Den 19 november 2025 presenterade Europeiska kommissionen ett omfattande digitalt lagstiftningspaket som ska hjälpa företag i hela EU att bli mer innovativa, växa snabbare och minska sina administrativa kostnader. Paketet består av tre delar där huvudnumret är det digitala förenklingspaketet (Digital Omnibus) som åtföljs av den nya strategin för dataunionen (Data Union Strategy) och förslaget om europeiska företagsplånböcker (European Business Wallet). Tillsammans kombinerar paketet regelförenkling, långsiktiga strategier och praktiska verktyg som stärker europeiska företag.
Det övergripande målet är att stärka EU:s konkurrenskraft genom att förenkla regelverk, minska företagens kostnader, bättre anpassa reglerna till den digitala sektorns behov och frigöra utrymme för innovation. Om åtgärderna antas uppskattar Kommissionen att företag genom det digitala förenklingspaketet kan spara upp till 5 miljarder euro i administrativa kostnader fram till 2029 och om alla företag börjar använda europeiska företagsplånböcker förväntas detta kunna generera besparingar på upp till 150 miljarder euro per år.
Det digitala paketet är ett ytterligare steg mot en mer innovativ och konkurrenskraftig union. Mario Draghi framhöll i sin rapport från september 2024 att EU måste öka produktiviteten genom innovation på det digitala området, arbeta för regelförenkling, öka tillgången till högkvalitativa data och förenkla affärsverksamheter genom konkreta tekniska verktyg. Rapporten följdes upp av EU:s konkurrenskraftskompass i januari 2025 (se artikel om konkurrenskraftskompassen i Nyhetsbrev från EU 1/25) där innovation var en av tre utpekade huvudområden och där förenkling och minskad regelbörda angavs som en av möjliggörarna för ett mer konkurrenskraftigt EU. Där etablerades även en tydlig målsättning om att den administrativa bördan ska minskas för mindre företag med upp till 35%, och för övriga företag med upp till 25% fram till 2029.
Ett av de områden som Kommissionen utpekat som strategiska för EU är utvecklandet och användandet av AI. I april 2025 lanserade Kommissionen en handlingsplan som pekade ut den huvudsakliga riktningen mot att göra Europa till en ledande AI-kontinent (AI Continent Action Plan). Handlingsplanen uppmärksammar fem särskilda viktiga områden, där behovet av tillgång till högkvalitativa data och av att förenkla implementeringen av den nya AI-förordningen lyftes fram som prioriteringar. Sedan handlingsplanen presenterades har EU även antagit en genomförandestrategi för AI-tillämpning (Apply AI Strategy) i oktober 2025, som syftar till att påskynda den praktiska användningen av AI och driva på innovation inom särskilt prioriterade sektorer. Den nu presenterade strategin för dataunionen utgör det senaste tillskottet i genomförandet av handlingsplanen.
Strävan efter att göra EU till en stark spelare inom AI är också tätt sammankopplad med behovet av att stärka EU:s digitala suveränitet. Den politiska ambitionen är att göra EU mer självständigt och motståndskraftigt i den digitala sfären genom att skydda den tekniska infrastrukturen, hantera säkerhetsrisker och minska strategiska beroenden, bland annat genom att utveckla europeiska teknologiska kapaciteter och diversifiera tillgången till kritiska råvaror. Europeiska rådet har i sina slutsatser från den 23 oktober 2025 uttryckligen uppmanat Kommissionen att vara fortsatt ambitiös i kommande förslag när det gäller EU:s suveräna digitala omvandling.
Digital Omnibus är Kommissionens sjunde förenklingspaket under 2025 och syftar till att förenkla och samordna EU:s omfattande digitala regelverk. Regelverket spänner över områden som digital teknik, cybersäkerhet och elektronisk kommunikation och ska balansera flera olika intressen. En central utgångspunkt är att reglerna ska vara moderna och anpassningsbara, så att de kan hålla takt med den snabba teknikutvecklingen.
Syftet med paketet är tvådelat; dels förenkla befintliga regler genom att göra riktade justeringar i syfte att minska den administrativa bördan för företag, dels samordna reglerna genom att rensa överlapp och samla befintliga regler på ett mer harmoniserat sätt. Sammantaget ska dessa åtgärder bidra till att minska krångel och kostnader samt skapa tydligare regler för att stärka EU:s konkurrenskraft och påskynda innovation.
Omnibuspaketet är uppdelat i två förslag:
De viktigaste rättsakterna som berörs är den allmänna dataskyddsförordningen (”GDPR”), AI-förordningen, NIS 2-direktivet och dataförordningen. Kärnnyheterna är att GDPR förtydligas för att underlätta säker datadelning och AI-utveckling, att dubbelrapportering vid incidenter ska minskas genom en gemensam inrapporteringskanal och att AI-förordningens genomförande görs mer innovationsvänligt med justerade tidslinjer kopplade till att standarder och vägledning finns på plats. I det följande ges en överblick av dessa förändringar.
Inom dataskyddsområdet föreslår kommissionen riktade ändringar av GDPR för att klargöra centrala begrepp, förenkla vissa skyldigheter för dataansvariga och bättre anpassa regelverket till utvecklingen och användningen av ny teknik, särskilt AI. Förslagen bygger i stor utsträckning på omfattande intressentdialog och den samlade erfarenheten från GDPR:s tillämpning hittills. Syftet är inte att göra om regelverket i grunden, utan att genomföra precisa justeringar där behovet av förtydligande och förenkling har bedömts som störst. Det bör även noteras att detta paket kompletterar de riktade lättnader för små och medelstora företag (SME) och small mid-cap-företag (SMC) som Kommissionen redan lagt fram inom ramen för Omnibus IV och som för närvarande behandlas av EU:s lagstiftare.
Förslaget klargör när information ska anses vara personuppgifter enligt GDPR, särskilt i situationer där en individ endast kan identifieras indirekt eller där pseudonymiserade uppgifter delas. Med utgångspunkt i EU‑domstolens praxis förtydligas att information inte utgör personuppgifter för en viss aktör om denna aktör inte rimligen har tillgång till de medel som krävs för att identifiera den berörda personen. En aktör för vilken uppgifterna inte är personuppgifter omfattas i princip inte av GDPR vid behandlingen av dessa uppgifter. Förslaget syftar till att öka rättssäkerheten, särskilt vid användning av pseudonymisering, och att främja bredare användning av tekniker som skyddar konfidentialitet och minskar mängden personuppgifter som behandlas.
Vid personuppgiftsincidenter måste företag i dag anmäla händelsen till tillsynsmyndigheten, såvida det inte är osannolikt att incidenten innebär en risk för enskildas rättigheter. Vid hög risk måste även de registrerade informeras. Kommissionen föreslår nu att tröskeln för både anmälnings- och informationsskyldigheten harmoniseras till en enda nivå: hög risk. Det skulle innebära att anmälningsplikt endast föreligger när incidenten bedöms medföra en hög risk för fysiska personers rättigheter. Kommissionen föreslår även att tidsfristen för att anmäla en incident till tillsynsmyndigheten förlängs från 72 till 96 timmar från det att den personuppgiftsansvarige fått kännedom om incidenten. Därtill ska Europeiska dataskyddsstyrelsen (EDPB) ta fram en gemensam rapporteringsmall samt ytterligare vägledning för hur risknivån ska bedömas.
All personuppgiftsbehandling måste ha laglig grund i GDPR. Kommissionen föreslår nu en ny bestämmelse som klargör att användning och utveckling av AI-tjänster kan utgöra ett berättigat intresse för personuppgiftsbehandling, förutsatt att inte annan lagstiftning uttryckligen kräver samtycke. Kommissionen uppmärksammar också att AI-utveckling ofta innebär hantering av stora datamängder där känsliga personuppgifter kan förekomma oavsiktligt. Därför föreslås ett begränsat undantag från förbudet mot att behandla sådana uppgifter. Behandling ska endast vara tillåten när förekomsten av känsliga personuppgifter är oavsiktlig och restbaserad, och då endast under strikta krav på tekniska och organisatoriska åtgärder som säkerställer att uppgifterna identifieras, raderas och inte sprids, görs tillgängliga för tredje parter eller påverkar AI-modellens utdata vid användning.
Digital Omnibus föreslår att införa en gemensam inrapporteringskanal för säkerhetsincidenter, Single Entry Point (SEP), genom vilken företag ska kunna uppfylla sina rapporteringsskyldigheter enligt flera olika regelverk samtidigt. SEP innebär att företag kan använda ett och samma system och bara behöva rapportera en incident en gång. Detta minskar den administrativa bördan och säkerställer samtidigt ett effektivt och säkert informationsflöde till berörda myndigheter.
SEP ska drivas av EU:s cybersäkerhetsbyrå (ENISA) och ska fungera som en portal som automatiskt vidarebefordrar inrapporterade incidenter till behöriga myndigheter enligt följande regelverk:
Det är viktigt att understryka att förslaget varken förändrar vilka myndigheter som ska ta emot incidentrapporter eller vilka uppgifter rapporterna ska innehålla. SEP föreslås inte heller bli en plattform för faktisk databehandling. Syftet är uteslutande att förenkla företagens rapporteringsprocesser utan att sänka kraven eller kompromissa med den höga nivå av cybersäkerhet som ska upprätthållas.
De mest omfattande samordnade förändringarna görs inom datalagstiftningen, där flera mindre rättsakter föreslås upphävas och deras innehåll konsolideras i en mer heltäckande och sammanhängande dataförordning. Bakgrunden är att EU under många år har antagit en rad separata regelverk på området, vilket har skapat komplexitet för företag som haft svårt att överblicka reglerna och förstå hur de förhåller sig till varandra.
Ambitionen är därför att etablera ett enhetligt och lättnavigerat regelverk, där dataförordningen blir det centrala ramverket. För att uppnå detta föreslås att följande rättsakter upphävas och deras innehåll integreras i dataförordningen:
Utöver de samordnade justeringarna föreslås även riktade förenklingsåtgärder som stärker datahållares skydd för affärshemligheter genom att ge dem större möjligheter att avstå från att dela data med användare, tredjepart eller myndigheter. Förslaget innebär också mjukare regler för avtal om databehandlingstjänster, särskilt vad gäller skyldigheten att möjliggöra byte av tjänsteleverantör, vilket ska göra avtalsförhållanden mer flexibla och mindre administrativt betungande.
En effektiv implementering av AI-förordningen, som började gälla stegvis från den 1 augusti 2024, är en av Kommissionens huvudprioriteringar. För att underlätta en tydlig och innovationsvänlig tillämpning har åtgärder redan vidtagits, såsom att starta AI-servicekontoret och ta fram praktiska riktlinjer för hur reglerna ska användas.
Kommissionen föreslår nu ändringar i AI-förordningen eftersom de första erfarenheterna visar på flera hinder som riskerar att försena förordningens genomförande. Det gäller bland annat sena utnämningar av behöriga myndigheter och anmälda organ samt brist på harmoniserade standarder, vägledning och efterlevnadsverktyg. Dessa brister riskerar att öka kostnaderna för företag och bromsa innovation. Kommissionen lägger därför fram riktade förenklingar för att säkerställa en smidig, proportionerlig och tidsmässigt hållbar implementering av vissa bestämmelser.
Reglerna om högrisk-AI är den mest omfattande delen av AI-förordningen och innehåller krav på bland annat datastyrning, dokumentation, loggning, mänsklig översyn och säkerhetsåtgärder. För att undvika att reglerna hindrar innovation vill Kommissionen samordna ikraftträdandet med att nödvändigt stöd finns på plats – såsom harmoniserade standarder, gemensamma specifikationer och riktlinjer. Därför skjuts tidsplanen fram: reglerna ska börja gälla först när sådant stöd är tillgängligt, dock senast i december 2027 respektive augusti 2028 beroende på vilken typ av högrisk-AI det gäller.
Vad gäller regulatoriska lättnader föreslås ett perspektivskifte i kravet på AI-kompetens. I stället för en formell skyldighet för varje företag att säkerställa att dess personal besitter rätt kompetens, vill Kommissionen nu att ansvaret flyttas uppåt i systemet. Kommissionen och medlemsstaterna ska aktivt främja, driva på och skapa förutsättningar för att leverantörer och utvecklare bygger upp den kompetens som krävs. Även om det i dagsläget är oklart hur medlemsstaterna och Kommissionen kommer genomföra det i praktiken, markerar detta en övergång från strikt efterlevnad till en flexiblare modell som syftar till att stärka kompetensutvecklingen utan att belasta företag med långtgående administrativa krav.
Kommissionen lyfter också fram small mid-cap-företag (SMC) som en viktig drivkraft för EU:s konkurrenskraft. Dessa företag växer ofta snabbt och är mycket innovativa när de tar steget upp från att vara små eller medelstora företag (SME). För att denna övergång inte ska bli en bromskloss vill Kommissionen utvidga vissa lättnader som i dag bara gäller för SME:er. Det innebär att även SMC:er ska få enklare krav på teknisk dokumentation för högrisk-AI, lägre sanktionsnivåer och mer anpassad vägledning.
Kommissionens lagförslag har i enlighet med lagstiftningsprocessen skickas till Europaparlamentet och Rådet för en första behandling. Efter årsskiftet kommer institutionerna inleda arbetet med att anta sina ståndpunkter innan den så kallade trilogen kan inledas, där förslagen kommer att förhandlas mellan de tre institutionerna. När en slutlig överenskommelse finns på plats, ska den formellt antas av såväl Europaparlamentet som Rådet. Även om det är svårt att uttala sig om detta, är en förhoppning att det ska ske innan slutet av 2026.
Parallellt har Kommissionen även öppnat ett samråd för att samla in synpunkter på de föreslagna ändringarna i Digital Omnibus. Samrådet är öppet för alla berörda att lämna synpunkter fram till den 4 februari 2026.
Kommissionen har signalerat att Digital Omnibus bara är ett första steg i arbetet med att förenkla EU:s digitala regelverk. Nästa steg har redan inletts genom en bred och strategisk översyn av hela det digitala regelverket (Digital Fitness Check), som ska analysera den samlade effekten av dagens regler på EU:s konkurrenskraft och identifiera ytterligare områden där förenklingsåtgärder kan bli aktuella framöver.
Ytterligare åtgärder på området är planerade. I januari 2026 väntas Kommissionen presentera sina resultat av översynen av EU:s cybersäkerhetsförordning och även föreslå en ny rättsakt om digitala nät.
Dataunionsstrategin är en icke-bindande genomförandestrategi som syftar till att frigöra data i hela Europa och säkerställa att företag i EU har tillgång till data av hög kvalitet för att kunna konkurrera på de globala marknaderna och driva på innovation.
Strategin speglar en politisk målsättning att skapa en samlad, fungerande europeisk dataekonomi där dataflöden stödjer innovation, tillväxt och digital suveränitet. För att uppnå denna målsättning identifierar strategin tre prioriterade åtgärdsområden:
Genom satsningar som datalabb och gemensamma europeiska datarum ska fler organisationer kunna dela, kombinera och använda data på ett säkert och lagligt sätt. Syftet är att motverka bristen på storskaliga och högkvalitativa dataset som idag begränsar Europas AI-utveckling.
Att förenkla befintliga dataregler speglar en bredare och mer långsiktig ambition att göra EU:s digitala lagstiftning mer lättillgänglig och praktisk att tillämpa. Strategin lyfter bland annat fram ”one-click compliance” och andra tekniska lösningar som ska underlätta regelefterlevnad, tillsammans med ytterligare stödinsatser kopplade till dataförordningen, såsom modellavtal, vägledningar och särskilda helpdesks.
Att stärka EU:s globala ställning innebär ett mer aktivt internationellt agerande där data betraktas som en strategisk resurs i geopolitiken. EU avser därför att kombinera öppenhet med handlingskraft i sina internationella relationer, så att dataflöden och marknadstillträde i högre grad sker på europeiska villkor och i linje med unionens värderingar och intressen. Strategin betonar särskilt att det inte är hållbart att utländska aktörer får enkel tillgång till EU:s marknad medan europeiska företag möter orättvisa hinder i andra länder. EU avser därför att agera mer konsekvent för att säkerställa rättvisa och ömsesidiga villkor.
Sammantaget markerar Dataunionsstrategin en mer långsiktig inriktning, där fokus skiftar från att främst utforma regler till att genomföra konkreta åtgärder som stärker EU:s konkurrenskraft och digitala självbestämmande.
Som en sista del i det digitala paketet föreslår Kommissionen ett konkret verktyg för att modernisera och förenkla ekonomiska aktiviteter på den inre marknaden. Den europeiska företagsplånboken är ett digitalt verktyg som ger alla företag oavsett storlek ett enhetligt, säkert och gränsöverskridande verktyg för att identifiera sig, autentisera, signera och utbyta dokument och uppgifter med myndigheter och andra företag i hela EU. Syftet är att minska den administrativa bördan genom att ersätta fragmenterade, manuella och ofta pappersbaserade processer med en digital kanal som har fullt rättsligt värde.
Verktyget, som föreslås införas genom en ny förordning, är frivilligt för företag, men alla offentliga myndigheter i EU föreslås bli skyldiga att acceptera plånbokens kärnfunktioner inom 24 månader från ikraftträdandet. Företag ska därmed inte behöva anpassa sig till 27 olika system, utan kunna använda en och samma plånbok inom hela unionen. Detta bedöms särskilt gynna små och medelstora företag, som i dag drabbas oproportionerligt hårt av tidskrävande rapporterings- och verifieringskrav.
Förslaget förväntas generera betydande effektiviseringsvinster. I full skala uppskattas de årliga besparingarna för företag till minst 150 miljarder euro samtidigt som den administrativa bördan minskar och fler resurser kan läggas på värdeskapande aktiviteter.
Genom det digitala paketet tar EU ytterligare steg mot en mer konkurrenskraftig och innovativ union. Den bärande idén är att uppnå dessa mål genom att fokusera på förenkling och genomförande: ta bort friktion i dagens regelverk, öppna tillgången till högkvalitativa data och tillhandahålla konkreta verktyg som underlättar gränsöverskridande aktiviteter.
Det återstår dock att se vilka effekter lagförslagen får i ett bredare perspektiv. Fri- och rättighetsorganisationer har riktat kritik mot paketet och varnar för att den nuvarande skyddsnivån för personuppgifter riskerar att urholkas. Kritiken fokuserar framför allt på omfattningen av de ändringar som föreslås i EU:s dataskyddslagstiftning och att strävan efter att främja innovation och konkurrenskraft sker på bekostnad av enskildas fri- och rättigheter. Det är även värt att uppmärksamma att detta är de mest ingripande ändringsförslagen som presenterats sedan GDPR trädde i kraft 2018.
Från näringslivet välkomnas paketet som ett viktigt steg för att stärka konkurrenskraften. Business Europe skriver i ett pressmeddelande att paketet tydligt signalerar att överreglering länge varit en börda för EU:s företag och uppmanar till ytterligare förenklingsåtgärder under de kommande månaderna. Samtidigt menar andra att åtgärderna inte är tillräckliga, och varnar för att omfattande regelförenklingar i avsaknad av välfungerande digitala marknader riskerar att förstärka dominerande plattformsaktörers ställning. Kritiker efterlyser därför en bredare strategi som går längre än enbart förenklingar.
Kommissionen har redan framhållit att den har för avsikt att vidta ytterligare åtgärder för att driva på förenklingslinjen. Nästa steg är den pågående översynen genom Digital Fitness Check som inletts med ett offentligt samråd som avslutas den 11 mars 2026. Tillsammans tyder dessa initiativ på att EU rör sig mot en mer genomgripande modernisering av det digitala regelverket, med målet att skapa regler som bättre ska främja innovation, stärka konkurrenskraften och göra det enklare för företag att verka i en snabbt föränderlig digital miljö.
