Digitale reguleringer i EU

Del I. Cybersikkerhet

NIS2-direktivet

Oversikt

NIS2-direktivet[1]  er den nyeste EU-lovgivningen som regulerer cybersikkerhet. NIS2-direktivet er den offisielle etterfølgeren til nettverks- og informasjonssikkerhetsdirektivet (NIS), som ble introdusert i EU i 2016.

NIS2 har som hovedmål å etablere et høyt felles nivå for cybersikkerhet i hele EU. Det setter også et krav om at EUs medlemsland øker cybermotstanden til offentlige og private virksomheter som opererer i kritiske sektorer. Dette gjør NIS2-direktivet til en av de viktigste rettsaktene knyttet til cybersikkerhet i EU. Direktivet legger frem spesifikke tiltak for risikostyring av cybersikkerhet og etablerer obligatoriske rapporteringskrav for flere kritiske sektorer.

NIS2-direktivet trådte i kraft 16. januar 2023. EUs medlemsstater har imidlertid frist til 17. oktober 2024 med å innarbeide NIS2 i nasjonal lovgivning og sørge for nødvendig offentliggjøring. Dermed vil NIS2-direktivet gjelde og håndheves fra 18. oktober 2024.

Avsnittene under gir en oversikt over NIS2-direktivet, endringene det medfører, og oppsummerer implikasjoner for virksomheter.

Gyldighet

Tidligere kategoriserte NIS-direktivet virksomheter som vesentlige tjenesteleverandører eller leverandører av digitale tjenester. NIS2 deler virksomhetene inn i kategoriene vesentlige sektorer eller viktige sektorer.

• Vesentlige sektorer inkluderer energi, transport, finans, offentlig forvaltning, helse, romfart, vannforsyning (drikke- og avløpsvann) og digital infrastruktur, inkludert leverandører av skytjenester og leverandører av IKT-administrasjon.

• Viktige sektorer inkluderer organisasjoner fra følgende sektorer: Posttjenester, avfallshåndtering, kjemikalier, forskning, matvarer, produksjon (medisinsk utstyr og annet utstyr) og digitale leverandører (sosiale nettverk, søkemotorer og online markedsplasser).

Mens det etter det opprinnelige NIS-direktivet var opp til EUs medlemsstater å bestemme hvilke virksomheter som faller inn under kategoriene, bestemmer NIS2-direktivet at kategoriseringen skal baseres på virksomhetenes størrelse. Mellomstore og store virksomheter vil derfor omfattes av virkeområdet for det nye direktivet.

Videre utvider NIS2 omfanget med hensyn til sektorer som faller inn under de to kategoriene nevnt ovenfor, vesentlige og viktige. For eksempel vil direktivet utvide cybersikkerhetsforpliktelser til (i) EUs referanselaboratorier (i henhold til forordning (EU) 2022/2371 om alvorlige grenseoverskridende trusler mot helse); (ii) produsenter av visse medisinsk utstyr (i henhold til forordning 2022/123 om det europeiske legemiddelkontorets forsterkede rolle i kriseberedskap og håndtering av legemidler og medisinsk utstyr); (iii) grunnleggende farmasøytiske produkter; og (iv) virksomheter som utfører forsknings- og utviklingsaktiviteter av legemidler.

NIS2-direktivet har utviklet krav som angår virksomheter i nærmere ulike 18 sektorer. Disse sektorene er kategorisert som enten vesentlige sektorer eller viktige sektorer. Det er verdt å merke seg at forpliktelsene etter NIS2 varierer avhengig av hvilken kategori virksomhetene faller innenfor. For eksempel er bøtene for manglende overholdelse høyere hvis en virksomhet er klassifisert under vesentlig sektor.

I henhold til EU-lovgivningen gjelder NIS2 for virksomheter i kategorien vesentlige sektorer med flere enn 250 ansatte og som har en årlig omsetning som overstiger EUR 50 millioner, og/eller en årlig balansesum som overstiger EUR 43 millioner. Direktivet gjelder også for virksomheter i kategorien viktige sektorer som har flere enn 50 ansatte og en årlig omsetning over EUR 10 millioner. Det finnes imidlertid unntak, for eksempel virksomheter som anses å levere kritisk infrastruktur og tjenester til myndighetene. Kategoriseringen definerer også graden av tilsyn med at kravene i NIS2-direktivet overholdes, samt summen av bøter som kan gis ved overtredelser.

Viktige punkter

Rådet for den Europeiske Union uttalte i 2022 at NIS2-direktivet vil definere basisnivået for risikostyringstiltak og rapporteringsforpliktelser for cybersikkerhet på tvers av alle sektorer som omfattes av NIS2. Dette innebærer å tilrettelegge veiledning for virksomhetene om håndtering av cybertrusler.

Innenfor NIS2 er det fire nye organisatoriske krav som organisasjoner må implementere i hele sin virksomhet:

1. risikostyring
2. virksomhetens ansvar
3. rapporteringsforpliktelser
4. forretningskontinuitet

Når det gjelder risikostyring, fastslår artikkel 21 at vesentlige virksomheter skal sikre at de iverksetter hensiktsmessige og forholdsmessige tekniske, operasjonelle og organisatoriske tiltak for å håndtere risikoene for sikkerheten i nett- og informasjonssystemer, og det skal innføres tilstrekkelige tiltak for å minimere konsekvensene av en hendelse. Artikkel 21 viser til europeiske og internasjonale standarder, og har en helhetlig tilnærming som krever beskyttelse av både nettverk og informasjonssystem, samt det fysiske miljøet til slike systemer.

For å overholde det nye direktivet må organisasjoner iverksette tiltak for å minimere cyberrisiko. Disse tiltakene inkluderer hendelseshåndtering, sterkere leverandørkjedesikkerhet, forbedret nettverkssikkerhet, bedre tilgangskontroll og kryptering.

I motsetning til det tidligere NIS-direktivet utvider NIS2-direktivet videre aktsomhetsplikten og stiller strengere rapporteringskrav for cybersikkerhetshendelser. Dette innebærer i hovedsak at enhver cybersikkerhetshendelse må rapporteres til relevante myndigheter uavhengig av effekten av hendelsen på virksomheten.

Slik det fremkommer i artikkel 23 under det nye direktivet er rapportering delt inn i tre faser:

1. Den innledende fasen krever at myndighetene varsles, uten ugrunnet opphold og under alle omstendigheter, innen 24 timer etter å ha blitt kjent med den vesentlige hendelsen. Meldingen skal gi informasjon om hvorvidt cyberhendelsen antas å være et resultat av ulovlige eller ondsinnede handlinger, eller om den kan få grenseoverskridende virkninger.
2. Det første varselet etterfølges av et oppfølgingsvarsel. Oppfølgingsvarselet skal uten ugrunnet opphold og under alle omstendigheter gis innen 72 timer etter cyberhendelsen har blitt oppdaget. Her skal det gis oppfølgingsinformasjon som gir ytterligere detaljer om hendelsen, dens alvorlighetsgrad og dens innvirkning.
3. Den siste fasen er sluttrapportforpliktelsen. Denne forpliktelsen krever at virksomheten skal levere en rapport senest en måned etter innsending av varselet om oppfølgingshendelsen. Rapporten skal innebære detaljert beskrivelse av cyberhendelsen, typen trussel eller rotårsak bak hendelsen, informasjon om tiltakene som er brukt og eventuelt den mulige grenseoverskridende virkningen av hendelsen.

Tvangsfullbyrdelse og bøter

NIS2-direktivet medfører betydelige administrative bøter for brudd på forpliktelsene, hvorav omfanget varierer avhengig av virksomhetens kategorisering.

For organisasjoner som er utpekt som vesentlige virksomheter, kan overtredelsesgebyrene nå opp til EUR 10 millioner, eller minst 2% av den totale årlige globale omsetningen i foregående regnskapsår for foretaket som den vesentlige virksomheten tilhører, avhengig av hva som er høyest.

Viktige virksomheter kan ilegges overtredelsesgebyrer på inntil EUR 7 millioner eller minst 1,4% av den samlede årlige verdensomspennende omsetningen i foregående regnskapsår for foretaket som den viktige virksomheten tilhører, avhengig av hva som er høyest.

Neste steg

Der NIS2-direktivet kommer til anvendelse må følgende forpliktelser gjennomføres:

Ledelsen bør ha en klar forståelse av kravene i direktivet og risikohåndteringsarbeidet. Ledelsen har et direkte ansvar for å identifisere og håndtere cyberrisiko for å sikre kontinuerlig overholdelse av kravene. Som en del av organisasjonenes løpende forpliktelser må ledelsen derfor sørge for at de har oppdatert kunnskap om direktivet og gjennomfører regelmessig opplæring. Dette er et spesifikt krav i direktivets artikkel 20.

Siden rapporteringskravene er endret (som beskrevet over), må virksomhetene oppdatere interne prosesser for å sikre forsvarlig rapportering til myndighetene.

Risikostyringsprosesser og retningslinjer må implementeres i hele virksomheten. Dette inkluderer hendelseshåndtering, forbedret leverandørkjedesikkerhet, nettverkssikkerhet, tilgangskontroll og kryptering.

Det kreves også at organisasjoner vurderer forretningskontinuitet , slik som systemgjenoppretting, nødprosedyrer og etablering av et kriseteam, i tilfelle en cyberhendelse oppstår.

Cyber Resilience Act (CRA)

Oversikt

30. november 2023 ble det oppnådd politisk enighet om Cyber Resilience Act (CRA)[2]. CRA bygger på EUs data- og cyberstrategier, og utgjør en viktig del av de kommende EU-sertifiseringsordningene, som for eksempel EU Cloud Certification Scheme og The European Cybersecurity Certification Scheme on Common Criteria (EUCC).

CRA er den første av sitt slag i verden, og vil være en viktig lovgivning i EUs cybersikkerhetslandskap. Den vil regulere ulike produkter med digitale komponenter som brukes i dagliglivet. CRA stiller krav om at alle produkter som markedsføres i EU må være sikre. Den vil også utfylle eksisterende regelverk (nærmere bestemt NIS2-direktivet).

Formålet med CRA er å harmonisere regler og standarder for produkter eller programvare med digitale komponenter. Rettsakten tar sikte på å etablere et rammeverk av cybersikkerhetskrav som styrer planlegging, design, utvikling og vedlikehold av disse produktene, med forpliktelser som skal oppfylles i alle ledd i verdikjeden. CRA vil dermed innføre en forpliktelse til forvaltning i hvert steg i produktenes livssyklus.

CRA ble godkjent av Europaparlamentet i mars 2024 og forventes vedtatt av Rådet. Dette vil innebære at de nye kravene gjelder fra 2027, og plikten til å rapportere hendelser og sårbarheter vil gjelde fra 2026.

Gyldighet

CRA gjelder for alle operatører som er involvert i livssyklusen til produkter med digitale komponenter. Dette omfatter produsenter, importører og distributører. CRA gjelder også ekstraterritorielt, noe som betyr at den gjelder for virksomheter både innenfor og utenfor EU i den grad de importerer, plasserer eller distribuerer denne type produkter i det europeiske markedet.

CRA gjelder produkter med digitale komponenter, som i lovens forstand betyr programvare eller maskinvareprodukter, som er ment å brukes til å koble til en enhet eller et nettverk og eksterne databehandlingsløsninger som er nødvendige for at produktene skal fungere. Videre omfatter loven også maskinvare- eller programvarekomponenter av slike produkter som markedsføres i EU.

CRA klassifiserer produkter med digitale elementer i de tre hovedkategoriene nedenfor, avhengig av risikonivået forbundet med produktet:

• Standard
  • Produkter uten kritiske cybersikkerhetssårbarheter. Eksempler på produkter som faller inn under standardkategorien er smarthøyttalere og tekstbehandlere. Disse produktene vil bli gjenstand for en "egenvurdering" utført av produsenten.
• Kritisk
  • Klasse I – produkter som enten: (i) er primært ment til å utføre funksjoner som er kritiske for cybersikkerheten til andre produkter, nettverk eller tjenester; eller (ii) utfører en funksjon som medfører en betydelig risiko for negative effekter knyttet til å kontrollere, forstyrre eller forårsake skade på et stort antall andre produkter eller helse og sikkerheten til et stort antall individer gjennom direkte manipulering. Produkter som faller inn under klasse I i den kritiske kategorien skal underlegges en harmonisert standardvurdering, dvs. et europeisk standardskjema utarbeidet av en offisielt anerkjent europeisk standardiseringsorganisasjon eller tredjepartsvurdering for å vise samsvar med forpliktelser i regelverket. Tredjepartsvurderinger skal utføres av et offisielt anerkjent teknisk kontrollorgan på grunnlag av kriteriene fastsatt i CRA. Det er EUs medlemsstaters oppgave å utnevne disse tekniske kontrollorganene, og EU-kommisjonen vil holde en oppdatert liste over dem.
  • Klasse II – produkter som tilbyr en kritisk cybersikkerhetsfunksjon og kan påvirke et større antall produkter.

Det er viktig å merke seg at CRA inneholder unntak. Dette gjelder spesifikt produkter som allerede er underlagt eksisterende cybersikkerhetsforskrifter, som for eksempel forskrifter for medisinsk utstyr, generelle sikkerhetskrav for typegodkjenning for biler, forskrifter for produkter som påvirkes av luftfartsregler og EU-direktiv for marine produkter.

Viktige punkter

CRA stiller krav til cybersikkerhet for programvare- og maskinvareprodukter med digitale komponenter. Mer spesifikt må produsentene av slike produkter iverksette egnede cybersikkerhetstiltak gjennom hele produktets livssyklus, f.eks. fra designfasen og utviklingsstadiet, og gjennom kommersialiseringsstadiet i EU-markedet. Videre er produsentene forpliktet til å implementere cybersikkerhetskrav som er angitt i vedlegg I til CRA.

Produsentene er pålagt å gjennomføre vurderinger for å identifisere og håndtere cybersikkerhetsrisiko. Produkter med kjente sårbarheter kan ikke markedsføres i EU, og produktene som markedsføres må ha adgangskontroll for å hindre uautorisert tilgang. Videre må produsentene etablere prosedyrer for håndtering av sårbarheter og hendelser. De må forstå hvordan de skal håndtere, dokumentere og iverksette tiltak knyttet til sårbarheter.

I tillegg er produsenter pålagt å utføre regelmessige samsvarsvurderinger for å verifisere at produktene deres overholder CRA-kravene. Disse produktene må også gjennomgå en tydelig samsvarsvurdering som pålagt av European Health Data Space (EHDS) Regulation.

Tvangsfullbyrdelse og bøter

Håndhevelsen vil bli utført av EUs medlemsstater. Ifølge CRA kan administrative bøter for brudd nå opp til EUR 15 millioner eller 2,5% av et selskaps årlige verdensomspennende omsetning.

Neste steg

Selv om Europaparlamentet allerede har vedtatt en foreløpig versjon av den endelige teksten på sitt plenumsmøte 12. mars 2024, stilles det fortsatt krav til en formell godkjenning av Rådet. Organisasjoner som er omfattet av CRA bør allerede gjennomføre omfattende modenhetsvurderinger for å fastslå deres nåværende modenhetsstatus. Det anbefales at disse organisasjonene også utfører cybersikkerhetsvurderinger på produktene sine, evaluerer tredjepartsrisikoer og måler praksisen sin mot internasjonale cybersikkerhetsstandarder.

Digital operasjonell motstandsdyktighetslov (DORA)

Oversikt

Digital operasjonell motstandsdyktighetslov (DORA)[3] er et avgjørende regelverk i EU som tar sikte på å styrke operasjonell motstandskraft og cybersikkerhetsmodenhet i finanssektoren. Forordningen krever at bedrifter integrerer cybersikkerhet i kjerneenheten sin. DORA ble formelt vedtatt i november 2022 og trer i kraft 17. januar 2025.

DORA fastsetter juridiske krav for styring av IKT-risiko, rapportering av hendelser og håndtering av risiko forbundet med tredjepartstjenester. Helt konkret pålegger DORA organisasjoner i finanssektoren forpliktelser knyttet til sikkerhet i nettverk og informasjonssystemer, og utvider disse forpliktelsene til tredjeparter som leverer IKT-tjenester. I prinsippet søker DORA å standardisere og styrke eksisterende krav til IKT-styring, hendelsesrapportering og risikostyringstiltak. Dette representerer en unik regulatorisk tilnærming i EU, som tidligere har adressert IKT-risikostyring gjennom bredere direktiver og retningslinjer uten et bredt regionalt fokus. Et hovedmål for DORA er å harmonisere hvordan styring av IKT-risiko reguleres på tvers av finanssektoren, og bevege seg bort fra dagens system der EUs medlemsstater regulerer disse risikoene individuelt.

Mens de fleste av DORAs frister er satt til 2025, er finansforetak pålagt å utvikle implementeringen for det operasjonelle robusthetsrammeverket i 2024. Ifølge DORAs bestemmelser må tilbydere av finansielle tjenester oppfylle de nye kravene innen fjerde kvartal 2024.

Videre har både finansielle virksomheter og tredjeparts IKT-tjenesteleverandører en frist til 17. januar 2025, som er tidspunktet når håndhevelsen av DORA starter.

Gyldighet

DORA gjelder for et bredt spekter av finansinstitusjoner og -virksomheter, inkludert kredittinstitusjoner, investeringsselskaper, handelsregistre, investeringsforvaltere, tjenesteleverandører av kryptoaktiva og leverandører av folkefinansieringstjenester. Den utvider omfanget av eksisterende EU-lover som allerede regulerer disse virksomhetene innen finanssektoren.

I tillegg pålegger DORA forpliktelser til tredjeparts kommunikasjonsleverandører som anses som kritiske av store finansielle tilsynsorganer som European Banking Authority (EBA), European Securities and Markets Authority (ESMA) og andre EU-finansmyndigheter. Fastsettelsen av en tredjeparts kritikalitet innebærer å vurdere faktorer som den potensielle effekten av hendelser på finansielle tjenester og betydning av virksomhetene som er avhengige av disse tredjepartene.

DORA fokuserer primært på IKT og cybersikkerhet, og er strukturert rundt fem pilarer. Disse pilarene skisserer spesifikke krav for å styrke den generelle digitale operasjonelle robustheten i finanssektoren:

• Styring
• Risikostyring
• IKT-relatert hendelsesrapportering
• Digital operasjonell motstandsdyktighetstesting
• Deling av informasjon

I henhold til DORA er virksomheter innenfor sitt virkeområde pålagt å etablere et omfattende rammeverk for styring av IKT-risiko. Dette rammeverket skal gjøre dem i stand til å identifisere, vurdere og overvåke ulike IKT-relaterte risikoer på en effektiv måte. I tillegg spesifiserer DORA krav til kontrakter med tredjeparts IKT-tjenesteleverandører, slik at disse avtalene ivaretar relevante forventninger i regelverket.

Et sentralt mål med DORA er å standardisere rapporteringsforpliktelser på tvers av den europeiske finansnæringen for å effektivisere hvordan IKT-relaterte hendelser rapporteres. Denne standardiseringen har som mål å forbedre konsistens og effektivitet i håndteringen av slike hendelser. Videre søker DORA å styrke kommunikasjon og samarbeid mellom EUs medlemsstater, og fremme en mer enhetlig tilnærming til digital operativ motstandskraft. Det er også et krav   at organisasjoner regelmessig tester sine IKT-systemer og kontinuerlig overvåker og implementerer tiltak mot risikoer fra tredjepartsleverandører, noe som skal sikre kontinuerlig årvåkenhet og respons på potensielle sårbarheter.

Viktige punkter

Finansinstitusjonene vil være forpliktet til å gjennomføre kartlegging og testing av sine kritiske forretningstjenester, IT-systemer og relevante prosesser. Dette med formål å identifisere eventuelle risikoer og håndtere identifiserte risikoer. Finansinstitusjoner må etablere og vedta effektive og funksjonelle cybersikkerhetstiltak for å kunne håndtere og redusere ulike typer cyber- og datainnbruddshendelser.

Organisasjoner må bygge et risikostyringsrammeverk ved design og standard i sine daglige forretningsaktiviteter. Finansinstitusjoner er forpliktet til å etablere og opprettholde robust styring for å kunne bygge opp cybersikkerhet og operasjonell motstandskraft. I tillegg må finansinstitusjoner også utnevne personell som vil være ansvarlig for vedlikehold av styring.

Finansinstitusjoner må gjennomføre regelmessig testing, utføre regelmessig gjennomgang av deres motstandsplaner og sørge for at personell er riktig opplært.

Tvangsfullbyrdelse og bøter

I henhold til DORA er EUs medlemsstater pålagt å utvikle regler for administrative sanksjoner og avhjelpende tiltak som kan anvendes i tilfeller av DORA-overtredelser. Sanksjonene og tiltakene som iverksettes bør være effektive, stå i forhold til overtredelsen og virke avskrekkende. Virksomheter som klassifiseres som kritiske, kan for eksempel bli ilagt overtredelsesgebyr på 1 % av en omfattet virksomhets daglige omsetning i inntil seks måneder.

Neste steg

Reglene fastsatt av DORA trådte i kraft 16.januar 2023. Organisasjoner og finansielle virksomheter innenfor sitt virkeområde har frist til 17. januar 2025 med å utarbeide og oppnå etterlevelse av DORA-kravene. Det er avgjørende at disse virksomhetene begynner å iverksette nødvendige tiltak for å øke sin modenhet i håndteringen av IKT-relatert risiko. En sterkt anbefalt tilnærming for disse virksomhetene er å gjennomføre en omfattende gap-analyse for å identifisere områder som krever investering og prioritering. For at virksomheter skal posisjonere seg i forhold til DORA er det avgjørende at de har en forståelse av eksisterende svakheter og områder for videreutvikling.

Del II. Dataregulering

Data Act

Oversikt

Data Act[4] har som mål å styrke EUs dataøkonomi. Den søker å gjøre data, spesielt industrielle data, mer tilgjengelige og brukbare for å fremme datadrevet innovasjon og forbedre datatilgjengeligheten i hele EU. Data Act gir klare regler om bruk og deling av data, med sikte på å sikre rettferdighet i fordelingen av dataverdi mellom interessenter.

Gyldighet

Data Act påvirker først og fremst virksomheter som håndterer data generert fra nettverkstilkoblede produkter som spenner over flere sektorer, inkludert:

• kjøretøy
• livsstil gadgets
• hvitevarer
• medisinsk utstyr
• øvrige enheter som er en del av Internet of Things (IoT) og i stand til å samle og dele data

Data Act er ment å dekke alle som håndterer, deler eller bruker produktdata, herunder tilbydere av relaterte tjenester. Den påvirker også datainnehavere som gjør data tilgjengelig i EU, samt datamottakere i EU. Produsentene av tilkoblede produkter og leverandører av relaterte tjenester, uavhengig av hvor de befinner seg, er underlagt dataloven dersom produktene markedsføres i EU.

Merk at mikro, små og mellomstore bedrifter er unntatt fra noen forpliktelser.

Data Act pålegger leverandører av databehandlingstjenester, for eksempel skytjenester, å legge til rette for kundebytte ved å sikre åpenhet, støtte og minimale forstyrrelser under overgangen.

Viktige punkter

Data Act dekker følgende hovedsammenhenger:

a. Obligatorisk datadeling

b. Forbedret tjenesteutbytte

Tvangsfullbyrdelse og bøter

Dataloven tar sikte på "effektive, forholdsmessige og avskrekkende" straffer for brudd for å sikre overholdelse. Den krever at EUs medlemsstater implementerer regler om sanksjoner og underretter EU-kommisjonen om slike regler innen 12. september 2025.

I tillegg foreskriver dataloven at de aktuelle datatilsynsmyndighetene innenfor sitt myndighetsområde kan ilegge GDPR-nivå bøter for brudd på forpliktelsene i dataloven.

Neste steg

Data Act trådte offisielt i kraft 11. januar 2024 og de fleste av forpliktelsene vil gjelde fra 12. september 2025. Bedrifter bør begynne å forberede seg ved å gjennomgå sin nåværende datahåndteringspraksis for å tilpasse seg de nye rettighetene og forpliktelsene og innlemme overholdelse i forretningsstrategier.

For å veilede bedrifter gjennom den nye loven tar EU-kommisjonen sikte på å tilgjengeliggjøre anbefalte modellkontraktsvilkår for datadelingskontrakter. Disse vilkårene vil gi veiledning om rimelig kompensasjon og beskyttelse av forretningshemmeligheter. I tillegg planlegger EU-kommisjonen å foreslå ikke-bindende kontraktsklausuler spesielt for cloud computing-ordninger mellom tjenestebrukere og leverandører. For å legge til rette for dette er det dannet en ekspertgruppe som skal utarbeide disse vilkårene og klausulene, med sikte på å legge frem sine anbefalinger innen høsten 2025.

Lov om digitale tjenester (DSA)

Oversikt

Blant de nye digitale EU-forskriftene forventes lov om digitale tjenester (Digital Services Act)[5] (DSA) å introdusere oppdaterte forbrukerbeskyttelsesregler for digitale tjenester. Under prinsippet om "det som er ulovlig offline bør være ulovlig online", etablerer de nye reglene et rammeverk for ansvarlighet, og sikrer at online tjenesteleverandører holdes ansvarlige for deres praksis for innholdsmoderering i det digitale rommet. Regulering av elektroniske tjenester har vært forsinket lenge, og de siste store lovendringene om e-handel skjedde for rundt 20 år siden. De nye reglene er avgjørende for å etablere klare og rettferdige standarder.

Gyldighet

DSA gjelder for selskaper som leverer digitale tjenester til enkeltpersoner og juridiske virksomheter i EU, uavhengig av hvor selskapet befinner seg. Regulatoriske krav varierer basert på selskapets størrelse og typen tjenester de tilbyr. Selskaper som viser og distribuerer brukergenerert innhold til offentligheten, for eksempel sosiale nettverk, er underlagt de strengeste reglene under DSA. Samlet sett kategoriserer DSA regulerte selskaper som følger:

• Rene kanaltjenester: Leverandører av kommunikasjonsnettverk, for eksempel internettleverandører.
• Caching-tjenester: Tilbyr også kommunikasjonsnettverk, men lagrer midlertidig data utelukkende for å forbedre effektiviteten av videre overføring av data (f.eks. innholdsleveringsnettverk).
• Hosting-tjenester: Tjenester som lagrer data på brukerens forespørsel, for eksempel skytjenester eller webhotellfirmaer.
• Nettbaserte plattformer betraktes som en undergruppe av vertstjenester: Plattformer som distribuerer brukergenerert innhold til offentligheten (f.eks. nettbaserte markedsplasser, appbutikker, plattformer for samarbeidsøkonomi, sosiale nettverk).
• Very Large Online Platforms (VLOPs): Inklusiv nettplattformer med over 45 millioner brukere i EU, som står overfor det høyeste reguleringsnivået.

Viktige punkter

Viktige aspekter ved DSA inkluderer obligatorisk fjerning av ulovlig innhold raskt etter å ha blitt varslet av en pålitelig varsler. Dette gjelder for eksempel brudd på immaterielle rettigheter eller farlig gods, eller villedende annonser av nettbaserte plattformer. Online markedsplasser må også implementere "kjenn din bedriftskunde" -prinsippet for å spore sine kjøpere, og å avstå fra bruk av tvilsom systematikk for manipulering av brukeratferd på nettet. Disse tiltakene er en del av et bredere sett av forpliktelser.

De felles kravene som gjelder for alle regulerte virksomheter inkluderer:

• handle på ordre mot ulovlig innhold
• implementering av oppdaterte vilkår og betingelser som tydelig forklarer eventuelle innholdsmodereringsaktiviteter og relevante klageprosedyrer på et enkelt og alderstilpasset språk
• publisere årlige rapporter om innholdsmodereringstiltak, der den spesifikke informasjonen som kreves varierer avhengig av type leverandør

På slutten av 2023 lanserte EU-kommisjonen en offentlig høring for å utarbeide maler for de årlige åpenhetsrapportene som kreves av DSA. Initiativet er imidlertid ikke ferdigstilt ennå. Vedtaket av gjennomføringsforordningen inklusiv maler er planlagt i 2024.

Tvangsfullbyrdelse og bøter

Straff for overtredelser kan utgjøre opptil 6% av selskapets årlige globale omsetning. Det er forventet at håndhevelsen, både på nasjonalt og EU-nivå, vil akkompagneres av betydelige bøter. Selskaper overvåkes av nasjonale regulatorer og koordineres av en digital tjenestekoordinator i hvert EU-medlemsland. VLOP faller inn under EU-kommisjonens jurisdiksjon. DSA etablerer et nytt europeisk råd for digitale tjenester for å hjelpe til med enhetlig håndhevelse.

Neste steg

Per 17. februar 2024 er DSA fullt gjeldende. Alle selskaper må vurdere om de er omfattet av omfanget, og i hvilken kategori deres tjenester faller, for eksempel mellommann, hosting-tjeneste eller online plattform. Som et minimum må selskaper (i) oppdatere systemene sine for effektivt å identifisere og fjerne ulovlig innhold i samsvar med DSA-kravene, og (ii) revidere vilkårene og betingelsene for å sikre at de er tydelige om relevante klageprosedyrer og aktiviteter innen innholdsmoderering.

Lov om digitale markeder (DMA)

Oversikt

Digital Markets Act[6] (DMA) introduserer regler for plattformer som fungerer som "gatekeepere" i den digitale sektoren, med sikte på å forhindre at de pålegger urettferdige forhold som rammer bedrifter og sluttbrukere, samt for å sikre åpenheten til digitale tjenester.

Gyldighet

DMA gjelder for selskaper som er utpekt som «gatekeepere» for en eller flere av "kjerneplattformtjenestene" (CPS) som er oppført i DMA. Et forhåndsdefinert sett med CPS-er dekker f.eks. søkemotorer på nettet, appbutikker og messenger-tjenester.

Gatekeeperne:

• har en sterk økonomisk stilling, betydelig innvirkning på det indre marked og er aktive i flere EU-land
• har en sterk formidlingsposisjon, noe som betyr at de knytter en stor brukerbase til et stort antall enheter
• har en forankret og varig posisjon i markedet, noe som betyr at deres posisjon har vært stabil over tid

Viktige punkter

DMA etablerer klare og vidtrekkende ex ante-forpliktelser for gatekeeperplattformer, samt forbud mot visse aktiviteter. Disse har betydelige implikasjoner, ikke bare for gatekeeperplattformene selv, men også for «forretningsbrukere» eller de som bruker gatekeeperens CPS-er med det formål å levere varer eller tjenester til sluttbrukere.

Noen av forpliktelsene til gatekeeperplattformer under DMA er:

• avstå fra å bruke ikke-offentlige data generert av forretningsbrukere i sammenheng med CPS for å konkurrere mot forretningsbrukerne på plattformen
• rangere sine egne tjenester eller produkter, samt tredjeparts tjenester eller produkter, på en ikke-diskriminerende måte
• gi tredjeparts tjenesteleverandører tilgang til de samme maskinvare- eller programvarefunksjonene som er tilgjengelige for eller brukes av denne gatekeeperen
• gi forretningsbrukere tilgang til data generert i forbindelse med CPS, inkludert data om engasjement

Gatekeeper-plattformer har ikke lov til å behandle sine produkter og tjenester gunstigere enn de som tilbys av tredjeparter på plattformen deres. I tillegg har gatekeeperplattformer ikke lov til å spore eksterne sluttbrukere for målrettet annonsering, uten effektivt samtykke.

Tvangsfullbyrdelse og bøter

Bøter for manglende overholdelse er betydelige og kan tilsvare opptil 10% av selskapets totale globale årlige omsetning eller opptil 20% ved gjentatte overtredelser. Ved systematiske overtredelser av DMA-forpliktelsene av gatekeepere, kan ytterligere rettsmidler pålegges etter en undersøkelse av markedet. Slike rettsmidler må stå i forhold til lovbruddet som er begått. Ikke-finansielle rettsmidler kan også pålegges etter behov, herunder visse atferdsmessige og strukturelle tiltak.

Neste steg

Gatekeepere har seks måneder fra datoen for EU-kommisjonens beslutning om å utpeke dem som gatekeeper til å fullt ut overholde DMA-forpliktelsene for hver av deres utpekte kjerneplattformtjenester. EU utpekte opprinnelig seks gatekeepere; Denne listen er imidlertid nylig utvidet.

Gatekeepere inkluderer nå:

• Alphabet
• Amazon
• Apple
• Booking.com
• ByteDance
• Meta
• Microsoft

Artificial Intelligence Act (AI Act/AI-loven)

Oversikt

13. mars 2024 vedtok Europaparlamentet Artificial Intelligence Act (AI Act/AI-loven)[7]. AI-loven er verdens første omfattende rettsakt som regulerer kunstig intelligens (AI). Loven fastsetter spesifikke krav og regler for bruk og utvikling av kunstig intelligens (AI).

Formålet med AI-loven er å gi de som utvikler og distribuerer AI klare krav og forpliktelser knyttet til spesifikke brukstilfeller av AI. I tillegg er formålet med AI-loven å sikre at AI-systemene som distribueres og brukes i EU respekterer grunnleggende rettigheter, fremmer innovasjon innenfor AI-domenet og utvikler EUs indre marked på AI-feltet.

AI-loven har delt AI-systemer inn i tre ulike risikokategorier: uakseptabel risiko, høy risiko og lav risiko. Systemer som skaper og kan skape en uakseptabel risiko, for eksempel sosial scoring drevet av regjeringer, er forbudt. Høyrisikoapplikasjoner inkluderer kritisk infrastruktur som kan sette borgernes liv og helse i fare, sikkerhetskomponenter i produkter og ulike viktige private og offentlige tjenester, for eksempel kredittscoringssystemer. Høyrisikoapplikasjoner er underlagt spesifikke juridiske krav. Den siste kategorien av AI-applikasjoner inkluderer de som ikke er eksplisitt forbudt eller oppført som høyrisiko.

Gyldighet

AI-loven gjelder for:

• Tilbydere som markedsfører eller tar i bruk AI-systemer, eller som markedsfører AI-modeller for generelt bruk, uavhengig av om disse leverandørene er etablert eller lokalisert i EU eller i et tredjeland.
• Distributører av AI-systemer som har sitt etableringssted eller befinner seg i EU.
• Tilbydere av AI-systemer som har sitt etableringssted eller befinner seg i et tredjeland der informasjonen fra AI-systemet brukes i EU.
• Importører og distributører av AI-systemer.
• Autoriserte representanter for tilbydere som ikke er etablert i EU.
• Produktprodusenter som markedsfører eller tar i bruk et AI-system sammen med sitt produkt og under eget navn eller varemerke.

AI-loven definerer AI-systemer bredt, og omfatter et bredt spekter av teknologier og systemer. Som et resultat vil et betydelig antall organisasjoner sannsynligvis falle innenfor forskriftens virkeområde.

Viktige punkter

AI-modeller for generelt bruk som følger med systemrisiko vil være underlagt strengere forpliktelser. Dette betyr at for AI-modeller er det behov for å gjennomføre modellevalueringer. Videre må modellen analyseres med hensyn til cybersikkerhet for å sikre at mulige risikoer reduseres.

I henhold til AI-loven er tilbydere av AI-modeller for generelt bruk forpliktet til å etablere og vedlikeholde teknisk dokumentasjon av de respektive modellene. Informasjonen må inneholde dokumentasjon for de leverandørene som integrerer slike generelle AI-modeller i sine AI-systemer, og leverandørene skal publiserer en oversikt over informasjon som har blitt brukt til å trene modellen. Videre må tilbydere av slike modeller også vedta en policy angående EUs opphavsrettslov.

Offentlige organer, så vel som private virksomheter som tilbyr offentlige tjenester (som banker, myndigheter, sykehus og forsikringsleverandører), som distribuerer høyrisiko AI-modeller er forpliktet til å gjennomføre konsekvensutredning for grunnleggende rettigheter. Vurderingen skal inneholde en oversikt over prosesser der AI-systemer skal brukes, og en oversikt over hvilke kategorier av fysiske personer og grupper som sannsynligvis vil bli berørt av AI-systemene. I tillegg kreves det at det gis informasjon om varigheten som AI-systemet vil være i drift for, samt detaljer om hyppigheten av bruken. Instansene skal også tilgjengeliggjøre en beskrivelse av tiltak som vil bli iverksatt ved hendelser, samt oversikt over menneskelig tilsyn med prosessene.

AI-loven pålegger mange tilbydere og brukere av visse AI-modeller, og AI-modeller for generelt bruk, transparens.

Tvangsfullbyrdelse og bøter

For å sikre effektivt tilsyn med feltet har EU-kommisjonen etablert et AI-board og en ekspertgruppe, som begge opererer på EU-nivå. I tillegg er hvert EU-medlemsland pålagt å utpeke en nasjonal kompetent myndighet. Denne myndigheten fungerer som et nasjonalt tilsynsorgan, med myndighet til å sikre overholdelse av AI-loven.

I henhold til AI-loven er EUs medlemsland pålagt å etablere spesifikke strafferegler og andre håndhevelsestiltak for operatørers brudd på AI-loven. Disse tiltakene kan omfatte både advarsler og ikke-monetære handlinger. I tillegg må EUs medlemsstater sørge for at eventuelle brudd på AI-loven blir effektivt adressert.

I henhold til AI-loven kan manglende overholdelse av forbudene mot visse AI-praksiser spesifisert i forskriften føre til administrative bøter på opptil EUR 35 millioner eller opptil 7% av den totale globale årlige omsetningen for foregående regnskapsår, avhengig av hva som er høyest. AI-loven fastsetter også en rekke andre administrative bøter utover dette.

Neste steg

Den endelige teksten i AI-loven er vedtatt, hvilket inkluderer håndhevelse av forbud mot uakseptabel risiko forbundet med AI-systemer og starter i slutten av 2024. I midten av 2025 vil forpliktelser om AI-modeller for generelt bruk begynne, og innen våren 2026 vil hele AI-loven tre i full kraft.

Organisasjoner bør umiddelbart gjennomgå AI-systemene de bruker. Dette for å bestemme hvilken kategori disse systemene kommer inn under i henhold til AI-loven. Videre bør organisasjoner sørge for at deres styringssystemer for AI samsvarer med AI-loven, standarder og beste bransjepraksis. Hvis et slikt rammeverk ennå ikke er etablert, må organisasjoner utvikle et. I tillegg til styringsrammeverk er det viktig for organisasjoner å ha robust datastyring for å administrere og sikre dataene som brukes av AI-systemer effektivt. Bedrifter må også evaluere sine tredjeparts risikostyringsprosesser, og forbedre dem etter behov for å oppfylle AI-lovens strenge krav.

---

Veiledningen er basert på publikasjonen «EU Digital Regulations» utgitt av White Label Consultancy AS i juni 2024 og skrevet av Nicholai K. Pfeiffer (Managing Partner), André Årnes (Partner Cyber Security), Arina Kostina (Consultant Data Protection), Norman Aasma (Associate Data Protection), Meredith P. Jones (Consultant Cyber Security), Alisa Mujanic (Cyber Security), og Marie Kristine Reyes (Associate Data Protection).

---

[1] Europaparlaments- og rådsdirektiv (EU) 2022/2555 av 14. desember 2022 om tiltak for et høyt felles nivå av cybersikkerhet i hele unionen, endring av forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972, og oppheving av direktiv ( https://eur-lex.europa.eu/eli/dir/2022/2555/oj )

[2] Europaparlamentets og Rådets forordning om horisontale cybersikkerhetskrav for produkter med digitale elementer og endringsforordning (EU) 2019/1020 ( https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52022PC0454 )

[3] Europaparlaments- og rådsforordning (EU) 2022/2554 av 14. desember 2022 om digital operasjonell robusthet for finanssektoren og endringsforordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) ( https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R2554&qid=1718626790329 )

[4] Europaparlaments- og rådsforordning (EU) 2023/2854 av 13. desember 2023 om harmoniserte regler om rettferdig tilgang til og bruk av data og om endring av forordning (EU) 2017/2394 og direktiv (EU) 2020/1828 ( https://eur-lex.europa.eu/eli/reg/2023/2854 )

[5] Europaparlamentets og Rådets forordning (EU) 2022/2065 av 19. oktober 2022 om et indre marked for digitale tjenester og endring av direktiv 2000/31/EC ( Regulation - 2022/2065 - EN - DSA - EUR-Lex (europa.eu) )

[6]  Europaparlaments- og rådsforordning (EU) 2022/1925 av 14. september 2022 om konkurransedyktige og rettferdige markeder i den digitale sektoren og endringsdirektiv (EU) 2019/1937 og (EU) 2020/1828 ( https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R1925 )

[7] Europaparlamentets og Rådets forordning som fastsetter harmoniserte regler for kunstig intelligens (Artificial Intelligence Act) og endrer visse unionsrettsakter ( https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52021PC0206 )