Аудит і відповідність Awareness

Цифровий омнібус 2026 року

by Альянс Лазаря 0 Коментар
Синій абстрактний замок, що лежить на абстрактному малюнку друкованої плати, зі світлом, що підключає замок до миші в руці людини.

Протягом більшої частини десятиліття ведення бізнесу відповідно до цифрового законодавства ЄС було складним завданням, зокрема, швидко один за одним з'являлися DDPR, оновлення ePrivacy, Директива NUS2, Закони про штучний інтелект та дані, а також інші. Для організацій, які вже значно інвестують у системи відповідності, такі як CMMC, перспектива додавання ще одного набору вимог була виснажливим шаром роботи.

Цифровий омнібус, офіційно запропонований Європейською комісією у листопаді 2025 року та зараз проходить шлях до розгляду в Європейському парламенті та Раді, є масштабною спробою узгодити визначення, що перетинаються, консолідувати зобов'язання щодо звітності та забезпечити узгодженість у тому, що сама Комісія визнала регуляторним «безладом». 

Для компаній, які вже створили архітектури відповідності, цей Омнібус може значно спростити дотримання перехресного регулювання. 

 

Що таке цифровий омнібус 2026 року?

Зміст

Команда Цифровий омнібус ЄС – це законодавчий пакет, представлений Європейською Комісією 19 листопада 2025 року, спрямований на спрощення та впорядкування зростаючого набору цифрових норм у Європі. Ось що він собою являє:

Комісія розглядає це як засіб зменшення дублювання та регуляторних суперечностей, водночас формально зберігаючи існуючі права та системи забезпечення правозастосування. На практиці пакет пропонує технічні зміни до широкого спектру цифрових законів. Він складається з двох основних частин: одна охоплює ширшу цифрову та інформаційну рамкову систему (включаючи зміни GDPR та електронної конфіденційності), а друга зосереджена на Законі про штучний інтелект та пов'язаних з ним термінах, дотриманні вимог для малих та середніх підприємств, а також повноваженнях Управління з питань штучного інтелекту.

 

Що входить до Цифрового Омнібусу 2026 року?

Існує кілька сфер, де цей Омнібус змінює взаємодію організацій з нормативними актами в ЄС:

 

Єдина точка входу для запитів

Компанії, що не входять до ЄС, вже давно стикаються з фрагментарним характером регуляторної взаємодії ЄС: різні директиви для різних органів влади, всі вони працюють через різні портали. Цифровий омнібус запроваджує Одиночна точка входу як єдиний канал для запитів регуляторних органів та повідомлень про інциденти. Замість координації з органами захисту даних, Команди реагування на інциденти кібербезпеки (CSIRT), а також з галузевими регуляторами, організації зможуть взаємодіяти через єдиний консолідований інтерфейс.

 

Мандат грамотності в галузі штучного інтелекту

За нинішніх Закон про ШІ, постачальники та продавці Системи ШІ повинні забезпечити достатній рівень грамотності своїх співробітників у сфері штучного інтелекту, як це визначено законом. Цифровий омнібус пропонує переформулювати це як зобов’язання Комісії та держав-членів заохочувати такі заходи, а не вимагати їх безпосередньо.

Бізнес-лідери несуть юридичну відповідальність за інструменти штучного інтелекту, які використовують їхні команди. Ризик тіньового штучного інтелекту є реальним, зростає та тягне за собою правозастосовні наслідки, а керівники в певній організації не звільняються від відповідальності за управління своїми системами штучного інтелекту та захист даних, що регулюються GDPR та відповідними нормативними актами.

 

Кінець вимоги щодо 72-годинного повідомлення

Згідно з чинним GDPR, організації мають 72 години, щоб повідомити владу порушення захисту персональних даних. Цифровий омнібус пропонує продовжити цей період до 96 годин для інцидентів високого ризику.

Це розширення дає технічним командам час для завершення судово-медичного сортування до закінчення встановленого законом терміну. ​​Воно зменшує частоту передчасних або неповних сповіщень та узгоджує поріг сповіщення про порушення для наглядових органів з тим, який вже використовується для сповіщення постраждалих осіб.

 

Централізація звітності

Єдина точка входу – це масштабна зміна у способі взаємодії організацій з регуляторами. Крім того, запропонований Омнібус також зазначає, що єдине повідомлення про інцидент задовольнятиме вимоги щодо повідомлення згідно з GDPR, NIS2 (кібербезпека) та ДОРА (фінансові послуги). Портал, який буде створено відповідно до Директиви NIS2 та експлуатуватиметься ENISA, автоматично перенаправлятиме сповіщення до відповідних органів влади.

Для SOC та груп реагування на інциденти це усуває необхідність готувати та подавати різні звіти різним регуляторним органам. 

  • Робочий процес з одним поданням замінює кілька паралельних процесів повідомлення згідно з GDPR, NIS2, DORA та галузевими нормативними актами.
  • Автоматизована маршрутизація гарантує, що відповідні органи влади отримують потрібну інформацію без ручного координування.
  • Гармонізовані вимоги до змісту зменшують ризик невідповідностей між звітами, поданими до різних регуляторних органів.
  • Уніфіковані терміни позбавляють необхідності відстежувати та керувати різними термінами сповіщень для одного й того ж інциденту.
  • Зменшення витрат на координацію дозволяє командам реагування на інциденти зосередитися на локалізації та усуненні наслідків, а не на паперовій роботі.

 

Синій абстрактний замок, що лежить на абстрактному малюнку друкованої плати, зі світлом, що підключає замок до миші в руці людини.

Переосмислення персональних даних для штучного інтелекту

Цифровий омнібус запроваджує новий технічний стандарт псевдонімізації, який може докорінно змінити підхід організацій до класифікації даних для розробки штучного інтелекту. Згідно з запропонованою структурою, якщо організація може продемонструвати, що повторна ідентифікація псевдонімізованих даних «практично неможлива» за допомогою сучасних технологій, ці дані можуть не підпадати під дію GDPR для певних цілей, зокрема для навчання моделей штучного інтелекту.

Це одна з найбільш політично чутливих пропозицій з усього пакету. Європейська комісія захисту даних (EDPB) і Європейський інспектор із захисту даних (EDPS) обидва розкритикували це формулювання, попереджаючи, що воно ризикує суттєво звузити поняття персональних даних. Компромісні тексти Ради передбачають, що це положення може бути суттєво переглянуте або повністю вилучене.

 

Дані навчання та «законний інтерес»

Розробка моделей ШІ була предметом суперечливої ​​дискусії згідно з GDPR. Омнібус вирішує цю дискусію, стверджуючи, що розробка та експлуатація моделей ШІ є законними інтересами згідно з GDPR. Це забезпечує правову ясність, якої організації прагнули з моменту загострення дискусії щодо даних для навчання ШІ у 2023 та 2024 роках.

Нова стаття (88c) У GDPR підтверджується, що обробка персональних даних для розробки ШІ, як правило, може здійснюватися на підставі законних інтересів, де це доречно. Крім того, нова умова у статті 9 дозволить обмежену обробку залишкових даних спеціальної категорії (таких як дані про здоров'я або біометричні дані) під час розробки ШІ за умови, що організація вживає відповідних заходів для запобігання включенню таких даних.

Організації, що покладаються на систему законних інтересів для навчання ШІ, повинні впроваджувати надійні технічні та організаційні заходи. Вимоги є суттєвими:

  • Посилені зобов'язання щодо прозорості, які чітко повідомляють суб'єктам даних, як їхні дані сприяють навчанню моделі, включаючи конкретні цілі, категорії використовуваних даних та очікувані результати системи штучного інтелекту.
  • Функціональні механізми «права на заперечення», що працюють на рівні набору даних як технічно реалізована можливість ідентифікувати, ізолювати та видаляти дані особи з навчальних наборів даних на запит.
  • Документовані тести балансування, які зважують законні інтереси організації з правами та свободами суб'єктів даних, приділяючи особливу увагу масштабу обробки даних та чутливості даних, що беруть участь
  • Постійні процеси моніторингу та аудиту, що забезпечують дотримання вимог протягом усього життєвого циклу моделі, а не лише на момент початкового збору даних

 

Затримка виконання зобов'язань з високим рівнем ризику

Закон про штучний інтелект має спеціальні класифікації для систем високого ризику, які включають набір правил, що набудуть чинності у серпні 2027 року. Організації, які готуються до виконання зобов'язань щодо систем високого ризику, передбачених Законом про штучний інтелект, отримали неочікуване послаблення. Цифровий омнібус запроваджує «Зупини годинник» механізм: умовний пільговий період, який відкладає застосування правил щодо високоризикового штучного інтелекту, доки Комісія не підтвердить наявність ключових заходів з імплементації, таких як гармонізовані стандарти та рекомендації. 

 

Порівняння нормативних актів до та після введення омнібусу

особливість До 2026 року  Омнібус 2026 року 
Вікно порушення 72 годин  96 годин 
Звітність Кілька порталів (DPA, CSIRT тощо) Одиночна точка входу
Використання даних ШІ Юридична сіра зона Визнання законного інтересу
Визначення даних Широкий та часто неоднозначний Узгоджена судова практика 
Підтримка МСП Один розмір підходить всім Пропорційні звільнення для країн малого та середнього бізнесу
Згода куки Фрагментовані національні правила щодо електронної конфіденційності Сигнали на рівні браузера та спрощені процеси отримання згоди згідно з GDPR
Хронології Закону про штучний інтелект Фіксований термін – серпень 2026 року Умовний пільговий період до кінця 2027/2028 років

 

Розраховуйте на Lazarus Alliance, щоб випередити GDPR та регламенти ЄС

Пропозиції в Цифровому Омнібусі залишаються предметом змін, оскільки вони проходять через Європейський парламент і Раду. Очікується, що переговори будуть суперечливими, особливо щодо положень, що стосуються основних прав, та обсягу заходів зі спрощення. Але напрямок, здається, має важливе значення для того, як управляються конфіденційність даних та штучний інтелект в ЄС, і компаніям, що розвивають штучний інтелект у США, варто звернути на це увагу.

Щоб дізнатися більше про те, як Lazarus Alliance може допомогти, Зв'яжіться з нами

Завантажте брошуру нашої компанії.

Альянс Лазаря

Веб-сайт: