Art. 9 er EU AI Acts krav om risikostyringssystem for høj-risiko AI-systemer — og det er fundamentet som mange af de øvrige compliance-krav hviler på. Uden et velfungerende risikostyringssystem kan en virksomhed ikke opfylde kravene om teknisk dokumentation (Art. 11), datakvalitet (Art. 10), transparens (Art. 13), menneskelig kontrol (Art. 14) eller nøjagtighed og robusthed (Art. 15).
Denne guide giver en struktureret tilgang til implementering af EU AI Act Art. 9 frem mod Annex III-deadlinen 2. august 2026.
Art. 9 stk. 1-2: Grundkravet — løbende og systematisk
Art. 9 stk. 1 fastslår at risikostyringssystemet for høj-risiko AI-systemer skal:
"Løbende iterativ proces" er nøgleordet. EU AI Act Art. 9 er ikke et engangsdokument — det er en levende proces. Risikostyringssystemet skal aktivt opdateres baseret på driftserfaring (post-market surveillance), feedback fra brugere og deployers, og nye kendte risici i AI-litteraturen.
Livscyklusperspektiv: Risikostyringen starter fra systemets design-fase og fortsætter gennem udvikling, test, deployment og den løbende drift. Ændringer i systemet (modelopdateringer, nye use cases, ændrede input-data) udløser opdateret risikovurdering.
Art. 9 stk. 2: Risikoidentifikation
Art. 9 stk. 2 litra a kræver identification og analyse af de kendte og rimeligvis forudsigelige risici AI-systemet kan udgøre for sundhed, sikkerhed eller grundlæggende rettigheder. Dette inkluderer:
Type 1: Fejlrisici (systematiske og tilfældige):
Type 2: Misbrugrisici:
Type 3: Grundlæggende rettighedsrisici:
Type 4: Robusthed- og cybersikkerhedsrisici:
Dokumentationsform: Risikoregistret er typisk implementeret som en struktureret matrix:
| Risiko-ID | Risikobeskrivelseion | Sandsynlighed (L) | Konsekvens (C) | Risiko-score (L×C) | Mitigering | Residualrisiko |
|-----------|---------------------|---------------------|----------------|---------------------|------------|----------------|
Art. 9 stk. 2: Risikoevaluering og acceptkriterier
Art. 9 stk. 2 litra b kræver evaluering af kendte og forudsigelige risici der kan opstå ved systemets brug i overensstemmelse med tilsigtet formål og ved rimeligvis forudsigeligt misbrug.
Risikoaccept-ramme: Organisationen bør definere eksplicitte acceptkriterier:
For høj-risiko AI-systemer er "uacceptable risici" systemer der udgør risici for borgeres grundlæggende rettigheder på et uforholdsmæssigt niveau. Sådanne risici kan ikke blot accepteres — de kræver redesign eller afvisning af systemet.
Art. 9 stk. 4: Tekniske risikokontroller
Art. 9 stk. 4 kræver at passende risikostyringforanstaltninger vedtages og implementeres. Disse falder i kategorier:
Tekniske foranstaltninger:
Organisatoriske foranstaltninger:
Proceduremæssige foranstaltninger:
Art. 9 stk. 6-7: Test og validering af risikostyringssystemet
Art. 9 stk. 6 kræver at high-risk AI-systemer testes med henblik på at identificere de mest hensigtsmæssige risikostyringforanstaltninger. Testning skal:
Art. 9 stk. 7 stiller krav om testning på "real world data" der er repræsentative for den population systemet vil møde i produktion. For HR-AI: Test på kandidat-populationer der ligner dem systemet vil evaluere. For kreditscoring: Test på låntagerpopulationer der matcher dem systemet vil score.
Dokumentation af testresultater er obligatorisk — Annex IV punkt 6 kræver at teknisk dokumentation ink