Redaktionel vurdering

Forslaget kan gøre ICT-supply-chain-risici og certificering mere centrale i EU's cybersikkerhedsramme. Da det stadig er et lovforslag, bør organisationer følge processen uden at behandle kravene som vedtaget ret.

Hvad er sket?

Europa-Kommissionen fremsatte 20. januar 2026 et forslag til en ny Cybersecurity Act 2. Forslaget skal reformere ENISA’s rolle, EU’s cybersikkerhedscertificeringsramme og håndteringen af ICT-supply-chain-risici.

Forslaget omfatter blandt andet en bredere ramme for certificering og en mere samlet tilgang til risici fra kritiske leverandørkæder. Det er endnu ikke vedtaget lovgivning.

Hvorfor er det relevant for digital suverænitet?

Digital suverænitet afhænger ikke kun af, hvor data ligger, men også af om organisationen kan stole på software, hardware, driftsleverandører, underleverandører og sikkerhedsprocesser. CSA2-forslaget kobler derfor cybersikkerhed tættere til leverandørstyring og strategisk afhængighed.

For danske organisationer er det især relevant i indkøb, hvor certificering, dokumentation og supply-chain-indsigt kan blive vigtigere krav. Samtidig bør man være opmærksom på, at certificering ikke i sig selv løser lock-in eller jurisdiktionsrisiko.

Hvad bør beslutningstagere holde øje med?

  • Hvordan den endelige tekst behandler high-risk suppliers og ICT-supply-chain-risici.
  • Om nye certificeringsordninger bliver brugbare i cloud-, software- og infrastrukturaftaler.
  • Om kravene får samspil med NIS2, Cyber Resilience Act, DORA og sektorregler.

Kilder

Dette er generel information og ikke juridisk rådgivning.