AI Act’s højrisiko‑forpligtelser var planlagt til at gælde fra 2. august 2026, men den nødvendige efterlevelsesinfrastruktur er forsinket. Harmoniserede standarder og central vejledning mangler, og Kommissionens Digital Omnibus kan udskyde dele af højrisiko‑regimet. Derimod forventes transparenskravene i artikel 50 at træde i kraft som planlagt.
Forsinkede standarder og Omnibus-forslaget for højrisiko‑regimet
AI Act bygger på harmoniserede standarder, der ved citation i EU-Tidende giver formodning for overensstemmelse, jf. artikel 40. Kommissionen har imidlertid registreret væsentlige forsinkelser i standardiseringen i sin gennemførelsesafgørelse C(2025)3871, som også peges på i EDPB/EDPS’ Joint Opinion 1/2026. Disse forsinkelser – sammen med udebleven vejledning og manglende udpegning af myndigheder og bemyndigede organer – begrunder Omnibus-forslaget om tidsudskydelse.
Det formelle Omnibus‑forslag (COM(2025) 836) lægger op til, at højrisiko‑kravene aktiveres 6 eller 12 måneder efter en Kommissionsbeslutning om, at tilstrækkelige compliance‑værktøjer er på plads, dog med longstop‑datoer. Europa-Parlamentets udkast støtter en udskydelse, men ønsker faste datoer frem for en udløsermekanisme. Se kilderne hos Rådet, EDPB/EDPS og Parlamentet.
Transparenskrav efter artikel 50 og gældende forbud
Uanset en mulig udskydelse for højrisiko‑regimet gælder artikel 50’s transparensforpligtelser bredt, herunder krav om tydeliggørelse af AI‑genereret indhold. Forslaget til Omnibus giver alene en snæver overgang for leverandører af generative systemer, der allerede er på markedet, ift. teknisk mærkning og detektion.
Kommissionen har for nylig offentliggjort et nyt udkast til Code of Practice om mærkning og labelling af AI‑genereret indhold, som kan understøtte implementeringen, men ændrer ikke de retlige frister. Se AI Act og Kommissionens sider om standardisering samt Code of Practice. Forbudte praksisser og visse GPAI‑forpligtelser gælder allerede.
Interesseret i forvaltningsret? Deltag i Forvaltningskonferencen 2026
Læs mere her →Dansk håndhævelse og praktiske compliance-skridt nu
I Danmark er der udpeget tilsyn for forbudte praksisser (artikel 5) – bl.a. Datatilsynet, Digitaliseringsstyrelsen og Domstolsstyrelsen – men sektorielt tilsyn for højrisiko‑forpligtelser og artikel 50 er endnu ikke endeligt fastlagt. Den politiske kalender øger risikoen for yderligere forsinkelse, og udpegninger kan derfor komme sent. Se status hos Digitaliseringsstyrelsen.
Organisationer bør ikke afvente fuld klarhed. Følgende grundelementer kan accelerere paratheden og skabe synergi med GDPR, NIS2 og DORA:
- Kortlæg AI‑anvendelser og opbyg et ajourført inventar efter artikel 5, 6 og 50, med kobling til aktiver, leverandører og behandlingsaktiviteter.
- Etabler en screeningspolitik (AI playbook) for nye use cases, inkl. klassifikation, dataflow og alignment med interne principper.
- Implementér privatlivsforanstaltninger: fastlæg lovligt grundlag, gennemfør DPIA ved høj risiko, og indbyg privacy by design i hele livscyklussen.
- Indfør en anvendelsespolitik, træning og first‑line awareness, så brugere agerer inden for klare rammer.
