Halvårsrapport fra IKT- og forvaltningsområdet, vår 2019

• Tiden er kommet for å gjøre opp status for hvor EU står med DSM-strategien midtveis i 2019.
• Ursula von der Leyen er valgt til ny kommisjonspresident. EUs første kvinnelige sjef ønsker «A Union that strives for more» også på det digitale området.
• Et nytt omfattende regelverk for digitale tjenester er på trappene. Selv om forslaget fortsatt er på planleggingsstadiet, har diskusjonene om hva som kan bli de viktigste byggeklossene startet i Brussel.
• Kommisjonen har mottatt de nasjonale evalueringene av sikkerhetsrisiko i 5G-nett. Neste fase er å gjennomføre en felles sikkerhetsevaluering på EU-nivå.

Generelt om DSM-strategien

Etter at Digital Single Market Strategy (DSM-strategien) ble vedtatt i mai 2015, har Kommisjonen lagt frem 60 ulike politiske initiativ og investeringstiltak, herunder 30 lovforslag. 28 av disse lovforslagene er ferdigbehandlet av Råd og Parlament, mens to gjenstår å fullføre. Avskaffing av roamingavgifter, forbud mot geo-blokkering, portabilitet av innhold og rimeligere internasjonale anrop er blant resultatene Kommisjonen kan vise til under DSM-strategien. I tillegg har 3400 lokale myndigheter fått støtte til å rulle ut trådløst bredbånd under Wifi4EU, mens nytt rammeverk for elektronisk kommunikasjon, og bedre koordinering og tilgjengeliggjøring av frekvensressurser, er ment å øke investeringene i høykapasitetsnettverk og 5G. Et oppgradert cybersikkerhetsbyrå (European Union Agency for Cybersecurity) og nytt rammerverk for sertifisering av sikkerhetsstandarder i IKT-produkter og tjenester, er ment å bedre Europas evne til å møte cybertrusler. Samtidig har Kommisjonen lagt frem forslag om å øke de digitale investeringene betydelig i neste langtidsbudsjett, særlig via Digital Europe, Connecting Europe Facility, Horizon Europe, InvestEU og Creative Europe.

Juncker-Kommisjonen har også brukt virkemidler utenfor den tradisjonelle lovgivningsprosessen for å implementere sin IKT-politikk. Under Digital Days, som ble arrangert for første gang i Roma 23. mars 2017, og for tredje gang i Brussel 9. april i år, har Kommisjonen inngått forpliktende samarbeid med medlemsstatene om blant annet datamaskiner for tungregning (High Performance Computing, HPC), kunstig intelligens, eHelse og blokkjedeteknologi.

Så er det flere kommentatorer i Brussel som peker på at EUs IKT-politikk skiftet nokså radikal retning underveis i forrige mandatperiode. Fra å dreie seg om nye forretningsmuligheter, tjenesteflyt og digitalisering av industrien, ble stadig mer av innsatsen rettet mot å disiplinere adferden til sosiale medier, cybersikkerhet og forsvar av demokrati og europeiske verdier i det digitale rom. Mens Google, Apple og Facebook ble beskyldt for skatteunndragelse og utnyttelse av markedsmakt, ble delingsøkonomiplattformer som Uber and Airbnb kritisert for å forstyrre lokale markeder og uthule arbeidstakerrettigheter. Sosiale medier som Twitter, Youtube og Facebook kom stadig i søkelyset for brudd på personvernet, spredning av ulovlig innhold og manipulasjon av valg og demokratiske prosesser.

Brexit-avstemningen og det amerikanske presidentvalget i 2016 fikk øynene opp hos beslutningstakere i Brussel for hvilken potensiell fare påvirkningskampanjer via åpne digitale plattformer utgjør. Den siste rapporten fra Kommisjonen og EUs utenrikstjeneste om status for arbeidet med å bekjempe desinformasjon på nett, viser at aktører drev koordinerte kampanjer, ved hjelp av automatiserte og falske kontoer, for å påvirke resultatet av Europaparlamentsvalget i mai. Funnene ble reflektert i konklusjonene fra toppmøtet 20.-21. juni. EDiMA, som representerer plattformselskapene, oppsummerte også innsatsen så  langt med å følge opp bransjenormen for å takle desinformasjon  i et brev til Kommisjonen 1. juli. 

Som den frittalende belgiske liberale MEPen, Guy Verhofstadt, som for øvrig vender tilbake til Parlamentet som del av en styrket liberal koalisjon (Renew Europe), skrev i en artikkel i fjor høst: «As the past few years of data breaches, hacks, and electoral sabotage make clear, the West urgently needs to develop a new model of digital governance». Mange vil derfor mene at Juncker-kommisjonen først og fremst vil bli husket for dens håndtering av det såkalte «techlash», hvor den forsøkte å styre en middelvei mellom hard regulering (forordningene om fjerning av terrorinnhold og rimelig forretningspraksis hos plattformene) og myk regulering (bransjenormer om hatytringer og desinformasjon på nett). Til tross for flere strategidokumenter om digitalt entreprenørskap, 5G og automatisering av industrien, er det nok færre synlige resultater å vise til på disse områdene. Av det vi har hørt hittil, vil regulering av internettøkonomien og nye krav til plattformselskapene også prege agendaen til den neste Kommisjonen. Flere høyt profilerte konkurransesaker, senest 17. juli mot Amazon, vil bidra  til dette.

Lovforslag som ble ferdigbehandlet første halvår 2019 og oppfølgingsarbeid

Første halvår 2019, når Romania har hatt EU-formannskapet, har vært preget av ferdigbehandlingen av sentrale gjenstående DSM-forslag. Disse er nå publisert i Official Journal (OJ referanse i fotnote). De viktigste har vært det reviderte viderebruksdirektivet (Open Data and Public Sector Information Directive)[1] og direktivene om forbrukerkontrakter for salg av fysiske varer[2] og digitale ytelser[3], som det ble oppnådd enighet om i trilogforhandlinger i januar. I februar kom medlovgiverne så i havn med opphavsrettsdirektivet[4], direktivet om nettoverføringer og videresending av radio- og TV-programmer (SatCab)[5]  og forordningen om rimelig forretningspraksis på plattformer[6]. Etter at disse forslagene ble endelig vedtatt i løpet av våren, har Kommisjonen fokusert på å bistå landene med implementeringen av direktivene nasjonalt. Dette vil prege mye av arbeidet de nærmeste årene, selv om den neste Kommisjonen også vil komme med nye digitale lovforslag i 2020.

For å forberede implementeringen av nytt viderebruksdirektiv er Kommisjonen denne sommeren i gang med å etablere komitologikomitéen (Open Data Committee) som skal beslutte de såkalte høyverdidatasettene. Dette er listen over offentlige data som skal gjøres tilgjengelig gratis, og i maskinlesbart format, gjennom API-er eller bulknedlasting i EØS-området. Innen 17. juli 2021, som er fristen for medlemslandene til å gjennomføre det oppdaterte direktivet, skal Kommisjonen også kartlegge hvilke datasett landene anser har spesielt høy samfunnsmessig verdi, samt foreta konsekvensutredning av å gjøre datasett tilgjengelig innenfor de seks kategoriene Kommisjonen har forhåndsdefinert. Norge vil også bli invitert inn til å bidra til dette arbeidet. 

Medlemslandene har tiden frem til 7. juni 2021 for å transponere opphavsrettsdirektivet og SatCab direktivet i nasjonal rett. Frankrike, som ligger fremst i løypa, vil allerede denne sommeren ha vedtatt de nødvendige endringene for å innføre artikkel 15 («publishers’ right»). Dette har selvsagt blitt positivt mottatt av presseutgiverne i Europa, selv om lenker og veldig korte tekstutdrag fortsatt ikke er entydig definert i den franske lovteksten. Tyskland holder offentlig høring fra 4. juli til 6. september om hvordan direktivene bør implementeres. De to regelverkene vil bli diskutert regelmessig i EUs kontaktgruppe (Copyright Contact Committee) fremover, hvor  også Norge deltar. Her blir et av hovedspørsmålene hvordan man skal sikre harmonisert implementering av artikkel 17 som beskriver plattformenes ansvar for fjerning av opphavsrettsbeskyttet materiale. Som foreskrevet i artikkel 17(10) skal Kommisjonen og medlemslandene holde tett dialog med involverte aktører for å identifisere «best practice» for hvordan rettighetshavere og tjenestetilbyderne kan samarbeide om dette. Det er flere som nå venter på nærmere retningslinjer fra Kommisjonen her. Polen har allerede innklaget opphavsrettsdirektivet til EU-domstolen siden de mener artikkel 17(4b) og 17(4c) tillater bruk av opplastingsfiltre, og dermed innebærer sensur. Kommisjonen har fortsatt en vei å gå for å avklare hvordan DSM-direktivet sikrer at brukerne fortsatt kan laste opp bilder, memes og tekster fritt for eksplisitte formål (sitering, kritikk, karikatur etc.), og ikke pålegger bruk av bestemte teknologier hos plattformene for å fjerne slikt innhold ex-ante. 

Som oppfølging til forordningen om rimelig forretningspraksis på plattformer, som vil gjelde i EU fra 12. juli 2020, forventes det at EU-observatoriet for plattformøkonomien vil legge frem sin første rapport i september. Denne vil ta for seg temaer som differensiert behandling av bedrifter, tilgang til data og ny statistikk som kartlegger omfanget av plattformøkonomien i EØS-området. Det har blitt spekulert i om dette observatoriet først og fremst vil fungere som et vanlig ekspertpanel eller om det kan gis en utvidet rolle i fremtiden. I forbindelse med «Digital Services Act» (se nedenfor), kan det bli aktuelt å etablere nye tilsynsfunksjoner. Det er imidlertid fortsatt usikkert om Kommisjonen vil foreslå en dedikert tilsynsmyndighet med ansvar for plattformøkonomien, utvide mandatet til eksisterende myndigheter eller legge opp til et fullstendig desentralisert system.

I tillegg til rettsaktene nevnt ovenfor, har Kommisjonen også startet implementeringsarbeidet for cybersikkerhetsforordningen («Cybersecurity Act») som ble publisert i Official Journal 7. juni og trådte i kraft i EU 27. juni[7]. Sertifiseringsgruppen (European Cybersecurity Certification Group), som består av eksperter fra medlemsstatene, møttes første gang 12. juli. Kommisjonen, sammen med ENISA, forbereder nå referansegruppen (Stakeholder Cybersecurity Certification Group) hvor bransjen og øvrige aktører også skal være representert. Gruppene skal gi råd til ENISA og Kommisjonen om hvilke sertifiseringsordninger som bør prioriteres, og bistå i utarbeidingen av ordningene.

Lovforslag som fortsatt ikke er ferdigbehandlet

Når det gjelder lovforslagene man nå må overlate til neste Kommisjon å ferdigbehandle, må man avvente Parlamentets utpeking av nye saksordførere og skyggesaksordførere før eventuelle trilogmøter kan finne sted. Forslaget til forordning som etablerer det europeiske industri- teknologi og forskningskompetansesenteret for cybersikkerhet og nettverket av nasjonale koordineringssentre, vil bli gjenstand for nye trilogforhandlinger under det finske EU -formannskapet. Forslaget til kommunikasjonsvernforordning (ePrivacy) er fortsatt ikke ferdigbehandlet i Rådet, og her har Finland berammet to rådsarbeidsgruppemøter (WP TELE) i juli og to i september (neste 9. september) for å forsøke å komme frem til et forhandlingsmandat tidlig på høsten. Formannskapet distribuerte allerede sitt første utkast til ny tekst for artikkel 12 til 16 til medlemslandene 12. juli, men så langt styrer de unna de mest kontroversielle bestemmelsene. Birgit Sippel (S&D, DE), som er gjenvalgt til Parlamentet, vil mest sannsynlig fortsette som saksordfører for ePrivacy forslaget.

Når det gjelder forslaget til forordning om fjerning av terrorrelatert materiale på nett, som ble lagt frem som del av Sikkerhetsunionen 12. september 2018, så tar Kommisjonen sikte på å starte opp trepartsforhandlinger etter sommerferien. Her er det imidlertid stor avstand mellom det forrige Parlamentets posisjon og Rådets posisjon. Landene vil nå forsøke å fremforhandle en tekst med den nye Parlamentet som ligger nærmere Kommisjonens utgangspunkt. Strengere regler for håndtering av terrorinnhold online, inkludert krav om fjerning av innhold innen én time uten forbehold, og pro-aktive tiltak fra plattformenes side, er også del av det internasjonale fremstøtet, som blant annet Storbritannia og Frankrike har stilt seg bak, senest på G20-toppmøtet i Japan 29. juni. Utfordringen for den nye Kommisjonen blir som tidligere nevnt å sikre harmoniserte EU-regler på dette området, før flere land vedtar egne innstramminger nasjonalt.

Rådet og Parlamentet ble videre enige om hovedsatsingsområdene for Digital Europe programmet (DEP) etter kun ett trilogmøte 13. februar. Men før det oppnås politisk enighet om MFF, er det fortsatt usikkert hva som blir den endelige budsjettrammen for DEP. I påvente av slik avklaring har DG Connect denne våren og sommeren fortsatt med å forberede den strategiske innretningen på programmet, det vil si hvilke konkrete prosjekter som bør finansieres i løpet av de første årene 2021-2022. Kommisjonen vil lansere en offentlig høring om dette den nest siste uken i juli, slik den gjorde for CEF Digital 3. juli. Den vil også be om innspill fra myndigheter, bedrifter, organisasjoner til prioriteringene på ICT Proposers’ Day 19.- 20. september i Helsinki. DG Connect er samtidig i gang med å forberede egne skygge- programkomiteer for DEP, og det forventes at disse vil bli etablert i løpet av september.

Opptrapping av innsatsen for konkretisere hva midlene skal brukes til under DEP, må også ses i lys av behovet for å tilpasse satsingen noe det nye politiske landskapet etter Europaparlamentsvalget. I tillegg til mobilitet (MaaS), eHelse (føderering av helsedata og utpeking av innovasjonsklynger med eHelse som kjernekompetanse), datadelingsplattformer og blokkjedeinfrastruktur for å videreutvikle digitale offentlige tjenester, seiler også grønn IKT og digitaliseringsprosjekter for fremme klima og miljø opp som nye prioriteringer. Det er videre behov for å synliggjøre overfor de nye kommisærene, og ikke minst (flere nyvalgte) regjeringer i hovedstedene, hvorfor en større andel av EUs neste syvårsbudsjett bør brukes til investeringer i digital infrastruktur og muliggjørende teknologier. Juncker-kommisjonens DSM-strategi har i stor grad dreid seg om innføring av nye forbrukerrettigheter, revisjon av regelverk for å sikre like spilleregler for tradisjonelle aktører og nye aktører (ekom- og opphavsrettsreformene), samt tiltak for å bedre flyten av data på tvers av landegrensene. De neste fem årene vil i mye større grad dreie seg om industrikapasitet og infrastrukturbygging. En enda tettere kobling mellom den digitale politikken og programsatsingen til EU, og hva som skal til for å oppnå teknologisk suverenitet på kritiske områder, blir derfor en av de viktigste sakene å fronte for neste Kommisjon.

Von der Leyens digitale ambisjoner

Etter intense diskusjoner på det ekstraordinære toppmøtet, ble stats- og regjeringssjefene 2. juli enige om fordelingen av de viktigste lederstillingene i EU for de neste fem årene. Tysklands forsvarsminister Ursula von der Leyen ble nominert som ny kommisjonspresident, og 16. juli ble hun valgt med knapp margin i Europaparlamentet. For å vinne støtte blant de nyvalgte MEPene la hun vekt på temaer som klima, immigrasjon, rettsstaten og sosial rettferdighet, og sikret til slutt 383 stemmer, der 374 var kravet for å få det nødvendige flertallet. Når det gjelder resten av lederkabalen, ble den belgiske statsministeren Charles Michel valgt som ny leder, og erstatter for Donald Tusk, i Det Europeiske Råd. Christine Lagarde vil overta som president for den Europeiske sentralbanken, mens den spanske utenriksministeren, Josep Borrell, blir EUs høyrepresentant for utenrikssaker og sikkerhetspolitikk. Under Parlamentets første plenumssesjon 1. – 4. juli ble den italienske sosialdemokraten David-Maria Sassoli valgt til ny parlamentspresident for 2,5 år.

Den nye Kommisjonen skal normalt være på plass fra 1. november og Juncker-kommisjonen vil sitte ut oktober. Men det forventes at vi allerede i løpet av august vil vite hvem som blir kandidater til kommisær (og etterhvert også kabinettsjefer) på de ulike områdene. Dermed kan man starte intervjuer for å fylle de øvrige posisjonene i kabinettene rundt midten av august. Høringene av kandidatene i Parlamentet vil deretter mest sannsynlig finne sted i slutten av september og de første ukene i oktober. Det er for tiden fortsatt kun spekulasjoner om hvem som kan få ansvaret for å føre EUs digitale agenda videre under den neste lovgivningssyklusen i EU. Dersom ansvar flyttes på og nye strukturer innføres, blir det også spennende å se hvorvidt Margrete Vestager, som flere nevner kan få et utvidet ansvar for EUs oppgraderte industristrategi, kan få drivansvar for viktige digitale prioriteringer i neste mandatperiode. Politico har en nyttig oversikt over hvilke kandidater landene har fremsatt som kandidater, og hvilke porteføljer det kan blir aktuelt at de fyller.

Før den nye Kommisjonen er på plass kan det selvsagt ikke fremmes eller trekkes saker. Det er imidlertid interessant å se hva Ursula von der Leyen har kommunisert om de fremtidige digitale prioriteringene nå i juli. I forkant av åpningstalen og valget i Parlamentet, la hun frem sine politiske retningslinjer («program») for de neste fem årene. Her er «A Europe fit for the digital age» én av seks hovedoverskrifter. Det første som slår en når en leser dette avsnittet er hvor nært det ligger opp til lekkasjene, og det vi har fått vite under hånden, om DG Connect sine planer for den neste digitale agendaen. Enkelte tar dette som tegn på at von der Leyen i stor grad vil støtte seg på forhåndsplanlagte forslag fra embetsverket, og også initiativer som har sterk støtte i de viktigste medlemslandene, særlig Frankrike og Tyskland. I talen sin, og også i brevutvekslingen med partigruppene i Parlamentet, la riktignok von der Leyen vekt på andre spørsmål, men et mer offensivt og teknologisk uavhengig Europa, sterkere institusjonelt samarbeid om cybersikkerhet, digital kompetanse og rettferdig skattlegging av de digitale selskapene er temaer hun vender tilbake til.

I sitt program lover den nye kommisjonspresidenten å legge frem et nytt lovforslag innen de første 100 dagene for å sikre en felles europeisk tilnærming til kunstig intelligens som ivaretar sentrale etiske og menneskelige hensyn ved den nye teknologien. Dette er helt i tråd med de interne forberedelsesdokumentene til DG Connect som jeg har rapportert om i mai og juni. Von der Leyen ønsker også å prioritere AI i det neste langtidsbudsjettet, noe DG Connect har fremhevet som essensielt for at EU skal kunne hevde seg i det globale teknologikappløpet.

Et nytt regulatorisk rammeverk for AI står høyt på agendaen overalt i Europa, og kanskje spesielt hvilke transparenskrav som bør gjelde for automatiserte beslutningssystemer, og hvordan myndighetene kan sikre likebehandling når algoritmer blir stadig viktigere for fordelingen av offentlige og private goder. I den forbindelse er det interessant å lese anbefalingene i den nylig publiserte studien fra professor Mario Martini, som representerer den tyske kommisjonen for dataetikk. Rapporten tar blant annet til orde for å innføre omfattende ikke-diskrimineringskrav i forhold til systemer for prisdiskriminering, ansiktsgjenkjenning og omsorgsroboter. Martini mener likevel det kan være grunn til å differensiere ansvarsregelverket, slik at for eksempel medisinske applikasjoner og autonome kjøretøy reguleres strengere («strict liability») enn øvrig programvare hvor risikoen for skade er lavere. De tyske forbrukermyndighetene er også aktive denne sommeren for å forsøke å påvirke den fremtidige lovgivningen på EU-nivå. I et posisjonspapir skriver vzbv at «when the product liability directive will be updated, it must cover harm and damage caused by algorithmic decision-making systems». Forbrukerdirektør Klaus Müller uttalte i forbindelse med fremleggelsen: «From the consumer’s point of view, the next European Commission’s aim must be to ensure compliance with and enforcement of existing legal rules, even in a world of self-learning algorithms. Competent authorities must be able to verify the compliance of algorithmic decision-making systems with EU law».

Ideen om et utfyllende regelverk for digitale tjenester, Digital Services Act, kommer også direkte fra det interne forberedelsesarbeidet i Kommisjonen, hvor man fortsetter å arbeide med utfordringene knyttet til plattformøkonomien. Selv om det fortatt er usikkert om dette forslaget vil innebære en gjenåpning av e-handelsdirektivet eller et helt nytt instrument, går ikke den tyske politikeren av veien for å snakke om oppdaterte ansvarsbestemmelser for plattformselskapene: «A new Digital Services Act will upgrade our liability and safety rules for digital platforms, services and products». I sitt manifest åpner von der Leyen også opp for nye lovforslag for å sikre mer transparens rundt politisk reklame i sosiale medier, og under tiltak for å beskytte demokratiet etterlyser hun «joint approach and common standards to tackle issues such as disinformation and online hate messages».

Igjen som beskrevet i bakgrunnsorienteringen fra DG Connect til ny Kommisjon, nevner den påtroppende presidenten behovet for å finne en balanse mellom dataflyt/viderebruk av data og ivaretakelse av sikkerhet og personvern. Hun går imidlertid ikke like langt som det vi har sett i dokumentene fra generaldirektoratet med ansvar for IKT-politikken, hvor det argumenteres for ex-ante forpliktelser om datadeling hos private aktører (arbeidstittel «Private Sector Data Act»). I følge det vi hører kan et slikt regelverk, i tillegg til overføring av ikke-personlige data innenfor bestemte sektorer (for eksempel transport, energi, helse, industriproduksjon), også omfatte krav om full portabilitet av brukergenererte IoT-data, inkludert data i sanntid, og rettigheter for det offentlige til å utnytte visse typer privateide data til rimelige vilkår. I de politiske retningslinjene til von der Leyen er det foreløpig kun tale om å investere i «tools to allow data sharing and data usage».

Som svar på den politiske oppmerksomheten rundt Europas posisjon i det globale teknologikappløpet og digital suverenitet, løfter også de politiske retningslinjene frem dette: «It may be too late to replicate hyperscalers, but it is not too late to achieve technological sovereignty in some critical technology areas». Hun tar samme tilnærming som til GDPR for de viktigste fremtidsrettede teknologiene, og vil at EU skal definere de globale standardene og lede utviklingen innen blokkjedeteknologi, HPC og kvantumdatamaskiner, algoritmer og verktøy for datadeling.  Mye tyder nok på at von der Leyen vil alliere seg med de som ønsker et mer offensivt EU i forhold til å styrke kontrollen med strategiske verdikjeder, og europeiske aktører som leverandører av nøkkelteknologi, det være seg 5G, det industrielle internett (IIoT) eller superdatamaskiner. Dette kan også få konsekvenser for andre deler av EUs IKT-politikk, for eksempel tiltakene for å imøtegå sikkerhetsrisikoer i 5G-nettverk som skal legges frem mot slutten av året (se nedenfor) og oppfølgingen av forordning om gransking av utenlandske investeringer («investment screening mechanism») som vil gjelde i EU fra 11. oktober 2020. Von der Leyens program er helt på linje med konklusjonene fra telekområdet (TTE Council) fra juni som fremhever cybersikkerhet og digital suverenitet.

Det er også interessant i denne sammenheng å lese rapporten fra Kommisjonens interne tenketank, European Political Strategy Centre (EPSC), om strategisk uavhengighet i den digitale tidsalder som ble publisert 18. juli. Den første setningen sier mye om det som preger tankesettet rundt teknologiagendaen i Brussel ved overgangen til ny Kommisjon: «In the 21st century, those who control digital technologies are increasingly able to influence economic, societal and political outcomes».

Den nye Kommisjonspresidenten har ved flere anledninger understreket betydningen av cybersikkerhet og behovet for å styrke samarbeidet og utviklingen av felleseuropeiske kapasiteter på sikkerhetsområdet. Denne måneden uttalte hun i møte med Renew Europe fraksjonen i Parlamentet at «Europe needs to be way more assertive on security and defense issues», og videre «to build up strong cybersecurity we need in Europe a network of experts who are training together on a regular basis, that you can pull together in case of a major attack». De politiske retningslinjene kommer med en klar oppfordring til medlemsstatene: «We need to move from ‘need to know’ to ‘need to share’» når det gjelder trusselvurderinger. Programmet tar til orde for opprettelsen av en ny «joint Cyber Unit» for å utveksle informasjon raskere og gi bedre beskyttelse.  Så gjenstår det selvsagt å se hvor langt von der Leyen klarer å bevege landene i dette spørsmålet. Som behandlingen av cybersikkerhetsforordningen viste er det klare grenser for hvor mye myndighet landene er villig til å overføre til EU-nivå, og for eksempel styrke det operasjonelle ansvaret til ENISA.

Utfyllende nytt regelverk for digitale tjenester

Som beskrevet i tidligere rapporter fra mai og juni, forbereder embetsverket i Kommisjonen en rekke nye digitale «lovpakker» som kan bli lagt frem i løpet av 2020, herunder nytt regulatorisk rammeverk for kunstig intelligens, forsalg for å sikre digital suverenitet og kontroll over strategiske verdikjeder («Digital Leadership»), og IKT-tiltak for å fremme klima og bærekraft («Greening ICT»). Ett av de nye regelverkene som er under planlegging, og som det nok er mest interesse og spekulasjoner rundt denne sommeren, er den såkalte «Digital Services Act». Det har vært lekket informasjon om dette forsalget i Brussel-miljøet, også i forkant av at Ursula von der Leyen annonserte det i sitt program. Særlig de store internettselskapene og bransjeorganisasjonene har satt lobbymaskineriet i høyberedskap for å påvirke den forestående konsekvensutredningen.

Det vi vet er at Kommisjonen siden tidlig i vår har arbeidet internt med potensiell ny lovgivning som i utgangspunktet er ment å takle alle aspekter av digitale tjenester, men spesielt tjenestene som leveres av de digitale plattformene.

Når det gjelder det konkrete innholdet, dersom planene godtas av det nye kollegiet, vurderer man blant annet i ytterste fall å definere virkeområdet basert på utpeking av tilbydere med signifikant markedsstilling («significant market status»), tilsvarende kriteriene for dominans i konkurranseretten. Dette anses som en måte å begrense omfanget til å gjelde de store plattformselskapene, hvor effektene av konkurranseskadelig adferd er størst, og samtidig etablere et regime (muligens etter mal fra ekomrammeverket) hvor det er mulig å gripe inn raskere enn under konkurranseretten. 

Videre kan det bli aktuelt å revidere e-handelsdirektivet (REFIT) som del av det nye initiativet. Fokuset retter seg da naturlig nok mot to områder som hittil har hatt stor betydning for å sikre flyt og utvikling av digitale tjenester på tvers av landegrensene: opprinnelseslandsprinsippet, som betyr at tilbyderne kun skal være underlagt opprinnelseslandets regler og kontroll, og bestemmelsene som begrenser tilbydernes ansvar for å føre kontroll med innhold når de opptrer som distributører på internett. Når det gjelder eventuelle endringer i ansvarsfrihetens rekkevidde, eller lovfesting av hvordan dagens regler skal praktiseres, hører man også tale om at strengere forpliktelser kan komplementeres med nye insentiver for plattformene til proaktivt å identifisere/fjerne ulovlig informasjon (såkalt «Good Samaritan»-tilnærming). Kommisjonen ser i tillegg på hvordan ytterligere varslingsforpliktelser («notice-and-action») for både ulovlig og skadelig innhold kan gjennomføres, for eksempel ved bruk av nye bransjenormer («Codes of Conduct»).

Et nytt horisontalt lovforslag, mest sannsynlig i form av en forordning for å motvirke fragmentering, vil videre kunne inkludere bindende regler for reklame, herunder politisk reklame, på nett. Et naturlig utgangspunkt her vil være bransjenormen for å bekjempe desinformasjon, som sosiale medier (Facebook, Google og Twitter) og reklamebransjen sluttet seg til i september 2018. Eventuell lovfesting av krav til transparens, merking og brukerkontroll i forhold til reklameeksponering er også ment å forbedre konkurransesituasjonen, og gjøre det lettere for alternative tilbydere til de store plattformselskapene å ta andeler av online reklamemarkedet. I følge eMarketer tilfaller for eksempel 75 % av de totale digitale reklameinntektene i Frankrike Google og Facebook, mens de to aktørene tar 74,5 % av inntektene i Tyskland og 67,6 % i Storbritannia. 

Tankegangen om å bekjempe konsentrasjon, og støtte opp under nyetablering og innovasjon, innen plattformøkonomien ligger også bak tiltakene for å harmonisere og oppdatere reglene for håndtering av ulovlig innhold. Selv om man med DSM-strategien har fått likere regler for forbrukerbeskyttelse, personvern og kontraktsregler ved kjøp av varer og digitale tjenester, er det fortsatt en fare for at det digitale indre markedet fragmenteres. Egne regler for hatytringer i Tyskland og (i nær fremtid) Frankrike, ulik lovgivning for reklame i Irland, Ungarn og Frankrike, vil kunne gjøre det vanskeligere for oppstartsselskaper og mindre tilbydere å ekspandere over landegrensene. Resultatet kan bli at forbrukere i Europa blir enda mer avhengig av store amerikanske og asiatiske e-handelsselskaper og sosiale nettverk, og at markedskonsentrasjonen øker ytterligere.

Så blir det selvsagt et spørsmål om det er behov for å opprette nye organer eller samarbeidsmekanismer på EU-nivå for å føre tilsyn med «Digital Services Act». Her kan det fort bli snakk om behov for nye ressurser og kompetanse. Selv om enkelte i Kommisjonen tenker åpent om å etablere et nytt EU-byrå med koordineringsansvar og tilsynsansvar for plattformøkonomien, vil det selvsagt være stor motstand i hovedstedene mot dette.  I tillegg til elementene nevnt overfor, vet vi at Kommisjonen også vurderer behovet for å endre dagens definisjonen av informasjonssamfunnstjenester (for eksempel for å inkludere blokkjede-teknologi), innføre særskilte krav til rangeringsalgoritmer og krav om dataportabilitet mellom plattformselskaper. Videre hører vi tale om at relevante myndigheter i tillegg kan gis ansvar for å føre tilsyn med regulatoriske sandkasser, hvor aktørene kan eksperimentere med innovative digitale tjenester. Et utfyllende regelverk for digitale tjenester vil til sist kunne innføre noen obligatoriske krav for digitale selskaper til å samarbeide med myndighetene om informasjonsutveksling, for eksempel utleiestatistikk, skatteopplysninger, arbeidsmarkeds-forhold.

Flere aktører vil som nevnt være aktive denne høsten for å påvirke den endelige formen på lovforslaget, som det forventes Kommisjonen vil legge frem i løpet av 2020 eller tidlig i 2021. En grundig analyse av internettjenester og dagens e-handelsdirektiv, konsulentrapporter og og ikke minst prosjektet om innsyn i algoritmer, vil også danne grunnlag for fremleggelsen. Interesseorganisasjonene for ekomtilbyderne (ETNO), teknologiselskapene (CCIA) og musikkindustrien (IFPI) har begynt å arrangere felles workshops i Brussel for å diskutere «Digital Services Act», og en mulig revisjon av e-handelsdirektivet. I Parlamentet forbereder man seg også på et nytt lovforslag fra Kommisjonen som kan påvirke den vanskelige balansegangen mellom ytringsfrihet og ansvar for å overvåke ulovlig og skadelig innhold på nett. Som Patrick Breyer (Greens, DE) uttalte 18. juli: «In the worst case the Commission’s plans could make online platforms act as an ‘Internet police’ and ‘Internet censor’, and incentivize error-prone upload filters, which would violate the fundamental right to free speech».

Oppfølging av anbefalingen om sikkerhet i 5G-nett

Kommisjonen, ved sikkerhetskommisær Julian King, ga 19. juli en statusoppdatering om arbeidet med å kartlegge sikkerhetsrisiko i 5G infrastruktur. Dette er en oppfølging av EUs anbefaling fra 26.  mars 2019. Som King informerte om på pressekonferansen, har 24 medlemsstater nå fullført og overlevert til Kommisjonen den nasjonale kartleggingen av sårbarheter i nettverkskomponenter, funksjoner og leverandørkjeder for 5G-nett. De fire gjenstående landene vil oversende sine vurderinger i løpet av juli. Dermed er første fase av EUs tretrinns-tilnærmingen til dette temaet avsluttet. Som neste steg vil Kommisjonen, i samarbeid med medlemslandene og ENISA, utarbeide en felles risikovurdering på EU-nivå. ENISA foretar også parallelt en uavhengig vurdering av trusselslandskapet for 5G i EU, og Angelika Niebler (EPP, DE), som er gjenvalgt til Parlamentet og var saksordfører på cybersikkerhetsforordningen, har allerede etterlyst ENISAs tilnærming til 5G-sikkerhet. Den andre fasen skal være avsluttet innen 1. oktober 2019. Basert på risikovurderingene nasjonalt og på EU-nivå, vil NIS Cooperation Group i siste omgang innen 31. desember 2019 utarbeide en fells verktøykasse med virkemidler som kan implementeres nasjonalt og på EU-nivå. Disse tiltakene vil være myntet på å adressere de mest kritiske sårbarhetene som har blitt avdekket i løpet av prosessen. Som Kommisær King uttalte på pressekonferansen er endestasjonen klar: «ultimately to develop common minimum standards for cybersecurity of 5G networks across the EU».

Kommisjonen påpekte på pressekonferansen at arbeidet med de nasjonale sikkerhetsvurderingene allerede i flere tilfeller har ført til bedre samarbeid mellom ulike myndigheter med ansvar for cybersikkerhet, ekominfrastruktur og etterretningstjenester. King uttrykte ønske om at dette allerede kunne ha en umiddelbar effekt, og sette sikkerhet i førersetet for 5G-utrullingen som nå pågår i medlemslandene: «We hope that the outcomes will be taken into account in the process of 5G spectrum auctions and network deployment, which is taking place across the EU now and in the coming months».  Han gjorde også et poeng av å anerkjenne de tiltakene flere land allerede har innført eller har på trappene nasjonalt, og viste til Frankrike, hvor regelverk som krever forhåndsgodkjenning av leverandører og 5G-utstyr er foreslått, og Storbritannia, hvor regjeringens evaluering av leverandørkjeder fra 22. juli konkluderer med at et nytt sikkerhetsrammeverk for telekomsektoren er nødvendig. Polen er også blant landene som denne måneden har besluttet å innføre strengere sikkerhetskrav for 5G infrastruktur.

Av de ulike tiltakene som landene allerede har innført eller planlegger nasjonalt, er det tre utviklingstrekk som er verdt å merke, og som muligens også kan bli byggeklosser i en felleseuropeisk tilnærming. For det første, er det flere land, herunder Storbritannia, Nederland og Frankrike, som ønsker å innføre skiller i nettverkene, og for eksempel behandle kjernenettet, kritiske funksjoner eller strategisk viktige områder strengere enn radioaksessnettet (RAN), mindre sensitive komponenter og lite befolkede områder. Her er det imidlertid flere eksperter som peker på at ettersom mye av datatrafikken flytter seg til kanten («edge») i 5G infrastruktur er det vanskeligere å skille mellom kjerne- og aksessnett. Det gjenstår også å se hva nyvalgt statsminister Boris Johnson til slutt faller ned på med hensyn til Huaweis muligheter til å delta i utrullingen av 5G-nettene i Storbritannia.

For det andre, og uavhengig av spørsmålet om utstyr fra bestemte leverandører, har enkelte land, herunder Tyskland, fokusert på behovet for å oppgradere lovgivningen slik at myndighetene uansett har handlingsrom til å innføre nærmere bestemte standarder, krav til innrapportering fra utbyggere etc. Her er det selvsagt stor forskjell på om myndighetene gis mulighet til å annullere konkrete leverandørkontakter eller definere sikkerhetsstandarder som alle aktører i sektoren må forholde seg til (symmetrisk regulering). For det tredje, er det som nevnt noen land, inkludert Frankrike og Italia, som vurderer å gi utøvende myndighet (departement eller til og med statsministernivå) makt til å gripe inn direkte mot valg av leverandører og nettverksinfrastruktur, eller innføre krav om forhåndsgodkjenning. 

Det er interessant å merke reaksjonene fra Huawei som kom like etter at Kommisjonen hadde gitt sin statusoppdatering: «Huawei welcomes the fact-based approach that the EU plans to take in reviewing the national risk assessments of 5G network infrastructure (…) We are delighted to see that the European Commission is keeping security and trade considerations separate». Også mobilbransjen, representert ved GSMA, uttalte seg positivt om arbeidet som var gjort i EU så langt. Dette er imidlertid et stort og sammensatt sakskompleks. Diskusjonene vil garantert bli mer intense i løpet av høsten når flere land innfører nasjonale tiltak, og man også skal begynne å vurdere et sett med felles virkemidler på EU-nivå. Jan-Peter Kleinhans ved Stiftung Neue Verantwortung har laget en nyttig leseliste for enhver som ønsker å gå i dybden på diskusjonen rundt 5G-sikkerhet i Europa.

 

[1] OJ, 26.06.2019, CELEX 32019L1024

[2] OJ, 20.05.2019, CELEX 32019L0771

[3] OJ, 20.05.2019, CELEX 32019L0770

[4] OJ, 17.05.2019, CELEX 32019L0790

[5] OJ, 17.05.2019, CELEX 32019L0789

[6] OJ, 11.07.2019, CELEX 32019R1150

[7] OJ, 07.06.2019, CELEX 32019R0881