SMV'er — Vejledning i overholdelse af EU AI Act

Overholdelse af EU AI Act for små og mellemstore virksomheder. SMV-specifikke bestemmelser, adgang til sandbox-miljøer, reducerede gebyrer og praktisk vejledning til AI-deployere og -udviklere.

EU AI Act og SMV'er — de gode nyheder

EU AI Act (Forordning (EU) 2024/1689) finder anvendelse på alle organisationer, der bringer eller anvender AI-systemer på EU-markedet, uanset størrelse. Den regulatoriske virkelighed for de fleste små og mellemstore virksomheder er imidlertid betydeligt mindre byrdefuld, end overskrifterne antyder, af én grundlæggende årsag: langt størstedelen af SMV'er anvender AI frem for at udvikle den.

En SMV, der abonnerer på et AI-forbedret CRM-system, deployer en chatbot fra en SaaS-leverandør eller anvender cloudbaseret software til efterspørgselsprognoser, er i EU AI Acts terminologi en deployer — ikke en udbyder. Deployerforpligtelserne er systematisk lettere end udbyderforpligtelserne. Udbydere bærer den primære byrde ved overensstemmelsesvurdering, teknisk dokumentation, CE-mærkning og registrering. Deployere har et mere afgrænset sæt af forpligtelser, der er fokuseret på korrekt brug, menneskelig overvågning og hændelsesrapportering.

Ud over skelnen mellem deployer og udbyder indeholder EU AI Act en selvstændig pakke af SMV-specifikke bestemmelser, der yder strukturel støtte: prioriteret adgang til regulatoriske sandbox-miljøer, reducerede gebyrer for overensstemmelsesvurdering og et dedikeret enkelt kontaktpunkt på nationalt niveau. Disse bestemmelser afspejler lovgivers udtrykkelige hensigt om at forhindre, at AI Act bliver en uforholdsmæssig stor barriere for mindre markedsdeltagere.

Denne vejledning beskriver, hvad EU AI Act i praksis betyder for en SMV — uanset om I anvender tredjeparts AI-værktøjer, deployer AI i kunderelaterede sammenhænge eller selv udvikler og kommercialiserer et AI-produkt.

SMV-specifikke bestemmelser i forordningen

EU AI Act indeholder fire bestemmelser, der specifikt finder anvendelse på SMV'er (virksomheder, der opfylder tærsklen i Kommissionens henstilling 2003/361/EF: færre end 250 ansatte og enten en årlig omsætning, der ikke overstiger 50 mio. EUR, eller en samlet balancesum, der ikke overstiger 43 mio. EUR) og på startups.

Art. 55 — Prioriteret adgang til regulatoriske sandbox-miljøer

Art. 55 fastslår, at regulatoriske AI-sandbox-miljøer — overvågede miljøer til udvikling og afprøvning af AI inden markedsplacering — skal være tilgængelige med prioritet for SMV'er og startups. Adgang er gratis eller underlagt reducerede gebyrer, og deltagende organisationer modtager direkte vejledning fra den kompetente myndighed. Adgang til sandbox-miljøer muliggør risikoidentifikation og regulatorisk dialog inden markedsplacering i omgivelser, der er beskyttet mod konsekvenserne af en ikke-overensstemmende markedsplacering. SMV'er, der udvikler AI-systemer, bør betragte sandbox-deltagelse som både et compliance-redskab og en mekanisme til direkte kontakt med tilsynsmyndigheden inden produktlancering.

Art. 96 — Reducerede gebyrer for overensstemmelsesvurdering

Hvor et højrisiko-AI-system kræver tredjeparts overensstemmelsesvurdering ved et bemyndiget organ (gælder for systemer opført i Annex III, punkt 1, 6 og 7, og medicinsk udstyr med AI i henhold til Art. 6(1)), kræver Art. 96, at medlemsstaterne fastsætter reducerede gebyrer for små virksomheder. Mikrovirksomheder — dem med færre end 10 ansatte og en årlig omsætning eller balancesum på højst 2 mio. EUR — er berettiget til endnu større reduktioner. De præcise gebyrskalaer fastsættes på medlemsstatsniveau og varierer efter jurisdiktion; den relevante nationale AI-myndighed eller Enterprise Europe Network kan oplyse aktuelle satser.

Art. 85 — Enkelt kontaktpunkt

Art. 85 forpligter nationale AI-tilsynsmyndigheder til at oprette et dedikeret enkelt kontaktpunkt for SMV'er. Det betyder, at en SMV, der søger vejledning om AI Act-forpligtelser, ikke behøver at navigere i flere regulatoriske afdelinger eller koordinere på tværs af fragmenterede myndigheder. Det enkelte kontaktpunkt leverer information, videresender forespørgsler til den relevante funktion og faciliterer sandbox-ansøgninger. Denne bestemmelse reducerer i væsentlig grad de administrative omkostninger ved at forstå de regulatoriske forpligtelser.

Art. 9(5) — Forholdsmæssigt risikostyringssystem

Art. 9(5) bestemmer, at det risikostyringssystem, som udbydere af højrisiko-AI-systemer er forpligtet til at anvende, kan implementeres forholdsmæssigt under hensyntagen til organisationens størrelse og struktur. For en SMV, der agerer som udbyder af et højrisikosystem, indebærer dette, at selv om alle materielle krav til risikostyringssystemet skal opfyldes, kan dokumentationsformat, proceskompleksitet og governance-struktur tilpasses organisationens faktiske kapacitet — forudsat at dette ikke underminerer rammens beskyttelsesmål.

Er I udbyder eller deployer? — Beslutningsramme for SMV'er

Den vigtigste indledende vurdering for enhver SMV, der beskæftiger sig med EU AI Act, er at afgøre, om den agerer som udbyder eller deployer med hensyn til hvert AI-system, den anvender eller tilbyder.

Udbyder (Art. 3(3)): En organisation, der udvikler et AI-system eller lader et AI-system udvikle, og bringer det i omsætning eller ibrugtager det under eget navn eller brand — uanset om det sker mod betaling eller vederlagsfrit. Dette omfatter SMV'er, der:

Udvikler et softwareprodukt, der inkorporerer AI (herunder AI-modeller tilgået via API), og sælger eller licenserer dette produkt til kunder;
Internt udvikler en AI-model eller -applikation og deployer den som en tjeneste til slutbrugere uden for organisationen;
I væsentlig grad modificerer et tredjeparts AI-system på en måde, der ændrer dets tilsigtede formål.

Deployer (Art. 3(4)): En organisation, der anvender et AI-system under eget ansvar til et professionelt formål. Dette dækker SMV'er, der:

Abonnerer på SaaS-produkter med integrerede AI-funktioner (AI-forbedret CRM, ERP, regnskabssoftware);
Anvender en tredjeparts chatbot eller konversations-AI på deres hjemmeside;
Tilgår cloud-AI-API'er (naturlig sprogbehandling, billedklassificering, anbefalingsmotorer) udelukkende til automatisering af interne arbejdsprocesser eller forbedring af egne tjenester, uden at AI-kapaciteten tilbydes som en produktfunktion til tredjeparter;
Anskaffer HR-software, lagerprognoseværktøjer eller kundeanalyseværktøjer fra eksterne leverandører.

Det kritiske grænsetilfælde: En SMV, der integrerer et eksternt AI-API i sit eget kunderelaterede produkt og markedsfører denne kapacitet som en funktion i produktet, er udbyder med hensyn til den pågældende AI-funktionalitet — ikke blot deployer af det underliggende API. Den juridiske enhed, der definerer det tilsigtede formål, kontrollerer brugeroplevelsen og bringer produktet i omsætning, bærer udbyderforpligtelserne i henhold til Art. 16, uanset hvor AI-modellen stammer fra.

Centrale deployerforpligtelser for SMV'er, der anvender tredjeparts AI

For størstedelen af SMV'er — dem, der deployer tredjeparts AI-værktøjer frem for at udvikle egne — gælder følgende forpligtelser i henhold til Art. 26 og relaterede bestemmelser.

Anvend AI-systemer i overensstemmelse med udbyderens vejledninger

Deployere må kun anvende højrisiko-AI-systemer i overensstemmelse med udbyderens brugsvejledninger som leveret i henhold til Art. 13. Anvendelse af et AI-system til formål ud over dets dokumenterede tilsigtede formål, eller i konfigurationer som udbyderen ikke har valideret, overfører en del af ansvaret for overholdelse til deployeren og kan ugyldiggøre systemets overensstemmelsesvurdering.

Udpeg ansvarlig menneskelig overvågning

Art. 26(1) kræver, at deployere tildeler ansvaret for AI-overvågning til en kvalificeret person i organisationen. For de fleste SMV'er vil dette være en navngiven person (ikke nødvendigvis en dedikeret AI-compliance-ansvarlig), der forstår systemets funktion, dets kendte begrænsninger og de omstændigheder, under hvilke menneskelig indgriben er påkrævet. Denne udpegning bør dokumenteres.

Opbevar driftslogs

Hvor højrisiko-AI-systemer automatisk genererer logs (Art. 12), skal deployere opbevare disse logs i den lovmæssigt påkrævede periode — generelt seks måneder i henhold til AI Act, medmindre sektorspecifik lovgivning kræver en længere opbevaringsperiode. Deployere skal verificere, at leverandørkontrakten giver adgang til logs og bekræfter deres format og fuldstændighed.

Anmeld alvorlige hændelser til udbyderen

Art. 26(5) kræver, at deployere underretter udbyderen om alvorlige hændelser eller fejlfunktioner, der opdages under brug. Hvor den deployerende organisation er et offentligt organ, strækker anmeldelsesforpligtelserne sig til den nationale AI-tilsynsmyndighed. For SMV-deployere i den private sektor er den primære kanal direkte underretning af udbyderen, som derefter har egne forpligtelser til at underrette myndigheden i henhold til Art. 73.

Gennemfør en grundrettighedskonsekvensanalyse, hvor det er relevant

Art. 27 kræver, at offentlige organer, der deployer højrisiko-AI, gennemfører en grundrettighedskonsekvensanalyse inden deployering. Private SMV'er, der deployer højrisiko-AI — navnlig inden for HR, kreditvurdering eller kunderelaterede beslutningsprocesser — anbefales kraftigt at gennemføre en tilsvarende analyse, da dette dokumenterer fornøden omhu og i væsentlig grad reducerer håndhævelsesrisikoen.

Gennemgå leverandørkontrakter

SMV-deployere skal sikre, at deres kontrakter med AI-leverandører indeholder: overensstemmelsesdokumentation og brugsvejledninger; bekræftelse af EU-databaseregistrering, hvor dette er påkrævet; specifikation af logningskapacitet og adgangsrettigheder; leverandørens forpligtelse til hændelsesanmeldelse og afhjælpning; samt oplysninger om forpligtelser vedrørende opdateringer eller ændringer, der kan påvirke systemets overensstemmelsesstatus.

Hvis I udvikler AI — SMV-udbyderforpligtelser og støtte

SMV'er, der udvikler og kommercialiserer AI-systemer, er udbydere og bærer fulde udbyderforpligtelser i henhold til Kapitel III for ethvert system, der er højrisiko. Omfanget af disse forpligtelser er betydeligt: kvalitetsstyringssystem (Art. 17), teknisk dokumentation i henhold til Annex IV, datastyringsforanstaltninger i henhold til Art. 10, logning i henhold til Art. 12, gennemsigtighedskrav i henhold til Art. 13, design af menneskelig overvågning i henhold til Art. 14 samt krav til nøjagtighed og robusthed i henhold til Art. 15. For Annex III-systemer, der kræver vurdering af et bemyndiget organ, følger overensstemmelsesproceduren Art. 43.

Det praktiske udgangspunkt for en SMV-udbyder er bestemmelsen af risikoklassifikation:

Er AI-systemet omfattet af Art. 5 (forbudte praksisser)? I så fald skal udviklingen ophøre eller grundlæggende omstruktureres inden enhver markedsaktivitet.
Kvalificerer systemet som højrisiko i henhold til Art. 6(1) (sikkerhedskomponent i et reguleret produkt) eller Annex III (oplistede anvendelsesområder, herunder biometrisk identifikation, kritisk infrastruktur, uddannelse, beskæftigelse, væsentlige tjenester, retshåndhævelse, migration, retsvæsen)?
Kvalificerer systemet udelukkende som en AI-model til generelle formål reguleret af Art. 51–56, uden højrisikoclassifikation?
Er systemet kun underlagt gennemsigtighedsforpligtelserne i Art. 50 (emotionsgenkendelse, deepfake, chatbots)?

For SMV'er, hvis systemer falder uden for kategorierne højrisiko og forbudte praksisser, er overholdelseskravene betydeligt lettere: gennemsigtighedsoplysninger i henhold til Art. 50, GDPR-overensstemmelse og sektorspecifikke forpligtelser i henhold til gældende national eller EU-lovgivning.

For SMV'er, der udvikler højrisiko-AI, er Art. 55's regulatoriske sandbox-miljø det vigtigste tilgængelige redskab. Sandbox-deltagelse muliggør afprøvning inden markedsplacering under regulatorisk tilsyn, tilvejebringer dokumenteret bevis for en god-faith compliance-indsats og kan identificere korrigerende foranstaltninger, inden de bliver til håndhævelsessager. Ansøgninger indgives til det nationale enkelt kontaktpunkt (Art. 85).

Praktiske skridt for SMV-compliance

Trin 1 — Kortlæg alle AI-systemer i brug eller under udvikling. Opstil en liste over alle AI-værktøjer, SaaS-produkter, cloud-API'er og internt udviklede modeller. Notér leverandøren, funktionen og om SMV'en agerer som udbyder eller deployer for hvert enkelt.

Trin 2 — Klassificer hvert system efter risikokategori. Anvend rammen fra Art. 5 / Art. 6 / Annex III / Art. 50 på hvert system. Hvor klassifikationen er usikker, benyttes Art. 85's enkelt kontaktpunkt til vejledning.

Trin 3 — For deployerroller: gennemgå leverandørkontrakter. Bekræft, at hver AI-leverandør har leveret den dokumentation, der kræves i henhold til Art. 13, og at kontrakten adresserer logning, hændelsesanmeldelse og opdateringsforpligtelser. Markér mangler med henblik på genforhandling.

Trin 4 — For udbyderroller: indled overensstemmelsesvurderingsproceduren. Fastslå, om jeres højrisiko-AI-system kræver selvevaluering (Art. 43(2)) eller tredjeparts vurdering ved et bemyndiget organ (Art. 43(1)). Ansøg om sandbox-adgang i henhold til Art. 55, hvis systemet er under udvikling. Inddrag det bemyndigede organ tidligt for at forstå tidsplan og gebyrimplikationer, og vær opmærksom på jeres ret til SMV-gebyreduktioner i henhold til Art. 96.

Trin 5 — Implementer Art. 26-deployerforpligtelserne for alle højrisikosystemer. Udpeg overvågningsansvarlige, dokumentér deres ansvarsområder, verificer procedurer for logopbevaring og bekræft kanaler for hændelsesanmeldelse.

Trin 6 — Etabler en fast revisionsproces for AI Act. EU AI Act er en dynamisk ramme. Udpeg en ansvarlig person til at følge vejledninger fra EU AI Office, opdateringer fra nationale myndigheder og ændringer i Annex III-klassifikationerne. Planlæg en årlig intern gennemgang af systeminventaret og overholdelsesstatus.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Er vi som SMV, der anvender OpenAI API i vores produkt, en udbyder i henhold til AI Act?

Ja. Hvis jeres SMV integrerer en tredjepartsmodel til kunstig intelligens (herunder via API) i et produkt eller en tjeneste, som I bringer i omsætning eller ibrugtager under jeres eget navn eller brand, klassificeres I som **udbyder** i henhold til **Art. 3(3)** i EU AI Act. Dette gælder uanset, om den underliggende model er udviklet af en anden virksomhed. Udbyderforpligtelserne — herunder teknisk dokumentation, overensstemmelsesvurdering, CE-mærkning (for højrisikosystemer) og registrering — påhviler jer. Selv om dokumentation for overensstemmelse og brugsvejledninger fra den overordnede modeludbyder understøtter jeres compliance-indsats, erstatter de den ikke. Art. 55 og Art. 96 indeholder SMV-specifikke støtteordninger til at lette compliance-byrden.

Skal en chatbot på vores SMV-hjemmeside overholde EU AI Act?

Det afhænger af to faktorer: chatbottens karakter og dens funktioner. For det første skal en chatbot, der er et **system med generel kunstig intelligens**, som interagerer med brugere, overholde **gennemsigtighedsforpligtelsen i Art. 50**: brugerne skal oplyses om, at de interagerer med et AI-system, medmindre dette er åbenbart ud fra konteksten. For det andet gælder yderligere forpligtelser vedrørende højrisiko, hvis chatbotten varetager funktioner, der kvalificeres som højrisiko — for eksempel screening af jobansøgere, vurdering af kreditværdighed eller afgørelser med retlige eller væsentlige personlige konsekvenser. En simpel FAQ- eller produktnavigationschatbot fra en tredjeparts SaaS-leverandør (hvor I er deployeren) udløser primært gennemsigtighedskravet i Art. 50 og deployerforpligtelserne i Art. 26, navnlig korrekt brug i overensstemmelse med vejledningerne og hændelsesanmeldelse.

Hvad er et regulatorisk AI-sandbox-miljø, og hvordan kan vores startup få adgang?

Et **regulatorisk AI-sandbox-miljø** er et overvåget testmiljø etableret af nationale AI-tilsynsmyndigheder, hvori AI-udbydere — herunder startups og SMV'er — kan udvikle, afprøve og validere AI-systemer inden markedsplacering med direkte regulatorisk vejledning. Sandbox-miljøer er reguleret af **Art. 57–63** i EU AI Act. **Art. 55 giver SMV'er og startups prioriteret adgang**, og deltagelse er gratis eller underlagt reducerede gebyrer. Ansøgninger indgives direkte til den nationale myndighed, der er ansvarlig for AI Act i jeres medlemsstat. Inden for et sandbox-miljø kan myndigheden give begrænsede undtagelser fra specifikke krav for at muliggøre reel testning; et produkt, der bringes i omsætning efter sandbox-perioden, skal efterfølgende opfylde alle gældende forpligtelser. Kontakt jeres nationale enkelt kontaktpunkt for SMV'er (**Art. 85**) for at få oplyst ansøgningsprocedurerne.

Skal vi registrere vores AI-system i EU-databasen?

Registrering i **EU-databasen for højrisiko-AI-systemer** i henhold til **Art. 49** er kun påkrævet, hvis jeres system klassificeres som **højrisiko** i henhold til Art. 6 eller Annex III. Udbydere af højrisikosystemer skal registrere inden markedsplacering; deployere, der er offentlige organer, skal ligeledes registrere inden ibrugtagning. De fleste SMV'er, der deployer tredjepartsbaserede AI-systemer (som SaaS- eller API-forbrugere), er ikke forpligtede til at registrere — den forpligtelse påhviler udbyderen. Er jeres SMV udbyder af et højrisiko-AI-system, er registrering obligatorisk uanset virksomhedens størrelse, om end støttebestemmelserne i Art. 55 og 96 finder anvendelse for at reducere de hermed forbundne omkostninger og proceduremæssig kompleksitet. Databasen er offentligt tilgængelig og administreres af EU AI Office.

Hvilke dokumenter bør vi anmode vores AI-leverandør om, inden vi deployer deres system?

Inden I deployer et tredjeparts AI-system, navnlig ét der kan være højrisiko, bør jeres SMV kontraktmæssigt kræve og indhente: (1) **EU-overensstemmelseserklæringen** eller tilsvarende overensstemmelsesdokumentation; (2) **brugsvejledninger** som krævet i Art. 13, herunder tilsigtet formål, kendte begrænsninger og krav til menneskelig overvågning; (3) bekræftelse af, at systemet er **registreret i EU-databasen**, hvor dette er påkrævet; (4) oplysninger om systemets **logningskapacitet** og muligheder for adgang til eller udtræk af logs; (5) leverandørens **procedurer for hændelsesanmeldelse** og leverandørens forpligtelser til at underrette jer om fejlfunktioner eller opdateringer, der påvirker overholdelsen; og (6) oplysninger om systemets **databehandlingsegenskaber**, der er relevante for jeres GDPR-forpligtelser. Fraværet af disse dokumenter fra en leverandør, der tilbyder et AI-system på et følsomt område, udgør en væsentlig compliance-risiko.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.