Artikel 16 — Skyldigheter för leverantörer av högrisksystem för artificiell intelligens (EU:s AI-förordning)

Artikel 16 i förordning (EU) 2024/1689 — Skyldigheter för leverantörer av högrisksystem för artificiell intelligens. Officiell text, praktisk tolkning, centrala skyldigheter och konsekvenser för efterlevnad.

Sammanfattning av den officiella texten

Artikel 16 i förordning (EU) 2024/1689 (EU:s AI-förordning) fastställer den övergripande uppsättningen skyldigheter som leverantörer av högrisksystem för artificiell intelligens måste uppfylla innan de släpper ut sina system på marknaden eller tar dem i drift. Artikeln fungerar som det centrala ankaret för leverantörernas ansvar inom avdelning III, kapitel 3.

Enligt artikel 16 måste leverantörer säkerställa att deras högrisksystem för artificiell intelligens uppfyller alla krav i kapitel 2 i avdelning III, som täcker riskhantering (artikel 9), data och datastyrning (artikel 10), teknisk dokumentation (artikel 11), journalföring (artikel 12), öppenhet och tillhandahållande av information (artikel 13), mänsklig tillsyn (artikel 14) samt noggrannhet, robusthet och cybersäkerhet (artikel 15).

Utöver efterlevnad av kapitel 2 ålägger artikel 16 specifika administrativa och procedurmässiga skyldigheter. Leverantörer måste inrätta ett kvalitetsledningssystem i enlighet med artikel 17, upprätta teknisk dokumentation enligt bilaga IV och i tillämpliga fall genomgå ett förfarande för bedömning av överensstämmelse innan de anbringas CE-märkningen. De måste registrera sina system i EU:s databas som inrättats enligt artikel 71 där registrering är obligatorisk, samarbeta med nationella behöriga myndigheter på begäran och bevara all relevant dokumentation under en period av tio år efter det att systemet släppts ut på marknaden eller tagits i drift. Leverantörer som är etablerade utanför EU måste utse en auktoriserad representant inom unionen i enlighet med artikel 22.

Vad detta innebär i praktiken

För organisationer som utvecklar eller beställer högrisksystem för artificiell intelligens innebär artikel 16 ett strukturerat program för efterlevnad före marknadsläggning som måste slutföras innan någon driftsättning eller kommersiell lansering.

Utvecklare och leverantörer som bygger AI-system som faller inom de högrisk-kategorier som definieras i bilaga III — som täcker områden såsom biometrisk identifiering, kritisk infrastruktur, utbildning, sysselsättning, väsentliga tjänster, brottsbekämpning, migration och rättskipning — måste betrakta artikel 16 som sin primära checklista för efterlevnad. Innan lansering måste de ha ett dokumenterat kvalitetsledningssystem på plats, ha slutfört en bedömning av överensstämmelse (självbedömning eller av tredje part, beroende på kategori), ha anbringat CE-märkningen och ha registrerat produkten i databasen för EU:s AI-förordning.

Ett konkret exempel: ett mjukvaruföretag som erbjuder ett AI-drivet CV-granskningsverktyg till HR-avdelningar omfattas av bilaga III, punkt 4 (sysselsättning och personalhantering). Innan detta verktyg släpps ut på marknaden måste företaget dokumentera sin riskhanteringsprocess, visa kvaliteten på sina träningsdata, tillhandahålla teknisk dokumentation som gör det möjligt för tillsynsmyndigheter att bedöma efterlevnad, implementera mekanismer för mänsklig tillsyn och registrera systemet. Om företaget är baserat utanför EU måste det utse en auktoriserad representant med säte i EU.

Löpande skyldigheter kvarstår efter driftsättning. Leverantörer måste föra register, övervaka prestanda efter marknadsläggning enligt artikel 72, rapportera allvarliga incidenter enligt artikel 73 och uppdatera teknisk dokumentation när systemet genomgår väsentliga ändringar. Efterlevnad är inte en engångshändelse utan ett kontinuerligt operativt ansvar.

Leverantörer som verkar inom reglerade produktsektorer — såsom medicintekniska produkter eller maskiner — måste dessutom uppfylla de sektorsspecifika överensstämmelsekrav som samspelar med AI-förordningen enligt bilaga I.

Centrala skyldigheter

Säkerställa efterlevnad av kapitel 2: Verifiera att högrisksystemet för artificiell intelligens uppfyller alla tekniska krav och styrningskrav (artiklarna 8–15) innan marknadsläggning, inklusive riskhantering, datastyrning, öppenhet, mänsklig tillsyn och robusthet.
Inrätta ett kvalitetsledningssystem: Implementera ett dokumenterat KLS i enlighet med artikel 17, som täcker policyer, förfaranden, bedömning av överensstämmelse, övervakning efter marknadsläggning och arbetsflöden för incidentrapportering.
Upprätta och underhålla teknisk dokumentation: Förbereda och hålla uppdaterad den tekniska dokumentation som specificeras i bilaga IV och göra den tillgänglig för nationella behöriga myndigheter och anmälda organ på begäran.
Genomgå bedömning av överensstämmelse och anbringa CE-märkning: Slutföra det tillämpliga förfarandet för bedömning av överensstämmelse (självbedömning eller av tredje part) och anbringa CE-märkningen innan systemet släpps ut på marknaden eller tas i drift i EU.
Registrera i EU:s databas: Registrera systemet i EU:s databas för högrisksystem för artificiell intelligens som inrättats enligt artikel 71, där registrering är obligatorisk för den relevanta kategorin.
Bevara register i tio år och samarbeta med myndigheter: Bevara all teknisk dokumentation, försäkringar om överensstämmelse och tillämpliga loggar i minst tio år; svara på informationsförfrågningar från nationella tillsyns- och marknadskontrollmyndigheter; utse en EU-auktoriserad representant om leverantören inte är etablerad i unionen.

Förhållande till andra artiklar

Artikel 16 kan inte läsas isolerat. Det är den inledande skyldigheten som aktiverar och hänvisar till i princip alla andra leverantörsinriktade krav i avdelning III.

De materiella tekniska krav som artikel 16 kräver att leverantörer uppfyller finns i artiklarna 8–15 (kapitel 2). Det kvalitetsledningssystem som artikel 16 föreskriver utarbetas i artikel 17. Specifikationer för teknisk dokumentation finns i bilaga IV, som det hänvisas till i artikel 11. De förfaranden för bedömning av överensstämmelse som utlöses av artikel 16 beskrivs i detalj i artikel 43, med regler för försäkran om överensstämmelse i artikel 47 och regler för CE-märkning i artikel 48.

Skyldigheter avseende övervakning efter marknadsläggning som utvidgar räckvidden för artikel 16 bortom det inledande utsläppandet på marknaden anges i artikel 72, med rapportering av allvarliga incidenter i artikel 73. Auktoriserade representanter — obligatoriska för leverantörer utanför EU enligt artikel 16 — regleras av artikel 22. Omständigheter under vilka importörer och distributörer tar på sig leverantörsskyldigheter specificeras i artikel 24. Slutligen kopplar registreringskravet i EU:s databas till artikel 71. Nationella behöriga myndigheter som verkställer skyldigheterna i artikel 16 verkar inom det ramverk som fastställts i artiklarna 70 och 74.

Tidslinje för efterlevnad

EU:s AI-förordning trädde i kraft den 1 augusti 2024, tjugo dagar efter offentliggörandet i Europeiska unionens officiella tidning. Dess bestämmelser tillämpas dock på ett stegvist sätt:

2 februari 2025: Förbud mot AI-praxis med oacceptabel risk (artikel 5) blev verkställbara.
2 augusti 2025: Skyldigheter avseende AI-modeller för allmänt ändamål (avdelning VIII, artiklarna 51–56) blev tillämpliga.
2 augusti 2026: Skyldigheterna i artikel 16 blir verkställbara för högrisksystem för artificiell intelligens som förtecknas i bilaga III (fristående AI-system inom områden som sysselsättning, utbildning, väsentliga tjänster, biometri och brottsbekämpning).
2 augusti 2027: Skyldigheterna i artikel 16 blir verkställbara för högrisksystem för artificiell intelligens som omfattas av bilaga I (säkerhetskomponenter i produkter som redan regleras av befintlig EU-sektorslagstiftning, såsom medicintekniska produkter, maskiner och civil luftfart).

Leverantörer bör inte vänta tills dessa datum för verkställighet innan de börjar förbereda sig. Att bygga ett kvalitetsledningssystem, sammanställa teknisk dokumentation och slutföra bedömningar av överensstämmelse är resurskrävande processer. Organisationer som släpper ut system från bilaga III på marknaden rekommenderas att vara operativt efterlevnadssäkrade senast i mitten av 2026, med gapanalyser och åtgärdsprogram inledda senast i början av 2025.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Vem kvalificerar sig som 'leverantör' enligt artikel 16 i EU:s AI-förordning?

En leverantör är varje fysisk eller juridisk person, offentlig myndighet, byrå eller organ som utvecklar ett högrisksystem för artificiell intelligens eller låter ett sådant system utvecklas och släpper ut det på marknaden eller tar det i drift under sitt eget namn eller varumärke, mot betalning eller kostnadsfritt. Importörer och distributörer kan också ta på sig leverantörsskyldigheter under vissa omständigheter som definieras i artikel 24.

Vad är den mest omedelbara skyldigheten som artikel 16 ålägger leverantörer?

Artikel 16 kräver att leverantörer säkerställer att deras högrisksystem för artificiell intelligens uppfyller de krav som anges i kapitel 2 i avdelning III (artiklarna 8–15) innan det släpps ut på marknaden eller tas i drift. Detta inkluderar att införa ett kvalitetsledningssystem, upprätta teknisk dokumentation och registrera systemet i EU:s databas där så är tillämpligt.

Måste leverantörer föra register efter att ha släppt ut ett högrisksystem för artificiell intelligens på marknaden?

Ja. Artikel 16 ålägger leverantörer att bevara den tekniska dokumentationen och, i tillämpliga fall, loggar som systemet genererar automatiskt under en period av tio år efter det att systemet har släppts ut på marknaden eller tagits i drift. Denna skyldighet att bevara handlingar är avgörande för marknadsövervakning och verkställighet.

När blir skyldigheterna i artikel 16 verkställbara för högrisksystem för artificiell intelligens?

För de flesta högrisksystem för artificiell intelligens som förtecknas i bilaga III gäller skyldigheterna i artikel 16 från och med den 2 augusti 2026. System som omfattas av bilaga I (säkerhetskomponenter i produkter som regleras av befintlig sektorslagstiftning) har tid till den 2 augusti 2027. Leverantörer bör börja förbereda sig för efterlevnad långt i förväg inför dessa datum.

Kan en leverantör delegera skyldigheterna i artikel 16 till en tredje part?

Leverantörer kan använda auktoriserade representanter som är etablerade i EU för att fullgöra vissa administrativa skyldigheter för deras räkning, i enlighet med artikel 22. Det rättsliga ansvaret för att uppfylla kraven i kapitel 2 kvarstår dock hos leverantören. Delegering överför inte ansvaret för systemets egna överensstämmelse.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.