Artikel 19 i förordning (EU) 2024/1689 — Automatiskt genererade loggar. Officiell text, praktisk tolkning, centrala skyldigheter och efterlevnadskonsekvenser.
Sammanfattning av den Officiella Texten
Artikel 19 i förordning (EU) 2024/1689 fastställer en loggningsskyldighet som verkar på två nivåer: en designskyldighet för leverantörer och en driftsskyldighet för driftsansvariga.
På leverantörssidan kräver artikel 19(1) att AI-system med hög risk tekniskt ska kunna generera loggar automatiskt över sin drift under hela sin livstid. Leverantörer måste bygga in denna förmåga i systemet i den utsträckning det är tekniskt genomförbart, och säkerställa att händelser kan registreras utan manuell intervention. Detta kopplas direkt till det bredare transparens- och spårbarhetssystemet i avdelning III.
På den driftsansvariges sida kräver artikel 19(2) att driftsansvariga bevarar de loggar som automatiskt genereras av de AI-system med hög risk de driver. Den lägsta bevarandeperioden är sex månader, om inte unionsrätten eller tillämplig medlemsstatslagstiftning föreskriver en längre period. Sektorsspecifik reglering — exempelvis inom finans, hälso- och sjukvård eller kritisk infrastruktur — kommer ofta att ersätta detta standardminium.
De loggar som artikel 19 avser tjänar flera efterlevnadssyften: de stödjer övervakning efter marknadstillhandahållande enligt artikel 72, underlättar incidentrapportering enligt artikel 73 och tillhandahåller det bevisunderlag som nationella behöriga myndigheter behöver vid marknadstillsyn enligt kapitel VI. Artikeln föreskriver inte i sig det exakta tekniska formatet eller granulariteten hos loggar, utan överlåter dessa detaljer till harmoniserade standarder och de tekniska dokumentationskraven i artikel 11 och bilaga IV.
Vad Detta Innebär i Praktiken
För organisationer som driver AI-system med hög risk introducerar artikel 19 en konkret databevaringsskyldighet som måste byggas in i operativa processer från den första dagen av driftsättningen.
Driftsansvariga måste först kontrollera att det AI-system de använder tekniskt är kapabelt att generera loggar automatiskt. Om en leverantör levererar ett system som saknar denna förmåga där det är tekniskt genomförbart, bryter leverantören mot sina egna skyldigheter — men den driftsansvarige bär fortfarande ansvar för att utföra lämplig aktsamhet före driftsättning, enligt kraven i artikel 26.
I praktiken innebär detta att driftsansvariga bör begära tydlig dokumentation från leverantörer som bekräftar att loggningsfunktionen finns, beskriver vilka händelser som loggas och anger loggformatet. Denna dokumentation bör ingå som en del av de avtalsarrangemang som görs mellan leverantör och driftsansvarig.
När systemet är i drift måste driftsansvariga implementera en loggbevaringspolicy som täcker minst sex månader. För organisationer som verkar i reglerade sektorer utökas denna baslinje nästan alltid: ett sjukhus som driftsätter ett AI-assisterat diagnostikverktyg måste anpassa loggbevaringen till patientjournallagstiftningen; en bank som driftsätter ett AI-kreditbedömningssystem måste ta hänsyn till reglerna för journalföring inom finansiella tjänster, som ofta kräver flera år av bevarande.
Konkreta operativa steg inkluderar: att utse ansvar för logglagring och åtkomstkontroller, säkerställa att loggar är manipuleringssäkra och säkert lagrade, etablera processer för att snabbt hämta loggar som svar på en tillsynsbegäran eller incidentutredning, och dokumentera bevaringspolicyn inom organisationens bredare styrningsram för AI.
Loggar bör fånga tillräcklig information för att rekonstruera de indata som lämnades till systemet, de utdata som genererades, versionen av modellen i användning och tidpunkterna för operationer — vilket möjliggör en meningsfull efterhandsgranskning.
Centrala Skyldigheter
- Leverantörer måste utforma och bygga AI-system med hög risk så att de tekniskt kan generera loggar automatiskt över sin drift, i den utsträckning det är tekniskt genomförbart, under systemets hela operativa livslängd.
- Driftsansvariga måste bevara de automatiskt genererade loggar som produceras av de AI-system med hög risk de driver i minst sex månader från genereringsdatum, eller längre om tillämplig unions- eller medlemsstatslagstiftning kräver det.
- Driftsansvariga måste säkerställa att bevarade loggar är tillgängliga, säkra och kan tillhandahållas nationella behöriga myndigheter på begäran under marknadstillsyn eller incidentutredningar.
- Leverantörer måste dokumentera loggningsförmågan hos sitt system — inklusive vad som loggas, loggformatet och eventuella kända tekniska begränsningar — som en del av den tekniska dokumentation som krävs enligt artikel 11 och bilaga IV.
- Där sektorsspecifik reglering ställer strängare eller längre bevarandekrav måste driftsansvariga tillämpa dessa krav utöver och i stället för sexmånadersbaslinjen.
- Driftsansvariga måste säkerställa att loggningsinfrastrukturen underhålls under hela användningsperioden för AI-systemet med hög risk, och att loggintegritet skyddas mot manipulering eller oavsiktlig radering.
Förhållande till Andra Artiklar
Artikel 19 finns i kapitel 3 i avdelning III och måste läsas som en del av ett integrerat spårbarhetssystem snarare än en isolerad skyldighet.
Det kopplas direkt till artikel 12 (Journalföring), som kräver att AI-system med hög risk utformas för att möjliggöra journalföring av deras drift, och till artikel 11 och bilaga IV, som specificerar vilken teknisk dokumentation leverantörer måste upprätthålla, inklusive beskrivningar av loggningsförmågan.
Artikel 19 matar in i artikel 72 (Övervakning efter marknadstillhandahållande), som kräver att leverantörer aktivt övervakar systemets prestanda i fält — loggar är den primära datakällan för denna övervakning. Det underbygger också artikel 73 (Rapportering av allvarliga incidenter), där loggar ger bevisunderlaget för att förstå vad som inträffade under en incident.
Loggarna som bevaras enligt artikel 19 är bland de poster som nationella behöriga myndigheter kan begära när de utövar sina marknadstillsynsbefogenheter enligt artiklarna 74 och 75. Slutligen återspeglar ansvarsfördelningen mellan leverantörer och driftsansvariga som anges i artikel 19 det bredare ramverk som fastställts av artikel 25 (Ansvar längs värdekedjan) och artikel 26 (Driftsansvariga skyldigheter).
Tidsplan för Efterlevnad
EU:s AI-förordning trädde i kraft den 1 augusti 2024 och initierade ett stegvist tillämpningsschema.
Artikel 19 ingår i avdelning III, kapitel 3, som reglerar skyldigheterna för leverantörer och driftsansvariga för AI-system med hög risk. Det allmänna tillämpningsdatumet för skyldigheter avseende AI-system med hög risk — inklusive artikel 19 — är 2 augusti 2026 för system som förtecknas i bilaga III (högriskapplikationer inom områden som utbildning, anställning, grundläggande tjänster och brottsbekämpning). För AI-system med hög risk som omfattas av bilaga I (säkerhetskomponenter i produkter som regleras av befintlig unionsharmoniseringslagstiftning) gäller skyldigheterna från 2 augusti 2027, i linje med förnyelse eller första utfärdande av relevanta produktöverensstämmelsesbedömningar.
Tidigare tillämpningsmilstolpar inkluderar förbudet mot AI-metoder med oacceptabel risk (artikel 5), som gällde från 2 februari 2025, och skyldigheter avseende AI-modeller för allmänt bruk (avdelning VII), som gällde från 2 augusti 2025.
Organisationer som driver AI-system med hög risk bör behandla datumet 2 augusti 2026 som den hårda efterlevnadsdeadlinen för skyldigheter enligt artikel 19, men bör i god tid börja utforma loggbevaringspolicyer, granska leverantörsavtal och anpassa sig till sektorsspecifika bevaranderegler — komplexiteten i företagets datastyrning gör efterlevnad i sista minuten strukturellt svårt.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Automatiskt genererade loggar är poster som produceras av AI-system med hög risk och som registrerar händelser, indata, utdata och driftsdata under systemets livscykel. Artikel 19 kräver att leverantörer säkerställer att deras AI-system med hög risk automatiskt genererar sådana loggar i den utsträckning det är tekniskt genomförbart, vilket möjliggör spårbarhet och övervakning efter marknadstillhandahållande.
Den primära skyldigheten åligger driftsansvariga, som måste bevara automatiskt genererade loggar under en minimiperiod som definieras av tillämplig lagstiftning eller, om ingen sådan lagstiftning finns, i minst sex månader. Leverantörer måste utforma och bygga in loggningsfunktionen i systemet. Båda parter har separata men kompletterande ansvarsområden.
Nej. Artikel 19 gäller specifikt AI-system med hög risk enligt definitionen i artikel 6 och förteckningen i bilaga III till EU:s AI-förordning. AI-system för allmänt bruk och AI-system som inte faller inom klassificeringen hög risk omfattas inte av detta specifika loggningskrav, även om andra skyldigheter kan gälla.
Driftsansvariga måste bevara automatiskt genererade loggar i minst sex månader, om inte unionsrätt eller den medlemsstatslagstiftning som är tillämplig på den driftsansvariga eller användningsfallet föreskriver en annan, vanligtvis längre, bevarandeperiod. Driftsansvariga bör alltid kontrollera sektorsspecifika förordningar — såsom de som gäller hälso- och sjukvård, finans eller kritisk infrastruktur — eftersom dessa kan ställa strängare krav.
Underlåtenhet att bevara loggar enligt kraven i artikel 19 kan utgöra en överträdelse av EU:s AI-förordning och utsätta driftsansvariga för tillsynsåtgärder och administrativa böter. Loggar är också avgörande bevisning vid en incident, säkerhetsutredning eller tillsynsrevision, varför deras frånvaro kan öka ansvaret avsevärt.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.