Sakstrinn

  1. Faktanotat
  2. Foreløpig posisjonsnotat
  3. Posisjonsnotat
  4. Gjennomføringsnotat

Opprettet 19.06.2026

Spesialutvalg: Indre marked

Dato sist behandlet i spesialutvalg:

Hovedansvarlig(e) departement(er): Digitaliserings- og forvaltningsdepartementet

Vedlegg/protokoll i EØS-avtalen: Vedlegg XI. Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester

Kapittel i EØS-avtalen:

Status

1. Sakens bakgrunn 

Kommisjonen vedtok 16. februar 2026 en delegert forordning som opphever delegert forordning (EU) 2022/30 

Delegert forordning (EU) 2022/30 fastsatte krav til cybersikkerhet for visse typer radioutstyr med hjemmel i radioutstyrsdirektivet (RED) 2014/53/EU. 

Bakgrunnen for opphevingen er at forordning (EU) 2024/2847 – Cyber Resilience Act (CRA) innfører et horisontalt regelverk for cybersikkerhet i produkter med digitale elementer. 

CRA dekker i praksis de samme cybersikkerhetskravene som tidligere ble regulert gjennom RED-delegert rettsakt, og gjør denne overflødig. 

2. Formål og innhold 

Formålet med rettsakten er å: 

  • unngå dobbeltregulering av cybersikkerhetskrav 

  • sikre rettslig klarhet for næringslivet 

  • samle reguleringen av cybersikkerhet i produkter under CRA 

Den delegerte rettsakten fastsetter konkret at: 

  • delegert forordning (EU) 2022/30 oppheves med virkning fra 11. desember 2027, dvs. når CRA blir fullt anvendelig  

Videre presiseres at: 

  • eksisterende regler fortsatt gjelder for produkter plassert på markedet før denne datoen 

  • harmoniserte standarder under RED vil fases ut for cybersikkerhet etter oppheving 

Merknader 
Rettslige konsekvenser 

Radioutstyrsdirektivet (RED) 

  • Fastsetter grunnleggende krav til radioutstyr (helse, EMC, frekvensbruk) 

  • Artikkel 3(3) åpner for ytterligere krav, inkludert cybersikkerhet 

Delegert forordning (EU) 2022/30 

  • Innførte krav om:  

  • beskyttelse av nettverk 

  • personvern og data 

  • beskyttelse mot svindel 

  • Gjaldt fra 1. august 2025  

Cyber Resilience Act (CRA) 

  • Vedtatt 23. oktober 2024 

  • Innfører horisontale cybersikkerhetskrav for produkter med digitale elementer  

  • Gjelder fullt ut fra 11. desember 2027 

CRA dekker de samme kravene som REDdelegert rettsakt, og erstatter denne. 

Oppsummering rettslige konsekvenser: 

  • Oppheving av gjennomført regelverk tilsvarende delegert forordning (EU) 2022/30 

  • CRA vil overta som hovedregelverk for cybersikkerhet i produkter 

  • Rettsakten er direkte knyttet til RED og CRA 

  • Rettsakten vil måtte innlemmes i EØS sammen med CRA 

Økonomiske og administrative konsekvenser 

Gjennomføringsbeslutningen innebærer ikke økte utgifter for private parter. Eventuelle kostnader for statlige myndighet vil måtte dekkes innenfor gjeldende budsjettrammer. 

Sakkyndige instansers merknader

Rettsakten anses som: 

  • en opprydding og harmonisering av regelverket 

  • nødvendig for å unngå overlapp mellom sektorspesifikke (RED) og horisontale regler (CRA) 

Dette styrker: 

  • rettslig klarhet 

  • like konkurransevilkår 

  • effektiv etterlevelse 

EU-forordningen 2024/2847 (Cyber Resilience Act – CRA) har som formål å styrke cybersikkerheten i digitale produkter og tjenester.  

Konklusjon 

Økonomisk og administrativt vurderes gjennomføringen av unntaket som uproblematisk. Det medfører ingen merkostnader for private aktører, og eventuelle kostnader for offentlige myndigheter skal håndteres innenfor eksisterende budsjettrammer.

Vurdering

Andre opplysninger

Nøkkelinformasjon

Institusjon: Kommisjonen
Type rettsakt: Forordning
KOM-nr.:
Rettsaktnr.: EU 2026/339
Basis rettsaktnr.:
Celexnr.: 32026R0339

EFTA-prosessen

Dato mottatt standardskjema: 11.12.2025
Frist returnering standardskjema: 03.07.2026
Dato returnert standardskjema:
EØS-relevant: Ja
Akseptabelt: Ja
Tekniske tilpasningstekster: Nei
Materielle tilpasningstekster: Nei
Art. 103-forbehold: Nei

Norsk regelverk

Endring av norsk regelverk: Ja
Høringsstart:
Høringsfrist: 11.12.2027
Frist for gjennomføring:

Lenker