Artikel 9 i EU AI Act (forordning (EU) 2024/1689) er kernen i hele lovens krav til høj-risiko AI-systemer. Hvor mange andre artikler handler om dokumentation, logs og tekniske specifikationer, handler artikel 9 om noget fundamentalt anderledes: du skal etablere og drive et løbende risikostyringssystem — ikke udføre en engangs-risikovurdering, men opretholde en levende, iterativ proces hele AI-systemets levetid igennem.
Fristen for Annex III høj-risiko systemer (inkl. HR-tech, rekruttering, kreditvurdering og kritisk infrastruktur) er 2. august 2026. Der er under 15 måneder til compliance skal være dokumenterbar. Denne guide gennemgår artikel 9 stykke for stykke, kobler kravene til ISO 31000 og ISO/IEC 42001, og giver dig en konkret skabelon til at komme i gang.
1. Art. 9 stk. 1: Risikostyringssystemet som løbende cyklus — ikke et engangsdokument
Det første og vigtigste signal i artikel 9 stk. 1 er valget af ord: *"a risk management system shall be established, implemented, documented and maintained"*. De fire verber — etableret, implementeret, dokumenteret, vedligeholdt — er ikke synonymer. De beskriver en livscyklus.
Et risikostyringssystem i henhold til EU AI Act er ikke en rapport, du indleverer én gang og lægger i en skuffe. Det er en operationel funktion i din organisation, der:
Dette er afgørende for at forstå compliance-byrden. Du kan ikke outsource risikostyringen til en engangs-konsulentopgave. Det kræver interne processer, ejerskab og ressourcer.
Lovhenvisning: EU AI Act (EU) 2024/1689, Art. 9(1).
2. Art. 9 stk. 2: Fire kernekrav — identificering, evaluering, begrænsning, residualrisiko
Artikel 9 stk. 2 specificerer det minimale indhold i risikostyringssystemet. Det består af fire dele:
a) Identificering og analyse af kendte og forudsigelige risici
Alle risici, der kan opstå i forbindelse med det tilsigtede formål, skal identificeres. Det dækker tekniske fejl, misbrug af output, bias i træningsdata, samt utilsigtede konsekvenser for tredjeparter.
b) Estimering og evaluering af risici
Identificerede risici skal kvantificeres eller kvalitativt vurderes ud fra sandsynlighed og alvorlighed. Det er ikke tilstrækkeligt at liste risici — du skal vurdere dem på en skala og dokumentere grundlaget for vurderingen.
c) Evaluering af risici i lyset af Art. 55-beskyttelsesforanstaltninger
Artikel 55 indeholder de særlige krav til høj-risiko systemer (teknisk dokumentation, logning, menneskelig tilsyn mv.). Risiciene skal evalueres i sammenhæng med, om disse foranstaltninger i tilstrækkelig grad begrænser dem.
d) Vedtagelse af passende risikobegrænsende foranstaltninger
For alle risici, der ikke er acceptable, skal der vedtages og implementeres konkrete foranstaltninger. Disse foranstaltninger skal dokumenteres og testes.
Lovhenvisning: EU AI Act (EU) 2024/1689, Art. 9(2)(a)-(d).
3. Art. 9 stk. 3: Testning under realistiske driftsvilkår — hvad betyder det?
Et af de mere teknisk krævende elementer i artikel 9 er kravet om testning *"under conditions that reflect real-world use"* (Art. 9(3)). Det er ikke tilstrækkeligt at teste i et laboratorium med syntetiske data — du skal sikre, at testmiljøet afspejler de faktiske betingelser, som systemet vil møde i drift.
Hvad indebærer det i praksis?