EU’s digitale regulering er vokset markant de seneste år. Nye forordninger og direktiver om databeskyttelse, dataadgang, cybersikkerhed og kunstig intelligens er blevet indført med det formål at beskytte borgere og styrke tilliden til digitale løsninger. Udviklingen har dog medført et komplekst og fragmenteret regelbillede, hvor virksomheder skal forholde sig til overlappende krav og uklare grænseflader mellem regelsæt.
På den baggrund har EU taget hul på arbejdet med at strømline den digitale regulering gennem den såkaldte digitale omnibuspakke, som er et lovgivningsforslag fremsat af EU-Kommissionen. Initiativet sigter mod at forenkle og samordne eksisterende regler gennem ændringer i gældende lovgivning, så virksomheder lettere kan navigere i kravene.
Hvad er EU’s digitale omnibuspakke?
”Omnibus” betegner en samlet lovpakke, der ændrer flere eksisterende retsakter på én gang. I stedet for at indføre ny, selvstændig regulering lægger den digitale omnibus op til justeringer af en række eksisterende regler på én gang for at skabe større sammenhæng.
EU’s digitale omnibusforslag dækker tre hovedområder:
- Data og databeskyttelse, herunder samspillet mellem GDPR og øvrig datalovgivning om dataadgang og deling.
- Cybersikkerhed, herunder fokus på at samordne rapporteringskrav og reducere administrative byrder i forbindelse med cyberhændelser og databrud.
- Kunstig intelligens, hvor der foreslås ændringer til AI-reguleringen.
Initiativet har ikke til formål at svække beskyttelsen af personoplysninger, cybersikkerhed eller borgerrettigheder. Tværtimod angiver Kommissionen, at ændringerne skal bevare eksisterende beskyttelsesniveau, samtidig med at reglerne justeres, så de fungerer mere sammenhængende og praktisk i anvendelsen.
Hvorfor har EU lanceret den digitale omnibus?
EU har lanceret den digitale omnibuspakke for at håndtere de udfordringer, der er opstået som følge af mange års gradvis udbygning af digitale reguleringer. Regler om data, cybersikkerhed og kunstig intelligens er i dag spredt på tværs af flere retsakter, hvilket gør det vanskeligt for organisationer at etablere sammenhængende styring og effektive compliance-processer.
Når beslægtede krav er spredt på tværs af forskellige regelsæt, opstår der overlap i processer og indberetninger. Det øger de administrative byrder uden nødvendigvis at styrke beskyttelsesniveauet. Derudover kan manglende koordinering mellem regelsæt skabe uklarhed om, hvilke krav der gælder i hvilke situationer.
Den digitale omnibus skal derfor ses som et forenklingsinitiativ. Målet er at reducere unødigt bøvl og skabe et mere sammenhængende regelsæt, samtidig med at det eksisterende beskyttelsesniveau for data, cybersikkerhed og borgerrettigheder fastholdes.
Hvilke regler og områder berører pakken?
Den digitale omnibuspakke er et forslag, der lægger op til ændringer i en række konkrete retsakter, som samlet kan opdeles i tre centrale områder i EU’s digitale regulering.
1) Data og databeskyttelse
Den digitale omnibus foreslår at tydeliggøre samspillet mellem GDPR og øvrige dataregler samt at afgrænse, hvilke forhold der reguleres hvor.
Omnibuspakken adresserer blandt andet:
- tydeligere regler for dataadgang og deling, når personoplysninger er anonymiseret
- justering af cookie-regler med henblik på et mere enkelt samtykke
- højere konsistens på tværs af forordninger
Formålet er ifølge Kommissionen at bevare et højt niveau for databeskyttelse, samtidig med at reglerne bliver mere overskuelige og anvendelige.
2) Cybersikkerhed
Inden for cybersikkerhed foreslår omnibuspakken at adressere udfordringer med overlappende og parallelle rapporteringskrav.
De centrale elementer er:
- samordning af indberetningsforpligtelser ved cyberhændelser og databrud
- introduktion af en fælles indberetningskanal, hvor én rapport kan dække flere regelsæt
- tydeligere sammenhæng mellem kravene i NIS2, GDPR og øvrig beredskabsregulering
Målet er at reducere administrative byrder i pressede situationer uden at svække beredskab eller tilsyn.
3) Kunstig intelligens
På AI-området omfatter den digitale omnibus et selvstændigt forslag med ændringer til AI-forordningen (AI Act). Ændringerne har til formål at justere rammerne for efterlevelse og tidsplanen for visse krav, så reguleringen kan implementeres mere sammenhængende og proportionelt.
Forslaget omfatter blandt andet:
- justeringer af tidsfrister og overgangsordninger i AI Act
- præcisering og tilpasning af krav, særligt for højrisiko-AI
- bedre sammenhæng mellem lovkrav, standarder og vejledninger
Samlet set skal ændringerne bidrage til, at AI-reguleringen kan anvendes mere effektivt i praksis, uden at gå på kompromis med reguleringens overordnede formål.
Hvad betyder det for din organisation?
Da den digitale omnibuspakke er et forslag og endnu ikke vedtaget, ændrer den ikke på nuværende tidspunkt de digitale krav, organisationer er underlagt i dag. Initiativet skal ses som et skridt mod bedre sammenhæng mellem reglerne snarere end indførelsen af nye forpligtelser. På kort sigt betyder det, at fokus rettes mod, hvordan de nuværende krav om data, cybersikkerhed og kunstig intelligens spiller sammen i praksis, og hvordan unødige overlap i processer og indberetninger kan reduceres.
For organisationer kan forslaget på sigt føre til mere forudsigelig compliance, færre parallelle indberetninger og tydeligere vejledninger om, hvilke krav der gælder i hvilke situationer. Det kan have særlig betydning for organisationer, der opererer på tværs af flere digitale regelsæt og i dag oplever stor fragmentering.
Det er dog væsentligt at understrege, at den digitale omnibus befinder sig tidligt i den lovgivningsmæssige proces. Forslaget skal forhandles i EU, og både indhold og tidsplan kan ændre sig, før eventuelle justeringer træder i kraft. Derfor er der ikke tale om krav, der skal implementeres her og nu, men om en retning mod større sammenhæng i EU’s digitale regulering. Den konkrete betydning for den enkelte organisation kan først vurderes, når den endelige udformning ligger fast.
