Virksomheder risikerer at drukne i tsunami af regler og regulering
EU vil sætte globale standarder for brugen af nye teknologier som kunstig intelligens. Men det skaber et historisk tungt reguleringspres, der kan være dræbende for erhvervslivet, advarer flere eksperter.
Regelsæt på regelsæt på teknologiområdet vælter i disse år ind over danske virksomheder.
Men bjerge af dokumenter og regler tærer på erhvervslivets kræfter på et kritisk tidspunkt, lyder advarslen fra flere aktører.
»Der kommer en tsunami af reguleringer ud fra Bruxelles i øjeblikket. De kommer på samme tid, og de kommer med stor intensitet.« siger Casper Klynge, vicedirektør i erhvervsorganisationen Dansk Erhverv.
Han har tidligere været Danmarks tech-ambassadør i Silicon Valley samt repræsenteret Microsoft som lobbyist i Bruxelles, hvor han på nært hold har fulgt det stigende reguleringspres på erhvervslivet.
»Den aggregerede mængde af regulering er en kæmpestor udfordring for rigtig mange virksomheder,« konkluderer han.
For med lovpakkernes krav kommer også truslen om bøder i millionklassen til de virksomheder, der ikke overholder reglerne.
Det giver travlhed hos både erhvervsorganisationer og konsulenthuse, hvor virksomheder henvender sig med spørgsmål til de nye lovpakker. Og der er rigeligt at tage fat på.
NIS2, Data Act, Cyber Resilience Act, Digital Markets Act, AI Act, Digital Services Act.
Alle er de eksempler på reguleringsmæssige tiltag fra EU på teknologi-området, der har til formål at sørge for, at teknologier som eksempelvis kunstig intelligens anvendes ansvarligt, og at forbrugerne og virksomheder beskyttes og stilles lige.
Tiltagene stiller både krav hver især og er samtidig flettet ind i hinanden på kryds og tværs. Det udgør en udtalt sammenblanding for virksomhederne, der skal forholde sig til regler, der ofte ligger langt fra kerneforretningen.
Det seneste eksempel er NIS2-direktivet, der stiller skrappe krav til it-sikkerheden hos samfundskritiske virksomheder. De er udvalgt på tværs af 18 sektorer og beskæftiger sig med alt fra affaldshåndtering og drikkevand til internetopkoblinger og kemikalieproduktion.
Reglerne skulle egentlig ikke vikle mindre virksomheder ind i et bureaukratisk kaos, men en kortlægning fra Industriens Fond viser, at 36 pct. af de 1.079 danske virksomheder, der bliver direkte omfattet af reglerne, er små og mellemstore virksomheder.
Det betyder, at op mod 400 mindre virksomheder herhjemme nu skal forholde sig til et omfattende regelsæt, hvis overholdelse kræver mange ressourcer. Og det er således kun én af de mange regelpakker fra Bruxelles.
»Der er et større tryk, når vi taler om tech-regulering, end der nogensinde har været. Det er uomtvisteligt,« konstaterer Henrik Udsen, professor i it-ret på Københavns Universitet, der følger lovgivning på dataområdet tæt.
Presset på virksomhederne steg for alvor, da persondataforordningen (GDPR) trådte i kraft i 2018.
Reglerne dikterede, at danske virksomheder blandt andet skulle udpege data-ansvarlige, gennemgå deres it-systemer og fastsætte slettefrister.
Det har på den ene side krævet millioner af kroner for erhvervslivet at leve op til, men reglerne har samtidig haft strategisk betydning for EU på verdensplan.
Det forklarer Jan Høst-Schmidt, der er seniorrådgiver i Tænketanken Europa og tidligere direktør i EU-Kommissionen.
Reglerne, forklarer Jan Høst-Schmidt, har nemlig været med til at modvirke en stigende skepsis omkring privatlivets fred og tech-giganternes gode intentioner, der har været næret blandt EU-borgerne af sager om eksempelvis datamisbrug, algoritmer ude af kontrol og overvågning via ansigtsgodkendelse.
GDPR har således opnået karakter af en form for global guldstandard og har tjent som inspiration til lignende lovgivning i lande som Indien, Brasilien og Kenya, hvor man har ladet sig inspirere af EU’s borgerorienterede tilgang til teknologi, hvor mennesket er i centrum.
Det er dog ikke helt uden bagtanke, at EU forsøger at eksportere sine værdier, mener Jan Høst-Schmidt.
»Så længe vi sætter standarden internationalt, bliver det billigere for vores virksomheder, fordi vi ikke skal til at leve op til de andres standarder.«
Det skal de ikke-europæiske virksomheder derimod, og det kan være med til at give EU’s virksomheder en global konkurencemæssig fordel.
Tilgangen har fået store tech-virksomheder i USA til at slå sig i tøjret. Det har man blandt andet set med de løbende slagsmål om lovligheden af oversøiske dataoverførsler. Her har de såkaldte Schrems-domme underkendt grundlaget for dataoverførsler til USA, hvor efterretningstjenesten lovligt kan kigge med.
Men EU’s ambitioner om at sætte globale standarder for regler på teknologiområdet har en slagside.
»Hvis lovgivningen bliver tung og uhensigtsmæssig, kan det være svært at arbejde med for virksomhederne. Det kan blive for omstændigt, og man kommer til at bruge for mange ressourcer,« siger Jan Høst-Schmidt, der kalder reguleringspresset på virksomhederne »historisk voldsomt«.
Det er Andrej Savin, professor og leder af CBS LAW på Copenhagen Business School (CBS), enig i.
»Lige pludselig er man gået i gang med en masse ting, fordi man gerne vil opnå ”Bruxelles-effekten”, hvor man med GDPR har sat en global standard. Det er meget fint. Men det løser ikke noget, hvis man ikke er konkurrencedygtig,« siger han og peger på omkostningerne for virksomhederne herhjemme.
»Prisen kommer til at være for høj. Compliance er noget, der koster, og vi er ved at gøre det for dyrt for danske selskaber.«
Han peger sammen med både den tidligere tech-ambassadør, seniorforskeren og sin kollega fra Københavns Universitet på, at man fra EU’s side skal være opmærksom på at ramme den rette balance.
Den opgave ligger hos EU-Kommissionen, der foreslår ny europæisk lovgivning.
Her er italienske Roberto Viola generaldirektør med ansvar for den digitale dagsorden.
»Vi skal altid være opmærksomme på, at regulering på den ene side er en byrde for erhvervslivet, men på den anden side også kan være en fordel,« siger han og forklarer, at man netop arbejder på at balancere innovation og regulering.
Han mener, at det er positivt, at EU er et forbillede for andre lande, der lader sig inspirere af den europæiske tilgang og peger på, at flere af lovgivningspakkerne fra EU ikke kun er til besvær for de mindre selskaber.
Han peger konkret på Digital Services Act (DSA) og Digital Markets Act (DMA), der sigter efter giganter som Amazon og har til formål at skulle sikre EU’s virksomheder bedre vilkår på de digitale handelspladser.
»De regler vil ikke omfatte resten af erhvervslivet. Vi håber rent faktisk, at de resterende virksomheder i høj grad vil få gavn af eksempelvis DMA’en, da vi vil se en langt mere fair behandling af dem fra de store platforme.«
Roberto Viola afviser da også, at presset på virksomhederne fra ny regulering er decideret kvælende.
»Jeg mener, at vi giver god tid og er meget opmærksomme på den progressive ikrafttrædelse af alt dette. Det er klart, at hvis alle disse ting træder i kraft samtidigt, uden at alt det omkringliggende i forhold til compliance er på plads, så kommer det ikke til at gavne.«
Balancegangen for EU kommer således til at fortsætte, vurderer Henrik Udsen.
»Der er helt klart en delikat balance mellem på den ene side at få reguleret de teknologier og den risiko, der er forbundet med dem på forskellig vis, og på den anden side ikke at gøre det på en måde, så vi kvæler vores erhvervslivs muligheder,« siger han.
Danske virksomheder har derfor langtfra mærket det ultimative reguleringspres fra Bruxelles.
»Mange af disse reguleringstiltag er ikke trådt i kraft endnu. Derfor er det noget, vi ser hen imod, og et tryk, som man må forvente kommer til at stige i årene, der kommer,« siger Henrik Udsen.