The EU's New Space Act - And Why Businesses Should Starting Preparing Now
Compliance IT-ret EU-ret Persondata og cybersikkerhed
EU’s Space Act indfører sektorspecifikke cybersikkerhedskrav for rumaktører, gældende i hele livscyklussen og med ekstraterritorial effekt. Ledelser får personligt ansvar, tilsyn får stærke beføjelser, og NIS 2 fortrænges i sektoren. Ikrafttrædelse forventes fra 2030.

EU-Kommissionen har fremlagt et forslag til en Space Act, der etablerer et samlet, bindende cybersikkerhedsregime for rumsektoren. Reglerne gælder hele missionens livscyklus og fortrænger NIS 2’s risikostyringskrav for sektoren, når de træder i kraft. Rækkevidden er vid og omfatter også aktører uden for EU, hvis tjenester retter sig mod det europæiske marked. Forslaget indfører desuden personligt ansvar for ledelsesorganer og giver myndighederne vidtgående håndhævelsesbeføjelser.

Sektorspecifik cybersikkerhed og risikostyring

Operatører skal indføre helhedsorienterede risikostyringssystemer fra design og produktion til opsendelse, drift i kredsløb og dekommissionering. Kravene omfatter tekniske og organisatoriske foranstaltninger, herunder stram adgangskontrol, fysisk beskyttelse af jord- og ruminfrastruktur, realtidsdetektion af cyberhændelser og sikring af operationel kontinuitet under angreb.

Kommunikations- og kontrolsystemer skal benytte sikre, certificerede krypteringsløsninger. Der indføres skærpede underretningspligter med rapportering af væsentlige hændelser til ledelse, tilsyn og NIS 2-myndigheder inden for faste frister afhængigt af alvor. Operatører skal også etablere politikker for backup og nøglehåndtering, gennemføre trusselsbaserede test samt føre komplette aktiv- og tredjepartsregistre for missionskritiske systemer.

Rækkevidde og governance

Forpligtelserne gælder satellitoperatører, opsendelsesudbydere, komponentproducenter, teleudbydere med satellitkonstellationer, jordstationer og rumhavne. Reglerne finder også anvendelse på internationale organisationer og tredjelandsaktører, medmindre deres hjemlandsregime anerkendes som ækvivalent.

Ledelsesorganet pålægges direkte ansvar for efterlevelse af risikostyringskravene. Mange elementer er afstemt med eksisterende EU-rammer som DORA og NIS 2, hvilket giver mulighed for at genbruge etablerede kontroller, procedurer og rapporteringskanaler i implementeringen.

Håndhævelse, sanktioner og tidsplan

Nationale tilsyn og EUSPA får omfattende håndhævelseskompetence, herunder on-site-inspektioner også uden for EU. Medlemsstaterne fastsætter bødeniveauer, mens Kommissionen kan udstede omsætningsbaserede sanktioner. I grove tilfælde kan tilladelser suspenderes eller trækkes tilbage, hvilket reelt kan afskære adgang til EU-markedet.

Ikrafttrædelse er foreslået til 12. januar 2030 med 18 måneders overgang. Missioner opsendt før 1. januar 2030 undtages delvist. Kommissionens beregninger peger på betydelige implementeringsomkostninger for især opsendelsesudbydere og satellitoperatører. Virksomheder bør allerede nu foretage gap-analyser, styrke forsyningskædesikkerheden, opdatere hændelsesrespons og sikre bestyrelsesforankret oversight.

Læs hele artiklen hos Moalem Weitemeyer →
Søgeord
Hændelsesrapportering, Risikostyring, Ledelsesansvar, Beredskabsplan, Corporate governance, Cybersikkerhed, Penetrationstest, Kryptering, Håndhævelse, Tilsynsmyndighed, DORA, Tredjepartsrisiko, Europa-Kommissionen, Adgangskontrol, Markedsadgang, Driftskontinuitet, Omsætningsbaserede bøder, Eu lovgivning, Forsyningskædesikkerhed, Asset management, Databehandling, Sektorspecifik regulering, Autorisation, Fysisk sikkerhed, Certificeret kryptering, Personligt ansvar, EUSPA, NIS 2, Tredjelandsoperatører, Ekstraterritorialitet, ækvivalensvurdering, Satellitoperatører, Opsendelsestjenester, Rumhavne, Jordstationer, Jordobservationsdata, Navigationssystemer, Satellittelekommunikation, Livscyklusstyring, Dekommissionering
Relaterede artikler
Afgørelse i principiel GDPR-sag: EU-Domstolen har taget stilling til fortolkning af, hvad der er en personoplysning
4 dage siden
HjulmandKaptain
Afgørelse i principiel GDPR-sag: EU-Domstolen har taget stilling til fortolkning af, hvad der er en personoplysning
EU-Domstolen fastslår, at pseudonymiserede data kan være anonyme for modtageren uden adgang til nøglen, mens den dataansvarliges oplysningspligt stadig gælder før videregivelse. Afgørelsen letter deling og tredjelandsoverførsler, men kræver robuste foranstaltninger og solid dokumentation.
Ny EU- afgørelse kan få stor indflydelse på dataoverførsler
4 dage siden
TVC Advokatfirma
Ny EU- afgørelse kan få stor indflydelse på dataoverførsler
EU-Domstolen fastslår, at pseudonymiserede data ikke nødvendigvis er personoplysninger for modtageren, hvis reidentifikation ikke er realistisk. Afgørelsen kan lette dataudveksling, men kræver streng nøgleadskillelse, stærk kryptering og dokumenteret risikovurdering.
Alt er ikke længere persondata
I går
DAHL
Alt er ikke længere persondata
EU-Domstolen bekræfter, at identifikationsmulighed skal vurderes hos modtageren: Data kan være anonyme for én part, selv om afsenderen kan identificere. Afgørelsen kan lette datadeling, forskning og AI-træning, men kræver dokumenterede vurderinger og klare tekniske og organisatoriske skel.
Om straf for narkotikakriminalitet, rabat for tilståelse og udvisning
4 dage siden
Højesteret
Om straf for narkotikakriminalitet, rabat for tilståelse og udvisning
Højesteret sætter udgangspunktet til 14 års fængsel for omfattende kokainhandel, men nedsætter til 12 år efter tilståelsesrabat. Udvisning for bestandig stadfæstes trods mindreårigt barn; indrejseforbuddet anses proportionalt efter EU-retten og EMRK og kan ophæves efter ansøgning.
Relaterede kurser
Årlig ansættelsesretlig opdatering
1.
sep
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
2.
sep
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
3.
sep
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må
Relaterede jobs
Finanstilsynet
Finanstilsynet søger to nye medarbejdere, som vil være med til at sikre god ledelse i finansielle virksomheder
Finanstilsynet
Børne- og Undervisningsministeriet, Styrelsen for Undervisning og Kvalitet
Jurastuderende med interesse for forvaltnings- og databeskyttelsesret søges til Styrelsen for Undervisning og Kvalitet
Børne- og Undervisningsministeriet, Styrelsen for Undervisning og Kvalitet
Styrelsen for Undervisning og Kvalitet
Jurastuderende med interesse for forvaltnings- og databeskyttelsesret søges til Styrelsen for Undervisning og Kvalitet
Styrelsen for Undervisning og Kvalitet
GF Forsikring
Erfaren DPO (Data Protection Officer)
GF Forsikring
ATP
Juridisk konsulent til International Social Sikring
ATP
Erhvervsministeriet
Erhvervsministeriets departement søger retschef
Erhvervsministeriet
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →