Den 7 juli 2026 presenterade Europeiska kommissionen en EU-handlingsplan för cybersäkerhet och artificiell intelligens, ett icke-bindande meddelande (IP/26/1544) som knyter samman reglerna i AI Act, Cyber Resilience Act, NIS2 och RED till en gemensam operativ färdplan för de team som arbetar med regelefterlevnad för uppkopplade produkter. Planen lanseras 26 dagar innan kraven för AI med allmänna ändamål (GPAI) och de flesta bestämmelser kring högrisk-AI enligt AI Act börjar tillämpas den 2 augusti 2026, och den pekar ut var ENISA, AI-byrån och Gemensamma forskningscentrumet (JRC) kommer att koncentrera sin tillsyns- och testkapacitet fram till 2027.
För tillverkare av radio-, telekom- och elutrustning som redan anpassar sig till kraven på cybersäkerhet i artikel 3.3 d-f i RED genom delegerad förordning (EU) 2022/30 och den harmoniserade standarden EN 18031, är handlingsplanen en framåtblickande signal snarare än en ny juridisk skyldighet. Den visar vilka AI-relaterade kontroller, utvärderingskanaler och infrastrukturer för säker testning som tillsynsmyndigheter kommer att luta sig mot under 2026 och 2027, samt var kommissionen förväntar sig att industrin ska investera redan nu.
Vad handlingsplanen faktiskt innebär för regelefterlevnad av uppkopplade produkter
Meddelandet introducerar inga nya bindande regler. Dess tyngdpunkt är rent operativ: den ålägger kommissionen, ENISA och JRC att leverera fyra konkreta initiativ som team för regelefterlevnad av uppkopplade produkter bör följa och, i tillämpliga fall, integrera i sina förberedande program för AI Act och CRA.
- En EU-utvärderingskapacitet för cybersäkerhet inom AI, inrättad via en särskild inbjudan, förväntas vara i drift under 2027. Den kommer att stödja AI-byråns tredjepartsbedömning av avancerade modellers kapacitet och risker, och därigenom komplettera GPAI Code of Practice som blir bindande den 2 augusti 2026.
- En europeisk Blueprint från ENISA för strukturerad tillgång till avancerad AI-kapacitet, vilket ger offentliga och privata europeiska organisationer transparenta villkor för att nå de mest kraftfulla modellerna för användningsfall relaterade till cybersäkerhet.
- En säker testplattform driven av JRC och ENISA för cybersäkerhet inom AI, inklusive simulerade miljöer, inriktad på aktörer i kritiska sektorer (finans, energi, hälsa, transport och offentlig förvaltning).
- En EU Grand Challenge kring AI för cybersäkerhet, samt ENISA-stödda partnerskap mellan myndigheter, företag och open source-gemenskaper, inklusive en kampanj för att säkra kritisk programvara med öppen källkod.
Ingen av dessa initiativ ersätter en bedömning av överensstämmelse för CE-märkning enligt RED eller CRA. De utgör i stället den offentliga kapacitet som tillsynsmyndigheterna kommer att förlita sig på vid granskning av AI-funktioner i uppkopplade produkter, och som leverantörer frivilligt kan dra nytta av innan kraven blir tvingande.
Vem påverkas, och när
Efterlevnadsansvariga och produktcybersäkerhetschefer hos EU-tillverkare av radio-, telekom- och uppkopplad elutrustning utgör den primära industriella målgruppen, tillsammans med väsentliga och viktiga entiteter enligt NIS2. De bindande tidsfristerna som handlingsplanen kretsar kring är oförändrade, men ligger tätt i tiden:
| Datum | Krav som träder i kraft | Instrument |
|---|---|---|
| 2 augusti 2026 | Krav för GPAI och de flesta bestämmelser kring högrisk-AI enligt AI Act blir tillämpliga; efterlevnad av GPAI Code of Practice förväntas | Förordning (EU) 2024/1689 (AI Act) |
| 2 augusti 2026 | Cybersäkerhetskrav enligt artikel 3.3 d-f i RED är redan tillämpliga sedan den 1 augusti 2025; presumtion om överensstämmelse via EN 18031 | Delegerad förordning (EU) 2022/30 enligt RED |
| Slutet av 2027 | Cyber Resilience Act fullt tillämplig: inbyggd säkerhet, hantering av sårbarheter och incidentrapportering, CE-märkt överensstämmelse för produkter med digitala element | Förordning (EU) 2024/2847 (CRA) |
| 2027 | EU-utvärderingskapacitet för cybersäkerhet inom AI är i drift | Åtagande i handlingsplanen (icke-bindande) |
För en leverantör av radioutrustning eller uppkopplade enheter som introducerar en AI-baserad funktion på EU-marknaden är den praktiska turordningen: överensstämmelse med AI Act för högriskkomponenter från och med den 2 augusti 2026, överensstämmelse med cybersäkerhetskraven i RED för radiogränssnittet som redan gäller, samt överensstämmelse med CRA för produktens digitala element till slutet av 2027. Handlingsplanen flyttar inte på dessa datum; den klargör i stället vilka EU-organ som kommer att finnas tillgängliga för att stödja varje skikt.
Vad regelefterlevnadsteam bör göra nu
För det första bör ni kartlägga varje AI-baserad funktion i er portfölj av radio-, telekom- eller elprodukter gentemot risknivåerna i AI Act och de väsentliga cybersäkerhetskraven i artikel 3.3 d-f i RED. Om en funktion klassificeras som högrisk måste dokumentationen för bedömning av överensstämmelse och riskhantering vara klar före den 2 augusti 2026, inte därefter. För det andra, förbered era underlag för CRA i god tid: processer för sårbarhets- och incidentrapportering, rutiner kring programvaruförteckningar (SBOM) och bevis på inbyggd säkerhet kommer alla att granskas när CRA börjar gälla i december 2027, och testplattformen från AI-byrån och ENISA är positionerad för att begära in sådana bevis för AI-relaterade komponenter. För det tredje, följ utvecklingen av ENISA:s Blueprint och inbjudan till EU-utvärderingskapacitet från åtagande till leverans, och överväg att tidigt ta kontakt med ert testlaboratorium eller anmälda organ, eftersom testkapaciteten sannolikt kommer att vara begränsad fram mot 2027.
Obsidians kontinuerliga bevakning per jurisdiktion uppmärksammar meddelanden från kommissionen, riktlinjer från ENISA och uppdateringar av harmoniserade standarder så snart de publiceras. Det innebär att team för regelefterlevnad av uppkopplade produkter kan integrera varje ny utveckling i sina förberedelser utan att behöva utföra samma dagliga manuella kontroller.
Dra nytta av den här realtidsbevakningen
Nästa steg för efterlevnadsansvariga: bekräfta er status för överensstämmelse med AI Act inför den 2 augusti 2026 för varje högriskfunktion, informera ert anmälda organ och er partner för cybersäkerhetstestning om handlingsplanens fyra initiativ, och förankra milstolpen för CRA till december 2027 i era granskningar av produktfärdplaner redan nu, i stället för efter sommaruppehållet.


