EU’s AI Act (forordningen om kunstig intelligens) er EU’s fælles, bindende regelsæt for udvikling, markedsføring og brug af AI. Reglerne er risikobaserede: Nogle anvendelser forbydes helt, mange AI‑løsninger er “lav risiko” med få krav, mens højrisiko‑AI (fx løsninger der kan påvirke sikkerhed, adgang til kritiske tjenester eller grundlæggende rettigheder) skal opfylde omfattende krav til styring, dokumentation og kontrol.
For SMV’er, der enten er NIS2‑omfattet – eller leverer software, drift eller digitale produkter til NIS2‑omfattede virksomheder – betyder AI Act i praksis et nyt compliance‑lag oven på cybersikkerhed. NIS2‑kunder forventes at stille skærpede krav til deres leverandører, fordi NIS2 kræver forsyningskædesikkerhed og vurdering af leverandørers produkter og sikre udviklingspraksis.
Hvis I udvikler, sælger eller integrerer AI, bør I kunne dokumentere tre ting: (1) jeres rolle i værdikæden (provider, deployer, distributør), (2) hvordan I har klassificeret AI‑løsningen (er den højrisiko?), og (3) hvilken evidens I kan levere. For højrisiko‑AI handler evidensen typisk om risikostyring, data governance, logning, transparens/instruktioner, menneskelig kontrol samt krav til nøjagtighed, robusthed og cybersikkerhed – og ofte også conformity assessment, registrering og CE‑mærkning før markedsføring.
Tidslinje: AI Act trådte i kraft 1. august 2024. Forbud og kravet om AI‑literacy gælder fra 2. februar 2025. Regler for general‑purpose AI gælder fra 2. august 2025, og hovedreglerne bliver fuldt anvendelige fra 2. august 2026 (med enkelte længere overgangsperioder
