EU Cybersecurity Act 2: Leveranskedjeförbud, certifieringsöversyn och vad produkttillverkare bör bevaka

Den 20 januari 2026 publicerade EU-kommissionen COM(2026) 11 final, ett förslag till vad som kallas Cybersecurity Act 2. Detta är ingen mindre uppdatering. Kommissionen föreslår att helt upphäva och ersätta förordning (EU) 2019/881, den ursprungliga Cybersecurity Act från 2019.

Förslaget omfattar över 120 artiklar i sex avdelningar. Vi har läst igenom hela texten, bilagorna och konsekvensbedömningen så att du slipper. Den här artikeln täcker vad som faktiskt är nytt, vad som är viktigt för produkttillverkare och var detta intersekterar med CRA-efterlevnad.

Sammanfattning

• Cybersecurity Act 2 (CSA2) ersätter helt 2019 års Cybersecurity Act. Det är en omskrivning från grunden
• Ett nytt ramverk för ICT-leveranskedjesäkerhet gör det möjligt för EU att formellt utse högriskländer och förbjuda deras leverantörer från kritisk infrastruktur
• Telekomoperatörer möter ett obligatoriskt 36-månaders avvecklande av utrustning från högrisk-leverantörer
• Ett reviderat certifieringsramverk täcker nu hanterade säkerhetstjänster och organisatorisk cyberprofil, inte bara produkter
• ENISA får 81,5% budgetökning, 118 nya anställda och utökade ansvarsområden inklusive en ransomware-helpdesk
• Företag kan spara upp till 15,3 miljarder EUR under fem år via förenkling av efterlevnad
• Böter för leveranskedjeöverträdelser: upp till 10 miljoner EUR eller 2% av global omsättning

Fyra pelare i förslaget

CSA2 är uppbyggd kring fyra områden. Två är expansioner av befintliga ramverk och två är helt nya.

1. ENISA-mandatreform

ENISA, EU:s cybersäkerhetsbyrå, genomgår en betydande uppgradering. Sedan 2019 har ny lagstiftning (NIS2, CRA, Cyber Solidarity Act) lagt på nya uppgifter utan att uppdatera byråns mandat eller resurser.

Förslaget åtgärdar detta med:

• Budget: 341 miljoner EUR under sju år (2028–2034), en ökning med 81,5% jämfört med 2025 års nivå
• Personal: 118 nya heltidstjänster vid ENISA, plus 50 vid kommissionen
• Ransomware-helpdesk: ENISA måste nu driva dedikerade förmågor för ransomware-respons och återhämtning
• Europeisk sårbarhetsdatabas: Förstärkt med allvarlighetspoäng, produktlistor och katalog över kända exploaterade sårbarheter
• Post-kvantkryptografi: ENISA får ett explicit mandat för utvärdering av post-kvantalgoritmer

2. Certifieringsramverksöversyn

Det europeiska cybersäkerhetscertifieringsramverket (ECCF) utökas betydligt.

Den mest konsekventa ändringen: certifiering av cyberposition. Organisationer (särskilt NIS2-enheter) kan nu certifiera sina övergripande cybersäkerhetsriskhanteringsåtgärder. En enda certifiering kan ersätta flera efterlevnadskontroller i medlemsstater.

3. Förenkling av efterlevnad

Kommissionen uppskattade att företag kan spara upp till 15,3 miljarder EUR under fem år genom strömlinjeformad efterlevnad.

Viktiga mekanismer:

• En certifiering, många förordningar: En europeisk cybersäkerhetscertifiering kan tjäna som bevis för efterlevnad av flera rättsakter, inklusive NIS2, CRA, DORA, GDPR-säkerhetskrav och sektorsspecifika regler
• Maximal harmonisering: När kommissionen antar genomförandeakter under NIS2, blir de maximal harmonisering
• Enkel rapporteringsplattform: ENISA måste utveckla en enkel ingångspunkt för incidentrapportering

4. Ramverk för ICT-leveranskedjesäkerhet

Detta är den helt nya och mest politiskt betydelsefulla delen av förslaget. Det skapar ett horisontellt, teknikneutralt ramverk för att hantera vad kommissionen kallar "icke-tekniska cybersäkerhetsrisker" i ICT-leveranskedjor.

STEG 1: RISKBEDÖMNING
NIS-samarbetsgruppen eller kommissionen initierar
samordnad riskbedömning av specifika ICT-leveranskedjor
Tidslinje: 6 månader att slutföra
                    │
                    ▼
STEG 2: LANDESUTPEKANDE
Kommissionen utvärderar om ett tredjeland utgör
"allvarliga och strukturella icke-tekniska risker"
                    │
                    ▼
STEG 3: KONSEKVENSER
Enheter från utpekade länder FÖRBJUDNA från:
- Tillhandahållande av ICT-komponenter i viktiga tillgångar
- Offentlig upphandling för viktiga ICT-tillgångar
- EU-finansieringsprogram
                    │
                    ▼
STEG 4: IDENTIFIERING AV VIKTIGA ICT-TILLGÅNGAR
Kommissionen identifierar, via genomförandeakter,
vilka ICT-tillgångar som är "viktiga" per sektor

Telekom drabbas först. Bilaga II fördefinierar viktiga ICT-tillgångar för mobil-, fast- och satellitnätverk. Mobiloperatörer möter ett 36-månaders avvecklande från ikraftträdande. Den årliga kostnaden för mobiloperatörer för att fasa ut högriskutrustning beräknas till 3,4 till 4,3 miljarder EUR.

Vad detta innebär för CRA-täckta produkter

CSA2 ändrar inte Cyber Resilience Act direkt, men skapar ny dynamik som CRA-täckta tillverkare bör förstå.

Due diligence i leveranskedjan blir svårare

CRA kräver redan att tillverkare utövar due diligence vid integrering av tredjepartskomponenter. CSA2 lägger till ett nytt lager: om din produkt innehåller komponenter från en leverantör som senare utpekas som högrisk, och din produkt används i kritisk infrastruktur, kan dina kunder tvingas ersätta dessa komponenter.

Certifiering kan förenkla din CRA-efterlevnad

Det utökade ECCF innebär att en europeisk cybersäkerhetscertifiering för din produkt kan tjäna som bevis för CRA-konformitet.

Incidentrapportering konsolideras

Den enda rapporteringsplattformen är goda nyheter. CRA kräver rapportering av aktivt exploaterade sårbarheter till ENISA inom 24 timmar. NIS2 kräver rapportering av betydande incidenter till nationella myndigheter. CSA2:s enkla ingångspunkt skulle låta dig lämna in en gång och dirigera till alla obligatoriska mottagare.

Viktiga siffror

Vad som händer härnäst

Detta är ett lagstiftningsförslag. Det behöver fortfarande gå igenom Europaparlamentet och rådet. CSA2 ändrar inte dina nuvarande skyldigheter eller tidslinje under CRA. CRA-rapporteringsskyldigheterna börjar fortfarande i september 2026 och full efterlevnad kvarstår krävd till december 2027.

Vad du bör göra nu

1. Granska din komponentleveranskedja. Känn till ursprunget för dina nyckelkomponenter.
2. Följ certifieringslandskapet. Om ett europeiskt cybersäkerhetscertifieringsschema antas som täcker CRA:s väsentliga krav, kan det avsevärt förenkla din konformitetsbedömningsprocess.
3. Förbered för konsoliderad rapportering. Om du är föremål för både CRA och NIS2, kom den enda rapporteringsplattformen att så småningom konsolidera dina skyldigheter.

Hur CRA Evidence hjälper

CRA Evidence spårar redan de leveranskedjelement som CSA2 kommer att göra viktigare:

• SBOM-hantering kartlägger dina komponentberoenden, inklusive leverantörers ursprung
• Sårbarhetövervakning spårar kända exploaterade sårbarheter i din produktportfölj
• Efterlevnadsdashboard visar din CRA-beredskapsstatus och luckor
• Incidentrapportering stöder 24-timmarsnotifieringsarbetsflödet som krävs av CRA

Börja bygga ditt efterlevnadsbevis på craevidence.com.

Den fullständiga texten i förslaget (COM(2026) 11 final), dess bilagor och konsekvensbedömningen finns tillgängliga på EU-kommissionens digitala strategibibliotek. Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.