فهرست محتوا
با شتاب گرفتن تصویب مقررات جدید، بر اساس گزارش «چشمانداز مقررات دیجیتال و ESG ۲۰۲۵–۲۰۳۰» شرکت IoT Analytics، ۴۱ سند قانونی کلیدی شناسایی شدهاند که بر نحوه فعالیت سازمانها در سراسر جهان اثر میگذارند. چهار مقرره اتحادیه اروپا—قانون تابآوری سایبری (CRA)، قانون داده اتحادیه اروپا (Data Act)، قانون هوش مصنوعی اتحادیه اروپا (AI Act) و دستورالعمل گزارشگری پایداری شرکتی (CSRD)—بالاترین امتیاز اثرگذاری را دریافت کردهاند.
چرا مهم است
مقررات جدید معمولاً با جریمههای مالی و تبعات عملیاتی شدید برای عدمانطباق همراهاند. بنگاهها باید دامنه اثر هر مقرره را بر عملیات خود بشناسند و با همکاری تیمهای حقوقی، انطباق را تضمین کرده و برای سازگاری با مقررات در شرف اجرا آماده شوند.
مقدمه: رادار مقررات نوظهور
نمودار: رادار مقررات دیجیتال و ESG ۲۰۲۵ – اثرگذارترین قوانین در راه
بیش از ۴۰ مقرره جدید یا اصلاحشده تا سالهای آینده بر فعالیت سازمانها در سطح جهانی اثر خواهد گذاشت. طبق گزارش IoT Analytics (منتشرشده در اوت ۲۰۲۵)، این شتاب ناشی از بهروز نبودن قوانین موجود، نوآوریهای سریع تکنولوژیک و مطالبات فزاینده برای پاسخگویی شرکتی در حوزههای داده، هوش مصنوعی و اثرات زیستمحیطی/اجتماعی/حاکمیتی (ESG) است؛ با پیشتازی اتحادیه اروپا. تیم تحلیل این شرکت ۴۱ مقرره آتی یا بهتازگی بهروزشده را که بر بنگاهها اثر میگذارند، با تمرکز بر اتحادیه اروپا، ایالات متحده، چین و بریتانیا شناسایی کرده است.
چهار مقرره با «اثر بسیار بالا» در اتحادیه اروپا
چهار مقرره زیر—همگی از اتحادیه اروپا—بهعنوان قوانین با اثر کلی بسیار بالا طبقهبندی شده و نیازمند توجه فوری از سوی شرکتهای فعال در بازار اتحادیه اروپا هستند:
۱) قانون تابآوری سایبری (CRA)
دامنه اثر: همه نهادهایی که محصولات دارای عناصر دیجیتال (PDE) را در بازار اتحادیه اروپا تولید، وارد یا توزیع میکنند.
الزامات کلیدی: تعهدات سختگیرانه امنیت سایبری برای سازندگان و مهلتهای فشرده برای گزارشدهی رخدادها.
هزینه اجرا/شدت جریمه: هر دو بسیار بالا.
۲) قانون داده اتحادیه اروپا (Data Act)
دامنه اثر: همه سازندگان محصولات متصل در بازار اتحادیه اروپا، کاربران و گیرندگان داده این محصولات، دارندگان و پردازشگران داده و نهادهای بخش عمومی.
الزامات کلیدی: حق دسترسی کاربر به داده محصول، تنظیم اشتراکگذاری B2B، حذف هزینههای تغییر ارائهدهنده ابر و حذف «اسرار تجاری» بهعنوان معافیت از دسترسی به داده.
هزینه اجرا/شدت جریمه: هر دو بسیار بالا.
۳) قانون هوش مصنوعی اتحادیه اروپا (AI Act)
دامنه اثر: توسعهدهندگان، بهرهبرداران و کاربران (غیرمصرف شخصی)، همچنین واردکنندگان، فروشندگان مجدد و توزیعکنندگان سامانههای هوش مصنوعی.
الزامات کلیدی: طبقهبندی ۴ سطح ریسک از غیرقابلقبول تا کمریسک؛ ارزیابی انطباق و ثبت اجباری برای سامانههای پرریسک؛ الزامات خاص برای GenAI شامل برچسبگذاری محتوا.
هزینه اجرا/شدت جریمه: هر دو بسیار بالا.
۴) دستورالعمل گزارشگری پایداری شرکتی (CSRD)
دامنه اثر: شرکتهای بزرگ (بر اساس معیارهای درآمدی)، شرکتهای بورسی EU، بانکها و بیمهها و زیرمجموعههای اروپایی شرکتهای غیراروپایی—در مجموع حدود ۶۰٬۰۰۰ شرکت.
الزامات کلیدی: الزامات گزارشگری ESG و استراتژی پایداری و حسابرسی مستقل گزارشها.
هزینه اجرا: بسیار بالا؛ شدت جریمه: نسبتاً بالا.
فهرست ۴۱ مقرره شناساییشده: هدف، ذینفعان و جریمهها
بر اساس دستهبندی اصلی گزارش: داده، امنیت سایبری، هوش مصنوعی و پایداری.
۱) مقررات داده (Data Regulations)
استاندارد طلایی EU در حریم خصوصی: GDPR همچنان معیار جهانی حفاظت از دادههای شخصی است؛ با حقوق کاربر قوی، الزام به گزارش رخداد و جریمههای سنگین. برخی ایالتهای آمریکا مانند کالیفرنیا قوانین همسو تصویب کردهاند. در چین قوانین داده با تمرکز بر امنیت ملی و کنترل انتقال برونمرزی داده اجرا میشود.
| مقرره | منطقه | توضیح | مشمولین | جریمه/تبعات عدمانطباق |
|---|---|---|---|---|
| California Privacy Rights Act (CPRA) | آمریکا | تنظیم استفاده از دادههای شخصی ساکنان کالیفرنیا، محدودسازی اشتراکگذاری برای تبلیغات هدفمند، حفاظت از حقوق تصحیح/حذف | کسبوکارهای انتفاعی جمعآوری/پردازش/اشتراک داده کالیفرنیاییها که دستکم یکی از معیارها را داشته باشند: درآمد ≥ ۲۵میلیون دلار؛ داده ≥ ۱۰۰هزار مصرفکننده/خانوار؛ ≥۵۰٪ درآمد از فروش/اشتراک داده | تا ۷٬۵۰۰ دلار بهازای هر تخلف عمدی + محدودیتهای عملیاتی/دستور افشا |
| Data Act (قانون داده EU) | EU | به رسمیت شناختن دسترسی به دادههای غیرشخصی، تنظیم اشتراکگذاری بین شرکتها/دولت، پرداختن به داده شخصی در زمینههای خاص | سازندگان محصولات متصل، کاربران EU، گیرندگان داده EU، دارندگان داده، ارائهدهندگان خدمات پردازش داده EU، و نهادهای عمومی درخواستکننده داده | جریمهها توسط کشورهای عضو؛ برای نقض داده شخصی، مقررات GDPR اعمال میشود |
| Data Governance Act (DGA) | EU | قواعد بازاستفاده از داده بخش عمومی، تنظیم میانجیگری داده و ایجاد هیأت نوآوری داده EU برای اعتمادسازی در اشتراکگذاری | نهادهای بخش عمومی دارنده داده، ارائهدهندگان خدمات میانجیگری، سازمانهای نوعدوستی داده، اشخاص حقیقی/حقوقی، هیأت نوآوری داده EU | جریمهها و تبعات عملیاتی توسط کشورهای عضو |
| Data Protection Act (DPA) | بریتانیا | تنظیم استفاده از دادههای شخصی توسط سازمانها/کسبوکارها/دولت؛ اعطای حقوق به افراد؛ همسویی با GDPR | همه شرکتها/نهادهای پردازشگر داده در بریتانیا (کنترلر/پردازشگر) | تا ۱۷.۵میلیون پوند یا ۴٪ درآمد—هرکدام بالاتر |
| Data Security Law (DSL) | چین | تنظیم همه فعالیتهای داده در چین با کنترل سخت برای دادههای مهم/هستهای | همه گردانندگان داده، بهویژه متصدیان دادههای مهم، هسته ملی، اپراتورهای زیرساخت حیاتی، و نهادهای دولتی | تا ۱۰میلیون یوان (~۱.۵میلیون دلار) + محدودیت عملیاتی/افشا/پیگرد کیفری |
| Digital Markets Act (DMA) | EU | تعهدات/محدودیتها برای دروازهبانها (پلتفرمهای بزرگ) | نهادهای دارای گردش مالی ≥ ۷.۵میلیارد یورو، فعالیت در ≥ ۳ کشور EU، ≥ ۴۵میلیون کاربر نهایی ماهانه و ۱۰هزار کاربر کسبوکار سالانه | تا ۲۰٪ درآمد سالانه |
| Digital Services Act (DSA) | EU | الزامات برای خدمات/پلتفرمهای دیجیتال: مقابله با محتوای غیرقانونی، شفافیت و کاهش ریسک | ارائهدهندگان خدمات واسط، میزبانی، پلتفرمهای آنلاین، موتورهای جستجو | تا ۶٪ درآمد سالانه |
| GDPR | EU | چارچوب جامع جمعآوری/پردازش/حفاظت از دادههای شخصی | همه نهادهای پردازشگر داده در EU | تا ۲۰میلیون یورو یا ۴٪ درآمد جهانی + دستورات عملیاتی |
| HIPAA | آمریکا | حریم خصوصی/امنیت/محرمانگی داده سلامت (PHI) | طرحهای سلامت، مراکز تبادل، ارائهدهندگان سلامت و پیمانکاران آنها | تا ۲۵۰هزار دلار + محدودیت عملیاتی/افشا/حبس تا ۱۰ سال |
| PIPL | چین | قانون جامع دادههای شخصی؛ جمعآوری/استفاده/ذخیره/انتقال/افشا | گردانندگان داده اشخاص در چین، اپراتورهای زیرساخت حیاتی، پلتفرمهای بزرگ | تا ۵۰میلیون یوان (~۷میلیون دلار) یا ۵٪ درآمد + محدودیت/محرومیت مدیریتی |
۲) مقررات امنیت سایبری (Cybersecurity)
روند کلی: اتحادیه اروپا، آمریکا، بریتانیا و چین در حال سختگیرانهتر کردن قوانین امنیت سایبریاند. برای محصولات دیجیتال و متصل، عدمانطباق ممکن است به خروج از بازار منجر شود.
| مقرره | منطقه | توضیح | مشمولین | جریمه/تبعات عدمانطباق |
|---|---|---|---|---|
| CIRCIA | آمریکا | الزام به گزارش رخدادهای سایبری و پرداخت باجافزار به CISA برای زیرساختهای حیاتی | همه نهادهای عمومی/خصوصی در بخشهای حیاتی طبق PPD-21 | جریمههای دعوای مدنی + دستور افشا |
| Cyber Resilience Act (CRA) | EU | استانداردهای امنیتی و الزامات اجباری طراحی برای محصولات دیجیتال؛ مدیریت آسیبپذیری در طول عمر | تولیدکنندگان PDE، واردکنندگان و توزیعکنندگان | حداقل ۱۵میلیون یورو یا ۲.۵٪ درآمد جهانی—هرکدام بالاتر + ممنوعیت/تعلیق |
| CISA Act | آمریکا | ایجاد آژانس CISA و تقویت حفاظت از زیرساختهای حیاتی | نهادهای فدرال/ایالتی/محلی و اپراتورهای زیرساخت حیاتی | بدون جریمه مستقل مگر در قوانین دیگر |
| Cybersecurity Law | چین | امنیت شبکه، حفاظت داده شخصی و زیرساخت حیاتی | اپراتورهای شبکه/زیرساخت حیاتی، عرضهکنندگان محصول شبکه، پردازشگران داده شخصی/برونمرزی | تا ۱میلیون یوان + ممنوعیت/تعلیق/لغو مجوز |
| DORA | EU | چارچوب مدیریت ریسک ICT برای مالی و نظارت بر تأمینکنندگان کلیدی ثالث | بانکها، بیمهها، مدیران دارایی، رمزارزها، و ارائهدهندگان ICT آنها | جریمهها توسط کشورهای عضو + تبعات عملیاتی |
| EO 14028 | آمریکا | الزامات امنیتی و SBOM برای زنجیره تأمین نرمافزار در آژانسهای فدرال | آژانسهای فدرال، پیمانکاران حیاتی، CSPها، فروشندگان نرمافزار/سختافزار | بدون جریمه پولی؛ تعلیق/محرومیت از قراردادها ممکن است |
| EU Cybersecurity Act | EU | اختیارات ENISA و چارچوب گواهینامه سایبری EU | ENISA و ارائهدهندگان ICT (داوطلبانه/الزام مقررات دیگر) | جریمهها توسط کشورهای عضو + تعلیق/ممنوعیت |
| IoT Cybersecurity Improvement Act | آمریکا | حداقل استانداردهای امنیت برای دستگاههای IoT خریداریشده توسط دولت فدرال | آژانسهای فدرال، تولیدکنندگان/فروشندگان IoT به دولت | بدون جریمه پولی؛ تعلیق/از دستدادن مجوز/قرارداد |
| NIST CSF 2.0 | آمریکا | راهنمای ۶ کارکرد اصلی: حاکمیت، شناسایی، محافظت، کشف، پاسخ، بازیابی | آژانسهای فدرال و بخشهای حیاتی در صورت الزام سایر اسناد | بدون جریمه مستقل |
| NSI Act | بریتانیا | تنظیم تملکها با ریسک امنیت ملی در ۱۷ بخش حساس | تملکهای داخلی/برونمرزی با اثر بر کسبوکار/دارایی/مالکیت فکری UK | حداقل ۱۰میلیون پوند یا ۵٪ درآمد + ابطال معامله |
| NIS2 | EU | الزامات مدیریت ریسک امنیت، انطباق مدیریتی و گزارشدهی رخداد؛ جایگزین NIS 2016 | نهادهای عمومی/خصوصی همه اندازهها در EU | حداقل ۱۰میلیون یورو یا ۲٪ درآمد جهانی |
| PSTIA | بریتانیا | الزامات امنیت سایبری برای تولیدکنندگان/واردکنندگان/توزیعکنندگان محصولات هوشمند مصرفی | همه نقشها در زنجیره محصولات هوشمند UK | حداقل ۱۰میلیون پوند یا ۴٪ درآمد |
| Reg. 2023/2841 | EU | تدابیر مشترک امنیت سایبری برای نهادهای اتحادیه اروپا | نهادها، دفاتر و آژانسهای EU | بدون جریمه؛ تعلیق/هشدار/توصیه |
| Reg. 2024/482 (EUCC) | EU | قواعد و الزامات طرح گواهینامه معیارهای مشترک اروپا | تولیدکنندگان/واردکنندگان/توزیعکنندگان محصولات ICT مشمول EUCC | جریمهها توسط کشورهای عضو + تعلیق/ممنوعیت |
| Telecommunications (Security) Act | بریتانیا | الزامات قانونی برای تامینکنندگان شبکههای مخابراتی | اپراتورها، تأمینکنندگان تجهیزات، MSPهای مخابراتی | حداقل ۱۰میلیون پوند یا ۱۰٪ درآمد + تعلیق/لغو مجوز |
۳) مقررات هوش مصنوعی (AI Regulations)
تصویر کلان: پیشرفت AI سریعتر از قانونگذاری است. بسیاری کشورها هنوز چارچوب الزامآور ندارند. EU رویکرد قاعدهمحور و سختگیرانه، آمریکا رویکرد نوآوریمحور و چین چارچوب کنترلمحور دولتی را پیش گرفتهاند.
| مقرره | منطقه | توضیح | مشمولین | جریمه/تبعات عدمانطباق |
|---|---|---|---|---|
| AI Act (EU) | EU | ممنوعیت برخی کاربردها، الزامات سخت برای پرریسک، نظارت انسانی | همه فراهمکنندگان/بهرهبرداران AI (بهاستثنای استفاده شخصی)، واردکنندگان/توزیعکنندگان؛ شامل GenAI و مدلهای پایه | تا ۳۵میلیون یورو یا ۷٪ درآمد—هرکدام بالاتر |
| EO 14141 | آمریکا | قواعد توسعه زیرساخت AI، الزام به انرژی پاک و انطباق با NIST | شرکتهای توسعه/بهرهبردار مراکز داده، خوشههای محاسباتی و مدلها | جریمه صریح ندارد؛ اختیارات اجرایی برای تنظیمگرها پیشبینی شده |
| Interim Measures for GenAI | چین | قواعد برای ارائهدهندگان GenAI: کنترل محتوا، امنیت داده، شفافیت الگوریتم، حقوق کاربر | ارائهدهندگان خدمات GenAI و اپراتورهای زیرساخت/پلتفرم | جریمهها از طریق قوانین دیگر مانند PIPL و Cybersecurity Law اعمال میشوند |
۴) مقررات پایداری (Sustainability)
فشار مقرراتی، محرک تقاضای فناوری سبز: با وجود افت بسامد اشاره مدیرعاملها به پایداری در تماسهای درآمدی از اوج فصل اول ۲۰۲۱، مقررات الزامآور پابرجاست و بازار پلتفرمهای پایداری را بهسوی ۳.۷ میلیارد دلار تا ۲۰۲۹ پیش میراند.
| مقرره | منطقه | توضیح | مشمولین | جریمه/تبعات عدمانطباق |
|---|---|---|---|---|
| Corporate Sustainability Due Diligence Directive (CSDDD) | EU | دیلجنس زنجیره ارزش برای حقوق بشر/محیطزیست | شرکتهای با >۱۰۰۰ کارمند و درآمد جهانی ≥ ۴۵۰میلیون یورو | جریمهها توسط کشورهای عضو؛ معمولاً درصدی (≥ ۵٪ درآمد) |
| CSRD | EU | افشای اثرات ESG، استانداردسازی گزارش و حسابرسی مستقل | شرکتهای بزرگ، بورسی EU، بانک/بیمه، و شرکتهای غیرEU واجد معیار درآمدی | جریمهها توسط کشورهای عضو |
| ESPR (اکودیزاین برای محصولات پایدار) | EU | الزامات پایداری برای طیف گسترده محصولات + گذرنامه دیجیتال محصول | همه سازندگان کالاهای فیزیکی در EU (با برخی استثناها)، واردکنندگان/توزیعکنندگان، بازارگاهها و موتورهای جستجو | جریمهها توسط کشورهای عضو |
| Energy Efficiency Directive (EED) جدید | EU | اهداف الزامآور کاهش مصرف انرژی | بنگاههای پرمصرف (>۱۰ TJ/سال؛ یا >۸۵ TJ طی ۳ سال)، مراکز داده >۵۰۰kW IT، پیمانکاران بخش عمومی | جریمهها توسط کشورهای عضو |
| Machinery Regulation | EU | ایمنی/انطباق ماشینآلات با توجه به ریسکهای AI و اتصال | تولیدکنندگان/واردکنندگان/توزیعکنندگان ماشینآلات | جریمهها توسط کشورهای عضو |
| Net Zero Industry Act (NZIA) | EU | مقیاسپذیری ساخت داخل EU، تسهیل مجوزدهی، تابآوری زنجیره تأمین برای ۱۹ فناوری خالص-صفر | همه شرکتهای تولید/توسعه/بهرهبرداری فناوریهای نتصفر | جریمهها توسط کشورهای عضو |
| New Batteries Regulation | EU | تولید، بازیافت، دفع باتری؛ مسئولیت تولیدکننده و دیلجنس زنجیره | تولیدکنندگان/واردکنندگان/توزیعکنندگان باتری، بازیافت/مدیریت پسماند، تعمیر/بازمنظوره | جریمهها توسط کشورهای عضو |
| Renewable Energy Directive (RED) III | EU | اهداف افزایش سهم تجدیدپذیر تا ۲۰۳۰؛ بهینهسازی مجوزها و ادغام شبکه | اپراتورهای انتقال/توزیع، عرضهکنندگان سوخت، تولیدکنندگان تجدیدپذیر، سازندگان باتری و خودروی برقی | جریمهها توسط کشورهای عضو |
| SFDR | EU | شفافیت ریسکهای پایداری در تصمیمگیری مالی | مشارکتکنندگان بازارهای مالی و مشاوران مالی (AIFM، UCITS، بیمه، بانک، …) | جریمهها توسط کشورهای عضو |
| EU Taxonomy | EU | معیارهای سنجش پایداری فعالیت اقتصادی و میزان سبز بودن سرمایهگذاری | مدیران دارایی، سرمایهگذاران نهادی، بیمهها، صندوقهای بازنشستگی، مشاوران مالی؛ شرکتهای بزرگ با گزارشگری غیرمالی | جریمهها توسط کشورهای عضو |
جمعبندی عملیاتی برای کسبوکارها
- نقشه انطباق میانوظیفهای تهیه کنید: حقوقی، امنیت اطلاعات، محصول، زنجیره تأمین، مالی.
- اولویت کوتاهمدت EU: CRA، Data Act، AI Act، CSRD. ارزیابی شکاف، بودجهریزی و مدیریت تغییر را آغاز کنید.
- حاکمیت داده و هوش مصنوعی: ثبت موجودی مدلها/دادهها، صاحبان فرایند، ثبت رخداد و برچسبگذاری محتوا برای GenAI.
- ESG و گزارشگری: همسویی با CSRD/SFDR/Taxonomy و بهکارگیری ممیزی داخلی/خارجی.
- زنجیره تأمین و طراحی محصول: الزامات ESPR/NZIA/باتری و EED را در طراحی/تأمین لحاظ کنید.
