Vad som ändras den 9 december 2026

Det reviderade produktansvarsdirektivet, direktiv (EU) 2024/2853, ska skrivas in i varje medlemsstats nationella lagstiftning senast den 9 december 2026, och det gäller produkter som släpps ut på marknaden eller tas i bruk efter det datumet. Den största förändringen för varje ägare som levererar något digitalt är definitionen av en produkt. Mjukvara är nu uttryckligen en produkt, oavsett om den är inbäddad i en enhet, säljs för sig eller levereras som en tjänst. Fast programvara och AI-system faller inom samma tillämpningsområde.

Ansvarsstandarden bygger på strikt ansvar utan krav på vållande. I klartext måste en person som lider skada visa att produkten var defekt och att defekten orsakade skadan. Personen behöver inte bevisa att ditt företag var vårdslöst. Det är en annan och lägre tröskel än vad de flesta ägare är vana vid, och den flyttar bördan att undvika anspråket till tillverkaren innan produkten ens lämnar dörren.

Två detaljer som fångar digitala företag

Två specifika punkter i direktivet förtjänar en långsam läsning. För det första omfattar den ersättningsbara skadan uttryckligen förstörelse eller korruption av data som inte används för yrkesmässiga ändamål. En misslyckad uppdatering, en felaktig synkronisering eller en korrupt säkerhetskopia som raderar en kunds personliga filer är nu den typ av skada som regelverket är byggt för att ersätta, inte ett gränsfall du kan vifta bort. För det andra förutser direktivet defekter som uppstår när en produkt fortsätter att lära sig eller förändras efter att den har släppts ut på marknaden, vilket är det vardagliga beteendet hos ett AI-system som fortsätter att tränas i produktion.

Den tredje detaljen är den som stänger den vanliga flyktvägen. Du kan inte avtala bort detta ansvar genom dina användarvillkor eller ett slutanvändaravtal. En klausul som friskriver ansvar för mjukvarudefekter eller säkerhetsbrister håller inte mot en skadad person under detta regelverk. Det skydd du kanske har lutat dig mot i dina standardvillkor är, för detta ändamål, borta från bordet.

Vad du bör kontrollera under de kommande sex månaderna

De nationella införlivandena landar inte som en enhetlig text. En lägesrapport från medlemsstaterna i juni 2026 visade att ett betydande antal länder ännu inte hade tagit meningsfulla offentliga steg mot införlivande med ungefär sex månader kvar, och att de utkast som finns skiljer sig åt på punkter som invändningar och trösklar. Det innebär att den lag som faktiskt gäller för dig kan skilja sig beroende på i vilket land skadan inträffar, så en enda paneuropeisk mall räcker sannolikt inte, och du vill bekräfta läget marknad för marknad med en kvalificerad rådgivare.

En praktisk startlista, att diskutera med din egen jurist snarare än att agera på ensam: inventera varje del av mjukvara, fast programvara, AI eller SaaS som ditt företag släpper ut på marknaden, kartlägg vilka nationella lagar som gäller för dina kunder, granska dina användarvillkor för friskrivningar som inte längre binder, kontrollera vad dina produkt-, ansvars- och cyberförsäkringar faktiskt täcker för dataförlust och AI-beteende, och skärp din dokumentation av testning, uppdateringar och övervakning efter driftsättning, eftersom de bevis du kan lägga fram om en defekt under ett strikt ansvar utan krav på vållande spelar större roll än någonsin.