Artikel 25 — Ansvar längs AI-värdekedjan (EU:s AI-förordning)

Artikel 25 i förordning (EU) 2024/1689 — Ansvar längs AI-värdekedjan. Officiell text, praktisk tolkning, centrala skyldigheter och efterlevnadskonsekvenser.

Sammanfattning av den officiella texten

Artikel 25 i förordning (EU) 2024/1689 (EU:s AI-förordning) fastställer de villkor under vilka andra parter än den ursprungliga leverantören tar på sig leverantörsnivåansvar för ett AI-system med hög risk. Artikeln ingår i avdelning III, kapitel 3, som reglerar leverantörers och användares skyldigheter under hela livscykeln för AI-system med hög risk.

Artikeln specificerar tre utlösande scenarier. För det första blir en distributör, importör, användare eller annan tredjepart en leverantör — med alla tillhörande skyldigheter enligt kapitel 2 i avdelning III — när de släpper ut ett AI-system med hög risk på marknaden eller tar det i drift under eget namn eller varumärke. För det andra antas leverantörsstatus när en tredjepart gör en väsentlig ändring av ett AI-system med hög risk. För det tredje kan en förändring av det avsedda ändamålet för ett AI-system med hög risk — även utan fysisk ändring — utlösa krav på omklassificering och ny bedömning.

När en sådan övergång av ansvar sker befrias den ursprungliga leverantören inte automatiskt från ansvar. Förordningen kräver att avtalsarrangemang mellan parter i leveranskedjan tydligt avgränsar vem som har vilka skyldigheter i varje steg. Detta säkerställer att det regulatoriska ansvaret följer den enhet som utövar effektiv kontroll över systemets driftsättning eller ändring. Artikeln förstärker den bredare principen att EU:s AI-förordning tilldelar skyldigheter baserat på den faktiska rollen och inflytandet hos varje aktör i värdekedjan, inte enbart på formella avtalsrubriker.

Vad detta innebär i praktiken

Artikel 25 har direkta efterlevnadskonsekvenser för varje organisation som integrerar, omvarumärker, väsentligt ändrar eller omdriftsätter ett tredjeparters AI-system med hög risk. Den förhindrar den vanliga kommersiella praxisen att anta att efterlevnadsansvaret ligger uteslutande hos den uppströms leverantören.

Systemintegratörer och återförsäljare som släpper ut ett AI-system med hög risk på EU-marknaden under eget varumärke — exempelvis ett programvaruföretag som bäddar in en tredjeparts AI-baserad kreditvärderingsmotor i sin egen produkt och marknadsför den under eget namn — blir leverantörer enligt förordningen. De måste uppfylla alla skyldigheter som anges i artikel 16, inklusive överensstämmelsesbedömningar, teknisk dokumentation, registrering i EU-databasen och anbringande av CE-märkning.

Företag som ändrar AI-system måste bedöma om deras ändringar utgör en väsentlig ändring. Omskolning av en modell på ett nytt dataset, justering av beslutströsklar på ett sätt som förändrar riskprofiler, eller utvidgning av systemets funktionalitet till ett nytt område är exempel som sannolikt utlöser ny bedömning. Även en rent programvarumässig ändring som påverkar utdata i ett reglerat sammanhang kan kvalificera.

Användare som omändamålssätter system utanför det ursprungligen avsedda användningsområdet — exempelvis genom att använda ett allmänt arbetsplatsanalysverktyg för att fatta anställningsbeslut — måste bedöma om det nya användningsfallet faller under en högrisk-kategori och, i så fall, om de i praktiken har blivit systemets leverantör.

I praktiken bör organisationer granska alla AI-system i sin stack, kartlägga det av den ursprungliga leverantören dokumenterade avsedda ändamålet och upprätta interna styrningsprocesser för att flagga när föreslagna ändringar eller nya användningsfall närmar sig artikel 25:s tröskelvärden.

Centrala skyldigheter

Anta leverantörsskyldigheter vid omvarumärkning: Varje distributör, importör eller tredjepart som marknadsför eller driftsätter ett AI-system med hög risk under eget namn eller varumärke måste uppfylla alla leverantörsskyldigheter enligt artikel 16, inklusive teknisk dokumentation, överensstämmelsesbedömning och registrering i EU-databasen.
Ny bedömning efter väsentlig ändring: Varje part som gör en väsentlig ändring av ett AI-system med hög risk måste behandla det ändrade systemet som ett nytt AI-system med hög risk, upprepa det relevanta förfarandet för överensstämmelsesbedömning och uppdatera all dokumentation i enlighet därmed.
Ny registrering av systemet: När leverantörsstatus antas eller en väsentlig ändring görs måste den nya leverantören registrera systemet (eller dess ändrade version) i EU-databasen för AI-system med hög risk som inrättats enligt artikel 71.
Granskning av avsett ändamål före driftsättning: Användare måste kontrollera att deras användning av ett AI-system med hög risk förblir inom det avsedda ändamål som den ursprungliga leverantören dokumenterat; varje väsentlig avvikelse måste bedömas med avseende på efterlevnadskonsekvenser enligt artikel 25.
Upprätthålla tydlig avtalsbaserad ansvarsfördelning: Alla parter i AI-värdekedjan — ursprungliga leverantörer, importörer, distributörer och användare — måste säkerställa att deras avtal tydligt fördelar efterlevnadsansvaret, särskilt där ändringar eller omvarumärkning förutses.
Bevara den ursprungliga leverantörens information: När en tredjepart antar leverantörsstatus måste de ha tillgång till — och upprätthålla — all teknisk dokumentation och all överensstämmelseinformation som ursprungligen producerats av uppströms leverantören, eftersom detta utgör grunden för deras egna efterlevnadsskyldigheter.

Förhållande till andra artiklar

Artikel 25 fungerar som en bro mellan leverantörsskyldigheterna definierade i artikel 16 (skyldigheter för leverantörer av AI-system med hög risk) och användarskyldigheter i artikel 26. Den säkerställer att de skyldigheter som förtecknas i artikel 16 — teknisk dokumentation, överensstämmelsesbedömning, kvalitetsstyrning, övervakning efter utsläppande på marknaden — inte kan kringgås genom avtalsarrangemang eller bolagsstrukturering.

Den måste läsas tillsammans med artikel 6 (klassificeringsregler för AI-system med hög risk) och bilaga III, som definierar när ett system är högrisk och därmed underkastat det fullständiga regelverket för leverantörsskyldigheter. Artikel 47 (EU-försäkran om överensstämmelse) och artikel 48 (CE-märkning) är direkt berörda när en ny leverantör måste omcertifiera ett ändrat system.

Artikel 71 (EU-databasen för AI-system med hög risk) är relevant eftersom ny registrering krävs när leverantörsstatus förändras. Skäl 79 ger tolkningsvägledning om vad som utgör en väsentlig ändring. För leveranskedjor som inbegriper GPAI-modeller reglerar artiklarna 51–56 skyldigheterna för uppströms modelleverantören, men artikel 25 avgör när en systemintegratör som bygger på den modellen i egen rätt blir leverantör av AI-system med hög risk.

Efterlevnadstidslinje

EU:s AI-förordning trädde i kraft den 1 augusti 2024 (tjugo dagar efter offentliggörandet i EU:s officiella tidning den 12 juli 2024). Tillämpningen är stegvis:

2 februari 2025 — Förbud mot AI-metoder med oacceptabel risk (avdelning II) började tillämpas. Artikel 25 gällde ännu inte.
2 augusti 2025 — Skyldigheter för AI-modeller för allmänna ändamål (avdelning VIII, artiklarna 51–56) och styrningsbestämmelser (avdelning III, kapitel 4; avdelning V) började tillämpas. Artikel 25 gällde ännu inte för AI-system med hög risk som förtecknas i bilaga III.
2 augusti 2026 — Artikel 25 och det fullständiga regelverket för leverantörers och användares skyldigheter i kapitel 3 tillämpas på AI-system med hög risk som förtecknas i bilaga III (inklusive biometriska system, kritisk infrastruktur, sysselsättning, utbildning, tillgång till grundläggande tjänster och brottsbekämpningsändamål). Organisationer som verkar inom dessa sektorer måste ha styrningsprocesser, avtalsramar och ändringsutvärderingsförfaranden på plats före detta datum.
2 augusti 2027 — Skyldigheterna i artikel 25 utvidgas till AI-system med hög risk som omfattas av bilaga I (produktsäkerhetslagstiftning, t.ex. medicintekniska produkter och maskiner), där dessa system redan fanns på marknaden före augusti 2026 och är föremål för en övergångsperiod.

Organisationer bör påbörja kartläggningen av efterlevnad av artikel 25 — i synnerhet leveranskedjegranskningar och protokoll för ändringshantering — i god tid före deadline i augusti 2026.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Vem omfattas av artikel 25 i EU:s AI-förordning?

Artikel 25 gäller distributörer, importörer, användare och andra tredjeparter som släpper ut ett AI-system med hög risk på marknaden eller tar det i drift under eget namn eller varumärke, eller som ändrar ett AI-system med hög risk på ett sätt som förändrar dess avsedda ändamål eller efterlevnadsstatus. I sådana fall tar dessa parter på sig leverantörsnivåskyldigheter enligt förordningen.

När blir en användare en leverantör enligt artikel 25?

En användare anses vara leverantör — och måste uppfylla alla leverantörsskyldigheter — när de släpper ut ett AI-system med hög risk på marknaden eller tar det i drift under eget namn eller varumärke, gör en väsentlig ändring av ett AI-system med hög risk som förändrar dess avsedda ändamål, eller ändrar ett AI-system med hög risk på ett sätt som kan påverka dess efterlevnad av kraven i avdelning III, kapitel 2.

Vad är en 'väsentlig ändring' enligt artikel 25?

En väsentlig ändring är en förändring av ett AI-system med hög risk, fysisk eller logisk, som påverkar systemets efterlevnad av kraven i avdelning III, kapitel 2, eller som resulterar i en förändring av det avsedda ändamål för vilket systemet har bedömts. En väsentlig ändring utlöser skyldigheter om ny bedömning och ny registrering.

Påverkar artikel 25 den ursprungliga leverantörens skyldigheter?

När en tredjepartsaktör antar leverantörsstatus enligt artikel 25 befrias den ursprungliga leverantören inte automatiskt från allt ansvar. Avtalsarrangemang och ändringens art fastställer de pågående skyldigheterna. Parterna uppmanas att tydligt dokumentera ansvarsfördelningen i tekniska och rättsliga avtal längs hela leveranskedjan.

Hur förhåller sig artikel 25 till skyldigheter för GPAI-modeller?

Artikel 25 fokuserar på ansvar inom värdekedjan för AI-system med hög risk. För AI-modeller för allmänna ändamål (GPAI) gäller separata skyldigheter enligt avdelning VIII (artiklarna 51–56). Integratörer som bygger AI-system med hög risk ovanpå GPAI-modeller måste dock bedöma om deras integration utlöser leverantörsskyldigheter enligt artikel 25.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.