EU-Kommissionen varsler en Digital Omnibus, der skal reducere overlap i den digitale regulering. Pakken indeholder en justeret og udskudt ikrafttrædelse af centrale dele af AI-forordningen, koblet til, at relevante standarder og støtteværktøjer faktisk foreligger. Samtidig foreslås lempelser i GDPR, så træning af AI kan ske på baggrund af en afvejning af legitime interesser, samt en snævrere persondatadefinition, hvor kun data der kan identificere en person med rimelige midler omfattes. Dertil kommer en ny EU-datastrategi med fælles retningslinjer for sikker datadeling og en anti-leakage værktøjskasse ved overførsel til tredjelande, samt en European Business Wallet som fælles digital virksomhedsidentitet. Forslaget skal forhandles i Europa-Parlamentet og Ministerrådet, og virksomheder bør tidligt vurdere konsekvenserne for governance, dokumentation og interne processer. Kommissionen fremhæver, at reformen ikke skal svække rettighedsbeskyttelsen, men skabe mere proportionelle og anvendelige krav og en klarere rollefordeling mellem aktører og tilsyn. Læs Kommissionens meddelelse hos Europa-Kommissionen.
Tekniske standarder som løftestang for efterlevelse
Udkastet til EN 18286 er sendt i offentlig høring som første europæiske standard, der understøtter AI-forordningen. Standarden beskriver et kvalitetsledelsessystem til regulatoriske formål og giver en ramme for planlægning, dokumentation og evaluering af AI-systemer. Når standarden optages som harmoniseret, vil efterlevelse give formodning for overensstemmelse på de områder, den dækker. Standarden forventes at blive suppleret af yderligere tekniske specifikationer, der tilsammen dækker krav til blandt andet data, dokumentation og teknisk robusthed.
Virksomheder med eller på vej mod højrisiko AI bør kortlægge processer for risikostyring, transparens og løbende overvågning og begynde at sammenholde praksis med standardens struktur. Det letter senere konformitetsvurdering og kan reducere behovet for ad hoc-tilpasninger, når de endelige krav og støtteværktøjer foreligger. Arbejdet kan gennemføres parallelt med de politiske forhandlinger. Tidlig tilpasning kan også understøtte intern uddannelse og ansvarsplacering.
Skærpet tilsyn med kritiske IKT-leverandører under DORA
De europæiske tilsynsmyndigheder EBA, EIOPA og ESMA har udpeget kritiske tredjepartsudbydere af IKT til den finansielle sektor. Udpegningen bygger på registre over leverandørforhold og en vurdering af systemisk betydning, rolle i kritiske funktioner og udskiftelighed. Det markerer et mere målrettet tilsyn med leverandører, der bærer central operationel risiko.
For sektoren betyder det større gennemsigtighed, men også højere forventninger til styring af IKT-risici og leverandørkæder. Finansielle virksomheder bør sikre, at kontroller, rapportering og beredskab er skaleret til disse udbydere og afspejler DORA’s krav. Se pressemeddelelsen hos EBA og den offentliggjorte liste her. Udpegningen er samtidig et tydeligt signal om, at robusthed i leverandørkæden er et strategisk anliggende på linje med likviditetskrav.
Cloudstrategier, open source og digital suverænitet
Et voksende fokus på geopolitik og forsyningssikkerhed skubber flere europæiske organisationer mod lokale cloud-udbydere og øget brug af open source. Tendensen afspejler krav om datalokation, kontrol med leverandørkæder og reduktion af lock-in. Den udvikling kobler til EU’s datastrategi og værktøjer til sikker deling på tværs af grænser.
Jurister og compliance-funktioner bør omsætte udviklingen til konkrete valg: kortlæg datatyper og behandlingsgrundlag, justér kontrakter og tilsyn med IKT-leverandører, planlæg exit og interoperabilitet, og dokumentér risikovurderinger i lyset af de foreslåede GDPR-ændringer og AI-forordningen. Det omfatter valg om dataresidens, kryptering og nøgleforvaltning, auditrettigheder, service continuity og praktiske exittest. Samtidig kan European Business Wallet lette grænseoverskridende identitets- og dokumenthåndtering.
