Artikel 9 i EU AI Act (Forordning EU 2024/1689) er selve kernen i lovens krav til udbydere af høj-risiko AI-systemer. Bestemmelsen etablerer ikke blot et krav om at lave en risikovurdering — den pålægger udbyderen at opbygge og vedligeholde et kontinuerligt risikoledelsessystem, der dækker hele AI-systemets livscyklus fra design til udfasning. Denne guide gennemgår Art. 9 stk. for stk. og viser, hvad et compliant risikoledelsessystem konkret indeholder.
1. Art. 9 som rygraden i EU AI Act-compliance
EU AI Act opstiller otte kernekrav til høj-risiko AI-systemer (Art. 8-15). Risikoledelsessystemet i Art. 9 er det fundament, de øvrige krav hviler på: datakvalitet (Art. 10), teknisk dokumentation (Art. 11), logning (Art. 12), gennemsigtighed (Art. 13), menneskelig tilsyn (Art. 14) og nøjagtighed/robusthed (Art. 15) er alle afhængige af, at udbyderen systematisk har identificeret og håndteret risiciene ved systemet.
Uden et velfungerende risikoledelsessystem er det ikke muligt at:
For virksomheder, der udvikler eller markedsfører høj-risiko AI i Danmark og EU, er Art. 9 derfor ikke ét punkt på en compliance-tjekliste — det er et levende styringssystem, der løbende skal driftes og opdateres.
2. Art. 9 stk. 1-2: Kontinuerligt risikoledelsessystem — ikke et engangs-dokument
Art. 9 stk. 1 fastslår, at udbyderen skal etablere, implementere, dokumentere og vedligeholde et risikoledelsessystem. Forordningen bruger udtrykkeligt formuleringen "throughout the lifecycle of a high-risk AI system" — systemet skal altså køre fra det øjeblik udviklingsprocessen starter, og det skal forblive aktivt, så længe AI-systemet er i drift.
Det centrale er det iterative element. Art. 9 stk. 2 specificerer, at risikoledelsessystemet skal bestå af en løbende, planlagt proces. Det er ikke tilstrækkeligt at gennemføre én risikovurdering inden markedsføringen og derefter arkivere rapporten. Systemet skal:
Praktisk betyder dette, at risikoledelsessystemet skal have definerede review-cyklusser — eksempelvis kvartalsvis eller ved enhver væsentlig ændring i systemet — og at ansvaret for at drive processen skal være formelt tildelt en navngiven funktion i organisationen.
3. Risikoidentifikation: Kendte og rimeligt forudsigelige risici (Art. 9 stk. 2 litra a)
Det første operationelle trin i risikoledelsessystemet er at kortlægge, hvilke risici AI-systemet kan give anledning til. Art. 9 stk. 2 litra a kræver, at udbyderen identificerer og analyserer: