Högrisk-AI-system måste underhålla en fullständig teknisk fil innan de släpps ut på EU-marknaden. Art. 11 och Bilaga IV definierar exakt vad som ska inkluderas — från systemarkitektur till datastyrning för träning och planer för övervakning efter utsläppande.
Vad är den tekniska filen?
Den tekniska dokumentationen — vanligtvis kallad "den tekniska filen" — är det huvudsakliga bevisningspaketet som visar att ett högrisk-AI-system uppfyller alla krav i EU:s AI-förordning. Föreskriven av Art. 11 och strukturerad av Bilaga IV, måste den upprättas innan systemet placeras på EU-marknaden och hållas uppdaterad under systemets hela livscykel.
Den tekniska filen lämnas inte in centralt. Tillhandahållaren innehar den och presenterar den på begäran till marknadskontrollmyndigheter och anmälda organ. Detta är en pull-modell: myndigheter kommer till dig; du måste vara redo att överlämna ett fullständigt, sammanhängande paket, inte en improviseraad hög filer sammansatt under press.
Art. 11 ålägger tillhandahållare tre skyldigheter:
- Upprätta den innan marknadsplacering eller idrifttagning.
- Hålla den uppdaterad — varje väsentlig ändring av systemet kräver uppdatering av filen och ny bedömning av konformitet.
- Göra den tillgänglig för behöriga myndigheter och anmälda organ på begäran, inom en definierad tidsram (vanligtvis 10 arbetsdagar enligt nationella marknadskontrollregler).
Standarden för "uppdaterad" är funktionell: den tekniska filen måste spegla systemet som faktiskt driftsätts, inte systemet som ursprungligen designats. Om en modelluppdatering ändrar prestandaegenskaper, noggrannhetströsklar eller träningsdata måste filen revideras.
Vem behöver teknisk dokumentation?
Teknisk dokumentation enligt Art. 11 och Bilaga IV är obligatorisk för tillhandahållare av:
- Högrisk-AI-system listade i Bilaga III — fristående system inom områden som biometrisk kategorisering, rekrytering, kreditbedömning, förvaltning av kritisk infrastruktur, utbildning, brottsbekämpning, migration och gränskontroll samt rättskipning (föremål för Art. 6(3) filter för betydande risk)
- AI-system som fungerar som säkerhetskomponenter i Bilaga I-reglerade produkter — AI inbäddad i medicintekniska produkter, maskiner, fordon, luftfartsutrustning och liknande produkter som regleras av befintlig EU-produktsäkerhetslagstiftning
Teknisk dokumentation krävs inte för:
- Minimal-risk-AI-system (chatbottar, skräppostfilter, rekommendationsmotorer utanför högrisk-kategorier)
- AI-system som enbart lyder under transparensskyldigheter enligt Art. 50 (t.ex. deepfake-avslöjanden, avslöjanden av känsloigenkänning där det inte är högrisk)
- Tillhandahållare av AI-modeller för allmänna ändamål (GPAI) — de har separata dokumentationsskyldigheter enligt Art. 53, inklusive teknisk dokumentation för modellen i sig, men inte i Bilaga IV-formatet designat för driftsatta högrisksystem
Om du är en driftsättare (inte tillhandahållare) behöver du inte upprätta den tekniska filen. Driftsättare måste dock underhålla loggar över systemanvändning (Art. 26(5)), och tillhandahållare har rätt att använda dessa loggar vid uppdatering av teknisk dokumentation eller hantering av incidentrapporter.
De 14 elementen i Bilaga IV
Bilaga IV specificerar minimiinnehållet i den tekniska filen. Det finns inget stelt format — tillhandahållare kan organisera dokumentationen som de finner lämplig — men alla 14 element måste finnas och vara substansiella. Kryssruteentries utan stödjande bevis uppfyller inte Bilaga IV.
| # | Bilaga IV-element | Vad det måste innehålla |
|---|---|---|
| 1 | Allmän beskrivning | Systemnamn, versionsidentifierare, avsett ändamål, avsedda användare, geografiska marknader, tillhandahållarens namn och adress, eventuell behörig representant |
| 2 | Systemkomponenter | Hårdvarukrav, programvarukomponenter, använda tredjepartsmodeller eller -bibliotek, översikt av träningsmetodik, algoritmisk metod (t.ex. övervakad inlärning, förstärkt inlärning, transformatorarkitektur) |
| 3 | Designspecifikationer | Systemarkitektur, dataflödesdiagram, viktiga designbeslut och deras motivering, avvägningar som gjorts (t.ex. noggrannhet kontra förklarbarhet), utdataformat och hur utdata matas in i nedströms beslut |
| 4 | Tränings-, validerings- och testdata | Datauppsättningar använda i varje steg, datakällor, datastyrningsförfaranden, statistiska egenskaper hos datauppsättningar (storlek, fördelning, täckning), databehandlings- och förbehandlingsprotokoll, åtgärder för att detektera och hantera biaser i datauppsättningar |
| 5 | Riskhanteringsdokumentation | Det fullständiga Art. 9 riskhanteringssystemet: identifierade risker för hälsa, säkerhet och grundläggande rättigheter; riskuppskattning och -utvärdering; antagna riskminskningsåtgärder; accepterade kvarstående risker; grund för acceptans av kvarstående risker |
| 6 | Livscykelförändringar | Beskrivning av alla väsentliga modifieringar gjorda efter initial driftsättning, deras art och omfattning, hur konformitet omprövades efter varje ändring, versionshistorik med datum |
| 7 | Åtgärder för mänsklig tillsyn | Hur Art. 14-krav implementeras: åsidosättnings- och stoppmekanismer, gränssnitt som gör det möjligt för mänskliga operatörer att övervaka utdata, utbildnings- eller kvalifikationskrav för operatörer, dokumenterade förfaranden för mänskligt ingripande |
| 8 | Validerings- och testförfaranden | Använda prestandamått (noggrannhet, precision, återkallelse, F1, AUC, rättvisemått), beskrivningar av testdata, testbetingelser och -miljö, metodik för biasbestning och resultat, robusthet- och stresstestning, prestanda utanför distributionen |
| 9 | Cybersäkerhetsåtgärder | Tekniska åtgärder mot modellstöld, dataforgiftning, motståndsattacker, promptinjicering (för LLM-baserade system), åtkomstkontroller, kryptering under transport och i vila, förfaranden för sårbarhetshantering |
| 10 | Bias- och noggrannhetsövervakning | Löpande övervakningsförfaranden efter driftsättning, noggrannhetströsklar under vilka systemet utlöser en granskning, prestandabenchmarks uppdelade efter demografiska grupper där relevant, förfaranden för att agera på detekterad drift eller bias |
| 11 | Bruksanvisningar | Art. 13-dokumentet riktat till driftsättare: avsett ändamål och användningsfall, prestandaegenskaper och begränsningar, kända begränsningar, underhålls- och uppdateringskrav, loggningsskyldigheter för driftsättare, kontaktpunkt för incidentrapportering |
| 12 | Plan för övervakning efter utsläppande | Designen av Art. 72 övervakningssystem: data insamlad från driftsättare, frekvens av övervakningscykler, tröskelvärden som utlöser granskning eller uppdatering, förfarande för rapportering av allvarliga incidenter (Art. 73), förfarande för att mata in övervakningsdata i riskhantering |
| 13 | Beskrivning av gränssnitt | API:er och integrationspunkter, format och begränsningar för indata, format för utdata och deras semantik, integration med andra system eller komponenter, versionskompatibilitet |
| 14 | Harmoniserade standarder och gemensamma specifikationer | Förteckning över tillämpade harmoniserade standarder (t.ex. ISO/IEC 42001:2023, EN-standarder under AI-förordningens standardiseringsprogram), antagna gemensamma specifikationer enligt Art. 41, i vilken utsträckning varje standard tillämpades, eventuella avvikelser och deras motivering |
Praktisk not om element 4 (träningsdata): Bilaga IV kräver inte att du avslöjar datauppsättningarna offentligt eller för myndigheter som standard. Det kräver att dokumentationen existerar och kan produceras. För proprietära datauppsättningar kommer vanligtvis en beskrivning av datastyrningsförfaranden, statistiska sammanfattningar och biasresultat att uppfylla kravet utan att avslöja kommersiellt känsliga data.
Praktisk not om element 14 (standarder): Från mitten av 2026 pågår fortfarande AI-förordningens standardiseringsprogram. ISO/IEC 42001 (AI-ledningssystem) är tillgänglig och bredt refererad. Tillhandahållare bör övervaka det europeiska standardiseringsarbetet under CEN/CENELEC JTC 21 och uppdatera denna sektion allteftersom harmoniserade standarder publiceras i Europeiska unionens officiella tidning.
EU-försäkran om överensstämmelse (Art. 47)
EU-försäkran om överensstämmelse (EU DoC) är ett separat obligatoriskt dokument — det är inte en del av den tekniska filen, men det refererar till den. EU DoC är tillhandahållarens formella uttalande om att AI-systemet uppfyller alla tillämpliga krav i EU:s AI-förordning.
En giltig EU DoC måste innehålla:
- Tillhandahållarens namn och adress (och behörig representant om tillämpligt)
- AI-systemets namn, version, serie- eller batchnummer om tillämpligt
- En förklaring om att systemet uppfyller EU:s AI-förordning
- Det använda förfarandet för bedömning av överensstämmelse: Bilaga VI (intern kontroll/självbedömning) för de flesta Bilaga III-system, eller Bilaga VII (tredjepartsbedömning av ett anmält organ) för AI för biometrisk kategorisering och AI som används i kritisk infrastruktur som kräver tredjepartsinvolvering
- En förteckning över de harmoniserade standarder eller gemensamma specifikationer som åberopas
- Underskriften av tillhandahållarens behöriga representant med datum och plats
EU DoC måste bevaras i 10 år efter marknadsplacering och produceras på begäran. Den medföljer CE-märkningen (se nedan).
För AI-system inbäddade i Bilaga I-produkter kan EU DoC slås samman med den försäkran om överensstämmelse som krävs enligt relevant sektorslagstiftning, förutsatt att den innehåller alla element som krävs av båda rättsinstrumenten.
CE-märkning (Art. 48)
Högrisk-AI-system som placeras på EU-marknaden måste bära CE-märkningen, vilket signalerar konformitet med EU:s AI-förordning och all annan tillämplig EU-harmonisationslagstiftning som täcker samma produkt.
Undantag: AI-system i Bilaga III-kategorier som driftsätts av offentliga myndigheter för eget internt bruk är undantagna från CE-märkningskrav. De förblir föremål för alla andra skyldigheter — teknisk dokumentation, riskhantering, mänsklig tillsyn, registrering — men behöver inte applicera CE-märkning.
CE-märkning måste appliceras innan systemet placeras på EU-marknaden. Det måste vara synligt, läsbart och outplånligt. Där systemets fysiska natur inte tillåter direkt applicering av märkningen kan det visas på förpackningen eller i bruksanvisningarna.
När ett högrisk-AI-system är en komponent i en Bilaga I-produkt som redan kräver CE-märkning enligt sektorsspecifik lagstiftning (t.ex. medicintekniska produkter, maskiner) täcker CE-märkningen konformitet med både sektorslagstiftningen och AI-förordningen. Tillhandahållare bör tydligt dokumentera vilka förfaranden för bedömning av överensstämmelse som underbygger CE-märkningen.
Praktisk checklista: Minsta möjliga teknisk fil
Innan något högrisk-AI-system placeras på EU-marknaden, verifiera att dessa 10 punkter är kompletta och bevisade:
- [ ] Systembeskrivning och versionskontroll — namn, version, avsett ändamål dokumenterat; en ändringslogg existerar
- [ ] Arkitekturdiagram — dataflödes- och komponentdiagram som visar all hårdvara, programvara och tredjepartselement
- [ ] Träningsdatainventering och -styrningsdokument — datauppsättningar katalogiserade med källa, storlek, uppdelningar och datakvalitetsförfaranden dokumenterade
- [ ] Riskbedömning (per Art. 9) — identifierade risker, minskningsåtgärder och accepterade kvarstående risker dokumenterade och undertecknade
- [ ] Biasresultat — testmetodik dokumenterad; resultat uppdelade efter relevanta demografiska grupper där tillämpligt
- [ ] Noggrannhetsmätvärden på ett representativt testset — prestandamätvärden dokumenterade med testbetingelser; tröskelvärden definierade
- [ ] Förfarandedokument för mänsklig tillsyn — åsidosättningsmekanismer beskrivna; operatörskrav (utbildning, kvalifikation) dokumenterade
- [ ] Cybersäkerhetsbedömning — kända attackvektorer bedömda; tekniska motåtgärder dokumenterade
- [ ] Bruksanvisningar (riktat till driftsättare) — Art. 13-dokument komplett, inklusive begränsningar, loggningsskyldigheter och kontakt för incidentrapportering
- [ ] Plan för övervakning efter utsläppande — datainsamlingsomfång, övervakningsfrekvens, granskningsutlösare och förfarande för incidentrapportering dokumenterade
Denna checklista täcker minimumet. En väl förberedd teknisk fil går längre — särskilt vad gäller metodik för biasbestning, modellkort för komponentmodeller och bevis på att riskhanteringsprocessen är iterativ snarare än en engångsövning.
Hur detta kopplar till EU AI-förordningens Akademi
EU AI-förordningens Akademis Pro-nivå inkluderar färdiga mallar för teknisk dokumentation som täcker alla 14 Bilaga IV-element, inklusive:
- En strukturerad XLSX-arbetsbok med en flik per Bilaga IV-element, förfylld med prompter och exempelposter
- Ett DOCX teknisk filskelett klart för redigering
- Ett riskbedömningskalkylblad efter Art. 9 iterativ process
- En mall för datastyrningsdokument som täcker tränings-, validerings- och testdata
- En mall för plan för övervakning efter utsläppande anpassad till Art. 72
Dessa mallar är utformade för att anpassas till ditt specifika system — de är utgångspunkter med substansiellt innehåll, inte tomma formulär.
Relaterade sidor:
- Bilaga III — Högrisk-AI-kategorier och skyldigheter
- Förfaranden för bedömning av överensstämmelse (Bilaga VI och VII)
- EU AI-förordningens Akademi — mallar och utbildning
- Verktyg — Väljare för bedömning av överensstämmelse
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Tillhandahållaren av högrisk-AI-systemet är ensamt ansvarig för att upprätta och underhålla teknisk dokumentation. Driftsättare behöver inte förbereda den, men måste hålla tillgångsloggar och kan behöva tillhandahålla dem till tillhandahållare för rapporteringsändamål.
Teknisk dokumentation måste bevaras i 10 år efter att AI-systemet har placerats på EU-marknaden eller tagits i bruk (Art. 18). För AI-system inbäddade i produkter som lyder under Bilaga I-lagstiftning gäller produktlagstiftningens bevarandeperiod om den är längre.
Nej — teknisk dokumentation lämnas inte in centralt. Den måste bevaras av tillhandahållaren och göras tillgänglig för marknadskontrollmyndigheter och anmälda organ på begäran. Registrering i EU:s AI-databas (Art. 71) är obligatorisk, men den fullständiga tekniska filen stannar hos tillhandahållaren.
Ett formellt dokument undertecknat av tillhandahållaren som anger att AI-systemet uppfyller kraven i EU:s AI-förordning. Det måste inkludera systemnamn, version, tillhandahållarens identitet, en förteckning över tillämpliga krav som uppfylls, det använda förfarandet för bedömning av överensstämmelse och en referens till relevanta harmoniserade standarder. Det medföljer CE-märkningen.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.