Digital Omnibus 2026 för AI förlängde två kritiska AI-förordningstidsfrister: Bilaga III fristående högrisksystem till 2 december 2027, och Bilaga I inbäddade system till 2 augusti 2028. Här är vad som ändrades, varför, och vad ditt efterlevnadsprogram måste göra nu.
Vad Digital Omnibus 2026 för AI ändrar
Digital Omnibus för AI ändrade två centrala tillämpningsdatum i EU-förordning 2024/1689 (EU:s AI-förordning):
| Skyldighet | Ursprunglig tidsfrist | Ny tidsfrist | Ändring |
|---|---|---|---|
| Högrisk-AI — Bilaga III (fristående system) | 2 augusti 2026 | 2 december 2027 | +16 månader |
| Högrisk-AI — Bilaga I (inbäddad i reglerade produkter) | 2 augusti 2026 | 2 augusti 2028 | +24 månader |
Inga andra stora tidsfrister ändrades. Förbjudna metoder (2 februari 2025), GPAI-regler (2 augusti 2025) och transparensskyldigheter för märkning av GPAI-innehåll (2 augusti 2025) gäller fortfarande på sina ursprungliga datum.
Varför omnibus sköt upp högrisk-AI-fristerna
Europeiska kommissionen angav tre drivkrafter:
- Anpassning till genomförandeakter — tekniska standarder och harmoniserade normer för högrisk-AI-bedömning (CEN/CENELECs arbetsprogram) var inte färdigställda i tid till augusti 2026. Bedömningar av överensstämmelse kräver dessa standarder.
- Tillsynsinfrastrukturgap — anmälda organ, nationella behöriga myndigheter och EU:s AI-byrå behövde ytterligare inrättningstid. Utan operativ tillsynsinfrastruktur hade en augustifrist 2026 varit ogenomförbar i praktiken.
- SME:s beredskap — mindre tillhandahållare, framförallt inom medtech, HR-teknik och finansiella tjänster, rapporterade otillräcklig tid för att slutföra QMS-implementering och teknisk dokumentation parallellt med DORA- och NIS2-skyldigheter.
Förlängningen är en respitperiod, inte en minskning av tillämpningsområdet. Alla skyldigheter kvarstår; enbart deras tidslinje förskjuts.
Bilaga III — fristående högrisk-AI (tidsfrist: 2 december 2027)
Bilaga III fristående täcker AI-system som själva släpps ut på marknaden eller tas i bruk som högrisksystem, utan att vara en säkerhetskomponent i en annan produkt. Exempel:
- Rekryterings- och HR-screening-AI (CV-rankning, intervjuanalys)
- Kreditbedömning och kreditvärdighetsbedömnings-AI
- Biometrisk kategorisering (inte realtidsidentifiering, som är förbjuden)
- AI som används i förvaltning av kritisk infrastruktur
- AI inom utbildnings- och yrkesutbildningsbedömning
- AI som används av brottsbekämpning och migrationsmyndigheter
Tillhandahållares skyldigheter senast den 2 december 2027:
- Slutföra en bedömning av överensstämmelse enligt Art. 43
- Implementera ett kvalitetsledningssystem (Art. 17)
- Sammanställa teknisk dokumentation (Art. 11 + Bilaga IV)
- Registrera systemet i EU:s AI-databas (Art. 71)
- Applicera CE-märkning (Art. 48)
- Utse en EU-representant om etableringen är utanför EU
Driftsättares skyldigheter (också senast den 2 december 2027):
- Genomföra en konsekvensbedömning avseende grundläggande rättigheter (FRIA) för driftsättande offentliga organ
- Implementera åtgärder för mänsklig tillsyn (Art. 26)
- Dokumentera indata och utdata (Art. 26(6))
- Informera anställda där AI-assisterade beslut påverkar dem
Bilaga I — inbäddad högrisk-AI (tidsfrist: 2 augusti 2028)
Bilaga I inbäddad täcker AI som utgör en säkerhetskomponent i en produkt som redan regleras enligt befintlig EU-produktsäkerhetslagstiftning. AI-förordningens efterlevnad integreras i det befintliga förfarandet för bedömning av överensstämmelse för den produkten. Exempel:
- AI-komponenter i medicintekniska produkter (MDR/IVDR)
- AI i fordonssystem (typgodkännanderamar)
- AI i maskiner (maskinförordningen)
- AI i luftfartskomponenter
- AI i leksaker och konsumentprodukter (lågspänning/EMC)
Den tvååriga extra förlängningen (jämfört med 16 månader för Bilaga III) återspeglar den skiktade komplexiteten i bedömning av överensstämmelse över två regelramar simultant.
Det som ändrades är tidsfristen — inte skyldigheterna
En vanlig missläsning av omnibus: tidsfristenförlängningen innebär att skyldigheterna mildras. De gör det inte.
Kraven på bedömning av överensstämmelse, QMS, teknisk dokumentation, CE-märkning och registrering är identiska med vad som krävdes under augusti 2026. Omnibus minskar inte tillämpningsområdet, skapar inga undantag eller lägger till övergångsundantag. Det flyttar bara slutmålet.
Praktisk implikation: Organisationer som använder förlängningen som ursäkt för att pausa efterlevnadsprogram kommer att möta en hårdare press i slutet av 2027. Det mer produktiva användandet av den extra tiden är att slutföra QMS-implementeringen, stresstesta teknisk dokumentation mot utkast till harmoniserade standarder och engagera anmälda organ tidigt — deras kapacitet kommer att vara begränsad när december 2027-fristen närmar sig.
Förbjudna metoder som redan är i kraft
Dessa förbud enligt Art. 5 gällde från 2 februari 2025 och rördes inte av omnibus:
- Subliminal manipulation — AI-tekniker som utnyttjar undermedvetna sårbarheter för att ändra beteende mot användarnas intressen
- Utnyttjande av sårbarheter — riktar sig mot barn, äldre eller missgynnade grupper
- Social poängsättning — AI-baserad allmän poängsättning av fysiska personer av offentliga myndigheter
- Realtids biometrisk fjärridentifiering i allmänt tillgängliga utrymmen av brottsbekämpning (med snäva undantag)
- Känsloigenkänning på arbetsplatsen och i utbildningsinstitutioner
- Biometrisk kategorisering system som härleder känsliga egenskaper (ras, politiska åsikter, fackföreningsmedlemskap, sexuell läggning, religion) — om inte för legitima brottsbekämpningsändamål med rättsligt tillstånd
- NCII/CSAM — generering eller manipulation av icke-konsensual intimt bildmaterial eller sexuella övergrepp mot barn med hjälp av AI är förbjudet
Bristande efterlevnad av Art. 5-förbuden från den 2 februari 2025 medför böter på upp till 35 miljoner euro eller 7 % av global årlig omsättning, beroende på vilket som är högre.
GPAI-modellregler: redan tillämpliga
Kapitel 5 GPAI-skyldigheter gäller från 2 augusti 2025:
- Alla GPAI-tillhandahållare måste uppfylla transparensskyldigheter (Art. 53)
- Tillhandahållare av GPAI-modeller med systemrisk (över 10²⁵ FLOPs träningsberäkning) möter ytterligare skyldigheter inklusive motståndstestning och incidentrapportering
- Märkning av AI-genererat innehåll (vattenmärkning) för syntetiska medier gäller för generativa GPAI-system
Konvergens med DORA och NIS2
Organisationer inom finansiella tjänster möter den trippla bördan av AI-förordningens, DORA:s och NIS2:s skyldigheter med överlappande tidslinjer. Viktiga skärningspunkter:
- IKT-riskhantering enligt DORA (Art. 5–16) måste täcka AI-drivna IKT-system — DORA undantar inte AI-verktyg från sitt IKT-riskramverk
- Incidentrapportering enligt DORA (Art. 19–23) gäller för incidenter orsakade av eller involverar AI-system
- NIS2:s säkerhetsåtgärder (Art. 21) inkluderar AI-relaterade cyberrisker i tillämpningsområdet
- AI-förordningens Art. 9 riskhantering för högrisk-AI överlappar avsevärt med DORA:s IKT-riskhantering — dubbel kartläggning är möjlig och rekommenderas för att undvika duplicerande dokumentation
Se vår fullständiga konvergensanalys → eller vår systerwebbplats regulation-dora.eu för DORA-specifik täckning.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
För fristående Bilaga III-system (t.ex. rekryterings-AI, kreditbedömning, biometrisk kategorisering): 2 december 2027. För AI inbäddad i Bilaga I-reglerade produkter (t.ex. medicintekniska produkter, maskiner): 2 augusti 2028.
Digital Omnibus för AI är en EU-lagstiftningsändring, formellt antagen i mitten av 2026, som reviderade flera tidsfrister och skyldigheter i förordning (EU) 2024/1689 (AI-förordningen). Dess primära syfte var att ge tillhandahållare och driftsättare mer tid att bygga upp efterlevande AI-styrningsramar, särskilt för högrisk-kategorier.
Nej. Förbuden mot AI med oacceptabel risk — inklusive subliminal manipulation, social poängsättning, realtids biometrisk identifiering i offentliga utrymmen (med undantag) och generering av NCII/CSAM — har gällt sedan den 2 februari 2025 och ändrades inte av omnibus.
GPAI-skyldigheter (kapitel 5 i AI-förordningen) gäller också från den 2 augusti 2025. Omnibus riktade sig mot Bilaga III och Bilaga I högriskskyldigheter.
Tillhandahållare måste: slutföra en bedömning av överensstämmelse, implementera ett kvalitetsledningssystem (QMS), registrera i EU-databasen, applicera CE-märkning och förbereda teknisk dokumentation. Driftsättare måste: genomföra konsekvensbedömningar avseende grundläggande rättigheter, implementera mänsklig tillsyn och dokumentera all högrisk-AI-användning.
Förlängningen är rent tidsmässig: ingen skyldighet tas bort. Samma krav på bedömning av överensstämmelse, teknisk dokumentation, QMS, CE-märkning, registrering och transparens gäller — de måste helt enkelt uppfyllas vid de nya datumen.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.