En vigtig frist for EU's AI-lov nærmer sig: Her er hvad virksomheder har brug for at vide

By Phil Muncaster • 10. marts 2026 • 6 minutters læsning

EU's AI-lovgivning er ved at nå den sidste fase af sin snoede lange rejse fra lovforslag til håndhævbar lov. Det har været længe undervejs. Loven trådte i kraft den 1. august 2024 med en forskudt implementering, der førte til adskillige deadlines i de efterfølgende måneder og år. Medmindre en meget omtalt Forslag til digital omnibus bliver snart godkendt af Europa-Parlamentet, vil en vigtig frist være den 2. august 2026.

Britiske virksomheder, der udvikler eller bruger højrisikosystemer i regionen, har indtil da til at få styr på deres AI-styring. Regulatorer vil gerne se bevis for kontrol, ikke blot påstande om overholdelse. For nogle organisationer kan dette kræve et betydeligt kulturskifte. Men pragmatiske standarder for bedste praksis som ISO 42001 kan bringe dem derhen.

Historien indtil videre

Siden loven blev vedtaget, er forskellige aspekter af den trådt i kraft. Især i februar 2025 så vi nye læsefærdighedskrav til personale træde i kraft, lancering af ledelsesstrukturer som AI-kontoret og AI-bestyrelsen, og forbuddet mod AI-systemer, der udgør "uacceptable risici". Men under lovens risikobaserede tilgang er dette den nemme del. Med forbud mod systemer, der udgør uacceptable risici, og ingen nye regler for dem, der vurderes at udgøre minimal eller ingen risiko (f.eks. spamfiltre), rettes fokus mod "begrænsede" og "højrisiko"-systemer.

De, der vurderes at have begrænset risiko (som chatbots og nogle deepfake-generatorer), skal "sikre, at mennesker informeres, når det er nødvendigt for at bevare tilliden", ifølge Europa-KommissionenMen det er højrisikosystemer, hvor de største compliance-udfordringer ligger.

Under compliance-mikroskopet

Som vi har tidligere forklaretHøjrisikosystemer er dem, der anvendes inden for områder som biometrisk identifikation, kritiske sektorer som sundhedspleje, uddannelse og beskæftigelse (hvor AI-beslutninger kan påvirke folks liv) og essentiel infrastruktur (f.eks. energinet og transportsystemer). Blandt de anvendelsesmuligheder, som kommissionen nævner, er eksamensscoring, robotassisteret kirurgi, sortering af CV'er, kreditvurdering og software, der bruges til at træffe visumafgørelser og forberede retsafgørelser.

Disse vil være underlagt strenge forpligtelser, før de kan bringes på markedet, nemlig:

Løbende risikovurdering og -afbødning
Datasæt af høj kvalitet til træning og test af AI
Detaljeret logføring af aktivitet og dokumentation
Tydelige oplysninger, der skal gives til udbrederen (organisationer, der bruger modellerne)
Passende menneskeligt tilsyn
Høje niveauer af "robusthed, sikkerhed og nøjagtighed"

Disse forpligtelser kompliceres noget af de forskellige krav, der stilles til udbydere (modeludviklere), udrullere (brugere), importører og distributører. Disse lyder klare på papiret. Men en udruller vil blive klassificeret som en udbyder, hvis de væsentligt ændrer eller modificerer et systems tilsigtede formål. For at komplicere tingene yderligere kan organisationer have mere end én rolle samtidigt. Tænk på en SaaS-virksomhed, der tager en tredjeparts fundamentmodel, finjusterer den og derefter udruller den til kunder på tværs af flere jurisdiktioner.

Starter med synlighed

Alt dette gør AI-styring ufravigelig. Men hvad bør en strategi for bedste praksis omfatte i dette hurtigt udviklende marked? For PSE Consultings administrerende direktør, Chris Jones, bør synlighed være førsteprioritet.

"Mange virksomheder bruger allerede AI i små, distribuerede former på tværs af funktioner, men meget få har en klar oversigt over, hvor den er placeret, hvilke beslutninger den påvirker, og om den falder ind under en højrisikokategori," fortæller han IO (tidligere ISMS.online). "Udgangspunktet bør være en struktureret gennemgang af AI-anvendelsessager, ejerskab over de tilhørende risici, og hvordan disse risici hænger sammen med eksisterende forpligtelser i henhold til rammer som GDPR og NIS2."

Det er her, hvor compliance kan blive kompliceret på grund af de overlappende forpligtelser, der gælder for begge parter, siger Nick Reed, chefstrategidirektør for Bizzdesign.

"For eksempel kan et AI-system, der behandler personoplysninger i en kritisk infrastrukturkontekst, udløse forpligtelser i henhold til GDPR, NIS2 og AI Act samtidigt. Når organisationer behandler disse som separate compliance-spor, dublerer de indsatsen og kan overse de fællestræk, der muliggør langt større effektivitet i håndteringen af compliance," fortæller han IO.

"At håndtere dette kræver strukturel synlighed på tværs af virksomheden. Organisationer har brug for et sammenhængende overblik over, hvordan AI, forretningsaktiviteter, data og kritiske systemer mødes; ikke kun inden for individuelle regulatoriske sammenhænge, men på tværs af dem alle. Virksomhedsarkitektur leverer den fælles semantiske model på tværs af hele virksomheden, der forbinder AI-systemer med de funktioner, processer, data, tredjeparter og forpligtelser, de berører, på en måde, der muliggør koordineret styring i stedet for fragmenterede initiativer, der overlapper indsatsen."

Det næste skridt for overholdelse af reglerne er at forstå deres position i AI-forsyningskæden.

"Mange organisationer antager, at de blot er brugere af AI, men i praksis kan de fungere som integratorer eller distributører, når de tilpasser eller integrerer modeller i deres egne tjenester," siger Jones fra PSE Consulting. "Det ændrer deres forpligtelser og deres risikoeksponering, så det er vigtigt at kortlægge disse roller tidligt."

Bizzdesigns Reed er enig og argumenterer for, at synlighed igen bliver afgørende.

"For at bestemme deres rolle og vurdere risikoeksponering skal organisationer se, hvordan AI-systemer forbinder sig med den bredere virksomhed: hvilke forretningsfunktioner de understøtter, hvilke processer de muliggør, hvilke data de tilgår, og hvilke leverandører leverer dem," siger han.

"Uden den sammenhængende opfattelse risikerer rolleklassificering at blive baseret på meninger snarere end fakta. Testen kommer, når noget ændrer sig. Hvis et leverandørværktøj omklassificeres som højrisiko eller trækkes tilbage fra markedet, kan du så straks svare på, hvilke processer der afhænger af det, hvilke data det berører, om der findes alternativer, og hvor hurtigt du kan handle?"

En moden tilgang med ISO 42001

For at opbygge den fleksibilitet, de har brug for til at forblive compliant midt i lovgivningsændringer, leverandøromklassificering og strategiske omvæltninger, skal organisationer anvende en struktureret og konsekvent tilgang til styring, fortsætter Reed. Det er her, ISO 42001 kan hjælpe.

"Det formaliserer forventninger omkring risikostyring, dokumentation, tilsyn og løbende forbedringer i hele AI-livscyklussen," siger han. "For organisationer, der navigerer i EU's AI-lovgivning sammen med GDPR og NIS2, hjælper rammer som ISO 42001 med at omsætte lovgivningsmæssige krav til gentagelige processer, som compliance- og risikoteams kan operationalisere med tillid."

Nik Kairinos, administrerende direktør og medstifter af RAIDS AI, deler mere pragmatiske grunde til, hvorfor ISO 42001 kan hjælpe.

"EU har udviklet et udkast til en europæisk standard, der specifikt omhandler kravene i artikel 17 i loven, som pålægger kvalitetsstyringssystemer (QMS) for højrisiko-AI-udbydere:" prEN 18286 (Kunstig intelligens – kvalitetsstyringssystem til reguleringsformål i henhold til EU's AI-lov)," fortæller han IO.

"Organisationer med eksisterende ISO 42001-certificering har et betydeligt forspring med hensyn til overholdelse af EU's AI-lovgivning, da den danner det operationelle grundlag for prEN 18286. Med formodningen om overensstemmelse kan organisationer, der implementerer prEN 18286, antage, at de opfylder forpligtelserne i henhold til artikel 17 – så det er dette, virksomheder skal fokusere på."

Målet bør ikke være at starte fra bunden, men snarere at udvide eksisterende relevante kontroller og sikkerhedsmodeller til AI-området, siger Jones fra PSE Consulting.

"De organisationer, der vil tilpasse sig mest succesfuldt, er dem, der behandler pålidelig AI som en operationel disciplin snarere end en compliance-øvelse," konkluderer han. "Hvis du ved, hvor din AI er, hvem der ejer den, og hvordan den opfører sig, når tingene går galt, er du allerede langt på vej mod at opfylde forordningens hensigt."

Med potentielle bøder for manglende overholdelse på op til €15 millioner (£13 millioner) eller 3% af den globale årlige omsætning, er der ingen tid til at vente.

En vigtig frist for EU's AI-lov nærmer sig: Her er hvad virksomheder har brug for at vide

Historien indtil videre

Under compliance-mikroskopet

Starter med synlighed

En moden tilgang med ISO 42001

Phil Muncaster

Relaterede artikler

Lukning af modstandsdygtighedskløften: Hvor regeringen siger, at UK PLC stadig fejler

Hvad Det Hvide Hus' nationale AI-politikramme betyder for overholdelse af regler

Mindst modstands vej: Hvorfor dybdegående forsvar er den bedste reaktion på cloud-trusler

Mere fra Phil Muncaster

Lukning af modstandsdygtighedskløften: Hvor regeringen siger, at UK PLC stadig fejler

Mindst modstands vej: Hvorfor dybdegående forsvar er den bedste reaktion på cloud-trusler

Cybertrusler i en tid med øgede spændinger i Mellemøsten: Hvad britiske ITSO'er kan forvente