Denne aktivitet vil fortsætte Alexandra Instituttets og FORCE Technology’s involvering omkring certificering, akkreditering samt standardisering af nye avancerede digitale teknologier for øget cybersikkerhed. 

EU har arbejdet med lovgivning indenfor cybersikkerhed, primært i form af NIS2 direktivet, Radioudstyrs Direktivet (RED) og Cyber Resilience Act (CRA), de senere år og de overordnede rammer  forventes endeligt vedtaget omkring udgangen af 2023. Virksomheder kan imidlertid endnu ikke begynde implementeringen af disse lovgivninger, da en række detaljer skal nærmere beskrives i harmoniserede standarder (RED / CRA). Implementering er også afhængig af NIS2 udrulning på national plan.  
 
Hvor de relevante virksomheder og offentligheden som helhed efterhånden er blevet bekendt med eksistensen af NIS2 og de overordnede krav heri, er CRA og RED stadigt relativt ukendte i mange virksomheder. Dette udgør særligt et problem i forhold til CRA, idet lovgivningen også omfatter rene software løsninger. Det betyder at software branchen, som langt hen ad vejen normalt ikke er underlagt regulatoriske krav, ikke kun skal opfylde en række krav i forbindelse med cybersikkerhed, men også skal kunne dokumentere at kravene er opfyldte og leve op til en række andre krav omkring CE-mærkning. 

I relation til både NIS2, RED og CRA, spiller forskellige sikkerhedsstandarder og rammeværk en vigtig rolle, idet de både beskriver hvordan sikkerhedstiltag skal implementeres og også anvendes i forbindelse med kommunikation til eksterne parter.  

Standarder og lovgivning resulterer ofte i en række tekniske tiltag der skal implementeres. For at sikre en reel forbedring af sikkerheden, er man dog også nødt til at overveje hvordan de menneskelige brugere agerer. Aktivitetsområdet vil derfor også undersøge hvordan brugernes opførsels og den dertilhørende kultur påvirker den samlede sikkerhed og hvordan dette kan adresseres. 

Konkret vil aktivitetsområdet have et primært fokus på hvordan virksomheder kan anvende standarder i praksis, hvorved de kan dokumentere deres implementerede sikkerhed. Ydermere, vil aktivitetsområdet, som en af konsekvenserne ved CRA, have et fokus på hvordan software virksomheder kan/skal arbejde med dokumentation i forbindelse med CE-mærkning af deres løsninger. 

Dette vil opnås gennem virksomhedscases, hvor virksomheder bl.a. hjælpes med at udvikle den nødvendige dokumentation således forskellige, almene sikkerhedsfunktioner kan valideres ud fra en dertil udviklet testplan.  

De udviklede værktøjer, processer og erfaringer vil være tilgængelig i vores TDU-Cybersikkerhed, samt danne grundlaget for aktivitetens videnspredningsaktiviteter.