Utredningen ska i den delen som avser anpassningar med anledning av EU-förordningen redovisas senast den 1 juni 2020. I den delen som avser regler för verksamheter som är av betydelse för Sveriges säkerhet ska uppdraget redovisas senast den 1 mars 2021.

Cybersäkerhetsakten är en EU-förordning som trädde ikraft under sommaren 2019 och som dels fastställer mål, uppgifter och organisatoriska frågor som rör den europeiska unionens cybersäkerhetsbyrå Enisa, dels innehåller bestämmelser om fastställande av särskilda europeiska ordningar för cybersäkerhetscertifiering. I den senare delen är Sverige skyldig att ha de kompletterande nationella bestämmelser som krävs på plats den 28 juni 2021 för att förordningen ska kunna tillämpas.

Särskilda krav på säkerhet måste kunna ställas på nät- och informationssäkerhet för att skydda nationell säkerhet. Det finns anledning att överväga om ytterligare krav än de som i dag finns i säkerhetsskyddslagstiftningen bör införas för att säkerställa att nätverks- och informationssystem som ska användas i säkerhetskänslig verksamhet uppfyller de krav som behövs för att upprätthålla skyddet av sådana verksamheter. Utredaren ska därför överväga även denna fråga.