EU AI-forordningens forpligtelser for banker, kreditinstitutter og fintech-virksomheder. Kreditvurderingssystemer, AML-systemer, algoritmisk handel, DORA-overlap og EBA-retningslinjer.
Hvorfor Banksektoren er Særligt Eksponeret Over for EU AI-forordningen
Bank- og finanssektoren befinder sig i skæringspunktet mellem EU AI-forordningens strengeste forpligtelser og det mest komplekse regulatoriske miljø i EU. Finansielle institutioner er blandt de største anvendere af AI i Europa — inden for kreditgivning, svindeldetektering, AML/CFT-screening, kundekendskab, algoritmisk handel og formueforvaltning. EU AI-forordningen retter sig direkte mod de mest konsekvensrige af disse anvendelsestilfælde via Bilag III, der klassificerer adskillige finansielle AI-applikationer som højrisiko per definition.
Banksektoren opererer desuden under et tæt eksisterende regulatorisk lag: DORA, MiFID II, CRD IV/CRR, AML-direktiver, GDPR og BCBS 239. EU AI-forordningen erstatter ikke disse rammer — den supplerer dem. For et kreditinstitut udløser anvendelsen af en AI-baseret kreditscoringsmodel samtidige forpligtelser i henhold til AI-forordningen (Bilag III, Art. 9–16), DORA (IKT-risikostyring) og EBA's retningslinjer for modelrisikostyring.
Højrisiko-AI-anvendelsestilfælde i Banksektoren Under Bilag III
Bilag III, kategori 5(b) opfører eksplicit AI anvendt til evaluering af kreditværdighed eller kreditscoring af fysiske personer, samt AI anvendt til vurdering af kreditrisiko for juridiske personer, hvor AI afgør eller i væsentlig grad påvirker resultatet. Dette omfatter en bred vifte af finansielle AI-implementeringer.
Kreditscorings- og tegningsmodeller — automatiserede systemer, der afgør låneberettigelse, kreditgrænser eller rentesatser for privat- og SMV-kunder — er højrisiko-AI i henhold til Art. 6(2) sammenholdt med Bilag III. Banker, der fungerer som udbydere af disse systemer, skal gennemføre overensstemmelsesvurderinger, opretholde teknisk dokumentation i henhold til Art. 11, implementere risikostyringssystemer i henhold til Art. 9, sikre menneskelige tilsynsmekanismer i henhold til Art. 14 og registrere systemet i EU AI-forordningens database (Art. 71) inden ibrugtagning.
AML- og svindeldetekteringssystemer tegner et mere nuanceret billede. Systemer, der anvender sanktionsscreening, transaktionsovervågning eller adfærdsanalyse til at markere mistænkelig aktivitet, påvirker generelt finansielle institutioner frem for direkte at afgøre resultater for enkeltpersoner. Hvor AI-outputtet er det primære grundlag for en negativ foranstaltning over for en kunde (kontospærring, afvisning af service), kan højrisikoklassificering udløses i henhold til Bilag III kat. 5(b) eller kat. 6 (retshåndhævelse), afhængigt af den nationale myndigheds rolle. Banker skal gennemføre en omhyggelig klassificeringsanalyse.
GPAI-baserede værktøjer — store sprogmodeller anvendt til kundeservice, dokumentbehandling eller investeringsanalyse — er underlagt Art. 50's gennemsigtighedskrav (oplysning om, at brugerne interagerer med AI) og, hvor modeludbyderen udgør en systemisk risiko, Art. 55-forpligtelser.
Udbyderens vs. Ibrugtagernes Forpligtelser for Banker
Banker kan fungere som udbydere (der bygger deres egne AI-modeller), ibrugtagere (der anvender tredjeparts-AI-systemer) eller begge dele. Skelnen afgør forpligtelsesprofilen:
| Rolle | Forpligtelseskilde | Centrale krav |
|---|---|---|
| Udbyder | Art. 9–17 | Overensstemmelsesvurdering, teknisk dokumentation, QMS, registrering |
| Ibrugtager | Art. 26 | Overvåge systemet, sikre menneskelig tilsyn, opretholde logfiler, informere brugere |
| Begge | Art. 9–17 + Art. 26 | Fulde udbyderforpligtelser + ibrugtagernes overvågningspligter |
Banker, der køber kreditscorings-AI fra en fintech-leverandør, fungerer som ibrugtagere i henhold til Art. 26. De skal verificere, at leverandøren har gennemført overensstemmelsesvurdering, integrere menneskelig gennemgang i processer for negative beslutninger, opretholde brugslogfiler i 10 år (Art. 26(6)) og sikre, at AI-beslutninger forklares til berørte personer i henhold til GDPR Art. 22 og EU AI-forordningens Art. 13.
Overlap med Sektorregulering: DORA, MiFID II og Solvens II
DORA (forordning 2022/2554) finder anvendelse på banker, investeringsselskaber, forsikringsselskaber og tredjeparts-IKT-leverandører. For AI specifikt kræver DORA:
- AI-systemer behandles som IKT-systemer underlagt rammer for risikostyring (Art. 6 DORA)
- IKT-relateret hændelsesklassificering og -rapportering — AI-fejl kan udgøre større IKT-hændelser
- Modstandsdygtighedstest af kritiske IKT-systemer — AI-modeller inkluderet, hvor de er væsentlige for driften
- Tredjeparts-risikostyring, der dækker AI-leverandørkontrakter, exitstrategier og revisionsrettigheder
MiFID II (direktivet om markeder for finansielle instrumenter) finder anvendelse på algoritmisk handel og investeringsrådgivning. AI-genererede investeringsanbefalinger udløser krav om egnethedsvurdering; algoritmiske handelssystemer kræver forudgående handelskontroller, nødstop og regulatorisk meddelelse.
EBA's retningslinjer for IKT- og sikkerhedsrisikostyring (EBA/GL/2019/04, opdateret 2022) pålægger teknologirisikostyring, der dækker AI-modeller, krav om driftsmæssig kontinuitet og uafhængighed i modelvalidering. Disse stemmer i væsentlig grad overens med EU AI-forordningens Art. 9 om risikostyringskrav.
Håndhævelsesmyndigheder
EU AI-forordningens håndhævelse for bank-AI opererer gennem en tostrenget myndighedsstruktur:
Nationale kompetente myndigheder (NCA'er) udpeget af hver medlemsstat i henhold til Art. 70 er de primære håndhævelsesorganer for AI-forordningen. De kan gennemføre markedsovervågning, anmode om teknisk dokumentation og pålægge bøder (op til €30M eller 6 % af den globale årlige omsætning i henhold til Art. 99).
Den Europæiske Banktilsynsmyndighed (EBA) koordinerer sektorspecifikt AI-tilsyn på tværs af bankunionen, udsteder tekniske standarder for IKT-risiko og offentliggør retningslinjer, der former nationale tilsynsforventninger. EBA deltager desuden i Det Europæiske AI-råd oprettet i henhold til Art. 65.
ECB og nationale tilsynsmyndigheder kan anmode om AI-modeldokumentation som led i SREP-vurderinger (Supervisory Review and Evaluation Process) i henhold til CRD IV, hvor AI driver væsentlige kredit- eller operationelle risikobeslutninger.
Overholdelses-Køreplan for Banker
Straks (nu → august 2026): Gennemfør kontrol af overholdelse af forbuddene — gennemgå alle AI-systemer for praksisser forbudt i henhold til Art. 5, herunder social scoring og realtids biometrisk identifikation på offentlige steder. Disse forbud gælder øjeblikkeligt for nye kontrakter.
3. kvartal 2026 — Højrisikoklassificeringsaudit: Kortlæg alle implementerede og under udvikling værende AI-systemer i forhold til Bilag III, specifikt kategorierne 5(b) og 5(c). Dokumenter klassificeringsgrundlag. Inddrag juridisk afdeling og compliance til vurdering af DORA-overlap.
4. kvartal 2026 — Udbyderforpligtelser for intern AI: For kreditscorings- og tegningsmodeller, der er udviklet internt, påbegyndes overensstemmelsesvurderingsprocedurer, udarbejdes teknisk dokumentation i henhold til Bilag IV, og QMS implementeres i henhold til Art. 17.
2027 — Ibrugtagernes forpligtelser for tredjeparts-AI: Gennemgå alle AI-leverandørkontrakter for EU AI-forordningsoverholdelse. Kræv, at udbydere fremlægger overensstemmelseserklæringer og registreringsnumre. Opdater databehandlingsaftaler for at afspejle Art. 26's logforpligtelser.
August 2027 — GPAI-forpligtelser træder i kraft: Sikr, at alle tredjeparts-LLM'er og fundamentmodeller anvendt i bankapplikationer overholder Art. 51–55. Verificer, at udbydere har offentliggjort gennemsigtighedsdokumentation i henhold til Art. 53.
December 2027 — Frist for højrisiko-AI: Fuld overholdelse kræves for alle Bilag III højrisiko-AI-systemer. Sikr registrering i EU AI-forordningens database, operationelle menneskelige tilsynsmekanismer og overvågningsplaner efter markedsintroduktion i henhold til Art. 72.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Banker er primært underlagt EU AI-forordningens forpligtelser via Bilag III, kategorierne 5(b) og 5(c): AI anvendt til kreditværdighedsvurdering og kreditscoring, samt AI anvendt ved tegning af livs- og sygeforsikringer. Disse klassificeres som højrisiko-AI-systemer, der kræver overensstemmelsesvurderinger, teknisk dokumentation, menneskelige tilsynsmekanismer og registrering i EU AI-forordningens database. Desuden kan banker, der anvender AI til hvidvaskscreening (AML), svindeldetektering eller kundekendskab, være omfattet af Bilag III afhængigt af systemets funktion og de beslutninger, det påvirker.
DORA (Digital Operational Resilience Act, forordning 2022/2554) og EU AI-forordningen skaber overlappende, men adskilte forpligtelser. DORA kræver, at finansielle enheder styrer IKT-risici, gennemfører modstandsdygtighedstest og opretholder kapacitet til hændelsesrapportering — dette gælder for AI-systemer som IKT-værktøjer. EU AI-forordningen tilføjer risikoklassificering, overensstemmelsesvurdering, gennemsigtighed og krav om menneskelig overvågning for AI-systemer specifikt. Et kreditinstitut, der driver et AI-drevet kreditscoringssystem, skal opfylde både DORA's ramme for IKT-risikostyring og EU AI-forordningens krav til højrisiko-AI. EBA's retningslinjer for IKT- og sikkerhedsrisikostyring finder anvendelse parallelt.
Algoritmiske handelssystemer er ikke direkte oplistet i Bilag III og udgør dermed ikke automatisk højrisiko-AI i henhold til EU AI-forordningen. Hvis en handelsalgoritme imidlertid anvendes som en komponent i en kreditværdighedsvurdering eller påvirker adgangen til finansielle tjenester på en måde, der berører enkeltpersoner, kan den falde inden for Bilag III's anvendelsesområde. MiFID II's krav til algoritmisk handel — herunder nødstop, systemtest og revisionsspor — forbliver fuldt ud gældende. EU AI-forordningens Art. 50 om gennemsigtighedskrav finder anvendelse på AI, der interagerer med fysiske personer, og GPAI-modelforpligtelserne i Art. 51 gælder for store sprogmodeller, der anvendes i handels- eller analyseplatforme.
Den Europæiske Banktilsynsmyndighed (EBA) har offentliggjort retningslinjer for intern styring (EBA/GL/2021/05) og IKT-risikostyring, der direkte informerer forventningerne til AI-styring i banker. Centrale krav omfatter ansvarlighed på bestyrelsesniveau for AI-strategi, uafhængig validering af AI-modeller anvendt til kreditrisiko, operationelle risikorammer, der dækker AI-fejl, og krav om forklarbarhed for AI-systemer, der påvirker kreditbeslutninger. EBA's høringer om maskinlæring til IRB-modeller fastsætter kvantitative standarder for modelvalidering, datakvalitet og performanceovervågning, der stemmer nøje overens med EU AI-forordningens Art. 9 om risikostyringskrav.
Ja, principielt — EU AI-forordningen finder anvendelse uanset virksomhedens størrelse. Art. 9(5) kræver dog, at risikostyringssystemer er proportionale med udbyderens eller ibrugtageres størrelse og karakter. SMV- og startup-bestemmelserne i Art. 55 og Art. 57 til Art. 63 giver adgang til regulatoriske sandkasser drevet af nationale kompetente myndigheder, hvilket reducerer barrierer for compliance-testning. EBA's Innovationshub og Det Europæiske Forum for Innovationsfacilitatorer (EFIF) yder yderligere støtte til fintech-virksomheder, der navigerer i AI-regulering.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.