De skærpede krav kommer til at have stor betydning for mange virksomheder og offentlige myndigheder i EU.
Noget af denne lovgivning er stadig under forhandling, mens andet allerede er trådt i kraft og eventuelt implementeret i dansk ret.
Ambitionen med disse artikler er at skabe et overblik over reguleringen på det digitale område, som danske virksomheder og myndigheder skal forholde sig til, og give et indblik i hvilke krav, man skal leve op til.
Den europæiske lovgivning på det digitale område er tæt koblet med udviklingen af europæiske standarder, der giver konkrete redskaber til at leve op til kravene. Derfor indgår også en beskrivelse af koblingen til de relevante standarder.
Cyber Resilience Act er en ny EU-forordning som stiller fælleseuropæiske cybersikkerhedskrav til produkter med digitale elementer. Med forordningen følger en række standarder, der skal hjælpe virksomhederne med at leve op til de horisonale cybersikkerhedskrav.
Den europæiske forordning om cybersikkerhed har til formål at etablere en fælles europæisk ramme for certificering inden for cybersikkerhed, som forventes at bygge på eksisterende standarder.
Dataforordningen (Data Act) skal skabe harmoniserede regler om fair adgang til og anvendelse af data og gøre det lettere for europæiske virksomheder at dele og anvende data.
Forordningen om kunstig intelligens (AI Act) skal sikre fælles spilleregler for brugen og udviklingen af kunstig intelligens. Med forordningen følger en række standarder, der skal hjælpe virksomhederne med at leve op til kravene om kunstig intelligens, som forordningen stiller.
Datastyringsforordningen (Data Governance Act) har til formål at skabe tillid til datadeling til gavn for samfundet, og der skal bl.a. prioriteres tværsektorielle standarder for datadeling og interoperabilitet.
Databeskyttelsesforordningen (GDPR) fastlægger fælleseuropæiske retningslinjer for håndteringen af personoplysninger for virksomheder, organisationer, myndigheder mm.
NIS2-direktivet indeholder skærpede krav til cyber- og informationssikkerhed i forhold til kritisk infrastruktur. Direktivet opfordrer til at anvende internationale, anerkendte standarder.
Standarder er som udgangspunkt frivillige at anvende. Men i særlige situationer kan standarder være tilknyttet direkte til lovgivning. Man skelner derfor mellem europæiske standarder og harmoniserede europæiske standarder. De harmoniserede standarder er bestilt af Europa-Kommissionen og har til formål at hjælpe virksomheder med at leve op til direktiver eller forordninger.
Det betyder, at hvis en virksomhed følger og lever op til en eller flere konkrete standarder, som er nævnt i lovgivningen, så lever de også op til lovgivningen. Hvis virksomhederne ikke ønsker at følge standarderne, kan de også på anden vis dokumentere, at de lever op til lovkravene.
Standarderne udvikles som udgangspunkt af de officielle europæiske standardiseringsorganisationer (CEN, CENELEC eller ETSI), men kan i princippet også udvikles af Europa-Kommissionen selv.
Harmoniserede standarder er meget udbredt på områder, hvor CE-mærkning anvendes til at angive at visse krav til sikkerhed, sundhed og miljø overholdes på et specifikt produktområde.
Det ses bl.a. i forhold til legetøj, elektriske apparater, maskiner mm. På det digitale område har harmoniserede standarder indtil nu ikke været så udbredt. Men i takt med udviklingen af den europæiske lovgivning på det digitale område følger også krav om harmoniserede standarder, bl.a. i forbindelse med AI Act og Cyber Resilience Act.
Under standardiseringsorganisationerne findes der en række tekniske komitéer, der udvikler standarder inden for afgrænsede områder; f.eks. kunstig intelligens eller cybersikkerhed. I de tekniske komitéer er det eksperter fra hele Europa, der bidrager til udviklingen af de europæiske standarder. Eksperterne kommer fra små og store virksomheder, offentlige myndigheder, NGO’, forbrugerorganisationer, uddannelses- og forskningsområdet, GTS-institutter mm.
De europæiske standardiseringsorganisationer udgiver to typer af standarder:
Europæisk adopterede internationale standarder
De europæisk adopterede internationale standarder står, indtil videre, for langt størstedelen af de europæiske standarder på det digitale område. Da der allerede findes en lang række internationale, anerkendte standarder på området, adopteres disse som europæiske standarder. Det betyder konkret at de internationale standarder nu også får status som europæiske standarder i stedet for, at der udvikles noget tilsvarende – og evt. overlappende - i europæisk regi. Når de internationale standarder adopteres som europæiske betyder det, at de nu fælles europæiske standarder er gældende for alle medlemslande og at eventuelle nationale standarder (danske, franske, tyske mm.) inden for det samme område skal ophæves.
Rene europæiske standarder
De rene europæiske standarder dækker over de standarder, der udelukkende udarbejdes i europæisk regi. Disse standarder udvikles oftest på baggrund af særlige europæiske behov. Standarderne kan enten blive udviklet på opfordring fra medlemslandene eller på bestilling fra Europa-Kommissionen (se ovenstående).
En EU-lov kaldes for en retsakt. De mest almindelige former for retsakter kaldes forordninger og direktiver.
En forordning er en bindende retsakt, der gælder direkte i medlemslandene. Det betyder, at EU har besluttet, hvordan de danske domstole og myndigheder skal anvende forordningen.
Sådan er det ikke med direktiver. Direktiver er retsakter, der fastlægger et fælles mål, der skal nås i alle EU’s medlemslande. Det er op til landene selv at bestemme, hvordan de vil gennemføre direktivet og opnå målet. Landene skal oftest gennemføre direktivet inden for to-tre år.
Når EU har vedtaget et direktiv, gælder det derfor først i Danmark, når Folketinget har implementeret det i den danske lovgivning. Derfor kan de nationale love, som er blevet indført på baggrund af direktivet, se forskellige ud fra medlemsland til medlemsland.
Modsat en forordning giver et direktiv derfor mere åbne rammer for, hvordan retsakten skal fortolkes og gennemføres i det enkelte medlemsland.
Kilde: Folketingets EU-oplysning