Europa har historisk været verdensmestre i regulering og mængden af lovgivning er stigende: Cyber Resilience Act, NIS2, GDPR, AI Act for blot at nævne nogle områder.
Og det er dårligt nyt for mange europæiske og danske virksomheder. For danske virksomheder bliver årligt ramt af administrative byrder på over 30 mia. kr. – hovedsageligt fra EU-regulering. Derudover foretager danske virksomheder årligt over 200 millioner indberetninger til 1.874 forskellige selvbetjeningsløsninger.
Den mængde bureaukrati kan være med til at dræbe virksomheder og den innovation, vi så desperat har brug for, hvis vi skal styrke den europæisk konkurrenceevne.
Heldigvis har EU hørt råbet om hjælp. EU’s kommende forenklingspakke Digital Omnibus vil gøre livet nemmere for virksomhederne. Fremover skal den digitale regulering forhåbentlig være mere klar, sammenhængende og let at omsætte til praksis.
For at sikre det, har IT-Branchen fire centrale anbefalinger til EU-kommissionens arbejde, som vi har brug for dine input til. Disse anbefalinger vil indgå i IT-Branchens høringssvar til EU-komissionen.
Den digitale omnibus-pakke vil bl.a. indeholde forenklingstiltag på følgende områder:
- Dataforordningerne (fx Data Governance Act, GDPR og Open Data-direktivet)
- Regler om cookies i ePrivacy-direktivet
- Indberetningspligter ved cybersikkerhedshændelser
- NIS2
- Implementeringen af AI Act
- Elektronisk identitet under European Digital Identity Framework og den kommende EU Business Wallet
Det mener IT-Branchen overordnet
Vi har i IT-Branchen i længere tid arbejdet på vores høringssvar til EU-komissionen. Her har vi samlet feedback fra vores medlemmer på fire generelle punkter. Det er disse punkter, vi har brug for yderligere input til og konkrete erfaringer med.
1. Tid til forberedelse
Alle IT-Branchens medlemsvirksomheder er omfattet af alle eller flere dele af EU’s tech-regulering, herunder de acts der er del af høringen om digital omnibus. Derfor er det også en stor bekymring, om virksomhederne får tid nok til at forberede sig, inden reglerne træder i kraft.
Det gælder især, fordi standarderne og vejledninger er forsinkede, hvilket efterlader virksomhederne i et vakuum.
Det er afgørende, at de relevante vejledninger og standarder ligger klar i god tid, så virksomhederne har tid at forberede og tilrette sig, inden lovgivningen træder i kraft.
Virksomhederne kan ikke operere i et vakuum, hvor der ikke er tid til forberedelse inden regulering træder i kraft. Og korte processer gør det både vanskeligere og langt mere omkostningstungt at blive compliant.
Generelt ser vi behov for, at virksomhederne garanteres min. 1 år fra regler, vejledninger og standarder er på plads til reglerne træder i kraft.
2. Omfang
EU’s digitale regulering er blevet ganske omfattende og samlet stilles der rigtigt mange nye krav til virksomhederne. Tid og ressourcer brugt på compliance i virksomhederne betyder mindre tid og overskud til innovation. Vi frygter ikke mindst, at de meget omfattende dokumentationsforpligtelser medfører, at specielt mindre virksomheder kommer til at bruge uforholdsmæssigt meget tid på compliance fremfor innovation.
Erfaringerne fra GDPR er, at EU-lovgivning endte med at være en stor byrde, og virksomhederne har allerede rigeligt med compliancekrav at leve op. Så der er brug for en forenkling af reglerne overfor især startups og mindre virksomheder. Vi forventer f.eks., at langt de fleste AI-modeller, der bliver udviklet og anvendt, ikke vil være høj risiko, men såkaldt ”alment brug”, men vi ser at de forpligtelser til dokumentation (Art. 53) vil medføre, at specielt mindre virksomheder bruger uforholdsmæssigt meget tid på compliance fremfor innovation. Compliance har vi, innovation mangler vi.
Her anbefaler IT-Branchen bl.a., at man kigger på proportionalitetsprincippet i forhold til dokumentationskravene og giver mulighed for forenklede processer til mindre virksomheder og startups.
3. Overlap
Særligt problematisk er, at vi flere steder oplever, at indholdet af forskellige regler og lovgivninger er enslydende, så virksomhederne skal udfylde næsten samme data og rapportering flere forskellige steder, hvilket øger ressourceforbruget og forvirringen væsentligt.
Et konkret eksempel er, at man både i forhold til AI Act og GDPR skal lave næsten enslydende impact assessment rapporter. Der skal generelt arbejdes for at minimere overlap i rapporteringer, forskellige og udfyldningskrav fra virksomheder. Her er der mulighed for at forenkle, ensarte og fjerne overlappende krav om compliance. F.eks. at AI Act ikke stiller krav der er overlappende med GDPR. Der er et større overlap i den rapportering, impact assessment, som der skal udfyldes, hhv.fundamental rights impact assessments (FRIAs) og data protection impact assessments (DPIAs).
4. Ensartethed
En stor byrde for IT-Branchens medlemmer er generelt, at fortolkning og implementering af lovgivning er uens på tværs af EU. Der bør generelt sættes fokus på at udrydde smuthuller for overimplementering f.eks. i form af artikler, der åbner for ”national measures” i reguleringen. Rammer, der understøtter ensartet implementering og håndhævelse er afgørende, hvis vi skal lykkes med at skabe et digitalt indre marked.
Vi har brug for dine input
Vi vil meget gerne have dine konkrete eksempler og input, der kan understøtte vores fire hovedpositioner. Inputtene må gerne omhandle de specifikke lovgivninger, som tidligere i artiklen er omlistet. Har I eksempelvis specifikke udfordringer, omkostninger eller oplevelser med reguleringen, hører vi gerne fra jer.
Kommentarerne sender vi ind til Europa-kommissionen på vegne af den danske it-branche, som en del af vores høringssvar.
Send dine bidrag senest torsdag den 9. oktober til chefkonsulent Asbjørn William Ammitzbøll Flügge på asf@itb.dk.
