Przez większą część dekady prowadzenie działalności w ramach unijnego prawa cyfrowego stanowiło wyzwanie, biorąc pod uwagę zmiany w rozporządzeniu DDPR, ePrivacy, dyrektywie NUS2, ustawach o sztucznej inteligencji i danych oraz innych aktach prawnych, które pojawiały się szybko. Dla organizacji, które już inwestują znaczne środki w ramy zgodności, takie jak CMMC, perspektywa nakładania kolejnego zestawu wymagań była frustrującym wyzwaniem.

Omnibus cyfrowy, formalnie zaproponowany przez Komisję Europejską w listopadzie 2025 r. i obecnie procedowany przez Parlament Europejski i Radę, to szeroko zakrojone działanie mające na celu ujednolicenie nakładających się definicji, konsolidację obowiązków sprawozdawczych i uspójnienie tego, co sama Komisja uznała za „bałagan” regulacyjny. 

W przypadku firm, które już zbudowały architekturę zgodności, ten Omnibus może sprawić, że zachowanie zgodności z przepisami międzyregułowymi stanie się o wiele łatwiejsze. 

Czym jest Digital Omnibus 2026?

Unijny omnibus cyfrowy to pakiet legislacyjny wprowadzony przez Komisję Europejską 19 listopada 2025 r., mający na celu uproszczenie i usprawnienie rosnącej liczby przepisów cyfrowych w Europie. Oto jego treść:

Komisja przedstawia to jako sposób na ograniczenie powielania przepisów i tarć regulacyjnych, przy jednoczesnym formalnym zachowaniu istniejących praw i ram egzekwowania. W praktyce pakiet proponuje zmiany techniczne w szerokim zakresie przepisów cyfrowych. Składa się z dwóch głównych części: jedna obejmuje szersze ramy prawne dotyczące cyfryzacji i danych (w tym zmiany w RODO i ePrivacy), a druga koncentruje się na ustawie o sztucznej inteligencji i powiązanych z nią harmonogramach, zgodności dla MŚP oraz uprawnieniach Urzędu ds. Sztucznej Inteligencji.

Co obejmuje Digital Omnibus 2026?

Istnieje kilka obszarów, w których niniejsze rozporządzenie zmienia sposób, w jaki organizacje wchodzą w interakcje z przepisami UE:

Pojedynczy punkt wejścia do zapytań

Przedsiębiorstwa spoza UE od dawna zmagają się z rozdrobnieniem unijnych regulacji: różnymi dyrektywami dla różnych organów, działającymi za pośrednictwem różnych portali. Cyfrowy omnibus wprowadza Pojedynczy punkt wejścia jako ujednolicony kanał do zapytań regulacyjnych i powiadomień o incydentach. Zamiast koordynować działania z organami ochrony danych, Zespoły reagowania na incydenty cyberbezpieczeństwa (CSIRT)oraz regulatorów sektorowych, organizacje będą mogły komunikować się za pośrednictwem pojedynczego, skonsolidowanego interfejsu.

Mandat za umiejętność posługiwania się sztuczną inteligencją

Pod prąd Ustawa o sztucznej inteligencji, dostawców i sprzedawców Systemy SI muszą zapewnić swoim pracownikom odpowiedni poziom znajomości sztucznej inteligencji, zgodnie z definicją prawną. W dokumencie Digital Omnibus proponuje się przekształcenie tego w obowiązek Komisji i państw członkowskich, aby zachęcały do ​​takich działań, zamiast nakładać na nie obowiązek.

Liderzy firm ponoszą prawną odpowiedzialność za narzędzia AI wdrażane przez ich zespoły. Ryzyko związane z ukrytą sztuczną inteligencją (tzw. shadow AI) jest realne, rośnie i niesie ze sobą konsekwencje prawne, a liderzy w danej organizacji nie są zwolnieni z obowiązku zarządzania systemami AI i ochrony danych regulowanych przez RODO i powiązane przepisy.

Koniec wymogu powiadomienia w ciągu 72 godzin

Zgodnie z obowiązującym rozporządzeniem RODO, organizacje mają 72 godziny na powiadomienie władz naruszenia danych osobowych. Digital Omnibus proponuje wydłużenie tego okresu do 96 godzin w przypadku incydentów wysokiego ryzyka.

To rozszerzenie daje zespołom technicznym czas na przeprowadzenie wstępnej selekcji kryminalistycznej przed upływem terminu prawnego. Zmniejsza ono częstotliwość przedwczesnych lub niekompletnych powiadomień i dostosowuje próg powiadamiania o naruszeniach dla organów nadzorczych do progu obowiązującego w przypadku powiadamiania osób poszkodowanych.

Centralizacja raportowania

Pojedynczy Punkt Wejścia to ogromna zmiana w sposobie interakcji organizacji z organami regulacyjnymi. Co więcej, proponowany Omnibus stanowi również, że pojedyncze zgłoszenie incydentu spełniałoby wymogi dotyczące powiadamiania określone w RODO, 2 XNUMX NIS (cyberbezpieczeństwo) i DORA (usługi finansowe). Portal, który ma zostać utworzony na mocy dyrektywy NIS2 i będzie obsługiwany przez ENISA, automatycznie przekaże powiadomienia odpowiednim władzom.

Dzięki temu centra operacyjne i zespoły reagowania na incydenty nie muszą już przygotowywać i przesyłać różnych raportów różnym organom regulacyjnym. 

• Pojedynczy przepływ pracy zastępuje wiele równoległych procesów powiadomień w ramach RODO, NIS2, DORA i przepisów sektorowych.
• Automatyczne kierowanie ruchem pozwala upewnić się, że właściwe organy otrzymają właściwe informacje, bez konieczności ręcznej koordynacji.
• Zharmonizowane wymagania dotyczące treści zmniejszają ryzyko niespójności między raportami składanymi różnym organom regulacyjnym.
• Ujednolicone harmonogramy eliminują konieczność śledzenia i zarządzania różnymi terminami powiadomień dla tego samego incydentu.
• Mniejsze obciążenie koordynacją pozwala zespołom reagowania na incydenty skupić się na ograniczaniu skutków i usuwaniu skutków, a nie na papierkowej robocie.

Nowa definicja danych osobowych dla sztucznej inteligencji

Digital Omnibus wprowadza nowy standard techniczny dotyczący pseudonimizacji, który może fundamentalnie zmienić podejście organizacji do klasyfikacji danych na potrzeby rozwoju sztucznej inteligencji. Zgodnie z proponowanymi ramami, jeśli organizacja może wykazać, że ponowna identyfikacja spseudonimizowanych danych jest „praktycznie niewykonalna” przy użyciu obecnej technologii, dane te mogą nie podlegać przepisom RODO w określonych celach, w tym w zakresie szkolenia modeli sztucznej inteligencji.

To jedna z najbardziej wrażliwych politycznie propozycji w całym pakiecie. Europejska Rada Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD) Obaj skrytykowali ten projekt, ostrzegając, że grozi on znacznym zawężeniem pojęcia danych osobowych. Kompromisowe teksty Rady sugerują, że przepis ten może zostać znacząco zmieniony lub całkowicie usunięty.

Dane szkoleniowe i „uzasadniony interes”

Rozwój modeli AI był przedmiotem kontrowersyjnej dyskusji w kontekście RODO. Dokument Omnibus rozstrzyga tę dyskusję, stwierdzając, że rozwój i eksploatacja modeli AI stanowią uzasadnione interesy w rozumieniu RODO. Zapewnia to jasność prawną, której organizacje poszukiwały od czasu nasilenia się debaty na temat danych szkoleniowych AI w latach 2023 i 2024.

Nowy artykuł (88c) W RODO potwierdzono by, że przetwarzanie danych osobowych w celu rozwoju sztucznej inteligencji (AI) może zasadniczo odbywać się w oparciu o uzasadniony interes, w stosownych przypadkach. Ponadto, nowy warunek określony w artykule 9 zezwalałby na ograniczone przetwarzanie resztkowych danych kategorii szczególnych (takich jak dane dotyczące zdrowia lub dane biometryczne) podczas rozwoju sztucznej inteligencji, pod warunkiem, że organizacja wdroży odpowiednie środki zapobiegające uwzględnieniu takich danych.

Organizacje, które opierają się na ramach uzasadnionego interesu w zakresie szkoleń z zakresu sztucznej inteligencji, muszą wdrożyć solidne środki techniczne i organizacyjne. Wymagania są zasadnicze:

• Wzmocnione obowiązki w zakresie przejrzystości, które jasno komunikują osobom, których dane dotyczą, w jaki sposób ich dane przyczyniają się do szkolenia modelu, w tym konkretne cele, kategorie wykorzystywanych danych i zamierzone rezultaty systemu AI
• Funkcjonalne mechanizmy „prawa do sprzeciwu”, które działają na poziomie zbioru danych jako technicznie wdrożona możliwość, która może identyfikować, izolować i usuwać dane danej osoby ze zbiorów danych szkoleniowych na żądanie
• Udokumentowane testy równowagi, które ważą uzasadniony interes organizacji w stosunku do praw i wolności osób, których dane dotyczą, ze szczególnym uwzględnieniem skali przetwarzania danych i wrażliwości danych, których to dotyczy
• Ciągłe procesy monitorowania i audytu, które zapewniają zachowanie zgodności przez cały cykl życia modelu, a nie tylko w momencie początkowego gromadzenia danych

Opóźnienie w zobowiązaniach wysokiego ryzyka

Ustawa o sztucznej inteligencji (AI Act) wprowadza specjalne klasyfikacje systemów wysokiego ryzyka, które obejmują zestaw przepisów, które mają wejść w życie w sierpniu 2027 r. Organizacje przygotowujące się do spełnienia obowiązków związanych z systemami wysokiego ryzyka wynikających z ustawy o AI otrzymały nieoczekiwane ulgi. Cyfrowy omnibus wprowadza „Zatrzymaj zegar” mechanizm: warunkowy okres karencji, który opóźnia stosowanie przepisów dotyczących sztucznej inteligencji obarczonych wysokim ryzykiem do czasu, aż Komisja potwierdzi dostępność kluczowych środków wdrożeniowych, takich jak zharmonizowane normy i wytyczne. 

Porównanie przepisów przed i po wprowadzeniu omnibusu

Licz na to, że Lazarus Alliance wyprzedzi przepisy RODO i rozporządzenia UE

Propozycje zawarte w dokumencie Digital Omnibus nadal mogą ulec zmianie w trakcie procedowania przez Parlament Europejski i Radę. Oczekuje się, że negocjacje będą kontrowersyjne, zwłaszcza w odniesieniu do przepisów dotyczących praw podstawowych i zakresu środków upraszczających. Wydaje się jednak, że kierunek ten ma istotne znaczenie dla sposobu zarządzania prywatnością danych i sztuczną inteligencją w UE, a firmy z USA, które koncentrują się na sztucznej inteligencji, powinny zwrócić na niego uwagę.

Aby dowiedzieć się więcej o tym, jak Lazarus Alliance może pomóc, skontaktuj się z nami. 

• FedRAMP
• Rządowy RAMP
• NIST 800-53
• DFARS NIST 800-171
• CMMC
• SOC 1 i SOC 2
• ENS
• C5
• HIPAA, HITECH i sensowne użytkowanie
• PCI DSS RoC i SAQ
• IRS 1075 i 4812
• CJIS
• LA DMF
• ISO 27001, ISO 27002, ISO 27005, ISO 27017, ISO 27018, ISO 27701, ISO 22301, ISO 17020, ISO 17021, ISO 17025, ISO 17065, ISO 9001 i ISO 90003
• Wspólne kryteria NIAP – Lazarus Alliance Laboratories
• I dziesiątki innych!