EU on ottanut käyttöön uuden digitaalisen omnibus-lain, jolla pyritään virtaviivaistamaan tietosuojaa, kyberturvallisuutta ja tekoälyä koskevaa sääntelyä. Miten organisaatiot voivat varmistaa, että niiden omat vaatimustenmukaisuusstrategiat ovat mukautuvia ja yhtenäisiä, jotta ne pysyvät kestävinä digitaalisen sääntelyn kehittyessä?
Kate O'Flaherty
Lukuisten digitaalisten lakien läpikäyminen useilla eri lainkäyttöalueilla on miinakenttä useimmille organisaatioille. Ja jatkuva kamppailu niiden kaikkien noudattamiseksi erikseen ei ole järkevää, kun niin monet säännösten vaatimukset ovat päällekkäisiä.
Tämän mielessä EU on ehdottanut ns. Digitaalinen kokonaislaki suunniteltu virtaviivaistamaan ja yhdenmukaistamaan tietosuojaa, kyberturvallisuutta ja tekoälyä koskevaa sääntelyä.
Lakiesitys julkistettiin ensimmäisen kerran marraskuussa 2025, ja se on parhaillaan kuulemisvaiheessa, ja sen on tarkoitus tulla voimaan vuoden 2027 alussa. Sen odotetaan tuovan jopa 5 miljardin euron säästöt vuoteen 2029 mennessä.
Digitaalisen sääntelyn, joka kattaa tietosuojan, kyberturvallisuuden ja tekoälyn, lähentyessä toisiaan se muokkaa odotuksia hallinto, vastuuvelvollisuus ja riskienhallinta. Organisaatiot tarvitsevat nyt mukautuvia ja yhtenäisiä vaatimustenmukaisuusstrategioita pysyäkseen kimmoisa digitaalisen sääntelyn kehittyessä.
Täydellinen hetki laskulle
Lakiesitys on tullut täydelliseen aikaan. Ajan myötä digitaaliseen turvallisuuteen, tietojen eheyteen ja yksityisyyteen liittyvien uusien sääntöjen kasautuminen on lisännyt monimutkaisuutta ja nostanut EU:ssa toimivien organisaatioiden vaatimustenmukaisuuskustannuksia, sanoo Ben Lipczynski, Originan tietoturvapalveluiden johtaja.
Säännökset, kuten EU: n yleinen tietosuojadirektiivi (GDPR), Verkko- ja tietojärjestelmät 2 (NIS2) Cyber Resilience Act ja EU:n tekoälylaki on otettu käyttöön selkein tavoittein.
Silti niiden päällekkäisyys on "luonut tarpeetonta hallinnollista taakkaa ja vähentänyt kilpailukykyä", Lipczynski sanoo. Ehdotetulla digitaalisella kokonaislakiehdotuksella EU on tunnustanut, että "pirstaloitunut ja päällekkäinen digitaalinen sääntely" heikentää sisämarkkinoiden tehokkuutta, hän kertoo. IO.
Digitaalinen omnibus ei ole vain yksi laki lisää. Sen tulisi nähdä EU:n myöntävän, että vanha malli, jossa useita säännöksiä kohdeltiin erillisinä siiloina, ei enää toimi, sanoo Tracey Hannan-Jones, UBDS Digitalin tietoturva-, GRC- ja ryhmätietovastaava. ”Tämä on EU:n ensimmäinen yritys yhtenäistää digitaalinen sääntökirja osittain optimoimalla sitä datan, tekoälyn ja kyberturvallisuuden osalta muuttamalla olemassa olevia välineitä sen sijaan, että kerrostaisimme uusia päälle.”
Todellisuudessa tämä tarkoittaa "horisontaalista siivousta". Hannan-Jonesin mukaan se muuttaa GDPR:ää, NIS2:ta, EU:n tekoälylakia, tiedonhallintalakia ja muita "yhdellä koordinoidulla paketilla".
Laki päällekkäisyydet
Nykyiset digitaalilainsäädännöt ovat päällekkäisiä useilla eri aloilla. Esimerkiksi NIS2, kyberturvallisuuslaki ja EU:n tekoälylaki ovat päällekkäisiä tietoturvaloukkausten raportointi- ja sietokykyvaatimusten osalta. Näiden päällekkäisyyksien odotetaan ratkeavan ehdotetun keskitetyn asiointipisteen avulla, jonka tavoitteena on yksinkertaistaa ja yhdistää raportointivelvoitteita eri puitteissa, sanoo Originan Lipczynski.
Tämä on merkittävä siirtymä pois usein erillisistä sääntelykehyksistä, jotka voivat johtaa "lisääntyneeseen monimutkaisuuteen ja kilpaileviin vaatimuksiin", Lipczynski sanoo. Tällä hetkellä organisaatioiden on ehkä raportoitava kybertapahtumista useille itsenäisille virastoille, joista jokainen priorisoi eri tietojoukkoja tapahtumaraportissa. "Tämä voi aiheuttaa merkittävää hallinnollista taakkaa kriittisenä aikana."
Samoin lukuisten säännösten muutosten seuranta ja niihin reagoiminen – usein riippumattomien ja hajautettujen kanavien kautta viestittyinä – lisää monimutkaisuutta. ”Tämä pirstaloituminen vaikeuttaa reagointisuunnitelmien ja hallintorakenteiden yhdenmukaistamista, mikä lisää sekä vaatimustenmukaisuuteen liittyvää työtä että operatiivista riskiä”, Lipczynski sanoo.
Yhdenmukaistaminen voisi antaa organisaatioille mahdollisuuden virtaviivaistaa ja standardoida vaatimustenmukaisuuskehyksiään sekä tehostaa toimintaansa – ja siten saavuttaa säästöjä, Lipczynski sanoo. ”Resursseja voidaan sitten ohjata toimiin, jotka voivat edelleen kehittää yrityksen kyvykkyyksiä ja kilpailukykyä.”
Organisaatioiden tulisi kuitenkin huomata, että vaikka sääntelyn lähentyminen luo mahdollisuuksia, se voi myös aiheuttaa haasteita, sanoo David Dumont, Hunton Andrews Kurthin osakas. ”Yhdenmukaiset ja selkeät digitaaliset säännöt saattavat edellyttää organisaatioilta kattavampaa ja johdonmukaisempaa lähestymistapaa datakäytäntöihinsä ja niihin liittyviin velvoitteisiinsa, jolloin nykyisten säännösten monimutkaisuuden ja epäjohdonmukaisuuksien taakse piiloutumiselle jää vähemmän tilaa.”
Yhdistetty digitaalinen riskienhallinta käytännössä
Digital Omnibus Bill on selkeä merkki siitä, että yritysten on ravisteltava pois erillisiä lähestymistapoja tietosuojaan, kyberturvallisuuteen ja tekoälyn vaatimustenmukaisuuteen.
Yritysten tulisi pyrkiä ”yhteensopivaan” digitaaliseen riskienhallintaan, mikä tarkoittaa, että ”sisäisten monialaisten sidosryhmien on työskenneltävä yhdessä ja puhuttava samaa kieltä”, sanoo Hunton Andrews Kurthin Dumont.
Tämän saavuttamiseksi tietosuoja-, laki- ja vaatimustenmukaisuustiimien tulisi pyrkiä kääntämään lakisääteiset vaatimukset teknisiksi termeiksi. ”Tämä auttaa IT- ja tiedonhallintatiimejä tunnistamaan organisaatiossa olemassa olevat asiaankuuluvat toimenpiteet ja hyödyntämään niitä täysimääräisesti uusien digitaalisten lakien noudattamiseksi”, hän neuvoo.
Käytännössä yhdistetty digitaalinen riskienhallinta tarkoittaa yhden hallintokerroksen luomista, jonka kautta kaikki arkaluontoinen tietoliikenne – olipa kyseessä sitten sähköposti, tiedostojen jakaminen, hallittu tiedostonsiirto tai verkkolomakkeet – reititetään, valvotaan ja hallitaan yhden yhtenäisen käytäntöjoukon mukaisesti, sanoo Dario Perfettibile, Kiteworksin EMEA-alueen GTM- ja asiakastoimintojen johtaja. ”Se tarkoittaa, että samat salausstandardit, käyttöoikeuksien hallinta ja tarkastuslokit, jotka täyttävät GDPR:n tietosuojavaatimukset, toimivat myös todisteena NIS2-tapahtumien raportoinnissa ja Cyber Resilience Actin haavoittuvuuksien hallinnassa.”
Se tarkoittaa myös sitä, että kun työntekijä jakaa tietoja kolmannen osapuolen tekoälytoimittajan kanssa, tiedonvaihtoon sovelletaan automaattisesti samoja valvontamekanismeja, jotka suojaavat potilastietoja tai taloudellisia tapahtumia. ”Tarvitset täydellisen säilytysketjun, joka on tilintarkastajien nähtävissä kaikissa sovellettavissa puitteissa”, Perfettibile lisää.
Tulevaisuudenkestävä vaatimustenmukaisuus
Kun digitaalinen kokonaislakiesitys on tulossa vuoden kuluttua, on järkevää aloittaa tulevaisuuden vaatimustenmukaisuuden varmistaminen strategia nyt. Yhdenmukaistaminen hallintokehysten ja ISO-standardien, kuten ISO 27001 (tietoturva) ISO 42001 (tekoälyn hallinta) ja ISO 27701 (yksityisyys) on ratkaisevan tärkeää muutosten hallinnassa.
Yhtenäisen vaatimustenmukaisuuden varmistamiseksi jatkossa UBDS Digitalin Hannan-Jones neuvoo yrityksiä yhdistämään hallintoelimiään. Osana tätä hän ehdottaa yhden digitaalisen riskin komitean perustamista, joka vastaa tietosuojastrategiasta (GDPR), kyberturvallisuustilanteesta (NIS2/CRA), tekoälyn hallinnasta (AI Act) ja tuotteiden vaatimustenmukaisuudesta (CRA/toimialakohtaiset säännöt).
Samaan aikaan, jos toimit useilla lainkäyttöalueilla, strateginen siirto on tarkastella kaikkia lakeja ja puitteita ja kartoittaa päällekkäisyydet, ei vain velvoitteita, Hannan-Jones sanoo.
Hän neuvoo rakentamaan matriisin, joka osoittaa, missä sääntely, kuten GDPR, NIS ja AI Act, edellyttävät riskinarviointeja, hallintotehtäviä, teknisiä ja organisatorisia toimenpiteitä, poikkeamaraportointia ja dokumentointia kirjanpitoineen. ”Suunnittele sitten yhteiset prosessit siellä, missä päällekkäisyydet ovat voimakkaimmat.”
Organisaatiot voivat standardoida arviointejaan ja dokumentointiaan kehittämällä yhden keskeisen riskinarviointimenetelmän, joka sisältää moduulit yksityisyyttä, tekoälyä ja turvallisuutta varten. ”Varmista, että yhtenäiset lähtötasot, mukaan lukien käyttöoikeuksien hallinta, lokinkirjoitus ja valvonta, testaus ja salaus, otetaan huomioon”, hän lisää.
Digitaalisten säännösten lähentyessä tämän tulisi kytkeytyä yhtenäiseen tietoturvaloukkauksiin reagointiohjelmaan, joka luokittelee tietoturvaloukkaukset yksityisyyden, turvallisuuden ja tekoälyn osalta. ”Ja tarvittaessa yhdistää ne automaattisesti asiaankuuluviin lakisääteisiin raportointivelvoitteisiin ja aikatauluihin”, Hannan-Jones sanoo. ”Näin voit luoda yhden todistepolun, jota voidaan käyttää uudelleen useiden sääntelyviranomaisten kanssa.”
