AI Act - Europæisk AI regulering - hvad betyder det for jer?

27. okt. 2025
2. jun. 2026

EU’s AI Act er nu gået fra politisk vision til konkret virkelighed. I juni 2026 er flere centrale dele af forordningen allerede gældende, mens andre dele er på vej ind i deres næste anvendelsesfaser. Det betyder, at virksomheder i hele EU – også i oplevelsesbranchen – skal kunne dokumentere, hvordan deres AI-systemer anvendes, styres og kontrolleres.

Status på AI Act i juni 2026

AI Act trådte formelt i kraft den 1. august 2024, men reglerne implementeres gradvist. Forbudte AI-praksisser og krav om AI-kompetencer blev gældende fra 2. februar 2025. Regler om governance og generelle AI-modeller (GPAI) begyndte at finde anvendelse fra 2. august 2025.

De generelle transparenskrav, herunder krav om tydelig information ved chatbot-interaktion og mærkning af visse former for AI-genereret indhold, finder anvendelse fra august 2026. For højrisiko-AI er tidslinjen blevet justeret. Efter EU’s politiske aftale om forenkling af AI-reglerne finder reglerne for visse højrisiko-systemer i områder som biometrik, kritisk infrastruktur, uddannelse, beskæftigelse, migration og grænsekontrol anvendelse fra 2. december 2027. For AI-systemer, der er indlejret i regulerede produkter som fx legetøj eller elevatorer, gælder en overgangsperiode frem til 2. august 2028.

I praksis betyder det, at 2026 stadig er et vigtigt forberedelsesår. Virksomheder bør have overblik over deres AI-brug, leverandører, risici, dokumentation og interne processer – og særligt være opmærksomme på transparenskravene, der bliver aktuelle i august 2026.

Hvad er AI Act?

AI Act er en direkte gældende EU-forordning, der regulerer udvikling, markedsføring og anvendelse af kunstig intelligens. Formålet er at skabe en fælles europæisk ramme for sikker, gennemsigtig og ansvarlig brug af AI.

Forordningen bygger på en risikobaseret tilgang. Jo større potentiel påvirkning et AI-system har på mennesker, sikkerhed og grundlæggende rettigheder, desto strengere krav stilles der.

Risikokategorier i AI Act

AI-systemer opdeles overordnet i fire kategorier:

  • Forbudt AI: Systemer der anses for at udgøre en uacceptabel risiko, fx skadelig manipulation, social scoring, visse former for biometrisk kategorisering og bestemte anvendelser af realtids-biometrisk identifikation.
  • Højrisiko-AI: Systemer der anvendes i kritiske områder som ansættelse, kreditvurdering, adgang til uddannelse, biometrisk identifikation, kritisk infrastruktur, migration, grænsekontrol eller som sikkerhedskomponenter i regulerede produkter.
  • Begrænset risiko: Fx chatbots og generativ AI, hvor der primært gælder transparenskrav.
  • Minimal risiko: Interne produktivitetsværktøjer og simple anbefalingssystemer, hvor AI Act typisk ikke stiller omfattende krav.

De fleste virksomheder vil primært befinde sig i kategorierne minimal eller begrænset risiko, men grænsen til højrisiko kan overskrides, hvis AI påvirker rettigheder, adgang eller væsentlige beslutninger om personer.

Generelle AI-modeller (GPAI) og systemiske risici

En væsentlig del af AI Act er reguleringen af generelle AI-modeller – også kaldet GPAI (General Purpose AI). Det gælder store sprogmodeller og fundamentmodeller, der kan anvendes bredt på tværs af sektorer.

Udbydere af sådanne modeller er underlagt særlige krav om:

  • Teknisk dokumentation
  • Gennemsigtighed om træningsdata
  • Respekt for ophavsret
  • Risikohåndtering
  • Ekstra krav ved systemisk risiko

Systemisk risiko vurderes blandt andet ud fra modelstørrelse, kapacitet og udbredelse. EU’s AI Office spiller en central rolle i tilsyn, vejledning og koordinering af reglerne for generelle AI-modeller.

Transparens og mærkning af AI-genereret indhold

AI Act indeholder konkrete krav til gennemsigtighed, særligt når virksomheder anvender generativ AI eller stiller AI-systemer til rådighed for brugere. Formålet er, at borgere og kunder tydeligt skal kunne forstå, hvornår de interagerer med kunstig intelligens, og hvornår indhold er kunstigt genereret eller manipuleret.

AI Act trådte i kraft 1. august 2024, og transparenskravene i artikel 50 finder som udgangspunkt anvendelse fra 2. august 2026. Der er dog politisk behandlet justeringer af visse tekniske mærkningskrav, herunder maskinlæsbar identifikation af AI-genereret indhold. Virksomheder bør derfor følge den endelige danske og europæiske vejledning tæt i 2026.

Oplysning ved direkte AI-interaktion

Hvis en bruger interagerer med en AI – fx via en chatbot, virtuel assistent eller automatisk kundeservice – skal det som udgangspunkt oplyses klart og tydeligt, at der er tale om en AI. Oplysningen skal gives på en måde, der er let at forstå.

I praksis betyder det typisk en kort besked i chatvinduet eller i appen, eksempelvis: “Du kommunikerer med en AI-assistent. Den kan tage fejl. Har du brug for en medarbejder, kan du kontakte os her.”

Mærkning af AI-genereret billede, lyd og video

Virksomheder, der offentliggør AI-genereret eller AI-manipuleret billede, lyd eller video, skal sikre, at indholdet kan identificeres som kunstigt. Det gælder især materiale, der realistisk kan forveksles med ægte optagelser – ofte omtalt som deepfakes.

Det kan ske gennem en synlig markering i forbindelse med indholdet, fx “AI-genereret billede” eller “AI-manipuleret video”. Samtidig stiller AI Act krav om, at udbydere af generative systemer så vidt muligt anvender tekniske løsninger, der gør indholdet maskinlæsbart identificerbart, eksempelvis via metadata, digitale vandmærker eller tilsvarende teknikker.

AI-genereret tekst og offentlig information

Hvis AI anvendes til at generere tekst, der offentliggøres med det formål at informere offentligheden om forhold af samfundsmæssig interesse, skal det som udgangspunkt oplyses, at teksten er helt eller delvist AI-genereret.

Har teksten været underlagt reel menneskelig redaktionel kontrol, og bærer virksomheden et klart redaktionelt ansvar for indholdet, kan oplysningskravet i visse tilfælde være mindre indgribende. Det afgørende er, at læseren ikke vildledes om indholdets oprindelse.

Emotion recognition og biometriske systemer

Hvis en virksomhed anvender AI til at analysere eller udlede følelser eller til biometrisk kategorisering, skal de berørte personer informeres om, at systemet er i brug. Visse former for emotion recognition og biometrisk kategorisering er samtidig forbudt eller stærkt begrænset, afhængigt af kontekst og formål.

Samlet set betyder transparenskravene, at virksomheder bør have klare interne retningslinjer for mærkning, synlig information og teknisk sporbarhed ved brug af generativ AI. Det er et område, hvor både juridisk compliance og tillid hos kunder og samarbejdspartnere spiller en central rolle.

Nye krav om AI-kompetencer (AI literacy)

Fra 2. februar 2025 er organisationer forpligtet til at sikre, at medarbejdere og andre personer, der arbejder med eller anvender AI-systemer på organisationens vegne, har passende AI-kompetencer. Kravet gælder både udbydere og anvendere af AI-systemer.

Det betyder, at virksomheder skal kunne sandsynliggøre, at relevante medarbejdere forstår:

  • Grundlæggende funktion og begrænsninger ved AI
  • Risikoforhold og fejlkilder
  • Gældende interne politikker
  • Relevante lovkrav
  • Hvornår menneskelig vurdering er nødvendig

Krav til højrisiko-AI

Højrisiko-systemer skal opfylde omfattende krav, herunder:

  • Etableret risikostyringssystem
  • Dokumenteret datagovernance og datakvalitet
  • Teknisk dokumentation
  • Logning og sporbarhed
  • Menneskelig overvågning
  • Krav til robusthed, nøjagtighed og cybersikkerhed
  • Post-market overvågning og hændelsesrapportering

Ved markedsføring skal visse systemer gennemføre overensstemmelsesvurdering og CE-mærkning. For mange højrisiko-systemer er tidslinjen dog blevet forskudt, så virksomheder bør kontrollere, om deres system falder under de generelle højrisikoregler, de produktrelaterede regler eller en særlig overgangsordning.

Håndhævelse og bøder

AI Act indeholder betydelige bøderammer. Overtrædelser kan medføre bøder på op til:

  • 35 mio. euro eller 7 % af global årlig omsætning for overtrædelse af forbudte praksisser
  • 15 mio. euro eller 3 % af global årlig omsætning for overtrædelse af øvrige krav
  • 7,5 mio. euro eller 1 % af global årlig omsætning for urigtige, ufuldstændige eller vildledende oplysninger

Bødeniveauet afhænger af virksomhedens størrelse, overtrædelsens karakter og proportionalitetsprincipperne. SMV’er kan i praksis blive mødt med proportional håndhævelse, men er ikke generelt undtaget fra reglerne.

Forholdet til GDPR

AI Act erstatter ikke GDPR. Hvis et AI-system behandler persondata, gælder databeskyttelsesreglerne parallelt. I mange tilfælde vil en DPIA være relevant, særligt ved højrisiko-systemer eller ved behandling af følsomme oplysninger.

AI Act fokuserer på AI-systemets sikkerhed, transparens og risikostyring, mens GDPR beskytter individets persondata og rettigheder. De to regelsæt supplerer derfor hinanden.

Hvad bør virksomheder gøre i 2026?

Virksomheder bør som minimum:

  • Kortlægge alle AI-systemer og AI-funktioner
  • Klassificere dem efter risikoniveau
  • Dokumentere formål, datagrundlag, leverandører og ansvar
  • Indgå struktureret leverandørdialog
  • Etablere AI-politik og governance
  • Implementere logning og dokumentation, hvor det er relevant
  • Sikre AI-kompetencer hos relevante medarbejdere
  • Forberede transparens- og mærkningskrav fra august 2026

For mange virksomheder kan moderne SaaS-løsninger være en praktisk vej til compliance, da dokumentation, sikkerhed og opdateringer ofte er indbygget i platformen. Det reducerer den interne kompleksitet og gør det lettere at leve op til de løbende krav.

Betydning for oplevelsesbranchen

I oplevelsesbranchen anvendes AI typisk til kundeservice, billetoptimering, personalisering, markedsføring, analyse og sikkerhed. De fleste løsninger vil være minimal eller begrænset risiko, men brug af biometrisk adgang, emotion recognition eller automatiseret beslutningstagning kan medføre strengere krav eller højrisikoklassifikation.

Branchen får med AI Act en klar juridisk ramme. Det skaber tryghed for gæster og samarbejdspartnere, men stiller også krav om dokumenteret ansvarlighed. Virksomheder, der arbejder struktureret med AI-compliance, vil stå stærkere i både udbud, partnerskaber og dialog med offentlige aktører.

AI Act frem mod 2027 og 2028

Selvom mange krav finder anvendelse i 2026, fortsætter implementeringen. Efter de seneste politiske justeringer ventes visse højrisiko-regler først at finde anvendelse fra 2. december 2027, mens AI-systemer, der er indlejret i regulerede produkter, ventes omfattet fra 2. august 2028.

AI Act er dermed ikke en engangsopgave, men en løbende compliance-disciplin. Virksomheder, der allerede nu arbejder systematisk med dokumentation, governance og leverandørstyring, vil være bedst rustet i de kommende år.

Læs mere om AI-forordningen

Spørgsmål/svar om AI Act 2026

Er AI Act fuldt gældende i 2026?

Nej. AI Act implementeres gradvist. I 2026 gælder blandt andet forbudte praksisser, krav om AI-kompetencer, regler for generelle AI-modeller og flere transparenskrav. Visse højrisiko-regler har længere overgangsfrister.

Hvad er en generel AI-model (GPAI)?

En generel AI-model er en bredt anvendelig model, fx en stor sprogmodel, der kan bruges til mange formål. Udbydere er underlagt særlige dokumentations-, transparens- og ophavsretsrelaterede krav.

Hvornår skal højrisiko-AI være compliant?

Tidsfristen afhænger af typen af højrisiko-AI. Efter de seneste politiske justeringer ventes visse højrisiko-systemer omfattet fra 2. december 2027, mens produktindlejrede systemer kan have frist til 2. august 2028.

Gælder AI Act også små virksomheder?

Ja. AI Act gælder også små og mellemstore virksomheder, hvis de udvikler, markedsfører eller anvender AI-systemer i EU. Der kan være proportional håndhævelse, men ikke en generel undtagelse.

Hvordan hænger AI Act sammen med GDPR?

AI Act regulerer AI-systemets sikkerhed, transparens og risikostyring, mens GDPR regulerer behandling af persondata. Hvis et AI-system behandler persondata, gælder begge regelsæt parallelt.

AI actAI act guideAI Act skabelon
AI Act - Europæisk AI regulering - hvad betyder det for jer?