Digital Omnibus 2026 om AI forlængede to kritiske AI-forordningsfrister: Bilag III selvstændige højrisikosystemer til 2. december 2027 og Bilag I integrerede systemer til 2. august 2028. Her er hvad der ændrede sig, hvorfor, og hvad dit compliance-program skal gøre nu.
Hvad Digital Omnibus 2026 om AI ændrer
Digital Omnibus om AI ændrede to centrale anvendelsesdatoer i EU-forordning 2024/1689 (EU AI-forordningen):
| Forpligtelse | Original frist | Ny frist | Ændring |
|---|---|---|---|
| Højrisiko-AI — Bilag III (selvstændige systemer) | 2. august 2026 | 2. december 2027 | +16 måneder |
| Højrisiko-AI — Bilag I (integreret i regulerede produkter) | 2. august 2026 | 2. august 2028 | +24 måneder |
Ingen andre større frister blev ændret. Forbudte praksisser (2. februar 2025), GPAI-regler (2. august 2025) og gennemsigtighedsforpligtelser for GPAI-indholdsmærkning (2. august 2025) forbliver i kraft på deres originale datoer.
Hvorfor omnibus udsatte højrisiko-AI-fristerne
Europa-Kommissionen anførte tre drivkræfter:
- Tilpasning til gennemførelsesretsakter — tekniske standarder og harmoniserede normer for højrisiko-AI-vurdering (CEN/CENELEC-arbejdsprogram) var ikke færdiggjort inden august 2026. Overensstemmelsesvurderinger kræver disse standarder.
- Kløft i compliance-infrastrukturen — bemyndigede organer, nationale kompetente myndigheder og EU's AI-kontor havde brug for yderligere installationstid. Uden operationel håndhævelsesinfrastruktur ville en august 2026-frist have været ikke-håndhævelig i praksis.
- SMV-parathed — mindre udbydere, særligt inden for medtech, HR-tech og finansielle tjenester, rapporterede utilstrækkelig tid til at gennemføre QMS-implementering og teknisk dokumentation sideløbende med parallelle DORA- og NIS2-forpligtelser.
Forlængelsen er en nådeperiode, ikke en reduktion i omfang. Alle forpligtelser forbliver; kun deres tidslinje skifter.
Bilag III — selvstændige højrisiko-AI (frist: 2. december 2027)
Bilag III selvstændigt dækker AI-systemer, der selv markedsføres eller tages i brug som højrisikosystemer, uden at være en sikkerhedskomponent i et andet produkt. Eksempler:
- Rekrutterings- og HR-screening-AI (CV-rangering, interviewanalyse)
- Kreditvurdering og -score-AI
- Biometrisk kategorisering (ikke realtids-identifikation, som er forbudt)
- AI, der bruges i forvaltning af kritisk infrastruktur
- AI i uddannelses- og erhvervsuddannelsesvurdering
- AI, der bruges af retshåndhævelses- og migrationsmyndigheder
Udbyderforpligtelser inden 2. december 2027:
- Gennemfør en overensstemmelsesvurdering under Art. 43
- Implementér et kvalitetsstyringssystem (Art. 17)
- Kompilér teknisk dokumentation (Art. 11 + Bilag IV)
- Registrér systemet i EU's AI-database (Art. 71)
- Anbring CE-mærkning (Art. 48)
- Udpeg en EU-repræsentant, hvis du er etableret uden for EU
Deployerforpligtelser (også inden 2. december 2027):
- Gennemfør en grundlæggende rettighedskonsekvensanalyse (FRIA) for deployere i den offentlige sektor
- Implementér menneskelige tilsynsforanstaltninger (Art. 26)
- Dokumentér input og output (Art. 26(6))
- Informér medarbejdere, når AI-assisterede beslutninger påvirker dem
Bilag I — integreret højrisiko-AI (frist: 2. august 2028)
Bilag I integreret dækker AI, der udgør en sikkerhedskomponent i et produkt, der allerede er reguleret under eksisterende EU-produktsikkerhedslovgivning. AI-forordningens compliance er integreret i den eksisterende overensstemmelsesvurderingsprocedure for det produkt. Eksempler:
- AI-komponenter i medicinsk udstyr (MDR/IVDR)
- AI i automotive-systemer (typegodkendelsesrammer)
- AI i maskiner (Maskinforordningen)
- AI i luftfartskomponenter
- AI i legetøj og forbrugerprodukter (lavspænding/EMC)
Den to-årige yderligere forlængelse (vs. 16 måneder for Bilag III) afspejler den lagdelte kompleksitet af overensstemmelsesvurdering på tværs af to regulatoriske regimer simultant.
Hvad der ændrede sig er fristen — ikke forpligtelserne
En almindelig fejllæsning af omnibus: fristforlængelsen betyder, at forpligtelserne er lempet. Det er de ikke.
Overensstemmelsesvurderingen, QMS, teknisk dokumentation, CE-mærkning og registreringskravene er identiske med, hvad der var krævet under august 2026. Omnibus reducerer ikke omfanget, skaber ikke fritagelser og tilføjer ikke overgangsderogationer. Den skubber målstregen.
Praktisk implikation: Organisationer, der bruger forlængelsen som en undskyldning for at sætte compliance-programmer på pause, vil stå over for en hårdere sprint i slutningen af 2027. Den mere produktive brug af den ekstra tid er at fuldføre QMS-implementeringen, stresstest teknisk dokumentation mod udkast til harmoniserede standarder og engagere bemyndigede organer tidligt — deres kapacitet vil være begrænset, efterhånden som december 2027-fristen nærmer sig.
Forbudte praksisser der allerede er i kraft
Disse forbud under Art. 5 gjaldt fra 2. februar 2025 og blev ikke berørt af omnibus:
- Subliminal manipulation — AI-teknikker, der udnytter ubevidste sårbarheder til at ændre adfærd mod brugernes interesser
- Udnyttelse af sårbarheder — målretning af børn, ældre eller udsatte grupper
- Social scoring — AI-baseret generel scoring af fysiske personer af offentlige myndigheder
- Realtids fjernbiometrisk identifikation i offentligt tilgængelige rum ved retshåndhævelse (med snævre undtagelser)
- Følelsesregistrering på arbejdspladsen og i uddannelsesinstitutioner
- Biometriske kategoriseringssystemer, der udleder følsomme karakteristika (race, politiske meninger, fagforeningsmedlemskab, seksuel orientering, religion) — medmindre til legitime retshåndhævelsesformål med retlig godkendelse
- NCII/CSAM — generering eller manipulation af ikke-samtykkede intime billeder eller seksuelt misbrug af børn ved hjælp af AI er forbudt
Manglende overholdelse af Art. 5-forbuddene fra 2. februar 2025 medfører bøder på op til €35 millioner eller 7% af global årlig omsætning, alt efter hvad der er højest.
GPAI-modelregler: allerede gældende
Kapitel 5 GPAI-forpligtelser gælder fra 2. august 2025:
- Alle GPAI-udbydere skal overholde gennemsigtighedsforpligtelserne (Art. 53)
- Udbydere af GPAI-modeller med systemisk risiko (over 10²⁵ FLOPs træningsberegning) har yderligere forpligtelser, herunder adversarial testing og hændelsesrapportering
- Mærkning af AI-genereret indhold (vandmærkning) for syntetiske medier gælder for generative GPAI-systemer
Konvergens med DORA og NIS2
Organisationer inden for finansielle tjenester er underlagt den trefoldige byrde af AI-forordnings-, DORA- og NIS2-forpligtelser med overlappende tidslinjer. Centrale krydsningspunkter:
- IKT-risikostyring under DORA (Art. 5-16) skal dække AI-drevne IKT-systemer — DORA fritager ikke AI-værktøjer fra sin IKT-risikoramme
- Hændelsesrapportering under DORA (Art. 19-23) gælder for hændelser forårsaget af eller involverende AI-systemer
- NIS2-sikkerhedsforanstaltninger (Art. 21) inkluderer AI-relaterede cyberrisici i omfanget
- AI-forordningens Art. 9 risikostyring for højrisiko-AI overlapper væsentligt med DORA's IKT-risikostyring — dual-mapping er mulig og anbefales for at undgå duplikerende dokumentation
Se vores fulde konvergensanalyse → eller vores søsterwebsted regulation-dora.eu for DORA-specifik dækning.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
For selvstændige Bilag III-systemer (f.eks. rekrutterings-AI, kreditvurdering, biometrisk kategorisering): 2. december 2027. For AI integreret i Bilag I-regulerede produkter (f.eks. medicinsk udstyr, maskiner): 2. august 2028.
Digital Omnibus om AI er en EU-lovgivningsændring, formelt vedtaget i midten af 2026, der reviderede adskillige frister og forpligtelser i forordning (EU) 2024/1689 (AI-forordningen). Dens primære formål var at give udbydere og deployere mere tid til at bygge overensstemmende AI-governance-rammer, særligt for højrisikokategorier.
Nej. Forbuddene mod uacceptabel risiko-AI — herunder subliminal manipulation, social scoring, realtids biometrisk identifikation i offentlige rum (med undtagelser) og generering af NCII/CSAM — har gældt siden 2. februar 2025 og blev ikke ændret af omnibus.
GPAI-forpligtelserne (kapitel 5 i AI-forordningen) forbliver også på 2. august 2025. Omnibus rettede sig kun mod Bilag III og Bilag I højrisiko-forpligtelser.
Udbydere skal: gennemføre en overensstemmelsesvurdering, implementere et kvalitetsstyringssystem (QMS), registrere i EU-databasen, anbringe CE-mærkning og udarbejde teknisk dokumentation. Deployere skal: udføre grundlæggende rettighedskonsekvensanalyser, implementere menneskelig tilsyn og dokumentere al højrisiko-AI-brug.
Forlængelsen er rent tidsmæssig: ingen forpligtelse fjernes. De samme overensstemmelsesvurderinger, teknisk dokumentation, QMS, CE-mærkning, registrering og gennemsigtighedskrav gælder — de skal blot opfyldes inden de nye datoer.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.