BLOG

EU AI Act Art. 9: Risikoledelsessystem for høj-risiko AI — komplet implementeringsguide

Artikel 9 i EU AI Act (Forordning EU 2024/1689) er selve kernen i lovens krav til udbydere af høj-risiko AI-systemer. Bestemmelsen etablerer ikke blot et krav om at lave en risikovurdering — den pålægger udbyderen at opbygge og vedligeholde et kontinuerligt risikoledelsessystem, der dækker hele AI-systemets livscyklus fra design til udfasning. Denne guide gennemgår Art. 9 stk. for stk. og viser, hvad et compliant risikoledelsessystem konkret indeholder.

1. Art. 9 som rygraden i EU AI Act-compliance

EU AI Act opstiller otte kernekrav til høj-risiko AI-systemer (Art. 8-15). Risikoledelsessystemet i Art. 9 er det fundament, de øvrige krav hviler på: datakvalitet (Art. 10), teknisk dokumentation (Art. 11), logning (Art. 12), gennemsigtighed (Art. 13), menneskelig tilsyn (Art. 14) og nøjagtighed/robusthed (Art. 15) er alle afhængige af, at udbyderen systematisk har identificeret og håndteret risiciene ved systemet.

Uden et velfungerende risikoledelsessystem er det ikke muligt at:

  • Fastslå, hvilke testscenarier der er nødvendige (Art. 9 stk. 5)
  • Dokumentere, at restrisiciene er acceptable (Art. 9 stk. 4)
  • Opnå overensstemmelsesvurdering hos notificeret organ (Art. 43)
  • Afgive EU-overensstemmelseserklæring (Art. 47)
  • For virksomheder, der udvikler eller markedsfører høj-risiko AI i Danmark og EU, er Art. 9 derfor ikke ét punkt på en compliance-tjekliste — det er et levende styringssystem, der løbende skal driftes og opdateres.

    2. Art. 9 stk. 1-2: Kontinuerligt risikoledelsessystem — ikke et engangs-dokument

    Art. 9 stk. 1 fastslår, at udbyderen skal etablere, implementere, dokumentere og vedligeholde et risikoledelsessystem. Forordningen bruger udtrykkeligt formuleringen "throughout the lifecycle of a high-risk AI system" — systemet skal altså køre fra det øjeblik udviklingsprocessen starter, og det skal forblive aktivt, så længe AI-systemet er i drift.

    Det centrale er det iterative element. Art. 9 stk. 2 specificerer, at risikoledelsessystemet skal bestå af en løbende, planlagt proces. Det er ikke tilstrækkeligt at gennemføre én risikovurdering inden markedsføringen og derefter arkivere rapporten. Systemet skal:

  • Løbende identificere og analysere kendte og rimeligt forudsigelige risici (Art. 9 stk. 2 litra a)
  • Estimere og evaluere risici, der kan opstå ved tilsigtet brug og rimelig forudsigelig fejlanvendelse (Art. 9 stk. 2 litra b)
  • Evaluere risici på baggrund af data fra post-market monitoring (Art. 9 stk. 2 litra c)
  • Vedtage passende risikoreducerende foranstaltninger (Art. 9 stk. 2 litra d)
  • Praktisk betyder dette, at risikoledelsessystemet skal have definerede review-cyklusser — eksempelvis kvartalsvis eller ved enhver væsentlig ændring i systemet — og at ansvaret for at drive processen skal være formelt tildelt en navngiven funktion i organisationen.

    3. Risikoidentifikation: Kendte og rimeligt forudsigelige risici (Art. 9 stk. 2 litra a)

    Det første operationelle trin i risikoledelsessystemet er at kortlægge, hvilke risici AI-systemet kan give anledning til. Art. 9 stk. 2 litra a kræver, at udbyderen identificerer og analyserer:

  • Kendte risici — risici, der allerede er dokumenteret i litteratur, hændelsesdatabaser, regulatoriske vejledninger eller systemets testfase
  • Rimeligt forudsigelige risici — risici,
  • Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr