Europa-Kommissionen fremlagde 19. november 2025 forslag til den digitale omnibus-pakke VII, der indeholdt forslag til ændringer af AI-forordningen.
Efter forhandling med Rådet og Europa-Parlamentet er nedenstående ændringer af indholdsmæssig karakter nu endeligt vedtaget.
Derudover er foretaget en række konsekvensændringer og præciseringer af mere teknisk karakter. Du kan se alle ændringer på Kommissionens/Rådets hjemmeside på dette link.
Ikrafttrædelsen af krav til højrisiko-AI-systemer udskydes og gælder nu i stedet fra hhv. 2. december 2027 (AI-systemer omhandlet i bilag III) og 2. august 2028 (AI-systemer omhandlet i bilag I).
Krav om mærkning af AI-genereret materiale i maskinlæsbart format gælder først fra 2. december 2026 for AI-systemer, der er på markedet før 2. august 2026.
Der tilføjes to nye forbud mod anvendelsen af AI-systemer, der
Det er en forudsætning for forbuddene, at det er AI-systemets formål – eller et rimeligt forudsigeligt resultat af AI-systemets design, træning, arkitektur, kapabilitet eller brugerrettede funktionalitet – at generere sådant materiale.
De to nye forbud, der tilføjes som følge af AI omnibussen, gælder fra 2. december 2026.
Forpligtelsen for udbydere og idriftsættere ændres, så de nu skal træffe foranstaltninger der understøtter udviklingen af AI-færdigheder hos deres personale og andre personer. Tidligere skulle udbydere og idriftsættere ”i videst muligt omfang […] sikre et tilstrækkeligt niveau af AI-færdigheder” hos deres personale og andre personer.
Det fremgår eksplicit af ændringen, at forpligtelsen ikke medfører, at udbydere og idriftsættere skal garantere et bestemt niveau af AI-færdigheder hos den enkelte.
Derudover forpligtes Kommissionen og medlemslandene nu til at understøtte og facilitere udbydernes og idriftsætternes indsats. Kommissionen offentliggør praktiske eksempler på, hvordan forpligtelsen kan opfyldes.
Maskinforordningen flyttes fra bilag I, afsnit A til afsnit B og undtages dermed indtil videre fra højrisikokrav. Kommissionen skal senest 2. august 2028 vedtage delegerede retsakter iht. maskinforordningen, der indfører krav til sundhed og sikkerhed for AI-systemer, der klassificeres som højrisiko iht. AI-forordningen.
AI-forordningens krav til højrisiko AI-systemer kan begrænses, hvis der i sektorlovgivning allerede er fastsat krav, der beskytter sundhed, sikkerhed og grundlæggende rettigheder på et tilsvarende eller højere niveau.
Kommissionen forpligtes til at vedtage delegerede retsakter, der nærmere specificerer hvilke krav og højrisiko AI-systemer der omfattes af dette samt begrænsningens rækkevidde.
Præcisering af, at AI-systemer der alene anvendes til ikke-sikkerhedsrelaterede aspekter (fx brugerhjælp, optimering af ydeevne, automatisering eller kvalitetskontrol) ikke skal forstås som sikkerhedskomponenter – medmindre svigt eller funktionsfejl ville udgøre en fare for sundheden eller sikkerheden.
Definitionen af ’sikkerhedskomponent’ præciseres, så det fremgår eksplicit, hvad der forstås ved ”sikkerhedsfunktion” (Artikel 3, punkt 14).
Forpligtelsen udvides, så udbydere og idriftsættere af ikke-højrisiko AI-systemer og AI-modeller gives mulighed for at behandle særlige kategorier af personoplysninger i det omfang det er strengt nødvendigt for at sikre, at bias påvises og korrigeres.
SMV’er og start-ups kan fremlægge teknisk dokumentation på en forenklet måde. Dette udvides til også at omfatte SMC’er. Artikel 17: Proportionalitetshensyn ifm. kvalitetsstyringssystem omfatter nu også for SMC’er.
Særlige hensyn til SMV’er og start-ups udvides til også at omfatte SMC’er (small mid-cap enterprises), mhp. at støtte en smidig overgang fra SMV til SMC, fordi virksomhederne spiller en vital rolle i EU’s økonomi og står over for lignende udfordringer, hvad angår den administrative byrde (betragtning 6).
Relaterede artikler: Art. 70, stk. 8, art. 95, stk. 4, art. 96, stk. 1, art. 99, stk. 1 og 6a
Præcisering af, at den oprindelig udbyder af et AI-system til den nye udbyder skal stille teknisk dokumentation til rådighed, informere om kendte begrænsninger og give målrettet teknisk adgang til brug for test og validering.
Præcisering af, at idriftsætter kan henvise til relevante afsnit i tidligere udarbejdet konsekvensanalyse vedrørende databeskyttelse (DPIA).
Overordnet præcisering af at overensstemmelsesvurderingsproceduren, når AI-systemer er omfattet af sektorlovgivningen oplistet i bilag I, afsnit A.
Præcisering af, at bemyndigende myndigheder skal sikre, at overensstemmelsesvurderingsorganer kan nøjes med én ansøgning og gennemgå en samlet vurderingsprocedure, når de ansøger om bemyndigelse under både AI-forordningen og sektorlovgivning oplistet i bilag I, afsnit A, når sektorlovgivningen tillader det.
Præcisering af, at den bemyndigende myndighed, der er udpeget iht. sektorlovgivning oplistet i bilag I, afsnit A, er ansvarlig for den samlede ansøgningsprocedure – medmindre medlemslandet udpeger en anden myndighed for AI-forordningen.
Udbyderen kan vælge en overensstemmelsesprocedure uden brug af tredjepart, hvis sektorlovgivningen giver mulighed for dette (Artikel 43, stk. 3).
Relaterede artikler: Art. 29, stk. 4, art. 30, stk. 2
AI-systemer anses for at være i overensstemmelse med cybersikkerhedskravene i AI-forordningens artikel 15, hvis de lever op til kravene i cyberrobusthedsforordningens artikel 12.
Kommissionen skal tilskynde til og fremme udarbejdelsen af praksiskodekser. Kommissionen skal nu tage hensyn til AI Boardets holdning i sin vurdering af, om overholdelse af praksiskodekser i tilstrækkelig grad sikrer, at AI-forordningens krav til gennemsigtighed overholdes. [Tidligere fremgik, at AI Office skulle fremme udarbejdelsen af praksiskodekser, og at Kommissionen skulle vedtage gennemførelsesretsakter for at godkende praksiskodekser.]
Kommissionen skal nu tage hensyn til AI Boardets holdning i sin vurdering af, om overholdelse af praksiskodekser i tilstrækkelig grad sikrer, at kravene i AI-forordningen til udbydere af hhv. GPAI-modeller og GPAI-modeller med systemiske risici overholdes. [Tidligere skulle AI Office og AI Board foretage tilstrækkelighedsvurdering.]
Fristen for etablering af en regulatorisk AI-sandkasse udsættes fra 2. august 2026 til 2. august 2027.
AI Office gives mulighed for at etablere en regulatorisk AI sandkasse.
Muligheden for at foretage afprøvning udvides fra kun at omfatte udbydere af højrisiko-AI-systemer oplistet i bilag III til også at omfatte udbydere af højrisiko-AI-systemer omfattet af sektorlovgivningen oplistet i bilag I, afsnit A og afsnit B.
Medlemslande der giver mulighed at foretage afprøvning af højrisiko-AI-systemer omfattet af sektorlovgivningen oplistet i bilag I, afsnit B. skal orientere Kommissionen om rammerne herfor og sikre, at de relevante myndigheder med ansvar for infrastrukturen of produkterne samarbejder tæt og fjerner praktiske og processuelle hindringer for adgangen til den fysiske infrastruktur, de er nødvendig for at gennemføre afprøvningen.
Bestemmelsen indeholder derudover krav til, at rammerne for afprøvningen bl.a. sikrer et højt niveau af beskyttelse sundhed, sikkerhed og grundlæggende rettigheder.
Kommissionen skal vedtage retningslinjer og skabelon til brug for udbyderes forpligtelse til at udarbejde en plan overvågning efter omsætningen af højrisiko-AI-systemer. Kommissionens udarbejdelse heraf udsættes fra 2. februar 2026 til 2. september 2027.
Kommissionen skal i den forbindelse tage størst muligt hensyn til AI Boardets holdning.
Det præciseres, at AI Office fører tilsyn med AI-modeller og AI-systemer udviklet af samme udbyder samt AI-systemer integreret i ”very large online platforms” eller ”very large online search engines” udpeget i overensstemmelse med DSA-forordningen.
Det præciseres derudover, hvilke AI-systemer nationale kompetente myndigheder fører tilsyn med.
Bestemmelsen indeholder nærmere detaljer om nationale kompetente myndigheder samarbejde med AI Office ifm. udøvelsen af håndhævelsesbeføjelser samt nationale markedsovervågningsmyndigheders mulighed for at anmode AI Office om at foretage tilsyns- og håndhævelsesforanstaltninger over for udbydere af GPAI-systemer.
Bestemmelsen fastlægger, at tredjeparter på vegne af Kommissionen skal foretage overensstemmelsesvurdering af højrisiko-AI-systemer omfattet af AI Offices tilsyn.
Bestemmelserne indeholder krav til AI Offices (Artikel 75a-e):
Præcisering af, at markedsovervågningsmyndigheder skal give myndigheder med ansvar for grundlæggende rettigheder adgang til information og dokumentation snarest muligt og uden unødig forsinkelse.
Præcisering af, at markedsovervågningsmyndigheder og myndigheder med ansvar for grundlæggende rettigheder skal bistå hinanden mhp. at opfylde deres respektive mandater.
Kommissionen skal senest 1. august 2027 udgive retningslinjer om risikostyringssystem og kvalitetsledelsessystem mhp. at sikre sammenhæng, undgå dobbeltarbejde og minimere ekstra byrder ifm. efterlevelse af krav i AI-forordningen og sektorlovgivningen oplistet i bilag I, afsnit A.
Udbydere skal ifm. registrering af AI-systemer i EU-databasen over højrisiko-AI-systemer ikke længere indsende
Bilag XIV: Nyt bilag med koder og kategorier der anvendes ifm. notificeringsproceduren, som angiver omfanget af bemyndigede organers ansvarsområder.
