Transport og kritisk infrastruktur — overholdelse af EU AI Act

EU AI Acts forpligtelser for AI i autonome køretøjer, trafikstyring, luftfart, jernbane og kritisk infrastruktur. Dækker Annex I (NLF) og Annex III kategori 2.

Hvorfor transport er en prioritetssektor i EU AI Act

EU AI Act (forordning (EU) 2024/1689) pålægger de mest krævende forpligtelser på de områder, hvor fejl i AI-systemer har direkte konsekvenser for den fysiske sikkerhed, kontinuiteten i kritiske tjenester og den offentlige sikkerhed. Transport og kritisk infrastruktur indtager en central plads i denne opbygning af to uafhængige retlige årsager: den udbredte anvendelse af AI som sikkerhedskomponenter i regulerede transportprodukter (som udløser Art. 6(1) via Annex I), og den udtrykkelige oplistning af AI til styring af kritisk infrastruktur som høj-risiko i henhold til Annex III, punkt 2.

Transportsektoren er desuden kendetegnet ved tætheden og modenhedsgraden af sine eksisterende regulatoriske rammer. Typegodkendelse af køretøjer i henhold til forordningen om generel sikkerhed (EU) 2019/2144, luftfartscertificering i henhold til EASA-grundforordningen (EU) 2018/1139, jernbaneinteroperabilitet og -sikkerhed i henhold til ERA-forordningen (EU) 2016/796 og sikkerhedsdirektivet 2016/798 samt cybersikkerhed for kritisk infrastruktur i henhold til NIS2-direktivet (EU) 2022/2555 skaber alle forudgående retlige forpligtelser, der akkumuleres med — og i nogle tilfælde strukturelt interagerer med — EU AI Act.

For transportorganisationer er den praktiske konsekvens, at AI-overholdelse ikke kan håndteres som en isoleret regulatorisk arbejdsstrøm. Den skal integreres i eksisterende programmer for typegodkendelse, certificering, sikkerhedsstyring og cybersikkerhed. Manglende integration risikerer ikke alene manglende overholdelse af AI Act, men også manglende overensstemmelse med sektorforskrifter, der har egne håndhævelsesmyndigheder og konsekvenser for markedsadgangen.

Sikkerhedskomponent-AI (Annex I) versus kritisk infrastruktur-AI (Annex III, punkt 2)

EU AI Act etablerer to adskilte høj-risikospor, der er relevante for transport. At fastslå, hvilket spor der finder anvendelse — og om begge gælder samtidigt — er det første analytiske skridt i ethvert transportrelateret AI-overholdelsesprogramme.

Annex I — sikkerhedskomponenter i NLF-regulerede produkter

Art. 6(1) i EU AI Act klassificerer som høj-risiko ethvert AI-system, der er en sikkerhedskomponent i et produkt reguleret i henhold til New Legislative Framework (NLF)-lovgivning oplistet i Annex I. For transport er de centrale NLF-instrumenter:

Forordningen om generel sikkerhed (EU) 2019/2144 — vejkøretøjer (personbiler, lastbiler, motorcykler, busser)
EASA-grundforordningen (EU) 2018/1139 — luftfartøjer, motorer og tilhørende udstyr
ERA's jernbanelovgivning — herunder forordning (EU) 2016/796 (ERA-agenturet), direktiv 2016/797 (interoperabilitet) og direktiv 2016/798 (jernbanesikkerhed)
Maskindirektivet (EU) 2023/1230 — relevant for AI i automatiseret havneudstyr, industrielle køretøjer og anlægsmaskiner, der anvendes i transportinfrastrukturkontekster

Et AI-system er en sikkerhedskomponent i et transportprodukt, hvis svigt eller fejlfunktion kan bringe personers helbred eller sikkerhed i fare. For vejkøretøjer omfatter dette autonome nødbremsesystemer, AI til vognbaneholdelse, adaptiv fartpilot ved SAE L2 og derover samt alle L3–L5-systemer til automatiseret kørsel. For luftfart omfatter dette AI i flystyringssystemer, autopilotkomponenter og systemer til advarsel om terrænnærhed. For jernbaner omfatter dette AI i automatisk togbeskyttelse, AI-assisteret signalering og autonome rangeringsanlæg.

Klassificeringen i henhold til Art. 6(1) er kategorisk. Det kræver ikke, at AI-systemet selvstændigt påviser en væsentlig sandsynlighed for skade — betegnelsen som sikkerhedskomponent er tilstrækkelig. Det betyder, at leverandørerne af sådanne systemer skal overholde kravene i kapitel III, afsnit 2 (Art. 9–15), der dækker risikostyring, dataforvaltning, teknisk dokumentation, automatisk logning, gennemsigtighed, menneskelig kontrol samt nøjagtighed og robusthed.

Annex III, punkt 2 — styring af kritisk infrastruktur

Uafhængigt af sikkerhedskomponentesporet oplistet Annex III, punkt 2 udtrykkeligt som høj-risiko AI-systemer, der er beregnet til brug som sikkerhedskomponenter i styringen og driften af kritisk infrastruktur, nærmere bestemt:

Kritisk vejtrafikinfrastruktur
Kritisk vandtransportinfrastruktur
Kritiske elnetkomponenter (som kritisk infrastruktur med en risikokarakter svarende til transport)

AI-systemer, der falder ind under denne kategori, omfatter: motorvejstrafikstyringssystemer med AI til dynamisk hastighedsregulering og hændelsesdetektion, AI-baserede systemer til stabilisering og belastningsbalancering i intelligente elnet, hvor netsvigt ville påvirke transportoperationer, samt AI-systemer til styring af havneinfrastruktur på niveau med drift af væsentlige tjenester.

Forskellen mellem punkt 2 og Annex I-sporet er, at Annex III, punkt 2 finder anvendelse på operatører af infrastruktur og ikke udelukkende på produktproducenter. En offentlig myndighed eller privat koncessionsindehaver, der driver et AI-baseret trafikstyringscenter, er underlagt punkt 2-forpligtelserne som bruger eller, hvis vedkommende selv har udviklet AI-systemet, som leverandør.

Dobbeltklassificering

Hvor et AI-system både er en sikkerhedskomponent i et NLF-reguleret produkt og anvendes i styringen af kritisk infrastruktur (f.eks. et AI-system integreret i en intelligent motorvejsplatform, der også interagerer med køretøjssystemer), gælder begge spor. De mest vidtgående forpligtelser er styrende.

Leverandør versus bruger i transportkonteksten — OEM versus operatør

Fordelingen af forpligtelser mellem leverandører (Art. 16) og brugere (Art. 26) er særligt kompleks inden for transport, hvor forsyningskæden mellem AI-udvikler, systemintegrator, OEM, infrastrukturoperatør og slutbrugersflåde kan involvere flere juridiske enheder, der hver bærer adskilte AI Act-ansvar.

Køretøjs-OEM'er som leverandører

En OEM, der integrerer et AI-kørselsystem — uanset om det er udviklet internt eller leveret af en Tier 1- eller Tier 2-leverandør — og bringer køretøjet i omsætning på EU-markedet under sit eget varemærke, er leverandøren af AI-systemet i henhold til Art. 16. Dette gælder, selv om AI-teknologien oprindeligt er udviklet af en tredjepart, forudsat at OEM'en ikke blot har videresolgt et uændret system under tredjepartens mærke. Leverandørforpligtelserne omfatter:

Etablering af et kvalitetsstyringssystem i henhold til Art. 17
Udarbejdelse og vedligeholdelse af teknisk dokumentation i henhold til Art. 11 og Annex IV, der dækker AI-systemets tilsigtede formål, design, træningsdata, valideringsresultater og plan for overvågning efter markedsplacering
Gennemførelse eller bestilling af overensstemmelsesvurdering — som for sikkerhedskomponenter i køretøjer skal koordineres med typegodkendelsesproceduren i henhold til GSR 2019/2144
Registrering af AI-systemet i EU's database for høj-risiko AI-systemer i henhold til Art. 49 inden markedsplacering
Levering af brugervejledning til efterfølgende brugere (flådeoperatører, udlejningsvirksomheder) i et omfang, der muliggør overensstemmende anvendelse

Flådeoperatører og koncessionsindehavere som brugere

En virksomhed, der driver en flåde af autonome køretøjer, en lokal myndighed, der anvender et AI-baseret trafikstyringssystem, eller en jernbaneinfrastrukturforvalter, der bruger AI-assisterede vedligeholdelsesværktøjer, er en bruger i henhold til Art. 26. Brugerforpligtelserne omfatter:

Anvendelse af AI-systemet inden for rammerne af leverandørens brugervejledning — enhver operationel anvendelse uden for dette omfang kan omklassificere brugeren til leverandør og udløse det fulde leverandørforpligtelsessæt
Implementering af foranstaltninger til menneskelig kontrol som specificeret af leverandøren og afpasset efter den operationelle sammenhæng
Vedligeholdelse af driftslogfiler genereret af AI-systemet i mindst seks måneder eller længere, hvor gældende sektorlovgivning (NIS2, national transportsikkerhedslovgivning) kræver længere opbevaringsperioder
Omgående rapportering af fejlfunktioner eller alvorlige hændelser til leverandøren og til nationale kompetente myndigheder i henhold til Art. 73, når sikkerhed eller grundlæggende rettigheder er berørt
Gennemførelse af konsekvensanalyser for grundlæggende rettigheder (FRIA'er) i henhold til Art. 27, når AI-systemet anvendes af en offentlig myndighed eller i kontekster, der berører enkeltpersoner i stor skala

Samspil med sektorforskrifter — EASA, ERA og typegodkendelse

Vejkøretøjer — GSR 2019/2144 og typegodkendelse

Forordningen om generel sikkerhed (EU) 2019/2144 gør det obligatorisk at medtage specifikke ADAS- og autonome kørselsegenskaber i nye køretøjstyper og fastlægger tekniske krav til deres ydeevne. Typegodkendelse af køretøjer — foretaget af nationale typegodkendelsesmyndigheder (f.eks. KBA i Tyskland, DREAL i Frankrig, Rijksdienst voor het Wegverkeer i Nederlandene) — er den primære mekanisme for markedsadgang for vejkøretøjer.

EU AI Act erstatter ikke typegodkendelsen. Art. 8(1) i AI Act præciserer, at hvor sektorspecifik lovgivning pålægger krav af tilsvarende eller større strenghed, er proceduremæssig tilpasning mulig, men AI Act-forpligtelserne består. I praksis skal overensstemmelsesvurderingen for et AI-kørselsystem både adressere GSR's tekniske krav (vurderet som en del af typegodkendelsen) og AI Act-kravene (teknisk dokumentation, dataforvaltning, logning, menneskelig kontrol, overvågning efter markedsplacering). OEM'er bør planlægge en integreret vurdering, der dækker begge regelsæt, for at undgå dobbeltsupplicering og potentielle mangler.

Luftfart — EASA og AI-køreplanen

EASA udøver certificeringsmyndighed over luftfartøjer, motorer og dele i henhold til forordning (EU) 2018/1139. EASA's AI-køreplan (offentliggjort i successive udgaver fra 2020) omhandler AI-pålidelighed for luftbårne AI-systemer og er den primære certificeringsreference for AI i flyvekritiske applikationer.

EU AI Act finder anvendelse på jordbaseret luftfarts-AI (trafikstyring, vedligeholdelsesdiagnostik, kabinestyringssystemer), der falder uden for EASA's luftdygtighedsperimeter. For luftbårne AI-systemer, der er certificeret af EASA, er Art. 8(1)-tilpasning tilgængelig, men overlappet mellem EASA's luftdygtighedskrav og AI Act-forpligtelserne (navnlig vedrørende logning og menneskelig kontrol) skal analyseres system for system. EASA's begreb "AI assurance level" kan ikke direkte oversættes til EU AI Acts høj-risikokClassificering eller krav til overensstemmelsesvurdering.

Jernbane — ERA og sikkerhedsstyringssystemer

ERA (Den Europæiske Unions Jernbaneagentur) fører tilsyn med jernbaneinteroperabilitet og den fælles sikkerhedsramme i henhold til direktiv 2016/797 og 2016/798. Jernbanevirksomheder og infrastrukturforvaltere er forpligtet til at vedligeholde et sikkerhedsstyringssystem (SMS), der dækker risikovurdering, ulykkesundersøgelse og løbende forbedring.

EU AI Acts krav til risikostyring i henhold til Art. 9 er tæt parallelle med ERA's SMS-krav. Organisationer med et modent SMS er godt positioneret til at integrere AI Act-dokumentation af risikostyring i den eksisterende ramme. ERA og Europa-Kommissionen har tilkendegivet en præference for integrerede overholdelsesmetoder, der undgår dobbeltoverlap mellem SMS- og AI Act-forpligtelserne. AI-systemer, der anvendes i automatisk togdrift, ETCS-AI-komponenter (European Train Control System) eller prædiktiv vedligeholdelse, der indgår i sikkerhedskritiske beslutninger, er høj-risiko i henhold til Annex I (sikkerhedskomponent i jernbanekøretøjer eller -infrastruktur).

Håndhævelses- og certificeringsmyndigheder

Overholdelse af AI Act inden for transport involverer flere håndhævelsesorganer med delvist overlappende jurisdiktion, afhængigt af AI-systemets funktion og det produkt, det er integreret i.

EASA er certificeringsmyndighed for AI i luftfartøjer og luftfartsprodukter. Den kan foretage undersøgelser af AI-systemfejl med luftdygtighedsmæssige implikationer, og dens afgørelser påvirker markedsadgangen i hele EU og i partnerjurisdiktioner under bilaterale aftaler.

ERA fører tilsyn med den fælles sikkerhedsramme for jernbaner. Jernbanesikkerhedscertifikater og driftstilladelser er betinget af SMS-overensstemmelse, som i stigende grad krydser med AI Act-overholdelse for AI-aktiverede jernbanesystemer.

Nationale typegodkendelsesmyndigheder for køretøjer — herunder KBA (Tyskland), ANFIA-delegerede organer (Italien) og Rijksdienst voor het Wegverkeer (Nederlandene) — udsteder og kan tilbagekalde typegodkendelser for vejkøretøjer. Manglende overensstemmelse med AI Act-kravene for AI-sikkerhedskomponenter kan udgøre grundlag for suspension af typegodkendelse eller tilbagekaldelse.

Nationale kompetente NIS2-myndigheder — udpeget af hvert medlemsland, ofte et nationalt cybersikkerhedsagentur som BSI (Tyskland), ANSSI (Frankrig) eller NCSC-NL (Nederlandene) — håndhæver NIS2-forpligtelserne for transportoperatører af væsentlige tjenester. NIS2-håndhævelse kan resultere i bindende instrukser, bøder og i alvorlige tilfælde driftsstandsning.

Nationale AI-tilsynsmyndigheder udpeget i henhold til Art. 70 i EU AI Act vil have generelle markedsovervågningsbeføjelser med koordineringsmekanismer for sektorspecifikke myndigheder for at undgå jurisdiktionskonflikter.

Overholdelsesprioriteter for transportoperatører og -leverandører

Trin 1: AI-systeminventar og klassificering

Foretag en struktureret kortlægning af alle AI-systemer under udvikling eller i drift på tværs af transportprodukt- eller driftsporteføljen. For hvert system skal det fastslås, om det er en sikkerhedskomponent i et NLF-reguleret produkt (Art. 6(1)-sporet), en AI til styring af kritisk infrastruktur (Annex III, punkt 2) eller begge dele. Dokumentér klassificeringsgrundlaget skriftligt. Systemer, der ikke definitivt kan udelukkes fra høj-risikokklassificering, bør behandles som høj-risiko afventende en endelig juridisk analyse.

Trin 2: Planlægning af vej til overensstemmelsesvurdering

For AI-systemer, der er sikkerhedskomponenter i køretøjer, luftfartøjer eller jernbaneprodukter, skal den gældende sektorcertificeringsprocedure identificeres og kortlægges i relation til kravene til overensstemmelsesvurdering i AI Act. Det skal fastslås, om et bemyndiget organ er påkrævet (Art. 43(3)), eller om en selvevaluering med teknisk tredjepartsrevision er tilstrækkelig. Tidsskemaet for overensstemmelsesvurderingen efter AI Act skal koordineres med typegodkendelses- eller certificeringsprogrammet for at undgå forsinkelser i markedsadgangen.

Trin 3: Teknisk dokumentation og dataforvaltning

Udarbejd teknisk dokumentation i henhold til Annex IV for hvert høj-risiko AI-system. For AI i transport skal denne dokumentation indeholde: det tilsigtede formål med en præcision, der er tilstrækkelig til at understøtte klassificering i henhold til både AI Act og sektorforskrifter; proveniensen for træningsdata, herunder eventuelle virkelighedsnære kørsels-, drifts- eller sensordata; beskrivelser af simuleringsmiljøer for AI-systemer valideret via virtuel afprøvning; og planer for overvågning efter markedsplacering afstemt med sektorspecifikke rapporteringsforpligtelser.

Trin 4: NIS2-integration for operatører af kritisk infrastruktur

Transportoperatører af væsentlige tjenester skal integrere AI Acts cybersikkerhedskrav i henhold til Art. 15 med NIS2's forpligtelser til cybersikkerhedsrisikostyring. Etablér en enkelt proces for sikkerhedsrisikovurdering, der dækker begge regelsæt. Sørg for, at leverandører af AI-software — herunder AI-modeludviklere og dataleverandører — er underlagt forsyningskædesikkerhedskrav i overensstemmelse med NIS2 Art. 21(2)(d) og AI Act Art. 25 (forpligtelser vedrørende tredjepartsværktøjer).

Trin 5: Menneskelig kontrol i operationelle sammenhænge

Design mekanismer til menneskelig kontrol i henhold til Art. 14, der er operationelt gennemførlige i transportmiljøer. For autonome kørselsystemer skal de betingelser defineres, under hvilke en fører skal kunne overtage kontrollen (L3), eller en fjernoperatør skal kunne gribe ind (L4). For AI til lufttrafikstyring skal de punkter i arbejdsgangen specificeres, hvor en flyveleder skal gennemgå og godkende AI-genererede instrukser. For AI til jernbanevedligeholdelse skal eskaleringsprotokollerne defineres, når systemet markerer sikkerhedskritiske anomalier. Kontrolmekanismerne skal dokumenteres i den tekniske dokumentation og afspejles i den brugervejledning, der leveres til brugerne.

Trin 6: Overvågning efter markedsplacering og hændelsesrapportering

Etablér systemer til overvågning efter markedsplacering, der opfylder både kravene i AI Act Art. 72 og sektorspecifikke forpligtelser til sikkerhedsrapportering (ERA's ulykkesrapportering, EASA's hændelsesrapportering i henhold til forordning (EU) 376/2014, NIS2's hændelsesnotifikation). Alvorlige hændelser med høj-risiko AI-systemer skal rapporteres til den nationale AI-tilsynsmyndighed i henhold til Art. 73 inden for 15 arbejdsdage fra det tidspunkt, hvor man blev opmærksom på hændelsen. Dette tidsskema skal afstemmes med NIS2's krav om indledende notifikation inden for 24 timer ved væsentlige cybersikkerhedshændelser, som kan dække den samme hændelse, hvis AI-fejlfunktionen kan henføres til et cybersikkerhedsbrud.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Klassificeres en AI-baseret køreassistentfunktion automatisk som høj-risiko i henhold til EU AI Act?

Ja, i de fleste kommercielt relevante konfigurationer. Et AI-system, der udgør en sikkerhedskomponent i et vejkøretøj typegodkendt i henhold til forordningen om generel sikkerhed (EU) 2019/2144, klassificeres automatisk som høj-risiko i henhold til Art. 6(1) i EU AI Act, sammenholdt med Annex I (New Legislative Framework). Dette gælder fra SAE Level 2+ køreassistentsystemer, der påvirker styring, bremsning eller acceleration, og op til L4- og L5-systemer til autonom kørsel. Klassificeringen er kategorisk og kræver ikke en særskilt sandsynlighedsvurdering af skaderisiko. Både overensstemmelsesvurderingen efter AI Act og typegodkendelsesproceduren i henhold til GSR 2019/2144 skal være opfyldt, inden køretøjet bringes i omsætning på EU-markedet.

Hvem er leverandøren, og hvem er brugeren, når et køretøjs-OEM integrerer et tredjeparts AI-kørselsystem?

Fordelingen afhænger af integrationens kontraktmæssige og tekniske struktur. Hvis OEM'en indlejrer et tredjeparts AI-system i køretøjstypen uden ændringer og bringer det i omsætning under sit eget navn, er OEM'en leverandøren i henhold til Art. 16 i EU AI Act og bærer de fulde leverandørforpligtelser, herunder overensstemmelsesvurdering, CE-mærkning og registrering i EU's AI-database. AI-systemets oprindelige udvikler kan være underleverandør, men er ikke automatisk leverandøren i henhold til AI Act. Hvis OEM'en foretager væsentlige ændringer af AI-systemet inden markedsplaceringen, bekræftes leverandørforpligtelserne i fuldt omfang. Flådeoperatører eller udlejningsvirksomheder, der efterfølgende anvender køretøjet med det aktive AI-system, er brugere i henhold til Art. 26.

Opfylder EASA-godkendelse af et AI-system til luftfart kravene til overensstemmelsesvurdering i EU AI Act?

Nej. EASA-certificering i henhold til grundforordningen (EU) 2018/1139 og overensstemmelsesvurderingen efter AI Act er adskilte retlige forpligtelser, der gælder parallelt. EASA's AI-køreplan og den kommende vejledning om AI-pålidelighed for luftfart omhandler luftdygtighedskrav og operationelle sikkerhedskrav i henhold til luftfartslovgivningen. EU AI Acts krav — herunder teknisk dokumentation i henhold til Annex IV, automatisk logning i henhold til Art. 12 og menneskelig kontrol i henhold til Art. 14 — er selvstændige forpligtelser, der skal opfyldes uafhængigt. Art. 8(1) i AI Act anerkender sektorspecifik lovgivning og kan muliggøre proceduremæssig tilpasning, hvor EASA-kravene er tilsvarende, men eliminerer ikke AI Act-forpligtelserne for jordbaserede AI-systemer eller kabine-AI, der falder uden for EASA's luftdygtighedsperimeter.

Klassificeres et AI-system, der i stor skala styrer bytrafiklys, som høj-risiko?

Det afhænger af den operationelle sammenhæng. AI-systemer, der anvendes til styring og drift af kritisk vejtrafikinfrastruktur, er udtrykkeligt oplistet som høj-risiko i Annex III, punkt 2 i EU AI Act. Et system, der styrer trafikflowet på motorveje, adaptiv signalregulering for et storbyveinet eller dynamisk vognbanetildeling på en tunneltilkørsel, vil sandsynligvis opfylde tærsklen for 'kritisk vejtrafikinfrastruktur.' Et selvstændigt AI-system, der optimerer signaltiming ved et enkelt vejkryds på landet med minimalt trafikvolumen og ingen sikkerhedskritiske indbyrdes afhængigheder, kan falde uden for denne definition, men denne vurdering skal dokumenteres. Operatørerne bør anlægge en forsigtighedsfortolkning: hvis en fejl eller fejlberegning i AI-systemets output kan skabe en væsentlig risiko for ulykker, kaskadeeffekter i trafikken eller forsinkelse af udrykningskøretøjer i stor skala, er klassificering som høj-risiko det rette udgangspunkt.

Hvad er de kombinerede NIS2- og EU AI Act-forpligtelser for en jernbaneoperatør?

Jernbaneoperatører, der kvalificerer sig som operatører af væsentlige tjenester i henhold til NIS2-direktivet (EU) 2022/2555, har en dobbelt overholdelsesbyrde. Ifølge NIS2 skal de implementere cybersikkerhedsmæssige risikostyringsforanstaltninger, overholde hændelsesrapporteringsfrister (væsentlige hændelser inden for 24 timer til den nationale kompetente myndighed, fuld rapport inden for 72 timer) og sikre forsyningskædesikkerhed, herunder for leverandører af AI-software. Ifølge EU AI Act er AI-systemer integreret i sikkerhedskritiske jernbaneoperationer — prædiktiv vedligeholdelses-AI, AI-assisteret signalering, autonome rangeringsanlæg — høj-risiko i henhold til Art. 6(1) (som sikkerhedskomponenter i henhold til ERA's jernbanelovgivning) eller Annex III, punkt 2. AI Acts krav til cybersikkerhed og robusthed i henhold til Art. 15 skal opfyldes på en måde, der er forenelig med og komplementær til NIS2-forpligtelserne. Et enkelt integreret risikostyringssystem, der dækker begge regelsæt, er operationelt at foretrække og er i overensstemmelse med ERA's krav til sikkerhedsstyringssystemer i henhold til direktiv 2016/798.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.