Artikel 9 — Riskhanteringssystem (EU:s AI-förordning)

Artikel 9 i förordning (EU) 2024/1689 — Riskhanteringssystem. Officiell text, praktisk tolkning, centrala skyldigheter och konsekvenser för regelefterlevnad.

Sammanfattning av den officiella texten

Artikel 9 i förordning (EU) 2024/1689 ålägger leverantörer av AI-system med hög risk ett obligatoriskt, kontinuerligt riskhanteringssystem under hela systemets livscykel. Bestämmelsen kräver att riskhanteringssystemet består av en iterativ process som är integrerad i utvecklingen och driften av AI-systemet med hög risk och regelbundet uppdateras mot bakgrund av ny information som samlats in under övervakning efter utsläppande på marknaden.

Konkret kräver Artikel 9 att leverantörer: (a) identifierar och analyserar alla kända och rimligen förutsebara risker förknippade med AI-systemet med hög risk; (b) uppskattar och utvärderar risker som kan materialiseras när systemet används i enlighet med dess avsedda syfte och under förhållanden av rimligen förutsebar felanvändning; (c) utvärderar risker till följd av tillgängliga data och beteendet hos personer som interagerar med systemet; och (d) antar lämpliga riskhanteringsåtgärder baserat på denna analys.

Riskhanteringsåtgärder måste vara sådana att varje kvarstående risk förknippad med varje fara, liksom den totala kvarstående risken för AI-systemet med hög risk, bedöms som acceptabel. Artikel 9 anger också att testning måste genomföras för att identifiera lämpliga åtgärder och att sådan testning måste utföras mot definierade mätvärden och probabilistiska tröskelvärden. Särskild uppmärksamhet krävs när systemet sannolikt kommer att interagera med barn eller andra utsatta grupper. Information som härrör från driftsättares erfarenheter ska föras tillbaka in i leverantörens riskhanteringsprocess.

Vad detta innebär i praktiken

Artikel 9 är ett av de mest operativt krävande kraven i Avdelning III i EU:s AI-förordning. Det gäller för varje juridisk person som kvalificerar sig som leverantör av ett AI-system med hög risk — det vill säga den enhet som utvecklar systemet eller låter det utvecklas och släpper ut det på marknaden eller tar det i drift under eget namn eller varumärke.

I praktiska termer kräver efterlevnad att ett dokumenterat riskhanteringsramverk upprättas innan systemet släpps ut på marknaden. Detta är inte en formell övning: förordningen kräver en iterativ process som kvarstår under hela produktens livstid, vilket innebär att dokumentationen för riskhantering måste utvecklas allteftersom systemet uppdateras, omtränas eller driftsätts i nya sammanhang.

Ett kompatibelt riskhanteringssystem kommer typiskt att inkludera: ett strukturerat riskidentifieringsförfarande som täcker både avsedd användning och troliga scenarier för felanvändning; en riskuppskattningsmatris som utvärderar sannolikhet och allvarlighetsgrad av skada; en katalog över begränsningsåtgärder med dokumenterad motivering för deras urval; formell testning före marknadsutsläppandet mot definierade mätvärden; och en mekanism för att absorbera feedback efter utsläppandet på marknaden — inklusive incidentdata som tillhandahålls av driftsättare — tillbaka in i den löpande riskanalysen.

Till exempel måste en leverantör av ett AI-baserat kreditvärderingsverktyg klassat som hög risk enligt Bilaga III dokumentera hur modellen kan producera diskriminerande resultat, vilka tekniska och organisatoriska åtgärder som minskar den risken och hur prestandadata från verkliga situationer kommer att utlösa omvärdering. Ett AI-system som används i ett medicinskt sammanhang måste dessutom hantera den förhöjda omsorgsplikten när utsatta användare är inblandade. Riskhanteringsresultat matas direkt in i den tekniska dokumentation som krävs av Art. 11 och bedömningen av överensstämmelse enligt Art. 43-44.

Centrala skyldigheter

Upprätta och upprätthålla ett kontinuerligt riskhanteringssystem som täcker hela livscykeln för AI-systemet med hög risk, från design till avveckling, uppdaterat mot bakgrund av övervakningsdata efter marknadsutsläppandet.
Identifiera alla kända och rimligen förutsebara risker, inklusive risker till följd av rimligen förutsebar felanvändning, från interaktion med andra system och från det sociotekniska sammanhanget för driftsättning.
Uppskatta och utvärdera risker med avseende på deras sannolikhet för att inträffa och allvarlighetsgraden av potentiell skada, med hänsyn till det avsedda syftet och de kategorier av personer som sannolikt berörs, inklusive utsatta grupper och barn.
Anta riskhanteringsåtgärder som minskar identifierade risker till en acceptabel kvarstående nivå; när tekniska åtgärder är otillräckliga måste organisatoriska eller informativa åtgärder komplettera dem.
Genomföra testning före marknadsutsläppandet med hjälp av definierade mätvärden och probabilistiska tröskelvärden lämpliga för det avsedda syftet, för att validera att valda åtgärder är effektiva och att kvarstående risk är acceptabel.
Integrera feedback från övervakning efter marknadsutsläppandet från driftsättare och slutanvändare i den löpande riskhanteringsprocessen, för att säkerställa att systemet förblir lyhört för verkliga bevis på skada eller tillbud.

Förhållande till andra artiklar

Artikel 9 befinner sig i centrum av kraven i Kapitel 2 och är strukturellt kopplad till flera andra bestämmelser. Den är beroende av Art. 6 och Bilaga III för sitt tillämpningsområde: endast system som kvalificerar sig som hög risk är föremål för dess skyldigheter. Resultaten från Artikel 9-processen matas direkt in i Art. 11 (teknisk dokumentation), som kräver att leverantörer visar att ett kompatibelt riskhanteringssystem finns och har tillämpats.

Artikel 9 är också tätt kopplad till Art. 10 (data och datastyrning), eftersom kvaliteten på tränings-, validerings- och testdata väsentligt påverkar den riskprofil som måste hanteras. Art. 13 (transparens och tillhandahållande av information) kräver att viss riskrelaterad information kommuniceras till driftsättare, och Art. 14 (mänsklig tillsyn) specificerar åtgärder som ofta fungerar som förstalinjeverktyg för riskreducering enligt Artikel 9. Art. 26 ålägger driftsättare skyldigheter att övervaka verklig användning och rapportera relevant information tillbaka till leverantörer, vilket stänger den feedbackslinga som Artikel 9 kräver. Slutligen formaliserar Art. 72 (övervakning efter marknadsutsläppandet) de datainsamlingsmekanismer som upprätthåller den iterativa riskhanteringsprocessen över tid.

Tidslinje för efterlevnad

EU:s AI-förordning trädde i kraft den 1 augusti 2024. Artikel 9, som ett centralt krav i Kapitel 2 tillämpligt på AI-system med hög risk, följer den allmänna efterlevningstidslinjen för skyldigheter i Avdelning III:

1 augusti 2024 — Förordningen träder i kraft; den 24-månaders övergångsklockan börjar för de flesta skyldigheter avseende hög risk.
2 februari 2025 — Förbud mot AI-praxis med oacceptabel risk (Art. 5) blir tillämpliga. Artikel 9 gäller ännu inte.
2 augusti 2025 — Regler för AI-modeller för allmänna ändamål (Avdelning VIII) blir tillämpliga. Artikel 9 är fortfarande inte obligatorisk för de flesta system med hög risk.
2 december 2026 — Artikel 9 blir fullt tillämplig på AI-system med hög risk uppförda i Bilaga III (AI-system inom områden som utbildning, sysselsättning, samhällsviktiga tjänster, brottsbekämpning, migration och rättsskipning). Leverantörer måste ha ett kompatibelt riskhanteringssystem på plats senast detta datum.
2 augusti 2027 — Förlängt datum för AI-system med hög risk som är säkerhetskomponenter i produkter som redan omfattas av befintlig unionsharmoniseringslagstiftning förtecknad i Bilaga I (t.ex. maskiner, medicintekniska produkter, civil luftfart).

Leverantörer som utvecklar eller upphandlar AI-system med hög risk bör behandla den 2 december 2026 som sin hårda deadline för beredskap avseende efterlevnad av Artikel 9, och bygga in riskhanteringsramverk i sina utvecklingsprocesser i god tid för att möjliggöra testning, dokumentation och bedömning av överensstämmelse.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Vem måste implementera ett riskhanteringssystem enligt Artikel 9?

Leverantörer av AI-system med hög risk enligt definitionen i Art. 6 och Bilaga III i förordning (EU) 2024/1689 är skyldiga att upprätta och upprätthålla ett riskhanteringssystem innan de släpper ut sitt system på marknaden eller tar det i drift.

Vad måste riskhanteringssystemet enligt Artikel 9 täcka?

Systemet måste identifiera och analysera kända och rimligen förutsebara risker, uppskatta och utvärdera risker som kan uppstå under användning, vidta lämpliga riskhanteringsåtgärder och säkerställa att kvarstående risker bedöms som acceptabla enligt förordningen.

Räcker en engångsbedömning av risker för att uppfylla Artikel 9?

Nej. Artikel 9 kräver en kontinuerlig, iterativ process som pågår under hela livscykeln för AI-systemet med hög risk, inklusive övervakning efter utsläppande på marknaden. Systemet måste uppdateras allteftersom ny information om risker framkommer.

Vad är scenarier för 'rimligen förutsebar felanvändning' och varför är de viktiga?

Artikel 9 kräver uttryckligen att leverantörer beaktar risker till följd av rimligen förutsebar felanvändning — inte bara avsedd användning. Det innebär att leverantörer måste analysera troliga sätt på vilka systemet kan användas felaktigt eller i ond tro och minska dessa risker i enlighet därmed.

Hur förhåller sig Artikel 9 till testningsskyldigheterna i Artikel 9(7)?

Artikel 9(7) kräver att testningsförfaranden definieras och genomförs för att identifiera de lämpligaste riskhanteringsåtgärderna. Testning måste utföras mot tidigare definierade mätvärden och probabilistiska tröskelvärden lämpliga för det avsedda syftet och måste ske före marknadsutsläppandet.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.