Uchwalone prawo umożliwia zniesienie barier na rynku cyfrowym i ma zagwarantować, że usługi i urządzenia podłączone do sieci spełniają określone, jednolite kryteria cyberbezpieczeństwa obowiązujące na terenie całej UE. Certyfikaty wydawane na podstawie europejskich programów certyfikacyjnych będą uznawane w każdym państwie członkowskim UE.

Akt o cyberbezpieczeństwie przewiduje trzy poziomy certyfikatów. W kolejności od najwyższego są to poziomy wysoki, istotny i podstawowy.

Dzięki temu podziałowi przedsiębiorcy będą mogli łatwiej dobrać certyfikat do swoich indywidualnych potrzeb. Jeśli więc chcą by ich produkt gwarantował jedynie zabezpieczenie przez podstawowymi zagrożeniami, mogą wybrać certyfikat poziomu „podstawowego”.  Poziom “istotny” wskazuje z kolei, że oprócz ochrony przez podstawowymi zagrożeniami, dany produkt skutecznie chroni przed atakami wykonywanymi przez sprawcę o ograniczonych możliwościach. Produkt, który posiada taki certyfikat jest odporny na ataki większości cyberprzestępców. Ostatni poziom wskazuje, że produkt jest w stanie się opierać atakom sprawców o bardzo dużych możliwościach i środkach np. zorganizowanym grupom dysponującym państwowymi funduszami. Jest to najwyższy możliwy poziom ochrony.

Możliwość szybkiego wyboru właściwego poziomu zapewni  przedsiębiorcom oszczędność czasu i środków przeznaczonych na certyfikację.

To z jednej strony zwiększy zaufanie konsumentów, którzy będą mogli wybierać rozwiązania i urządzenia spełniające odpowiednie normy bezpieczeństwa, a z drugiej pomoże przedsiębiorcom między innymi ograniczając koszty i czas związany z uzyskaniem certyfikatu w każdym kraju osobno.  Z kolei przedsiębiorcy zyskają pewność, że uzyskane przez nich certyfikaty będą uznawane w każdym państwie należącym do Unii Europejskiej. Z kolei przedsiębiorcy, którzy będą chcieli oferować usługi certyfikacyjne, będą mogli swobodnie kierować swoją ofertę do klientów z innych państw z gwarancją uznania wystawionych przez nich dokumentów.

Europejskie ramy certyfikacji cyberbezpieczeństwa pozwolą stymulować rozwój jednolitego rynku. Utworzenie ram pozwoli także ograniczyć koszty związane z testami i badaniami poprawiając tym samym funkcjonowanie mechanizmów bezpieczeństwa. Poszerzona oferta rynkowa pozytywnie przyczyni się do większej dostępności cenowej bezpiecznego oprogramowania, urządzeń i usług dla przedsiębiorców, a także dla obywateli.

Lepszy dostęp do certyfikowanych produktów przyczyni się również do ogólnego wzrostu cyberbezpieczeństwa i pozwoli zmniejszyć straty jakie ponoszą przedsiębiorcy w związku z cyberprzestępczością.

Za przygotowywanie poszczególnych programów certyfikacji odpowiada ENISA (Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji), która we współpracy z nowym organem, Europejską Grupą ds. Certyfikacji Cyberbezpieczeństwa (ECCG), przygotowuje kompleksowy zbiór wymogów technicznych, norm i procedur w celu oceny produktów i usług pod kątem odpowiednich zabezpieczeń. ECCG to jeden z najważniejszych organów, który powołuje do życia Akt o Cyberbezpieczeństwie. Grupie przewodniczy Komisja Europejska i składa się z przedstawicieli krajowych organów ds. certyfikacji cyberbezpieczeństwa lub innych właściwych organów krajowych. 

Ponadto na mocy rozporządzenia powołano także Grupę Interesariuszy do spraw Certyfikacji Cyberbezpieczeństwa. Głównymi zadaniami tej grupy jest doradzanie Komisji w sprawach strategicznych związanych z europejskimi ramami certyfikacji cyberbezpieczeństwa.

W ostatnich miesiącach działania w zakresie certyfikacji zostały zintensyfikowane – ENISA poinformowała o postępach w pracach nad programem certyfikacji cyberbezpieczeństwa produktów ICT opartym na Common Criteria oraz nad programem certyfikacji usług chmurowych.