Artikel 17 i forordning (EU) 2024/1689 — Kvalitetsstyringssystem. Officiel tekst, praktisk fortolkning, centrale forpligtelser og implikationer for overholdelse.
Resumé af den officielle tekst
Artikel 17 i forordning (EU) 2024/1689 kræver, at udbydere af højrisiko-AI-systemer indfører et kvalitetsstyringssystem (KSS), inden sådanne systemer bringes i omsætning eller tages i brug. KSS skal dokumenteres på en systematisk og ordentlig måde og skal dække alle stadier af AI-systemets livscyklus.
Forordningen præciserer, at KSS som minimum skal adressere: udbyderens strategi for overholdelse af lovgivningen, herunder procedurer for overensstemmelsesvurdering; de teknikker, procedurer og systematiske handlinger, der anvendes til design, designkontrol og verifikation af AI-systemet; datahåndteringsprocedurer, der dækker dataindsamling, -opsamling, -analyse, -mærkning, -lagring, -filtrering, -udvinding, -aggregering og -opbevaring; risikostyringssystemet som fastsat i artikel 9; etablering og gennemførelse af systemet til overvågning efter markedsføring i overensstemmelse med artikel 72; procedurer for hændelsesrapportering i overensstemmelse med artikel 73; håndtering af kommunikation med kompetente myndigheder, bemyndigede organer og andre relevante operatører; systemer og procedurer for registrering; ressourcestyring herunder forsyningskæderelaterede foranstaltninger; og en ansvarsramme, der dokumenterer ansvarsforhold i hele organisationen.
Hvor udbydere er fysiske personer eller mikrovirksomheder som defineret i Kommissionens henstilling 2003/361/EF, er Kommissionen bemyndiget til at vedtage gennemførelsesretsakter, der tillader forenklede KSS-ordninger, idet proportionalitetsprincippet, der gennemsyrer forordningen, anerkendes.
Hvad dette betyder i praksis
For enhver organisation, der udvikler eller bringer et højrisiko-AI-system i omsætning på EU-markedet, betyder artikel 17, at overholdelse ikke kan være en engangsøvelse, der udføres på tidspunktet for lanceringen. Det skal være indlejret i et levende organisatorisk system, der styrer hele produktets livscyklus — fra de første designbeslutninger over udrulning, overvågning og til eventuel udfasning.
Konkret skal en udbyder kunne dokumentere, at der findes dokumenterede procedurer, og at de følges på hvert trin. En udbyder af AI til sundhedssektoren kan for eksempel ikke blot træne en model og indsende den til overensstemmelsesvurdering. Organisationen skal vise, at dataindsamlingen fulgte dokumenterede governance-regler, at designvalg blev gennemgået i forhold til risikokriterier, at ansvarsområder for tilsyn er tildelt og registreret, og at der findes en mekanisme til at opdage og rapportere hændelser efter udrulning.
KSS-kravet betyder, at overholdelse er lige så meget en organisatorisk og proceduremæssig udfordring som en teknisk. Virksomheder, der allerede opererer under ISO 9001 eller sektorspecifikke ledelsesrammer — såsom ISO 13485 inden for medicinsk udstyr — vil finde betydelige overlap, men vil stadig skulle kortlægge deres eksisterende systemer eksplicit i forhold til AI-forordningens krav frem for at antage ækvivalens.
Mindre udbydere drager fordel af proportionalitetsbestemmelsen: mikrovirksomheder kan kvalificere sig til forenklede ordninger under gennemførelsesretsakter udstedt af Kommissionen. Dette fritager dem imidlertid ikke fra de underliggende materielle forpligtelser; det kan kun påvirke den form, hvori disse forpligtelser dokumenteres og administreres.
I praksis bør udbydere behandle KSS som den centrale rygrad, hvorfra alle andre overholdelses-artefakter — teknisk dokumentation, risikoregistre, planer for overvågning efter markedsføring, hændelseslogge — genereres og styres.
Centrale forpligtelser
- Etablere et dokumenteret kvalitetsstyringssystem inden et højrisiko-AI-system bringes i omsætning eller tages i brug, der dækker alle livscyklusfaser.
- Integrere de risikostyringsprocedurer, der kræves af artikel 9, i KSS, og sikre, at risikoidentifikation, -evaluering og -begrænsning er systematisk og sporbar.
- Dokumentere datahåndteringspraksis, der dækker indsamling, mærkning, behandling, lagring og opbevaring, i overensstemmelse med datahåndteringskravene i artikel 10.
- Vedligeholde den tekniske dokumentation specificeret i artikel 11 og bilag IV som et KSS-output og holde den opdateret og tilgængelig med henblik på overensstemmelsesvurdering og markedsovervågning.
- Implementere procedurer for overvågning efter markedsføring og hændelsesrapportering inden for KSS-rammen i overensstemmelse med henholdsvis artikel 72 og 73.
- Definere og dokumentere ansvarsstrukturer, roller og ansvar på tværs af organisationen, herunder forsyningskædetilsyn, hvor tredjepartskomponenter bidrager til AI-systemet.
Forholdet til andre artikler
Artikel 17 fungerer som den organisatoriske rygrad i overholdelses-regimet for højrisiko-AI-systemer, der er etableret i afsnit III, kapitel 3. Den henter sit materielle indhold fra flere indbyrdes sammenhængende forpligtelser: risikostyringssystemet i artikel 9, data- og datagovernance-kravene i artikel 10 og den tekniske dokumentationsordning i artikel 11 bidrager alle direkte til, hvad KSS skal dække og producere.
KSS skal også understøtte overensstemmelsesvurderingsprocedurerne i artikel 43 og 44, da den dokumentation, det genererer, udgør det primære bevis, der gennemgås af bemyndigede organer eller selvvurderingsprocesser. Forpligtelser efter udrulning i henhold til artikel 72 (overvågning efter markedsføring) og artikel 73 (rapportering af alvorlige hændelser) skal være indlejret i KSS-procedurer snarere end administreret som separate ad hoc-aktiviteter.
Artikel 26 pålægger brugere pligter, der er adskilte fra, men komplementære til KSS-forpligtelserne for udbydere. Hvor udbydere og brugere overlapper — for eksempel hvor en organisation både udvikler og udrullker et højrisiko-AI-system internt — skal artikel 17's KSS læses i sammenhæng med artikel 26's brugerforpligtelser for at sikre fuld dækning.
Overholdelses-tidslinje
EU's AI-forordning trådte i kraft den 1. august 2024 efter offentliggørelse i Den Europæiske Unions Tidende. Anvendelsen af dens bestemmelser er faseinddelt:
- Februar 2025 — Forbud mod AI-praksisser med uacceptabel risiko (artikel 5) blev anvendelige.
- August 2025 — Forpligtelser vedrørende AI-modeller til generelle formål (afsnit VIII) blev anvendelige.
- 2. august 2026 — Artikel 17 bliver anvendelig for udbydere af højrisiko-AI-systemer opført i bilag III (systemer inden for områder som biometri, kritisk infrastruktur, uddannelse, beskæftigelse, væsentlige tjenester, retshåndhævelse, migration og retspleje).
- 2. august 2027 — Artikel 17 bliver anvendelig for udbydere af højrisiko-AI-systemer, der er reguleret af bilag I (AI-komponenter i produkter, der allerede er underlagt EU-harmoniseringslovgivning såsom medicinsk udstyr, maskiner og luftfartsudstyr).
Udbydere, hvis systemer allerede er på markedet inden disse datoer, drager fordel af overgangsordninger i henhold til artikel 111, som kan udsætte fulde KSS-overholdelses-forpligtelser med forbehold for betingelser vedrørende væsentlige ændringer og igangværende overensstemmelsesvurderingscyklusser. Organisationer bør begynde KSS-design og gap-vurderinger i god tid inden den gældende frist for at muliggøre intern validering, inddragelse af bemyndiget organ, hvor det kræves, og iterativ forfining inden forpligtelsen træder i kraft.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Artikel 17 pålægger forpligtelsen om kvalitetsstyringssystem udelukkende til udbydere af højrisiko-AI-systemer som defineret i artikel 6 og bilag III til forordning (EU) 2024/1689. Brugere er ikke underlagt denne specifikke forpligtelse, selvom de bærer separate pligter i henhold til artikel 26.
KSS skal som minimum dække: en strategi for overholdelse af lovgivningen, design- og udviklingsmetodologier, datahåndteringsprocedurer, risikostyring som krævet af artikel 9, teknisk dokumentation i henhold til artikel 11, logning og registrering, overvågning efter markedsføring i henhold til artikel 72, forpligtelser til hændelsesrapportering og ordninger for menneskelig overvågning.
Artikel 17 kræver ikke nogen specifik certificeringsstandard. Overholdelse af anerkendte standarder såsom ISO 9001 eller sektorspecifikke ækvivalenter kan dog understøtte påvisning af overensstemmelse, navnlig hvor harmoniserede standarder i henhold til artikel 40 inkorporerer KSS-krav.
KSS og den tekniske dokumentation er tæt forbundet. KSS skal generere og vedligeholde den tekniske dokumentation, der kræves af artikel 11 og bilag IV, og selve dokumentationen tjener som primært bevis for, at KSS fungerer korrekt under overensstemmelsesvurderingen.
Artikel 17 gælder for udbydere af højrisiko-AI-systemer i bilag III fra den 2. august 2026, og for udbydere af højrisiko-AI-systemer, der er omfattet af bilag I (sektorspecifik EU-harmoniseringslovgivning), fra den 2. august 2027, med forbehold for overgangsbestemmelserne i artikel 111.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.