Artikel 17 i förordning (EU) 2024/1689 — Kvalitetsledningssystem. Officiell text, praktisk tolkning, centrala skyldigheter och efterlevnadskonsekvenser.
Sammanfattning av den officiella texten
Artikel 17 i förordning (EU) 2024/1689 kräver att leverantörer av AI-system med hög risk inrättar ett kvalitetsledningssystem (KLS) innan sådana system släpps ut på marknaden eller tas i bruk. KLS måste dokumenteras på ett systematiskt och ordnat sätt och måste omfatta alla faser i AI-systemets livscykel.
Förordningen anger att KLS måste behandla åtminstone: leverantörens strategi för regelefterlevnad, inklusive förfaranden för bedömning av överensstämmelse; de tekniker, rutiner och systematiska åtgärder som används vid design, designkontroll och verifiering av AI-systemet; rutiner för datahantering som täcker inhämtning, insamling, analys, märkning, lagring, filtrering, utvinning, aggregering och lagring av data; riskhanteringssystemet enligt Artikel 9; inrättande och genomförande av systemet för övervakning efter utsläppande på marknaden i enlighet med Artikel 72; förfaranden för incidentrapportering i enlighet med Artikel 73; hantering av kommunikation med behöriga myndigheter, anmälda organ och andra relevanta aktörer; system och förfaranden för dokumenthantering; resurshantering inklusive åtgärder relaterade till leveranskedjan; och ett ramverk för ansvarsskyldighet som dokumenterar ansvarsfördelningen i hela organisationen.
När leverantörerna är fysiska personer eller mikroföretag enligt definitionen i kommissionens rekommendation 2003/361/EG, ges kommissionen befogenhet att anta genomförandeakter som tillåter förenklade KLS-arrangemang, vilket erkänner proportionalitetsprincipen som genomsyrar förordningen.
Vad detta innebär i praktiken
För varje organisation som utvecklar eller lanserar ett AI-system med hög risk på EU-marknaden innebär Artikel 17 att efterlevnad inte kan vara en engångsinsats som genomförs vid tidpunkten för lansering. Det måste vara inbyggt i ett levande organisatoriskt system som styr hela produktlivscykeln — från initiala designbeslut genom driftsättning, övervakning och slutlig avveckling.
I konkreta termer måste en leverantör kunna visa att dokumenterade förfaranden existerar och följs i varje fas. En leverantör av AI för hälso- och sjukvård kan exempelvis inte enbart träna en modell och lämna in den för bedömning av överensstämmelse. Organisationen måste visa att datainsamlingen följde dokumenterade styrningsregler, att designval granskades mot riskkriterier, att ansvarsfördelningen för tillsyn är tilldelad och registrerad, och att det finns en mekanism för att upptäcka och rapportera incidenter efter driftsättning.
KLS-kravet innebär att efterlevnad är lika mycket en organisatorisk och processmässig utmaning som en teknisk. Företag som redan arbetar under ISO 9001 eller sektorsspecifika ledningsramverk — såsom ISO 13485 inom medicintekniska produkter — kommer att finna avsevärda överlappningar, men behöver ändå explicit kartlägga sina befintliga system mot AI-förordningens krav snarare än att anta likvärdighet.
Mindre leverantörer drar nytta av proportionalitetsbestämmelsen: mikroföretag kan kvalificera sig för förenklade arrangemang under genomförandeakter utfärdade av kommissionen. Detta befriar dem dock inte från de underliggande materiella skyldigheterna; det kan endast påverka den form i vilken dessa skyldigheter dokumenteras och hanteras.
I praktiken bör leverantörer behandla KLS som den centrala ryggraden från vilken alla andra efterlevnadsartefakter — teknisk dokumentation, riskregister, planer för övervakning efter utsläppande på marknaden, incidentloggar — genereras och styrs.
Centrala skyldigheter
- Inrätta ett dokumenterat kvalitetsledningssystem innan ett AI-system med hög risk släpps ut på marknaden eller tas i bruk, vilket täcker alla livscykelfaser.
- Integrera de riskhanteringsrutiner som krävs enligt Artikel 9 i KLS, och säkerställa att riskidentifiering, -bedömning och -minskning är systematiska och spårbara.
- Dokumentera datahanteringspraxis som täcker inhämtning, märkning, bearbetning, lagring och bevarande, i enlighet med datastyrningskraven i Artikel 10.
- Upprätthålla den tekniska dokumentation som specificeras i Artikel 11 och Bilaga IV som ett KLS-resultat, och hålla den aktuell och tillgänglig för bedömning av överensstämmelse och marknadskontroll.
- Implementera förfaranden för övervakning efter utsläppande på marknaden och incidentrapportering inom KLS-ramen, i enlighet med Artiklarna 72 respektive 73.
- Definiera och dokumentera ansvarsstrukturer, roller och ansvar i hela organisationen, inklusive tillsyn av leveranskedjan när tredjepartskomponenter bidrar till AI-systemet.
Förhållande till andra artiklar
Artikel 17 fungerar som det organisatoriska ryggraden i efterlevnadsregimen för AI-system med hög risk som fastställs i Avdelning III, Kapitel 3. Den hämtar sitt materiella innehåll från flera sammanlänkade skyldigheter: riskhanteringssystemet i Artikel 9, kraven på data och datastyrning i Artikel 10 samt regimen för teknisk dokumentation i Artikel 11 matar direkt in i vad KLS måste täcka och producera.
KLS måste också stödja förfarandena för bedömning av överensstämmelse i Artiklarna 43 och 44, eftersom den dokumentation det genererar utgör det primära beviset som granskas av anmälda organ eller självbedömningsprocesser. Skyldigheter efter driftsättning enligt Artikel 72 (övervakning efter utsläppande på marknaden) och Artikel 73 (rapportering av allvarliga incidenter) måste inbäddas i KLS-förfaranden snarare än hanteras som separata ad hoc-aktiviteter.
Artikel 26 ålägger driftsansvariga skyldigheter som är skilda från men kompletterande till KLS-skyldigheterna för leverantörer. I de fall leverantörer och driftsansvariga överlappar — till exempel när en organisation både utvecklar och driftsätter ett AI-system med hög risk internt — måste KLS i Artikel 17 läsas tillsammans med den driftsansvariges skyldigheter i Artikel 26 för att säkerställa fullständig täckning.
Tidslinje för efterlevnad
EU:s AI-förordning trädde i kraft den 1 augusti 2024, efter publicering i Europeiska unionens officiella tidning. Tillämpningen av dess bestämmelser är uppdelad i faser:
- Februari 2025 — Förbud mot AI-metoder med oacceptabel risk (Artikel 5) blev tillämpliga.
- Augusti 2025 — Skyldigheter avseende AI-modeller för allmänna ändamål (Avdelning VIII) blev tillämpliga.
- 2 augusti 2026 — Artikel 17 blir tillämplig för leverantörer av AI-system med hög risk som anges i Bilaga III (system inom områden som biometri, kritisk infrastruktur, utbildning, anställning, viktiga tjänster, brottsbekämpning, migration och rättskipning).
- 2 augusti 2027 — Artikel 17 blir tillämplig för leverantörer av AI-system med hög risk som regleras av Bilaga I (AI-komponenter i produkter som redan omfattas av unionens harmoniseringslagstiftning, såsom medicintekniska produkter, maskiner och luftfartsutrustning).
Leverantörer vars system redan finns på marknaden före dessa datum drar nytta av övergångsarrangemang enligt Artikel 111, som kan senarelägga fullständiga KLS-efterlevnadsskyldigheter beroende på villkor relaterade till väsentliga modifieringar och pågående cykler för bedömning av överensstämmelse. Organisationer bör påbörja KLS-design och gap-bedömningar i god tid före den tillämpliga tidsgränsen för att möjliggöra intern validering, engagemang av anmälda organ där så krävs, och iterativ förfining innan skyldigheten träder i kraft.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Artikel 17 ålägger skyldigheten att inrätta ett kvalitetsledningssystem uteslutande på leverantörer av AI-system med hög risk, såsom de definieras i Artikel 6 och Bilaga III i förordning (EU) 2024/1689. Driftsansvariga omfattas inte av denna specifika skyldighet, men har separata åtaganden enligt Artikel 26.
KLS måste som ett minimum täcka: en strategi för regelefterlevnad, metoder för design och utveckling, rutiner för datahantering, riskhantering enligt Artikel 9, teknisk dokumentation enligt Artikel 11, loggning och journalföring, övervakning efter utsläppande på marknaden enligt Artikel 72, skyldigheter för incidentrapportering samt arrangemang för mänsklig tillsyn.
Artikel 17 föreskriver ingen specifik certifieringsstandard. Efterlevnad av erkända standarder som ISO 9001 eller branschspecifika motsvarigheter kan dock stödja demonstrationen av överensstämmelse, särskilt när harmoniserade standarder enligt Artikel 40 inkorporerar KLS-krav.
KLS och teknisk dokumentation är nära sammankopplade. KLS måste generera och underhålla den tekniska dokumentation som krävs enligt Artikel 11 och Bilaga IV, och dokumentationen i sig utgör det primära beviset på att KLS fungerar korrekt vid bedömning av överensstämmelse.
Artikel 17 tillämpas på leverantörer av AI-system med hög risk som anges i Bilaga III från och med den 2 augusti 2026, och på leverantörer av AI-system med hög risk som omfattas av Bilaga I (sektorsspecifik harmoniseringslagstiftning inom unionen) från och med den 2 augusti 2027, med förbehåll för övergångsbestämmelserna i Artikel 111.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.