Transatlantiska dataflöden står inför ny osäkerhet när den amerikanska administrationen försvagar den viktiga tillsynen av integritetsskyddet. Privacy and Civil Liberties Oversight Board (PCLOB) – ett kritiskt organ som bidrog till att motivera EU-US Transatlantic Data Privacy Framework (TADPF) – är nu knappt funktionsdugligt efter de senaste ledarskapsförändringarna.
Utan PCLOB är EU:s argument att amerikanska företag som Microsoft, Google, Amazon och Meta tillhandahåller ett ”adekvat” dataskydd i fara. Om EU-kommissionen omvärderar situationen kan den tvingas återkalla TADPF, vilket gör dataöverföringar till amerikanska molnleverantörer rättsligt tveksamma enligt GDPR.
Utöver integritetsfrågorna har denna utveckling allvarliga konsekvenser för efterlevnaden av både DORA (Digital Operational Resilience Act) och NIS2 (Network and Information Security Directive 2), som båda ställer strikta krav på riskhantering från tredje part (Third-Party Risk Management, TPRM).
Lagstiftningsimplikationer för EU-företag
– DORA och risker för finanssektorn – DORA föreskriver riskbedömningar av tredje part för leverantörer av ICT-tjänster, särskilt molnleverantörer utanför EU. Finansinstitut måste säkerställa operativ motståndskraft och beredskapsplanering i händelse av att TADPF ogiltigförklaras.
– NIS2 & Critical Infrastructure Compliance – NIS2 utökar cybersäkerhetsskyldigheterna till väsentliga och viktiga enheter, inklusive molnleverantörer. Organisationer måste bedöma riskerna i leveranskedjan och se till att deras ICT-partner följer EU:s säkerhetsstandarder.
– Exit- och beredskapsplanering – Både DORA och NIS2 kräver robusta strategier för riskreducering, vilket innebär att företag måste förbereda sig för ett scenario där dataöverföringar till USA blir rättsligt osäkra.
– Datalokalisering och datasuveränitet – Företag kan behöva omvärdera sina molnstrategier och säkerställa att de följer EU:s regler om datasuveränitet för att undvika rättsliga påföljder.
Vad företag bör göra nu
– Explore EU-based cloud providers
– Reassess data storage & residency strategies
– Ensure compliance with DORA & NIS2 TPRM requirements
– Monitor regulatory and legal developments closely
Dessutom bör all känslig data krypteras med företagsägda krypteringsnycklar för att förhindra åtkomst från amerikanska myndigheter och molnleverantörer.
Detta senaste steg kan vara den första dominobrickan som faller och påskyndar förskjutningen bort från USA:s molndominans i Europa. Organisationer som förlitar sig på amerikanska leverantörer måste agera nu för att minska efterlevnadsriskerna och skydda sin datahantering.
Säkra er leveranskedja redan idag – kontakta oss om ni vill veta mer.
Njord var en figur i den nordiska mytologin med makt över (cyber)havet, vindarna (trender), fiske (för intelligens) och rikedom (av insikter). Njordium behandlar de underliggande lagren, snarare än det (”komplexa”) lagret av symptom på ytan.
Kontakt
Stockholm: +46 8 5078 05 06
Malmö: +46 40 686 00 46
reachout@njordium.com