Hva er Lazarus-alliansen?

Lazarus Alliance er en erfaren global leverandør av Proactive Cybersecurity®-tjenester. I over 26 år har vi levert løsninger innen revisjon, samsvar, risikostyring, personvern, penetrasjonstesting og styring til organisasjoner i alle størrelser på tvers av alle bransjer og jurisdiksjoner.

Hva betyr Proaktiv cybersikkerhet®?

Proactive Cybersecurity® er vår kjernefilosofi om å stoppe trusler før de blir til problemer. Vi fokuserer på kontinuerlig overvåking, risikostyring i sanntid og å bygge bærekraftige programmer i stedet for reaktive «avkrysningsboks»-revisjoner.

Hvilke samsvarsrammeverk støtter dere?

Vi spesialiserer oss på FedRAMP (3PAO), CMMC (C3PAO), GovRAMP, SOC 1 og 2, HIPAA, PCI DSS, ISO 27001, NIST 800-53/171, GDPR, CCPA og dusinvis av andre amerikanske og internasjonale standarder, inkludert C5, ENS og EUCS.

Hvordan er Lazarus Alliance forskjellig fra andre compliance-firmaer?

Vi leverer en samarbeidsbasert, concierge-nivå opplevelse i stedet for en kontradiktorisk revisjon. Vårt fokus er på partnerskap, åpenhet og reell risikoreduksjon ved hjelp av vår proprietære IT Audit Machine® (ITAM) og AI-forbedrede Cybervisors®.

Hva er en Cybervisor®?

En Cybervisor® er vår AI-forbedrede cybersikkerhetsrådgiver på seniornivå som fungerer som en forlengelse av teamet ditt. De tilbyr strategisk veiledning, praktisk implementering og kontinuerlig støtte for å akselerere samsvar og styrke den generelle sikkerhetsstillingen.

Jobber du med oppstartsbedrifter og små bedrifter?

Ja. Vi samarbeider med organisasjoner i alle størrelser, fra oppstartsbedrifter til globale bedrifter som Cisco og Vanguard, på tvers av alle større bransjer. Vår effektive metode gjør det mulig å overholde regelverket uten unødvendig kompleksitet eller kostnader.

Tilbyr dere tjenester internasjonalt?

Absolutt. Vi støtter kunder over hele verden med dyp ekspertise innen både amerikanske og internasjonale regelverk, inkludert CCPA, PIPEDA, DPDP og andre globale krav til personvern og cybersikkerhet.

Hvordan kommer jeg i gang med Lazarus-alliansen?

Kontakt oss i dag for en uforpliktende konsultasjon. En av våre nettrådgivere vil lytte til dine behov og gi en klar vei videre, skreddersydd for din organisasjon. Ring 1-888-896-7580 eller fyll ut skjemaet på denne siden.

Den digitale omnibusen for 2026

Revisjon og etterlevelse Awareness

Den digitale omnibusen for 2026

by Lasarus-alliansen April 8, 2026 0 Kommentar

Blå abstrakt hengelås ligger på en abstrakt kretskorttegning, med lys som kobler låsen til en mus i en persons hånd.

I nesten et tiår har det vært utfordrende å drive virksomhet under EUs digitale lov, med DDPR, oppdateringer av ePrivacy, NUS2-direktivet, AI- og datalovene og andre som har kommet i rask rekkefølge. For organisasjoner som allerede investerer tungt i samsvarsrammeverk som CMMC, har utsiktene til å legge til enda et sett med krav vært et frustrerende arbeidslag.

Den digitale omnibusen, som formelt ble foreslått av EU-kommisjonen i november 2025 og nå behandles i Europaparlamentet og Rådet, er et omfattende forsøk på å samkjøre overlappende definisjoner, konsolidere rapporteringsforpliktelser og bringe sammenheng i det Kommisjonen selv har erkjent som regelverksmessig «rot».

For selskaper som allerede har bygget samsvarsarkitekturer, kan denne omnibusen bidra til å gjøre kryssregeloverholdelse mye enklere.

Hva er den digitale omnibusen for 2026?

Innholdsfortegnelse

Hva er den digitale omnibusen for 2026?
Hva er inkludert i den digitale omnibusen for 2026?
Omdefinering av personopplysninger for AI
Treningsdata og «legitim interesse»
- Forsinkelse i høyrisikoforpliktelser
Sammenligning av før- og etteromnibusforskrifter
Stol på at Lazarus Alliance holder seg i forkant av GDPR og EU-forskrifter

Ocuco EUs digitale omnibus er en lovpakke introdusert av EU-kommisjonen 19. november 2025, med sikte på å forenkle og effektivisere Europas voksende samling av digitale regelverk. Her er hva den handler om:

Kommisjonen fremstiller det som et middel for å redusere dobbeltarbeid og regulatorisk friksjon, samtidig som de eksisterende rettighets- og håndhevingsrammeverkene formelt opprettholdes. I praksis foreslår pakken tekniske endringer på tvers av et bredt sett med digitale lover. Den består av to hoveddeler: én del som dekker det bredere rammeverket for digital databehandling (inkludert endringer i GDPR og e-personvern), og en annen del som fokuserer på KI-loven og relaterte tidslinjer, samsvar for små og mellomstore bedrifter og KI-kontorets fullmakter.

Hva er inkludert i den digitale omnibusen for 2026?

Det er flere områder der denne omnibusen endrer hvordan organisasjoner samhandler med regelverk i EU:

Ett enkelt kontaktpunkt for henvendelser

Selskaper utenfor EU har lenge slitt med den fragmenterte naturen til EUs regelverk: ulike direktiver for ulike myndigheter, som alle fungerer gjennom ulike portaler. Den digitale omnibusen introduserer en Enkelt inngangspunkt som en samlet kanal for regulatoriske henvendelser og hendelsesvarsler. I stedet for å koordinere med databeskyttelsesmyndighetene, Håndteringsteam for cybersikkerhetshendelser (CSIRT-er), og sektorspesifikke regulatorer, vil organisasjoner kunne samhandle gjennom et enkelt, konsolidert grensesnitt.

Mandatet for KI-leseferdigheter

Under strømmen AI-loven, leverandører og leverandører av AI-systemer må sørge for at de ansatte har et tilstrekkelig nivå av KI-kompetanse som definert i loven. Den digitale omnibusen foreslår å omformulere dette til en forpliktelse for Kommisjonen og medlemslandene til å oppmuntre til slike tiltak i stedet for å pålegge dem direkte.

Bedriftsledere er fortsatt juridisk ansvarlige for AI-verktøyene teamene deres bruker. Risikoen for skygge-AI er reell, økende og har konsekvenser for håndheving, og ledere i en gitt organisasjon er ikke fritatt fra å styre sine AI-systemer og beskytte data regulert under GDPR og relaterte forskrifter.

Slutten på 72-timers varslingskravet

I henhold til gjeldende GDPR, organisasjonene har 72 timer på seg til å varsle myndighetene av et brudd på personopplysninger. Den digitale omnibusen foreslår å utvide dette vinduet til 96 timer for hendelser med høy risiko.

Denne utvidelsen gir tekniske team tid til å fullføre rettsmedisinsk triage før den lovbestemte tiden utløper. Den reduserer hyppigheten av for tidlige eller ufullstendige varsler og justerer terskelen for varsling av brudd for tilsynsmyndigheter med den som allerede brukes til å varsle berørte personer.

Sentralisering av rapportering

Det sentrale kontaktpunktet er et massivt skifte i hvordan organisasjoner samhandler med regulatorer. I tillegg til dette slår den foreslåtte omnibusen også fast at én enkelt hendelsesrapport vil oppfylle varslingskravene i henhold til GDPR, 2 NOK (nettsikkerhet), og DORA (finansielle tjenester). Portalen, som skal opprettes i henhold til NIS2-direktivet og drives av ENISA, vil automatisk sende varsler til de aktuelle myndighetene.

For SOC-er og hendelsesresponsteam eliminerer dette behovet for å utarbeide og sende inn forskjellige rapporter til forskjellige regulatorer.

En arbeidsflyt med én innsending erstatter flere parallelle varslingsprosesser i henhold til GDPR, NIS2, DORA og sektorspesifikke forskrifter.
Automatisert ruting sikrer at de rette myndighetene mottar riktig informasjon uten manuell koordinering.
Harmoniserte innholdskrav reduserer risikoen for uoverensstemmelser mellom rapporter som sendes inn til ulike regulatorer.
Enhetlige tidslinjer eliminerer behovet for å spore og administrere forskjellige varslingsfrister for samme hendelse.
Reduserte koordineringskostnader frigjør hendelsesteam til å fokusere på inneslutning og utbedring i stedet for papirarbeid.

Omdefinering av personopplysninger for AI

Den digitale omnibusen introduserer en ny teknisk standard for pseudonymisering som fundamentalt kan endre hvordan organisasjoner håndterer dataklassifisering for AI-utvikling. I henhold til det foreslåtte rammeverket, hvis en organisasjon kan demonstrere at reidentifisering av pseudonymiserte data er «praktisk umulig» med dagens teknologi, kan disse dataene falle utenfor GDPRs virkeområde for visse formål, inkludert opplæring av AI-modeller.

Dette er et av de mest politisk sensitive forslagene i hele pakken. European Data Protection Board (EDPB) og European Data Protection Supervisor (EDPS) har begge kritisert utformingen og advart om at den risikerer å snevre inn begrepet personopplysninger betydelig. Rådets kompromisstekster antyder at denne bestemmelsen kan bli vesentlig revidert eller fjernet helt.

Opplæringsdata og «legitim interesse»

Utvikling av AI-modeller har vært en omstridt diskusjon under GDPR. Omnibus-rapporten avgjør denne samtalen ved å slå fast at utvikling og drift av AI-modeller er legitime interesser under GDPR. Dette gir den juridiske klarheten som organisasjoner har ønsket seg siden debatten om AI-opplæringsdata intensiverte seg i 2023 og 2024.

En ny artikkel (88c) i GDPR ville bekrefte at behandling av personopplysninger for AI-utvikling generelt kan foregå på grunnlag av legitim interesse, der det er hensiktsmessig. I tillegg ville et nytt vilkår i henhold til artikkel 9 tillate begrenset behandling av gjenværende spesialkategoridata (som helse- eller biometriske data) under AI-utvikling, forutsatt at organisasjonen implementerer passende tiltak for å forhindre at slike data inkluderes.

Organisasjoner som er avhengige av rammeverket for legitim interesse for AI-opplæring må implementere robuste tekniske og organisatoriske tiltak. Kravene er vesentlige:

Forsterkede transparensforpliktelser som tydelig kommuniserer til de registrerte hvordan dataene deres bidrar til modelltrening, inkludert de spesifikke formålene, datakategoriene som brukes og de tiltenkte resultatene av AI-systemet.
Funksjonelle «rett til å protestere»-mekanismer som opererer på datasettnivå som en teknisk implementert funksjon som kan identifisere, isolere og fjerne en persons data fra treningsdatasett på forespørsel.
Dokumenterte avveiningstester som veier organisasjonens legitime interesse mot de registrertes rettigheter og friheter, med særlig vekt på omfanget av databehandlingen og sensitiviteten til de involverte dataene.
Løpende overvåkings- og revisjonsprosesser som sikrer at samsvar opprettholdes gjennom hele modellens livssyklus, ikke bare ved den første datainnsamlingen.

Forsinkelse i høyrisikoforpliktelser

AI-loven har spesielle klassifiseringer for høyrisikosystemer, som inkluderer et sett med regler som etter planen skal tre i kraft i august 2027. Organisasjoner som forberedte seg på AI-lovens forpliktelser for høyrisikosystemer fikk en uventet utsettelse. Digital Omnibus introduserer en "Stopp klokken" mekanisme: en betinget avdragsfri periode som utsetter anvendelsen av regler for høyrisiko-KI inntil Kommisjonen bekrefter at viktige implementeringstiltak, som harmoniserte standarder og veiledning, er tilgjengelige.

Sammenligning av før- og etteromnibusforskrifter

Trekk	Pre-en	2026 Omnibus
Bruddvindu	72 Timer	96 Timer
Rapportering	Flere portaler (DPA, CSIRT, osv.)	Enkelt inngangspunkt
Bruk av AI-data	Juridisk gråsone	Legitim interesse anerkjent
Datadefinisjon	Bred og ofte tvetydig	Rettspraksis i samsvar
SMB-støtte	One size fits all	Proporsjonale unntak for SMC-er
Cookie Samtykke	Fragmenterte nasjonale regler under ePrivacy	Signaler på nettlesernivå og forenklede samtykkeflyter under GDPR
Tidslinjer for KI-loven	Fast, frist august 2026	Betinget avdragsfri periode frem til slutten av 2027/2028

Forslagene i den digitale omnibusen kan endres etter hvert som de behandles i Europaparlamentet og Rådet. Forhandlingene forventes å bli kontroversielle, særlig om bestemmelser som berører grunnleggende rettigheter og omfanget av forenklingstiltak. Men retningen ser ut til å være betydelig for hvordan personvern og KI håndteres i EU, og KI-fremadrettede selskaper i USA bør følge med.

For å lære mer om hvordan Lazarus Alliance kan hjelpe, kontakt oss.

AI AI-loven personvern GDPR

Lasarus-alliansen

nettside: