Hvad indeholder den nye EU AI-lovs generelle praksiskodeks for AI?

Hvad indeholder den nye EU-lov om kunstig intelligens (AI)?

Af Christie Rae • 15 September 2025

EU's AI-lov's første bestemmelser, såsom dem om forbudte AI-praksisser, trådte i kraft i februar 2025. En gradvis udrulning af krav fortsætter indtil august 2027, hvor alle systemer skal opfylde lovens forpligtelser. Denne måned udgav AI-kontoret den generelle AI-kodeks for udbydere af generelle AI-modeller (GPAI) og GPAI-modeller med systemisk risiko.

Kodeksen er et frivilligt værktøj udarbejdet af uafhængige eksperter og har til formål at hjælpe udbydere af GPAI-modeller med at overholde deres forpligtelser i henhold til loven. Underskrivere skal offentliggøre resuméer af træningsdata, undgå uautoriseret brug af ophavsretligt beskyttet indhold og etablere interne rammer til at overvåge risici. Kodeksen fungerer som et vejledende dokument til at demonstrere overholdelse af forpligtelserne beskrevet i artikel 53 og 55 i EU's AI-lov, selvom overholdelse ikke er et afgørende bevis for overholdelse.

Den består af tre kapitler: Gennemsigtighed, Ophavsret og Sikkerhed. I denne blog gennemgår vi de tre kapitler, der er introduceret i praksiskodekset, og skitserer de næste skridt for organisationer.

Nøgleudtryk anvendt i praksiskodekset

Systemisk risiko: EU's AI-lov definerer systemisk risiko som specifik for storskalige kapaciteter – modeller trænet med en kumulativ mængde beregninger på mere end 10^25 flydende kommaoperationer besidder storskalige kapaciteter.

Forpligtelser: De forpligtelser, som underskrivere af praksiskodekset forpligter sig til, f.eks.:

Dokumentation
Vedtagelse af en avanceret sikkerhedsramme.

Mål: De specifikke handlinger, som underskrivere foretager for at tilpasse sig forpligtelserne og overholde forpligtelserne i praksiskodeksen, f.eks.:

Holde modeldokumentation opdateret
Oprettelse af sikkerheds- og tryghedsrammen.

EU's AI-lov GPAI-praksiskodeks – gennemsigtighed

Kapitlet om gennemsigtighed indeholder én forpligtelse – dokumentation – og tre foranstaltninger (1.1, 1.2 og 1.3) for at sikre gennemsigtighed, integritet og relevans af oplysninger leveret af udbydere af GPAI-modeller og GPAI-modeller med systemisk risiko.

Underskrivere skal have dokumenteret alle de oplysninger, der er nævnt i modeldokumentationsformularen, som vi har beskrevet nedenfor, og de skal opdatere modeldokumentationen for at afspejle relevante ændringer. Virksomheder skal også opbevare tidligere versioner af modeldokumentationen i op til 10 år.

For at sikre gennemsigtighed skal organisationer også oplyse kontaktoplysninger til AI-kontoret for at anmode om adgang til nødvendige oplysninger. De skal give opdaterede yderligere oplysninger, når de anmodes om det, inden for en rimelig tidsramme og senest 14 dage efter modtagelsen af anmodningen.

Organisationer skal sikre, at de oplysninger, de leverer, kontrolleres med hensyn til kvalitet og integritet og opbevares som bevis for overholdelse af reglerne.

Hvad er modeldokumentationsformularen?

Kapitlet om gennemsigtighed indeholder en modeldokumentationsformular, der giver udbydere mulighed for at dokumentere de nødvendige oplysninger for at overholde EU's AI-lovgivnings forpligtelse til at sikre tilstrækkelig gennemsigtighed. Formularen angiver for hvert punkt, om oplysningerne er beregnet til downstream-udbydere, AI-kontoret eller nationale kompetente myndigheder.

Modtagere af oplysninger i modeldokumentationsformularen skal respektere oplysningernes fortrolighed i overensstemmelse med artikel 78 i EU's AI-lovgivning og sikre, at der er indført cybersikkerhedsforanstaltninger for at beskytte informationssikkerhed og fortrolighed.

EU AI Act GPAI Code of Practice – Copyright

Kapitel to i praksiskodeksen omhandler ophavsret og indeholder én forpligtelse – ophavsretspolitik – og fem foranstaltninger, som underskriverne skal implementere for at sikre overholdelse af EU-retten om ophavsret og beslægtede rettigheder i overensstemmelse med artikel 53 i EU's AI-lov.

Overordnet set omfatter dette kapitel:

Etablering af en ophavsretspolitik
Skridt til at overholde EU's ophavsretspolitik og rettighedsforbehold
Reduktion af risikoen for krænkelse af ophavsretten i output fra AI-modeller
Etablering af et kontaktpunkt for kommunikation med rettighedshavere og indgivelse af klager.

For at opfylde kravene i dette kapitel skal underskriverne implementere og konsekvent opdatere en ophavsretspolitik for GPAI-modeller, de bringer på EU-markedet, og vedligeholde denne politik i et enkelt dokument. De skal også sikre, at de fordeler ansvaret inden for deres organisation for implementering og vedligeholdelse af ophavsretspolitikken.

Organisationer, der søger at tilpasse sig adfærdskodekset, skal også sikre, at de kun reproducerer og udtrækker lovligt tilgængeligt ophavsretligt beskyttet indhold, når de crawler internettet. Dette indebærer at udelukke websteder, der er anerkendt som krænkende ophavsret af domstole eller myndigheder i EU. En liste over disse websteder vil blive offentliggjort for at understøtte dette.

I overensstemmelse med dette skal organisationer overholde rettighedsforbehold, når de crawler internettet, for eksempel ved at anvende webcrawlere, der læser og følger instruktionerne i et websteds robots.txt-fil, som angiver de områder af webstedet, som crawlere har adgang til. Derudover bør organisationer identificere og overholde andre passende maskinlæsbare protokoller for at udtrykke rettighedsforbehold.

EU's AI-lov GPAI-praksiskodeks – Sikkerhed og tryghed

Det tredje og sidste kapitel i praksiskodeksen er det mest omfattende og beskriver praksis for håndtering af systemiske risici og støtter udbydere i at overholde forpligtelserne i EU's AI-lovgivning for GPAI-modeller, der udgør en systemisk risiko. Dette kapitel indeholder ti forpligtelser, der består af flere foranstaltninger:

Vedtagelse, implementering og opdatering af en passende sikkerhedsramme at skitsere systemiske risikostyringsprocesser og foranstaltninger, som organisationer har implementeret for at sikre, at systemiske risici, der stammer fra deres modeller, er acceptable.

Identifikation af systemiske risici: Organisationer skal implementere en struktureret proces til at identificere systemiske risici, der stammer fra deres AI-modeller, og udvikle systemiske risikoscenarier for hver identificeret systemisk risiko.

Systemisk risikoanalyse, herunder indsamling af modeluafhængig information, udførelse af evalueringer, modellering af den systemiske risiko, estimering af den systemiske risiko og udførelse af overvågning efter markedsføring.

Bestemmelse af systemisk risikoaccept, herunder fastlæggelse af acceptkriterier, bestemmelse af, om systemiske risici, der stammer fra en AI-model, er acceptable, og beslutning om, hvorvidt man skal fortsætte med udvikling og anvendelse baseret på den systemiske risikoacceptbestemmelse.

Implementering af sikkerhedsafbødninger gennem hele modellens livscyklus for at sikre, at systemiske risici, der stammer fra modellen, er acceptable, for eksempel ændring af modellens adfærd af hensyn til sikkerheden.

Implementering af sikkerhedsafhjælpninger såsom et tilstrækkeligt niveau af cybersikkerhedsbeskyttelse. Organisationer bør også sikre, at systemiske risici, der opstår som følge af uautoriseret modeladgang, brug eller tyveri, er acceptable.

Oprettelse af en sikkerhedsmodelrapport før en model bringes på markedet og sikres, at denne er opdateret. Organisationer kan oprette en enkelt modelrapport for flere modeller, hvis de systemiske risikovurderings- og risikoreduktionsprocesser og -foranstaltninger for én model ikke kan forstås uden henvisning til den/de anden model(er). SMV'er kan reducere detaljeringsniveauet i deres modelrapporter for at afspejle størrelses- og kapacitetsbegrænsninger.

Fordeling af systemisk risikoansvar ved at definere ansvaret for styring af modellers systemiske risici på tværs af alle niveauer i organisationen og allokere passende ressourcer til dem, der har fået tildelt ansvaret for styring af systemisk risiko.

Rapportering af alvorlige hændelser, ved at implementere processer og foranstaltninger til sporing, dokumentation og rapportering af alvorlige hændelser til AI-kontoret (og nationale kompetente myndigheder, hvor det er relevant) uden unødig forsinkelse. Underskriverne bør også stille de nødvendige ressourcer til rådighed til sådanne processer og foranstaltninger.

Yderligere dokumentation og gennemsigtighed – herunder dokumentation af implementeringen af dette kapitel og offentliggørelse af opsummerede versioner af deres ramme- og modelrapporter efter behov. Yderligere dokumentation omfatter en detaljeret beskrivelse af modellens arkitektur, dens integration i AI-systemer, modelevalueringer udført i henhold til dette kapitel og de implementerede sikkerhedsafbødninger.

Overholdelse af praksiskodekset i henhold til ISO 42001

Praksiskodeksen er frivillig. Den giver dog udbydere af GPAI-modeller og GPAI-modeller med systemisk risiko mulighed for at demonstrere deres overholdelse af de juridiske forpligtelser i henhold til EU's AI-lov.

Hvis din virksomhed planlægger at overholde praksiskodekset, ISO 42001 Standarden giver en ramme for bedste praksis for opbygning, vedligeholdelse og løbende forbedring af et AI-styringssystem (AIMS) og kan også understøtte bredere overholdelse af EU's AI-lovgivning. ISO 42001-standarden er designet til at sikre, at organisationer overvejer specifikke problemstillinger relateret til AI, herunder sikkerhed, tryghed, retfærdighed, gennemsigtighed, datakvalitet og kvaliteten af AI-systemer gennem hele deres livscyklus.

Selvom GPAI's praksiskodeks er rettet mod udbydere af AI-modeller, ikke systemer, giver ISO 42001 en basislinje for organisationer til at implementere et etisk og transparent AIMS, der dækker både AI-modeller og -systemer.

Der er en høj grad af overlap mellem standardens krav og de foranstaltninger og forpligtelser, der er beskrevet i praksiskodeksen. For eksempel kræver ISO 42001-standarden, at organisationer identificerer og behandler AI-risici (punkt 6.1.2. AI-risikovurdering, punkt 6.1.3. AI-risikobehandling og punkt 8.3. AI-risikobehandling).

Implementering af ISO 42001 involverer også oprettelse af dokumentations- og registreringsprocesser, der dækker alle aspekter af AIMS, herunder politikker, procedurer, præstationsdata og compliance-registre. Dette er direkte i overensstemmelse med dokumentationskravet i kapitel et i praksiskodekset.

Et robust, ISO 42001-kompatibelt AIMS kan gøre det muligt for organisationer nemt at vedligeholde og demonstrere dokumentation for overholdelse af praksiskodeksen og EU's AI-lov.

Næste trin

Det kan være en udfordring at implementere de nødvendige foranstaltninger for at overholde praksiskodekset. Nu er det tid til at gennemgå jeres eksisterende AI-dokumentationsindsats, ophavsretstilpasning og systemisk risikostyring og identificere huller mellem jeres nuværende styring og de foranstaltninger, der kræves i praksiskodekset.

Hvis din organisation overvejer at overholde ISO 42001, række ud for at se, hvordan ISMS.online kan hjælpe. Tag det næste skridt mod ansvarlig og metodisk AI-styring, og sørg for, at du implementerer AI-modeller og -systemer etisk, sikkert og i overensstemmelse med dine juridiske forpligtelser i henhold til EU's AI-lov.

Christie Rae

Christie er content marketing specialist hos ISMS.online. Med over syv års erfaring sigter hun efter at skrive informativt, engagerende indhold og har arbejdet på tværs af en række brancher, herunder cybersikkerhed, software as a service, teknologi og farmaceutiske produkter.

Læs mere fra Christie Rae

Cyber sikkerhed 29 December 2025

Statusrapport for informationssikkerhed 11 nøglestatistikker og tendenser for den juridiske branche banner

Rapport om informationssikkerhedens tilstand: 11 nøglestatistikker og tendenser for den juridiske branche

Rapporten om informationssikkerhedstilstanden i 2025 afslørede de komplekse cyberudfordringer og -muligheder, som sikkerhedsledere har stået over for i løbet af de sidste 12 ...

Christie Rae

Cyber sikkerhed 17 December 2025

Statusrapport for informationssikkerhed 11 nøglestatistikker og tendenser for fremstillings- og forsyningsindustrien banner

Rapport om informationssikkerhedens tilstand: 11 nøglestatistikker og tendenser for fremstillings- og forsyningsbranchen

Årets rapport om informationssikkerhedens tilstand afslørede de utallige udfordringer og muligheder, som sikkerhedsledere har stået over for i løbet af de sidste 12 måneder...

Christie Rae

Cyber sikkerhed 10 December 2025

Statusrapport for informationssikkerhed 11 nøglestatistikker og tendenser for finansbranchen banner

Rapport om informationssikkerhedens tilstand: 11 nøglestatistikker og tendenser for finansbranchen

IO's tredje årlige rapport om informationssikkerhed afslørede de vigtigste udfordringer, som sikkerhedsledere står over for i 2025, lige fra AI-drevne angreb til ...

Christie Rae