Rådet vedtok to rettsakter i den såkalte «cybersikkerhetspakken» den 2. desember. Kommisjonen la den 18. april 2023 frem forslag til henholdsvis (i) cybersolidaritetsforordningen om tiltak for å styrke solidariteten og kapasiteten i EU til å oppdage, forberede seg på og reagere på trusler og hendelser innen cybersikkerhet, og (ii) forslag om en målrettet revisjon av EUs Cyber Security Act fra 2019, jf. omtale i EU/EØS-nytt 25. april 2023. Vi omtalte sistnevnte også i EU/EØS-nytt 21. november 2023.  Cybersikkerhetsforordningen fra 2019 ble innlemmet i EØS-avtalen i 2023 med artikkel 103-forbehold, og også endringsforslaget er markert EØS-relevant fra Kommisjonens side. 

Her er lenke til departementets EØS-notat (fra 25. august 2023). Som det fremgår i notatet endrer ikke forslaget «virkeområdet eller forpliktelsene i cybersikkerhetsforordningen. Forslaget er i samsvar med NIS2-direktivet og leverandører av administrerte sikkerhetstjenester skal anses for å være vesentlige eller viktige enheter som tilhører en sektor av særlig kritisk betydning i henhold til NIS2-direktivet.» Det fremgår videre at forslaget også «utfyller (…) den foreslåtte cybersolidaritetsforordningen» og at «fremtidige sertifiseringsordninger for administrerte sikkerhetstjenester vil derfor spille en viktig rolle i gjennomføringen av cybersolidaritetsforordningen.»

Cybersolidaritetsforordningen legger til rette for opprettelse av en krisemekanisme (Cyber Emergency Mechanism) for å bedre beredskapskapasiteten i EU. Dette skal gjøres ved hjelp av :

• Beredskapstiltak – testing av kritiske sektorer for potensielle svakheter
• Opprettelse av en ny EU Cybersecurity Reserve, som kan intervenere på medlemsstatenes forespørsel
• Gjensidig støtte – en medlemsstat kan tilby støtte til en annen medlemsstat

Denne rettsakten er imidlertid ikke markert EØS-relevant fra Kommisjonens side, og det er heller ikke skrevet EØS-notat for rettsakten (jf. oversikt på Europalov). Til orientering er revisjonen av cybersolidaritetsforordningen hjemlet i artikkel 173(3) TEUV (industripolitikk) og 322(1) TEUV (bruk av EUs budsjettmidler), og er altså ikke direkte hjemlet i bestemmelsene om det indre marked. Dette i motsetning til Cyber Security Act, som er hjemlet i artikkel 114 TFEU, som er bestemmelsen om harmonisering av lovgivning av hensyn til det indre markedets funksjon. Rettsaktene vil nå, etter signering, bli publisert i EUR-Lex i løpet av de kommende ukene og tre i kraft 20 dager etter dette.