AI Act – en begynderguide til EU’s nye lov for kunstig intelligens
Hvorfor taler alle om AI Act?
I sommeren 2024 offentliggjorde EU verdens første fulde lovramme for kunstig intelligens, Artificial Intelligence Act (AI Act). Loven trådte i kraft 1. august 2024 efter at være blevet vedtaget af Parlamentet i marts og formelt godkendt af Ministerrådet 21. maj 2024. Formålet er at høste fordelene ved AI – bedre sundhed, renere transport og højere produktivitet – uden at gå på kompromis med borgernes rettigheder, sikkerhed eller tillid.
Grundidéen er ét fælles regelsæt, men fire risikoniveauer
AI Act bygger på en risikobaseret model: Jo større skade en anvendelse kan forvolde, desto skrappere krav.
Du kan få et overblik af de 4 risikogrupper her og se eksempler på, hvad hver risikogruppe dækker i praksis.
| Niveau | Eksempler | Hovedkrav |
| Forbudt (“uacceptabel risiko”) | Social scoring, real-time ansigtsgenkendelse, manipulation af børn | Totalforbud fra 2. februar 2025 |
| Høj risiko | Kredit- og jobscoring, medicinsk diagnosticering, autonom transport | Data- og kvalitetsstyring, menneskelig kontrol, CE-mærkning fra 2. august 2026* |
| Begrænset risiko | Chatbots og emotion-analyse | Transparens: brugeren skal vide, at de taler med en maskine |
| Minimal risiko | Spamfiltre og spil-AI | Ingen ekstra krav. |
Du kan læse mere på Europa-Parlamentets hjemmeside her og på KPMG Law Belgium her.
Særlige regler for generativ AI og foundation-modeller
Og så kommer vi til en af de helt store områder, hvor der bliver brugt kunstig intelligens i mange virksomheders hverdag - nemlig; sprog- og billedmodeller (“general-purpose AI”). Her kommer der et ekstra lag krav fra 12 måneder efter ikrafttrædelsen, dvs. 2. august 2025:
- offentliggøre modelkort med oplysninger om træningsdata,
- sikre overholdelse af EU-ophavsret,
- mærke syntetisk indhold som deepfakes,
- gennemføre sikkerhedstests for “systemiske” modeller med meget stor udbredelse eller regnekraft.
Hvornår bliver AI Act implementeret?
| Dato | Hvad sker der? |
| 2. februar 2025 | Forbudte AI-praksisser skal være udfaset; krav om AI-uddannelse til myndigheder træder i kraft |
| 2. august 2025 | Regler og bøder for generelle AI-modeller; hvert land udpeger national tilsynsmyndighed |
| 2. februar 2026 | EU-Kommissionen leverer vejledning og eksempler på højrisiko-brug |
| 2. august 2026 | Nye højrisiko-systemer (Annex III) skal være fuldt compliant |
| 2. august 2027 | Højrisiko-systemer indbygget i regulerede produkter (Annex II) skal også være compliant |
| Ultimo 2030 | Særlige EU-IT-megaprojekter (fx Schengen-systemer) skal være på plads |
Du kan læse mere om de specifikke datoer her på KMPG Law her.
Hvem har hvilket ansvar, når AI Act bliver en del af vores hverdag?
AI-lovgivningen fordeler ansvaret mellem fire aktører.
Udbyderen – altså den, der udvikler eller markedsfører et AI-system – skal gennemføre en egentlig risikovurdering, sikre ordentlig kvalitets- og datastyring, udarbejde den tekniske dokumentation og registrere systemet i EU’s officielle database.
Importører og distributører har pligt til at kontrollere, at produktet stadig svarer til den godkendte udgave og er ledsaget af en gyldig overensstemmelseserklæring, før det bringes i omsætning.
Brugeren (eller deployer) skal overvåge systemet i den daglige drift, føre log over væsentlige hændelser og – hvis der er tale om et højrisikosystem – gennemføre en konsekvens- og risikovurdering af anvendelsen.
Endelig fører tilsynsmyndighederne – de nationale organer og det nye EU-AI Office – kontrol med, at reglerne overholdes; de giver vejledning og kan gribe hurtigt ind, hvis et system viser sig farligt.
Hvad koster det at overtræde reglerne?
Det har været det store spørgsmål for mange, og her kan du få overblikket over bødestørrelserne - og det giver alt andet lige lidt perspektiv på, hvorfor det er vigtigt at have styr på, hvordan AI bruges hos jer.
- Op til 35 mio. € eller 7 % af global omsætning for forbudte anvendelser
- Op til 15 mio. € / 3 % for andre alvorlige brud
- Op til 7,5 mio. € / 1 % for vildledende oplysninger til myndigheder
SMV’er får relativt lavere loft, men proportionalitetsprincippet gælder stadig. Du kan læse mere om det her på
Fordele, bekymringer og et skridt ind i fremtiden
Lad os begynde med fordelene:
Ét fælles regelsæt giver virksomheder retlig sikkerhed i hele EU og skaber grundlag for “trustworthy AI” som konkurrenceparameter. Samtidig indfører loven regulatory sandboxes og teknologineutrale standarder, der skal gøre det lettere – især for SMV’er – at udvikle sikre løsninger.
Og så er der bekymringerne, for man frygter, at det giver et stort bureaukratisk arbejde og høje compliance omkostninger for både SMV'er og store virksomheder i hele Europa. Kritiske stemmer peger desuden på uklare detaljer, der først lander i kommende gennemførelsesstandarder og vejledninger. Du kan læse mere her på Financial Times.
Hvad gør du som virksomhed for at blive klar til at leve op til AI Act?
AI Act indfører et fælles, lovmæssigt rammeværk for udvikling, anvendelse og overvågning af kunstig intelligens i EU. Forordningen kræver, at aktører på tværs af værdikæden dokumenterer deres processer, vurderer risici og etablerer kontrol- og monitoreringsmekanismer gennem hele machine-learning-livscyklussen.
På kort sigt vil virksomheder og offentlige organisationer skulle afsætte tid og ressourcer til at etablere eller tilpasse governance-strukturer, datakvalitetsprocedurer og teknisk dokumentation, så de opfylder de nye krav. Især mindre organisationer kan opleve et øget administrativt og kompetencemæssigt pres.
På længere sigt kan fælles standarder og tydeligere ansvarsplacering ændre markedet for AI-tjenester. Hvordan reguleringen vil påvirke innovationstempo, konkurrencevilkår og investeringer, afhænger af faktorer som implementeringsomkostninger, tilgængelige teknologiske værktøjer og de nationale tilsynsmyndigheders praksis.
Det næste skridt for alle berørte virksomheder og organistioner er at:
- kortlægge eksisterende og planlagte AI-anvendelser,
- klassificere dem i henhold til AI Acts risikokategorier,
- etablere processer for løbende dokumentation, datahåndtering og overvågning, samt
- følge de kommende harmoniserede standarder og vejledninger fra EU-AI-kontoret og de nationale tilsyn.
Dermed kan virksomheder forholde sig systematisk til de nye krav, inden de forskellige ikrafttrædelsesfrister begynder at løbe.
Har I brug for sparring om, hvordan jeres organisation konkret kommer i mål med AI Act-kravene?
Hos CogniTech hjælper vi ofte virksomheder med at udarbejde en grundig datastrategi - og her er dokumentationen til AI Act også noget, som vi hjælper med. Du kan kontakte Tina Holm Mikkelsen, der er specialist i datastrategi og brugen af AI i virksomheder på tihmi@cognitech.dk.
Det første møde er altid ganske uforpligtende, og så kan I høre nærmere om, hvordan I kommer godt i gang.
Klar til at komme i gang?
Det er vi!
Du er altid velkommen til at booke et møde, ringe eller sende en mail direkte til vores konsulenter - og så tager de gerne en samtale om, hvad der kan være den rette løsning for jeres virksomhed.
Klar til at komme i gang?
Det er vi!
Du er altid velkommen til at booke et møde, ringe eller sende en mail direkte til vores konsulenter - og så tager de gerne en samtale om, hvad der kan være den rette løsning for jeres virksomhed.
Christoffer Lohmann Henriksen
Theis Hartvig Poulsen
Mød os i hele landet
Herning
Århus
Vejle
Odense
København