Ændring af Cybersecurity Act (CSA) om Managed Security Services:
Forhandlingerne om den foreslåede målrettede ændring af Cybersecurity Act begyndte officielt den 4. december 2023. Forhandlingerne er i øjeblikket strandet på grund af manglende evne til at nå til enighed mellem Parlamentet, Rådet og Kommissionen. Specifikt udgør Parlamentets ændringsforslag om, at certificeringsordninger kan vedtages gennem delegerede retsakter i stedet for gennemførelsesretsakter, at der skal gennemføres konsekvensanalyser af foreslåede cybersikkerhedscertificeringsordninger, og at der skal afholdes offentlige høringer og høringer med SCCG og ECCG, et punkt, hvor der er divergerende synspunkter.

Den europæiske cybersikkerhedscertificeringsordning for cloudtjenester (EUCS):
Et nyt udkast til EUCS-ordningen fra ENISA blev delt med ECCG's medlemmer den 20. november 2023. Der er løbende drøftelser i ENISA og ECCG. Samtalerne fokuserer mere på de tekniske aspekter i denne fase, mens der ikke er meget håb om en øjeblikkelig løsning på den politiske stilstand. Hvis der sker et gennembrud, kan kandidatordningen være klar så hurtigt som i 1. kvartal 2024, og gennemførelsesloven følger i 2. kvartal.

EU's cybersikkerhedscertificeringsordning baseret på Common Criteria (EUCC):
Den 3. oktober 2023 lancerede Europa-Kommissionen sin offentlige høring om EUCC's cybersikkerhedscertificeringsordning. Medlemsstatsudvalget mødtes den 15. - 19. december og afgav en positiv udtalelse om udkastet til ordningen med 25 medlemsstater for og 2, der undlod at stemme. Den vil træde i kraft 20 dage efter offentliggørelsen og gælde 12 måneder fra ikrafttrædelsen.

Formålet med forordningen er at styrke sikkerheden i produkter med digitale elementer, dvs. styrke robustheden og modstandsdygtigheden af produkter, der er forbundet til internettet. Den 30. november 2023 blev der indgået en politisk aftale om Cyber Resilience Act. Forordningen skal nu godkendes formelt af EU's medlemslande, og træder i kraft 20 dage efter offentliggørelse. Forordningen vil gælde 36 måneder efter dens ikrafttræden, med undtagelse af rapporteringsforpligtelser, som vil gælde 21 måneder efter ikrafttrædelsen. 

Formålet med NIS2 er at sikre et højt, fælles sikkerhedsniveau på tværs af den kommunikationsinfrastruktur og de it-systemer og services, som samfundet er afhængige af. Medlemslandene har indtil oktober 2024 til at omsætte direktivet til national lovgivning. Nogle nationale myndigheder har endnu ikke offentliggjort noget udkast til en national NIS2-transponeringslov, herunder Tyskland, Holland, Belgien, Danmark, Sverige, Estland og Finland, hvilket giver anledning til bekymring over den korte implementeringstidslinje.

I DI ser vi meget frem til, at Kommissionen sender "implementincg act" i høring og har en forventning til, at det sker i første kvartal af 2024. Når det sker, vil det kunne genfindes her. 

Europa-Kommissionen har for nyligt afsluttet sin gennemgang af 11 eksisterende afgørelser om tilstrækkeligheden af beskyttelsesniveauet. De berørte lande er Andorra, Argentina, Canada, Færøerne, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Schweiz og Uruguay og Didier Reynders, kommissær for retlige anliggender, har udtalt om gennemgangen, at Kommissionen vil øge sit engagement med internationale partnere for at udvikle netværket yderligere.