Fristen for obligatorisk overholdelse af EU's AI-lovgivning for højrisiko-AI den 2. august 2026 er blevet udskudt. Foranstaltninger i den nyligt vedtagne EU's digitale omnibus om AI udskyde visse krav indtil 2. december 2027 og andre indtil 2. august 2028.

Europa-Kommissionen har meddelt, at den nye implementeringstidsplan for reglerne for højrisikosystemer vil "gøre implementeringen af ​​AI-loven lettere for europæiske virksomheder, samtidig med at den sikrer fordele for det europæiske samfund, sikkerhed og grundlæggende rettigheder."

Hvilke forpligtelser har ændret sig under den digitale omnibus, hvilke er forblevet de samme, og hvordan kan organisationer sikre overholdelse inden de nye frister?

Hvad ændrer den digitale omnibus?

Den digitale omnibus indeholder målrettede forenklingsforanstaltninger i EU's AI-lovgivning, herunder:

  • Udvidelse af lovgivningsforenklinger, der er bevilget SMV'er, til også at omfatte SMV'er, herunder forenklet teknisk dokumentation og særlig hensyntagen til anvendelsen af ​​sanktioner
  • Fjernelse af forskriften om en harmoniseret overvågningsplan efter markedsføring
  • Reduktion af registreringsbyrden for udbydere af AI-systemer, der anvendes i højrisikoområder, men hvor udbyderen har konkluderet, at de ikke udgør en højrisiko, da de kun anvendes til snævre eller proceduremæssige opgaver.
  • Tilladelse til AI-udbydere og -distributører at behandle særlige kategorier af personoplysninger for at opdage og korrigere algoritmisk bias
  • En bredere brug af AI-reguleringssandkasser og test i den virkelige verden samt fremme af en AI-reguleringssandkasse på EU-niveau, som AI-kontoret vil oprette fra 2028.
  • Målrettede ændringer, der præciserer samspillet mellem EU's AI-lov og anden EU-lovgivning og justerer lovens procedurer for at forbedre dens overordnede implementering og funktion.

Kommissionen er også i gang med at udarbejde yderligere vejledning for at fremme overholdelsen af ​​EU's AI-lovgivning, med fokus på at tilbyde klare og praktiske instruktioner om, hvordan AI-loven anvendes sideløbende med anden EU-lovgivning. De nye anvendelsesdatoer vil forbinde fristerne for forpligtelser med tilgængeligheden af ​​denne vejledning.

Overholdelse af gennemsigtighedsforpligtelser i henhold til EU's AI-lov

En nyligt udgivet Praksiskodeks for gennemsigtighed af AI-genereret indhold behandler centrale overvejelser for udbydere og distributører af AI-systemer, der genererer indhold, der falder ind under lovens artikel 50, Gennemsigtighedsforpligtelser for udbydere og distributører af visse AI-systemer. Kodeksen er udformet til at støtte organisationer i at påvise overholdelse, men er ikke i sig selv afgørende bevis for overholdelse af forpligtelser.

I henhold til de kommende krav skal udbydere af AI-systemer, der er beregnet til direkte interagere med enkeltpersoner, designe disse systemer til at informere brugerne om, at de interagerer med et AI-system. For eksempel bør en kundesupport-chatbot være designet til at underrette brugerne om, at det er en chatbot.

Derudover specificerer praksiskodekset om gennemsigtighed af AI-genereret indhold specifikke krav til AI-systemer, der genererer syntetisk tekst, billeder, video, lyd eller en blanding af disse formater. Udbydere og distributører af disse systemer skal bruge maskinlæsbare formater til at markere output som AI-genereret eller manipuleret. Der er specifikke regler for mærkning af AI-genererede eller manipulerede deepfakes og offentliggjort tekst om spørgsmål af offentlig interesse.

Eksisterende krav til højrisiko-AI-systemer

AI-systemer betragtes som højrisikosystemer i henhold til EU's AI-lovgivning, hvis de udgør en betydelig trussel mod sundhed, sikkerhed eller grundlæggende rettigheder, eller hvis de anvendes inden for områder som biometri, uddannelse, beskæftigelse eller kritisk infrastruktur.

Systemer kategoriseret som højrisiko skal overholde specifikke krav:

Risikostyring: Der skal implementeres et kontinuerligt risikostyringssystem for at overvåge AI'en gennem hele dens livscyklus.

Datastyring: Der skal indføres praksisser for datastyring for at sikre, at trænings-, validerings- og testdata opfylder specifikke kvalitetskriterier.

Teknisk dokumentation: Udbydere af højrisiko-AI-systemer skal vedligeholde omfattende teknisk dokumentation vedrørende systemet, herunder designspecifikationer, funktioner, begrænsninger og indsatser for at overholde lovgivningen.

Journalføring: Højrisiko-AI-systemer skal automatisk logge hændelser for at sikre ansvarlighed og sporbarhed.

Menneskelig tilsyn: Højrisiko AI-systemer skal designes på en måde, der gør det muligt for mennesker at overvåge dem, hvilket minimerer risici for sundhed, sikkerhed og grundlæggende rettigheder. Foranstaltninger til menneskeligt tilsyn kan indbygges i systemet af udbyderen eller implementeres af brugeren.

Nøjagtighed, robusthed og cybersikkerhed: Højrisiko-AI-systemer skal designes og udvikles på en sådan måde, at de opnår et passende niveau af nøjagtighed, robusthed og cybersikkerhed.

Overensstemmelsesvurderinger: Højrisiko-AI-systemer skal undergå overensstemmelsesvurderinger for at sikre, at de opfylder juridiske, tekniske og etiske standarder, før de bringes i omsætning eller tages i brug.

Tilmelding: Udbydere af højrisiko-AI-systemer skal registrere sig selv og deres systemer i en centraliseret EU-database, før de bringer deres systemer på markedet eller tager dem i brug.

CE -mærkning: Højrisiko-AI-systemer skal være forsynet med CE-mærkning for at indikere, at produktet opfylder EU's sikkerhedsstandarder, og mærkningen skal være tydeligt synlig. Hvis CE-mærkningen ikke kan placeres fysisk på systemet, skal den inkluderes i emballagen eller dokumentationen.

Sikre korrekt overholdelse af EU's AI-lovgivning med ISO 42001

For alle udbydere eller distributører af højrisiko-AI-systemer, der lige er begyndt at opfylde deres forpligtelser i henhold til loven, tilbyder den nye tidslinje en forlænget frist til at integrere en intelligent, struktureret tilgang til AI-styring.

Her, ISO 42001 giver en ramme for bedste praksis. Mange af standardens krav stemmer overens med kravene i EU's AI-lovgivning: risikoklassificering, gennemsigtighedsforanstaltninger, ansvarlighedsstrukturer og menneskeligt tilsyn. Overholdelse af ISO 42001 er dog ikke ensbetydende med garanteret overholdelse af EU's AI-lovgivning og omvendt.

ISO 42001-standarden tilbyder en logisk tilgang til AI-styring, der gør det muligt for organisationer at opbygge et etisk og bæredygtigt AI-styringssystem (AIMS). Ved at implementere ISO 42001 kan organisationer sikre, at AI-systemer udvikles, implementeres og anvendes på en måde, der prioriterer sikkerhed, gennemsigtighed og ansvarlighed – alle centrale principper i loven.

Ved at bruge ISO 42001-rammen og sammenholde den med kravene i EU's AI-lovgivning kan udbydere og distributører af højrisiko-AI-systemer integrere robust forvaltning og proaktivt håndtere lovens krav uden for ISO 42001's anvendelsesområde og dermed sikre overholdelse inden 2027-fristen.

Udvid din viden

Webinar: ISO 42001 i praksis: Lærdomme fra en af ​​verdens første ISO 42001-certificeringer

Blog: Overholdelse af dataanvendelses- og adgangsloven med tillid: Hvorfor ISO 27001-, 27701- og 42001-løkken leverer resultater

Blog: En vigtig frist for EU's AI-lov nærmer sig: Her er hvad virksomheder har brug for at vide