Artikel 20 i förordning (EU) 2024/1689 — Korrigerande åtgärder och informationsskyldighet. Officiell text, praktisk tolkning, centrala skyldigheter och efterlevnadskonsekvenser.
Sammanfattning av Officiell Text
Artikel 20 i förordning (EU) 2024/1689 fastställer en obligatorisk skyldighet till korrigerande åtgärder och informationsskyldighet för leverantörer av högriskbaserade AI-system. Om en leverantör har skäl att tro att ett högriskbaserat AI-system som den har släppt ut på marknaden eller tagit i bruk inte längre uppfyller de krav som fastställs i Kapitel 2 i Avdelning III, måste den leverantören omedelbart vidta nödvändiga korrigerande åtgärder för att få systemet att åter uppfylla kraven, dra tillbaka det eller återkalla det, beroende på vad som är lämpligt.
Leverantören är samtidigt skyldig att informera systemets distributörer och, i förekommande fall, den auktoriserade representanten, driftsansvariga och eventuella andra berörda tredje parter om den bristande överensstämmelsen och de korrigerande åtgärder som vidtagits. Om AI-systemet innebär en risk i den mening som avses i Artikel 79(1), måste leverantören även omedelbart underrätta de behöriga nationella myndigheterna i de medlemsstater där den har gjort systemet tillgängligt och, i förekommande fall, det anmälda organ som har utfärdat ett certifikat för systemet, och därvid ange uppgifter om den bristande överensstämmelsen och de korrigerande åtgärder som vidtagits.
Artikeln kombinerar därför två åtskilda men sammanlänkade skyldigheter: en operativ skyldighet att agera och återställa överensstämmelse, och en informationsskyldighet för att säkerställa att alla aktörer i leverans- och driftskedjan — inklusive marknadskontrollmyndigheter — skyndsamt informeras om situationen och de åtgärder som vidtas för att åtgärda den. Denna dubbla struktur säkerställer att risker inte förblir isolerade inom leverantörens organisation utan snabbt kommuniceras ut i det regulatoriska och kommersiella ekosystemet.
Vad Detta Innebär i Praktiken
För organisationer som utvecklar eller släpper ut högriskbaserade AI-system på EU-marknaden skapar Artikel 20 en stående skyldighet som är permanent aktiv under hela systemets livscykel. Efterlevnad kan inte behandlas som en engångsövning begränsad till den initiala konformitetsbedömningen.
Vilka berörs: Alla leverantörer av ett högriskbaserat AI-system inom tillämpningsområdet för Bilaga III, eller system som omfattas av högriskklassificeringsreglerna i Artikel 6. Detta inkluderar tillverkare, importörer som släpper ut ett tredjepartssystem på EU-marknaden under sitt eget namn, och juridiska personer i tredjeland vars system används i EU via en auktoriserad representant.
Vad som utlöser åtgärder: Tröskeln är "skäl att tro" — en medvetet låg bevisbörda. En leverantör behöver inte ha visshet om bristande överensstämmelse; en trovärdig grund för oro, oavsett om den härrör från interna övervakningsdata efter utsläppande på marknaden, en driftsansvarigs rapport, ett användarklagomål eller en tillsynsmyndighets förfrågan, är tillräcklig för att aktivera skyldigheten.
Konkret exempel: En leverantör av ett högriskbaserat AI-system som används vid kreditbedömning upptäcker genom sin övervakningsprocess efter utsläppande på marknaden (som krävs enligt Artikel 72) att systemets noggrannhet har försämrats avsevärt för en skyddad demografisk grupp, vilket innebär ett potentiellt brott mot kraven på skevhet och robusthet enligt Artiklarna 9 och 15. Enligt Artikel 20 måste leverantören skyndsamt bedöma korrigerande alternativ (omträning, parameterjustering, tillfällig avstängning), implementera den valda åtgärden, underrätta alla driftsansvariga som för närvarande använder systemet och informera den relevanta nationella marknadskontrollmyndigheten om försämringen utgör en risk enligt Artikel 79(1).
Dokumentation: Alla korrigerande åtgärder och underrättelser bör dokumenteras i den tekniska dokumentation som upprätthålls enligt Artikel 18 och i de loggar som bevaras enligt Artikel 19, eftersom dessa kommer att vara det primära bevis som granskas av myndigheterna.
Centrala Skyldigheter
- Omedelbar korrigerande åtgärd: Vidta alla nödvändiga åtgärder för att återställa överensstämmelse, dra tillbaka systemet från marknaden eller återkalla det från driftsansvariga och användare, proportionerligt i förhållande till den konstaterade bristande överensstämmelsens art och allvarlighetsgrad.
- Underrättelse av leveranskedjan: Informera distributörer, auktoriserade representanter och driftsansvariga om den bristande överensstämmelsen och de korrigerande åtgärder som vidtagits, utan onödigt dröjsmål.
- Underrättelse av myndigheter: Om den bristande överensstämmelsen innebär en risk i den mening som avses i Artikel 79(1), underrätta de behöriga marknadskontrollmyndigheterna i alla berörda medlemsstater och eventuella anmälda organ som har utfärdat ett certifikat för systemet.
- Tillhandahållande av information: Förse nationella myndigheter och anmälda organ med fullständiga uppgifter om den bristande överensstämmelsen, dess potentiella konsekvenser samt de korrigerande åtgärder som genomförts eller planeras.
- Fortlöpande vaksamhet: Upprätthålla de system för övervakning efter utsläppande på marknaden som krävs enligt Artikel 72 för att säkerställa att omständigheter som ger upphov till bristande överensstämmelse upptäcks i tid och inte kvarstår utan att åtgärdas.
- Dokumentation av åtgärder: Registrera alla korrigerande beslut, utfärdade underrättelser och myndighetskommunikationer som en del av de löpande tekniska och kvalitetsledningsskyldigheterna enligt Artiklarna 17, 18 och 19.
Förhållande till Andra Artiklar
Artikel 20 befinner sig i det operativa centrumet av leverantörens livscykelskyldigheter och kopplar samman med flera andra bestämmelser.
Den föregår Artikel 73 (rapportering av allvarliga incidenter), som specifikt gäller när ett högriskbaserat AI-system orsakar eller bidrar till en allvarlig incident; de två regelverken kan aktiveras samtidigt och måste hanteras parallellt. Den följer av Artikel 72 (övervakning efter utsläppande på marknaden), som är den primära mekanism genom vilken leverantörer kommer att upptäcka de brister i överensstämmelse som aktiverar Artikel 20.
Skyldigheten till korrigerande åtgärder är även nära kopplad till Artikel 9 (riskhanteringssystem) och Artiklarna 15 och 17 (noggrannhet, robusthet och kvalitetsledning), eftersom dessa systems tillräcklighet kommer att avgöra om bristande överensstämmelse upptäcks och åtgärdas i tid. Artikel 26 skapar en kompletterande skyldighet för driftsansvariga att rapportera misstänkt bristande överensstämmelse tillbaka till leverantörer, vilket gör driftsansvariga till en viktig uppströmskälla för information som matar in i Artikel 20-utlösaren. Slutligen behandlar Artikel 21 leverantörernas samarbetsskyldigheter när myndigheterna formellt har ingripit, och bör läsas som det regulatoriska verkställighetsmotstycket till den frivilliga skyldigheten till korrigerande åtgärder enligt Artikel 20.
Efterlevnadstidslinje
EU:s AI-förordning trädde i kraft den 1 augusti 2024 (tjugo dagar efter offentliggörandet i Europeiska unionens officiella tidning den 12 juli 2024). Artikel 20 faller inom Avdelning III, Kapitel 3 och gäller högriskbaserade AI-system. Det fasade tillämpningsschemat är följande:
- Februari 2025: Bestämmelserna om förbjudna AI-metoder (Avdelning II) blev tillämpliga.
- Augusti 2025: Reglerna för AI-modeller för allmänt bruk (Avdelning VIII, Kapitel 2) blev tillämpliga.
- Augusti 2026: Skyldigheterna för högriskbaserade AI-system som förtecknas i Bilaga III och som används av offentliga myndigheter blev tillämpliga.
- December 2026 (primär deadline för högrisk): Hela uppsättningen av skyldigheter i Avdelning III — inklusive Artikel 20 — blev tillämpliga för leverantörer av högriskbaserade AI-system som omfattas av Bilaga III. Leverantörer vars system redan fanns på marknaden före detta datum gynnades av en övergångsperiod men måste nu uppfylla kraven fullt ut.
- Augusti 2027: Förlängd tidsfrist för vissa högriskbaserade AI-system som är komponenter i storskaliga EU-IT-system eller som är föremål för harmoniserade standarder som ännu inte offentliggjorts vid tidpunkten för ikraftträdandet.
För de flesta leverantörer av högriskbaserade AI-system i Bilaga III är Artikel 20 fullt tillämplig från december 2026, och processer för korrigerande åtgärder och information bör redan vara operativa.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Artikel 20 aktiveras när en leverantör har skäl att tro att ett högriskbaserat AI-system som den har släppt ut på marknaden eller tagit i bruk inte längre uppfyller kraven i Kapitel 2 i Avdelning III. Detta innefattar situationer där bristande överensstämmelse identifieras av leverantören själv, rapporteras av en driftsansvarig eller uppmärksammas genom verksamhet för övervakning efter utsläppande på marknaden.
Leverantörer måste underrätta de behöriga nationella marknadskontrollmyndigheterna i de medlemsstater där de har gjort systemet tillgängligt, samt eventuella anmälda organ som deltagit i konformitetsbedömningen, distributörer och driftsansvariga för det berörda högriskbaserade AI-systemet. Underrättelsen måste omfatta både den konstaterade bristande överensstämmelsen och eventuella vidtagna korrigerande åtgärder.
Artikel 20 ålägger den primära skyldigheten på leverantörer. Driftsansvariga har dock en kompletterande skyldighet enligt Artikel 26 att informera leverantörer när de har skäl att tro att användning av ett högriskbaserat AI-system innebär en risk eller att systemet inte längre uppfyller kraven. Artikel 20 och Artikel 26 fungerar därför i tandem längs hela leveranskedjan.
Korrigerande åtgärder inkluderar att få AI-systemet att åter uppfylla kraven, att dra tillbaka det från marknaden, att återkalla det från driftsansvariga och användare samt att inaktivera åtkomsten till systemet där det är tekniskt genomförbart. Lämplig åtgärd beror på den bristande överensstämmelsens art och allvarlighetsgrad samt den risk som föreligger för hälsa, säkerhet eller grundläggande rättigheter.
Artikel 20 behandlar strukturell bristande överensstämmelse med kraven i Kapitel 2, medan Artikel 73 specifikt reglerar rapportering av allvarliga incidenter. I praktiken kan en allvarlig incident avslöja en systemisk bristande överensstämmelse som samtidigt utlöser skyldigheten till korrigerande åtgärder enligt Artikel 20. Leverantörer måste hantera båda skyldigheterna parallellt när omständigheterna kräver det.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.