Kommande tekniklagstiftning

Tidigare år antog Europeiska Unionen ett stort antal nya lagar som reglerar teknik, inte minst AI Förordningen. Ytterligare nya regler och lagar förväntas under 2024 och kommande år. Denna sida är en guide till våra klienter som på ett översiktligt vis sammanfattar väsentlig lagstiftning för den Europeiska marknaden som påverkar förutsättningarna för er verksamhet.

Matrisen nedan ger en snabb överblick över de krav som blir relevanta för din verksamhet utifrån vilka kunder er verksamhet har. Dessa regler träffar inte bara er verksamhet utan kommer gälla era underleverantörer som ni har fullt ansvar över. Se nedan en översikt av regleringar, presenterat hur det påverkar era affärsplaner samt vilka kundsegment som kommer utkräva regelefterlevnad.

Leverantörer till offentlig sektor kommer få ytterligare krav utifrån den sektor som är aktuellt, t.ex.:
- IT-leverantör inom hälso- och sjukvård får anpassa sin infrastruktur och erbjudanden mot cybersäkerhetskrav NIS2, CER och EUCS samt ökad transparens vid datadelning enligt DGA och EHDS;

- Leverantör av SaaS tjänster till energisektorn omfattas av cybersäkerhetskrav enligt NIS2, CER och EUCS om tjänsten rör en för energisektorn väsentlig tjänst, som t.ex. underhåll, överföring, säkerhet etc.;

- Kommun som tillhandahåller socialtjänst omfattas av NIS2 reglerna.

Notering till matrisen
Där det står "kommande" avses att lagen är under utveckling och att inget definitivt datum då lagen ska börja gälla finns. De lagar som redan gäller har ingen särskild status angiven.

Om oss

Affärsjurister för teknik och digitalt som vet vad som krävs för att få företag att växa. Sharp Cookie Advisors är en affärsjuridisk byrå med inriktning mot teknik och digitalt...

Krav utifrån kundsegment

Lagstiftning	Överväganden för utvecklingsplan	Krävande kundsegment
AI Liability Directive AI Ansvarsdirektiv Kommande	Bedöm och minska risker vid utveckling och implementering av AI, krav på säkerhets- och transparensåtgärder.	AI-utvecklare & AI-distributörer, sektorer som använder AI där ansvarsfrågor är kritiska (t.ex. sjukvård, autonoma fordon).
AI Act AI Förordningen Kommande 2024/2025	Säkerställ transparens, etablera riskbedömningsprocesser för AI-system, införliva etiska AI-principer, dokumentera AI-beslutsprocesser.	Sektorer som använder AI för högriskapplikationer (hälso- och sjukvård, finans, brottsbekämpning, HR).
Critical Entities Resilience Directive (CER) Kritiska entiteters motståndskraft Direktiv	Identifiera och mitigera risker till kritisk infrastruktur, följ förhöjda säkerhetskrav delta i regelbunden rapportering och åtgärdsplanering.	Sektorer som utpekats som kritiska (energi, transport, bank, hälso- och sjukvård) och dess kunder som förväntar sig oavbrutna tjänster.
Cyber Resilience Act (CRA) Cybersäkerhetscertifiering av informations-och kommunikationsteknik	Livscykelansats för cybersäkerhet, kontinuerlig övervakning, produktansvar för releaser, tidig upptäckt av sårbarheter, rapportering av kritiska sårbarheter till centralt register, transparent kommunikation om cybersäkerhet.	Kunder som är starkt beroende av SaaS för kritiska operationer eller datalagring (finans, hälso- sjukvård, statliga tjänster, kritisk infrastruktur).
Data Act Harmoniserande regler för skälig åtkomst till och användning av data Kommande 12 September 2025	Utveckla strategier för datadelning och användning, med ökad kontroll och access till användare och verksamheter.	Datadrivna verksamheter, molntjänstleverantörer, kunder som behöver tillgång till data för innovation och tjänster.
Data Governance Act (DGA) Europeisk dataförvaltning	Implementera ramverk för säker datadelning och styrning. Utnyttja information från den offentliga sektorn där det är möjligt för nya tjänster.	Offentlig sektor, verksamheter i reglerade branscher och innovatörer i datadrivna sektorer.
Digital Operational Resilience Act (DORA) Digital operativ motståndskraft för finanssektorn Kommande 17 januari 2025	Öka cybersäkerheten för IT system och processer, utveckla incidenthantering, försäkra att era tredjeparts IT-leverantörer följer DORA standarder.	Verksamheter inom bank, finans och försäkring, kritiska digitala tjänster inom fintech.
Digital Services Act (DSA) Inre marknad för digitala tjänster	Utvärdera och förfina moderering av inlägg, utveckla rapportering av transparens för användare, bygg in användarrättigheter och säkerhet i funktioner och tjänster.	Användare av sociala medier plattformar, online marknadsplatser samt andra digitala tjänster som söker transparens från leverantörer.
eIDAS Regulation revised Elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden Kommande	Integrera europeiska digitala identitetslösningar i tjänster, försäkra kompatibilitet med uppdaterade eIDAS-standarder.	Leverantörer av onlinetjänster, finansiella institutioner, andra sektorer med krav på stark autentisering.
ePrivacy Regulation ePrivacy Förordningen Kommande	Förutse förändringar i reglering av elektronisk kommunikation, fokus på samtyckesmekanismer och nya spårningstekniker, förstärkt integritetsskydd för kommunikationstjänster.	Användare av chattjänster, email, meddelandetjänster och individer och organisationer med fokus på integritet.
European Health Data Space (EHDS) Europeiskt hälsodataområde Kommande	Integrera interoperabilitetsstandarder i IT-infrastrukturen, krav på ytterligare cybersäkerhetsåtgärder, genomför konsekvensbedömningar, större möjligheter för tillgång till data för forskning, designa tjänster med patient i fokus.	Aktörer inom hälso- och sjukvård, e-hälsa, digitala tjänster till hälsosektorn.
European Union’s Proposed Cybersecurity Certification Scheme for Cloud Services (EUCS) Europeiska unionens föreslagna system för cybersäkerhetscertifiering för molntjänster (EUCS) Kommande prelminärt 2024	Anpassa utvecklingsprocesserna IT-strategi till EU CS standarder för molntjänster, förbättra cybersäkerhetsåtgärder, dokumentera processer, förbered för externa revisioner, anpassa till krav på datasuveränitet inom EU, supportpersonal inom EU, kontraktsvillkor ska föreskriva ett EU medlemslands lag.	Offentlig sektor, samhällsviktiga aktörer inom försörjningssektorer och ISP, organisationer inom reglerade branscher (finans, hälso- sjukvård, telekommunikation).
Financial Data Access Regulation (FIDA) Åtkomst till finansdata	Säkerställ rättvis tillgång till data för användare inklusive konkurrenter, anpassa policyer för datahantering och datadelning.	Onlineplattformar, datainsamlare och företag som är beroende av digital marknadstillgång.
General Data Protection Regulation (GDPR) Dataskyddsförordningen	Implementera dataskydd genom design, genomför regelbundna riskbedömningar, säkerställ dataminimering, säker databehandling, gallring och radering vs. träningsdata samt transparens.	Verksamhet med stora mängder personuppgifter eller särskilt känsliga data (Hälso- och sjukvård, finans, utbildning, HR, offentlig sektor, handel).
GDPR Procedural Regulation Verkställighet av Dataskyddsförordningen Kommande	Förbättra den interna rapporteringen och styrningen av GDPR compliance, träna incidenthantering och att hantera begäran från individer, genomför DPO granskning av gränsöverskridande aktiviteter.	Företag och organisationer med gränsöverskridande verksamhet.
Network and Information security Directive II (NIS2) Åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen Kommande 18 oktober 2024	Implementera krav på förebyggande säkerhetsåtgärder, detaljerad rapportering av incidenter, personligt ansvar för ledning i hantering av cybersäkerhetsrisker, leverantörsansvar.	Kunder inom samhällskritisk verksamhet (energi, transport, bankväsende, digital infrastruktur, folkhälsa), offentlig sektor, ISP, digitala tjänster inom finans).
Product Liability Directive Revised Skadeståndsansvar för produkter med säkerhetsbrister Kommande	Se över era garantivillkor, produktansvarsförsäkring, anpassning till cirkulär ekonomiska, kravställ mot globala värdekedjor och lättade krav på konsumenter att bevisa defekta varor.	Tillverkare och distributörer av konsumentprodukter.