De nieuwe wetgevingsmaatregelen en updates maken deel uit van de digitale strategie van de EU 2019-2024: ‘A Europe fit for the digital age’. CIO Platform Nederland (CIOPN) vertegenwoordigt in deze dossiers de belangen van zakelijke gebruikers van digitale technologie. CIOPN werkt hierbij samen met de CIO-verenigingen van Frankrijk (Cigref), België (Beltug) en Duitsland (Voice). Dit memo belicht de ontwikkelingen van tien wetgevingsmaatregelen en updates die het meest relevant zijn voor zakelijke gebruikers van digitale technologie:

Legislative process finalised

• Data Act – inwerkingtreding eind 2023
• Data Governance Act (DGA) – in werking, van toepassing sinds 24 september 2023
• Digital Markets Act (DMA) – in werking, volledig van toepassing, gatekeepers aangewezen
• Digital Services Act (DSA) – in werking, gedeeltelijk van toepassing
• Cybersecurity Act (CSA) – in werking, volledig van toepassing
• NIS2-richtlijn – in werking, implementatie uiterlijk 17 oktober 2024

Legislative process ongoing

• Artificial Intelligence Act (AIA)
• Cyber Resilience Act (CRA)
• Product Liability Directive (PLD)
• AI Liability Directive (AILD)

Finalised legislation

Data Act

Content
Op 27 juni 2023 hebben de EU-Raad en het Europees Parlement overeenstemming bereikt over de definitieve tekst van de Data Act. Het doel van de Data Act is het waarborgen van eerlijkheid in de verdeling van waarde die wordt gecreëerd uit data tussen de verschillende partijen in de data-economie en het bevorderen van toegang tot en gebruik van data. De drie belangrijkste onderwerpen van de Data Act zijn: het delen van data, het faciliteren van overstappen tussen clouddiensten en het opzetten van interoperabiliteitsstandaarden voor dataspace-omgevingen.

Meer in detail betreft het delen van data business-to-business-, business-to-government- en business-to-consumer-datadeling. Dit gaat over data die wordt gegenereerd door – kort gezegd – het gebruik van Internet of Things (IoT)-apparaten en gerelateerde diensten; slimme producten zoals medische apparaten, slimme landbouwmachines of slimme koelkasten. Met betrekking tot datadeling stelt de Data Act:

1. Een verplichting voor datahouders om data die wordt gegenereerd door het gebruik van producten en gerelateerde diensten toegankelijk te maken.
2. Regels voor hoe datahouders deze data mogen gebruiken (let op: de Data Act beperkt datahouders in het gebruik van de data die zij verkrijgen).
3. Een recht voor gebruikers om toegang te krijgen tot en gebruik te maken van de data die wordt gegenereerd door producten of gerelateerde diensten.
4. Een recht voor gebruikers om data te delen met derden.
5. Verplichtingen voor derden die data ontvangen op verzoek van de gebruiker.
6. Een verplichting om data te delen met overheidsinstanties op verzoek in gevallen van uitzonderlijke noodzaak. ‘Uitzonderlijke noodzaak’ omvat openbare noodsituaties, een overheidsinstantie die specifieke data nodig heeft om een wettelijk vastgelegde taak in het algemeen belang te vervullen, of wanneer een overheidsinstantie alle andere mogelijkheden heeft uitgeput om de benodigde data te verkrijgen.

Wat betreft het overstappen tussen clouddiensten stelt de Data Act dat aanbieders van dergelijke diensten commerciële, technische, contractuele en organisatorische obstakels moeten verwijderen die klanten belemmeren om over te stappen naar clouddiensten van een andere aanbieder, wat leidt tot vermindering van vendor lock-in.

Legislative process
De EU-instellingen hebben op 27 juni tijdens de triloogonderhandelingen overeenstemming bereikt over de tekst van de Data Act. De Raad heeft zijn standpunt over de tekst inmiddels formeel vastgesteld. Het Europees Parlement zal dit naar verwachting begin september doen. De Data Act zal naar verwachting begin Q4 2023 in werking treden. De overgangsperiode bedraagt 20 maanden, waardoor de Data Act vanaf medio 2025 van toepassing zal zijn.

De definitieve tekst van de Data Act is hier te vinden. Informatie over de Data Act is hier beschikbaar en het oorspronkelijke voorstel van de Commissie hier. Het wetgevingsproces is hier uiteengezet.

Data Governance Act (DGA)
Content
De DGA is in juni 2022 in werking getreden. De Data Governance Act (DGA) heeft als doel het vergroten van vertrouwen in het delen van data. Daartoe creëert de DGA regels op drie hoofdonderwerpen.

Ten eerste introduceert de DGA een mechanisme voor het hergebruiken van bepaalde categorieën data van publieke sectororganisaties. De DGA stelt basisvoorwaarden vast waaronder hergebruik van dergelijke data is toegestaan (bijvoorbeeld het vereiste van non-exclusiviteit). De DGA verplicht publieke sectororganisaties echter niet om dergelijk hergebruik toe te staan. Ten tweede stelt de wet EU-brede regels vast voor de neutraliteit van datadienstenmarktplaatsen voor B2B- en B2C-deling van persoonlijke en niet-persoonlijke data.

Aanbieders van datadeeldiensten mogen de uitgewisselde data niet voor andere doeleinden gebruiken. Dit vereist een structurele scheiding tussen de datadeeldienst en andere diensten die zij aanbieden.

Ten derde faciliteert de DGA data-altruïsme, wat inhoudt dat individuen en bedrijven vrijwillig data beschikbaar stellen voor doeleinden van algemeen belang. Organisaties die data verzamelen voor een algemeen belang, bijvoorbeeld op het gebied van medisch onderzoek, kunnen worden opgenomen in een register van erkende data-altruïsmeorganisaties. Dit moet individuen aanmoedigen om hun data te doneren aan deze organisaties en maakt het eenvoudiger voor organisaties om data te gebruiken voor maatschappelijk nut.

Legislative process
De DGA is van toepassing vanaf 24 september 2023. De definitieve tekst van de DGA is hier te vinden. Een overzicht van het wetgevingsproces staat hier.

De DGA is een verordening en hoeft daarom niet nationaal te worden omgezet. Vaak is echter wel nationale implementatie vereist, bijvoorbeeld om de bevoegde nationale autoriteit aan te wijzen. De Autoriteit Consument & Markt (ACM) zal waarschijnlijk vanaf 24 september 2023 worden aangewezen als bevoegde autoriteit. Meer over de Nederlandse implementatiewet is hier te lezen.

Digital Markets Act (DMA)

Content
De Digital Markets Act (DMA) stelt regels vast voor grote online platforms – de zogenoemde ‘poortwachters’ – zoals zoekmachines en e-commerceplatforms. De poortwachterstatus wordt toegekend als specifieke criteria worden gehaald met betrekking tot de omvang of economische positie van het platform.

De DMA definieert en verbiedt oneerlijke praktijken van poortwachters, zoals het gunstiger rangschikken van eigen diensten en producten van de poortwachter dan vergelijkbare diensten of producten van derden op het platform van de poortwachter. Ook wordt het verhinderen dat gebruikers vooraf geïnstalleerde software kunnen verwijderen, als oneerlijk aangemerkt. Daarnaast geeft de nieuwe wet gebruikers de mogelijkheid om vrij te kiezen welke browser, virtuele assistent en zoekmachine zij willen gebruiken.

Op 6 september 2023 heeft de Europese Commissie zes poortwachters aangewezen op grond van artikel 3 van de DMA: Alphabet, Amazon, Apple, ByteDance, Meta en Microsoft. In totaal zijn 22 kernplatformdiensten van deze poortwachters aangewezen. Opvallend is dat geen enkele clouddienst als kernplatformdienst is aangemerkt.

Legislative process
De DMA is in werking getreden en is volledig van toepassing sinds 25 juni 2023. De definitieve tekst van de DMA is hier te vinden en een overzicht van het wetgevingsproces staat hier. Meer informatie over de aanwijzing van poortwachters is hier beschikbaar.

Digital Services Act (DSA)
Content
De Digital Services Act (DSA) heeft tot doel een veiliger en betrouwbaarder online omgeving te creëren door regels vast te stellen voor online bemiddelingsdiensten. De DSA is van toepassing op meerdere typen online bemiddelingsdiensten, zoals aanbieders van netwerk­infrastructuur, hostingdiensten, onlineplatformdiensten en zeer grote onlineplatformdiensten. De wet bevat basisverplichtingen die voor alle aanbieders van bemiddelingsdiensten gelden, bijvoorbeeld op het gebied van transparantie. Voor hostingdiensten, onlineplatformdiensten en zeer grote onlineplatformdiensten stelt de DSA meer specifieke en cumulatieve verplichtingen vast.

Op 25 april 2023 heeft de Europese Commissie 17 zeer grote onlineplatforms (VLOP's) en twee zeer grote onlinezoekmachines (VLOSE's) aangewezen die zich aan de regels van de DSA moeten houden.

Legislative process
Een eerste selectie van artikelen van de DSA is van toepassing sinds 26 november 2022. De wet zal volledig van toepassing zijn vanaf 17 februari 2024. De definitieve tekst van de DSA is hier te vinden. Een overzicht van het wetgevingsproces staat hier. Meer informatie over de aangewezen VLOP's en VLOSE's is hier beschikbaar.

Cybersecurity Act (CSA)
Content
De Cybersecurity Act (CSA) introduceert een vrijwillig EU-certificeringskader voor ICT-beveiligingsproducten. Daarnaast voorziet de CSA in een permanent mandaat voor het European Union Agency for Network and Information Security (ENISA), onder andere om zijn taken uit te voeren in het kader van de NIS2-richtlijn.

Legislative process
De CSA is volledig van toepassing. De definitieve tekst is hier te vinden en een overzicht van het wetgevingsproces staat hier.

De CSA is, voor zover nodig, geïmplementeerd in de Nederlandse wetgeving (hier, hier en hier). De Nederlandse bevoegde autoriteit is de Autoriteit Digitale Infrastructuur (RDI).

NIS2 Directive
Content
De NIS2-richtlijn heeft tot doel de tekortkomingen van de eerdere NIS-richtlijn aan te pakken en deze toekomstbestendig te maken. Op basis van de NIS2-richtlijn worden entiteiten automatisch als essentieel of belangrijk aangewezen als zij actief zijn in door de richtlijn aangewezen sectoren en voldoen aan bepaalde omvangscriteria.

De reikwijdte van de eerdere NIS-richtlijn wordt uitgebreid door nieuwe sectoren toe te voegen op basis van hun kritieke belang voor de economie en samenleving, en door een duidelijke omvangsgrens te introduceren. Dit betekent dat alle middelgrote en grote bedrijven in geselecteerde sectoren onder de richtlijn vallen. Bovendien vervalt het onderscheid tussen aanbieders van essentiële diensten en digitale dienstverleners.

De NIS2-richtlijn versterkt de beveiligingseisen voor essentiële en belangrijke entiteiten, evenals voor entiteiten die zijn aangewezen op grond van de CER-richtlijn. Dit gebeurt door een risicobeheerbenadering op te leggen met een minimumlijst van basisbeveiligingselementen die moeten worden toegepast. De richtlijn stelt daarnaast specifieke verplichtingen vast voor incidentrapportage. Ook verplicht de richtlijn bedrijven om cybersecurityrisico's in de toeleveringsketen en leveranciersrelaties aan te pakken. Verder bevat de NIS2-richtlijn toezichtmaatregelen en legt zij de verantwoordelijkheid voor naleving van de cybersecurityverplichtingen bij het bedrijfsmanagement.

Het Nationaal Cyber Security Centrum (NCSC) adviseert organisaties zich voor te bereiden op NIS2 door onder meer alternatieve toeleveringsketens te identificeren en bedrijfscontinuïteitsplannen op te stellen.

Legislative process
De NIS2-richtlijn is op 16 januari 2023 in werking getreden. De definitieve tekst is hier te vinden en het wetgevingsproces is hier uiteengezet.

Lidstaten hebben tot 17 oktober 2024 de tijd om de richtlijn om te zetten in nationale wetgeving. De nationale wetgeving zal betrekking hebben op de omzetting van de zorgplicht en meldplicht, evenals de aanwijzing van de nationale bevoegde autoriteit. De consultatie over het Nederlandse implementatievoorstel start naar verwachting in Q3 2023.

Voorgestelde wetgeving – wetgevingsproces loopt nog
Artificial Intelligence Act (AIA)

Op 21 april 2021 heeft de Europese Commissie het voorstel gepubliceerd voor de verordening inzake kunstmatige intelligentie, de zogenaamde Artificial Intelligence Act (AIA).

Content
De AIA stelt geharmoniseerde regels vast voor de ontwikkeling, het op de markt brengen en het gebruik van AI-systemen. Ze legt verplichtingen op aan aanbieders van AI-systemen, maar ook aan (zakelijke) gebruikers en andere betrokkenen in de AI-waardeketen. Let op: deze rollen zijn niet statisch; welke verplichtingen voor jouw organisatie gelden, hangt af van hoe jullie betrokken zijn bij de specifieke toepassing van een AI-systeem.

Het doel van de AIA is om de ontwikkeling, het gebruik en de adoptie van AI te stimuleren, terwijl tegelijkertijd een hoog niveau van bescherming van het publieke belang wordt gewaarborgd. De EU wil wereldwijd een koploper worden in de ontwikkeling van veilige, betrouwbare en ethische AI.

De AIA hanteert een risicogebaseerde aanpak, afhankelijk van het beoogde doel van het AI-systeem. Er wordt onderscheid gemaakt tussen toepassingen van AI die (i) een onaanvaardbaar risico vormen, (ii) een hoog risico, en (iii) een laag of minimaal risico. AI-systemen die een onaanvaardbaar risico met zich meebrengen zijn verboden. Hoog-risico AI-systemen zijn toegestaan op de EU-markt, mits zij voldoen aan eisen op het gebied van data en databeheer, documentatie en registratie, transparantie en informatievoorziening aan gebruikers, menselijk toezicht, robuustheid, nauwkeurigheid en beveiliging. Voor laag-risico AI-systemen gelden alleen minimale transparantieverplichtingen. Als een AI-systeem niet binnen een van deze drie categorieën valt, gelden er geen verplichtingen. Daarnaast stimuleert de AIA het opstellen van gedragscodes die het mogelijk maken om de hoge-risico-eisen vrijwillig toe te passen op niet-hoog-risico AI-systemen.

De wet richt zich voornamelijk op regels voor hoog-risico AI-systemen. AI-systemen kunnen op twee manieren als hoog-risico worden aangemerkt:

1. het AI-systeem wordt toegepast in een specifiek domein zoals benoemd in de verordening, of
2. het AI-systeem is (onderdeel van) een product dat op grond van andere EU-wetgeving een conformiteitsbeoordeling door een derde partij moet ondergaan.

Voor hoog-risico AI-systemen is een conformiteitsbeoordeling verplicht. Afhankelijk van het systeem kan deze beoordeling plaatsvinden via interne controle of door een aangemelde instantie. De beoordeling kan onderdeel zijn van de bredere conformiteitsbeoordeling van het product waarvan het AI-systeem deel uitmaakt (bijvoorbeeld machines of medische hulpmiddelen). Zowel de Raad als het Europees Parlement hebben amendementen voorgesteld die gericht zijn op regulering over de gehele waardeketen.

Wetgevingsproces
De AI-verordening (AIA) wordt momenteel besproken in trilogen tussen de Raad en het Europees Parlement. Tijdens de eerste triloog op 18 juli 2023 is overeenstemming bereikt over de verplichtingen voor aanbieders van hoog-risico AI-systemen, de procedures voor conformiteitsbeoordeling en de bepalingen over technische normen. Meer omstreden onderwerpen, zoals de ‘regulatory sandbox’ en de toetsing op fundamentele rechten, zijn nog onderwerp van debat.

De volgende triloog vond plaats op 3 oktober 2023. Een derde, en mogelijk laatste, triloog volgde in het vierde kwartaal van 2023, waardoor de definitieve tekst eind 2023 kon worden vastgesteld. De AI Act is inmiddels formeel goedgekeurd als Verordening (EU) 2024/1689 en treedt 24 tot 36 maanden na publicatie in werking.

Meer informatie over de AIA is beschikbaar hier, het voorstel van de Commissie vind je hier, en het wetgevingsproces is toegelicht hier.

De tekst van het Europees Parlement is beschikbaar hier, de tekst van de Raad is verwerkt in de definitieve verordening hier.

Cyber Resilience Act (CRA)
Op 15 september 2022 publiceerde de Europese Commissie het voorstel voor de Cyber Resilience Act (CRA).

Content
De CRA heeft twee doelstellingen:

1. ervoor zorgen dat hardware- en softwareproducten met minder kwetsbaarheden op de markt worden gebracht en dat fabrikanten gedurende de gehele levenscyclus van een product serieus werk maken van beveiliging, en
2. voorwaarden scheppen die gebruikers in staat stellen om cybersecurity mee te nemen in hun keuze en gebruik van producten met digitale elementen.

De CRA beoogt het probleem aan te pakken dat in een verbonden digitale omgeving een beveiligingsincident in één product ernstige gevolgen kan hebben voor een hele organisatie of zelfs een volledige toeleveringsketen. De verordening stelt cybersecurity-eisen aan het ontwerp, de ontwikkeling, de productie en het op de markt brengen van producten met digitale elementen, waarbij een hoger niveau van ‘security by design’ wordt vereist. Daarnaast bevat de wetgeving verplichtingen voor het omgaan met kwetsbaarheden gedurende de volledige levenscyclus van een product.

1 Het oorspronkelijke AIA-voorstel noemt de volgende acht gebieden in Bijlage III (NB: de AIA is nog in onderhandeling en deze lijst kan nog wijzigen): 1) biometrische identificatie en categorisatie van natuurlijke personen; 2) beheer en werking van kritieke infrastructuur; 3) onderwijs en beroepsopleiding; 4) werkgelegenheid, personeelsbeheer en toegang tot zelfstandig ondernemerschap; 5) toegang tot en gebruik van essentiële particuliere en publieke diensten en voorzieningen; 6) rechtshandhaving; 7) migratie, asiel en grensbeheer; 8) rechtspleging en democratische processen.

2 Bijlage II van het oorspronkelijke AIA-voorstel bevat een lijst van 19 wetgevingen. Voorbeelden hiervan zijn de nieuwe Machinerichtlijn, de Verordening medische hulpmiddelen en de Verordening inzake de burgerluchtvaart.

Met zijn horizontale en verplichte karakter vormt de Cyber Resilience Act (CRA) een aanvulling op de Cybersecurity Act en de NIS2-richtlijn (zie hierboven onder ‘Vastgestelde wetgeving’).

Wetgevingsproces
De CRA bevindt zich momenteel in de aanloop naar de trilogen. De Raad heeft op 19 juli 2023 zijn algemene benadering vastgesteld. Nadat de leidende commissie ITRE op 19 juli voor het ontwerpverslag stemde, zal het Europees Parlement zijn standpunt na de zomer aannemen. Het Spaanse voorzitterschap streeft ernaar de trilogen met het Europees Parlement tijdens zijn voorzitterschap af te ronden, met een mogelijk akkoord begin 2024. De verordening zal vervolgens 36 maanden later van toepassing zijn, met uitzondering van artikel 11, dat al 12 tot 18 maanden eerder in werking zal treden. Artikel 11 bevat de verplichting voor fabrikanten om misbruikte kwetsbaarheden te melden aan de bevoegde autoriteiten en relevante derde partijen.

Meer informatie over de CRA is beschikbaar hier, de tekst van het Commissievoorstel hier, en het wetgevingsproces hier. De ITRE-tekst is beschikbaar hier en de tekst van de Raad hier.

Update Product Liability Directive (PLD)
Op 28 september 2022 heeft de Europese Commissie een voorstel gepubliceerd om de bestaande Productaansprakelijkheidsrichtlijn (PLD) te actualiseren, parallel aan de AI-aansprakelijkheidsrichtlijn.

Content
De PLD wordt herzien om ook schade te dekken die ontstaat door het disfunctioneren van digitale producten (zoals standalone software en AI) en fysieke producten die door software of AI worden ondersteund. Voorbeelden hiervan zijn een schoonmaakrobot of een medische gezondheidsapp. De PLD stelt slachtoffers in staat productfabrikanten aansprakelijk te stellen voor materiële schade als gevolg van overlijden, persoonlijk letsel, schade aan eigendommen en verlies of corruptie van data. Onder productfabrikanten vallen hardwareproducenten, softwareleveranciers en aanbieders van digitale diensten die de werking van het product beïnvloeden.

Fabrikanten blijven verantwoordelijk voor schade veroorzaakt door bijvoorbeeld software-updates of het niet aanpakken van cybersecurityrisico’s. Daarnaast bevat de PLD vijf scenario’s waarin het oorzakelijk verband (een belangrijk element om aansprakelijkheid vast te stellen) tussen een defect en de schade wordt vermoed, bijvoorbeeld wanneer dit verband door de complexiteit van het product niet kan worden bewezen.

Wetgevingsproces
De Raad heeft zijn positie afgerond op 14 juni 2023, toen COREPER bevestigde dat de lidstaten een technisch akkoord hadden bereikt. In het Europees Parlement bereiden de IMCO- en JURI-commissies het ontwerprapport van de PLD voor. Een stemming hierover staat gepland voor 19 september 2023. Vervolgens zal het Europees Parlement naar verwachting in het begin van Q4 2023 stemmen over de tekst tijdens een plenaire zitting.

De trilogen zullen naar verwachting eind Q4 2023 of begin Q1 2024 van start gaan. Na overeenstemming hebben de EU-lidstaten 12 maanden om de herziene PLD in nationale wetgeving om te zetten.

Meer informatie over de update van de PLD is beschikbaar hier, het Commissievoorstel hier, en het wetgevingsproces hier.

De tekst van de Raad is beschikbaar hier en de tekst van het Europees Parlement hier.

AI Liability Directive (AILD)
Op 28 september 2022 heeft de Europese Commissie het voorstel voor de AI Liability Directive (AILD) gepubliceerd. Dit voorstel werd gelijktijdig gepresenteerd met het voorstel tot herziening van de Richtlijn Productaansprakelijkheid (zie hierboven).

Content
De AILD heeft betrekking op nationale aansprakelijkheidsvorderingen op basis van schuld van een persoon, met als doel schadevergoeding te bieden voor elk type schade (materiële schade, schending van fundamentele rechten) en voor elk type benadeelde. De richtlijn introduceert twee belangrijke (procedurele) waarborgen die slachtoffers ondersteunen bij het verkrijgen van schadevergoeding als gevolg van een AI-systeem.

Ten eerste introduceert de AILD een weerlegbaar vermoeden van causaal verband. Dit moet de drempel verlagen voor slachtoffers om het vereiste verband aan te tonen tussen de schade en een fout of nalatigheid waarbij een AI-systeem betrokken was.Ten tweede voorziet de richtlijn in een recht op toegang tot bewijs, wat betekent dat slachtoffers toegang kunnen krijgen tot informatie die op grond van de AI Act moet worden geregistreerd voor hoog-risico AI-systemen.

Wetgevingsproces
De Raad en het Europees Parlement zijn begonnen met het vormen van hun standpunten over het voorstel. De AI Liability Directive is echter nauw verbonden met de AI Act. Vanwege onderlinge verwijzingen op essentiële onderdelen, zoals de definitie van AI, is de behandeling van de AILD opgeschort totdat er overeenstemming is bereikt over de AIA.

Meer informatie over de AILD is beschikbaar hier, de tekst van het Commissievoorstel vind je hier, en het wetgevingsproces is toegelicht hier. Zodra de richtlijn definitief is vastgesteld, moet deze worden omgezet in nationale wetgeving.