EU AI Act (Forordning EU 2024/1689) er nu gældende ret i hele EU. Mens meget opmærksomhed hidtil har samlet sig om, hvad virksomheder skal dokumentere og implementere, er spørgsmålet om *hvem der håndhæver reglerne* — og *hvordan* — mindst lige så afgørende for den daglige compliance-praksis.
Artiklerne 73 og 74 fastlægger rammerne for det nationale tilsynssystem: udpegning af kompetente myndigheder, markedsovervågningsaktiviteter og samspillet med EU AI Office. For danske virksomheder betyder det i praksis, at Digitaliseringsstyrelsen (DIGST) og eventuelt sektorspecifikke myndigheder kan anmode om dokumentation, foretage inspektioner og pålægge sanktioner.
Denne artikel gennemgår, hvad det nationale tilsynssystem indebærer, hvad der sker ved et tilsynsbesøg, og hvad din virksomhed konkret skal have klar.
1. Håndhævelsen af EU AI Act: det nationale tilsynssystem
EU AI Act er ikke selvhåndhævende. Forordningen bygger på et decentraliseret håndhævelsessystem, hvor hvert EU-medlemsland udpeger én eller flere nationale kompetente myndigheder, som er ansvarlige for at overvåge markedet og sikre overholdelse.
Denne model afspejler EU's klassiske "ny lovgivningsramme" (New Legislative Framework, NLF), der kendes fra produktsikkerhedslovgivning og CE-mærkningsordninger. Tanken er, at håndhævelse foregår tæt på markedet — af myndigheder, der kender den lokale erhvervs- og sektorstruktur.
For virksomheder med aktiviteter i flere EU-lande betyder det, at der potentielt er flere nationale tilsynsmyndigheder involveret. Princippet om "single point of contact" gælder primært i forbindelse med den fælles EU-database over højrisiko-AI-systemer (Art. 71) og procedurerne for GPAI-modeller — ikke generelt for markedsovervågning.
Det centrale nationale tilsynssystem hviler på to artikler:
Herudover suppleres systemet af Art. 75-83, der omhandler procedurer ved overtrædelse, og Art. 99-101, der fastlægger sanktionsniveauer.
2. Art. 73: nationale kompetente myndigheder — krav og struktur
Art. 73 i EU AI Act pålægger hvert EU-medlemsland at udpege mindst én national kompetent myndighed (NCM) senest 2. august 2025. Denne myndighed skal have tilstrækkelig bemyndigelse, ressourcer og faglig kapacitet til at udføre sine tilsynsopgaver.
Hvad skal en NCM kunne?
Ifølge Art. 73, stk. 3, skal den nationale kompetente myndighed have beføjelse til at:
Én myndighed eller flere?
Art. 73, stk. 1, åbner for, at et land kan udpege mere end én kompetent myndighed, forudsat at én af dem er udpeget som national offentlig myndighed (national public authority) med koordineringsrolle. Denne koordineringsrolle indebærer bl.a. at fungere som kontaktpunkt over for EU AI Office og øvrige EU-institutioner.
I sektorer med eksisterende stærk regulering — som finansiering, sundhedsvæsen og kritisk infrastruktur — kan sektorens egne tilsynsmyndigheder tillægges kompetencer parallelt med eller som supplement til den centrale nationale myndighed. Det gælder eksempelvis: