Artikel 53 — Forpligtelser for udbydere af AI-modeller til generelle formål med systemisk risiko (EU's AI-forordning)

Artikel 53 i forordning (EU) 2024/1689 — Forpligtelser for udbydere af AI-modeller til generelle formål med systemisk risiko. Officiel tekst, praktisk fortolkning, centrale forpligtelser og implikationer for overholdelse.

Resumé af den officielle tekst

Artikel 53 i forordning (EU) 2024/1689 fastsætter forpligtelser, der udelukkende finder anvendelse på udbydere af AI-modeller (GPAI) til generelle formål, der er klassificeret som modeller med systemisk risiko i henhold til artikel 51. Det drejer sig om modeller, der er trænet med en beregningsstørrelse på mere end 10^25 floating-point-operationer (FLOP), eller modeller udpeget af AI-kontoret på grundlag af en vurdering af kapacitet eller virkning.

Ud over de grundlæggende forpligtelser, der gælder for alle GPAI-modeludbydere i henhold til artikel 52, skal udbydere, der er omfattet af artikel 53: udføre modellevalueringer, herunder adversariel testning udført i overensstemmelse med standardiserede protokoller eller godkendte metoder; vurdere og afbøde systemiske risici på EU-plan; rapportere alvorlige hændelser og fejlfunktioner til AI-kontoret uden unødig forsinkelse; sikre et tilstrækkeligt niveau af cybersikkerhedsbeskyttelse for modellen, dens infrastruktur og det fysiske miljø; og dokumentere resultaterne af modellevalueringer og stille disse til rådighed for AI-kontoret på anmodning.

Artikel 53(2) bestemmer, at udbydere kan basere sig på adfærdskodekser vedtaget i henhold til artikel 56 for at påvise overholdelse. Europa-Kommissionen er bemyndiget til at udstede delegerede retsakter, der præciserer indholdet af og procedurerne for evalueringer, og til at tilpasse tærsklerne i takt med den videnskabelige forståelses udvikling. AI-kontoret overvåger overholdelse og kan kræve yderligere oplysninger eller korrigerende foranstaltninger.

Hvad betyder dette i praksis

Artikel 53 skaber et særskilt overholdelsesniveau for de mest kapable og potentielt mest indvirkende GPAI-modeller på EU-markedet. Enhver organisation — uanset hvor den er etableret — der stiller en sådan model til rådighed for deployere eller slutbrugere i EU, skal vurdere, om den overskrider tærsklen for systemisk risiko.

For udbydere over beregningsgrænsen på 10^25 FLOP er forpligtelserne automatiske. For udbydere under denne grænse kan AI-kontoret stadig aktivere artikel 53-forpligtelser efter en konkret vurdering baseret på indikatorer som antallet af brugere, bredden af kapaciteter eller integration i kritiske sektorer.

I praksis kræver overholdelse etablering af robuste interne processer: et modellevalueringsprogram, der er i stand til at gennemføre red-teaming og adversariel testning før og efter deployment; et systemisk risikoregister og tilhørende afbødningsplan; en cybersikkerhedsramme, der dækker modelvægte, API'er og træningsinfrastruktur; og en hændelseshåndteringsprocedure forbundet med rapporteringsforpligtelsen over for AI-kontoret.

Konkret skal en udbyder af en frontier stor sprogmodel, der er tilgængelig via API til EU-baserede deployere, udføre adversariel testning — såsom jailbreak-forsøg og kapacitetsfremkaldelse for farligt indhold — dokumentere resultater, opbevare dem og være i stand til at dele dem med AI-kontoret. Hvis modellen producerer output, der forårsager eller næsten forårsager alvorlig skade på en person eller kritisk infrastruktur, skal hændelsen rapporteres hurtigt. Deltagelse i en adfærdskodeks godkendt af AI-kontoret i henhold til artikel 56 giver en struktureret vej til at påvise overholdelse uden at afvente harmoniserede standarder.

Centrale forpligtelser

Modellevalueringer og adversariel testning: Gennemførelse af grundige evalueringer, herunder red-teaming og adversariel testning, ved hjælp af standardiserede protokoller eller sådanne godkendt af AI-kontoret, før og efter væsentlige modelopdateringer.
Vurdering og afbødning af systemisk risiko: Identificering, analyse og afbødning af potentielle systemiske risici på EU-plan, der kan opstå som følge af udvikling, markedsføring eller brug af modellen.
Rapportering af alvorlige hændelser: Rapportering til AI-kontoret uden unødig forsinkelse om enhver alvorlig hændelse eller fejlfunktion knyttet til GPAI-modellen med systemisk risiko, herunder oplysninger om hændelsen og trufne korrigerende foranstaltninger.
Cybersikkerhedsbeskyttelse: Implementering og vedligeholdelse af passende cybersikkerhedsforanstaltninger, der beskytter modellen, dens fysiske infrastruktur og forsyningskæde — herunder modelvægte, API'er og træningspipelines — proportionalt med identificerede risici.
Dokumentation og gennemsigtighed over for AI-kontoret: Føring af registre over evalueringsresultater, testmetoder og risikoafbødningsforanstaltninger; stilling af disse til rådighed for AI-kontoret på anmodning.
Adfærdskodeks-overholdelsessti: Påvisning af overensstemmelse med forpligtelserne i artikel 53 ved at overholde adfærdskodekser udarbejdet i henhold til artikel 56, i afventning af, at harmoniserede standarder bliver tilgængelige.

Forholdet til andre artikler

Artikel 53 kan ikke læses isoleret. Den bygger direkte på artikel 51, som definerer kriterierne og procedurerne for klassificering af en GPAI-model som en model med systemisk risiko — herunder beregningsgrænsen på 10^25 FLOP og AI-kontorets skønsmæssige udpegningsbeføjelse. De grundlæggende forpligtelser i artikel 52 forbliver fuldt ud gældende sideløbende med artikel 53; sidstnævnte tilføjer et yderligere lag frem for at erstatte det foregående.

Artikel 55 regulerer kvalificerede overensstemmelsesvermutioner, mens artikel 56 etablerer adfærdskodeksmekanismen, som artikel 53(2) udtrykkeligt henviser til som en overholdelsesvej. AI-kontorets tilsynsrolle i forbindelse med forpligtelserne i artikel 53 er forankret i artikel 88 til 90, som fastsætter håndhævelsesbeføjelser og -procedurer. For udbydere, der også er deployere af højrisiko-AI-systemer, kan kravene i kapitel III (artikel 9–16) om risikostyring og teknisk dokumentation overlappe med det systemiske risikoafbødningsarbejde, der kræves af artikel 53, og koordinering mellem overholdelseshold er tilrådelig for at undgå duplikering.

Tidsplan for overholdelse

EU's AI-forordning trådte i kraft den 1. august 2024 (tyve dage efter offentliggørelsen i Den Europæiske Unions Tidende den 12. juli 2024). Artikel 53, som en del af afsnit V, der regulerer AI-modeller til generelle formål, blev anvendelig den 2. august 2025 — tolv måneder efter ikrafttrædelsen, i overensstemmelse med artikel 113(3).

Dette betyder, at udbydere af GPAI-modeller med systemisk risiko var forpligtet til at have deres evalueringsprogrammer, hændelsesrapporteringsprocedurer og cybersikkerhedsrammer operationelle inden denne dato. Den fasede anvendelsesplan til reference: forbudte AI-praksisser i henhold til artikel 5 fandt anvendelse fra 2. februar 2025 (seks måneder); GPAI-modelforpligtelser herunder artikel 53 fra 2. august 2025 (tolv måneder); forpligtelser vedrørende højrisiko-AI-systemer i henhold til bilag I fra 2. august 2026 (fireogtyve måneder); og resterende forpligtelser for højrisiko-AI-systemer fra 2. august 2027 (seksogtreti måneder). Udbydere bør også overvåge delegerede retsakter fra Europa-Kommissionen, der kan præcisere evalueringskravene i artikel 53 eller justere beregningsgrænsen i takt med den videnskabelige forståelses udvikling af frontier-modelkapaciteter.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Hvem er omfattet af forpligtelserne i artikel 53?

Artikel 53 finder anvendelse på udbydere af AI-modeller til generelle formål, der er klassificeret som modeller med systemisk risiko — enten fordi de er trænet med en kumulativ beregningsstørrelse på mere end 10^25 FLOP, eller fordi AI-kontoret har udpeget dem som sådanne efter en evaluering i henhold til artikel 51.

Hvad er forskellen mellem forpligtelserne i artikel 52 og artikel 53?

Artikel 52 fastsætter grundlæggende forpligtelser for alle udbydere af AI-modeller til generelle formål, herunder krav til dokumentation og gennemsigtighed. Artikel 53 pålægger yderligere, mere vidtgående forpligtelser udelukkende for udbydere af GPAI-modeller med systemisk risiko, herunder adversariel testning, hændelsesrapportering og cybersikkerhedsforanstaltninger.

Kræver artikel 53, at udbydere begrænser adgangen til deres modeller?

Artikel 53 kræver ikke begrænsning af adgangen, men den kræver, at udbydere implementerer politikker og tekniske foranstaltninger, der er proportionelle med den systemiske risiko. Dette kan omfatte adgangskontrol, hvor det er berettiget af resultaterne af den adversarielle testning eller cybersikkerhedsrisikovurderingen.

Hvad regnes som en 'alvorlig hændelse' med henblik på rapportering i henhold til artikel 53?

En alvorlig hændelse i henhold til artikel 53 refererer til enhver hændelse eller fejlfunktion i en GPAI-model med systemisk risiko, der medfører eller med rimelig sandsynlighed kan medføre død, alvorlig sundhedsskade, alvorlig forstyrrelse af kritisk infrastruktur, tingsskade eller væsentlige negative virkninger for grundlæggende rettigheder. Udbydere skal rapportere sådanne hændelser til AI-kontoret uden unødig forsinkelse.

Hvornår blev artikel 53 anvendelig?

Artikel 53 blev anvendelig den 2. august 2025, tolv måneder efter forordningens ikrafttræden den 1. august 2024. Dette afspejler EU's AI-forordnings specifikke tidsplan for bestemmelserne i afsnit V, der regulerer AI-modeller til generelle formål.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.