Velkommen til teknologiretlige nyheder: Et nyhedsbrev med perspektiver på teknologi, outsourcing og sikkerhed. Formålet er at give et kort og relevant overblik over de mest centrale udvalgte udviklinger for at få et billede af, hvad der rører sig – både i reguleringen og i praksis.
I denne udgave ser vi nærmere på EU-Kommissionens Digital Omnibus-pakke, der skal forenkle og samordne EU’s digitale regulering. Initiativerne omfatter blandt andet udskydelse og justering af AI-forordningen, lempelser i GDPR for brug af persondata til AI-træning, en ny europæisk datastrategi og indførelsen af en fælles digital virksomhedsidentitet. Samtidig sættes der fokus på den første europæiske AI-standard, skærpet tilsyn med kritiske IKT-leverandører under DORA samt en stigende tendens til brug af lokale cloud-udbydere og open source som led i digital suverænitet og forsyningssikkerhed.
En reformpakke fra EU-Kommissionen skal simplificere en række regler på det digitale område, også kendt som Digital Omnibus-pakken. Kommissionen foreslår blandt andet en simplificering og udskydelse af AI Act, herunder at knytte ikrafttrædelsen af reglerne for højrisiko AI-systemer til tilgængeligheden af støtteværktøjer samt de nødvendige standarder.
Desuden berører reformpakken GDPR, hvor kravene til brug af persondata i forbindelse med AI-træning foreslås lempet med henblik på at gøre udviklingen af AI-systemer i Europa lettere. Kommissionen vil gøre brug af persondata til AI lovligt, såfremt hensynet til borgernes fundamentale rettigheder ikke vejer tungere end virksomhedernes legitime interesser. Herudover foreslår Kommissionen en smallere definition af persondata, hvorefter kun data, hvor en person med rimelige midler kan identificeres, omfattes.
Derudover lancerer Kommissionen en europæisk datastrategi, der skal gøre det lettere og mere sikkert at dele data på tværs af EU-lande -navnlig data, der ikke kan spores tilbage til personer. Strategien indeholder desuden tiltag såsom en “anti-leakage-værktøjskasse” og fælles retningslinjer, der skal beskytte europæiske virksomheders informationer bedre, når data overføres til lande uden for EU.
Samtidig foreslår Kommissionen at indføre en digital identitet for virksomheder, en såkaldt European Business Wallet, så virksomheder kan udveksle, underskrive og forsegle dokumenter sikkert og digitalt i hele EU
.Pakken skal forhandles i både Europa-Parlamentet og Ministerrådet.
Generelt er det positivt at se på en pragmatisk forenkling af de mange overlappende regelsæt. Den digitale regulering er vokset markant de senere år, og selv for jurister kan det være vanskeligt at binde formål, praktik og principper sammen på tværs. Når det er sagt, må vi jo afvente den samlede effekt af forenklingen. Effektivisering ligger ikke (alene) i reglerne men også i måden, de tilgås på i de enkelte organisationer, og af hvem. Tanken er ikke, at der skal være mindre beskyttelse – og governance, risikoafvejninger og proportionalitet ligger allerede dybt indlejret i regelsættene, og får ikke mindre betydning fremover uanset hvordan definitioner, krav til rapportering mv. stilles op.”
Andre aktuelle nyheder november 2025
- Den første standard til understøttelse af AI-forordningen er sendt i offentlig høring
-
En europæisk standard, der understøtter EU’s AI-forordning, er sendt i offentlig høring som den første af sin slags. Standarden, EN 18286 for “Kunstig intelligens (AI) – Kvalitetsledelsessystem for lovmæssige formål iht. EU’s forordning om kunstig intelligens (AI Act)”, har til formål at give virksomheder et værktøj til at styre, planlægge og evaluere deres AI-systemer. Den beskriver, hvordan virksomheder kan opbygge og dokumentere processer for kvalitetssikring, risikostyring, transparens og løbende overvågning.
Når standarden er klar til udgivelse, sendes den til EU-Kommissionen, hvorefter den offentliggøres i Official Journal of the European Union, før den officielt udgør en harmoniseret standard. Når standarden anerkendes som en harmoniseret standard under AI Act, vil overholdelse af standarden medføre en formodning om overensstemmelse med AI-forordningen på det område, som standarden dækker.
AI-forordningen forudsætter, at der udarbejdes fælles tekniske standarder, som skal understøtte den praktiske efterlevelse af kravene til højrisiko AI-systemer. Det er positivt, at arbejdet med disse standarder nu tager form. Flere standarder forventes at komme til for at dække de forskellige krav, og selvom de endnu ikke er færdiggjort og godkendt, er området værd at følge for alle med systemer omfattet af AI-forordningen.
– Lasse Vibjerg, senior advokat i Kromann Reumert - De europæiske tilsynsmyndigheder udpeger kritiske tredjepartsudbydere af IKT under DORA-forordningen
-
De europæiske tilsynsmyndigheder, EBA, EIOPA og ESMA (ESA’erne), har netop offentliggjort listen over kritiske tredjepartsudbydere af IKT (CTPP’er) under DORA-forordningen. DORA er EU’s ramme for digital operationel modstandsdygtighed, og udpegningen er et vigtigt skridt mod at styrke sikkerheden i hele den finansielle sektor.
Processen har været flersidig. Først indsamlede ESA’erne data fra de informationsregistre, som finansielle virksomheder fører om deres kontraktlige aftaler med IKT-leverandører. Derefter fulgte en dybdegående vurdering af udbydernes kritikalitet – i tæt samarbejde med myndigheder på tværs af bank-, forsikrings- og pensionssektoren samt værdipapir- og markedssektoren. Her blev der set på udbydernes systemiske betydning, deres rolle i understøttelsen af kritiske funktioner, og hvor let deres tjenester kan erstattes.
Resultutet er en liste over udbydere, der leverer en bred vifte af IKT-tjenester til virksomheder i alle størrelser. Det understreger deres helt centrale position i det finansielle økosystem.
Formålet med tilsynsrammen er at sikre en stærk styring af IKT-risici hos disse kritiske udbydere. Dermed reduceres de risici, der kan true den operationelle modstandsdygtighed i EU’s finansielle sektor.
Udpegningen af kritiske tredjepartsudbydere er et vigtigt skridt i implementeringen af DORA. Det betyder, at disse udbydere nu bliver underlagt et mere stringent tilsynsregime. Listen over kritiske tredjepartsudbydere er ikke kun relevant for dem, der står på den – den er et signal til hele sektoren om, at det regulatoriske fokus på IKT-risici er blevet skærpet, og at robusthed i leverandørkæden er en strategisk nødvendighed. Listen skaber øget sikkerhed og transparens for finansielle virksomheder, men virksomhederne skal fortsat hver især skal sikre, at styrings- og kontrolprocesser er velegnede for også disse udbydere.
– Andreas Juel Orbæk, advokat i Kromann Reumert - Undersøgelse viser, at 61 pct. af vesteuropæiske it-chefer vil øge brugen af lokale cloud-udbyderele
-
En undersøgelse fra analysehuset Gartner viser, at 61 procent af de adspurgte IT-chefer i Vesteuropa svarer, at de i stigende grad planlægger at anvende lokale cloud-udbydere. Det sker navnlig som følge af den geopolitiske situation, hvor blandt andet frygten for politiske sanktioner, handelskonflikter og pludselig lukning af adgang til kritiske cloud-tjenester breder sig. Ifølge Gartner vil over 75 procent af virksomheder uden for USA i 2030 have en strategi for digital suverænitet, hvor cloud indgår som led i strategien.
Desuden er der en voksende interesse for open source-software i Europa, og ifølge Gartner planlægger 55 procent af de adspurgte IT-chefer at øge brugen af open source i fremtiden, ligesom flere europæiske myndigheder allerede er begyndt at foretage større udskiftninger.
Det er en tydelig tendens, at geopolitik og forsyningssikkerhed nu er rykket ind i kernen af IT-strategien. Spørgsmålet er ikke længere om man som virksomhed skal handle, men hvordan og hvor hurtigt man kan omsætte sådanne overvejelser til konkrete beslutninger – for i en verden med stigende usikkerhed er det blevet et konkurrenceparameter.
– Mia Thulstrup Gedbjerg, advokat og partner i Kromann Reumert