Europa-Parlamentet og Rådet vedtager omfattende regelsæt for bankafvikling i krisesituationer samt strengere miljøkrav for PFAS. Kommissionen præciserer udskydelse af cybernotifikation.
EU's seneste lovgivningsinitiativer griber dybt ind i både den finansielle sektor, miljøbeskyttelsen og it-sikkerheden. Med vedtagelsen af en stor bankafviklingspakke, et opdateret vandrammedirektiv med PFAS-grænser og supplerende cybersikkerhedsregler står danske virksomheder og myndigheder over for markante omstillinger.
Fra 2027 vil summen af fire specifikke PFAS-stoffer ikke måtte overstige blot 0,0044 mikrogram pr. liter i det europæiske grundvand. Denne strikse grænseværdi er et af de mest markante udslag i det netop vedtagne vandrammedirektiv, som sammen med en gennemgribende reform af bankafviklingsreglerne i den såkaldte CMDI-pakke og nye fortrolighedsregler under Cyber Resilience Act, udgør et massivt juridisk ryk fra Bruxelles.
For danske retsanvendere, pengeinstitutter, tech-producenter og miljømyndigheder betyder lovgivningspakkerne nye krav til compliance, der i flere tilfælde gør op med årtiers praksis.
CMDI pakken reformerer håndteringen af nødlidende banker
EU har netop sat punktum for forhandlingerne om CMDI-pakken (Crisis Management and Deposit Insurance), som skal sikre et mere harmoniseret indgreb, særligt når små og mellemstore banker risikerer at krakke. Indtil nu har EU's krisehåndteringsrammer reelt primært været tiltænkt de store systemisk vigtige finansielle institutter, mens de mindre indskudsfinansierede banker i krisetider oftest er blevet håndteret via uensartede nationale insolvensprocedurer – ikke sjældent med et ukontrolleret træk på skatteborgernes penge til følge.
For at rette op på dette ændrer Europa-Parlamentet og Rådet nu både BRRD-direktivet (direktiv (EU) 2026/806) og SRM-forordningen (forordning (EU) 2026/808). Det overordnede mål er at flytte regningen fra det offentlige tilbage til det branchefinansierede sikkerhedsnet.
I en dansk kontekst får dette særlig betydning for samspillet mellem Finanstilsynet og Finansiel Stabilitet. Bestemmelserne om tidlig indgriben forenkles betragteligt, og afviklingsmyndigheden får fremover vidtgående beføjelser til blandt andet at gennemtvinge ledelsesmæssige udskiftninger eller stille krav om, at banken udarbejder en konkret plan for frivillig afvikling. Samtidig undtages de specifikke vurderingsservices, der anvendes op til en bankafvikling, helt fra de generelle EU-udbudsregler, så myndighederne kan handle hurtigere.
Generel indskyderpræference og nye MREL krav
En af de absolut mest gennemgribende nyskabelser er indførelsen af en fuldt harmoniseret insolvensrangorden med en generel "indskyderpræference". Tidligere stod mange almindelige indskud næsten lige med andre usikrede krav, men fremover hæves de i prioritet:
- Første prioritet: Dækkede indskud og krav fra indskydergarantiordninger (DGS).
- Anden prioritet: Berettigede indskud fra fysiske personer, SMV'er og offentlige myndigheder over selve dækningsniveauet.
- Tredje prioritet: Øvrige indskud.
- Laveste prioritet: Almindelige usikrede krav.
Denne omkalfatring skal sikre, at man i højere grad respekterer princippet om, at ingen kreditor må stilles ringere under en kontrolleret afvikling end ved en almindelig konkurs ("no creditor worse off").
Samtidig strammes reglerne for de passiver, der må tælle med i minimumskravet til kapitalgrundlag og nedskrivningsrelevante passiver (MREL). Banker kan fremover kun lade indskud indgå i MREL-beregningen, hvis de ikke holdes af fysiske personer eller SMV'er, hvis de er bundet som tidsindskud med en oprindelig løbetid på over ét år, og hvor det af kontraktdokumentationen udtrykkeligt fremgår, at midlerne falder uden for indskydergarantien.
Hvor salg af virksomhed eller broinstitut anvendes selvstændigt eller kombineret med andre afviklingsværktøjer og fører til, at instituttet forlader markedet.
Brug af garantimidler og lønrestriktioner
Dette nedslag fra de nye direktivregler åbner op for, at de nationale indskydergarantiordninger – som den danske Indskydergarantifond – får udvidede muligheder. For små og mellemstore banker (op til 80 mia. euro i aktiver) kan garantimidlerne fremover bruges strategisk til at dække det obligatoriske tab på 8 procent, der kræves for, at afviklingsmyndighederne kan trække på Den Fælles Afviklingsfond. En regulær livline i situationer, hvor banken i sig selv ikke har tilstrækkelige bail-in-relevante passiver.
Variabel aflønning sættes ligeledes under lup. Bliver en bank taget under afvikling, skal udbetaling af bonusser og diskretionære pensioner straks annulleres. Lønandele i denne kategori, som allerede er udbetalt til ledelsen inden for de seneste 24 måneder, vil desuden som udgangspunkt skulle betales tilbage.
Revideret vandrammedirektiv indfører vitale miljøkvalitetskrav
På miljøområdet har den europæiske lovgiver taget markant affære over for den stigende trussel mod drikkevandet og vandmiljøet generelt. Direktiv (EU) 2026/805 tilretter og skærper i et hug både vandrammedirektivet, grundvandsdirektivet og direktivet om miljøkvalitetskrav.
Danmark har over de seneste år kæmpet med et stigende antal sager om PFAS-forurening ved brandøvelsespladser i eksempelvis Korsør og Lemvig, og der konstateres løbende pesticidrester i et tocifret procenttal af danske drikkevandsboringer. Med de nye EU-regler rettes et bredt juridisk angreb på netop denne form for kemisk stress i miljøet. Listen over prioriterede farlige stoffer udvides betragteligt med 25 nye substanser:
| Stofgruppe | Central grænseværdi / Betingelse |
|---|---|
| Summen af 4 PFAS | 0,0044 μg/l for grundvand (PFHxS, PFOS, PFOA, PFNA) |
| Bisphenol-A (BPA) | 0,025 μg/kg våd vægt i biota-miljøkvalitetskrav |
| Glyphosat | 0,1 μg/l i ferskvand anvendt til drikkevand |
| Medicinalrester | Skærpet overvågning af fx Ibuprofen, Diclofenac og antibiotika |
Nyt paradigme for overvågning og producentansvar
For Miljøstyrelsen og det brede arbejde med vandområdeplanerne (VP3) medfører direktivet en total omlægning på visse måleparametre. Eksempelvis bliver en række vandområdespecifikke forurenende stoffer nu flyttet over under fuldt harmoniserede EU-krav til kemisk tilstand.
Der gribes desuden fat om udledningen af lægemidler gennem et helt nyt krav om effektbaseret overvågning. I en toårig periode frem til udgangen af 2031 skal medlemslandene teste forekomsten af østrogene stoffer i vandforekomster ved hjælp af nye screeningsmetoder. Disse tekniske analyser skal afsløre den reelle biologiske effekt frem for blot at fokusere på simple stofkoncentrationer.
Bliver en stat presset af store oprensningsregninger, rækker EU-Kommissionen nu også en hånd ud; frem mod 2029 skal det undersøges, om der bør indføres en formel ordning for "udvidet producentansvar" i vandrammedirektivet. Det vil i givet fald betyde, at den kemiske industri samt medicin- og landbrugssektoren vil kunne tvinges til medfinansiering af de omfattende statslige overvågningsprogrammer.
Cybersikkerhed og fortrolighed under Cyber Resilience Act
Sideløbende med beskyttelsen af det fysiske miljø, fortsætter reguleringen af de digitale vande. Som opfølgning på den ambitiøse Cyber Resilience Act (CRA) har EU nu vedtaget en delegeret forordning, der præciserer reglerne for håndtering af it-sårbarheder og hackerangreb.
Delegeret forordning (EU) 2026/881 opstiller de juridiske rammer for, hvornår nationale CSIRT-enheder (Computer Security Incident Response Teams) kan vælge at udskyde videreformidling af indberettede, kritiske sikkerhedsbrister til det øvrige europæiske netværk.
Betingelser for tilbageholdelse af sikkerhedsdata
I Danmark udgør Center for Cybersikkerhed (CFCS) rollen som CSIRT under disse regler. Når en dansk teknologiproducent fremover opdager en kritisk og aktivt udnyttet sårbarhed, skal den omgående indberettes til de danske myndigheder. Spredes denne tekniske viden dog for hurtigt ud i et stort internt EU-system, risikerer man paradoksalt nok at give internationale hackere en direkte blueprint til angreb, hvis der endnu ikke er udviklet en afhjælpende opdatering (patch).
Den først modtagende CSIRT kan vælge at udskyde videreformidlingen i den periode, der er strengt nødvendig, på berettigede cybersikkerhedsmæssige grunde.
Ifølge retsakten kan CFCS lovligt tilbageholde de mest sensitive tekniske data under tre overordnede omstændigheder:
- Informationens karakter: Hvis risikoen for lækage af en udnyttelsesteknik overstiger værdien af den europæiske varsling. Gælder blandt andet, hvis producenten forventer at kunne udsende en opdatering inden for 72 timer.
- Den modtagende CSIRT's tilstand: Hvis et CSIRT-center i et andet EU-land selv meldes at være hacket, hvorved fortroligheden ikke kan sikres i netværket.
- EU-platformens tilstand: Såfremt EU's fælles indberetningsplatform styret af ENISA rammes af et digitalt nedbrud eller sikkerhedsbrist.
Undtagelserne er særdeles centrale for den private sektors vilje til at dele information under CRA-forordningen. Det sikrer, at virksomheder ikke behøver frygte, at deres transparens over for myndighederne ender som ammunition i de forkerte hænder. EU-Agenturet for Cybersikkerhed (ENISA) bevarer dog en særlig "fast track" adgang og skal uanset hvad underrettes øjeblikkeligt om generelle omstændigheder – ligesom de nationale myndigheder via NIS2-direktivet er bundet af stramme indberetningssløjfer.
Den Internationale Søfartsorganisation
