Quick Answer
En EU AI Act compliance-tjekliste hjaelper din virksomhed med at finde ud af, om I er udbyder eller idriftsaetter, klassificere jeres AI-systemers risiko og opbygge den noedvendige dokumentation. Start med at kortlaegge alle AI-systemer, fastlaeg jeres rolle, vurder risikoniveauet og planlaeg overensstemmelsesvurdering og styring i god tid. Denne tjekliste er generel information og udgoer ikke juridisk raadgivning. Tidslinjen for AI-forordningen aendres i 2026, saa kontroller altid den aktuelle status hos officielle kilder eller en raadgiver. Er du udbyder eller idriftsaetter? Foerste skridt er at fastlaegge din rolle, fordi den afgoer, hvilke pligter du har. En udbyder udvikler eller faar udviklet et AI-system og bringer det paa markedet under eget navn eller varemaerke. En idriftsaetter anvender et AI-system i sin virksomhed, for eksempel et indkoebt rekrutteringsvaerktoej. Vaer opmaerksom paa, at rollerne kan skifte: aendrer du vaesentligt i et hoejrisikosystem, eller saetter du dit eget navn paa det, kan du juridisk blive betragtet som udbyder med de tungere forpligtelser, det medfoerer.
Free penetration test
Free cloud & web-app pentest for qualified companies. SOC 2, HIPAA, PCI DSS-aligned report.
ApplyEn EU AI Act compliance-tjekliste hjaelper din virksomhed med at finde ud af, om I er udbyder eller idriftsaetter, klassificere jeres AI-systemers risiko og opbygge den noedvendige dokumentation. Start med at kortlaegge alle AI-systemer, fastlaeg jeres rolle, vurder risikoniveauet og planlaeg overensstemmelsesvurdering og styring i god tid.
Denne tjekliste er generel information og udgoer ikke juridisk raadgivning. Tidslinjen for AI-forordningen aendres i 2026, saa kontroller altid den aktuelle status hos officielle kilder eller en raadgiver.
Er du udbyder eller idriftsaetter?
Foerste skridt er at fastlaegge din rolle, fordi den afgoer, hvilke pligter du har. En udbyder udvikler eller faar udviklet et AI-system og bringer det paa markedet under eget navn eller varemaerke. En idriftsaetter anvender et AI-system i sin virksomhed, for eksempel et indkoebt rekrutteringsvaerktoej.
Vaer opmaerksom paa, at rollerne kan skifte: aendrer du vaesentligt i et hoejrisikosystem, eller saetter du dit eget navn paa det, kan du juridisk blive betragtet som udbyder med de tungere forpligtelser, det medfoerer. Mange virksomheder er begge dele paa samme tid for forskellige systemer. Udbydere baerer hovedansvaret for at udvikle og dokumentere systemet korrekt, mens idriftsaettere har pligter omkring korrekt brug, menneskeligt tilsyn og at reagere paa fejl. Notér derfor rollen eksplicit for hvert system i jeres inventar, saa ansvaret er placeret fra start.
Klassificér risikoen for hvert system
Naar rollen er klar, skal hvert AI-system placeres i et af AI-forordningens fire risikoniveauer, da kravene foelger risikoen.
- Uacceptabel risiko (forbudt): stop brugen. Eksempler er social scoring og manipulerende AI.
- Hoej risiko: fuld compliance kraeves, for eksempel AI i rekruttering, kreditvurdering, sundhed eller kritisk infrastruktur.
- Begraenset risiko: gennemsigtighedskrav, for eksempel maerkning af chatbots og AI-genereret indhold.
- Minimal risiko: ingen saerlige pligter, men frivillige adfaerdskodekser anbefales.
Har I brug for hjælp med cloud?
Book et gratis 30-minutters møde med en af vores specialister inden for cloud. Vi analyserer jeres behov og giver konkrete anbefalinger — helt uden forpligtelse.
Trin-for-trin-tjekliste
Brug nedenstaaende tjekliste som en praktisk koereplan. Den passer til de fleste virksomheder uanset stoerrelse og branche.
| Trin | Handling | Ansvarlig |
|---|---|---|
| 1 | Opret et inventar over alle AI-systemer, I udvikler eller anvender | IT / forretning |
| 2 | Fastlaeg for hvert system, om I er udbyder eller idriftsaetter | Compliance / jura |
| 3 | Klassificér risikoniveauet (forbudt, hoej, begraenset, minimal) | Compliance |
| 4 | Stop straks enhver brug af forbudte systemer | Ledelse |
| 5 | Sikr AI-kompetencer (AI literacy) hos relevante medarbejdere | HR / ledelse |
| 6 | Foretag leverandoer-due-diligence paa indkoebte AI- og GPAI-modeller | Indkoeb / jura |
| 7 | For hoej risiko: etabler risikostyring, datakvalitet og menneskeligt tilsyn | Produkt / data |
| 8 | Udarbejd teknisk dokumentation og logning | Engineering |
| 9 | Gennemfoer overensstemmelsesvurdering og CE-maerk hoejrisikoprodukter | Compliance |
| 10 | Opfyld gennemsigtighedskrav (maerkning af AI-interaktion og -indhold) | Produkt |
| 11 | Indfoer governance, roller og loebende overvaagning | Ledelse |
Overensstemmelsesvurdering og CE for hoej risiko
For hoejrisikosystemer skal udbydere gennemfoere en overensstemmelsesvurdering, foer systemet bringes paa markedet. Det dokumenterer, at systemet lever op til kravene om risikostyring, datakvalitet, gennemsigtighed, menneskeligt tilsyn, noejagtighed og robusthed.
Hvad skal overensstemmelsesvurderingen indeholde?
Vurderingen omfatter typisk en gennemgang af det tekniske dokumentationsgrundlag og kvalitetsstyringssystemet. Naar kravene er opfyldt, udarbejder udbyderen en EU-overensstemmelseserklaering, paafoerer CE-maerkning og registrerer relevante systemer i den EU-database, der er oprettet til formaalet. Idriftsaettere skal sikre menneskeligt tilsyn og anvende systemet i overensstemmelse med brugsanvisningen.
For mange hoejrisikosystemer kan udbyderen selv forestaa vurderingen (intern kontrol), mens visse systemer kraever inddragelse af et bemyndiget organ (tredjepart). Afklar tidligt, hvilken vej der gaelder for jeres system, da en tredjepartsvurdering tager laengere tid og boer planlaegges i god tid foer markedsfoering.
Dokumentation og styring
Uanset risikoniveau er sporbar dokumentation kernen i at kunne paavise compliance. Byg et "evidence pack", der mindst rummer foelgende.
- System-inventar med rolle og risikoklassifikation pr. system.
- Teknisk dokumentation og datasaet-beskrivelser for hoejrisikosystemer.
- Risikovurderinger og logning af haendelser.
- Politik for menneskeligt tilsyn og eskalering.
- Leverandoeraftaler og dokumentation fra GPAI-udbydere.
- Klare roller, ansvar og en intern AI-governance-politik.
Behandler systemet personoplysninger, skal denne dokumentation spille sammen med jeres GDPR-arbejde, herunder konsekvensanalyser (DPIA).
Tidslinje: hvad gaelder hvornaar?
AI-forordningen traadte i kraft 1. august 2024 og faser ind trinvist. Forbud mod uacceptabel AI og krav om AI-kompetencer har vaeret gaeldende siden februar 2025, og forpligtelser for generel AI (GPAI) siden august 2025. De fleste hoejrisikokrav er gennem EU's forenklingspakke (Digital Omnibus) i 2026 foreslaaet udskudt til 2. december 2027 (anvendelsesbaserede systemer) og 2. august 2028 (produktintegrerede systemer). Disse datoer afventer endelig vedtagelse og offentliggoerelse i EU-Tidende og kan aendre sig, saa foelg den officielle status loebende. En udskydelse fjerner ikke behovet for at forberede sig allerede nu.
Hvordan kommer du i gang?
Du behoever ikke loese alt paa én gang. Begynd med de tre skridt, der giver mest tryghed hurtigst: lav inventaret, stop eventuelle forbudte anvendelser, og klassificér risikoen for jeres vigtigste systemer. Derfra kan I prioritere dokumentation og overensstemmelsesvurdering for de hoejrisikosystemer, der har laengst vej til maalet.
Vil du have hjaelp til at omsaette tjeklisten til en konkret plan, saa se vores forklaring af AI-forordningen (EU AI Act) og vores raadgivning om AI-strategi og -loesninger. Opsio hjaelper med at indfoere AI ansvarligt og dokumenteret.
Ofte stillede spoergsmaal
Hvornaar gaelder AI-forordningen for min virksomhed?
Forbud og AI-kompetencekrav gaelder allerede (siden 2025), og GPAI-forpligtelser gaelder ligeledes. De fleste hoejrisikokrav er ifoelge forenklingspakken fra 2026 foreslaaet udskudt til december 2027 og 2028, men datoerne afventer endelig vedtagelse. Forbered jer allerede nu, uanset den endelige dato.
Gaelder reglerne min virksomhed, ogsaa uden for EU?
Ja, sandsynligvis. AI-forordningen har ekstraterritorial raekkevidde og gaelder virksomheder uden for EU, naar deres AI-system markedsfoeres i EU, eller naar systemets output bruges i EU. Brug tjeklisten til at fastlaegge jeres rolle og risiko uanset hvor I er etableret.
Hvad er forskellen paa EU AI Act og GDPR?
GDPR regulerer behandling af personoplysninger, mens AI-forordningen regulerer AI-systemers sikkerhed og paavirkning af grundlaeggende rettigheder ud fra risiko. De supplerer hinanden, og hoejrisikosystemer skal ofte overholde begge regelsaet samtidig.
Hvor store er sanktionerne?
Brug af forbudt AI kan udloese boeder paa op til 35 mio. EUR eller 7 % af den globale aarsomsaetning. Andre overtraedelser kan koste op til 15 mio. EUR eller 3 %, og urigtige oplysninger til myndighederne op til 7,5 mio. EUR eller 1 %.
Written By
Group COO & CISO
Fredrik er koncernens COO og CISO hos Opsio. Han fokuserer på operationel ekspertise, governance og informationssikkerhed og arbejder tæt sammen med leverance- og ledelsesteams om at afstemme teknologi, risiko og forretningsresultater i komplekse IT-miljøer. Han leder Opsios sikkerhedspraksis, herunder SOC-services, penetrationstest og compliance-rammer.
Editorial standards: Denne artikel er skrevet af cloud-praktikere og gennemgået af vores ingeniørteam. Vi opdaterer indhold kvartalsvist. Opsio opretholder redaktionel uafhængighed.