dansk English 中文(简体)
Kontakt os
article

Cybersecurity

Regulatory Cyber Compliance: Bliv klar til EU’s AI Act

A woman is listening to something while sitting at her desk with her computer.

Sofie Bøttiger Conlan

Senior Cybersecurity og Compliance Consultant, NNIT

EU’s forordning om kunstig intelligens, AI Act, sætter regulatoriske rammer for et teknologisk område i vild vækst. Men hvad betyder de nye regler i praksis? Her får du svar på, hvordan du bliver klar til AI Act og får bedre styr på den overordnede tilgang til regulatory cyber compliance.

Med EU’s netop vedtagne forordning om kunstig intelligens (Artificial Intelligence Act) bliver der sat rammer for brugen og udviklingen af kunstig intelligens (AI) i Europa. Behovet for øget kontrol og regulering har været omdiskuteret, men nu hvor lovgivningen er en realitet kan det være vanskeligt at vurdere, hvordan man som virksomhed eller organisation er omfattet af reglerne.

I denne artikel guider vi dig gennem de vigtigste spørgsmål om AI Act, så du fortsat kan anvende AI på en sikker og compliant måde.

Hvad er AI Act?

AI Act regulerer udviklingen, markedsføringen og anvendelsen af AI i EU. Formålet er at sikre, at AI udvikles ud fra et menneskeligt perspektiv og at brugen af AI harmonerer med europæiske værdier og etik, herunder demokrati, retssikkerhed og basale menneskerettigheder.

Forordningens tilgang er risiko-baseret og sigter efter at understøtte udbredelsen af sikre og pålidelige AI-løsninger, uden at bremse effektiviteten eller innovationen.

Det betyder i praksis, at AI-løsninger opdeles i fire risiko-kategorier:

  • Uacceptabel risiko – forbudt:

    F.eks. AI-systemer, der kan bruges til masseovervågning, diskrimination eller udnyttelse af svage grupper som børn eller ældre.

  • Høj risiko – strengt reguleret:

    AI-systemer, der potentielt kan være til fare for sikkerhed, helbred eller fundamentale rettigheder, f.eks. AI til køretøjer, medicinsk udstyr eller politiarbejde.

  • Lav risiko – ikke reguleret:

    AI-systemer, der udgør minimal risiko for sikkerhed, helbred eller fundamentale rettigheder er ikke reguleret af AI Act, men kan underlægges en Code of Conduct på frivillig basis.

  • AI-modeller til generelle formål (General Purpose AI) – krav om transparens:

    AI-modeller til generelle formål (GPAI) omfatter blandt andet generativ AI og de store sprogmodeller (f.eks. ChatGPT eller Claude-3), der kan integreres i forskellige AI-løsninger. Der er krav om øget transparens og oplysningskrav til udbydere af GPAI.

Hvem er omfattet af AI Act?

AI Act regulerer anvendelsen af den enkelte AI-løsning og alle, der er en del løsningens værdikæde. Det vil sige både udviklere, importører, distributører, forhandlere og brugere. AI Act kan derfor gælde i alle brancher og sektorer og for alle typer virksomheder og organisationer.

Reglerne gælder for alle AI-systemer, der bruges indenfor EU eller påvirker EU-borgere, uanset om din virksomhed eller organisation opererer i eller udenfor EU.

Hvilke krav stiller AI Act til din virksomhed?

Kravene i AI Act varierer alt efter din rolle og AI-systemets risikoprofil. Herunder præsenteres de vigtigste krav for høj-risiko AI-systemer.

Højrisiko AI-systemer:

  • Systemkrav

    Selve AI-systemet er underlagt en række grundlæggende krav om compliance, teknisk dokumentation, logning, risikohåndtering og cybersikkerhed. Der skal altid være menneskelig kontrol og en vis grad af transparens overfor brugerne.

  • Leverandørkrav

    Hvis du har udviklet AI-systemet eller ændret det væsentligt, er du som leverandør ansvarlig for, at det overholder systemkravene. Du skal etablere systemer til risiko- og kvalitetsstyring, dokumentere arbejdet, registrere AI-systemet hos EU og opfylde alle krav til CE-mærkning. Desuden er du forpligtet til at overvåge systemets brug, indrapportere alvorlige hændelser og rette fejl.

  • Importørkrav

    Som importør skal du sikre, at AI-systemet opfylder alle krav til CE-mærkning, at den tekniske dokumentation er korrekt og at leverandøren har udpeget en autoriseret repræsentant (hvis det er nødvendigt). Du skal også levere dine egne kontaktoplysninger, sikre korrekt transport og opbevaring af systemet, gemme en kopi af systemets overensstemmelseserklæring i 10 år og samarbejde med relevante myndigheder for at minimere risici.

  • Distributørkrav

    Som distributør skal du sikre, at AI-systemet opfylder alle krav til CE-mærkning samt at leverandøren og importøren har overholdt deres forpligtelser.

  • Brugerkrav

    Inden du tager et AI-system i brug, skal du sikre, at det bliver anvendt korrekt og under menneskelig overvågning og kontrol. Hvis du har kontrol over input-data, skal du også sikre, at de er relevante og repræsentative. Hvis du på noget tidspunkt vurderer, at brugen af systemet udgør en risiko, skal du informere leverandøren og relevante myndigheder. Derudover skal du gemme logs i mindst 6 måneder og bruge information fra leverandøren i forbindelse med den påkrævede konsekvensanalyse i forhold til persondata. Hvis du arbejder inden for det finansielle område eller retshåndhævelse, er du underlagt yderligere specifikke krav.

Hvornår træder AI Act i kraft?

EU’s AI Act blev vedtaget i 2024 og trådte i kraft den 1. august 2024.

Fordi AI Act er en forordning, skal den ikke først implementeres i medlemslandenes lovgivning, men gælder direkte på tværs af hele EU. Forordningen finder som udgangspunkt fuld anvendelse fra den 2. august 2026, men visse regler er allerede trådt i kraft, mens andre først finder anvendelse senere:

  • Forbud mod AI-systemer med uacceptabel risiko samt krav om AI literacy, som fandt anvendelse fra den 2. februar 2025.

  • Codes of practice, som fandt anvendelse efter 9 måneder.

  • Reglerne for GPAI-modeller, som fandt anvendelse fra den 2. august 2025.

  • De fleste øvrige regler, som finder anvendelse fra den 2. august 2026.

  • De fleste højrisiko-AI-systemer i bilag III skal overholde kravene fra 2. december 2027 (selvstændige højrisiko-AI-systemer).

  • Højrisiko-AI-systemer, der er indlejret i produkter, som er omfattet af anden EU-lovgivning om produktsikkerhed (bilag I), skal overholde kravene fra 2. august 2028.

Det er vores klare anbefaling at begynde forberedelsesarbejdet hurtigst muligt. Flere krav gælder allerede, mens andre indfases gradvist frem mod 2026, 2027 og 2028.

Den danske lov, der fastlægger rammerne for den nationale gennemførelse og håndhævelse af forordningen, trådte i kraft den 2. august 2025. Danmark var det første EU-medlemsland, der implementerede forordningen nationalt, hvilket understreger, at regulering af AI er et politisk prioriteret område. Samtidig forventes der yderligere opdateringer af dansk lovgivning for at tilpasse den nationale håndhævelses- og sanktionsramme til den trinvise anvendelse af AI-forordningen, herunder gennemsigtighedsforpligtelser i 2026 og den gradvise indfasning af kravene til højrisiko-AI i senere faser.

Hvad kan din virksomhed gøre for at blive klar til AI Act?

Vi anbefaler følgende trin for at forberede dig på AI Act:

  • 1. Kortlægning af AI

    Begynd med at kortlægge al jeres brug af AI, lige fra offentligt tilgængelige værktøjer som ChatGPT til skræddersyede applikationer. Husk også at inkludere f.eks. Office 365 og andre systemer, hvor AI er blevet introduceret via opdateringer.

  • 2. Anvendelighedsvurdering

    Når I har overblik over alle jeres AI-systemer, skal I for hvert enkelt af dem vurdere, om og hvordan de er omfattet af AI Act. Det afhænger som nævnt af både systemets risikoprofil (forbudt/høj/lav/GPAI) og jeres rolle(r) (leverandør/importør/distributør/bruger). Dette trin kan være ret omfattende, så sørg for at afsætte tilstrækkeligt med tid og ressourcer og søg vejledning, hvis I mangler kompetencerne.

  • 3. Tværfaglig arbejdsgruppe

    Nedsæt en arbejdsgruppe, der har ansvaret for at sikre AI-compliance på tværs af organisationen. Inddrag alle relevante dele af forretningen, f.eks. kolleger med ansvar for compliance/jura, IT, indkøb og kontakt til leverandører og lignende.

  • 4. Compliance-rammeværk

    Tag udgangspunkt i jeres eksisterende compliance-rammeværk, og vurder om det er tilstrækkeligt til at sikre compliance med de krav i AI Act, der gælder for jer.

  • 5. Gap-analyse

    På baggrund af de ovenstående trin er det tid til at undersøge, hvor jeres nuværende compliance-procedurer ikke dækker i forhold til AI Act og dermed identificere hullerne med jeres nuværende compliance rammeværk og dét, der er nødvendigt for at sikre compliance med AI Act.

Hvordan kan NNIT hjælpe dig?

Hos NNIT kan vi hjælpe jeres virksomhed med at blive klar til AI Act og med at få bedre styr på compliance-arbejdet i det hele taget.

Du får ikke kun rådgivning fra NNIT’s compliance-eksperter, men også dyb teknisk og industrispecifik viden og konkrete værktøjer, der understøtter compliance i det daglige arbejde. Så er der altid styr på, hvad der skal dokumenteres, automatiseres og valideres.

Helt overordnet er det værd at huske, at compliance med AI Act blot er én brik i det tværgående compliance-arbejde på det digitale område, hvor der lige nu introduceres en lang række nye lovgivninger. Derfor vil tilgangen og redskaberne typisk også være lignende dem for andre omfattende lovkrav, for eksempel NIS2 eller GDPR.

Af den årsag anbefaler vi hos NNIT, at du samler compliance med de enkelte regelsæt i en vedvarende regulatory cyber compliance indsats, så du kan sikre compliance med alle relevante regler uden at spilde ressourcer på gentagelser.

Hvordan kan vi hjælpe dig?

Tal med en Regulatory Compliance-specialist i dag

Når du indsender din forespørgsel til NNIT via kontaktformularen, behandler NNIT de indsamlede personoplysninger i overensstemmelse med Privatlivspolitikken, hvor du kan læse mere om dine rettigheder og hvordan NNIT behandler dine personoplysninger.