Sådan rammer EU’s AI-lov nu virksomhederne: og hvad du skal vide

1. Fase to træder i kraft

Den 2. august 2025 trådte en række vigtige bestemmelser under EU AI Act i kraft. Disse handler især om institutionel opbygning og tilsyn med AI-systemer, herunder etablering af det nye EU AI Office og AI Board. Ifølge DLA Piper markerer denne fase begyndelsen på den praktiske håndhævelse af AI-lovens regler.

2. Krav rettet mod general-purpose AI

Fra samme dato blev leverandører af general-purpose AI-modeller (GPAI) omfattet af nye compliance-krav. Det betyder, at virksomheder skal kunne dokumentere datagrundlag, træningsprocesser, risikovurderinger og transparens. Baker McKenzie fremhæver, at dette gælder alle AI-modeller, der bruges bredt – også dem, der videreudvikles af tredjeparter.

3. Virksomheder skal reagere nu

Selvom de mest omfattende krav for high-risk AI først træder i kraft i 2026, anbefaler rådgivere som DNS Consulting, at virksomheder allerede nu kortlægger deres brug af AI. De skal kunne redegøre for formål, datasæt og hvordan algoritmer påvirker beslutninger – både internt og eksternt.

4. Nye kontrol- og tilsynsorganer

Med ikrafttrædelsen af AI Act er medlemslandene forpligtet til at oprette nationale tilsynsmyndigheder for AI. Disse myndigheder får ansvar for at overvåge markedet, behandle klager og udstede bøder ved overtrædelser. Danmark forventes at placere dette tilsyn under Erhvervsstyrelsen, mens Sverige og Norge arbejder på lignende strukturer.

5. Konkrete krav og forberedende skridt

Virksomheder skal nu kunne dokumentere deres AI-systemers funktion, datagrundlag og sikkerhed. Det inkluderer interne retningslinjer for brug, auditspor og mekanismer til at opdage bias. Ifølge DLA Piper bliver denne dokumentation et krav i forbindelse med certificeringer og tilsynsbesøg.

6. Høje bøder ved manglende overholdelse

AI Act indeholder nogle af de strengeste sanktionsmuligheder i EU’s reguleringshistorie. Overtrædelser kan koste op til 35 millioner euro eller 7 % af virksomhedens globale omsætning – alt efter hvad der er højest. Det stiller store krav til juridisk compliance og ledelsesansvar.

7. Konsekvenser for Norden

For danske, norske og svenske virksomheder betyder loven, at også aktører uden for EU kan blive omfattet, hvis de tilbyder AI-løsninger i det europæiske marked. Eksperter vurderer, at tidlig forberedelse kan give konkurrencefordel – især i eksporttunge brancher som finans, energi og teknologi.

8. Tidslinjen: Hvornår gælder hvad?

• 2. februar 2025: Forbud mod AI-systemer med uacceptabel risiko.
• august 2025: Krav til GPAI-leverandører og oprettelse af AI-tilsyn.
• August 2026: Fuld implementering af krav til high-risk AI-systemer.
• 2027 og frem: Løbende opdateringer i takt med teknologisk udvikling.

Eksperter vurderer, at AI Act vil sætte standarden for global AI-regulering og tvinge både små og store virksomheder til at tage stilling til ansvar, etik og datasikkerhed.