Nye regler strammer grebet om international overholdelse. Fra sikring af biologiske stoffer og BBNJ-aftalen om havets ressourcer til øget tilsyn med bankers operationelle risiko og certificering af IKT-cybersikkerhed.
Fra dybhavet til datacentret skærper EU og internationale aftaler nu kravene til dansk compliance. Forskere, banker, biotekvirksomheder og IKT‑leverandører møder samtidig nye krav til rapportering, sikring og dokumentation.---De seneste EU‑forordninger og danske bekendtgørelser viser en tydelig tendens: compliance bliver mere teknisk detaljeret, mere data‑tung og langt mere grænseoverskridende. BBNJ‑aftalen om havets biodiversitet, nye biosikringsregler, skærpet tilsynsrapportering for banker, EU’s cybersikkerhedscertificering og reglerne for Eurojusts IT‑system trækker alle i samme retning – mod tættere styring og dokumentation af risici på tværs af sektorer.(ft.dk) Hvor forskere tidligere kunne planlægge ekspeditioner til det åbne hav med begrænset formel rapportering, kræves nu detaljeret forhåndsnotifikation til en international clearing‑mekanisme. Hvor laboratorier arbejdede efter generelle sikkerhedsstandarder, mødes de nu af præcise krav til sårbarhedsvurderinger og sikringsplaner. Og hvor banker og IKT‑producenter rapporterede i bredere skemaer, skal de fremover dokumentere operationelle risici og cybersikkerhed på et langt mere granulært niveau.
Overblik over de nye complianceområder
| Område | Retsakt / instrument | Hovedpligt for danske aktører |%Rederi----------------------------|-----------------------------------------------------------------------------------------------------------|---------------------------------------------------------------------|%Rederi| Marine genetiske ressourcer| Bekendtgørelse om deling af fordele ved udnyttelse af marine genetiske ressourcer (BBNJ) | Forhåndsmeddelelse, dataforvaltningsplan, deponering og rapportering|%Rederi| Biosikring | Bekendtgørelse om sikring af visse biologiske stoffer, fremføringsmidler og relateret materiale | Tilladelser, sikringsplan, sårbarhedsvurdering, løbende tilsyn |%Rederi| CO2‑kvoteregister | Bekendtgørelse om EU's CO2‑kvoteregister og Det Danske Kyotoregister | Digital indberetning, fuld dokumentation, langvarig dataopbevaring |%Rederi| Banktilsyn | Gennemførelsesforordning 2025/2475 om tilsynsindberetning af operationel risiko | Nye rapporteringsskemaer, BI‑data, udbygget datakvalitet |%Rederi| Cybersikkerhed | Gennemførelsesforordning 2025/2462 om EUCC‑certificering af IKT‑produkter | Serien‑certificering, change‑styring, ”state‑of‑the‑art”‑dokumenter |%Rederi| Strafferetligt samarbejde | Gennemførelsesforordning 2025/2447 om Eurojusts decentraliserede IT‑system (JUDEX) | Tilpasning til e‑CODEX‑standarder og høje sikkerhedskrav |
Havets Genetiske Ressourcer og BBNJ Compliance
Den nye bekendtgørelse om deling af fordele ved udnyttelse m.v. af marine genetiske ressourcer fra områder uden for staters jurisdiktion implementerer BBNJ‑aftalens regler om marine genetiske ressourcer og tilhørende digital sekvensinformation i dansk ret. Bekendtgørelsen gælder eksplicit for aktiviteter knyttet til marine genetiske ressourcer i havområder uden for staters jurisdiktion og den digitale sekvensinformation herom, mens bl.a. almindeligt reguleret fiskeri og militære aktiviteter holdes uden for anvendelsesområdet. Dermed flyttes en stor del af den fremtidige dybhavsforskning og havbaserede bioteknologiske udvikling ind i en skarpere, traktatbaseret compliance‑ramme.(ft.dk) Kernen i bekendtgørelsen er en forpligtelse for den ansvarlige for indsamlingen in situ af marine genetiske ressourcer til at give en omfattende forhåndsmeddelelse til den BBNJ‑baserede clearing house‑mekanisme. Oplysningerne skal som udgangspunkt sendes flere måneder før indsamlingen og omfatter bl.a. formål og forskningsprogram, planlagte målorganismer, geografiske indsamlingsområder, fartøjers identitet og tekniske data, anvendt forskningsudstyr, dataforvaltningsplan samt muligheder for deltagelse af forskere – særligt fra udviklingslande. Væsentlige ændringer skal meddeles, og Miljøstyrelsen skal orienteres parallelt. Kombineret med BBNJ‑aftalens krav om deponering af både fysiske prøver og digital sekvensinformation i offentligt tilgængelige registre betyder det, at danske universiteter, forskningsinstitutioner, rederier og private virksomheder må opbygge robuste governance‑strukturer, der kan håndtere BBNJ‑identifikationskoder, rapporteringsrutiner og løbende dokumentation af fordelingsmekanismer, når forskningen omsættes til kommercielle produkter.(ft.dk)
Biosikring af Dual Use Biologiske Stoffer
Bekendtgørelsen om sikring af visse biologiske stoffer, fremføringsmidler og relateret materiale opdaterer og konsoliderer det danske biosikringsregime på baggrund af loven om sikring af visse biologiske stoffer m.v. Den gælder for de kontrolbelagte biologiske stoffer og fremføringsmidler, der er opført i bilag 1, og som samtidig er omfattet af EU’s eksportkontrolordning for produkter og teknologi med dobbelt anvendelse, når de kan misbruges til biologiske anslag mod mennesker. Hermed bindes den nationale biosikring tæt til EU’s dual‑use‑regulering og FN’s forbud mod biologiske våben.(biosikring.dk) Bekendtgørelsen skærper og præciserer bl.a.:- at besiddelse, fremstilling, anvendelse, opbevaring og overdragelse af kontrolbelagt materiale kun må ske med tilladelse - at Center for Biosikring og Bioberedskab (CBB) kan undtage visse stoffer eller mængder, hvor farlighed og misbrugspotentiale konkret vurderes som begrænset - at indenrigs‑ og sundhedsministeren – efter faglig rådgivning fra CBB – kan udvide bekendtgørelsens dækningsområde til nye biologiske stoffer og materialer, der vurderes at kunne bruges til biologiske anslag - at nøglebegreber som sårbarhedsvurdering og sikringsplan defineres og dermed bliver eksplicitte compliance‑værktøjer for virksomheder > Biosikring bevæger sig dermed fra at være et klassisk laboratorie‑sikkerhedstema til et egentligt sikkerhedspolitisk complianceområde, hvor dokumenterede sårbarhedsvurderinger, adgangskontrol, sporbarhed og uddannelse af en sikringsansvarlig er lige så centrale som de videnskabelige protokoller.(medarbejdere.au.dk) Praktisk betyder det, at hospitaler, universitetslaboratorier, biotek‑ og medicinalvirksomheder m.fl. skal sikre:- formel tilladelse fra CBB, før de arbejder med kontrolbelagte stoffer - udpegning og uddannelse af en sikringsansvarlig med dokumenteret kursusforløb hos CBB - udarbejdelse og løbende opdatering af sikringsplaner, herunder fysisk sikkerhed, adgangsstyring, IT‑sikkerhed og procedurer for bortskaffelse - intern kontrol og registrering af lagerenheder, overdragelser og hændelser, der kan udløse anmeldelsespligt Overtrædelser kan i grove tilfælde medføre både selskabsbøder og personligt strafansvar.(medarbejdere.au.dk)
Læs mere her: Lovguiden – Bekendtgørelse om sikring af visse biologiske stoffer, fremføringsmidler og relateret materiale
CO2 Kvoteregisteret som Digital Compliance Infrastruktur
Bekendtgørelsen om EU's CO2‑kvoteregister og Det Danske Kyotoregister placerer Erhvervsstyrelsen som national administrator for både EU’s CO2‑kvoteregister og det danske Kyoto‑register og supplerer EU‑forordningerne 389/2013 og 2019/1122 om driften af registrene. Den definerer centrale begreber som compliancekonto (bl.a. driftsleder‑, luftfarts‑ og søfartsoperatørkonti) og frivillig konto og fastlægger detaljerede procedurer for oprettelse, ændring og lukning af konti.(erhvervsstyrelsen.dk) Et markant element er kravet om, at kontohavere, kontorepræsentanter, verifikatorer og anmeldere som udgangspunkt skal bruge selvbetjeningsløsningen Virk Indberet til alle anmodninger – fra oprettelse og lukning af konti til ændringer af roller og upload af dokumentation. Samtidig lægger bekendtgørelsen et betydeligt ansvar på anmelderen og kontohaveren: den, der registrerer et forhold, indestår for, at registreringen er lovligt foretaget, at fuldmagter er i orden, og at dokumentationen er fuldstændig, ajourført og korrekt. Erhvervsstyrelsen får på sin side eksplicit hjemmel til at indhente oplysninger fra CVR, CPR, Skatteforvaltningen og andre registre – og til at opbevare persondata i op til ti år efter kontolukning eller ophør af repræsentation, bl.a. af hensyn til bekæmpelse af alvorlig økonomisk kriminalitet.(erhvervsstyrelsen.dk) For danske virksomheder med kvoteregistrerede anlæg betyder det, at CO2‑compliance ikke længere kun er et miljø‑ og energiretfelt, men også et data‑ og governance‑område, hvor AML‑ og sanktionshensyn, dokumentationskrav og langvarig dataopbevaring er centrale.
Læs mere her: Lovguiden – Bekendtgørelse om EU's CO2-kvoteregister og Det Danske Kyotoregister
Skærpet EU Tilsyn med Operationel Risiko i Banker
På det finansielle område indfører Kommissionens gennemførelsesforordning (EU) 2025/2475 nye krav til tilsynsindberetning af operationel risiko. Forordningen ændrer de tekniske gennemførelsesstandarder i gennemførelsesforordning (EU) 2024/3117 og knytter an til implementeringen af CRR3 og de seneste Basel III‑reformer.(europalov.no) Hvor banker tidligere kunne vælge mellem flere forskellige metoder til opgørelse af kapitalkravet for operationel risiko, er der nu ét samlet, ikke‑modelbaseret regime centreret om Business Indicator (BI)‑tilgangen. De nye ITS‑ændringer betyder bl.a.:- nye og opdaterede rapporteringsskemaer for operationel risiko - langt mere detaljerede data om komponenterne i Business Indicator, herunder hvilke indtægts‑ og omkostningstyper der skal medtages eller udelades - tæt kobling til FINREP‑rapporteringen, så tal kan afstemmes på tværs - forlængede overgangsbestemmelser for markedsrisikorapportering, så rapporteringssystemer kan omstilles uden at skabe databrud For danske kreditinstitutter oversættes dette til et stort IT‑ og dataarbejde: datalagre skal udvides, historiske data rekonstrueres efter nye definitioner, og interne kontoplaner mappes entydigt til EU‑skemaerne. Samtidig vil Finanstilsynet med mere granulære data få et skarpere billede af, hvilke forretningsområder der driver instituttets operationelle risiko, og hvordan hændelser, eksterne tab og outsourcing påvirker risikoprofilen.(eba.europa.eu)
Læs mere her: Lovguiden – Tilsynsindberetning af operationel risiko for banker og finansielle institutter i EU
Cybersikkerhedscertificering af IKT Produkter
På cybersikkerhedsområdet videreudvikler Kommissionens gennemførelsesforordning (EU) 2025/2462 det fælles europæiske certificeringsskema for IKT‑produkter (EUCC) under EU’s Cybersecurity Act. Forordningen ændrer gennemførelsesforordning (EU) 2024/482 og indfører bl.a. nye definitioner og regler om produktserier, assurance continuity og state‑of‑the‑art‑dokumentation.(digital-strategy.ec.europa.eu) Centralt står en ny mulighed for, at certificeringsorganer kan certificere produktserier – defineret som en gruppe IKT‑produkter fra samme ansøger, bygget på samme funktionelle grundlag til at imødekomme de samme sikkerhedsbehov, men med variationer i design, hardware, firmware eller software. Samtidig introduceres skelnen mellem ”minor change” og ”major change” i et certificeret produkt eller miljøet omkring det. Små ændringer, der ikke svækker sikkerhedsniveauet, kan håndteres gennem løbende assurance‑kontinuitet, mens større ændringer kræver fornyet evaluering. Desuden præciseres ansøgerens pligt til at stille bl.a. en engelsk version af sikkerhedsmålsætningen til rådighed for certificeringsorgan og evalueringslaboratorium.(eur-lex.europa.eu) For danske hardware‑ og softwareleverandører, herunder producenter af netværksudstyr, industrielle styringssystemer og sikkerhedssoftware, ændrer dette den praktiske compliance‑opgave:- produktudvikling og release‑management skal indrettes, så hver ny version klassificeres som minor eller major change i forhold til EUCC‑certifikatet - teknisk dokumentation skal løbende opdateres, så den afspejler ”state of the art” – både ift. trusselsbillede og relevante standarder - der skal være klare interne processer for, hvornår en ændring kræver kontakt til certificeringsorganet og mulig recertificering > Cybersikkerhed rykker dermed fra at være et ”one‑off” certificeringsprojekt til en livscyklusstyret complianceproces, hvor hver patch, feature‑udvidelse og produktvariant vurderes op mod EUCC‑skemaets krav.(digital-strategy.ec.europa.eu)
Læs mere her: Lovguiden – Cybersikkerhedscertificering af IKT-produkter Regler for produktserier og vedligeholdelse
Eurojusts Digitale Nervesystem JUDEX
Kommissionens gennemførelsesforordning (EU) 2025/2447 fastlægger de tekniske specifikationer, sikkerhedstiltag og krav til den decentraliserede IT‑infrastruktur, der skal bruges til sikker behandling og kommunikation af oplysninger mellem Eurojust og medlemsstaternes kompetente myndigheder – det såkaldte Justice Digital Exchange System (JUDEX). Forordningen udspringer af Eurojust‑forordningen 2018/1727 og bygger på e‑CODEX‑infrastrukturen.(eur-lex.europa.eu) Bilagene til forordningen beskriver detaljeret:- krav til brug af sikre protokoller som HTTPS og brug af elektroniske signaturer og segl for at sikre non‑repudiation af både afsender og modtager - tekniske og organisatoriske mål for tilgængelighed, integritet og fortrolighed i den decentraliserede arkitektur - digitale processtandarder for elektronisk kommunikation af straffesager - formater og tekniske krav til overførsel af fingeraftryk og fotografier Selv om Danmark pga. retsforbeholdet formelt ikke er bundet af forordningen, er den praktiske betydning for dansk politi og anklagemyndighed betydelig, fordi Eurojusts systemer kommer til at sætte de facto‑standarden for sikker, digital informationsudveksling i komplekse, grænseoverskridende straffesager. Endvidere har Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) afgivet formelle bemærkninger til udkastet, hvilket understreger, at databeskyttelse og cybersikkerhed tænkes sammen fra designfasen.(edps.europa.eu)
Læs mere her: Lovguiden – Regler for Eurojusts IT-system (JUDEX) til sikker udveksling af strafferetsoplysninger
Praktiske Greb til EU Compliance på Tværs af Domæner
Selv om de nye regler rammer vidt forskellige sektorer, peger de på nogle fælles compliance‑greb, som danske aktører med fordel kan styrke:- Styrket data governance – Marine genetiske ressourcer, CO2‑kvoter, operationelle risikodata, logfiler i JUDEX og teknisk dokumentation for IKT‑produkter har det til fælles, at de skal kunne spores, valideres og eksporteres i standardiserede formater. Dataarkitektur og metadata bliver dermed et kerne‑compliance‑spørgsmål, ikke blot et IT‑anliggende. - Formel rollefordeling og ansvar – BBNJ‑bekendtgørelsen taler om ”ansvarlig for indsamlingen in situ”, biosikringsreglerne om ”sikringsansvarlig”, CO2‑kvoteregisteret om ”anmelder” og ”kontorepræsentant”, og bankreglerne om indberetningsansvarlige funktioner. Alle steder kræves det, at en identificerbar person eller funktion bærer ansvaret for, at oplysninger er korrekte og rettidige. - Forhåndsplanlægning og tidsfrister – BBNJ kræver detaljeret forhåndsmeddelelse om ekspeditioner; bankernes nye operationelle risikorapportering forudsætter langvarigt dataforberedelsesarbejde; EUCC‑certificering af produktserier forudsætter, at man tidligt i udviklingsforløbet tænker ændringsstyring og dokumentation ind. - Integration af sikkerhed og compliance – Biosikring, cybersikkerhed og Eurojusts IT‑infrastruktur viser, at fysisk, biologisk og digital sikkerhed ikke længere er sideløbende spor, men integrerede elementer i samme compliance‑ramme. Sikkerhedsarkitektur, adgangsstyring og hændelsesrespons skal derfor kunne dokumenteres både over for tilsynsmyndigheder og certificeringsorganer. For danske aktører, der opererer på tværs af felter – eksempelvis finansielle institutioner med store IKT‑miljøer, universiteter med både biotekforskning og datatunge projekter, eller energiselskaber med CO2‑konti og OT‑systemer – ligger der et klart incitament til at tænke fælles governance‑strukturer frem for siloer.
Fremadrettede Perspektiver for Dansk EU Compliance
De aktuelle retsakter er næppe slutpunktet, men snarere første bølge i en mere finmasket regulering, hvor EU‑rettens tekniske standarder og internationale aftaler som BBNJ griber dybt ind i den daglige drift. Næste skridt kan meget vel blive yderligere sektor‑specifik harmonisering – f.eks. samspillet mellem EUCC‑certificering og kommende NIS2‑implementering, mellem operationel risikorapportering og nye krav til cyberhændelsesrapportering i den finansielle sektor, eller mellem BBNJ‑reglerne og fremtidige globale ordninger for deling af digitale genetiske data.(eur-lex.europa.eu) I den virkelighed vil danske virksomheder og myndigheder, der tidligt investerer i fælles datamodeller, robuste compliance‑funktioner og tæt dialog mellem jura, fagafdelinger og IT, stå væsentligt stærkere – uanset om det gælder prøver fra dybhavet, kritisk laboratorieudstyr, bankernes tabsdata eller krypterede strafferetsoplysninger i et europæisk netværk af sikre digitale knudepunkter.
