EU
Lovgivning

Her på siden:

Virksomheds definitioner Dataforordningen E-Privacy directivet GDPR Direktiv om cybersikkerhed (NIS2) Lov om digital operativ robusthed (DORA) Lov om cyberrobusthed (CRA)

Følgende er en kort oversigt over den relevante EU-lovgivning, og hvordan den gælder for din virksomhed eller dens produkter.

EU udsteder to typer lovgivning: forordninger og direktiver. En forordning har såkaldt direkte virkning – det er en lov, der gælder for alle EU-enheder eller -borgere og ofte også uden for EU. Et direktiv er derimod en instruks til EU-medlemsstaternes regeringer om at udarbejde nationale love, der opfylder direktivets mål.

Direktiverne vil snart blive implementeret i dansk lovgivning.

Send os en mail

EU Virksomheds definitioner

MELLEMSTOR VIRKSOMHED

< 250 medarbejdere
< €50 mio. euro i omsætning
< €43 mio. euro i balance

LILLE VIRKSOMHED

< 50 medarbejdere
< €10 mio. euro i omsætning eller balance

MIKROVIRKSOMHED

< 10 medarbejdere
< €2 mio. euro i omsætning eller balance

EU-lovgivning om databeskyttelse/datasikkerhed

Dataforordningen

Europa-Parlamentets og Rådets forordning (EU) 2023/2854 af 13. december 2023 om harmoniserede regler om fair adgang til og anvendelse af data og om ændring af forordning (EU) 2017/2394 og direktiv (EU) 2020/1828 (dataforordningen)

Dataforordningen trådte i kraft den 11. januar 2024 og finder anvendelse fra den 12. september 2025. Den forsøger at tackle de udfordringer og udnytte de muligheder, der er forbundet med data i EU, med vægt på retfærdig adgang og brugerrettigheder, samtidig med at beskyttelsen af personoplysninger sikres. Formålet er at øge retssikkerheden, mindske misbrug af kontraktmæssige ubalancer, give den offentlige sektor adgang til og mulighed for at anvende data, give kunderne mulighed for at skifte mellem udbydere og skabe balance mellem dataejernes og brugernes interesser.

E-Privacy direktivet

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV 2002/58/EF af 12. juli 2002 ændret ved direktiv 2009/136 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation).

Det handler om fortrolighed af persondata, behandling af datatrafik, spam og cookies.
Der er et vist samspil mellem dette og GDPR.
Sikkerhed for tjenester: Pligt for udbydere af elektronisk kommunikation til at informere brugerne om særlige risici.
Forbyder opfangning eller overvågning af kommunikation uden brugerens samtykke.
Tjenesteudbydere skal slette eller anonymisere data, når de ikke længere er nødvendige.
Data kan opbevares med samtykke fra den registrerede, som skal informeres om hvorfor og hvor længe.
Lokaliseringsdata kan kun behandles, hvis de er anonymiserede, hvis brugerne har givet deres samtykke, eller hvis de bruges til at levere merværditjenester. Brugerne skal informeres på forhånd og have mulighed for at fravælge det.
E-mailmarkedsføring er en opt-in-ordning, kun med forudgående aftale, for eksisterende kundeforhold eller markedsføring af lignende produkter og tjenester.
Uopfordrede SMS-beskeder, push-mail-beskeder eller lignende formater er forbudt.
Cookies, bortset fra dem, der er strengt nødvendige for levering af en tjeneste, som brugeren har anmodet om, må ikke placeres uden brugerens samtykke.

Generel forordning om databeskyttelse – GDPR

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF

Kort sagt siger dette direktiv, at hvis man registrerer personlige data, skal man have en god grund til det, ikke registrere flere data, end man har brug for til formålet, opbevare data sikkert, informere den registrerede om formålet, omfanget af data samt rettigheder, straks informere den registrerede og myndighederne, hvis data bliver stjålet, kun opbevare data i et bestemt tidsrum, slette data, når de ikke længere er nødvendige, give den registrerede mulighed for at se de registrerede data samt at rette dem og få dem uigenkaldeligt slettet.

I modsætning til den amerikanske databeskyttelseslovgivning, som er baseret på forbrugerrettigheder, er de europæiske love baseret på menneskerettigheder, som er fastlagt i eksisterende konventioner. GDPR er en vigtig del af EU’s privatlivslovgivning og menneskerettighedslovgivning.

GDPR’s primære mål er at forbedre enkeltpersoners kontrol og rettigheder over deres personlige data og at forenkle de lovgivningsmæssige rammer for internationale virksomheder. Den overlapper med ”e-privacy direktive”, der vedrører behandling af personoplysninger om enkeltpersoner i Det Europæiske Økonomiske Samarbejdsområde, EØS. Det gælder for enhver virksomhed, uanset hvor den befinder sig, så enhver enhed, der sælger varer eller tjenesteydelser i EU, skal overholde det.

Den omhandler også overførsel af personoplysninger uden for EU og EØS-området. Dataansvarlige må ikke sende persondata til en enhed, der ligger i en stat, som ikke har lovgivning, der giver lignende garantier. Dette har vist sig at være et af de mest kontroversielle aspekter, som enhver, der er bekendt med den danske Chromebooks-saga, ved.

Cybersikkerhedsdirektiv (NIS2)

Forslag til EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen og om ophævelse af direktiv (EU) 2016/1148

NIS2 er en opdatering af NIS1, som har været i kraft siden 2016 med en frist i maj 2018 for medlemsstaterne til at gennemføre den i national lovgivning. NIS2 trådte i kraft den 16. januar 2023 og skal være vedtaget af medlemsstaterne senest den 17. oktober 2024.

NIS’ mål er at opnå et ensartet højt sikkerhedsniveau for netværks- og informationssystemer i hele EU gennem forbedrede cybersikkerhedskapaciteter på nationalt plan, øget EU-samarbejde og risikostyring samt hændelsesrapporteringsforpligtelser for operatører af væsentlige tjenester og udbydere af digitale tjenester.

NIS2 gælder ikke for mikro- eller små virksomheder. Det gælder for store virksomheder inden for: energi, transport, finans/forsikring, sundhed, vand/afløb, IT og telekommunikation eller rumfart. Det gælder også for mellemstore virksomheder inden for: post/kurér, kemikalier, forskning, produktion (medicinsk/diagnostik, IT, elektrisk, optisk, maskinteknik, biler/dele, køretøjskonstruktion), digitale tjenester (markedspladser, søgemaskiner, sociale netværk), fødevarer (engros, produktion, forarbejdning) eller bortskaffelse af affald (affaldshåndtering).

Operatører af væsentlige tjenester (OES) skal implementere passende cybersikkerhedsforanstaltninger og skal rapportere alvorlige cybersikkerhedshændelser. OES omfatter energi, transport, bankvæsen, finansmarkedsinfrastrukturer, sundhed, drikkevandsforsyning og udbydere af digital infrastruktur, spildevandsbehandling, offentlige forvaltninger, rumfart, post- og kurertjenester, affaldshåndtering, kemikalier, fødevarer og produktion. Det gælder også for udbydere af digitale tjenester som f.eks. onlinemarkedspladser (der giver virksomheder mulighed for at stille deres produkter og tjenester til rådighed online), datacentre, cloud computing-tjenester og søgemaskiner.

Der er 5 kernefunktioner:

Identificer – Kend alle dine aktiver og din angrebsflade;
Beskyt – Implementer beskyttelsesforanstaltninger;
Opdag – rettidig opdagelse af cybersikkerhedshændelser;
Reager – Hav en plan for at begrænse konsekvenserne;
Gendan – Oprethold modstandsdygtighed og genopret tjenester efter et angreb.

Læs mere i denne artikel, på denne side eller direkte fra EU-Kommissionen her.

Digital Operational Resilience Act (DORA)

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/10111

DORA trådte i kraft den 16. januar 2023 og vil gælde fra den 17. januar 2025.

Det har til formål at styrke IT-sikkerheden hos finansielle enheder som banker, forsikringsselskaber og investeringsselskaber og øge den finansielle sektors modstandsdygtighed i tilfælde af alvorlige driftsforstyrrelser.

DORA gælder for 20 typer af finansielle enheder og tredjepartsudbydere af IKT-tjenester.

Det vedrører IKT-risikostyring, tredjepartsrisikostyring, herunder forsyningskæder, test af digital operationel modstandsdygtighed, IKT-relaterede hændelser og rapportering, informationsdeling om cybertrusler og tilsyn med kritiske tredjepartsudbydere.

Læs mere her.

Cyber Resilience Act (CRA) – adopted 12 March 2024

Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om horisontale cybersikkerhedskrav til produkter med digitale elementer og om ændring af forordning (EU) 2019/1020

I modsætning til NIS2-direktivet, som vedrører operationelle spørgsmål, er dette stykke EU lovgivning specifikt rettet mod digitale produkter.

Det blev vedtaget i marts 2024, og producenterne har 36 måneder efter offentliggørelsen til at overholde det (selvom de vigtigste forpligtelser til at rapportere om sårbarheder gælder fra 21 måneder efter offentliggørelsen).

CRA vil skabe harmoniserede regler for produkter eller software med en digital komponent, en harmoniseret overholdelsesramme for planlægning, design, udvikling og vedligeholdelse af sådanne produkter og en forpligtelse til at yde omsorg i hele produktets livscyklus.

CRA vil sikre, at producenterne tager sikkerhed alvorligt i hele produktets livscyklus, hvilket vil sikre, at hardware- og softwareprodukter markedsføres med færre sårbarheder, og øge gennemsigtigheden af disse produkters sikkerhed, så brugerne kan tage højde for cybersikkerhed, når de vælger og bruger produkter med digitale elementer.

Medlemsstaterne skal sikre, at der er en »bemyndigende myndighed«, som er ansvarlig for at etablere og gennemføre de nødvendige procedurer for vurdering og notifikation af overensstemmelsesvurderingsorganer.