Regelverk att känna till
Det regulatoriska landskapet kring teknik och innovation har förändrats snabbt. På några år har EU producerat ett antal omfattande regelverk som var för sig är komplexa nog — men som i praktiken måste hanteras samtidigt och i relation till varandra.
Den här sektionen är inte en juridisk vägledning. Det är ett orienteringsverktyg. Varje sida beskriver ett regelverk: vad det är, vem det berör, var det står just nu och var du hittar primärkällorna. Ambitionen är att hålla innehållet aktuellt i takt med att regelverken implementeras och tolkas.
Regelverken och hur de hänger ihop
Det är frestande att behandla varje regelverk som en separat fråga. I praktiken fungerar de inte så.
En organisation som utvecklar ett AI-system för kritisk infrastruktur berörs samtidigt av AI Act — som klassificerar systemet som hög-risk och ställer krav på transparens och kontroll — och av NIS2 — som ställer krav på cybersäkerhet och incidentrapportering i just den sektorn. Om systemet hanterar personuppgifter tillkommer GDPR. Om det tränas på eller genererar data som delas med andra aktörer är Data Act relevant. Om mjukvaran eller tekniken bakom systemet har militära eller dual-use-tillämpningar kommer EU 2021/821 in i bilden. Och om data lagras hos en amerikansk molnleverantör är CLOUD Act en faktor som sällan nämns men ofta är avgörande.
Ingen av dessa frågor är isolerad. Det är kombinationen som avgör den faktiska riskbilden — och det är i kombinationen de flesta missar något.
Regelverken i korthet
AI Act — EU:s förordning för artificiell intelligens. Klassificerar AI-system efter risknivå och ställer differentierade krav på transparens, dokumentation och mänsklig kontroll. Tillämpas fullt ut från 2026.
NIS2 — Det uppdaterade direktivet för cybersäkerhet i samhällsviktig och digital infrastruktur. Utökar kretsen av skyldiga organisationer och skärper kraven på riskhantering och incidentrapportering. Skulle ha implementerats i medlemsstaterna oktober 2024.
CRA — EU:s horisontella produktregelverk för cybersäkerhet. Ställer krav på säkerhet i hårdvara och mjukvara redan vid lansering och under hela livscykeln. Fyller det gap som NIS2 lämnar: medan NIS2 reglerar organisationer reglerar CRA produkterna de använder. Huvudreglerna gäller fullt ut från december 2027.
EU 2021/821 (Dual-use) — Förordningen som reglerar export av varor, mjukvara och teknik med både civila och militära användningsområden. Ofta förbisedd i innovationsmiljöer, men relevant när teknik exporteras eller delas internationellt.
GDPR — Den grundläggande förordningen för behandling av personuppgifter inom EU. Fortfarande det regelverk de flesta organisationer har störst praktisk erfarenhet av — och fortfarande det som skapar mest friktion i systemutveckling och datadelning.
CLOUD Act — Amerikansk lagstiftning från 2018 som ger amerikanska myndigheter möjlighet att begära ut data från amerikanska molnleverantörer oavsett var data fysiskt lagras. Skapar direkta spänningar mot GDPR och europeisk datalokaliseringslogik.
Data Act — EU:s förordning om rättvis tillgång till och användning av data, i kraft från september 2025. Reglerar vem som har rätt till data som genereras av uppkopplade produkter och tjänster — med betydande konsekvenser för affärsmodeller inom IoT, industri och molntjänster.
DORA — Det sektorsspecifika regelverket för digital operativ motståndskraft inom finanssektorn. Fungerar som lex specialis i förhållande till NIS2 och ställer krav på IKT-riskhantering, incidentrapportering, resiliensprovning och tredjepartsberoenden för banker, försäkringsbolag och andra finansiella aktörer. Tillämpligt sedan januari 2025.
En praktisk anmärkning
Regelverken är inte statiska. De implementeras i nationell lagstiftning med varierande hastighet, tolkas av tillsynsmyndigheter och domstolar, och kompletteras löpande med delegerade akter och vägledningar. Det som gäller idag är inte nödvändigtvis det som gäller om tolv månader.
Varje undersida anger datum för senaste uppdatering och länkar till primärkällor. Om du hittar något som är inaktuellt eller felaktigt är du välkommen att höra av dig.