Regjeringen har varslet at et forslag til oppdatering av lov om etterretningstjenesten vil bli lagt fram for Stortinget i 2020. Tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon (tidligere omtalt som digitalt grenseforsvar) er sentralt, og da forslaget var på høring i 2018, ble det vist til en kommende avgjørelse i sak C-623/17 i EU-domstolen. I høringsnotatet argumenterer Forsvarsdepartementet for at EUs kommunikasjonsverndirektiv ikke kommer til anvendelse for tiltak innenfor nasjonal sikkerhet.

Generaladvokatens uttalelse omfatter i alt fire saker knyttet til kommunikasjonsverndirektivet og EU-landenes behov for datalagring grunnet nasjonal sikkerhet. Det er kun sak C-623/17, om gyldigheten til den britiske loven, som handler om etterretningstjenestens «bulkinnsamling» av data, det vil si at etterretningstjenesten samler inn store mengder informasjon i form av metadata før de eventuelt gjør søk. Det er i denne saken Norge har avgitt innlegg. I pressemeldingen fra EU-domstolen står det følgende: «Generaladvokaten mener at til tross for artikkel 4 i EU-traktaten - hvor nasjonal sikkerhet er det eksklusive ansvaret for hvert medlemsland - er direktivet til hinder for den britiske lovgivningen». Stortbritannia ble i 2018 dømt i Den europeiske menneskerettsdomstol for praksisen med bulkinnsamling av data.

Uttalelsen fra generaladvokaten er en bekreftelse på Tele2/Watson-dommen fra 2016, og gjentar at medlemslandene ikke kan pålegge teleoperatørene en generell datalagringsplikt, det vil si å lagre trafikk- og lokasjonsdata om alle brukerne. Det slås nå fast at dette også gjelder uavhengig av om disse forpliktelsene pålegges av hensyn til nasjonal sikkerhet. Samtidig erkjenner generaladvokaten nytten av en slik forpliktelse for å ivareta nasjonal sikkerhet og bekjempe terrorisme. Denne forpliktelsen må imidlertid være begrenset til kun å omfatte kategorier av data som er avgjørende for å oppnå målet. Oppbevaringstiden må differensieres, tilgangen til data må begrenses, og det må være regler som hindrer misbruk av data. På bakgrunnen av dette konkluderer generaladvokaten med at lovgivningen i Frankrike, Belgia og Storbritannia ikke er i tråd med kommunikasjonsverndirektivet. En endelig avgjørelse i EU-domstolen er ventet i løpet av de nærmeste månedene.

Helt siden datalagringsdirektivet ble kjent ugyldig av EU-domstolen i 2014, har det vært diskusjoner i EU om man kan komme fram til løsninger eller retningslinjer for datalagring på EU-nivå. For tiden foregår denne diskusjonen i forbindelse med et forslag til revisjon av kommunikasjonsverndirektivet, hvor Europakommisjonen foreslår å gjøre direktivet om til en forordning. Forslaget til kommunikasjonsvernforordning (ofte omtalt som ePrivacy) ble lagt fram i januar 2017. Medlemslandene har ennå ikke blitt enige om en felles posisjon. Flere land har ønsket å introdusere en ny hjemmel i forordningen knyttet til datalagring.

I forbindelse med høringen i Norge i 2017 om forslaget til ny kommunikasjonsvernforordning skrev Etterretningstjenesten i sitt høringssvar at det er «sentralt at det ikke dannes en rettsoppfatning om at lagring og behandling av kommunikasjonsdata for utenlandsetterretningsformål reguleres av EUs kommunikasjonsforordning».