EU tager fat på omfattende digital oprydning: Det skal du vide
EU’s enorme Digital Omnibus skal rydde op i årevis af overlappende digital regulering. Pakken lover færre administrative byrder og mindre kompleksitet, der kan få stor betydning for finanssektoren. Men alt sammen er stadig kun et udkast. It-advokat Jesper Løffler Nielsen gennemgår de vigtigste punkter.
En lovmaskine på højtryk
Digital Omnibus er stadig kun et udspil. Det skal igennem intensive trilog-forhandlinger med Parlamentet og Rådet, og meget kan stadig ændre sig undervejs.
Samtidig kører EU’s lovmaskine på højtryk. Så sent som d. 20. januar 2026 fremlagde Kommissionen endnu et ambitiøst udspil med overskriften Cybersecurity Package inklusive forslag til ændringer i Cybersecurity Act og NIS2.
Virkeligheden for jurister, compliancefolk og it-specialister er dermed fortsat en hverdag, hvor reglerne er i bevægelse, hvor faggrænserne brydes ned - og hvor man sjældent kan sætte to streger under det juridiske svar, forklarer Jesper Løffler Nielsen.
EU's Digitale Pakke
Den overordnede ambition med EU’s digitale pakke (Digital Simplification Package) er at reducere de administrative byrder for virksomheder med 25 % (35 % for SMV’er) frem mod 2029.
Det skal ske ved at flytte fokus fra ny lovgivning til praktisk implementering og konkurrenceevne.
Pakken består af tre dele:
- Digital Omnibus (Selve lov-oprydningen)
Dette er de juridiske værktøjer, der konsoliderer og justerer eksisterende love. - Data Union Strategy (Brændstof til AI)
En strategi, der skal sikre europæiske virksomheders adgang til enorme mængder højkvalitetsdata. - European Business Wallet (Digitalt erhvervs-ID)
En fælles digital "tegnebog" til virksomheder i hele EU.
Fra næsten ingen digital regulering til en jungle
Efterhånden som det digitale lovkompleks over de seneste år er vokset, er behovet for specialiseret viden eksploderet.
Få har fulgt udviklingen tættere end Jesper Løffler Nielsen, der har skrevet en ph.d. om udviklingen og i dag fungerer som både rådgiver, forsker og underviser i digital regulering.
Fremkomsten af digitale regulering i EU har været massiv de seneste år., og fra GDPR-startskuddet i 2018 og frem har det udviklet sig til et svært tilgængeligt krat af regulering.
Selvom det er kommet mange advokathuse til gode, er Jesper Løffler Nielsen ikke bleg for at konstatere, at der er behov for oprydning.
”Vi gik fra næsten ingen regulering på det digitale område til et reguleringschok. Mange af reglerne blev udviklet i siloer og i et højt tempo. Det var nødvendigt, men det skabte også et system, hvor flere regelsæt handler om det samme - bare med forskellige ord og processer,” siger han og pointerer:
”Nu forsøger man at samle det hele i én mere logisk struktur. Det giver rigtig god mening.”
Det er her Den Digitale Pakke kommer ind i billedet.
I kølvandet på mange rapporter om EU's mangel på konkurrenceevne, herunder Draghi-rapporten, er pakken EU-Kommissionens strategiske forsøg på at transformere det digitale reguleringsfelt fra mange små og ukoordinerede lovpakker til et mere sammenhængende system.
Krydspres: Finanssektoren rammes hårdt
Jesper Løffler Nielsen understreger, at den finansielle sektor om nogen befinder sig midt i det regulatoriske krydspres, som er opstået. Hvor andre brancher primært rammes af enten digital regulering eller sektorspecifik regulering, rammes finanssektoren af begge dele - samtidig og massivt.
Digital regulering: GDPR, Data Act, Data Governance Act, AI Act, NIS2, Digital Services Act, Cyber Resilience Act.
Finansspecifik regulering: PSD2/PSD3, FIDA, DORA, AML-pakken samt diverse danske love såsom lov om finansiel virksomhed.
Når man lægger disse to spor oven på hinanden, opstår et unikt kompleksitetsniveau.
”Finans, sundhed og den offentlige sektor er klart de hårdest ramte. Det er sektorer, hvor der allerede er meget detailregulering, og så bliver den horisontale regulering af digitale teknologier et ekstra lag oveni,” siger Jesper Løffler Nielsen.
Det er derfor ingen tilfældighed, at netop finanssektoren er blandt dem, der har mest at vinde - og mest at miste - i EU’s store oprydningsprojekt.
To nedslagspunkter, der ændrer hverdagen i finans
Digital Omnibus er en omfattende og teknisk tung pakke, der rummer mere end 15–20 dokumenter: ændringsforordninger, konsolideringer, juridiske bilag, strategier og gennemførelsesnotater.
Der kan skrives større afhandlinger om de mange forslag til justeringer, men ifølge Jesper Løffler Nielsen er det særligt to ændringer, der kan blive afgørende for den finansielle sektor.
1) Ét samlet indberetningspunkt: Single‑Entry Point (SEP)
I dag skal finansielle virksomheder rapportere et sikkerhedsbrud gennem flere forskellige regelsæt og ofte i parallelle processer. Det betyder typisk:
- anmeldelse til Datatilsynet efter GDPR,
- hændelsesindberetning under NIS2,
- hændelsesrapportering under DORA,
- og i visse tilfælde også under CER eller eIDAS.
Det er ikke ualmindeligt, at én hændelse afføder tre–fire rapporteringsflows, der hver har egne frister, skemaer og kontaktpunkter, forklarer Jesper Løffler Nielsen videre.
Her foreslår Omnibus en markant forenkling: Single‑Entry Point (SEP).
“Med SEP bliver det ’report once, share many’. Man indberetter én gang, og myndighederne fordeler selv hændelsen på de rette regelsæt,” siger Jesper Løffler Nielsen.
For en sektor, hvor hændelsesrapportering er et tungt, tidskritisk og strengt reguleret område, vil SEP være en reel arbejdsmæssig lettelse.
Det kan også gøre det nemmere at sikre ensartede vurderinger af hændelser og reducere risikoen for fejl, dobbeltindberetninger eller uens fristberegning, forklarer Jesper Løffler Nielsen.
2) Præcisering af personoplysninger – en mulig gamechanger
Den anden store ændring handler om GDPR’s definition af personoplysninger.
Siden 2018 har virksomheder kæmpet med, at selv stærkt pseudonymiserede data ofte blev vurderet som personhenførbare - alene fordi en anden aktør teoretisk kunne re-identificere dem.
Digital Omnibus foreslår en præcisering: Det afgørende er fremover den konkrete dataansvarliges mulighed for re-identifikation - ikke generelle teoretiske risici.
“Det lyder nørdet, men det er enormt vigtigt. Det kan åbne for, at man langt lettere kan dele, analysere og pulje data - uden at ramme ind i GDPR-problemer."
For finanssektoren, der dagligt arbejder med enorme datamængder - fra kreditdata og transaktionsmønstre til risikomodeller og anti-churn -analyser kan denne præcisering blive en af de mest praktisk betydningsfulde justeringer i årevis, lyder det fra Jesper Løffler Nielsen.
Få styr på EU’s nye Digitale Pakke på 60 minutter
Få overblik over EU’s reform af den digitale lovpakke.
Hvad betyder Digital Omnibus for jeres GDPR-arbejde, AI-brug og hændelsesrapportering? Og hvordan navigerer du i et regelsæt, der stadig er under forhandling - men allerede former din daglige praksis?
Finansforbundet afholder webinar med Jesper Løffler Nielsen, hvor vi zoomer ind på digital omnibus og samarbejdet mellem faggrupper.
Gratis for medlemmer af Finansforbundet.
Nyt AI‑tempo – og fundamentet under Europas datastrategi
Ud over konsolideringen af GDPR, dataregler og cybersikkerhed indeholder Digital Omnibus en anden afgørende komponent: Digital Omnibus on AI, der fungerer som en justering af AI‑forordningen (AI Act).
Her forsøger EU at skrue tempoet ned, så implementeringen af regulering kan følge med den teknologiske udvikling.
Ifølge Jesper Løffler Nielsen har EU-Kommissionen ganske enkelt erkendt, at AI‑reguleringen blev vedtaget hurtigere, end de nødvendige standarder kunne udvikles.
”De strenge krav til højrisiko‑AI kan ikke håndhæves effektivt, før de tekniske standarder og vejledninger er på plads. Derfor får vi nu en pausefunktion - ’stop‑the‑clock’ - så industrien ikke bliver fanget i noget, der er umuligt at efterleve,” siger Jesper Løffler Nielsen.
For selvstændige højrisiko‑systemer, som kreditvurdering eller automatiserede finansielle beslutningsprocesser, betyder det, at reglerne træder i kraft tidligst 6 måneder efter standarderne ligger klar - senest december 2027, selv hvis standarderne forsinkes.
Det giver finansvirksomhederne et nødvendigt pusterum, men det betyder ikke, at kravene forsvinder.
”Stop‑the‑clock er ikke en udvanding af AI‑reguleringen. Det er en måde at sikre, at kravene faktisk bliver til at arbejde med i praksis,” siger Jesper Løffler Nielsen.
Data Union Strategy: EU’s data‑infrastruktur får et serviceeftersyn
Mens AI‑delen handler om tidspunktet for ikrafttrædelse, handler Data Union Strategy om selve fundamentet under EU’s datadrevne økonomi.
Her vil EU skabe langt bedre adgang til datasæt af høj kvalitet.
Kernen er etableringen af Data Labs, der er sikre testmiljøer, hvor virksomheder og forskere :
- kan pulje data,
- arbejde med beskyttede sandkasser,
- udvikle og træne AI‑modeller,
- uden at kompromittere privatliv eller konkurrenceret.
"I praksis vil behandlingen af data i Data Labs antageligvis ofte ske på baggrund af pseudonymiserede oplysninger, og derfor er den tidligere nævnte præcisering af GDPR’s definition på 'personoplysninger' også relevant her," uddyber Jesper Løffler Nielsen.
Data Labs skal fungere som acceleratorer for europæisk AI, og ambitionen er, at de bliver centrale for hvert 'data space', herunder det finansielle dataspace, der allerede er under opbygning gennem FIDA og PSD3, forklarer Jesper Løffler Nielsen videre.
Han påpeger desuden, at dette også har konsekvenser for den måde, vi bruger AI i finans i dag.
”Der åbnes mere op for brug af AI til beslutningsstøtte, særligt via legitim interesse. Det er ikke en blankocheck, men en fjernelse af nogle af de benspænd, der hidtil har stået i vejen,” siger han.
Vil du blive klogere på de mange nye forslag til justeringer af de digitale reguleringer, kan du som medlem af Finansforbundet komme med til webinar med Jesper Løffler Nielsen. Det foregår d. 24. februar 2026.