EU-Kommissionen indbringer fire medlemslande for EU-Domstolen for manglende NIS2-implementering. Samtidig fastsætter EDPB grænser for AI-webscraping, og AMLA skaber fælles hvidvasksanktioner.
Mens Danmark fortsat kæmper med sin egen forsinkede implementering af NIS2-direktivet, har EU-Kommissionen nu mistet tålmodigheden og stævnet fire medlemslande. Samtidig rammes danske virksomheder af nye, stramme krav til hvidvasksanktioner, AI-webscraping og social sikring for grænsearbejdere. Tålmodigheden er sluppet op i Bruxelles. EU-Kommissionen har den 8. juli 2026 besluttet at indbringe Irland, Spanien, Frankrig og Holland for EU-Domstolen, fordi landene endnu ikke har meddelt en fuld gennemførelse af cybersikkerhedsdirektivet NIS2 i deres nationale lovgivning. Medlemslandene havde officielt frist til den 17. oktober 2024.
Trussel om økonomiske sanktioner
Kommissionen har anmodet EU-Domstolen om at pålægge de fire lande økonomiske sanktioner i form af faste beløb og dagbøder, indtil direktivet er implementeret fuldt ud.
Konsekvenser for danske virksomheder
For danske virksomheder tjener søgsmålene som en alvorlig påmindelse. Danmark har som bekendt også været ramt af markante lovgivningsmæssige forsinkelser, og den danske NIS2-hovedlov forventes nu først at træde i kraft den 1. juli 2025. Selvom Danmark i denne omgang har undgået at blive stævnet, understreger Kommissionens hårde linje, at cybersikkerhed har absolut topprioritet. Myndighederne forventer, at virksomheder i de 18 kritiske sektorer allerede nu har deres risikostyring og beredskab under klargøring.
Som en udløber af sagerne har Kommissionen desuden fremsat et forslag til målrettede ændringer af direktivet. Formålet er at skabe større retlig klarhed og gøre det lettere for virksomheder på tværs af EU at efterleve de komplekse it-sikkerhedskrav.
AMLA skaber ensartede hvidvasksanktioner i hele EU
Den tid, hvor overtrædelser af hvidvaskreglerne (AML) kunne udløse vidt forskellige sanktioner afhængigt af, om sagen blev behandlet af det danske Finanstilsyn eller en myndighed i et andet EU-land, er snart forbi. EU's nye hvidvaskmyndighed, AMLA, har netop færdiggjort et sæt regulatoriske tekniske standarder (RTS), som sikrer en harmoniseret tilgang til sanktionering i hele unionen.
Ny fælles sanktionsmetode
De nye regler, der bliver juridisk bindende i Danmark og resten af EU fra den 10. juli 2027, opstiller en fælles trinvis metode for alle tilsynsmyndigheder. En overtrædelse vil fremadrettet blive klassificeret i en af fire grovhedskategorier, vurderet ud fra objektive indikatorer som varighed, gentagelse, strukturelle svigt og den økonomiske effekt.
"De nye standarder fremmer et af AMLA's kernemål: harmoniseret, risikobaseret tilsyn i hele EU. Hidtil har den samme overtrædelse i den samme situation kunnet udløse vidt forskellige håndhævelsesresultater fra én tilsynsmyndighed eller ét land til det næste."
Introduktion af periodiske tvangsbøder
Særligt bemærkelsesværdigt for danske virksomheder er introduktionen af periodiske tvangsbøder (PePPs). Dette er et nyt, aggressivt håndhævelsesværktøj, som kan pålægges på daglig, ugentlig eller månedlig basis for at gennemtvinge et stop for igangværende overtrædelser. Standarderne omfatter både den finansielle sektor og ikke-finansielle aktører som advokater, revisorer og ejendomsmæglere. Du kan dykke dybere ned i sanktionsmodellen i Final Report - RTS under Article 53(10) AMLD.
EDPB fastsætter nye spilleregler for AI-webscraping og anonymisering
Virksomheder, der træner generative AI-modeller, har længe opereret i en juridisk gråzone, når det gælder storskalaindsamling af data fra internettet. Nu har Det Europæiske Databeskyttelsesråd (EDPB) vedtaget nye retningslinjer, som stiller skarpt på de databeskyttelsesretlige grænser for såkaldt webscraping.
Krav til indsamling af offentlige data
I guidelines on web scraping in the context of generative AI. slår EDPB fast, at selv offentligt tilgængelige data er fuldt omfattet af GDPR. Rådet anerkender, at virksomheder ofte kan basere indsamlingen på "legitim interesse" (artikel 6, stk. 1, litra f), men understreger at samtykke i praksis er umuligt ved storskalaindsamling. Samtidig advarer EDPB om, at der ikke findes nogen generel undtagelse for utilsigtet indsamling af følsomme personoplysninger (artikel 9), hvilket fremadrettet stiller massive krav til danske virksomheders datavalidering, dataminimering og brug af filtre.

Ny tretrins-test for anonymisering
Foruden AI-scraping har EDPB også sendt nye guidelines on anonymisation i høring. For at data reelt kan betragtes som anonyme, og dermed falde uden for GDPR-regi, skal de nu bestå en streng tretrins-test:
- Ingen record isolation: Der må ikke være unikke kombinationer af attributter.
- Ingen sammenkædning: Data må ikke kunne kobles med andre personhenførbare datasæt.
- Ingen inferens: Der må ikke kunne udledes specifikke oplysninger om en identificerbar person.
Retningslinjer for blockchain
Slutteligt har EDPB udgivet deres endelige retningslinjer for blockchain, som i meget klare vendinger fraråder lagring af personoplysninger i klartekst direkte på kæden (on-chain), da teknisk immutabilitet ikke fritager virksomheder for retten til sletning.
Nye EU-regler for mobile arbejdstageres sociale sikring
For danske HR-afdelinger og virksomheder med medarbejdere på tværs af landegrænserne er der vigtigt nyt fra Strasbourg. Europa-Parlamentet har netop godkendt en omfattende revision af EU's regler for koordinering af social sikring. Opdateringen berører de cirka 16 millioner europæere, der bor eller arbejder i et andet medlemsland, og får direkte betydning for håndteringen af udstationerede og grænsearbejdere i Danmark.
Skærpede krav til udstationering
Reglerne skærper blandt andet kravene til udstationering, der maksimalt må vare op til 24 måneder. For at bekæmpe svig og brugen af postkasseselskaber kræves det nu, at arbejdstageren har været tilknyttet social sikring i sit hjemland i mindst tre måneder forud for selve udstationeringen. Samtidig indføres der en obligatorisk forhåndsmeddelelsesordning for arbejdsaktiviteter i et andet EU-land – dog med undtagelse af korte forretningsrejser på under tre dage.
Rettigheder for grænsearbejdere
For grænsearbejdere, eksempelvis pendlere mellem Sverige og Danmark, slås det fast, at arbejdslandet bærer ansvaret for at udbetale dagpenge, hvis personen har arbejdet der i en sammenhængende periode på mindst 22 uger.
»I dag sikrer vi, at de sociale rettigheder for dem, der flytter til et andet EU-land, er godt beskyttet. Reglerne bliver klarere, lettere at håndhæve og enklere for både arbejdstagere og virksomheder i EU. Der vil være et styrket samarbejde mellem socialsikringsinstitutionerne i kampen mod svig.«
Fælles definition af langtidspleje
Revisionen introducerer dertil for første gang en fælles europæisk definition af langtidspleje. Dette har til formål at fjerne en stor del af den juridiske usikkerhed for borgere med plejebehov på tværs af EU's grænser og gør det lettere at få dækket relevante ydelser i bopælslandet.



