Der europäische Rechtsakt zur Cybersicherheit ("Cybersecurity Act") ist am 27. Juni 2019 in Kraft getreten. Kernelemente der Verordnung sind ein permanentes Mandat für die europäische Cybersicherheitsagentur ENISA („European Union Agency for Cybersecurity“) sowie die Einführung eines einheitlichen europäischen Zertifizierungsrahmens für IKT-Produkte, -Dienstleistungen und -Prozesse. Diese sollen gemäß definierter Sicherheitslevel in "niedrig", "mittel" und "hoch" nach unterschiedlichen Vorgaben zertifiziert werden.

Seit der Veröffentlichung des Verordnungsentwurfs im September 2017 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Verhandlungen und Beratungen in den ausarbeitenden Gremien intensiv begleitet. Dieser Einsatz hat dazu beigetragen, dass bereits bestehende und erfolgreiche Zertifizierungsrahmen in den Rechtsakt überführt werden können. Auch im Hochsicherheitsbereich behalten die Mitgliedsstaaten ihre wichtige Rolle in der Zertifizierung bei.

Insbesondere der Zertifizierungsrahmen (Titel III des Rechtsakts) verändert das Verfahren zur Entwicklung von Zertifizierungsschemata und die Zertifikatsvergabe in der Europäischen Union maßgeblich. Das BSI bringt sich intensiv in die durch den Rechtsakt neu geschaffenen Prozesse ein, unter anderem in der „European Cybersecurity Certification Group“ (ECCG). Darüber hinaus besteht weiterhin eine enge Kooperation mit den europäischen Partnern in der Cybersicherheitszertifizierung.