU-kommisjonen, jf. beslutning nr. 768/2008/EF[KM1] . I vedlegget til forordningen fremgår det hva varselet skal inneholde.
Artikkel 3 fastsetter at Kommisjonen skal tildele et identifikasjonsnummer til innmeldte samsvarsvurderingsorganer. Selv om organet er meldt i henhold til flere europeiske cybersikkerhetssertifiseringsordninger eller unionsrettsakter, skal den likevel tildeles et identifikasjonsnummer i henhold til denne gjennomføringsforordningen.
Når Kommisjonen gjør listen over de meldte samsvarsvurderingsorganene tilgjengelig på det elektroniske varslingsverktøyet, skal den inkludere identifikasjonsnumrene som er tildelt de meldte samsvarsvurderingsorganene og aktivitetene de er meldt for.
ENISA skal gjøre informasjonen om de meldte samsvarsvurderingsorganene tilgjengelig på nettstedet om europeiske cybersikkerhetssertifiseringsordninger nevnt i artikkel 50 (1) i forordning (EU) 2019/881.
Artikkel 4 fastsetter regler for endringsmeldinger. Blant annet skal nasjonale cybersikkerhetsmyndigheter uten unødige forsinkelser gi varsel om endringer. Myndighetene skal også etter behov begrense, suspendere eller trekke tilbake en melding dersom myndighetene, i samarbeid med det nasjonale akkrediteringsorganet, kommer til at et innmeldt samsvarsvurderingsorgan ikke lenger oppfyller kravene. Dette skal også varsles til EU-kommisjonen uten unødige forsinkelser.
Merknader
Rettslige konsekvenser
Forordningen er en gjennomføringsforordning til europaparlaments- og rådsforordning (EU) 2019/881 (cybersikkerhetsforordningen), som er innlemmet i EØS-avtalen. Det konstitusjonelle forbeholdet for innlemmelse av rettsakten er også hevet, så forordningen er gjeldende i Norge. Digitalsikkerhetsloven (som trer i kraft 1. oktober 2025) gir hjemmel til å inkorporere cybersikkerhetsforordningen som norsk forskrift. Slik forskrift er under utarbeidelse i justis- og beredskapsdepartementet. Gjennomføringsforordningen vil på samme måte gjennomføres i nasjonal rett ved at den i sin helhet inkorporeres som forskrift til digitalsikkerhetsloven.
Økonomiske og administrative konsekvenser
Gjennomføringsforordningen spesifiserer allerede gjeldende forpliktelser som følge av cybersikkerhetsforordningen. Forordningen vil dermed ikke innebære en økning i økonomiske eller administrative konsekvenser sammenlignet med cybersikkerhetsforordningen.
Sakkyndige instansers merknader
Dette EØS-notatet har vært forelagt Spesialutvalget for Kommunikasjoner.
Vurdering
Forordningen gjennomfører bestemmelser i cybersikkerhetsforordningen som allerede er innlemmet i EØS-avtalen og gjeldende i EØS. Gjennomføringsforordningen anses dermed som EØS-relevant og akseptabel.
Andre opplysninger
Nøkkelinformasjon
| Institusjon: | Kommisjonen |
| Type rettsakt: | Forordning |
| KOM-nr.: | |
| Rettsaktnr.: | (EU) 2024/3143 |
| Basis rettsaktnr.: | |
| Celexnr.: | 32024R3143 |
EFTA-prosessen
| Dato mottatt standardskjema: | 06.01.2025 |
| Frist returnering standardskjema: | 28.04.2025 |
| Dato returnert standardskjema: | |
| EØS-relevant: | Ja |
| Akseptabelt: | Ja |
| Tekniske tilpasningstekster: | Nei |
| Materielle tilpasningstekster: | Nei |
| Art. 103-forbehold: | Nei |
Norsk regelverk
| Endring av norsk regelverk: | Ja |
| Høringsstart: | |
| Høringsfrist: | |
| Frist for gjennomføring: |