Artikel 26 i förordning (EU) 2024/1689 — Driftsättares skyldigheter avseende högrisksystem för artificiell intelligens. Officiell text, praktisk tolkning, centrala skyldigheter och efterlevnadskonsekvenser.
Sammanfattning av den officiella texten
Artikel 26 i förordning (EU) 2024/1689 fastställer de skyldigheter som åligger driftsättare — de som tar högrisksystem för AI i bruk — och återfinns i avdelning III, kapitel 3 i förordningen. Artikeln fastslår att driftsättare måste vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att de använder sådana system i enlighet med de bruksanvisningar som leverantören tillhandahåller (artikel 26(1)). Driftsättare är skyldiga att tilldela uppgiften om mänsklig tillsyn till personer som har nödvändig kompetens, utbildning och befogenhet att utföra den effektivt (artikel 26(2)).
När driftsättare bestämmer användningsändamålet eller utövar ett väsentligt inflytande över AI-systemets drift, bär de ett utökat ansvar som är jämförbart med en leverantörs roll. Driftsättare måste övervaka driften av högrisksystemet för AI på grundval av bruksanvisningarna och, i tillämpliga fall, informera leverantören om identifierade risker (artikel 26(5)). De får inte använda systemet på sätt som strider mot dessa anvisningar eller utsätta personal för tryck som kan äventyra korrekt tillsyn.
Artikel 26(7) kräver att driftsättare bevarar de loggar som automatiskt genereras av högrisksystemet för AI i den utsträckning sådana loggar är under deras kontroll, och behåller dem under en period som är lämplig för det avsedda ändamålet och tillämpliga sektorsregler, och inte kortare än sex månader. Artikel 26(9) ålägger driftsättare som är offentligrättsliga organ och vissa privata aktörer att genomföra och dokumentera en konsekvensbedömning avseende grundläggande rättigheter innan driftsättning, och att registrera den i EU-databasen som inrättats enligt Art. 71.
Vad detta innebär i praktiken
Artikel 26 påverkar direkt varje organisation som integrerar ett högrisksystem för AI i sin verksamhet utan att vara systemets utvecklare eller ursprungliga leverantör. Typiska driftsättare inkluderar sjukhus som använder AI-stödda diagnostikverktyg, arbetsgivare som använder AI för rekryteringsscreening, banker som använder AI-baserade kreditvärderingsmotorer och offentliga myndigheter som använder AI för beslut om förmånsberättigande.
Konkret måste en driftsättare börja med att noggrant läsa och implementera leverantörens bruksanvisningar — dessa utgör en efterlevnadsbaseline. Innan systemet tas i drift måste driftsättaren identifiera vilken personalmedlem eller vilket team som har tillsynsansvaret och säkerställa att de har utbildning och befogenhet att ingripa, pausa eller åsidosätta systemets utdata. Tryck att ignorera eller kringgå tillsynsmekanismer är uttryckligen förbjudet.
Under driften måste driftsättaren bevara systemgenererade loggar. För en bank som driftsätter en tredjeparts kreditriskmodell innebär detta att de automatiserade beslutslograerna bevaras i minst sex månader och att de är tillgängliga för revision eller regulatorisk inspektion. Om systemet börjar producera oväntade utdata eller är inblandat i en incident som orsakar eller potentiellt orsakar skada, måste driftsättaren omedelbart eskalera till leverantören och, om nödvändigt, till den nationella tillsynsmyndigheten.
Driftsättare inom den offentliga sektorn och privata företag som tillhandahåller offentliga tjänster ställs inför ett ytterligare steg: en formell konsekvensbedömning avseende grundläggande rättigheter måste genomföras och registreras i EU-databasen innan systemet aktiveras. Denna bedömning måste identifiera förutsebara konsekvenser för rättigheter som icke-diskriminering, integritet och rättssäkerhet, och dokumentera begränsande åtgärder.
Driftsättare som går utöver sina anvisningar — genom att omfunktionera ett system för ett annat användningsfall eller väsentligt ändra dess konfiguration — riskerar att omklassificeras som leverantörer enligt Art. 25, vilket medför den fulla bördan av leverantörsskyldigheter inklusive överensstämmelsebedömning.
Centrala skyldigheter
- Följ bruksanvisningarna: Driftsätt och använd högrisksystemet för AI strikt i enlighet med leverantörens anvisningar; all användning utanför det avsedda ändamålet utlöser potentiell omklassificering som leverantör.
- Säkerställ kompetent mänsklig tillsyn: Utse personer med nödvändig kompetens, utbildning och befogenhet att utöva effektiv mänsklig tillsyn; instruera inte och uppmuntra inte personal att kringgå tillsynsfunktioner.
- Övervaka och rapportera risker och incidenter: Övervaka kontinuerligt systemets prestanda; underrätta omgående leverantören och, i tillämpliga fall, den relevanta marknadstillsynsmyndigheten om allvarliga risker eller incidenter som identifieras under användningen.
- Bevara automatiskt genererade loggar: Bevara loggar som produceras av AI-systemet i minst sex månader eller längre om tillämplig lag eller sektorsregler kräver det, i den utsträckning dessa loggar är under driftsättarens kontroll.
- Genomför och registrera en konsekvensbedömning avseende grundläggande rättigheter: Driftsättare som är offentligrättsliga organ och privata aktörer som tillhandahåller offentliga tjänster måste slutföra en dokumenterad konsekvensbedömning avseende grundläggande rättigheter och registrera den i EU-databasen innan driftsättning.
- Informera och skydda berörda arbetstagare: När systemet används i anställningssammanhang måste driftsättare informera arbetstagarrepresentanter och berörda individer i enlighet med tillämplig unionsrätt och nationell rätt innan driftsättning.
Förhållande till andra artiklar
Artikel 26 måste läsas tillsammans med flera sammanlänkade bestämmelser. Art. 25 definierar när en driftsättare omklassificeras som leverantör — en tröskel som driftsättare aktivt måste bevaka när de ändrar eller omfunktionerar ett system. Art. 13 (Transparens och tillhandahållande av information till driftsättare) reglerar vad leverantören måste kommunicera via bruksanvisningarna, vilket direkt formar hur efterlevnad av artikel 26(1) ser ut. Art. 14 (Mänsklig tillsyn) beskriver de tekniska krav som leverantörer måste bygga in i systemen för att möjliggöra för driftsättare att fullgöra sina tillsynsskyldigheter enligt artikel 26(2).
Art. 71 (EU-databasen) är grunden för registreringskravet som åläggs offentliga driftsättare genom artikel 26(9). Art. 73 (Rapportering av allvarliga incidenter) kompletterar artikel 26(5) genom att detaljera det processuella ramverket för incidentanmälningar. I anställningssammanhang skär artikel 26(6) ihop med direktiv 2002/14/EG om information till och samråd med arbetstagare. För driftsättare inom reglerade sektorer — finans, hälsa, transport — kan sektorsspecifik unionsrätt medföra ytterligare eller överlappande skyldigheter som samverkar med artikel 26-baslinjen.
Tidsplan för efterlevnad
EU:s AI-förordning trädde i kraft den 1 augusti 2024, med skyldigheter som gäller enligt ett fasindelat schema. Bestämmelserna om förbjudna AI-metoder blev tillämpliga den 2 februari 2025. Skyldigheterna avseende AI-modeller för allmänna ändamål blev tillämpliga den 2 augusti 2025.
Artikel 26, som en skyldighet tillämplig på högrisksystem för AI som anges i Bilaga III, blir tillämplig den 2 augusti 2026 för de flesta högrisksystem, med en förlängd tidsfrist till 2 augusti 2027 för högrisksystem för AI inom områdena sysselsättning, utbildning och tillgång till grundläggande tjänster där befintlig harmoniseringslagstiftning i unionen tillämpas (de system som anges i Bilaga I). Driftsättare bör därför behandla den 2 augusti 2026 som den primära efterlevnadsfristen för operativ beredskap, utnämning av mänsklig tillsyn, infrastruktur för loggbevarande och förfaranden för konsekvensbedömning avseende grundläggande rättigheter, och bör omedelbart inleda förberedande arbete för att säkerställa tillräcklig ledtid för styrning, upphandlingsgranskning och personalutbildning.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
En driftsättare är varje fysisk eller juridisk person, offentlig myndighet, byrå eller annat organ som använder ett högrisksystem för AI under eget ansvar, utom när systemet används inom ramen för en rent personlig icke-yrkesmässig verksamhet. Detta inkluderar företag, offentliga institutioner och aktörer som integrerar tredjeparts-AI med hög risk i sina arbetsflöden.
Driftsättare måste vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att de använder högrisksystem för AI i enlighet med de bruksanvisningar som leverantören tillhandahåller. De måste också tilldela mänsklig tillsyn till kvalificerade personer, övervaka prestanda och avbryta användningen om de identifierar risker.
Ja. Artikel 26(9) kräver att driftsättare som är organ som regleras av offentlig rätt, eller privata aktörer som tillhandahåller offentliga tjänster, genomför en konsekvensbedömning avseende grundläggande rättigheter innan vissa högrisksystem för AI tas i bruk. Denna bedömning måste registreras i EU-databasen innan driftsättning.
Enligt artikel 26(5) måste driftsättare omedelbart informera leverantören och, i tillämpliga fall, den relevanta marknadstillsynsmyndigheten. Om driftsättaren inte kan nå leverantören måste den anmäla direkt till myndigheten. Skyldigheten gäller när driftsättaren har skäl att anta att systemet utgör en risk eller har orsakat en allvarlig incident.
Nej. Överensstämmelsebedömning är leverantörens ansvar enligt Art. 43. Driftsättare ansvarar för korrekt användning enligt leverantörens anvisningar, lämplig mänsklig tillsyn, datastyrning för indata de kontrollerar samt rapporteringsskyldigheter. Driftsättare som väsentligt ändrar ett system kan dock förvärva leverantörsskyldigheter.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.