EU:s AI-lags tidsfrist från augusti 2026 har försenats: Vad det innebär för företag

EU:s AI-lags tidsfrist för obligatorisk efterlevnad av högrisk-AI, den 2 augusti 2026, har skjutits upp. Åtgärder i den nyligen antagna AI-lagen EU:s digitala omnibus om AI skjuta upp vissa krav till den 2 december 2027 och andra till den 2 augusti 2028.

Europeiska kommissionen tillkännagav att den nya tidslinjen för genomförandet av reglerna för högrisksystem kommer att ”göra genomförandet av AI-lagen enklare för europeiska företag, samtidigt som fördelar för det europeiska samhället, säkerhet och grundläggande rättigheter säkerställs.”

Vilka skyldigheter har ändrats enligt den digitala omnibusen, vilka har förblivit desamma, och hur kan organisationer säkerställa efterlevnad före de nya tidsfristerna?

Vad förändrar den digitala omnibusen?

Den digitala omnibusen innehåller riktade förenklingsåtgärder i EU:s AI-lag, inklusive:

• Utvidga regelförenklingar som beviljats ​​små och medelstora företag till att även omfatta små och medelstora företag, inklusive förenklad teknisk dokumentation och särskild hänsyn vid tillämpningen av sanktioner
• Borttagande av föreskriften om en harmoniserad övervakningsplan efter utsläppande på marknaden
• Minska registreringsbördan för leverantörer av AI-system som används i högriskområden men för vilka leverantören har dragit slutsatsen att de inte utgör högrisk eftersom de endast används för snäva eller procedurmässiga uppgifter.
• Tillåta AI-leverantörer och distributionsföretag att behandla särskilda kategorier av personuppgifter för att upptäcka och korrigera algoritmisk bias
• En bredare användning av AI-regleringssandlådor och verklighetstestning, och underlättande av en EU-nivåbaserad regleringssandlåda för AI som AI-kontoret kommer att inrätta från och med 2028.
• Riktade förändringar som förtydligar samspelet mellan EU:s AI-lag och annan EU-lagstiftning och justerar lagens förfaranden för att förbättra dess övergripande genomförande och funktion.

Kommissionen utarbetar också ytterligare vägledning för att underlätta efterlevnaden av EU:s AI-lag, med fokus på att erbjuda tydliga och praktiska instruktioner för att tillämpa AI-lagen parallellt med annan EU-lagstiftning. De nya tillämpningsdatumen kommer att koppla tidsfristerna för skyldigheterna till tillgängligheten av denna vägledning.

Efterlevnad av transparensskyldigheter enligt EU:s AI-lag

En nyligen släppt Uppförandekod för transparens i AI-genererat innehåll tar upp viktiga överväganden för leverantörer och driftsättare av AI-system som genererar innehåll som omfattas av artikel 50 i lagen, Transparensskyldigheter för leverantörer och driftsättare av vissa AI-system. Koden är utformad för att stödja organisationer i att visa efterlevnad men är inte i sig avgörande bevis på efterlevnad av skyldigheterna.

Enligt de kommande kraven måste leverantörer av AI-system avsedda att interagera direkt med individer utforma dessa system för att informera användare om att de interagerar med ett AI-system. Till exempel bör en kundsupportchattbot utformas för att meddela användare att det är en chattbot.

Dessutom specificerar uppförandekoden för transparens i AI-genererat innehåll specifika krav för AI-system som genererar syntetisk text, bilder, video, ljud eller en blandning av dessa format. Leverantörer och distributionsföretag av dessa system måste använda maskinläsbara format för att markera utdata som AI-genererade eller manipulerade. Det finns specifika regler för märkning av AI-genererade eller manipulerade deepfakes och publicerad text om frågor av allmänt intresse.

Befintliga krav för AI-system med hög risk

AI-system anses vara högrisksystem enligt EU:s AI-lag om de utgör ett betydande hot mot hälsa, säkerhet eller grundläggande rättigheter, eller används inom områden som biometri, utbildning, sysselsättning eller kritisk infrastruktur.

System som kategoriseras som högrisk måste uppfylla specifika krav:

Riskhantering: Ett kontinuerligt riskhanteringssystem måste implementeras för att övervaka AI:n under hela dess livscykel.

Datastyrning: Datastyrningsrutiner måste implementeras för att säkerställa att utbildnings-, validerings- och testdata uppfyller specifika kvalitetskriterier.

Teknisk dokumentation: Leverantörer av AI-system med hög risk måste upprätthålla omfattande teknisk dokumentation avseende systemet, inklusive designspecifikationer, funktioner, begränsningar och insatser för att uppfylla regelefterlevnad.

Journalföring: Högrisk-AI-system måste automatiskt logga händelser för att säkerställa ansvarsskyldighet och spårbarhet.

Mänsklig tillsyn: Högrisksystem för AI måste utformas på ett sätt som gör det möjligt för människor att övervaka dem, vilket minimerar riskerna för hälsa, säkerhet och grundläggande rättigheter. Åtgärder för mänsklig tillsyn kan byggas in i systemet av leverantören eller implementeras av användaren.

Noggrannhet, robusthet och cybersäkerhet: Högrisk-AI-system måste utformas och utvecklas på ett sådant sätt att de uppnår en lämplig nivå av noggrannhet, robusthet och cybersäkerhet.

Överensstämmelsesbedömningar: Högrisk-AI-system måste genomgå överensstämmelsesbedömningar för att säkerställa att de uppfyller rättsliga, tekniska och etiska standarder innan de släpps ut på marknaden eller tas i bruk.

Anmälan: Leverantörer av AI-system med hög risk måste registrera sig själva och sina system i en centraliserad EU-databas innan de släpper ut sina system på marknaden eller tar dem i bruk.

CE-märkning: Högrisksystem för AI måste ha CE-märkning för att visa att produkten uppfyller EU:s säkerhetsstandarder, och märkningen måste vara tydligt synlig. Om CE-märkningen inte kan placeras fysiskt på systemet bör den inkluderas i förpackningen eller dokumentationen.

Att säkerställa korrekt efterlevnad av EU:s AI-lag med ISO 42001

För leverantörer eller distributionsföretag av AI-system med hög risk som precis har börjat uppfylla sina skyldigheter enligt lagen erbjuder den nya tidslinjen en förlängd respitperiod för att införa en smart och strukturerad strategi för AI-styrning.

Här, ISO 42001 ger ett ramverk för bästa praxis. Många av standardens krav överensstämmer med kraven i EU:s AI-lag: riskklassificering, transparensåtgärder, ansvarsstrukturer och mänsklig tillsyn. Efterlevnad av ISO 42001 innebär dock inte garanterad efterlevnad av EU:s AI-lag och vice versa.

Vad ISO 42001-standarden erbjuder är en logisk metod för AI-styrning, vilket gör det möjligt för organisationer att bygga ett etiskt och hållbart AI-ledningssystem (AIMS). Genom att implementera ISO 42001 kan organisationer säkerställa att AI-system utvecklas, implementeras och används på ett sätt som prioriterar säkerhet, transparens och ansvarsskyldighet – alla viktiga principer i lagen.

Genom att använda ISO 42001-ramverket och kartlägga det mot EU:s AI-lags krav kan leverantörer och distributionsföretag av högrisk-AI-system integrera robust styrning och proaktivt hantera lagens krav utanför ISO 42001:s tillämpningsområde, vilket säkerställer efterlevnad före tidsfristen 2027.

Utöka din kunskap

Webinar: ISO 42001 i praktiken: Lärdomar från en av världens första ISO 42001-certifieringar

Blogg: Att uppfylla dataanvändnings- och åtkomstlagen med förtroende: Varför ISO 27001-, 27701- och 42001-slingorna levererar

Blogg: En viktig deadline för EU:s AI-lag närmar sig: Här är vad företag behöver veta