Med sitt nya Digital Omnibus-paket vill EU-kommissionen göra livet lite enklare för företag som kämpar med allt från AI till cookies och personuppgiftshantering. Digital Omnibus innebär förslag på viktiga förändringar av flera centrala digitala regelverk, såsom AI-förordningen, GDPR, NIS 2 och Data Act. Målet är tydligt: mindre administration, mer förutsägbarhet och bättre möjligheter för företag att faktiskt ägna sig åt innovation i stället för att drunkna i dokumentation.
AI-förordningen: Högrisk-reglerna skjuts fram
Under det senaste året har många – inklusive Sveriges regering – lyft att AI-förordningens regler för högrisk-system borde skjutas upp och inte träda i kraft som tänkt den 2 augusti 2026. Det saknas fortfarande vägledningar och harmoniserade standarder, vilket skapar stor osäkerhet bland företag som utvecklar eller investerar i AI.
Med Digital Omnibus kommer ett efterlängtat besked: införandet av högrisk-reglerna föreslås att skjutas upp. Reglerna ska börja gälla först sex månader efter att relevanta standarder och vägledningar publicerats, men senast den 2 december 2027.
Reglerna för vissa högrisk-system – som ursprungligen skulle träda i kraft först under 2027 – ska däremot börja gälla tolv månader efter publiceringen, men inte senare än den 2 augusti 2028.
I förslaget finns även andra viktiga förändringar av AI-förordningen, exempelvis:
- Lättnader för små och medelstora företag, särskilt när det gäller dokumentationskrav.
- Utökade regulatoriska sandlådor, där företag kan testa AI-system i en kontrollerad miljö.
- Centraliserad tillsyn av AI-system för allmänna ändamål (GPAI) genom AI Office.
Sammantaget innehåller Digital Omnibus förslag på förändringar som både skulle ge tydligare ramar och något mer andrum för företagen vid arbetet med att efterleva AI-förordningen.
GDPR får en uppdatering
Även GDPR får sig en översyn i Omnibus-paketet. Bland nyheterna märks:
- Begreppet personuppgifter förändras, men förändringen är i linje med den senaste tidens rättspraxis från EU-domstolen.
- Det klargörs att AI-träning kan utgöra ett legitimt intresse för personuppgiftsbehandling.
- Kravet på att lämna information till registrerade lättas upp i vissa fall när det finns rimliga skäl att anta att personen redan fått motsvarande information på annat sätt.
- En gemensam EU-lista införs som styr när konsekvensbedömningar (DPIA) krävs – i stället för dagens nationella listor.
Syftet: mindre osäkerhet, mindre dubbelarbete och mer harmoniserade processer inom EU.
Ett sammanhållet rapporteringssystem för cyberincidenter
I dag är många företag skyldiga att rapportera cyberincidenter enligt flera olika regelverk, vilket kan leda till flera parallella rapporter som i stort sett innehåller samma information.
Med Digital Omnibus föreslås ett samlat rapporteringssystem där företag kan lämna en gemensam incidentrapport. Det sparar både tid och frustration – och minskar risken för formella fel.
Cookie-reglerna moderniseras (äntligen)
För alla som tröttnat på att klicka bort cookie-banners flera gånger om dagen finns goda nyheter. Regelpaketet innehåller förändringar som ska:
- minska antalet gånger som cookie-rutor visas och göra det möjligt att ge samtycke med ett klick, och
- låta användare spara sina cookie-preferenser direkt i webbläsaren eller operativsystemet.
Förbättrad tillgång till data
Ytterligare ett exempel på nyheter i Omnibus-paketet är att det innebär stora förändringar i reglerna som gäller datatillgång. Flera regelverk slås samman, uppdateringar görs i Data Act och förtydligande vägledningar publiceras kring hur reglerna ska tolkas. Detta ska göra det enklare för företag att förstå när och hur de får dela, använda och få tillgång till data.
Vad innebär allt detta?
Digital Omnibus är i grunden ett försök att få EU:s djungel av digitala regler att hänga bättre ihop, bli enklare att följa och mer anpassade för snabb teknikutveckling. För företag betyder det förhoppningsvis:
- mindre administration,
- färre dubbelrapporter,
- tydligare regler, och
- bättre förutsättningar att utveckla och testa ny teknik.
De föreslagna ändringarna ska nu skickas till EU-parlamentet och EU-rådet för omröstning. Det återstår att se när de föreslagna reglerna träder i kraft.
Vi på Forefront Tech Law & Compliance är specialiserade på juridik inom IT- och tech-området. Hör av er till oss om ni vill att vi hjälper er med att förstå hur Digital Omnibus-paketet kan påverka just er verksamhet.
