EU's lovforslag om digital omnibus: Fælles compliance på dagsordenen

Af Kate O'Flaherty • 26 februar 2026

EU har introduceret en ny digital omnibuslov, der har til formål at strømline reguleringen af databeskyttelse, cybersikkerhed og kunstig intelligens. Hvordan kan organisationer sikre, at deres egne compliance-strategier er tilpasningsdygtige og sammenhængende for at forblive robuste i takt med at den digitale regulering udvikler sig?

Af Kate O'Flaherty

Det er et minefelt for de fleste organisationer at navigere i de mange digitale love på tværs af adskillige jurisdiktioner. Og den løbende kamp for at overholde dem alle individuelt giver ikke meget mening, når så mange af reglernes krav overlapper hinanden.

Det er med dette i tankerne, at EU har foreslået en Digital omnibuslovforslag designet til at strømline og tilpasse reguleringen af databeskyttelse, cybersikkerhed og AI.

Lovforslaget, der først blev annonceret i november 2025, er i øjeblikket til høring og forventes at blive implementeret i begyndelsen af 2027. Det forventes at give besparelser på op til 5 milliarder euro inden 2029.

I takt med at digital regulering, der dækker databeskyttelse, cybersikkerhed og kunstig intelligens, konvergerer den, omformer den forventningerne omkring regeringsførelse, ansvarlighed og risikostyring. Organisationer har nu brug for fleksible og sammenhængende compliance-strategier for at forblive elastisk i takt med at den digitale regulering udvikler sig.

Perfekt øjeblik til en regning

Lovforslaget er kommet på det perfekte tidspunkt. Over tid har ophobningen af nye regler om digital sikkerhed, dataintegritet og privatliv øget kompleksiteten og øget compliance-omkostningerne for organisationer, der opererer i EU, siger Ben Lipczynski, direktør for sikkerhedstjenester hos Origina.

Forskrifter som f.eks EU's generelle databeskyttelsesforordning (GDPR), Netværks- og informationssystemer 2 (NIS2), den Lov om cyberresiliens og EU's AI-lov er blevet introduceret med klare mål.

Men deres overlapning har "skabt unødvendig administrativ byrde og reduceret konkurrenceevnen", siger Lipczynski. Med det foreslåede lovforslag om digital omnibus har EU erkendt, at "fragmenteret og overlappende digital regulering" underminerer det indre markeds effektivitet, fortæller han. JEG.

Den digitale omnibus er ikke bare endnu en lov. Den skal ses som en indrømmelse fra EU af, at den gamle model med at behandle flere regler som separate siloer ikke længere fungerer, siger Tracey Hannan-Jones, konsulentdirektør for informationssikkerhed og GRC samt gruppe-DPO hos UBDS Digital. "Det er EU's første forsøg på delvist at forene det digitale regelsæt med optimering på tværs af data, AI og cyber ved at ændre eksisterende instrumenter – i stedet for at lægge nye ovenpå."

I virkeligheden betyder det, at det er "en horisontal oprydning". Den ændrer GDPR, NIS2, EU's AI-lov, dataforvaltningsloven og andre gennem "én koordineret pakke", forklarer Hannan-Jones.

Lovoverlapninger

Nuværende digitale love overlapper hinanden på tværs af flere områder. For eksempel overlapper NIS2, Cyber Resilience Act og EU's AI-lovgivning hinanden i forhold til krav om rapportering af hændelser og modstandsdygtighed. Disse overlap forventes at blive adresseret gennem det foreslåede Single-Entry Point, som har til formål at forenkle og konsolidere rapporteringsforpligtelser på tværs af rammer, siger Lipczynski fra Origina.

Dette vil være et stort skift væk fra ofte isolerede regulatoriske rammer, hvilket kan resultere i "øget kompleksitet og konkurrerende krav", siger Lipczynski. I øjeblikket kan organisationer, når de rapporterer cyberhændelser, være forpligtet til at rapportere til flere uafhængige myndigheder - der hver især prioriterer forskellige datasæt i hændelsesrapporten. "Dette kan skabe en betydelig administrativ byrde på et kritisk tidspunkt."

På samme måde øger sporing og håndtering af ændringer på tværs af adskillige reguleringer – ofte kommunikeret via uafhængige og spredte kanaler – kompleksiteten yderligere. "Denne fragmentering gør det vanskeligere at tilpasse indsatsplaner og styringsstrukturer, hvilket øger både compliance-indsatsen og den operationelle risiko," siger Lipczynski.

Tilpasning kan give organisationer mulighed for at strømline og standardisere deres compliance-rammer og realisere operationel effektivitet – og dermed besparelser, siger Lipczynski. "Ressourcer kan derefter rettes mod indsatser, der yderligere kan udvikle virksomhedens kapaciteter og konkurrenceevne."

Organisationer bør dog være opmærksomme på, at selvom regulatorisk konvergens skaber muligheder, kan det også skabe nogle udfordringer, siger David Dumont, partner, Hunton Andrews Kurth. "Et harmoniseret og klart sæt digitale regler kan kræve, at organisationer indfører en mere omfattende og konsekvent tilgang til deres datapraksis og relaterede forpligtelser, hvilket giver mindre plads til at gemme sig bag kompleksiteten og uoverensstemmelserne i det nuværende kludetæppe af regler."

Samlet digital risikostyring i praksis

Den digitale omnibuslov er et klart tegn på, at virksomheder er nødt til at ryste deres isolerede tilgange til databeskyttelse, cybersikkerhed og AI-compliance op.

Virksomheder bør stræbe efter "samlet" digital risikostyring, hvilket betyder, at "interne tværfaglige interessenter skal arbejde sammen og tale det samme sprog", siger Dumont fra Hunton Andrews Kurth.

For at opnå dette bør teams med speciale i privatliv, jura og compliance forsøge at oversætte juridiske krav til tekniske termer. "Dette vil hjælpe IT- og datastyringsteams med at identificere relevante eksisterende foranstaltninger i organisationen og fuldt ud udnytte dem til at overholde rammerne for nye digitale love," råder han.

I praksis betyder samlet digital risikostyring etablering af et enkelt styringslag, hvorigennem al følsom datakommunikation – uanset om det er e-mail, fildeling, administreret filoverførsel eller webformularer – dirigeres, overvåges og kontrolleres under ét ensartet sæt politikker, siger Dario Perfettibile, general manager, EMEA GTM og kundeoperationer hos Kiteworks. "Det betyder, at de samme krypteringsstandarder, adgangskontroller og revisionslogfiler, der opfylder GDPR's databeskyttelseskrav, også fungerer som bevis for NIS2-hændelsesrapportering og sårbarhedsstyring i henhold til Cyber Resilience Act."

Det betyder også, at når en medarbejder deler data med en tredjepartsleverandør af AI, styres udvekslingen automatisk af de samme kontroller, der beskytter patientjournaler eller økonomiske transaktioner. "Du skal bruge en komplet sporbarhedskæde, der er synlig for revisorer på tværs af alle gældende rammer," tilføjer Perfettibile.

Fremtidssikret overholdelse af regler

Med den digitale omnibuslov, der kommer om et år, giver det mening at starte Fremtidssikring af din compliance strategi nu. Tilpasning til ledelsesrammer og ISO-standarder som f.eks. ISO 27001 (informationssikkerhed), ISO 42001 (AI-styring), og ISO 27701 (privatliv), er afgørende for at navigere i ændringerne.

For at sikre en samlet overholdelse af regler fremadrettet råder Hannan-Jones fra UBDS Digital virksomheder til at konsolidere deres ledelsesorganer. Som en del af dette foreslår hun oprettelsen af et enkelt digitalt risikoudvalg, der skal varetage databeskyttelsesstrategi (GDPR), cybersikkerhedsposition (NIS2/CRA), AI-styring (AI Act) og produktoverholdelse (CRA/sektorregler).

Samtidig, hvis du opererer på tværs af flere jurisdiktioner, er det strategiske træk at se på alle love og rammer og kortlægge overlapningen, ikke kun forpligtelserne, siger Hannan-Jones.

Hun anbefaler at opbygge en matrix, der viser, hvor reguleringer som GDPR, NIS og AI-loven kræver risikovurderinger, ledelsesroller, tekniske og organisatoriske foranstaltninger, hændelsesrapportering og dokumentation med registrering. "Design derefter fælles processer, hvor overlapningerne er stærkest."

Organisationer kan standardisere deres vurderinger og dokumentation ved at udvikle én central risikovurderingsmetode med moduler til privatliv, kunstig intelligens og sikkerhed. "Sørg for, at der registreres ensartede basislinjer, herunder adgangskontrol, logning og overvågning, testning og kryptering," tilføjer hun.

Efterhånden som digitale regler konvergerer, bør dette knyttes tilbage til et samlet program for håndtering af hændelser, der klassificerer brud på tværs af privatliv, sikkerhed og AI. "Og, hvor det er relevant, automatisk knytte dem til de relevante juridiske rapporteringspligter og tidsfrister," siger Hannan-Jones. "Dette vil gøre det muligt at oprette ét bevisspor, der kan genbruges af flere tilsynsmyndigheder."

Kate O'Flaherty

Kate er journalist inden for cybersikkerhed og privatliv med mere end et årtis erfaring med at dække emner, der er vigtige for brugere, virksomheder og regeringer. Udover ISMS.online kan hendes arbejde findes i Forbes, Wired, The Guardian, The Observer, The Times og The Economist.

Læs mere fra Kate O'Flaherty

Cyber sikkerhed 19 februar 2026

DXS Internationals erfaringer om brud på sundhedsblog

DXS International-brud: Lektioner til gavn for sundhedsvæsenet

I takt med at antallet af hændelser med høj risiko i sundhedssektoren stiger, skal organisationer lære at håndtere informationssikkerhed, databeskyttelse og AI-risici som en ...

Kate O'Flaherty

Cyber sikkerhed 29 januar 2026

Risici ved 700credit-brud på API'en sætter fokus på finansiel forsyningskædestyring blog

700Kreditbrud: API-risici sætter fokus på finansiel forsyningskædestyring

Hvad viser 700Credit-bruddet om det finansielle datasystem og risici i forsyningskæden, og hvilke erfaringer kan vi drage? Af Kate O'Flaherty i ...

Kate O'Flaherty

Cyber sikkerhed 22 januar 2026

banneret for udfordringen med overholdelse af forsyningsvirksomheder

Udfordringen med overholdelse af forsyningsvirksomhederne

Forsyningsselskaber kæmper med fragmentering og siloer, hvilket forhindrer en strømlinet tilgang til compliance. Der er behov for et mere solidt fundament, fordi...

Kate O'Flaherty