Europakommisjonen har fremlagt et forslag om forlengelse av forordning (EU) 2021/1232, som gir et midlertidig unntak fra taushetsplikt og sletteplikt i kommunikasjonsverndirektivet for nummeruavhengige person-til-persontjenester i forbindelse med avdekking av overgrepsmateriale som gjelder barn («Child Sexual Abuse Material» - CSAM). De midlertidige reglene gjelder imidlertid bare frem til 3. april 2026. 11. mai 2022 fremla Kommisjonen et forslag til permanente regler, den såkalte «CSAM-forordningen». Dette er imidlertid fortsatt ikke vedtatt, og Kommisjonen foreslår derfor nå en forlengelse av de midlertidige reglene til 3. april 2028.

Kommisjonen skriver i pressemeldingen at forslaget «bridges the period until the long-term legislation to tackle child sexual abuse online, put forward by the Commission in 2022, is approved». I lys av tidsfristen for utløpsdatoen for de gjeldende reglene, haster det imidlertid også med å få vedtatt forlengelsen, og Kommisjonen understreker at det nå er opp til Europaparlamentet og Rådet å få vedtatt forlengelsen.

De midlertidige reglene som nå foreslås forlenget, ble vedtatt i 2021 som følge av at EUs Electronic Communications Code (direktiv (EU) 2018/1972, en modernisering av en rekke direktiver om elektroniske kommunikasjonstjenester (ekomtjenester)), la nummeruavhengige person-til-persontjenester inn under ekomreguleringen. Dermed ble disse tjenestene også omfattet av kommunikasjonsverndirektivets krav om konfidensialitet i kommunikasjon og sletteplikt (se forordning (EU) 2021/1232, fortalen avsnitt 2). Dette innebar at tilbydere av slike tjenester ikke lenger kunne kontrollere kommunikasjonen for overgrepsmateriale og rapportere dette til myndighetene. I påvente av en mer permanent regulering ble derfor det midlertidige unntaket vedtatt.

Selv om den midlertidige forordningen på visse vilkår tillater unntak fra kommunikasjonsverndirektivets taushets- og sletteplikter, pålegger den ikke tilbyderne noe aktiv oppsporingsplikt. Da Kommisjonen i mai 2022 fremla forslaget til CSAM-forordning, var et viktig grep at tilbyderne kunne pålegges en såkalt «sporingsordre», dvs. plikt til å spore opp og rapportere CSAM på tjenesten. I begrunnelsen for forslaget skrev Kommisjonen blant annet at «Certain providers already voluntarily use technologies to detect, report and remove online child sexual abuse on their services. Yet the measures taken by providers vary widely, with the vast majority of reports coming from a handful of providers, and a significant number take no action. The quality and relevance of reports received by EU law enforcement authorities from providers also varies considerably. […] Despite the important contribution made by certain providers, voluntary action has thus proven insufficient to address the misuse of online services for the purposes of child sexual abuse.» I den medfølgende konsekvensutredningen (Impact Assessment) viste Kommisjonen blant annet til at større og større bruk av ende-til-ende-kryptering ville gjøre frivillig rapportering mindre og mindre effektivt: «Existing detection efforts risk being severely hampered by the introduction of encryption in online services, which in spite of its benefits for cybersecurity and the protection of users’ fundamental rights, such as freedom of expression, privacy, and data protection, also makes the detection of CSA online and the protection of fundamental rights of the victimised children more difficult, when not impossible». Se nærmere omtale av forslaget i EU/EØS-nytt 25. mai 2022.

Kommisjonens forslag viste seg raskt å bli svært kontroversielt, og da særlig forslaget om at sporingsordre også skulle kunne brukes på ende-til-ende-krypterte tjenester. Europaparlamentets LIBE-komité vedtok 16. november 2023 sin posisjon, som holdt ende-til-ende-krypterte tjenester utenfor sporingsordresystemet, og presiserte at bruk av sporingsordre skulle være en «siste utvei». 22. november ga parlamentet i plenum sin støtte til dette, og klarsignal for å innlede trilogforhandlinger (se Europaparlamentets «Procedure File»). Se nærmere omtale av debatten og vedtaket i Europaparlamentet i EU/EØS-nytt 30. oktober og 21. november 2023.

I Rådet viste det seg derimot svært vanskelig å komme til en enighet, med steile fronter mellom medlemsland som ønsket sterke virkemidler mot CSAM og medlemsland som mente forslaget var et uakseptabelt inngrep i personvernet. Både det polske formannskapet våren 2025 og det danske høsten 2025 fremla kompromissforslag, se omtale i EU/EØS-nytt 1. september 2025. Rådet kom endelig til en felles posisjon 26. november 2025. Rådets posisjon er at det midlertidige unntaket bør gjøres permanent, men gir ikke tilslutning til Kommisjonens opprinnelige forslag om obligatoriske sporingsordre. Rådets posisjon innfører også en ny inndeling av tjenestetilbydere i ulike risikokategorier, med ulike plikter til å forebygge og avhjelpe bruk av tjenesten til spredning av CSAM.

At Rådet har vedtatt sin posisjon, betyr at trilogforhandlinger kan begynne. Det anses imidlertid urealistisk å få vedtatt forordningen før april 2026.

Betydning for Norge

Både den midlertidige forordningen av 2021, forslaget til CSAM-forordning, ekomkoden og kommunikasjonsverndirektivet er EØS-relevante. Det har imidlertid vært betydelig forsinkelse i innføringen av nye regler om nummeruavhengige person-til-person-tjenester i EØS-avtalen: Ekomkoden (direktiv (EU) 2018/1972) ble vedtatt innlemmet i EØS-avtalen i 2021, men grunnet forfatningsmessige krav, blant annet krav om stortingssamtykke i Norge, trådte den ikke i kraft før 1. februar 2025, og frem til dette ville dermed ikke kommunikasjonsverndirektivets regler gjelde for nummeruavhengige person-til-person-tjenester i EFTA-pilaren. I Norge ble samtykke og nødvendige lovendringer vedtatt av Stortinget henholdsvis 5. november (samtykke) og 12. november (lov) 2024, og ny lov trådte i kraft 1. januar 2025. Loven ga også hjemmel for å innta den midlertidige forordningen som forskrift (se § 3-10 siste ledd og § 3-11 siste ledd) og ekomforskriften § 3-7. Både hjemmelen i ekomloven og inkorporasjonen i ekomforskriften ble imidlertid gjort uten at den midlertidige forordningen var formelt innlemmet i EØS-avtalen: Dette skjedde først ved EØS-komiteens beslutning av 5. desember 2025. Denne er fortsatt ikke trådt i kraft. Fordi norsk lov og forskrift her har vært i forkant, har vi likevel i praksis hatt like regler som EU siden 1. januar 2025. Det antas derfor at også den nye forlengelsesfororordningen vil bli innført raskt.