Artikel 53 i förordning (EU) 2024/1689 — Skyldigheter för leverantörer av AI-modeller för allmänna ändamål med systemrisk. Officiell text, praktisk tolkning, centrala skyldigheter och efterlevnadskonsekvenser.
Sammanfattning av den officiella texten
Artikel 53 i förordning (EU) 2024/1689 fastställer skyldigheter som uteslutande gäller för leverantörer av AI-modeller för allmänna ändamål (GPAI) som klassificerats som att de utgör systemrisk i enlighet med Artikel 51. Det rör sig om modeller som tränats med beräkningsstyrka som överstiger 10^25 flyttalsoperationer (FLOP), eller modeller som utsetts av AI-byrån på grundval av en bedömning av kapacitet eller påverkan.
Utöver de grundläggande skyldigheter som gäller för alla leverantörer av GPAI-modeller enligt Artikel 52 måste leverantörer som omfattas av Artikel 53: utföra modellutvärderingar, inklusive adversariell testning som genomförs i enlighet med standardiserade protokoll eller godkända metoder; bedöma och minska systemrisker på unionsnivå; utan onödigt dröjsmål rapportera allvarliga tillbud och funktionsfel till AI-byrån; säkerställa en adekvat nivå av cybersäkerhetsskydd för modellen, dess infrastruktur och fysiska miljö; samt dokumentera resultaten av modellutvärderingar och göra dessa resultat tillgängliga för AI-byrån på begäran.
Artikel 53(2) föreskriver att leverantörer får förlita sig på uppförandekoder som antagits enligt Artikel 56 för att påvisa efterlevnad. Europeiska kommissionen har befogenhet att utfärda delegerade akter som specificerar innehållet i och förfarandena för utvärderingar, och att anpassa tröskelvärdena i takt med att den vetenskapliga förståelsen utvecklas. AI-byrån övervakar efterlevnaden och kan kräva ytterligare information eller korrigerande åtgärder.
Vad detta innebär i praktiken
Artikel 53 skapar en särskild efterlevnadsnivå för de mest kapabla och potentiellt mest inflytelserika GPAI-modellerna på EU-marknaden. Varje organisation — oavsett var den är etablerad — som tillhandahåller en sådan modell till aktörer eller slutanvändare i EU måste bedöma om den överstiger tröskelvärdet för systemrisk.
För leverantörer över beräkningströskelns 10^25 FLOP är skyldigheterna automatiska. För leverantörer under detta tröskelns gränsvärde kan AI-byrån ändå aktivera skyldigheter enligt Artikel 53 efter en fallspecifik bedömning baserad på indikatorer som antalet användare, bredden på kapaciteterna eller integrering i kritiska sektorer.
I praktiken kräver efterlevnad att robusta interna processer upprättas: ett modellutvärderingsprogram som kan genomföra red-teaming och adversariell undersökning före och efter driftsättning; ett systemriskregister och tillhörande riskreduceringsplan; ett ramverk för cybersäkerhet som täcker modellvikter, API:er och träningsinfrastruktur; samt ett tillbudshanteringsförfarande kopplat till rapporteringsskyldigheten gentemot AI-byrån.
Konkret måste en leverantör av en storskalig frontlinjespråkmodell som gjorts tillgänglig via API till EU-baserade aktörer utföra adversariell testning — såsom jailbreak-försök och kapacitetsfremkallning för farligt innehåll — dokumentera resultaten, bevara dem och kunna dela dem med AI-byrån. Om modellen producerar utdata som orsakar eller nästan orsakar allvarlig skada på en person eller kritisk infrastruktur måste det tillbudet rapporteras omgående. Deltagande i en av AI-byrån godkänd uppförandekod enligt Artikel 56 ger en strukturerad väg för att påvisa efterlevnad utan att avvakta harmoniserade standarder.
Centrala skyldigheter
- Modellutvärderingar och adversariell testning: Genomföra grundliga utvärderingar, inklusive red-teaming och adversariell testning, med hjälp av standardiserade protokoll eller sådana som godkänts av AI-byrån, före och efter betydande modelluppdateringar.
- Bedömning och minskning av systemrisk: Identifiera, analysera och minska potentiella systemrisker på unionsnivå som kan uppstå från utveckling, utsläppande på marknaden eller användning av modellen.
- Rapportering av allvarliga tillbud: Rapportera till AI-byrån utan onödigt dröjsmål varje allvarligt tillbud eller funktionsfel kopplat till GPAI-modellen med systemrisk, inklusive information om tillbudet och de korrigerande åtgärder som vidtagits.
- Cybersäkerhetsskydd: Implementera och upprätthålla lämpliga cybersäkerhetsåtgärder som skyddar modellen, dess fysiska infrastruktur och leveranskedja — inklusive modellvikter, API:er och träningspipelines — proportionerliga mot identifierade risker.
- Dokumentation och transparens mot AI-byrån: Föra register över utvärderingsresultat, testmetoder och riskreduceringsåtgärder; göra dessa tillgängliga för AI-byrån på begäran.
- Efterlevnadsväg genom uppförandekoder: Påvisa överensstämmelse med skyldigheterna i Artikel 53 genom att följa uppförandekoder som utarbetats enligt Artikel 56, i avvaktan på tillgängligheten av harmoniserade standarder.
Förhållande till andra artiklar
Artikel 53 kan inte läsas isolerat. Den bygger direkt på Artikel 51, som definierar kriterierna och förfarandena för att klassificera en GPAI-modell som att den utgör systemrisk — inklusive beräkningströskeln på 10^25 FLOP och AI-byråns diskretionära utnämningsbefogenhet. De grundläggande skyldigheterna i Artikel 52 förblir fullt tillämpliga parallellt med Artikel 53; den senare lägger till ett ytterligare lager snarare än att ersätta den förra.
Artikel 55 reglerar kvalificerade presumtioner om överensstämmelse, medan Artikel 56 inrättar mekanismen för uppförandekoder som Artikel 53(2) uttryckligen hänvisar till som en efterlevnadsväg. AI-byråns tillsynsroll avseende skyldigheterna i Artikel 53 är grundad i Artiklarna 88–90, som fastställer tillsynsbefogenheter och förfaranden. För leverantörer som också är aktörer av högrisk-AI-system kan kraven i Kapitel III (Artiklarna 9–16) om riskhantering och teknisk dokumentation överlappa med det arbete för att minska systemrisker som Artikel 53 kräver, och samordning mellan efterlevnadsteam är lämplig för att undvika dubbelarbete.
Tidslinje för efterlevnad
EU:s AI-förordning trädde i kraft den 1 augusti 2024 (tjugo dagar efter publicering i Europeiska unionens officiella tidning den 12 juli 2024). Artikel 53, som en del av Avdelning V som reglerar AI-modeller för allmänna ändamål, blev tillämplig den 2 augusti 2025 — tolv månader efter ikraftträdandet, i enlighet med Artikel 113(3).
Detta innebär att leverantörer av GPAI-modeller med systemrisk var skyldiga att ha sina utvärderingsprogram, tillbudsrapporteringsförfaranden och cybersäkerhetsramverk operativa vid det datumet. Den stegvisa tillämpningstidslinjen för referens: förbjudna AI-metoder enligt Artikel 5 tillämpades från och med 2 februari 2025 (sex månader); skyldigheter för GPAI-modeller inklusive Artikel 53 från och med 2 augusti 2025 (tolv månader); skyldigheter avseende högrisk-AI-system enligt Bilaga I från och med 2 augusti 2026 (tjugofyra månader); och återstående skyldigheter avseende högrisk-AI-system från och med 2 augusti 2027 (trettiosex månader). Leverantörer bör också övervaka delegerade akter från Europeiska kommissionen som kan förfina utvärderingskraven i Artikel 53 eller justera beräkningströskeln i takt med att den vetenskapliga förståelsen av frontlinjemodellerars kapaciteter utvecklas.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Artikel 53 gäller för leverantörer av AI-modeller för allmänna ändamål som har klassificerats som att de utgör en systemrisk — antingen för att de tränades med en kumulativ beräkningsstyrka som överstiger 10^25 FLOP, eller för att AI-byrån utsett dem som sådana efter en bedömning enligt Artikel 51.
Artikel 52 fastställer grundläggande skyldigheter för alla leverantörer av AI-modeller för allmänna ändamål, inklusive krav på dokumentation och transparens. Artikel 53 ålägger ytterligare, strängare skyldigheter uteslutande för leverantörer av GPAI-modeller med systemrisk, inklusive adversariell testning, incidentrapportering och cybersäkerhetsåtgärder.
Artikel 53 föreskriver inte begränsning av åtkomst, men kräver att leverantörer implementerar policyer och tekniska åtgärder som är proportionerliga mot systemrisken. Detta kan inkludera åtkomstkontroller när sådana är motiverade av resultaten från den adversariella testningen eller riskbedömningen avseende cybersäkerhet.
Ett allvarligt tillbud enligt Artikel 53 avser varje tillbud eller funktionsfel hos en GPAI-modell med systemrisk som leder till, eller med rimlig sannolikhet kan leda till, dödsfall, allvarlig skada på hälsan, allvarlig störning av kritisk infrastruktur, sakskada eller betydande negativa effekter på grundläggande rättigheter. Leverantörer måste rapportera sådana tillbud till AI-byrån utan onödigt dröjsmål.
Artikel 53 blev tillämplig den 2 augusti 2025, tolv månader efter att förordningen trädde i kraft den 1 augusti 2024. Detta återspeglar EU:s AI-förordnings specifika tidslinje för bestämmelserna i Avdelning V som reglerar AI-modeller för allmänna ändamål.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.