Cybersolidaritetsforordningen

Cybersolidaritetsforordningen styrker EUs motstandsdyktighet på unionsnivå mot alvorlige trusler på cybersikkerheten ved å forbedre evnen til å oppdage, håndtere og reparere slike angrep, i tillegg til å implementere grenseoverskridende tiltak for å redusere risiko.

Formål: Cybersolidaritetsforordningen skal styrke EUs samlede cybersikkerhetskapasitet og forbedre medlemslandenes evne til å oppdage, forberede seg på, håndtere og komme seg etter betydelige eller omfattende trusler og angrep i cyberspace. Forordningen legger til rette for en mer koordinert innsats i EU ved å innføre et europeisk varslingssystem for cybersikkerhet (European Cybersecurity Alert System), en beredskapsmekanisme (Cybersecurity Emergency Mechanism) og en evalueringsmekanisme for cyberhendelser (Cybersecurity Incident Review Mechanism). Disse sammenkoblede systemene skal forbedre deteksjon, analyse og respons, samtidig som konsekvensene av angrep reduseres.

Omfang: I motsetning til NIS 2-direktivet (direktiv (EU) 2022/2555), som fastsetter krav til hvordan tjenesteleverandører skal forebygge, håndtere og minimere konsekvensene av dataangrep, samt rapporteringsforpliktelser og krav til ledelsesorganer, fokuserer forordningen på håndtering av dataangrep på et EU-nivå. Forordningen er særlig relevant for nasjonale myndigheter og offentlige etater, ettersom de er ansvarlige for å gjennomføre de tre hovedtiltakene i hvert medlemsland. Som del av det europeiske varslingssystemet for cybersikkerhet (European Cybersecurity Alert System) skal hvert medlemsland utpeke en ansvarlig myndighet for håndtering av cyberkriser, som også kan samarbeide med aktører i privat sektor. Dermed får forordningen også stor betydning for private sikkerhetsleverandører.

I tillegg vil virksomheter i kritiske sektorer – som helse, finans, transport og energi – bli utsatt for «koordinerte beredskapstester» for å sikre at de oppfyller minstekravene til kritiske tjenester og infrastruktur. 

Viktige forpliktelser: Medlemslandene skal utpeke nasjonale cybersentre (National Cyber Hubs) som skal inngå i et felleseuropeisk system for registrering og analyse av trusler og hendelser i cyberspace i sanntid.

I tillegg etablerer cybersikkerhetsberedskapsmekanismen (Cybersecurity Emergency Mechanism) forpliktelser for en forhåndsutvalgt gruppe private selskaper, som skal kunne levere hendelseshåndtering på forespørsel.

Korte fakta
  • Europaparlaments- og rådsforordning (EU) 2025/38 av 19. desember 2024 om fastsettelse av tiltak for å styrke solidariteten og kapasiteten i Unionen til å oppdage, forberede seg på og reagere på trusler og hendelser innen cybersikkerhet og endring av forordning (EU) 2021/694 (Cybersolidaritetsforordningen)
  • Regulation – EU – 2025/38 – EN – EUR-Lex
  • Dato for anvendelse i EU: 4. Februar 2025
  • Status for Norge: Vurderes for EØS-relevans