AI Act — en ny reguleringsvirkelighed
Den Europæiske Union var den første i verden til at skabe en omfattende regulering af kunstig intelligens. Forordningen AI Act (Regulation (EU) 2024/1689) trådte i kraft den 1. august 2024 og anvendes i etaper: de første forpligtelser gælder fra 2. februar 2025, hoveddelen fra 2. august 2026, fuld anvendelse fra 2. august 2027. Enhver virksomhed, der implementerer AI-systemer i sin operationelle virksomhed i EU, skal sætte sig ind i dem.
AI Act forbyder ikke kunstig intelligens — den regulerer den ud fra en risikobaseret tilgang. Jo højere risiko, desto strengere krav. De fleste erhvervsmæssige AI-anvendelser hører under kategorierne lav eller begrænset risiko, hvilket betyder forholdsvis lette forpligtelser. Men der er områder, hvor kravene er meget strenge.
Tidsplan for ikrafttræden (Art. 113)
- 1. august 2024 — forordningens ikrafttræden
- 2. februar 2025 — forbud mod farlige praksisser (Kapitel II, Art. 5) og pligten til AI-kyndighed (Art. 4) anvendes
- 2. august 2025 — forpligtelser for udbydere af general-purpose AI-modeller (Kapitel V) samt bestemmelser om tilsynsmyndigheder og sanktioner
- 2. august 2026 — forpligtelser for højrisikosystemer anvendes (Kapitel III), gennemsigtighed for chatbots og deepfakes (Art. 50), regulatoriske sandkasser
- 2. august 2027 — fuld anvendelse, herunder forpligtelser for højrisikosystemer indlejret i produkter, der allerede er omfattet af eksisterende EU-harmoniseringsregler (Bilag I)
Risikoklassifikation af AI-systemer
AI Act opdeler AI-systemer i fire risikokategorier:
- Uacceptabel risiko (forbudt, Art. 5) — systemer, der manipulerer menneskelig adfærd under bevidsthedstærsklen, social scoring fra myndighederne, biometrisk overvågning i realtid (med undtagelser), følelsesgenkendelse på arbejdspladsen og i uddannelse, prædiktiv kriminel profilering. Disse systemer er forbudte.
- Høj risiko (Kapitel III, Art. 6-27) — AI anvendt ved rekruttering, kreditgivning, sundhedsvæsen, uddannelse, retspleje, kritisk infrastruktur. De strengeste krav: dokumentation, test, gennemsigtighed, menneskeligt tilsyn, registrering i EU-databasen.
- Begrænset risiko (Art. 50) — chatbots, deepfakes, indholdsgenererende systemer. Pligt til gennemsigtighed: brugeren skal vide, at han/hun taler med AI, og AI-genereret indhold skal markeres på en maskinlæsbar måde.
- Minimal risiko — de fleste AI-anvendelser i erhvervslivet: spamfiltre, produktanbefalinger, automatisering af interne processer. Minimale eller ingen forpligtelser.
Hvem er udbyder og hvem er bruger af et AI-system?
AI Act skelner mellem to nøgleroller. Udbyderen (provider) er den enhed, der skaber og bringer et AI-system på markedet. Deployer er den enhed, der bruger AI-systemet i sin økonomiske virksomhed. Forpligtelserne er forskellige for hver rolle — udbydere har strengere krav vedrørende teknisk dokumentation og certificering.
En virksomhed, der køber en færdig AI-løsning af en udbyder og bruger den til sine egne processer, er en deployer. En virksomhed, der tilpasser eller fine-tuner en model til sine egne anvendelser, kan blive udbyder med alle følger heraf.
Forpligtelser for deployers af højrisikosystemer (Art. 26)
Hvis din virksomhed bruger et højrisiko-AI-system (f.eks. et scoringsystem i kreditprocessen, et værktøj til CV-forhåndsudvælgelse, et system til støtte af medicinsk diagnostik), skal du:
- Sikre menneskeligt tilsyn med AI-systemets beslutninger
- Føre driftslogge i mindst 6 måneder
- Gennemføre en konsekvensvurdering for grundlæggende rettigheder (FRIA, Art. 27)
- Informere medarbejderne om AI-systemer, der berører dem
- Rapportere alvorlige hændelser og fejl til den relevante tilsynsmyndighed
Regulatoriske sandkasser (Art. 57-63)
AI Act indfører regulatoriske sandkasser — en mekanisme, der gør det muligt for virksomheder at teste innovative AI-systemer under tilsynsmyndighedens overvågning i et kontrolleret miljø. Hver medlemsstat er forpligtet til at oprette mindst én sandkasse senest den 2. august 2026. For virksomheder, der udvikler AI-løsninger inden for højrisikoområder, er det en praktisk vej til at få feedback fra tilsynsmyndighederne allerede før fuld certificering.
Sanktioner (Art. 99)
Bøderne for overtrædelse af AI Act er gradueret efter typen af overtrædelse:
- op til 35 millioner EUR eller 7% af den globale årlige omsætning (det højeste beløb) for anvendelse af forbudte praksisser (Art. 5)
- op til 15 millioner EUR eller 3% af den globale årlige omsætning for overtrædelser af forordningens øvrige forpligtelser
- op til 7,5 millioner EUR eller 1% af den globale årlige omsætning for at give usande, ufuldstændige eller vildledende oplysninger til tilsynsmyndighederne
For SMV'er og startups anvendes det laveste af de to beløb for at undgå en uforholdsmæssig byrde.
Sådan støtter ESKOM.AI overholdelse af AI Act
ESKOM.AI hjælper organisationer med at forberede sig på kravene i AI Act. Vi tilbyder revision af eksisterende AI-systemer med hensyn til risikoklassifikation, udarbejdelse af teknisk dokumentation, implementering af mekanismer for menneskeligt tilsyn og logning samt uddannelse af teams med ansvar for compliance. Hver ny AI-implementering i vores udførelse er designet med AI Act-overholdelse for øje fra dag ét.