Fyra nya regler att hålla koll på

Många har nog hört talas om den kommande AI-akten, men utöver den har tre andra EU-regelverk, främst inom digitaliseringsområdet, färdigförhandlats och kommer att börja gälla under de närmaste åren. Dessa kommer att påverka såväl tjänste- som tillverkningsföretag.

Tidplanen för regelverken är utmanande, vilket gör tiden knapp för förberedelser och för standardiseringsorganisationerna att ta fram nödvändiga standarder.

Magasin t: har pratat med My Bergdahl som är näringspolitisk expert inom standardisering och digital handel på Teknikföretagen. Här nedan nämner hon de fyra kommande regelverken – hur de kan påverka företagen, när de ska tillämpas och hur höga bötesbelopp det kan bli för den som bryter mot reglerna.

1) Dataakten

Vad går den ut på?

– Dataakten, eller dataförordningen, handlar om att företag som säljer, leasar eller hyr ut en uppkopplad produkt – eller tillhandahåller tjänster till dessa – kommer att vara skyldiga att se till att användarna får direkt och kostnadsfri tillgång till den data som genereras av produkten vid användning. Användaren har också rätt att begära att data förs över till en tredje part, berättar My Bergdahl.

– Enligt förordningen ska alla nya uppkopplade produkter som sätts på marknaden efter den 12 september 2026 som huvudregel vara designade och tillverkade så att användaren får direkt tillgång till användardata. Det finns också krav på att företagen i vissa situationer ska göra data tillgänglig till myndigheter och användares rättigheter stärks kring byte av databehandlingstjänster. Med användare avses inte bara slutkonsumenter utan även företag som använder produkten.

– Det övergripande syftet med lagen är att utveckla den så kallade dataekonomin genom att underlätta vidareutnyttjandet av data som skapas från en uppkopplad produkt. Till exempel ska en användare kunna vända sig till en tredje aktör som kan serva produkten och erbjuda en billigare tjänst, och inte behöva vara låst av tillverkarens serviceavtal. Förhoppningen är också att tredje aktörer ska kunna utveckla nya produkter och tjänster som ett resultat av datadelningen.

– För att uppfylla kraven ska företagen, innan de ingår avtal med användaren, informera om vilken data användaren kan få tillgång till, hur stor mängd det kan komma att handla om, ifall produkten genererar data kontinuerligt, om det sker i realtid och hur man ska göra för att få tillgång till sin data.

Hur påverkar detta företagen?

– För att skydda företagshemligheter behöver företagen gå igenom den data som kommer att vara tillgänglig och se över om den innehåller företagshemligheter. Om så är fallet måste man informera användaren om det och tydliggöra vilken data som skyddas, säger My Bergdahl.

– Att data definieras som företagshemligheter är dock inte tillräckligt för att kunna neka användaren tillgång. I stället ska företaget komma överens med användaren om vilka tekniska eller organisatoriska åtgärder som ska vidtas för att skydda företagshemligheten.

– Om företaget inte kommer överens med användaren eller om den struntar i vad man har kommit överens om kan företaget sluta dela data. Ett företag kan också vägra att dela data om det kan visa att det är högst sannolikt att delningen av de data som har identifierats som företagshemligheter skulle orsaka en stor ekonomisk skada. I båda dessa fallen kan användaren bestrida företagets beslut och frågan kan komma att hanteras av ett nationellt tvistlösningsorgan eller i sista hand i domstol.

– Även om syftet med lagstiftningen är att utveckla dataekonomin får den användare som får tillgång till data enligt lagtexten inte utveckla en produkt som konkurrerar med den uppkopplade produkten. Användaren får heller inte dela data med en tredje part i syfte att utveckla en konkurrerande produkt.

– För att säkerställa att reglerna följs ska medlemsstaterna fastställa sanktioner som är ”effektiva, proportionella och avskräckande”.

När ska reglerna implementeras?

– Dataakten är en förordning, som precis som alla förordningar innebär att den är direkt tillämplig i alla medlemsstater och behöver inte genomföras via en svensk lag för att bli gällande. Dataakten ska börja tillämpas den 12 september 2025 men designkravet på nya produkter börjar inte gälla förrän den 12 september 2026.

2) Cyberresiliensakten

Vad går den ut på?

– Cyberresiliensakten, CRA, är en horisontell lagstiftning som gäller alla produkter som har ett ”digitalt element”, det vill säga alla produkter som är uppkopplade – oavsett om det handlar om en maskin, robotdammsugare, eltandborste eller någon annan produkt, säger My Bergdahl.

– Företag som sätter sådana produkter på marknaden – vare sig de är tillverkare, återförsäljare, importörer eller distributörer – ansvarar för att dessa produkter uppfyller väsentliga cybersäkerhetskrav. Det handlar bland annat om att produkten ska vara utan känd exploaterbar sårbarhet, att sårbarheter ska kunna åtgärdas via uppdateringar och att produkten ska skyddas från otillåten access genom kontrollåtgärder. Ett begränsat antal produkter kommer det att krävas tredjepartsceritifiering för.

– Alla företag som sätter en uppkopplad produkt på marknaden är skyldiga att tillhandahålla support för produkten under minst fem år men ska hålla säkerhetsuppdateringarna tillgängliga i minst tio år. Företaget är också skyldigt att inom 24 timmar rapportera varje aktivt utnyttjad sårbarhet till ansvarig nationell myndighet och till EU-myndigheten Enisa.

Hur påverkar detta företagen?

– Företag måste avhjälpa sårbarheter genom att bland annat se till att det går att säkerhetsuppdatera produkten, skydda integriteten av användarens data och se till att vidta åtgärder för att minimera negativa effekter på varan. Det kommer att behöva tas fram standarder för cybersäkerhet inom olika områden, som tillverkare kan följa.

– De företag som inte uppfyller kraven kan få böter. Då kan det handla om böter upp till 15 miljoner euro eller två procent av den globala årsomsättningen, beroende på vilket som är högst.

När ska reglerna implementeras?

– Reglerna för CRA, som är en förordning, förväntas publiceras i höst. De första kraven på rapportering kommer då 21 månader senare, ungefär runt första halvåret 2026. Sedan tillkommer ytterligare krav, som till exempel hur man ska göra riskanalyser och att de produkter man tillhandahåller är cybersäkra. Dessa krav ska börja gälla 36 månader efter publicering, runt hösten 2027.*

3) AI-akten

Vad går den ut på?

– EU har gjort en klassificering av AI-tjänster i olika kategorier. De system som anses tillhöra kategorin ”oacceptabel” är sådana som kan utgöra hot mot enskilda medborgares rättigheter och mot demokratin, som till exempel AI-system som används för att manipulera, profilera och klassificera människor. Dessa förbjuds helt, säger My Bergdahl.

– Sedan finns kategorin ”hög risk”, där systemen faller inom två områden. Det ena handlar om system som är avsedda att användas som en säkerhetskomponent i en produkt som omfattas av EU:s produktsäkerhetsregler och där det krävs tredjepartscertifiering. Det andra handlar om system som används inom ett antal områden, så som utbildning, kritisk infrastruktur och anställningsprocesser.

– För ”högrisksystem” ställs bland annat krav på att de registreras i en gemensam EU-databas, mänsklig översikt och krav på inrättande av risk- och kvalitetssystem.

– Även AI-system som benämns som ”generativ AI” eller ”foundation models” omfattas av förordningen. Bestämmelserna i denna del landade i att det ställs transparens- och informationskrav. För system som benämns som systemrisk åläggs särskilda krav.

Hur påverkar detta företagen?

– Företag som inte följer det regelverk som gäller för de AI-tjänster som de tillhandahåller riskerar böter på en viss procentandel av den globala årsomsättningen, med ett lägsta belopp. Hur hög procentandel och vilket lägsta belopp det rör sig om beror på vilken typ av överträdelser det handlar om och hur stort företaget är.

När ska reglerna implementeras?

– Lagstiftarna i EU har nyligen kommit överens om AI-akten, som är en förordning. Men vissa åtgärder återstår för att den formellt ska bli gällande. Enligt bedömningar från flera håll kan AI-förordningen förväntas vara helt färdig och ha publicerats i maj/juni i år. Redan sex månader därefter, runt den 1 december, kommer det då att finnas förbud mot tjänster inom kategorin ”oacceptabelt”.

– Övriga delar av AI-akten träder i kraft successivt. Högrisk-utvecklare kommer att ha 24 månader på sig och således kan vi räkna med att det kommer att ske runt juni 2026.

4) Produktansvarsdirektivet

Vad går det ut på?

– Produktansvarsdirektivet finns redan i dag men har nu reviderats. Eftersom det är ett direktiv så är det ett EU-regelverk som ska införas i nationell lag. Den uppdatering som nu har gjorts handlar om att det ska bli lättare för fysiska personer att få ersättning för skada, och för förstörd eller förlorade data, som har orsakats av en defekt eller felaktig produkt. Detta gäller för både hård- och mjukvara, berättar My Bergdahl.

– Med den uppdaterade lagstiftningen stärks skyddet för användare medan skyldigheten för tillverkare, importörer och återförsäljare ökar.

– Definitionen av begreppet ”produkt” utökas och omfattar nu utöver fysiska produkter också bland annat råmaterial, programvara och digitala tillverkningsfiler. Begreppet ”skada” utökas också och omfattar såväl fysisk som psykisk skada.

Hur påverkar detta företagen?

– En produkt betraktas som defekt när den ”inte är så säker som en användare kan förvänta sig att den ska vara”. För att ta reda på det får man undersöka vilken användning produkten kommer att ha, vilka grupper som kommer att använda den och hur den kommer att se ut. I vissa fall kommer bevisbördan för om en produkt har orsakat skada vara omvänd, det vill säga att företaget som tillhandahåller produkten måste bevisa att den inte var defekt eller skälet till skadan som uppstod.

– I och med uppdateringen av direktivet tar man bort de gränsvärden som finns för hur stor skadeståndsersättning som kan utgå, så nu kommer det att kunna ställas krav på en högre kompensation. Eftersom skade- och produkt-begreppen utökas kan en skada som relaterar till produkter som omfattas av de tre förordningarna komma att bedömas enligt det nya direktivet.

När ska reglerna implementeras?

– Uppdateringen av produktansvarsdirektivet ska börja gälla i alla medlemsstater 24 månader efter att lagen har publicerats. Preliminärt räknar vi med att det kommer att ske runt 1 juni 2026 och till dess behöver det finnas en svensk uppdaterad lag där dessa nya bestämmelser finns med, avslutar My Bergdahl.

* I en tidigare version av Magasin t: skrev vi att cyberresiliensakten skulle publiceras i mars i år och börja implementeras helt sommaren 2027. Men på grund av många samtidiga lagstiftningar att behandla och begränsade resurser har lagstiftarna, enligt bekräftade uppgifter, behövt prioritera och därför kommer CRA, trots att man är överens om innehållet, inte att slutbehandlas förrän när EP återsamlas efter valet i höst.

Läs mer om handel och cybersäkerhet på Teknikföretagens hemsida.