Logga in
Blogg

EU Data Act: när EU bygger “nödutgångar” i era datakorridorer (och ingen har läst skyltarna än)

EU Data Act låter som något man helst skjuter upp till “sen”. Problemet är bara att “sen” snabbt blir “för sent” i vanlig ordning.

Jag brukar beskriva det så här: EU kräver att era dataflöden ska ha nödutgångar. Inte för att göra livet krångligare utan för att kunder och användare ska kunna få tillgång till data, dela den under rätt villkor och byta leverantör utan att fastna i digital inlåsning.

Det som gör det intressant (och lite obekvämt): det här är inte bara en juridisk fråga. Det blir en leverantörsfråga, en styrningsfråga och en operativ riskfråga. Nya rättigheter och fler dataflöden betyder också nya beroenden och fler attackytor om man inte bygger kontroll i samma takt.

Sektorer som energi, industri, transport, fastighet och uppkopplade produkter ligger ofta först i träffbilden men leverantörerna till dem drabbas indirekt genom avtal, krav och uppföljning.

Detta är en artikel på ämnet som gör det begripligt och med fokus på styrning, sårbarhet och verklig förmåga.
Robert Willborg

Co-founder och Cheif Security Officer på OneMore Secure. 

Tänk dig att din organisation är en stor byggnad. Inte en pampig, glittrig byggnad. Mer som en praktisk industrifastighet med korridorer, dörrar, nycklar, passerkort och en hel del “vi löser det sen”-lappar på skåpen.

I den byggnaden flödar data som människor i korridorerna: in, ut, mellan rum, mellan leverantörer och tillbaka igen. Ibland genom glasdörrar. Ibland genom en sidodörr som någon satte upp 2018 och som ingen riktigt minns vem som har nyckeln till.

EU Data Act är i grunden EU:s sätt att säga: “Den här byggnaden måste ha nödutgångar, tydliga nycklar och skyltning och de måste fungera när det brinner.”

Inte för att göra livet svårt, utan för att ge användare och kunder mer kontroll samt minska osunda inlåsningar och skapa en mer robust dataekonomi. Men det är som med brandskydd: det blir bara trygghet om det faktiskt fungerar i praktiken inte bara på ritningen.

Varför detta blir en “missad lag” för många

Data Act är en EU-förordning som gäller sedan september 2025. Men den blir lätt en blind fläck av tre skäl:

  1. Den låter administrativ, som om den handlar om juridik, inte verklighet.

  2. Den träffar indirekt, via leverantörsled och avtal och då känner många “det där är någon annans ansvar”.

  3. Den blandar roller: ni kan vara kund i ett led, leverantör i ett annat, och “data holder” i ett tredje.

Att EU-kommissionen har behövt etablera både stödmaterial och en Data Act Legal Helpdesk (där organisationer kan ställa tolkningsfrågor om rättigheter, skyldigheter, cloud switching och interoperabilitet) är i sig en signal enligt mig om att många aktörer behöver hjälp att förstå vad lagen faktiskt innebär. Det jobbiga är att många inte vet att de är drabbade i detta nu.

“Gäller den här oss?” (oftare än man tror)

EU Data Act är inte “all mjukvara”. Men den träffar brett där det finns:

  • Uppkopplade produkter (connected products) och relaterade tjänster

  • “Data holder” som sitter på data som någon annan har rätt att få tillgång till

  • Moln- och SaaS-liknande tjänster (data processing services) där Data Act ställer krav på att kunder ska kunna byta leverantör utan oskäliga hinder (“switching”) och med definierad transparens och stöd i processen

Och den viktiga poängen här, även om ni inte ser er som direkt träffade, så kan ni vara leverantör till någon som är det. Då blir ni en del av deras efterlevnad via krav i avtal, uppföljning och revisionsspår.

Noter nu, lagen tillämpas från 12 september 2025 (med vissa delar som får senare start beroende på kapitel och kontrakt). Det betyder att “vi tar det sen” snabbt blir “vi tar det när det redan är driftstopp och avtalsbråk”. Och nu måste vi lära oss av missarna med att jobba i efterhand med GDPR och även NIS2. Sätt fart redan idag.

Kopplingen till NIS2: inte samma lag men samma verklighet

Här är det viktigt att vara saklig: Data Act och NIS2 är två olika regelverk. De har olika syften och olika “kärnlogik”. Men i praktiken möts de i samma verklighet:

  • Data Act driver fram mer dataåtkomst, delning, portabilitet och leverantörsbyten.

  • Varje ny rättighet, gränssnitt eller överföringsväg är också en ny yta som kan missbrukas om styrning, behörighet, spårbarhet och uppföljning inte hänger med.

Och om vi ser på detta i ett perspektiv av incidenter: angripare tar ofta vägen via leverantörsledet, detta har jag skrivit oändligt om. ENISA har vidare beskrivit hur supply chain-attacker ökade i både antal och sofistikation, vilket i praktiken betyder att “korridorerna mellan byggnader” (leverantörer, kod, tjänster, drift) är där många intrång börjar. Även Myndigheten för Civilt Försvar har gjort det.

Översatt: Data Act kan göra data mer rörlig och marknaden mer dynamisk men bara om ni samtidigt bygger kontroll. Annars riskerar organisationer att skapa fler öppna dörrar än fungerande nödutgångar vilket gynnar en angripare.

Vilka sektorer bör vara först upp ur stolen?

Om vi ska vara brutalt praktiska: de här sektorerna hamnar ofta mitt i Data Act-logiken tidigt och deras leverantörer med dem:

  • Energi (mätdata, driftdata, plattformar, OT/IT-närhet, många leverantörer)

  • Tillverkning/industri (maskindata, produktionsdata, prediktivt underhåll, ekosystem av tjänster)

  • Transport och fordon (uppkopplade fordon, telematik, servicekedjor)

  • Fastighet/smarta byggnader (styrsystem, sensorer, energioptimering)

  • Hälsa/medtech (uppkopplade produkter och kringliggande tjänster)

Och i nästan alla fall: moln-/SaaS-leverantörer, tjänsteleverantörer och driftpartners blir indirekt träffade via kundernas krav på switching, transparens och rättigheter.

Var det brukar gå fel

De flesta organisationer missar inte Data Act för att de är oseriösa. De missar den för att de gör det klassiska:

  • Vissa tror att det är en “juridisk fråga”, så den landar i en låda som redan är överfylld med andra juridiska måsten och krav.

  • Vissa tror att det är en “IT-fråga”, så den landar i ett projekt som hamnar på en backlogg.

  • Vissa förstår inte att det är en styrnings- och leverantörsfråga, så den borde ha landat i ledningen från början.

Det är lite som att köpa en hjärtstartare, ställa den i ett förråd och känna sig trygg för att lagen krävt det. Den hjälper bara om den är åtkomlig, känd, tränad och testad. Och det sker bara om ledningen pekar med hela handen.

Tre saker den ytterst ansvarige bör göra redan nu

Här är tre åtgärder som är enkla att starta, men ger stor effekt snabbt, och som fungerar i ett allriskperspektiv (styrning, avtal, drift, leverantörsled):

1) Gör en “träffbild” som går att besluta på

Besvara tre frågor:

  • Är vi leverantörkunddata holder eller allt samtidigt?

  • Vilka produkter/tjänster är uppkopplade och genererar data som någon kan ha rätt till?

  • Vilka leverantörer klassas som data processing services där switching kan bli ett krav?

Leverera detta som en sida till ledningen: “Detta är vår exponering och varför.”

2) Gör en avtals- och beroendegenomgång som om ni behövde byta leverantör i morgon

Inte för att ni ska byta, utan för att se om nikan. Titta särskilt efter: exportbar data, skyldigheter vid byte, och hinder som är tekniska/kommersiella/kontraktuella. Data Act är tydlig med att switching ska underlättas och att hinder ska bort.

3) Bygg “assurance i drift” i leverantörsledet

Krav i avtal är start. Men ni behöver löpande kunna visa:

  • aktuell lista över beroenden

  • tidskrav för hantering av sårbarheter/åtgärder

  • uppföljning som leder till förändring (inte bara rapporter)

Detta är särskilt viktigt eftersom leverantörsledet är en etablerad angreppsväg i hotlandskapet.

Det handlar inte om pärmar, utan om fungerande dörrar

Data Act kräver inte perfektion. Den kräver i praktiken att ni kan visa att ni har kontroll på era dataflöden, era beroenden och er förmåga att genomföra rättigheter och skyldigheter på riktigt.

Och om vi ska knyta ihop liknelsen: EU ber er inte bygga en ny byggnad. EU ber er se till att nödutgångarna finns, är skyltade och går att öppna. Även när stressen är hög och någon står och rycker i dörren.

Det är inte byråkrati. Det är mogen styrning av säkerhet i leverantörsledet.

Referenser

European Commission. (n.d.). Data Act Legal Helpdesk.Shaping Europe’s digital future.

European Parliament and Council. (2023). Regulation (EU) 2023/2854 (Data Act).EUR-Lex.

European Union Agency for Cybersecurity (ENISA). (2021). Threat landscape for supply chain attacks.

Latham & Watkins. (2025). EU Data Act: Significant new switching requirements due to take effect for data processing services.

Robert Willborg

Vad digital suveränitet faktiskt är

Suveränitet är inte geografiskt. Det är kontroll.

Robert Willborg

Från osäkerhetsekonomi till förtroende

En berättelse om en bransch som tappade kompassen.

Robert Willborg

Luftvärdighet för det digitala samhället

NIS2 vill att vi flyger säkert, inte fyller i papper.

Robert Willborg

När cybersäkerhet blir “riskteater”

Hur vi byter ut sminket mot faktisk motståndskraft.