EU-lagarna som påverkar er digitala agenda

De senaste fem åren har inneburit en explosionsartad utveckling av EU-rättsliga direktiv och förordningar rörande data, cybersäkerhet och det digitala området generellt. Tittar man framåt ser utvecklingen ut att fortsätta i samma takt. Här sammanfattar Lindahls experter några av de viktigaste förslagen på området att ha koll på.

Förenklat kan sägas att de EU-rättsliga utvidgningarna på det digitala området har ett tvådelat syfte: att å ena sidan stärka EU:s innovations- och konkurrenskraft samtidigt som övergripande ”europeiska” värderingar skyddas. Det handlar om att ge företag en jämlikare spelplan, att uppmuntra användningen och kommersialiseringen av data, samtidigt som den personliga integriteten skyddas och principerna om icke-diskriminering och sund konkurrens värnas. Samt att en hög nivå av cybersäkerhet och främjande av en hållbar utveckling säkerställs. 

Rättsakterna kommer att få stor påverkan på näringslivet. Många minns nog de omfattande förberedelserna i samband med GDPR. Frågan är om det arbetet bara var en föraning om vad som komma skall.

Några av de viktigaste EU-lagstiftningarna som är på gång inom det digitala området:

 

  • Dataakten (the Data Act)
    Dataakten fokuserar på IoT (”sakernas internet”) och den data som genereras av användarna av uppkopplade produkter. Syftet är att uppmuntra en breddad men även rättvisare tillgång till användardata. Som användare ska du få bättre kontroll över din data och kunna ”ta den med dig”, exempelvis till andra leverantörer. Det finns även regler om att offentliga myndigheter ska få rätt till användardata vid kris. Möjliga sanktioner vid brott mot förordningen motsvarar dem vi sett inom GDPR. Förordningen förmodas träda i kraft under 2024.
  • Dataförvaltningsakten (the Digital Governance Act)
    Gäller från den 23 september 2023 och kompletterar direktivet om öppna data (som kom 2021). Syftet är att utöka tillgången till den data som finns hos myndigheter för forskning och innovation – att nu även omfatta data som är skyddad i någon form, t ex av upphovsrätt eller sekretess. Icke-diskriminerande villkor och trygga miljöer för datadelning är ledord.
  • Förordningen om digitala tjänster (the Digital Services Act)
    Gäller fullt ut från den 17 februari 2024. En form av marknadsföringslag för mellanhänder av data, exempelvis hostingtjänster eller online-plattformar. Syftet är att främja tillväxt och konkurrens genom enhetliga regler, samtidigt som rättighetsskyddet stärks för användarna. Möjliga sanktioner överstiger till och med dem som kan påföras enligt GDPR.
  • Förordningen om digitala marknader (the Digital Markets Act)
    Tillämpas från den 24 september 2024 och är inriktad på särskilt stora plattformar. Här handlar det om att de s k ”grindvakterna” inte får begränsa sina användares affärer, t ex genom att diskriminera dem i förhållande till grindvaktens egna erbjudanden. Möjliga sanktioner kan vid upprepade brott uppgå till hela 20% av årsomsättningen på koncernnivå.
  • Rättsakten om artificiell intelligens (the AI Act)
    Syftar till att främja AI-utvecklingen samt effektivisera och harmonisera regelverket, samtidigt som rättigheter och säkerhet värnas. Regleringen bygger på ett ”riskbaserat angreppssätt” med nya utmaningar för både leverantörer och användare av AI, specifikt ”högrisk-AI”. Användning av s.k. förbjudna AI-system kan leda till sanktionsavgifter upp till det högsta av 30 miljoner euro och 6 procent av föregående års globala omsättning. Regelverket kompletteras även av ett direktiv som reglerar skadeståndsansvar gällande AI.
  • Cybersäkerhetsakten (Cyber Security Act)
    Cybersäkerhetsakten stärker och ger EU:s cybersäkerhetsbyrå (Enisa) ett permanent mandat, samt fastställer en ram för cybersäkerhetscertifiering för produkter och tjänster.
  • Rättsakten om cyberresiliens (Cyber Resilience Act)
    Hård- och mjukvara utsätts för en ökande mängd cyberattacker, år 2021 till en uppskattad kostnad om 5,5 biljoner euro globalt. Förordningen om cyberresiliens befinner sig på förslagsstadiet och syftar till säkrare hård- och mjukvaruprodukter under hela livscykeln. Förenklat beskrivet ska den gälla för uppkopplade hård- och mjukvaruprodukter, med undantag för exempelvis fordon, medicintekniska produkter och användning inom nationell säkerhet. Förordningen föreslås bland annat ställa krav på utveckling och produktion, självutvärdering och CE-märkning samt löpande uppdateringar.
  • Hälsodataförordningen (European Health Data Space)
    En annan förordning på förslagsstadiet handlar om hälsodata och syftar till att förbättra och förstärka både primär och sekundär användning av e-hälsodata. Förordningen påverkar vårdgivare, hälsoappar, patientjournalsystem och användare av hälsodata (exempelvis forskningsbolag). Förslaget innehåller tydligare rättigheter för patienter och skyldigheter för vårdgivare, krav på certifiering av patientjournalsystem, ökad tillgång till e-hälsodata och stöd för utlämning av hälsodata enligt GDPR. Det föreslås även gränsöverskridande samarbete inom unionen, bland annat genom obligatorisk anslutning till infrastrukturen för primär användning av e-hälsodata (MyHealth@EU) och införandet av en gränsöverskridande infrastruktur för sekundär användning av e-hälsodata (HealthData@EU).
  • NIS II-direktivet
    NIS II-direktivet är antaget och ska tillämpas från den 18 oktober 2024. Syftet är att öka nivån på cybersäkerheten i hela unionen. Direktivet är högst relevant inom flera sektorer, såsom offentlig förvaltning, medicinteknik och läkemedelsforskning. Direktivet ställer krav på riskhanteringsåtgärder och rapportering samt särskilt ansvar för ledningsorgan. Sanktionsavgifterna sträcker sig upp till 10 miljoner euro eller 2 procent av omsättningen.
  • Förordningen om digital operativ motståndskraft för finanssektorn (DORA)
    Förordningen är antagen och ska tillämpas från och med den 17 januari 2025, med syftet att uppnå en hög nivå av digital operativ motståndskraft. DORA träffar hela den finansiella sektorn och påverkar IT-leverantörerna gällande krav på IKT-riskhantering, incidenthantering, testning och IKT-tredjepartsrisker.

Vill du veta mer om hur din verksamhet kan komma att påverkas? Kontakta gärna någon av våra experter.

Registrera dig för e-postutskick

Prenumerera på Lindahls nyhetsbrev!

Besök sidan

GDPR & Dataskydd

I samband med samhällets digitalisering har behandlingen av personuppgifter blivit en förutsättning – och ett självständigt värde – för företags, myndigheters och andra organisationers verksamheter. Parallellt med detta har kraven på att skydda anställdas och kunders integritet ökat väsentligt.

Besök sidan

Relaterat

Kontakt

Vissa kakor är nödvändiga för webbplatsens funktionalitet, andra hjälper oss att förbättra din upplevelse genom att ge insikt i hur webbplatsen används. För mer information, besök vår cookiepolicy.

Nödvändiga cookies

Dessa cookies är nödvändiga för webbplatsens funktionalitet och kan inte inaktiveras.

Analytics cookies

Vi använder Analytics-kakor för att samla information och ge oss inblick i hur besökare använder vår webbplats. Vi anonymiserar IP-adresser i Google Analytics. Genom att klicka på Neka så kommer vi inte att spara dessa cookies.

Vi använder cookies för att undersöka hur vår hemsida används och ge våra besökare bästa möjliga upplevelse