Artikel | 09 Jan 2025

Navigera i den nya vågen av EU-reglering: En introduktionsguide för reglering inom IT/datasektorn

Responsive image

I det snabbt och ständigt föränderliga digitala landskapet är EU i framkant, bl.a. när det gäller att lansera regelverk för att säkerställa dataskydd, etisk användning av artificiell intelligens (AI) och tillhandahållandet av säkra och rättvisa digitala tjänster och produkter.

På EU-nivå kommer nu ett flertal nya regelverk som kommer att ha långtgående konsekvenser för många företag – inte bara företag verksamma i ”digital sektor”. Listan över ny reglering är lång och i denna artikel sammanfattar vi tre av de regelverk som vi just nu får många frågor om och som är relevanta för merparten av alla företag. Var och en av dessa författningar medför sina egna utmaningar och krav som företag måste vara beredda att navigera igenom. Läs igenom för att se hur just ert företag berörs och vad ni förväntas att göra för att uppfylla de nya kraven.

AI-förordningen (eng. AI Act)
Överblick: AI-förordningen är ett omfattande ramverk som bl.a. reglerar utvecklingen, distributionen och användningen AI. Förordningen kategoriserar AI-system baserat på dess risker och kravställningen är olika beroende på om systemet medför hög eller låg risk där högre risk medför stängare krav på den som utvecklar, distribuerar eller använder systemet. Det finns även ett förbud mot vissa typer av AI-system.

Status: Förordningen trädde i kraft i augusti 2024. Bestämmelserna kommer att börja tillämpas i etapper med start i februari 2025 då förbudet mot vissa AI-system börjar gälla. I augusti 2027 kommer hela förordningen att vara tillämplig.

Huvudsakliga krav: Kraven är olika beroende på vilket AI-system som används och vilken aktör ni är. Som leverantör av ett högrisksystem ska ni t.ex. säkerställa att ni har ett riskhanteringssystem på plats, metoder för hantering av data, teknisk dokumentation och att ni uppfyller kraven på transparens gentemot användarna av systemet. Som användare av ett AI-system ska ni bl.a. vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att ni använder systemet såsom det är avsett att användas, ni ska även övervaka driften av systemet och i vissa fall genomföra en konsekvensbedömning. Sammanfattningsvis behöver ni därför göra en initial inventering av era AI-system (befintliga system och planerade inköp/licenser), klassificera systemen och er roll och därefter vidta relevanta åtgärder.

NIS2-direktivet
Överblick: NIS2-direktivet är en revidering av EU:s första cybersäkerhetsdirektiv, NIS-direktivet. Syftet är att stärka cybersäkerheten och motståndskraften för en hög gemensam cybersäkerhetsnivå i hela EU. I och med NIS2 omfattas betydligt fler företag av regleringen och det ställs även högre krav på säkerhetsåtgärder.

Status: Direktivet skulle ha införlivats i svensk rätt i oktober 2024. Sannolikt kommer den svenska lagen (cybersäkerhetslagen) bli tillämplig först under sommaren 2025.

Huvudsakliga krav: Direktivet gäller för en mängd olika aktörer, bl.a. företag verksamma inom energi, transport, hälso- och sjukvård, digital infrastruktur, avfall, maskintillverkning och livsmedels- och kemikalieproduktion och distribution. Omfattas ni av NIS2 behöver ni arbeta systematiskt med informationssäkerhet och vidta säkerhetsåtgärder utifrån era verksamhetsrisker vilket bl.a. innebär införandet av en incidenthanteringsprocess, rutiner för åtkomstkontroll, utbildning av personal och metoder för att skydda känslig information. Observera att även era leverantörer behöver uppfylla kraven i NIS2 och att ni därför sannolikt behöver omförhandla eller ingå nya leverantörsavtal. Därmed kan även andra företag som inte direkt träffas av NIS2 träffas indirekt då de tillhandahåller tjänster eller produkter till ett företag som omfattas av regelverket.

För ytterligare information om NIS2, se denna artikel som även innehåller en checklista för hur kraven i NIS2 kan uppfyllas [lägg in länk]

Dataförordningen (eng. Data Act)
Överblick: Dataförordningen syftar till att göra det enklare att använda och dela data i allmänhet och i synnerhet sådan data som skapas vid användning av uppkopplade produkter (IOT) och därtill kopplade tjänster.

Status: Förordningen trädde i kraft i januari 2024 och kommer att börja tillämpas i september 2025.

Huvudsakliga krav: Kraven är olika beroende på vilken aktör ni är. Den som tillhandahåller en IOT-produkt eller tjänst ska bl.a. säkerställa interoperabilitet (dvs. att produkten/tjänsten kan fungera tillsammans och kunna kommunicera med andra produkter/tjänster), att användare kan få tillgång till och återanvända sin data (med undantag för företagshemligheter), användare ska även få viss information innan avtal om köp av produkt eller tjänst ingås och vid avtal mellan företag ska skäliga villkor tillämpas. Användare kan vara såväl fysiska som juridiska personer och dessa får t.ex. inte använda data från en uppkopplad produkt för att utveckla en konkurrerande produkt eller använda sådan data för att skaffa sig en inblick i tillverkarens produktionsmetoder. Är ni ett företag som tillhandahåller uppkopplade produkter (t.ex. smarta maskiner) eller tjänster (t.ex. mättjänster som kan kopplas till maskiner) så behöver ni säkerställa att ni – och ev. utvecklare och andra leverantörer som förser er med smarta lösningar och tjänster – uppfyller kraven i förordningen och tar höjd för kraven i er produkt-/tjänsteutveckling. Ni bör även kartlägga er data för att skilja företagshemligheter från övrig data. Som användare bör ni ha tydliga riktlinjer för hur er personal får använda företagets produkter och tjänster.

Övriga regelverk
I tillägg till de regelverk som nämns ovan och som träffar ett flertal företag och sektorer, så finns även vissa sektorspecifika regleringar eller reglering som tar sikte på en viss typ av tjänster. Några av dessa är:

  • DORA (Digital Operational Resilience Act): Syftar till att stärka den digitala operativa motståndskraften hos finansiella företag, primärt vad gäller hantering av IKT-risker. DORA trädde i kraft i januari 2023 och kommer att börja tillämpas i januari 2025.
  • DGA (Data Governance Act): Syftar till att öka förtroendet för datadelning, främja tillgängligheten till data och fastställa villkor för dess återanvändning. Regleringen är relevant främst för offentlig sektor men det finns även villkor för dataförmedlingstjänster. DGA trädde i kraft i juni 2022 och började tillämpas i september 2023.
  • CRA (Cyber Resilience Act): Syftar till att öka säkerheten och motståndskraften mot cyberattacker i produkter med digitala element och är relevant främst för tillverkare av sådana produkter. Det finns även regler för distributörer och importörer. CRA träder i kraft i december 2024 och tillämpas i etapper med start i juni 2026.

Hur kan vi på Setterwalls hjälpa till?
Vi på Setterwalls har stor erfarenhet av den här typen av frågor och förstår komplexiteten i dessa regelverk. Vi vill hjälpa er att hitta rätt nivå när ni arbetar med regelverken så att ni fokuserar på att vidta de åtgärder som faktiskt gör skillnad för er verksamhet och som adresserar relevanta risker och krav.

Om ni vill få djupare insikt i någon av regelverken eller kraven ovan, så håller vi gärna skräddarsydda utbildningar för er och er verksamhet. Vi hjälper även till vid bedömningar och analyser, t.ex. kring huruvida ni omfattas av något av regelverken ovan eller kring vilka åtgärder ni måste vidta. Vi assisterar även vid upprättande av den dokumentation som många av regelverken ovan kräver för att visa att ni uppfyller kraven. Vi granskar och förhandlar även avtal med era leverantörer för att ta höjd för att även dessa uppfyller relevanta krav och därmed tillåter er att göra detsamma. Vi ställer såklart även gärna upp som bollplank om ni skulle vilja diskutera tolkningsfrågor, tillvägagångssätt eller har några andra frågor kopplade till regelverken ovan eller något annat regelverk på IT/dataområdet.

Vi tror att med rätt vägledning kan regelverken omvandlas från skrämmande utmaningar till möjligheter för tillväxt och innovation. Genom att förstå och följa dessa nya regelverk kan ni inte bara undvika potentiella sanktioner utan också få en konkurrensfördel på den digitala marknaden. Tveka därför inte på att höra av er till oss så att vi kan hjälpa er att styra rätt och navigera i vågen av nyligen införd och kommande reglering.

Kontakt:

Karolina Jivebäck Pap, Elin Holm

Verksamhetsområde:

Immaterialrätt, marknadsrätt & mediarätt, Life Sciences

Vill du komma i kontakt med oss?

Fyll i formuläret samt vilket kontor du vill bli kontaktad av, så hör vi av oss inom kort.

Relaterade nyheter

Setterwalls biträder BiBBInstruments i samband med företrädesemission

Uppdrag | 08 Jan 2025

Setterwalls biträder BiBBInstruments i samband med företrädesemission

Läs mer
Life Sciences Report November 2024

Artikel | 25 Nov 2024

Life Sciences Report November 2024

Läs mer
How has Sweden’s new FDI regime affected investments in the life science sector?

Artikel | 24 Nov 2024

How has Sweden’s new FDI regime affected investments in the life science sector?

Läs mer
Ladda fler