EU:s digitala reglering har vuxit markant under de senaste åren. Nya förordningar och direktiv om dataskydd, datatillgång, cybersäkerhet och artificiell intelligens har införts i syfte att skydda medborgare och stärka förtroendet för digitala lösningar. Utvecklingen har dock lett till en komplex och fragmenterad regelstruktur, där företag behöver förhålla sig till överlappande krav och otydliga gränssnitt mellan olika regelverk.
Mot den bakgrunden har EU påbörjat arbetet med att effektivisera den digitala regleringen genom det så kallade digitala omnibuspaketet, som är ett lagstiftningsförslag framlagt av EU-kommissionen. Initiativet syftar till att förenkla och samordna befintliga regler genom ändringar i gällande lagstiftning, så att företag lättare ska kunna navigera bland kraven.
Vad är EU:s digitala omnibuspaket?
"Omnibus" betecknar ett samlat lagpaket som ändrar flera befintliga rättsakter på en gång. Istället för att införa ny, fristående reglering innebär det digitala omnibuspaketet justeringar av en rad befintliga regler på samma gång för att skapa större sammanhang.
EU:s digitala omnibusförslag täcker tre huvudområden:
-
Data och dataskydd, inklusive samspelet mellan GDPR och övrig datalagstiftning om datatillgång och delning.
-
Cybersäkerhet, med fokus på att samordna rapporteringskrav och minska den administrativa bördan i samband med cyberincidenter och dataintrång.
-
Artificiell intelligens, där ändringar i AI-regleringen föreslås.
Initiativet syftar inte till att försvaga skyddet för personuppgifter, cybersäkerhet eller medborgerliga rättigheter. Tvärtom anger kommissionen att ändringarna ska bevara det befintliga skyddsnivån, samtidigt som reglerna justeras så att de fungerar mer sammanhängande och praktiskt i tillämpningen.
Varför har EU lanserat det digitala omnibuspaketet?
EU har lanserat det digitala omnibuspaketet för att hantera de utmaningar som uppstått till följd av många års gradvis utbyggnad av digital reglering. Regler om data, cybersäkerhet och artificiell intelligens är idag spridda över flera rättsakter, vilket gör det svårt för organisationer att etablera en sammanhängande styrning och effektiva complianceprocesser.
När besläktade krav är spridda över olika regelverk uppstår överlapp i processer och rapportering. Det ökar den administrativa bördan utan att nödvändigtvis stärka skyddsnivån. Bristande samordning kan dessutom skapa oklarhet mellan regelverk när det kommer till vilka krav som gäller i vilka situationer.
Det digitala omnibuspaketet bör därför ses som ett förenklingsinitiativ. Målet är att minska onödig administration och skapa ett mer sammanhängande regelverk, samtidigt som det befintliga skyddsnivån för data, cybersäkerhet och medborgerliga rättigheter bibehålls.
Vilka regler och områden berörs av paketet?
Det digitala omnibuspaketet är ett förslag som innebär ändringar i ett antal konkreta rättsakter, som sammantaget kan delas in i tre centrala områden inom EU:s digitala reglering.
1) Data och dataskydd
Det digitala omnibuspaketet föreslår att samspelet mellan GDPR och övriga dataregler tydliggörs, samt att det avgränsas vilka förhållanden som regleras var.
Omnibuspaketet adresserar bland annat:
-
tydligare regler för datatillgång och delning när personuppgifter är anonymiserade
-
justering av cookie-regler i syfte att förenkla samtycke
-
ökad konsekvens mellan förordningar
Syftet är enligt kommissionen att bevara en hög nivå av dataskydd, samtidigt som reglerna blir mer överskådliga och användbara.
2) Cybersäkerhet
Inom cybersäkerhet föreslår omnibuspaketet att utmaningar med överlappande och parallella rapporteringskrav adresseras.
De centrala elementen är:
-
samordning av rapporteringsskyldigheter vid cyberincidenter och dataintrån
-
införande av en gemensam rapporteringskanal där en rapport kan täcka flera regelverk
-
tydligare sammanhang mellan kraven i NIS2, GDPR och övrig beredskapsreglering
Målet är att minska den administrativa bördan i pressade situationer utan att försämra beredskap eller tillsyn.
3) Artificiell intelligens
På AI-området omfattar det digitala omnibuspaketet ett fristående förslag med ändringar i AI-förordningen (AI Act). Ändringarna syftar till att justera ramverket för efterlevnad och tidsplanen för vissa krav, så att regleringen kan implementeras mer sammanhängande och proportionerligt.
Förslaget omfattar bland annat:
-
justeringar av tidsfrister och övergångsbestämmelser i AI Act
-
förtydligande och anpassning av krav, särskilt för högrisk-AI
-
bättre sammanhang mellan lagkrav, standarder och vägledningar
Sammantaget ska ändringarna bidra till att AI-regleringen kan tillämpas mer effektivt i praktiken, utan att kompromissa med regleringens övergripande syfte.
Vad betyder det för din organisation?
Eftersom det digitala omnibuspaketet är ett förslag som ännu inte antagits så förändrar det för närvarande inte de digitala krav som organisationer är underkastade idag. Initiativet bör ses som ett steg mot bättre sammanhang mellan reglerna, snarare än införandet av nya skyldigheter. På kort sikt innebär det att fokus riktas mot hur de nuvarande kraven om data, cybersäkerhet och artificiell intelligens samverkar i praktiken, och hur onödiga överlapp i processer och rapportering kan minskas.
För organisationer kan förslaget på sikt leda till mer förutsägbar compliance, färre parallella rapporteringar och tydligare vägledning om vilka krav som gäller i vilka situationer. Det kan ha särskild betydelse för organisationer som verkar inom flera digitala regelverk och idag upplever stor fragmentering.
Det är dock viktigt att understryka att det digitala omnibuspaketet befinner sig tidigt i den lagstiftningsprocessen. Förslaget ska förhandlas inom EU, och både innehåll och tidsplan kan förändras innan eventuella justeringar träder i kraft. Det handlar därför inte om krav som ska implementeras här och nu, utan om en riktning mot större sammanhang i EU:s digitala reglering. Den konkreta innebörden för den enskilda organisationen kan först bedömas när den slutliga utformningen är fastlagd.
