Europeiska konferensen om cybersäkerhetscertifiering, 15 april 2026

Den 15 april 2026 höll ENISA sin europeiska konferens om cybersäkerhetscertifiering i Ayia Napa, Cypern, i samarbete med det cypriotiska ordförandeskapet och Europeiska kommissionen. En dag, hybridformat, sex spår: EUCC under sitt första driftsår, den föreslagna CSA2 och dess reviderade europeiska ram för cybersäkerhetscertifiering (ECCF), certifieringens roll enligt CRA, en ny NIS2-väg via schemat för cyberhållning (cyber posture), schemat för EU:s digitala identitetsplånbok (EUDI Wallet) som nu är ute på offentligt samråd, och schemat för EU Managed Security Services (MSS) i utkast v4.

Den fråga som dominerade dagen, räknat efter röster i den online-baserade Q&A, var inte något enskilt schema. Det var om certifieringsresultat kan eller bör användas för att härleda efterlevnad av NIS2, med tanke på att NIS2-tillsynen ligger hos andra myndigheter. Fem av de sju mest röstade frågorna kretsade kring den spänningen. Vi hanterar den i ett eget avsnitt nedan.

Det som följer är en strukturerad redogörelse för vad som faktiskt sades, där talarattribut är kvar där programmet och transkripten överensstämmer.

Sammanfattning

• CSA2 är en föreslagen förordning som reviderar den europeiska ramen för cybersäkerhetscertifiering och ändrar NIS2-direktivet. Utkastet omfattar 271 sidor, enligt panelen.
• ECCF ersätter den nuvarande certifieringsramen med modellbestämmelser, formella underhållsmekanismer och en tidsram på 12 månader som standard för utveckling av kandidatscheman.
• EUCC i siffror (Juhan Lepassaar, verkställande direktör, ENISA): 29 certifikat utfärdade, 28 organ för bedömning av överensstämmelse i EU, Europa står för mer än 60 procent av cirka 350 globala Common Criteria-certifikat som utfärdas årligen, och alla EU:s CC-certifikat ligger på CC-1 sedan februari 2026.
• Infrastrukturen för CRA-överensstämmelse är årets största milstolpe i CRA-genomförandet, enligt Maika Fohrenbach (DG CONNECT): medlemsstaterna ska utse behöriga myndigheter senast juni 2026, och tillräckligt antal anmälda organ ska finnas på plats senast december 2026, ett år före CRA:s fulla tillämpning.
• EUDI Wallet-schemat öppnade offentligt samråd 3 april 2026, nästa hållpunkter löper från AHWG-validering av utkastet den 16–17 april 2026 till ECCG-slutförande i september–oktober 2026.
• EU MSS-schemat ligger på utkast v4, skickat till den ad hoc-bildade arbetsgruppen 9 april 2026, utkast v3 (skickat 20 mars 2026) fick 250 kommentarer fördelade på nio teman. Offentligt samråd är planerat till början av juli 2026.
• Industriinvändningar mot proliferation var skarpa. Steffen Zimmermann (VDMA) satte siffror på det: cirka 80 procent av VDMA:s medlemmar är SMF, varav ungefär 90 procent berörs av NIS2 och CRA.
• Publikens prioritet på dagen var inte något enskilt schema. Det var spänningen mellan att använda certifieringsresultat för att härleda NIS2-efterlevnad och det faktum att NIS2-tillsyn är obligatorisk och ligger hos andra myndigheter (fem av sju mest röstade frågor).

Källa: Juhan Lepassaar, verkställande direktör ENISA, inledningsanförande.

CSA2 och den nya ECCF

Maika Fohrenbach (DG CONNECT) presenterade kommissionens förslag. Det är uppbyggt kring fyra pelare:

1. En harmoniserad ram för hantering av risker i IKT-leveranskedjan, på EU-nivå för första gången.
2. En reviderad europeisk ram för cybersäkerhetscertifiering (ECCF).
3. Förenklingsåtgärder för NIS2, byggda kring ett nytt schema för cyberhållning (eget avsnitt nedan).
4. Förstärkning av ENISA:s mandat (stöd till medlemsstater, lägesbild, ledarskap i standardisering, kompetensattestering).

Tre ECCF-förändringar spelar roll för tillverkare:

När det gäller underhåll och verktyg för intressenter erkänner CSA2 formellt ENISA som schemaförvaltare, med en dedikerad ECCG-undergrupp per schema. Den ersätter den nuvarande Stakeholder Cybersecurity Certification Group (SCCG) och unionens löpande arbetsprogram (Union Rolling Work Programme) med en europeisk församling för cybersäkerhetscertifiering plus informationsportaler hos kommissionen och ENISA. Den rättsliga grunden för ENISA-författade tekniska specifikationer, som bygger vidare på EUCC:s "state of the art"-dokument, skrivs in i förslaget.

Panelreaktionerna var uppriktiga. Helge Kreutzmann (BSI) pekade ut två luckor i utkastet. För det första behåller CSA2 den gamla uppdelningen auktorisation plus anmälan i stället för att fullt ut gå över till NLF-anmälningsmekanismen. För det andra utvidgades omfattningen inte tillräckligt djärvt: utkastet certifierar tjänster men inte leverantörer, samtidigt som flera medlemsstater redan certifierar leverantörer och nyckelpersonal, och Cyber Solidarity Act efterfrågar det. Kreutzmann: "We think this should carry over on the European level, that we can actually certify the providers." (ung. "Vi anser att detta bör överföras till EU-nivå, så att vi faktiskt kan certifiera leverantörerna.")

Suzana Pavlidou (NCCA Cypern) och Apostolos Malatras (chef för enheten för cybersäkerhetscertifiering, ENISA) deltog med Philippe Blot som moderator. Goran Gotov (Zscaler) reste en strukturell oro från golvet: församlingen möts en gång per år och ad hoc-grupperna är schemaspecifika, vilket gör industrins input på makronivå tunnare än förut. Richard Skalt (TIC Council, cybersäkerhetsansvarig på TÜV SÜD) drev på för ett 12-månadersåtagande kring ENISA:s schemautveckling, och frågade om CSA2 kommer att integrera ISO/IEC 27001 och Belgiens "Cyber Fundamentals"-schema i NIS2-förenklingsvägen. Inget fast åtagande gavs på scen om den integrationen.

Cyberhållning och NIS2: vad publiken faktiskt frågade

Q&A-flödet gjorde publikens prioritet otvetydig. De sju mest röstade frågorna för dagen (14 till 19 röster vardera) handlade inte om EUCC-genomströmning eller CAB-kapacitet. De handlade om samma strukturella oro, formulerad på sju sätt: kan certifieringsresultat legitimt användas för att härleda NIS2-efterlevnad, när NIS2-tillsyn är obligatorisk och sköts av andra myndigheter?

Fohrenbachs svar löpte genom presentationen och Q&A. Tre delar är värda att skilja på:

På de två publikfrågor som inte fick något scensvar fyller vi inte i några luckor. Vi flaggar för dem:

För läsare som planerar kring NIS2 är den ärliga tolkningen denna. Schemat för cyberhållning är kommissionens föredragna väg. Det rättsliga maskineri som skulle göra den vägen robust (genomförandeförordningen med maximal harmonisering, medlemsstaternas överenskommelse om kopplingen) är aktiva förhandlingspunkter. Om du bygger en efterlevnadsstrategi idag, behandla inte "certifiera under cyberhållning och NIS2 är avklarat" som en fastslagen sanning för din jurisdiktion. Håll koll på trilogen.

Där certifiering möter CRA

Fohrenbachs CRA-koppling var dagens tydligaste signal till tillverkare. Rubriken för 2026: bygg infrastrukturen för bedömning av överensstämmelse. Harmoniserade standarder landar senare, och ojämnt.

CRA täcker programvaruprodukter, maskinvaruprodukter och komponenter som släpps på marknaden separat. Fördelningen som Fohrenbach angav:

Enligt CRA Bilaga VIII är de tillgängliga modulerna från NLF modul B + C (EU-typkontroll) och modul H (certifiering av kvalitetssystem). Kommissionens uttalade avsikt är att specificera, före slutet av 2026, hur EUCC kan användas för att påvisa överensstämmelse med CRA, ENISA driver 18 pilotprojekt om EUCC-till-CRA-presumtion av överensstämmelse, med en workshop planerad i Aten.

Upploppet mot full CRA-tillämpning i en översikt:

Harmoniseringsarbetet sker i en informell arbetsgrupp på kommissionsnivå med anmälande myndigheter, där en av de centrala öppna frågorna är hur anmälan ska göras när harmoniserade standarder ännu inte finns. Fohrenbach pekade ut CENELEC som drivkraft i arbetet med harmoniserade standarder. Arbetshypotesen över medlemsstaterna: utnyttja CAB som redan är ackrediterade under Radio Equipment Directive Delegated Act (RED DA) och EUCC-ekosystemet, och snabbspåra dem för CRA-anmälan.

För aktuellt läge kring modulval medan CSA-scheman fortfarande är på gång, se vår beslutsguide för bedömning av överensstämmelse.

CAB-kapacitetsgapet

Panelen om CAB-kapacitet var dagens operationellt mest laddade session. Den modererades av Eric Vetillard, i panelen: Christin Hartung-Kümmerling (BSI, online), Xenia Kyriakidou (chef för NCCA Cypern, Cyperns anmälande och marknadskontrollmyndighet för CRA samt vice ordförande i ADCO CRA-kommittén), Richard Skalt (TIC Council / TÜV SÜD) och Nikolaos Soumelidis (Q-CERT).

Några fakta från panelen värda att lyfta fram:

• Två tredjedelar av de europeiska länderna saknar ännu ett nationellt eIDAS-ackrediteringsorgan, enligt Soumelidis. Grekland självt har inget.
• BSI förbereder anmälan av modul H som den mest skalbara vägen för CRA, enligt Hartung-Kümmerling. BSI prioriterar inte modul B för CRA, hon bekräftade att andra medlemsstater tar modul B-vägen men namngav dem inte.
• Cypern, Tyskland och de flesta övriga medlemsstaterna kommer att förlita sig på sina nationella ackrediteringsorgan för CRA-ackreditering. Snabbspår via RED DA eller EUCC-ackreditering ligger på bordet.
• TIC Councils interna enkät (Skalt): två tredjedelar av TIC Councils medlemmar planerar att ha fler än 50 dedikerade cybersäkerhetsexperter i slutet av 2026, och 40 procent av medlemmarna är redan anmälda för EUCC.
• ADCO CRA är gruppen för administrativt samarbete mellan medlemsstaternas marknadskontrollmyndigheter för CRA, Kyriakidou är dess vice ordförande.

Stefan Zimmermann (VDMA) frågade Hartung-Kümmerling från golvet vilka medlemsstater som förbereder modul B-anmälan. Hon avstod från att namnge dem på scen. Frågan är aktuell eftersom den avgör om en tillverkare som vill ha en EU-typkontrollväg har ett anmält organ tillgängligt i sin hemmamarknad den 11 december 2027.

Ur tillverkarens perspektiv följer tre saker. För det första, om din produktkategori tvingar in dig i tredjepartsbedömning, kontrollera din hemmedlemsstats plan nu. "Tillräckligt antal anmälda organ senast december 2026" är en policyambition, ingen garanti per jurisdiktion. För det andra är RED DA / EUCC CAB-snabbspåret den mest troliga vägen för kapacitetsutökning, men det betyder att din sannolika CAB-pool formas av vilka organ som redan tjänar radioutrustnings- eller Common Criteria-marknaderna. För det tredje skalar modul H (kvalitetssystem) snabbare än modul B (typkontroll) i åtminstone en stor medlemsstat, vilket har implikationer för hur du förbereder bevis.

Steffen Zimmermanns (VDMA) förmiddagspass skärpte industrins syn. Cirka 80 procent av VDMA:s medlemmar är SMF under 250 anställda, och ungefär 90 procent av dessa berörs av NIS2 och CRA. Hans femdelade kritik av certifiering var rakt på sak:

1. Inte uppfunnet här. Befintliga IEC 62443, ISO/IEC 27001 och TISAX avfärdas till förmån för EU-egna scheman.
2. Inte tillräckligt bra. Samma IEC 62443 bedöms sedan som otillräcklig när CRA kommer in i bilden.
3. Opålitligt certifikat. Proprietär metodik driver intressenter att kräva nya scheman med samma transparensbrist.
4. Låt oss skapa marknadsefterfrågan. Frivilliga scheman med svagt upptag görs obligatoriska via offentlig upphandling i stället för att tänkas om.
5. Illusion av efterlevnad. Certifikatet förblir giltigt medan säkerheten försämras.

Om harmoniserade standarder under CRA, hans citerbara rad: "Harmonised standards do not cover all functionalities. They are developed to address the core functionality listed in the annexes. So a product may be in conformance for the core functionality, but the CRA demands conformity for the entire product." (ung. "Harmoniserade standarder täcker inte alla funktioner. De tas fram för att hantera den kärnfunktionalitet som listas i bilagorna. Så en produkt kan vara i överensstämmelse för kärnfunktionaliteten, men CRA kräver överensstämmelse för hela produkten.")

EUDI Wallet-certifiering

Evgenia Nikolouzou (ENISA) gick igenom EUDI Wallet-schemats resa. Kommissionens begäran kom i maj 2024, en intresseförfrågan följde i oktober 2024 där 26 experter valdes ut till ad hoc-arbetsgruppen, AHWG startade i januari 2025 och körde 7 plenarmöten och 4 tematiska grupper fram till februari 2026, schemat lämnades in för granskning i april 2026 och offentligt samråd öppnade 3 april 2026.

Schemat täcker plånboken plus det underliggande eID-schemat och måste täcka produkter, tjänster och processer på grund av hur eIDAS är strukturerat. Utvärderingen är i två steg: steg 1 är arkitektur- och beroendegranskning, steg 2 är testning och sårbarhetsanalys, följt av certifikatutfärdande och övervakning. Två nivåer av försäkran används: det manipulationsresistenta hårdvarulagret hanteras av EUCC på AVA_VAN.4 / .5, och applikationslagret hanteras av nationella scheman på AVA_VAN.3.

Tidsplanen, från bilden Nikolouzou visade, ankrar på dessa milstolpar: AHWG-validering av utkast v0.4 den 16–17 april 2026, ECCG-kommentarperioden stänger 1 juni 2026, offentligt samråd startar i början av juli 2026, ECCG-slutförande i september–oktober 2026. För en detaljerad analys av vad plånbokschemat kräver av sökande och vad det signalerar för framtida CRA-angränsande scheman, se vårt inlägg om EUDI Wallet-schemat och CRA-överensstämmelse.

Schemat för Managed Security Services

Vicente Gonzalez Pedros (ENISA) öppnade eftermiddagspasset om EU MSS-schemat, följt av en panel modererad av Georgia Bafoutsou (ENISA) med Paloma Llaneza (Digital Trust Scheme Manager, CerteIDAS), Adrian Pauna (Oracle), Marios Ioannou (Columbia Group), Oscar Boizard (ANSSI) och Pablo Fernandez (Security Operations Centers Manager, CCN-CNI).

Kommissionens begäran nådde ENISA i slutet av april 2025. Den ursprungliga begäran täckte livscykeln för incidenthantering som vertikal, ENISA delade upp den i tjänsteprofiler och valde incidentrespons som första profil att bygga. Enligt Cyber Solidarity Act måste leverantörer, när ett europeiskt schema väl täcker en tjänst som upphandlas via akten, certifieras två år efter att schemat är på plats.

Schemaarkitekturen har två lager:

• Ett horisontellt lager av gemensamma baskrav, standard-agnostiska och tjänste-agnostiska, tillämpliga på alla MSS.
• Ett vertikalt lager av tjänstespecifika tekniska krav (livscykelhantering, expertis, incidentresponsscenarier, samverkan mellan intressenter, resurskrav).

Två punkter från Gonzalez Pedros är värda att lyfta fram. Det horisontella lagret certifieras aldrig fristående: certifikatet är alltid för tjänsten, aldrig för leverantören. Och det horisontella lagret samordnas med NIS2 men certifierar inte NIS2-efterlevnad. NIS2-täckning tillhör schemat för cyberhållning, inte MSS.

Om AHWG: mer än 200 förslag kom in via den öppna kallelsen. Arbetsgruppen för incidentrespons bildades med 30 experter, och en reservlista på ytterligare 70 behölls för framtida tjänsteprofiler. AHWG utsågs officiellt den 29 september 2025.

Utkastens utveckling (från AHWG-bilden):

• Huvudschemat utkast v3 skickat till AHWG den 20 mars 2026.
• 250 kommentarer mottagna, grupperade i nio teman: relation till NIS2, försäkransnivåer för flera profiler, utvärderingsstandarder och metodik, gränsöverskridande tillsyn, terminologisamordning, certifieringens omfattning (kundspecifik kontra allmän), kostnader för upprepad utvärdering, dialoger mellan NCCA och CAB samt konfidentialitet i certifieringsrapporter.
• Huvudschemat utkast v4 skickat till AHWG den 9 april 2026.

En strukturell klargörande från Gonzalez Pedros: MSS-schemat har inga ITSEF:er (till skillnad från EUCC). CAB och CB kommer att samordnas till en enda term i nästa utkast. CAB-ackreditering sker mot ISO/IEC 17065, och schemat bygger på samma utvärderingsmetodik som ENISA använder för europeiska plånboken.

Schematidslinjen han drog upp: validera utkast v4 den 16–17 april 2026, första utkastet till ECCG för kommentarer med en månad för medlemsstatsgranskning, behandla kommentarer på cirka två veckor, offentligt samråd från början av juli 2026 i 1,5 månader, möte i mitten av september 2026 för att behandla samrådskommentarer, schemabekräftelse i ECCG i oktober 2026.

Vad panellisterna bidrog med

Paloma Llaneza (CerteIDAS) drev kärnargumentet för ett schema på EU-nivå: utan det certifierar leverantörer sig i 27 medlemsstater separat, och bara stora företag har råd med det. Hennes referens var eIDAS-2, där en förordning plus en genomförandeakt ersatte 27 nationella standarder med en enda europeisk standard. Llaneza är redaktör för ETSI EN 319 401 (Policy and security requirements for Trust Service Providers), som hon lyfte fram som den fungerande proportionalitetsmodellen: det horisontella lagret är en engångsbasnivå, vertikalerna staplas modulärt ovanpå.

Adrian Pauna (Oracle) gjorde det multinationella fallet: ett EU-schema standardiserar efterlevnad över jurisdiktioner, och metodik för penetrationstestning behöver tydlig definition inne i schemat. Han noterade ett strukturellt problem specifikt för pen-testning: idag certifieras det på personnivå (OSCP, OSCE), vilket gör tjänstenivåcertifiering strukturellt svårt tills marknaden skiftar. Hans rekommendation för nästa vertikaler: detektion först, sedan pen-testning.

Marios Ioannou (Columbia Group, Cypern) beskrev EU-referensen som en dörröppnare: erkännande över hela territoriet, och deltagande i EU:s cybersäkerhetsreserv (EU Cybersecurity Reserve). Om gränsöverskridande incidenter påpekade han att en respons Spanien till Cypern till Malta är betydligt enklare när alla parter delar samma basförmågor.

Oscar Boizard (ANSSI) drog sessionens skarpaste linje, om certifiering kontra kvalificering:

Kreutzmann (BSI) argumenterade för att CSA2 ska möjliggöra kvalificering på leverantörsnivå på EU-nivå, utöver dagens certifiering på tjänstenivå.

Frankrike driver fyra ANSSI-kvalificeringsscheman som är samordnade med EU MSS-kategorier (rådgivning, revision, detektion, respons), plus PAMS för administration. PASSI är äldst och har den största poolen av kvalificerade leverantörer. Införandet av en substantiell nivå förändrade leverantörsmixen materiellt: SMF med sex till sju kompetenta medarbetare kom in. Boizards rekommendation för nästa vertikal: revision, som en snabb vinst, eftersom standarderna redan finns.

Pablo Fernandez (CCN-CNI) tog med hårda siffror från det spanska angreppssättet. Det spanska MSS-schemat startade för ungefär fyra år sedan, byggt på ENS (Esquema Nacional de Seguridad), som självt har ungefär 16 års historia. MSS-modellen är Guía CCN-STIC 896 skiktad ovanpå ENS, samordnad med NIS2, ändringarna i Cyber Solidarity Act samt de inkommande CSA2 och EU MSS. CCN-bilden publicerade siffror: 3 578 certifierade entiteter under ENS, 25 MSS-certifierade tjänster levererade av 5 MSSP:er, och 304 integrerade SOC:er i det nationella SOC-nätverket. Fernandez noterade att CCN-STIC 896 kommer att finnas på engelska "in a couple of weeks" (ung. "om ett par veckor"), vilket är direkt användbart för läsare utanför Spanien.

Där panelisterna landade om vilken MSS-vertikal som bör byggas härnäst:

En användbar detalj från golvet: en publikfråga lyfte suveränitet som en faktor (MSS-leverantörer som är nationellt suveräna enheter kontra multinationella). Llanezas svar var att EU-nivåreglering behövs för att ersätta 27 nationella scheman, enligt eIDAS-2-prejudikatet. Ioannous svar var att en delad basnivå över medlemsstaterna är det som låter företag faktiskt arbeta ihop i en gränsöverskridande incident.

Vad detta innebär för tillverkare som levererar under CRA

CRA-milstolpen att fokusera på mellan nu och 11 december 2027 är kapaciteten för bedömning av överensstämmelse, inte harmoniserade standarder. Harmoniserade standarder kommer att landa sent och ojämnt. Utseende av behörig myndighet har deadline i juni 2026. Tillgången till anmälda organ är en ambition för december 2026. Om din produkt ligger i Viktig klass II formas din CAB-pool i hög grad av vilka organ som redan är anmälda för EUCC eller ackrediterade under RED DA.

För tillverkare i Standard och Viktig klass I är den praktiska implikationen att modulvalet spelar större roll än vanligt i år. Modul H (kvalitetssystem) har tydligare skalningssignaler från åtminstone en stor medlemsstat, modul B (typkontroll) har ojämn tillgång och är inte offentligt kartlagd. Om du legitimt kan kvalificera under harmoniserade standarder när de finns tillgängliga tar den vägen bort ett beroende av CAB-utbud.

EUCC-till-CRA-presumtionen av överensstämmelse via delegerad akt är ännu inte gångbar, men den är det mest specifika infrastrukturstycke som är under uppbyggnad. De 18 pilotprojekten och kommissionens uttalade mål i slutet av 2026 för att specificera hur EUCC stöder CRA-överensstämmelse är det att följa de kommande två kvartalen.

MSS-schemat är inte direkt en CRA-produktfråga. Det spelar roll eftersom det är det andra CSA-schemat i aktivt utkast, efter EUDI Wallet, och det kommer att skeppas före det första CRA-specifika schemat. Metodvalen ENISA låser in här (ISO/IEC 17065 CAB-ackreditering, den plånbokssamordnade utvärderingsmetodiken) bärs vidare in i CRA-angränsande scheman senare.

Nästa steg

Den här artikeln är enbart i informationssyfte och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerad juridisk rådgivare.