Artikel 15 i förordning (EU) 2024/1689 — Noggrannhet, robusthet och cybersäkerhet. Officiell text, praktisk tolkning, centrala skyldigheter och efterlevnadskonsekvenser.
Sammanfattning av den officiella texten
Artikel 15 i förordning (EU) 2024/1689 fastställer tekniska krav på noggrannhet, robusthet och cybersäkerhet som högrisk-AI-system måste uppfylla under hela sin livscykel. Artikeln är uppbyggd kring tre sammanlänkade skyldigheter.
För det första måste högrisk-AI-system utformas och utvecklas för att uppnå en lämplig nivå av noggrannhet för sitt avsedda ändamål. Leverantörer är skyldiga att deklarera relevanta noggrannhetsmått i den medföljande tekniska dokumentationen, vilket möjliggör efterhandskontroll och granskning av myndigheter.
För det andra måste systemen visa robusthet — förmågan att hantera fel, störningar och inkonsekvenser som uppstår inifrån systemet, från dess driftsmiljö eller från avsiktlig fientlig manipulation. Förordningen nämner uttryckligen behovet av att hantera risken för oavsiktliga återkopplingsslingor, särskilt där ett högrisk-AI-system påverkar sina egna träningsdata eller utdata.
För det tredje måste systemen innehålla cybersäkerhetsåtgärder som är proportionella i förhållande till de risker de utgör. Dessa åtgärder måste skydda mot tredje parters försök att utnyttja systemets sårbarheter, vilket skulle kunna få systemet att bete sig på ett skadligt, partiskt eller på annat sätt icke-kompatibelt sätt. Förordningen erkänner att cybersäkerhetsresiliens inte är ett statiskt tillstånd utan måste upprätthållas i takt med att hotbilden utvecklas.
Sammantaget operationaliserar Artikel 15 den bredare principen — som formuleras i Skälen 51 och 52 — att teknisk tillförlitlighet är en förutsättning för driftsättning av AI inom konsekvensrika domäner.
Vad detta innebär i praktiken
Artikel 15 skapar konkreta ingenjörsmässiga och styrningsrelaterade skyldigheter för varje organisation som släpper ut ett högrisk-AI-system på EU-marknaden eller tar det i drift.
För leverantörer är den omedelbara konsekvensen att noggrannhet inte bara är ett kommersiellt påstående utan ett regulatoriskt åtagande som måste dokumenteras, mätas och upprätthållas. En tillverkare av medicintekniska produkter som integrerar ett AI-diagnostikverktyg måste specificera om noggrannheten mäts som känslighet, specificitet, AUC eller ett annat mått — och det valet måste stämma överens med systemets avsedda ändamål och riskprofil. Vaga eller aspirerande noggrannhetsutlåtanden uppfyller inte kravet.
Robusthetstestning måste gå längre än standard kvalitetssäkring. Leverantörer bör genomföra stresstestning, testning utanför distributionen och — där systemet exponeras för användarstyrda indata — fientlig red-teaming. Där ett system innehåller återkopplingsslingor (till exempel en rekryteringsalgoritm som lär sig av rekryterares beslut), måste leverantörer kartlägga och minska risken för att partiska utdata förstör framtida träningscykler.
Cybersäkerhetsskyldigheter enligt Artikel 15 bör läsas tillsammans med leverantörens bredare informationssäkerhetsställning. Högrisk-AI-system som behandlar personuppgifter eller ansluter till kritisk infrastruktur möter kombinerade skyldigheter under både denna förordning och NIS 2-direktivet. Praktiska steg inkluderar åtkomstkontroller för modeller, indatarensning, anomalidetektering på slutledningsbegäranden och förfaranden för sårbarhetsinformation.
För driftsansvariga beror efterlevnaden av Artikel 15 i hög grad på att de validerade driftsförhållanden som leverantören beskrev bevaras. Att driftsätta ett system på datadistributioner som väsentligt skiljer sig från dem som användes vid validering — till exempel att tillämpa en kreditvärderingsmodell tränad på en nationell marknad på en annan jurisdiktion — kan underminera de noggrannhets- och robusthetegenskaper som CE-märkningen beviljades för.
Centrala skyldigheter
- Deklarera noggrannhetsmått: Leverantörer måste specificera relevanta noggrannhetsmått för högrisk-AI-systemet och inkludera dem i den tekniska dokumentation som krävs enligt Artikel 11 och Bilaga IV. Måtten måste vara lämpliga för systemets avsedda ändamål.
- Uppnå och upprätthålla lämplig noggrannhet: Systemet måste utformas och utvecklas för att uppnå den deklarerade noggrannhetsnivån; noggrannhet får inte behandlas som ett engångsresultat av validering utan måste övervakas efter driftsättning via det system för övervakning efter utsläppande på marknaden som krävs enligt Artikel 72.
- Säkerställa robusthet mot fel och inkonsekvenser: Tekniska och organisatoriska åtgärder måste finnas på plats så att systemet kan hantera fel, störningar och inkonsekvenser — oavsett om de härrör från interna fel, miljövariabilitet eller avsiktliga fientliga indata — utan att orsaka osäkra eller icke-kompatibla utdata.
- Skydda mot fientliga attacker: Där systemet exponeras för indata från tredje parter måste leverantörer implementera åtgärder för att upptäcka och motstå fientlig manipulation, inklusive promptinjicering, modellinversion eller dataförgiftningsattacker där så är tillämpligt.
- Hantera risker för återkopplingsslingor: Där ett systems utdata skulle kunna påverka framtida träningsdata eller modellbeteende, måste leverantörer identifiera denna risk i den tekniska dokumentationen och implementera skyddsåtgärder för att förhindra prestandaförsämring eller förstärkning av partiskhet över tid.
- Implementera proportionella cybersäkerhetsåtgärder: Tekniska lösningar — inklusive åtkomstkontroller, övervakning och incidenthanteringsförfaranden — måste vara proportionella mot de cybersäkerhetsrisker som systemet utgör, med hänsyn till dess avsedda ändamål, driftskontext och exponering mot externa nätverk eller användarstyrda indata.
Förhållande till andra artiklar
Artikel 15 kan inte läsas isolerat. Den befinner sig i hjärtat av de tekniska kraven på högrisk-AI-system och korsar ett flertal andra bestämmelser i förordningen.
Artikel 9 (system för riskhantering) tillhandahåller det övergripande ramverk inom vilket risker för noggrannhet, robusthet och cybersäkerhet måste identifieras, bedömas och minskas. Riskhanteringssystemet är det procedurella fordonet för att uppfylla många av de materiella krav som Artikel 15 ålägger.
Artikel 10 (data och datastyrning) är grundläggande för noggrannhet: ett system tränat på data av låg kvalitet, icke-representativ eller partisk data kan inte uppnå meningsfulla noggrannhetsgarantier. Skyldigheter om datakvalitet möjliggör direkt efterlevnad av Artikel 15.
Artikel 11 och Bilaga IV specificerar vad som måste framgå av den tekniska dokumentationen, inklusive de noggrannhetsmått som krävs av Artikel 15(1).
Artikel 17 (system för kvalitetsledning) kräver att leverantörer inbäddar efterlevnaden av Artikel 15 i sina organisatoriska processer, inklusive designkontroller, testprotokoll och ändringshanteringsförfaranden.
Artikel 72 (övervakning efter utsläppande på marknaden) skapar den löpande skyldigheten att verifiera att nivåer av noggrannhet och robusthet upprätthålls efter driftsättning, vilket stänger livscykelslingan som Artikel 15 öppnar i designfasen.
För system som också är medicintekniska produkter eller säkerhetskomponenter måste Artikel 15 läsas tillsammans med den tillämpliga unionens harmoniseringslagstiftning i Bilaga I.
Tidsplan för efterlevnad
Artikel 15 följer det fasade tillämpningsschemat som fastställts av Artikel 113 i förordning (EU) 2024/1689, som trädde i kraft den 1 augusti 2024.
| Datum | Milstolpe |
|---|---|
| 1 augusti 2024 | Förordningen träder i kraft. Artikel 15 är rättsligt antagen men ännu inte tillämplig. |
| 2 februari 2025 | Förbjudna AI-metoder (Avdelning II, Artikel 5) börjar gälla. Artikel 15 gäller ännu inte. |
| 2 augusti 2025 | GPAI-modellers skyldigheter (Avdelning VIII) börjar gälla. Artikel 15 förblir icke-tillämplig. |
| 2 augusti 2026 | Artikel 15 börjar gälla för högrisk-AI-system listade i Bilaga III (t.ex. biometrisk identifiering, hantering av kritisk infrastruktur, arbetsmarknadsverktyg, utbildningssystem, brottsbekämpningsprogram). |
| 2 augusti 2027 | Artikel 15 börjar gälla för högrisk-AI-system som regleras av unionens harmoniseringslagstiftning i Bilaga I (t.ex. medicintekniska produkter, maskiner, komponenter för civil luftfart). |
Leverantörer som utvecklar eller släpper ut högrisk-AI-system på marknaden före det tillämpliga datumet måste ändå förbereda dokumentation, testprotokoll och cybersäkerhetsarkitekturer i förväg — regulatoriska beredskapsanalyser och överensstämmelsebedömningar enligt Artiklarna 43–47 kräver avsevärd förberedelsetid. Eftersläpningen hos anmälda organ och komplexiteten hos fientlig testning innebär att organisationer som siktar på ett lansering 2026 bör påbörja gapanalyser för Artikel 15 senast i mitten av 2025.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Artikel 15 kräver att högrisk-AI-system utformas och utvecklas för att uppnå en lämplig nivå av noggrannhet, robusthet och cybersäkerhet under hela deras livscykel. Leverantörer måste specificera noggrannhetsmått i den tekniska dokumentationen och säkerställa att systemen förblir motståndskraftiga mot fel, störningar, inkonsekvenser och fientliga attacker.
Artikel 15 binder i första hand leverantörer av högrisk-AI-system enligt definitionen i Artikel 6 och Bilaga III i förordning (EU) 2024/1689. Driftsansvariga har sekundärt ansvar, särskilt vad gäller att upprätthålla de förhållanden under vilka systemet validerades.
Fientliga attacker avser avsiktliga försök från tredje parter att manipulera eller vilseleda ett AI-system genom att mata in specialkonstruerade data som är utformade för att orsaka felaktiga utdata. Artikel 15 kräver tekniska robusthetsåtgärder — såsom fientlig träning eller indatavalidering — för att minska denna risk.
Nej. Artikel 15 ingår i Avdelning III, Kapitel 2, som uteslutande gäller högrisk-AI-system. AI-modeller för allmänna ändamål (GPAI) regleras av Avdelning VIII i förordningen, specifikt Artiklarna 51–56, som innehåller separata skyldigheter.
Artikel 15 gäller högrisk-AI-system som faller under Bilaga III från och med den 2 augusti 2026, och högrisk-AI-system som regleras av unionens harmoniseringslagstiftning i Bilaga I från och med den 2 augusti 2027, med förbehåll för vissa övergångsbestämmelser.
Noggrannhetsnivåer måste fastställas utifrån systemets avsedda ändamål och specificeras i den tekniska dokumentation som krävs enligt Artikel 11 och Bilaga IV. Det finns inget enda universellt referensvärde; leverantörer måste välja mått som är lämpliga för uppgiftsdomänen — till exempel känslighet och specificitet för medicinsk diagnostik, eller frekvenser för falskt positiva/negativa för biometrisk identifiering.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.