Banker, forsikringsselskaber, kapitalforvaltere og betalingsinstitutter er underlagt EU AI-forordningsforpligtelser oven på eksisterende finansiel regulering (DORA, MiFID II, GDPR, CRR). Denne side forklarer, hvilke AI-anvendelsestilfælde er højrisiko, hvordan sektorregulatorer interagerer med AI-forordningen og hvad finansielle institutioner skal gøre for at overholde kravene.
AI-forordningen ankommer til finanssektoren
Finansielle institutioner — banker, forsikringsselskaber, kapitalforvaltere, betalingsudbydere, kreditbureauer — er blandt de mest intensive brugere af AI i Europa. Kreditvurdering, svindeldetektering, algoritmisk handel, kundrisikoprofilering, forsikringsvedtagelse, automatisering af regulatorisk rapportering og AML/KYC-screening er alle baseret på AI-systemer, der kan være underlagt EU AI-forordningen.
For finansielle institutioner ankommer EU AI-forordningen ikke isoleret. Den lægger sig oven på et allerede tæt regulatorisk lag: DORA (digital modstandsdygtighed), MiFID II (investeringstjenester), GDPR (databeskyttelse), CRR/CRD (kapitalkrav), Solvens II (forsikring), PSD2/PSD3 (betalingstjenester) og sektorielle EBA-, EIOPA- og ESMA-retningslinjer. At forstå, hvordan AI-forordningen integreres med — og sommetider konflikter med — eksisterende finansiel regulering er afgørende for effektiv compliance.
Hvilke AI-anvendelsestilfælde er højrisiko i finanssektoren?
EU AI-forordningens Bilag III identificerer anvendelsestilfælde, der automatisk er højrisiko. I den finansielle sektor er de mest direkte relevante:
Kategori 5(b): Kreditvurdering
Højrisiko. AI-systemer brugt til at vurdere kreditværdighed for fysiske personer eller til at klassificere fysiske personer i form af kreditrisiko er udtrykkeligt oplistet. Dette dækker:
- Automatiseret kredit-scoring for forbrugerlån, personlige kassekredit, kreditkort og realkreditlån
- Modeller, der vurderer tilbagebetalingssandsynlighed, misligholdelsesrisiko eller gældskapacitet for individuelle forbrugere
- AI-systemer, der anbefaler kreditgrænser eller lånebeløb baseret på individuel risikovurdering
Ikke automatisk dækket: Virksomhedskreditmodeller, der vurderer juridiske enheder frem for fysiske personer, selvom disse stadig kan udløse Art. 50 gennemsigtighedsforpligtelser afhængigt af implementering.
Kategori 5(b): Forsikringspræmie og dækningsbeslutninger
Højrisiko, hvis det væsentligt påvirker fysiske personer. AI-systemer, der træffer eller i stærkt omfang påvirker beslutninger om:
- Forsikringsdækning (accept eller afvisning af ansøgere)
- Præmieniveauer (aktuarmodeller, der fastsætter individuelle præmier)
- Kravvurdering og -afregning (automatisk kravsbehandling)
Motorprismodeller, sundhedsforsikringsvedtagelse og ejendomsforsikringsmodeller for husstande er direkte i anvendelsesområdet. Den afgørende faktor er, om AI-systemet træffer eller i væsentlig grad påvirker en beslutning, der materielt påvirker en fysisk persons adgang til en væsentlig privat tjeneste.
Kategori 1: Biometrisk identifikation
Højrisiko. AI-systemer brugt til:
- Fjernbiometrisk identifikation af kunder (KYC-videoverifikation, kontinuerlig autentificering)
- Biometrisk kategorisering, hvor det påvirker risikoklassificering eller tjenesteadgang
Realtids biometrisk identifikation i offentligt tilgængelige rum til retshåndhævelse er forbudt under Art. 5. Kommercielle identitetsverifikationssystemer, der bruger ansigtsgenkendelse til KYC, er underlagt højrisikokravene, men er ikke forbudte.
Kategori 6: AML/KYC og tilstødende retshåndhævelse
AI-systemer brugt af finansielle institutioner til at understøtte AML/KYC-screening, sanktionsfiltrering eller transaktionsovervågning hvor resultatet rapporteres til eller bruges af retshåndhævelse kan falde inden for Bilag III kategori 6 (retshåndhævelse). Dette inkluderer:
- AI-genererede mistænkelige aktivitetsrapporter (SAR'er) transmitteret til FIU'er
- Automatiserede PEP-screeningssystemer (politisk eksponerede personer)
Systemer, der udelukkende bruges til intern risikostyring uden retshåndhævelsesoutput, er mindre tilbøjelige til at blive klassificeret som højrisiko under kategori 6, selvom andre kategorier kan gælde.
Hvad højrisiko-AI-forpligtelser betyder for finansielle institutioner
Hvis et AI-system brugt af en finansiel institution er højrisiko under Bilag III, afhænger forpligtelserne af, om institutionen er en udbyder (byggede systemet) eller deployer (købte eller licenserede det).
Hvis du er udbyderen (byggede systemet)
- Risikostyringssystem (Art. 9): Etablér og oprethold en dokumenteret risikostyringsproces, der itererer gennem systemets livscyklus
- Dataforvaltning (Art. 10): Trænings-, validerings- og testdata skal være underlagt governance-praksisser, der dækker relevans, repræsentativitet og skævhedsvurdering
- Teknisk dokumentation (Bilag IV): Fuld teknisk fil inkl. systembeskrivelse, arkitektur, træningstilgang, præstationsmetrikker og plan for eftersalgsovervågning
- Gennemsigtighed (Art. 13): Brugsanvisninger, der sætter deployere i stand til at forstå kapaciteter, begrænsninger og tilsynskrav
- Menneskelig tilsyn (Art. 14): Designforanstaltninger der muliggør menneskelig tilsyn og indgreb
- Nøjagtighed, robusthed, cybersikkerhed (Art. 15): Dokumenterede præstationsniveauer og modstandsdygtighed
- Overensstemmelsesvurdering: Selvvurdering (Bilag VI) for de fleste Bilag III-systemer eller bemyndiget organs vurdering for biometriske systemer
- CE-mærkning og EU-overensstemmelseserklæring
- Registrering i EU's AI-database
- Eftersalgsovervågning (Art. 72): Aktivt system til indsamling af virkelighedens præstationsdata og hændelsesrapportering
Hvis du er deployeren (købt/licenseret systemet)
- Instruktionsoverholdelse: Brug systemet strengt i overensstemmelse med udbyderens retningslinjer
- Menneskelig tilsyn: Tildel kvalificeret personale til at udføre tilsyn med passende autoritet og ressourcer
- Inputdatakvalitet: Sørg for, at inputdata er relevante og repræsentative for den specifikke implementeringskontekst
- Logopbevaring: Aktivér og opbevar automatiserede logfiler i den krævede periode
- Hændelsesrapportering: Rapportér alvorlige hændelser til udbyderen og i visse tilfælde direkte til myndigheder
- Grundlæggende rettighedskonsekvensanalyse (Art. 27): Krævet for offentlige organer; anbefales for private deployere i følsomme sammenhænge
Interaktion med DORA
Forordningen om digital operationel modstandsdygtighed (DORA) trådte i kraft i januar 2025 og pålægger omfattende IKT-risikostyringskrav til finansielle institutioner — herunder AI-systemer som IKT-komponenter.
Centrale interaktionspunkter:
IKT-risikostyringsramme
DORA kræver, at finansielle institutioner opretholder en IKT-risikostyringsramme, der dækker identifikation, beskyttelse, detektion, respons og gendannelse. AI-systemer er IKT-værktøjer underlagt denne ramme. EU AI-forordningen tilføjer AI-specifikke krav oven på: skævhedstest, gennemsigtighedsdokumentation, menneskelig tilsynsdesign og livscyklusstyring.
I praksis: En banks AI-kreditvurderingsmodel skal overholde både DORA IKT-risikostyring (hændelsesdetektion, kontinuitetsplanlægning, ændringsstyring) og EU AI-forordningens højrisikokrav (risikostyringssystem, teknisk dokumentation, eftersalgsovervågning).
Tredjepartsrisiko (IKT-tredjeparts udbydere)
DORA pålægger detaljerede krav til styring af IKT-tredjeparts udbydere — herunder kontraktkrav, revisionsrettigheder og tilsyn med kritiske udbydere. Når en finansiel institution bruger et tredjeparts AI-system (f.eks. en leverandørleveret kreditvurderingsmodel), gælder DORA's tredjepartsrisikostyringskrav for den leverandør.
EU AI-forordningens deployerforpligtelser gælder også — idet udbyderen skal levere retningslinjer, overensstemmelsdokumentation og logningskapacitet. Finansielle institutioner bør sikre, at deres tredjeparts AI-leverandørkontrakter opfylder både DORA IKT-udbyderens krav og EU AI-forordningens deployerinformationsrettigheder.
Hændelsesrapportering
DORA har sin egen hændelsesrapporteringsramme for væsentlige IKT-relaterede hændelser, der rapporteres til sektortilsynsorganer (EBA, EIOPA, ESMA). EU AI-forordningen kræver, at alvorlige hændelser, der involverer højrisiko-AI-systemer, rapporteres til nationale markedsovervågningsmyndigheder.
Dette er separate rapporteringsforpligtelser til forskellige myndigheder. En alvorlig hændelse, der involverer et AI-kreditvurderingssystem, kan udløse både en DORA-hændelsesrapport (til EBA/national finansiel tilsynsmyndighed) og en EU AI-forordnings hændelsesrapport (til markedsovervågningsmyndigheden).
Sektortilsynsorganer og AI-forordningens håndhævelse
For finansielle institutioner har sektormæssige finansielle tilsynsmyndigheder — EBA (bank), EIOPA (forsikring), ESMA (værdipapirer og markeder) — en specifik rolle i EU AI-forordningens implementering, selvom de ikke er den primære AI-forordningshåndhævelsesmyndighed.
Under AI-forordningen skal finansielle institutioner, der er udbydere af højrisiko-AI-systemer, registrere sig i EU's AI-database. I den finansielle sektor kan den relevante finansielle tilsynsmyndighed udpeges som eller samarbejde med den nationale markedsovervågningsmyndighed, der er ansvarlig for AI-forordningens tilsyn med den pågældende sektor.
De europæiske tilsynsmyndigheder (ESA'er) har været aktive med:
- Offentliggørelse af vejledning om AI-governance i finansielle tjenester (EBA-retningslinjer om intern governance, ML/AI i kreditrisiko)
- Bidrag til EU AI-forordningens implementeringsvejledning for den finansielle sektor
- Koordinering med EU's AI-kontor om GPAI-modeltilsyn, som det påvirker finansielle tjenester
Praktiske compliance-prioriteter for finansielle institutioner
-
Inventar alle AI-systemer i brug — klassificér hver mod Bilag III-kriterierne. Prioritér kreditvurdering, forsikringsprissætning og biometriske/KYC-systemer.
-
Fastlæg udbyder vs. deployer-status for hvert system — bruger du leverandørleverede modeller eller bygger du internt?
-
Tilpas AI-governance med DORA IKT-risikorammen — integrer AI-forordningsforpligtelserne i den eksisterende DORA governance-struktur for at undgå duplikatprocesser.
-
Gennemgå tredjeparts AI-leverandørkontrakter — sørg for, at kontrakter giver: overensstemmelsdokumentation, brugsanvisninger, logadgang, hændelsesmeddelelsesforpligtelser, opdateringsforpligtelser og revisionsrettigheder.
-
Etablér menneskelige tilsynsmekanismer — for højrisiko-AI-anvendelsestilfælde skal du sikre, at kvalificeret personale har autoritet, værktøjer og tid til meningsfuldt at gennemgå AI-output inden konsekvente beslutninger træffes.
-
Tilslut til eftersalgsovervågning — udvid eksisterende modelrisikoprocesser (Basel modelvalidering, DORA ændringsstyring) til at dække Art. 72's eftersalgsovervågningskrav.
-
Forbered til EU's AI-database — hvis du er udbyder af højrisiko-AI-systemer, er registrering obligatorisk. Hvis du er et offentligt organ-deployer, kan registrering også være krævet.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ja. AI-systemer til kreditvurdering — der bruges til at vurdere kreditværdighed for fysiske personer eller til at vurdere kreditrisiko — er udtrykkeligt oplistet i Bilag III, kategori 5(b) som højrisiko. Dette dækker automatiseret kredit-scoring for forbrugerlån, realkreditlån, kreditkort og kassekredit. Systemer, der udelukkende bruges til virksomhedskreditvurdering, er muligvis ikke i anvendelsesområdet, men systemer, der involverer vurdering af individuelle fysiske personer, er klart dækket.
DORA (forordningen om digital operationel modstandsdygtighed) og EU AI-forordningen har overlappende men forskellige anvendelsesområder. DORA dækker IKT-risikostyring bredt — herunder AI-systemer som IKT-værktøjer — med krav om hændelsesrapportering, modstandsdygtighedstest og tredjepartsrisikostyring. EU AI-forordningen tilføjer specifikke AI-forpligtelser (skævhedstest, gennemsigtighed, menneskelig tilsyn, eftersalgsovervågning) for højrisiko-AI-anvendelsestilfælde. For finansielle institutioner kræver overholdelse at adressere begge rammer — DORA fritager ikke institutioner fra AI-forordningsforpligtelserne, og AI-forordningen erstatter ikke DORA's IKT-risikokrav.
Det afhænger af anvendelsestilfældet. AI-systemer brugt til realtids transaktionssvindeldetektering — hvor AI markerer mistænkelige transaktioner til menneskelig gennemgang eller automatisk blokerer dem — er ikke automatisk højrisiko under Bilag III. Men hvis systemet træffer eller i stærkt omfang påvirker beslutninger, der væsentligt påvirker enkeltpersoner (f.eks. kontoblokering, kreditgrænseReduktion, afvisning af forsikringskrav), kan anvendelsestilfældet falde inden for Bilag III kategori 5 (adgang til væsentlige tjenester). Retlig sikkerhed vil afhænge af regulatorisk vejledning og den specifikke implementering.
Forsikringsprissætning og risikovedtagelses-AI-systemer, der træffer eller i stærkt omfang påvirker beslutninger om dækning, præmieniveauer eller kravopgørelse for fysiske personer, er sandsynligvis inden for Bilag III kategori 5 (adgang til væsentlige private tjenester). Dette inkluderer motorprismodeller, sundhedsforsikringsvedtagelse og ejendomsforsikringsmodeller for husstande. Livsforsikringsvedtagelsesmodeller, der vurderer levetidsrisiko for enkeltpersoner, kan også være dækket. Hvert anvendelsestilfælde skal vurderes individuelt mod Bilag III-kriterierne.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.