EU AI Act er ikke én enkelt dato, der sætter en streg i sandet. Det er en lov med fem separate ikrafttrædelsestidspunkter fordelt over fem år — fra februar 2025 til august 2030. Alligevel er det mest udbredte fejlindtryk i erhvervslivet, at "EU AI Act træder i kraft i 2027." Det er forkert. To af de vigtigste forpligtelser er allerede gældende. Og en stor gruppe virksomheder overholder dem ikke.
Denne artikel giver dig det komplette kronologiske overblik over alle frister, hvad der præcist gælder ved hver af dem, og hvad det betyder for din virksomhed i dag.
Tidslinjens fem milepæle
Loven blev formelt vedtaget af EU-Parlamentet i marts 2024 og trådte endeligt i kraft den 1. august 2024. Men selve ikrafttrædelsesdatoen er ikke den dato, din compliance-afdeling skal kende. Det er de fem på hinanden følgende implementeringsdatoer:
| Dato | Hvad gælder |
|------|-------------|
| 2. februar 2025 | Art. 5 forbudte AI-systemer + Art. 4 AI-kompetencekrav |
| 2. august 2025 | Art. 99 GPAI governance + Art. 50–53 + Annex I definitioner |
| 2. august 2026 | Art. 50 transparenskrav for chatbots + GPAI-krav (Art. 51–56) + EU AI-databasen åbner |
| 2. december 2027 | Annex III høj-risiko krav fuldt gældende for NYE systemer |
| 2. august 2030 | Overgangsperiode udløber for eksisterende høj-risiko systemer |
Lad os gennemgå hver enkelt.
2. februar 2025: Allerede gældende — er din virksomhed i overtrædelse?
Den 2. februar 2025 trådte de to første og i mange henseender mest kritiske bestemmelser i kraft.
Artikel 5 — Absolutte forbud
Artikel 5 forbyder en række AI-anvendelser, der anses for uforenelige med grundlæggende rettigheder. Det gælder uanset virksomhedsstørrelse, sektor eller om systemet er internt eller eksternt vendende. De forbudte kategorier inkluderer:
Bødeniveauet for overtrædelse af Artikel 5 er lovens højeste: op til 35 millioner euro eller 7 procent af global omsætning — det højeste af de to tal.
Artikel 4 — AI-kompetencekrav
Artikel 4 kræver, at udbydere og deployers sikrer, at deres medarbejdere, og alle andre der agerer på deres vegne, besidder et tilstrækkeligt niveau af AI-kompetence. Det er ikke et vagt ønske. Det er en retlig forpligtelse, der allerede gælder.
"Tilstrækkeligt niveau" defineres ikke med et præcist minimumskrav i selve lovteksten — men det specificeres, at kompetenceniveauet skal vurderes ud fra den kontekst, hvori AI-systemerne anvendes, og ud fra de risici, de repræsenterer. For HR-funktioner, der anvender AI til rekruttering eller prestationsvurdering, er kravet højere end for en virksomhed, der bruger AI til at korrekturlæse e-mails.
Mange virksomheder har aldrig dokumenteret, at de har gennemført en systematisk vurdering af medarbejdernes AI-kompetencer. Det er i sig selv en overtrædelse af en allerede gældende bestemmelse. Spørgsmålet er ikke, om I er klar til fremtidens krav. Det er, om I lever op til de krav, der har gjaldt siden den 2. februar 2025.
2. august 2025: Forordningens grundstruktur træder i kraft
Den 2. august 2025 markerer det tidspunkt, hvor EU AI Act som helhed formelt trådte i kraft i sin brede udstrækning — herunder Annex I (definitioner af AI-systemer), grundlaget for GPAI governance (Artikel 99) samt de generelle rammer i Artikel 50–53 om transparens.
Denne dato er primært administrativ og regulatorisk: Det er her, de nationale tilsynsmyndigheder formelt overtager visse overvågningsroller, og her EU AI Office etablerer sin fulde mandat. For de fleste virksomheder er august 2025 ikke en handlingsdato i sig selv, men et signal om, at governance-maskineriet er i gang, og at der ikke længere er plads til at betragte EU AI Act som et fremtidigt anliggende.
2. august 2026: Chatbot-disclosure og GPAI-krav
Datoen den 2. august 2026 er den næste store operationelle frist for et bredt segment af virksomheder — særligt dem, der anvender eller udstiller generativt AI over for brugere.
Artikel 50 — Transparenskrav for chatbots og generativt AI
Artikel 50 kræver, at ethvert AI-system, der interagerer med mennesker, på en klar og tydelig måde oplyser brugeren om, at de kommunikerer med et AI-system — medmindre det er åbenlyst fra konteksten.
Det lyder simpelt. Det er det ikke i praksis. Mange virksomheder har integreret AI-assistenter i kundeservice, HR-onboarding, interne helpdesks og rekrutteringsprocesser uden klare disclosures til slutbrugeren. Fra den 2. august 2026 er det ikke tilstrækkeligt at have disse oplysninger gemt i en datapolitik. Disclosure skal ske aktivt og i tide, inden interaktionen begynder.
GPAI-krav — Artikel 51 til 56
For udbydere af General Purpose AI-modeller, også kaldet GPAI, gælder fra august 2026 en række specificerede krav:
De fleste danske virksomheder er ikke selv GPAI-udbydere — men de bruger GPAI-systemer fra tredjeparter som Microsoft, Google og OpenAI. Her skifter ansvarsfordelingen: Deployer-ansvaret under EU AI Act betyder, at din virksomhed skal have aftalebaseret dokumentation fra udbyderen om, at den pågældende GPAI-model er lovlig at anvende under de betingelser, I bruger den.
EU AI-databasen åbner for registrering
Fra den 2. august 2026 åbner EU AI-databasen — en offentlig tilgængelig central database, hvor visse AI-systemer skal registreres. Det gælder primært høj-risiko systemer i Annex III-kategorier samt GPAI-modeller. Registreringen er ikke frivillig. For de systemer, der falder inden for kravene, er manglende registrering en overtrædelse med tilhørende sanktionsmuligheder.
2. december 2027: Det store høj-risiko-krav for HR og rekruttering
Den 2. december 2027 er den frist, der har størst praktisk konsekvens for HR-teknologi og arbejdsmarkedsrelateret AI i Danmark.
Det er denne dato, Annex