BLOG

EU AI Act Art. 9: Risikostyringssystem for Høj-Risiko AI — Komplet Guide

Artikel 9 i EU AI Act (forordning (EU) 2024/1689) er kernen i hele lovens krav til høj-risiko AI-systemer. Hvor mange andre artikler handler om dokumentation, logs og tekniske specifikationer, handler artikel 9 om noget fundamentalt anderledes: du skal etablere og drive et løbende risikostyringssystem — ikke udføre en engangs-risikovurdering, men opretholde en levende, iterativ proces hele AI-systemets levetid igennem.

Fristen for Annex III høj-risiko systemer (inkl. HR-tech, rekruttering, kreditvurdering og kritisk infrastruktur) er 2. august 2026. Der er under 15 måneder til compliance skal være dokumenterbar. Denne guide gennemgår artikel 9 stykke for stykke, kobler kravene til ISO 31000 og ISO/IEC 42001, og giver dig en konkret skabelon til at komme i gang.

1. Art. 9 stk. 1: Risikostyringssystemet som løbende cyklus — ikke et engangsdokument

Det første og vigtigste signal i artikel 9 stk. 1 er valget af ord: *"a risk management system shall be established, implemented, documented and maintained"*. De fire verber — etableret, implementeret, dokumenteret, vedligeholdt — er ikke synonymer. De beskriver en livscyklus.

Et risikostyringssystem i henhold til EU AI Act er ikke en rapport, du indleverer én gang og lægger i en skuffe. Det er en operationel funktion i din organisation, der:

  • Aktiveres før systemet sættes i drift (design- og udviklingsforløb)
  • Kører kontinuerligt mens systemet er i drift (post-market overvågning)
  • Opdateres reaktivt når ny information opstår (hændelser, feedback, ny lovgivning)
  • Afsluttes formelt ved ophør (dekommissionering og arkivering)
  • Dette er afgørende for at forstå compliance-byrden. Du kan ikke outsource risikostyringen til en engangs-konsulentopgave. Det kræver interne processer, ejerskab og ressourcer.

    Lovhenvisning: EU AI Act (EU) 2024/1689, Art. 9(1).

    2. Art. 9 stk. 2: Fire kernekrav — identificering, evaluering, begrænsning, residualrisiko

    Artikel 9 stk. 2 specificerer det minimale indhold i risikostyringssystemet. Det består af fire dele:

    a) Identificering og analyse af kendte og forudsigelige risici

    Alle risici, der kan opstå i forbindelse med det tilsigtede formål, skal identificeres. Det dækker tekniske fejl, misbrug af output, bias i træningsdata, samt utilsigtede konsekvenser for tredjeparter.

    b) Estimering og evaluering af risici

    Identificerede risici skal kvantificeres eller kvalitativt vurderes ud fra sandsynlighed og alvorlighed. Det er ikke tilstrækkeligt at liste risici — du skal vurdere dem på en skala og dokumentere grundlaget for vurderingen.

    c) Evaluering af risici i lyset af Art. 55-beskyttelsesforanstaltninger

    Artikel 55 indeholder de særlige krav til høj-risiko systemer (teknisk dokumentation, logning, menneskelig tilsyn mv.). Risiciene skal evalueres i sammenhæng med, om disse foranstaltninger i tilstrækkelig grad begrænser dem.

    d) Vedtagelse af passende risikobegrænsende foranstaltninger

    For alle risici, der ikke er acceptable, skal der vedtages og implementeres konkrete foranstaltninger. Disse foranstaltninger skal dokumenteres og testes.

    Lovhenvisning: EU AI Act (EU) 2024/1689, Art. 9(2)(a)-(d).

    3. Art. 9 stk. 3: Testning under realistiske driftsvilkår — hvad betyder det?

    Et af de mere teknisk krævende elementer i artikel 9 er kravet om testning *"under conditions that reflect real-world use"* (Art. 9(3)). Det er ikke tilstrækkeligt at teste i et laboratorium med syntetiske data — du skal sikre, at testmiljøet afspejler de faktiske betingelser, som systemet vil møde i drift.

    Hvad indebærer det i praksis?

  • Repræsentative brugerpopulationer: Hvis dit HR-AI-system bruges til rekruttering på tværs af Norden, skal testpopulationen afspejle diversiteten i den faktiske ansøgerpopulation, herunder køn, alder, nationalitet og uddannelsesbaggrund.
  • Edge cases og adversarielle inputs: Systemet skal testes med inputs, der kan provokere fejladfærd — ikke kun med "gode" inputs designet til at give korrekte svar.
  • Driftsbetingelsernes variation: Hvad sker der, når systemet bruges af en uøvet operatør? Hvad sker der ved høj load? Hvad sker der, hvis upstream-datakilder har kvalitetsproblemer?
  • Kombination med menneskelige beslutningstagere: Da Art. 14 kræver menneskelig tilsyn for alle høj-risiko systemer, skal testningen inkludere scenarier, hvor det menneskelige led fejler el
  • Klar til at komme i gang?

    PowerQuant leverer AI-inventar og gap-analyse på 5 arbejdsdage.

    Start M1 — 10.999 kr