Konferensen inleddes med en paneldebatt där representanter från EU-kommissionen, de 3 europeiska standardiseringsorganisationerna CEN, CENELEC och ETSI samt ENISA, EUs expertmyndighet för cybersäkerhet, fick ge sin syn på standardiseringens betydelse i EUs arbete med att stärka cybersäkerheten i unionen.

Kommissionen betonade att EU tidigare haft en alldeles för passiv hållning i cybersäkerhetsfrågor, det har funnits en bristande medvetenhet om riskerna och en tro att cyberangrepp ”inte kommer att drabba oss”. Cyberattackerna blir nu allt fler och allt mer avancerade. Digitaliseringen har spätt på utvecklingen, till exempel tydliggjordes under pandemin svårigheterna att skydda IT-miljön hos företag när anställda jobbar hemifrån.

Kommissionen ser harmoniserade europeiska standarder som en central komponent i arbetet med ökad cybersäkerhet och en förutsättning för att de många lagstiftningsinitiativ som EU nu tar i cybersäkerhetsområdet ska få avsedd verkan. Ett exempel är kommissionens förslag till Cyber Resilience Act (CRA). CRA är ett horisontellt ramverk som omfattar alla kommersiella digitala produkter på den inre marknaden. Syftet med lagstiftningen är att säkerställa att cybersäkerhet är en integrerad del av produktutvecklingen och att leverantörerna tar ansvar under produktens fulla livscykel. Harmoniserade standarder är ett sätt att konkretisera och detaljera de övergripande kraven i lagstiftningen. Standarderna som utvecklas av de europeiska standardiserings-organisationerna behöver innehålla tekniska säkerhetskrav på produkterna, krav på leverantörernas utvecklingsprocess och livscykelhantering samt krav på hur bedömning av överensstämmelse med dessa krav ska utföras (”assessment of conformity”).

CEN påpekade att det är tack vare standardisering som saker faktiskt fungerar. Det faktum att harmoniserade europeiska standarder ersätter nationella standarder, som kan ha motstridiga krav mellan olika länder, innebär en väsentlig sänkning av företags kostnader för ”compliance”. Vidare betonade CEN värdet av samarbete med internationella standardiseringsorganisationer och de möjligheter detta ger att påverka och sprida europeiska värden. CENELEC fortsatte med att betona att internationella standarder ofta är en bra utgångspunkt för harmoniserade standarder men att anpassning till kraven i europeisk lagstiftning ofta är nödvändig.  ETSI poängterade vikten av att fokusera på det globala samarbetet inom standardisering och det stora värde Europa bidrar med i detta. Det internationella standardiseringssystemet, som har varit en stor framgångsfaktor vid utvecklingen av t ex de globala mobilstandarderna, behöver upprätthållas för att undvika fragmentering.

Konferensen fortsatte sedan med presentationer om pågående arbete med de olika lagstiftningsinitiativen inom cybersäkerhetsområdet och relaterat arbete med utveckling av harmoniserade standarder. Detta omfattade CRA, eIDAS 2.0, RED, AI Act, Chip Act, Data Act och slutligen EUCS, certifieringsschemat för molntjänster som ENISA utvecklar tillsammans med CEN.

Jerker Berglund, ordförande ITS arbetsgrupp Cyber Security