Europaparlamentets och rådets förordning (EU) 2018/1724 (förordningen om inrättande av en gemensam digital ingång)
Europaparlamentets och rådets förordning (EU) 2016/679 (den allmänna dataskyddsförordningen)
Europaparlamentets och rådets förordning (EU) 2018/1725 (dataskyddsförordningen för EU-institutioner)
Europaparlamentets och rådets förordning (EU) 2022/2554 (förordningen om digital operativ motståndskraft för finanssektorn)
Europaparlamentets och rådets direktiv 2002/58/EG (direktivet om integritet och elektronisk kommunikation)
Europaparlamentets och rådets förordning (EU) 2018/1807 (förordningen om det fria flödet av andra data än personuppgifter)
Europaparlamentets och rådets förordning (EU) 2019/1150 (om främjande av rättvisa villkor och transparens för företagsanvändare av onlinebaserade förmedlingstjänster, P2B-förordningen)
Europaparlamentets och rådets direktiv (EU) 2019/1024 (direktivet om öppna data)
Europaparlamentets och rådets förordning (EU) 2024/1689 (förordningen om artificiell intelligens)
3.1
Digital omnibus
Dataförordningen
Kommissionen föreslår att följande tre rättsakter upphävs och införlivas i dataförordningen: förordningen om det fria flödet av andra data än personuppgifter, dataförvaltningsakten och direktivet om öppna data. Därtill föreslås riktade ändringar i dataförordningen och de bestämmelser som förs dit för att skapa ett enhetligt regelverk.
Tillägg i artikel 4 och 5 i dataförordningens II kapitel ger en datahållare större rätt att vägra dela uppgifter innehållande företagshemligheter till användare av IoT-enheter eller tredjeparter om denne visar att det finns en hög risk för att företagshemligheter trots skyddsåtgärder förs utanför EU till tredjeländer eller företag under kontroll av dessa där skyddsmekanismerna är svagare än EU-regleringen. Datahållaren ska underrätta den berörda användaren eller tredjeparten samt den utsedda behöriga nationella myndigheten om vägran och motivera denna.
Offentliga organs rätt att få åtkomst till data från privata datahållare enligt kapitel V i dataförordningen begränsas så att begäran endast är motiverad om organet visar att det föreligger ett behov av att använda vissa data från en privat datahållare för att hantera, mildra eller stödja återhämtningen från ett allmänt nödläge. Uppgifterna får endast begäras om de inte kan inhämtas effektivt på annat sätt och på likvärdiga villkor.
Bestämmelserna om byte av databehandlingstjänster i kapitel VI i dataförordningen får fler undantag. Dessa lättnader tillämpas på databehandlingstjänster som är skräddarsydda eller tillhandahålls av små och medelstora företag, om avtalen har ingåtts före den 12 september 2025. Därtill klargörs att dessa leverantörer av databehandlingstjänster får införa bestämmelser om proportionerliga sanktioner för förtida uppsägning i sina tidsbegränsade avtal så länge de inte utgör ett hinder för byte av tjänsteleverantör. Ändringarna ska inte påverka skyldigheten att gradvis avskaffa bytesavgifterna.
Vad gäller bestämmelserna i dataförordningens VII kapitel om att förhindra olaglig åtkomst till icke-personuppgifter för tredjeländers myndigheter och begränsa internationell överföring av sådana uppgifter utökas tillämpningsområdet från databehandlingstjänster till att även omfatta offentliga organ som tillhandahåller skyddade data enligt avsnitt 3 i det nya kapitlet VIIc, fysiska eller juridiska personer som har rätt att vidareutnyttja dessa i enlighet med samma avsnitt samt dataförmedlingstjänster och erkända dataaltruismorganisationer.
Kapitel III och IV i dataförvaltningsakten införlivas i dataförordningen som det nya kapitlet VIIa. Dataförmedlingstjänstdefinitionen förtydligas och den obligatoriska ordningen för dataförmedlingstjänster blir frivillig. Skyldigheten att hålla dataförmedlingstjänster juridiskt åtskilda från företagets andra tjänster ersätts med en skyldighet att hålla dem funktionellt åtskilda. Kraven på dataförmedlingstjänster minskar betydligt. För dataaltruismorganisationer upphävs rapporterings- och transparenskraven och planerna på ett mer detaljerat dataaltruismregelverk slopas. Kommissionen ska föra ett offentligt register om tjänsterna, och varje medlemsstat ska utse en behörig myndighet för tillämpning och övervakning av kapitel VIIa avseende organisationer etablerade i det egna landet. I Finland är Transport- och kommunikationsverket behörig myndighet enligt dataförvaltningsakten och har även huvudansvaret för att övervaka dataförordningen.
Förbudet mot nationella lokaliseringskrav för andra data än personuppgifter upprätthålls genom att VIIb införs som nytt kapitel i dataförordningen, och skyldigheten att underrätta kommissionen om kraven av säkerhetsskäl bibehålls. Skyldigheten att upprätthålla en gemensam nationell informationspunkt om datalokaliseringskraven avskaffas.
De centrala bestämmelserna om skyddade data från direktivet om öppna data och kapitel II i dataförvaltningsakten förs till det nya kapitlet VIIc i dataförordningen. Regleringen av vidareutnyttjande av skyddade data som innehas av offentliga organ bibehålls till innehållet och tillämpningsområdet. Vidareutnyttjandet av anonymiserade uppgifter förtydligas emellertid. Förslaget inbegriper en ny bestämmelse om att offentliga organ får ta ut en rimlig avkastning utöver marginalkostnaden för vidareutnyttjande av skyddade data som dessa innehar. Det här gäller när data vidareutnyttjas av mycket stora företag, särskilt företag som har stort ekonomiskt inflytande såsom en grindvakt enligt definitionen i förordningen om digitala marknader (DMA). Offentliga organ ska också kunna fastställa särskilda villkor för sådana mycket stora företag när data från den offentliga sektorn vidareutnyttjas, men villkoren ska vara motiverade och proportionerliga. I fortsättningen ska artikel 37 i dataförordningen tillämpas på utnämning av nationella myndigheter som stöder vidareutnyttjande av skyddade data.
Direktivet om öppna data, som gäller öppna data som innehas av offentliga organ och vissa företag som producerar allmännyttiga tjänster samt forskningsdata genererade med offentliga medel, införlivas i det nya kapitlet VIIc i dataförordningen och ändras innehållsmässigt så att definitionen av data motsvarar den i dataförordningen och dataförvaltningsakten. Handlingsdefinitionen förblir densamma och tillämpningsområdet avses inte bli ändrat. Avgifterna för vidareutnyttjande av handlingar ska kunna betalas online med hjälp av gränsöverskridande betalningstjänster. Det blir också möjligt att utöver marginalkostnaden ta ut en rimlig avkastning för vidareutnyttjandet av handlingar, om ett mycket stort företag vidareutnyttjar data. Offentliga organ ska även ha möjlighet att fastställa särskilda men motiverade och proportionerliga villkor för dessa mycket stora företags vidareutnyttjande av data.
I dataförordningens kapitel VIII om interoperabilitet upphävs artikel 36, dvs. att smarta kontrakt för genomförande av datadelningsavtal ska uppfylla vissa krav. Kraven ersätts med kommissionens befogenhet att införa standarder.
Dataförordningens kapitel IX om genomförande- och tillsynsmekanismer ska även tillämpas på de nya bestämmelserna i förordningen. Nuvarande artikel 38 om rätt att lämna in klagomål till behörig myndighet ersätts med en ny bestämmelse som beaktar att en myndighet i landet där dataförmedlingstjänsten eller dataaltruismorganisationen är registrerad har behörighet att behandla klagomål om dessa aktörer.
Nya kapitlet VIIc utesluts helt från tillämpningsområdet för artikel 40 (sanktioner) i dataförordningen. Offentliga aktörer ska dock enligt kapitel VIIc ha skyldighet att informera dem som efterfrågar vidareutnyttjande om tillgängliga möjligheter till prövning i samband med beslut eller förfaranden som påverkar dem.
I dataförordningen införs nya kapitlet IXa, där ändrade bestämmelser om och dataförvaltningsaktens viktigaste bestämmelser om Europeiska datainnovationsstyrelsen (EDIB) och dess uppdrag ska samlas. Enligt förslaget ska kommissionen framöver besluta om EDIB:s sammansättning och undergrupper medan dagens reglering förutsätter minst tre lagstadgade undergrupper. Ändringarna innebär att kommissionen kan utöka EDIB-medlemskapet från behöriga myndigheter till företrädare för organ, såsom ministerier, med behörighet inom den nationella politiken för dataekonomi. EDIB:s uppgifter renodlas betydligt så att dess roll blir att fungera som ett diskussionsforum i datafrågor, bistå kommissionen vid utveckling av genomförandet av dataförordningen, främja samarbetet mellan medlemsstaternas behöriga myndigheter samt dela god praxis för vidareutnyttande av offentliga data. Ändringsförslaget har inga detaljerade bestämmelser om till exempel EDIB:s arbetsordning som ska ersätta de tidigare.
Lättnaderna i kraven på små och medelstora företag utökas till att omfatta små midcapföretag (SMC). Med midcapföretag avses företag med en personalstyrka på minst 250 personer men under 750 och en omsättning på högst 150 miljoner euro eller en balansomslutning på högst 129 miljoner euro.
Den allmänna dataskyddsförordningen, dataskyddsförordningen för institutioner och direktivet om integritet och elektronisk kommunikation
Den allmänna dataskyddsförordningen
Kommissionen föreslår riktade ändringar i den allmänna dataskyddsförordningen för att bland annat harmonisera och förenkla tolkningen av den samt lätta på kraven för personuppgiftsansvariga vid lågriskbehandling av personuppgifter. Enligt förslaget är kommissionens mål att ändå säkerställa dagens nivå av skydd för personuppgifter.
Kommissionen föreslår ändringar i artikel 4 om definitioner. Syftet med ändringarna är framförallt att minska osäkerheten kring anonymisering, pseydonymisering och vetenskaplig forskning. Avseende anonymisering och pseudonymisering föreslås en bestämmelse som förtydligar definitionen av personuppgifter så att det inte är en personuppgift enbart på grund av att någon annan kan identifiera den registrerade med hjälp av informationen utan det avgörande är om den personuppgiftsansvarige kan identifiera denne med rimlig sannolikhet. Ändringen motsvarar rättspraxis från Europeiska unionens domstol Vidare föreslås att en definition av vetenskaplig forskning införs i förordningen och att principen om ändamålsbegränsning förtydligas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Vad gäller anonymisering och pseudonymisering föreslår kommissionen också reglering som bistår personuppgiftsansvariga när kriterier och metoder för anonymisering och pseudonymisering utformas. Härvid föreslås en ny artikel, 41a, där kommissionen ges befogenhet att anta genomförandeakter. Enligt artikeln får kommissionen bedöma användningen av den senaste tillgängliga tekniken och utveckla kriterier som personuppgiftsansvariga kan använda för att visa att uppgifterna inte kan leda till avanonymisering av de registrerade.
För behandling av särskilda kategorier av personuppgifter föreslås en ny grund för undantag (nytt led l i artikel 9.2) om behandlingen av biometriska uppgifter är nödvändig för att bekräfta en registrerad persons identitet (kontroll). Här förutsätter förslaget att den registrerade har ensam kontroll över de biometriska uppgifter eller de medel som krävs för kontrollen.
Därtill föreslås ändringar i artikel 12 och 13 i dataskyddsförordningen med syftet att lätta kraven på personuppgiftsansvariga att informera registrerade om behandlingen av deras personuppgifter, särskilt vid lågriskbehandling och när registrerade missbrukar sina rättigheter. Artikel 22 om enskilda beslut med automatik (inkl. profilering) förtydligas så att det tydligt framgår att automatiserade beslut endast kan fattas enligt artikelns ramvillkor.
Andra lättnader i kraven på personuppgiftsansvariga är att anmälningströskeln vid personuppgiftsincidenter höjs till hög risk och att tidsfristen för anmälan förlängs från dagens 72 timmar till 96 timmar (artikel 33). Enligt förslaget ska uppgiftsincidenter i fortsättningen anmälas via en ny gemensam kontaktpunkt (Single-Entry Point).
Kommissionen föreslår att regleringen av terminalutrustningens integritet eller s.k. kakor (lagring och användning av personuppgifter i den registrerades terminal) flyttas från direktivet om integritet och elektronisk kommunikation till den allmänna dataskyddsförordningen vad gäller personuppgifter. Härvid läggs nya definitioner till artikel 4 i den allmänna dataskyddsförordningen. Därtill föreslås en ny artikel, 88a, om tillgång till uppgifter såsom kakor i terminalutrustning vid behandling av personuppgifter. Förslaget innebär att lagring och användning av personuppgifter kräver den registrerades samtycke i likhet med kraven i direktivet om integritet och elektronisk kommunikation. Utöver nu gällande undantag i direktivet om integritet och elektronisk kommunikation föreslås att registrerades samtycke inte behöver begäras då en personuppgiftsansvarig enligt vissa villkor definierar målgruppen för en onlinetjänst för eget bruk eller om behandlingen är nödvändig för att upprätthålla eller återställa säkerheten hos en tjänst som tillhandahålls av den personuppgiftsansvarige och som begärs av den registrerade eller den terminalutrustning som används för att tillhandahålla tjänsten. I den nya artikeln 88b åläggs personuppgiftsansvariga att respektera det samtycke som en registrerad gett automatiskt och i maskinläsbart format till exempel via en webbläsare i enlighet med standarder som utarbetas separat.
För utveckling och drift av AI-system skapar förslaget framförallt klarhet om behandlingens rättsliga grund och behandlingen av särskilda kategorier av personuppgifter (artikel 9 och nya artikeln 88c). Förslaget ger möjlighet att behandla personuppgifter för att tillgodose den personuppgiftsansvariges eller en tredje parts berättigade intressen vid utveckling och drift av AI-system. Behandling tillåts dock inte ifall den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. För behandlingen av personuppgifter krävs dock ett samtycke av den registrerade ifall ett sådant krav finns i unionsrätten eller medlemsstatens lagstiftning. Avseende utveckling och drift av AI-system föreslår kommissionen också en ny grund för undantag från förbudet mot behandling av särskilda kategorier av personuppgifter (nytt led k i artikel 9.2) och särskilda skyddsåtgärder för behandlingen (nya artikeln 9.5).
Dataskyddsförordningen för institutioner
Kommissionen föreslår liknande ändringar i dataskyddsförordningen för institutioner som i den allmänna dataskyddsförordningen. Förslaget syftar till att harmonisera och förenkla regleringen i dataskyddsförordningen för institutioner, med bibehållande av dagens skyddsnivå för personuppgifter. Ändringsförslagen berör framförallt anonymisering, pseudonymisering, vetenskaplig forskning, utveckling och drift av AI-system samt lättnader och förtydliganden i kraven på personuppgiftsansvariga. Ändringarna i dataskyddsförordningen för institutioner avser artikel 3 (definitioner), 4 (principer för behandling), 10 (behandling av särskilda kategorier av personuppgifter), 14 och 15 (information till registrerade), 24 (automatiserat beslutsfattande), 34 (anmälningar om personuppgiftsincidenter), 37 (reglering av kakor), 39 (konsekvensbedömning) och nya 45 a (kriterier för pseudonymisering). Till skillnad från ändringar som föreslås i den allmänna dataskyddsförordningen övervakas behandlingen av personuppgifter av Europeiska datatillsynsmannen, dit unionens institutioner, organ och byråer bland annat ska anmäla personuppgiftsincidenter. Således ska till exempel anmälningar av uppgiftsincidenter enligt artikel 34 göras till EDPS. Användning av en gemensam kontaktpunkt föreslås inte i fråga om dataskyddsförordningen för institutioner.
Direktivet om integritet och elektronisk kommunikation
Kommissionen föreslår att regleringen kring uppgifter i användarens terminalutrustning enligt direktivet om integritet och elektronisk kommunikation reformeras så att 88a och 88b införs som nya artiklar i den allmänna dataskyddsförordningen.
Förslaget till artikel 5 har bestämmelser om ändringar i direktivet om integritet och elektronisk kommunikation. Artikel 4 i direktivet (säkerhet i samband med behandlingen) upphävs. Efter artikel 5.3 i direktivet införs ett nytt stycke enligt vilket den allmänna dataskyddsförordningen ska tillämpas på lagring eller användning av personuppgifter i en fysisk persons terminalutrustning. Bestämmelserna om sådan lagring och användning kommer att finnas i nya artikel 88a i den allmänna dataskyddsförordningen.
EU-gemensam kontaktpunkt för incidentrapportering
Kommissionen föreslår att en gemensam kontaktpunkt (Single-Entry Point for Incident Reporting) inrättas för anmälningar av olika störningar och incidenter. Därtill ändras incidentrapporteringskraven som följer av vissa rättsakter så att dessa anmälningar i fortsättningen ska göras via den EU-gemensamma kontaktpunkten för att uppfylla rapporteringsskyldigheten.
Kommissionen föreslår att den gemensamma kontaktpunkten tillämpas på anmälningar enligt NIS 2-direktivet, den allmänna dataskyddsförordningen, DORA-förordningen, eIDAS-förordningen och CER-direktivet. Genom förslaget ändras dessa rättsakter så att där avsedda anmälningar framöver ska göras via den EU-gemensamma kontaktpunkten. I övrigt föreslås inga ändringar i anmälningar enligt dessa rättsakter såsom tröskeln för anmälan eller vilka uppgifter som ska lämnas. Den EU-gemensamma kontaktpunkten kan i framtiden utökas till att omfatta anmälningar enligt andra rättsakter.
Bestämmelserna om den EU-gemensamma kontaktpunkten föreslås bli införda i NIS 2-direktivet genom den nya artikeln 23a. Kontaktpunkten ska inrättas och upprätthållas av Europeiska unionens cybersäkerhetsbyrå Enisa. Användandet av den EU-gemensamma kontaktpunkten föreskrivs i anslutning till de bestämmelser som fastställer rapporteringsskyldigheten.
Enligt förslaget ska Enisa vidta nödvändiga tekniska, operativa och organisatoriska åtgärder för kontaktpunktens säkerhet och tillförlitlighet (riskhantering) när den utvecklas och upprätthålls. Enisa ska se till att behöriga myndigheter har tillgång till och kan behandla informationen i kontaktpunkten samt ta hänsyn till känsligheten hos den. Genomförandet och utvecklingen av den gemensamma kontaktpunkten ska ske i ett samarbete mellan Enisa, kommissionen, CSIRT-nätverket och medlemsstaternas behöriga myndigheter. Om inte annat föreskrivs i unionsrätten ska Enisa inte ha tillgång till de anmälningar som lämnas in via den gemensamma kontaktpunkten. Den gemensamma kontaktpunkten ska uppfylla delarna i förslaget till artikel 23a.3.
Inom 18 månader efter det att förordningen har trätt i kraft ska Enisa göra en provundersökning och provning av den gemensamma kontaktpunkten. Utifrån detta ska kommissionen i samarbete med Enisa bedöma den gemensamma kontaktpunktens funktion, tillförlitlighet, integritet och konfidentialitet. Kommissionen ska även samråda med CSIRT-nätverket och nationella behöriga myndigheter. Om kommissionen konstaterar att den gemensamma kontaktpunkten uppfyller nödvändiga krav ska den offentliggöra ett tillkännagivande i Europeiska unionens officiella tidning så att Enisa med detta som grund kan börja ta emot anmälningar via kontaktpunkten. Om kommissionen då kontaktpunkten är i drift konstaterar att den inte uppfyller nödvändiga krav ska Enisa i samarbete med kommissionen vidta alla nödvändiga korrigerande åtgärder för att säkerställa korrekt funktion, tillförlitlighet, integritet eller konfidentialitet. Kommissionen ska vid behov ompröva den gemensamma kontaktpunktens funktion och uppdatera eller offentliggöra ett tillkännagivande som ligger till grund för Enisas drift av kontaktpunkten.
Förslaget innebär att det i artikel 23.1 i NIS 2-direktivet införs att incidenter ska anmälas via den gemensamma kontaktpunkt som inrättats i enlighet med artikel 23a. Ett ytterligare tillägg i artikel 23 i NIS 2-direktivet är punkt 12, som innebär att anmälningar om allvarliga incidenter som påverkar säkerheten för en produkt med digitala element enligt artikel 14.3 i förordning (EU) 2024/2847 (cyberresiliensförordningen) också ska anses som anmälan av en incident enligt NIS 2-direktivet. Därtill ändras artikel 30 i NIS 2-direktivet så att medlemsstaterna ska säkerställa att de anmälningar på frivillig basis som avses i artikeln kan göras till dem via den EU-gemensamma kontaktpunkten.
Förslaget innebär att artikel 19a, 4 och 45a i eIDAS-förordningen ändras genom att införa punkter om att de anmälningar som avses i artiklarna ska göras via den EU-gemensamma kontaktpunkten.
Genom förslaget ändras artikel 19 i DORA-förordningen så att där avsedda anmälningar ska göras via den EU-gemensamma kontaktpunkten. Därtill ska det finnas möjlighet att göra frivilliga anmälningar via den EU-gemensamma kontaktpunkten.
Genom förslaget ändras artikel 15 i CER-direktivet så att där avsedda anmälningar ska göras via den EU-gemensamma kontaktpunkten. Därtill ska det finnas möjlighet att göra frivilliga anmälningar via den EU-gemensamma kontaktpunkten.
I artikel 33 i den allmänna dataskyddsförordningen införs en hänvisning till att anmälningar om personuppgiftsincidenter ska göras via den EU-gemensamma kontaktpunkten.
Innan den EU-gemensamma kontaktpunkten tas i bruk ska anmälningar enligt rättsakterna göras till de nationella behöriga myndigheterna enligt nuvarande modell för genomförande av rättsakterna.
Upphävande av vissa rättsakter
Kommission föreslår upphävande av förordningen om främjande av rättvisa villkor och transparens för företagsanvändare av onlinebaserade förmedlingstjänster (P2B-förordningen). Enligt kommissionens är de centrala kraven (transparens, rättvis behandling, tvistlösning) införda i förordningarna om digitala tjänster (DSA) och digitala marknader (DMA), som trädde i kraft 2022 och tillhandahåller mer omfattande och bindande regler för plattformsekonomin. Vissa artiklar i P2B-förordningen ska förbli i kraft under hela övergångsperioden till 2032 för att garantera rättssäkerheten i rättsakter som hänvisar till P2B-förordningen. Detta berör en del av definitionerna i artikel 2 ('företagsanvändare', 'onlinebaserad förmedlingstjänst', 'onlinebaserad sökmotor'), artikel 4 om begränsning, tillfälligt avbrytande eller avslutande av tjänster, artikel 11 om internt system för hantering av klagomål och artikel 15 om efterlevnad.
3.2
AI-omnibus
Ändringar i AI-förordningen föreslås med syftet att lätta på den administrativa bördan för leverantörer av AI-system och organ som bedömer överensstämmelse. Kommissionen får befogenheter för tillsyn över AI-system som bygger på AI-modeller för allmänna ändamål från samma leverantör och AI-system som är inbyggda i mycket stora onlineplattformar och mycket stora sökmotorer.
Kommissionen föreslår att den särskilda hänsynen mot små och medelstora företag utökas till att även omfatta små midcapföretag: vissa undantag från kraven på AI-system med hög risk, avdelade stödåtgärder som tar hänsyn till behoven hos företagen och lägre tak för administrativa sanktionsavgifter.
Den nuvarande skyldigheten för leverantörer och tillhandahållare av AI-system att främja AI-kunnighet omvandlas till en skyldighet för kommissionen och medlemsstaterna.
Jämfört med dagens reglering föreslår kommissionen att utöver leverantörer även tillhandahållare av AI-system med hög risk samt leverantörer och tillhandahållare av andra AI-system under vissa förutsättningar ska få behandla särskilda kategorier av personuppgifter, om det behövs för upptäckt och begränsning av bias. Behandlingen får grundas på behov i stället för absolut nödvändighet som i dag. Enligt kommissionen ligger det i allmänhetens intresse att bias upptäcks och korrigeras eftersom detta skyddar fysiska personer från negativa konsekvenser av AI, däribland diskriminering. Denna behandling ska omfattas av särskilda skyddsåtgärder.
AI-system för högriskanvändning som ändå inte utgör AI-system med hög risk behöver inte längre registreras i kommissionens databas.
Förslaget syftar också till att underlätta bedömningen av överensstämmelse samt förfarandet för anmälan från organ för bedömning. Regleringen av organ för bedömning av överensstämmelse ändras så att samma ansökan kan omfatta anmälan som organ för bedömning av överensstämmelse med AI-förordningen och överensstämmelse med annan sektorslagstiftning. Dessutom förtydligas bedömningen av överensstämmelse.
Kommissionens fråntas befogenheten att anta genomförandeakter om förfarandekoder för AI-modeller för allmänna ändamål och om transparens för vissa AI-system. Syftet är att harmoniserade regler för genomförandet endast ska antas ifall det är absolut nödvändigt.
Regleringen av regulatoriska sandlådor utvidgas för att möjliggöra tätare testning under verkliga förhållanden i anslutning till sandlådorna och även utanför dem. Testning tillåts i större omfattning än tidigare även med system i bilaga I, inte bara med system i bilaga III. Det blir möjligt att kommissionen och medlemsstaterna ingår frivilliga avtal om att genomföra praktisk testning av system i del B i bilaga I. Kommissionen får befogenhet att inrätta sandlådor för AI-system för allmänna ändamål som bygger på AI-modeller för allmänna ändamål från samma leverantör. I dessa fall ska kommissionen ha motsvarande befogenheter som nationella marknadskontrollmyndigheter. Kommissionen får befogenhet att utöva tillsyn över AI-system som omfattas av förordningen om digitala tjänster och utgör eller är en del av en mycket stor onlineplattform eller onlinesökmotor.
Mikroföretagsundantaget från kraven på ett kvalitetsstyrningssystem för AI-system utökas till att även gälla små och medelstora företag.
Regleringen av den vetenskapliga panelen specificeras genom att ersättningarna till panelens experter för stöd till medlemsstaterna i genomförandet av förordningen fastställs tydligare. Medlemsstaterna får även möjlighet att konsultera experterna i den vetenskapliga panelen direkt, utan inblandning från kommissionen.
Mer flexibilitet ges i övervakningen efter utsläppandet på marknaden genom att kommissionen fråntas befogenheten att anta en genomförandeakt med detaljerade bestämmelser som fastställer en mall för planen för övervakning efter utsläppande på marknaden och en förteckning över de element som ska ingå i planen.
Avseende myndigheter som utövar tillsyn över skyddet av grundläggande rättigheter förtydligas rätten att få information från behöriga marknadskontrollmyndigheter, vars skyldighet att svara på sådana begäranden betonas i förslaget.
Harmoniserade standarder som stöd för efterlevnaden av AI-förordningen kommer med all sannolikhet inte att färdigställas före den 2 augusti 2026, då förordningen ska börja tillämpas fullt ut. Detta gäller även högrisksystem i bilaga III, såsom krav avseende utbildning, sysselsättning och kritisk infrastruktur. Förslaget inbegriper därför flera ändringar i övergångsperioder och tidpunkter för ikraftträdande för att ge mer tid åt utarbetandet av standarder och ekonomiska aktörers anpassning:
Regleringen av system som genererar artificiellt innehåll såsom ljud eller bild samt deras transparens tillämpas på system som har släppts ut på marknaden före den 2 augusti 2026 efter en övergångsperiod på 6 månader, dvs. från den 2 februari 2027. Det här är sex månader efter det nuvarande datumet för tillämpning, den 2 augusti 2026.
Tillämpning av kraven på AI-system med hög risk knyts till att stödverktyg såsom harmoniserade standarder, gemensamma specifikationer eller kommissionens riktlinjer finns på plats enligt beslut av kommissionen. Efter att beslutet offentliggjorts ska de ekonomiska aktörerna göra nödvändiga förändringar inom sex månader (bilaga III) eller 12 månader (bilaga I). Ett förbehåll i förordningen är att kraven ska tillämpas senast den 2 december 2027 på system i bilaga III och senast den 2 augusti 2028 på system i bilaga I även om standarderna inte är färdiga.
Tillämpning av kraven på AI-system som redan släppts ut på marknaden eller tillhandahållits motsvarar tillämpningstiderna för AI-system med hög risk. Denna ändring gäller inte system avsedda att användas av myndigheter. Dessa ska alltjämt uppfylla förordningens krav senast den 2 augusti 2030.
Därtill ändras förordningen om säkerheten på det civila luftfartsområdet och inrättande av Europeiska unionens byrå för luftfartssäkerhet EASA så att AI-förordningens krav på AI-system med hög risk kan införlivas i den.