Cybersecurity Act (CA) to druga, po dyrektywie NIS, ogólnoeuropejska regulacja w dziedzinie cyberbezpieczeństwa. Propozycja aktu została przedstawiona we wrześniu 2017, jako część tzw. pakietu cyberbezpieczeństwa, natomiast porozumienie w sprawie Aktu Parlament Europejski i Komisja osiągnęły 10 grudnia 2018.
CA składa się z dwóch części: nowego, permanentnego mandatu dla Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA), której rola została znacznie wzmocniona, a także rozporządzenia tworzącego europejskie ramy certyfikacji cyberbezpieczeństwa dla produktów i usług ICT. Jest to bardzo istotna regulacja, która znacznie zmieni funkcjonujący obecnie model certyfikacji, zdominowany przez SOG-IS (Senior Official Group Information Security Systems)[1].
[1]Porozumienie SOG-IS zostało zawarte w 1997 roku, w odpowiedzi na decyzję Rady UE z marca 1992. Sygnatariusze porozumienia mogą samodzielnie oceniać i certyfikować produkty i usługi sektora IT, zgodnie z międzynarodową normą OSO/IEC 15408, która pozwala zweryfikować bezpieczeństwo systemów teleinformatycznych pod względem formalnym. Polska dołączyła do grupy państw sygnatariuszy porozumienia SOG-IS w 2017 roku.