BLOG

EU AI Act Art. 6-7: Klassifikationsregler for Høj-Risiko AI-Systemer

Forordning (EU) 2024/1689 — den europæiske AI-lovgivning — indfører et risikobaseret system, hvor AI-systemers forpligtelser afhænger direkte af, hvilken risikokategori de falder i. Den mest udbredte og regulatorisk tunge kategori er høj-risiko, og det er præcis her, at artiklerne 6 og 7 er afgørende. Disse to artikler fastlægger de to klassifikationsveje og Kommissionens løbende beføjelse til at udvide listen.

For enhver virksomhed, der anvender eller udvikler AI i Europa, er det fundamentalt at forstå, hvornår et system er høj-risiko — og hvornår det ikke er. Fejlklassifikation i den ene retning betyder unødvendige compliance-omkostninger; i den anden retning betyder det potentielle bøder på op til 3 % af den globale omsætning.

1. Hvad er et "høj-risiko AI-system"? To klassifikationsveje

EU AI Act Art. 6 opstiller to selvstændige veje til klassifikation som høj-risiko. Det er ikke nok at falde i én kategori — man skal vurdere begge:

Art. 6 stk. 1 — Produktsikkerhed (Annex II-vej): AI-systemer, der er sikkerhedskomponenter i produkter, der allerede er CE-mærket under EU's produktsikkerheds- og sektorlovgivning, som er oplistet i Annex II.

Art. 6 stk. 2 — Anvendelsesdomæner (Annex III-vej): AI-systemer, der falder i ét af de otte anvendelsesområder oplistet i Annex III til forordningen, uanset om de er en del af et CE-mærket produkt.

Disse to veje er kumulative. Et system kan opfylde begge betingelser, kun én, eller ingen — og klassifikationen skal foretages hver gang et system opdateres væsentligt, jf. Recital 51.

2. Art. 6 stk. 1: AI som sikkerhedskomponent i Annex II-produkter

Den første klassifikationsvej gælder, når to betingelser er opfyldt samtidig:

  • AI-systemet er en sikkerhedskomponent i et produkt eller er selve produktet
  • Det pågældende produkt er omfattet af harmoniseret EU-sektorlovgivning nævnt i Annex II
  • Annex II til (EU) 2024/1689 opregner lovgivning inden for eksempelvis:

  • Maskindirektivet ((EU) 2023/1230)
  • Medicinsk udstyr (forordning (EU) 2017/745 og (EU) 2017/746)
  • Luftfartssikkerhed (forordning (EU) 2018/1139)
  • Motorkøretøjer (forordning (EU) 2019/2144)
  • Civil luftfart og droner
  • Begrebet "sikkerhedskomponent" er centralt. Det er ikke nok, at AI-systemet indgår i et Annex II-produkt — det skal bidrage til produktets sikkerhedsfunktion. Et AI-system til prædiktiv vedligeholdelse i en produktionsmaskine, der advarer om fejl, der kan forårsage personskade, vil typisk være en sikkerhedskomponent. Et AI-system til at optimere produktionsplanlægning i samme maskine vil ikke nødvendigvis være det.

    Konsekvensen af klassifikation som høj-risiko via stk. 1 er, at der kræves en tredjepartskonformitetsvurdering (notified body-godkendelse), inden systemet bringes i omsætning — jf. Art. 43 i (EU) 2024/1689.

    3. Art. 6 stk. 2: AI i Annex III anvendelsesområder — de 8 kategorier

    Den anden klassifikationsvej er bredere og dækker anvendelsesdomæner med betydelig risiko for grundlæggende rettigheder, demokrati og retssikkerhed. Annex III til (EU) 2024/1689 lister otte kategorier:

  • Biometri og fjernidentifikation
  • Kritisk infrastruktur
  • Uddannelse og erhvervsuddannelse
  • Beskæftigelse, arbejdsledelse og adgang til selvstændig virksomhed
  • Adgang til og nydelse af vigtige private og offentlige tjenesteydelser og ydelser
  • Retshåndhævelse
  • Migration, asyl og grænsekontrol
  • Retspleje og demokratiske processer
  • For kategorier 1-6 og 8 gælder høj-risiko klassifikationen for AI brugt af både offentlige og private aktører. Kategori 6 (retshåndhævelse) og 7 (migration) er primært rettet mod offentlige myndigheder, men med undtagelser for private aktører, der samarbejder med myndigheder.

    4. Annex III punkt 1: Biometri og fjernidentifikation

    Annex III punkt 1 omfatter AI-systemer til:

  • Biometrisk fjernidentifikation af fysiske personer — særligt realtids-fjernidentifikation i offentlige rum (dette er i vidt omfang forbudt under Art. 5, med snævre undtagelser)
  • Biometrisk kategorisering baseret på følsomme attributter som race, politisk overbevisning, fagforeningstilhørsforhold, religion, køn eller seksuel orientering
  • Ansigtsgenkendelse og emotionsanalyse i professionelle sammenhænge eller retshåndhævelse
  • Virksomheder, der anvender biometrisk fremmøderegistrering, adgangskontrolsystemer med ansigtsgenkendelse eller AI-baseret screeningsteknologi, skal vurdere, om de falder ind under denne kategori.

    Kilde: (EU) 2024/1689, Annex III punkt 1; Recital 39.

    5. Annex III punkt 2-3: Kritisk infrastruktur og uddannelse

    Punkt 2 — Kritisk infrastruktur: AI-systemer, der udgør sikkerhedskomponenter i forvaltning og drift af kritisk digital infrastruktur, vandforsyning, gas-, varme- og elforsyning samt trafikinfrastruktur. Energisektoren er udtrykkeligt nævnt — AI-systemer, der optimerer elnet, forudsiger spidslast eller a

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr