Markedet for virksomhedsovertagelser har fået et nyt tjekpunkt i 2025 og 2026: EU AI Act compliance. Acquirers — og deres juridiske rådgivere — stiller nu spørgsmål, som for blot to år siden ville have virket fremmedartede: Hvilke AI-systemer anvender target-virksomheden? Er de klassificeret korrekt? Og hvad er den potentielle bødeeksponering, hvis dokumentationen ikke er i orden?
Svaret på de spørgsmål kan i dag flytte en valuationsmodel. Denne artikel gennemgår, hvad du som virksomhedsejer eller CFO bør have styr på, inden du går ind i en salgsproces — og hvordan du omsætter compliance-dokumentation til forhandlingsstyrke.
Hvorfor EU AI Act er blevet et M&A-punkt i 2026
EU AI Act trådte formelt i kraft den 1. august 2024. De første forpligtelser ramte allerede i februar 2025 (forbud mod uacceptabel risiko), og med Annex III-deadlinen den 2. august 2026 (gældende frist — Digital Omnibus-ændringen, der vil udskyde den til 2. december 2027, afventer publicering i EU-Tidende og er endnu ikke i kraft) nærmer det afgørende compliance-vindue sig hurtigt for virksomheder, der anvender høj-risiko AI-systemer.
For en acquirer betyder det, at et target-selskab med udokumenterede AI-systemer repræsenterer en regulatorisk liability — ikke bare i teorien, men med konkrete bødebeløb, der kan modregnes i købesumsforhandlingen eller kræve escrow-aftaler. Professionelle kapitalfonde og strategiske købers juridiske teams er begyndt at inkorporere AI Act compliance som standardpunkt i deres due diligence-tjeklister på linje med GDPR-status og NIS2-forpligtelser.
Tre drivkræfter forklarer accelerationen:
1. Lovgivningens progressive ikrafttrædelse. EU AI Act er ikke én stor engangsøvelse. Forpligtelserne indfases i bølger frem mod 2027. Det betyder, at en virksomhed, der i dag undlader at kortlægge sine AI-systemer, akkumulerer compliance-gæld, som en køber vil prissætte.
2. Regulatorernes signalvirkning. Det Europæiske AI-kontor og nationale myndigheder — herunder Datatilsynet i Danmark — har offentliggjort vejledninger og signaleret aktiv håndhævelse fra 2026. Acquirers kan ikke længere argumentere for, at risikoen er hypotetisk.
3. Investorers ESG-rammer kræver det. Mange institutionelle investorer og PE-fonde har governance-krav til teknologirisici i porteføljeselskaber. AI Act compliance er i stigende grad en del af den teknologiske due diligence-ramme.
Hvad acquirers typisk spørger om
Baseret på de spørgsmål, der allerede cirkulerer i professionelle due diligence-processer, kan man destillere tre overordnede kategorier:
1. AI-system inventar
Den første og mest basale tjek: Har virksomheden overhovedet overblik over, hvilke AI-systemer den anvender eller har udviklet? Det inkluderer:
- Egenudviklede modeller (internt eller via leverandører)
- Tredjeparts AI-komponenter integreret i produkter og processer
- AI-assisterede beslutningssystemer (kreditvurdering, HR-screening, risikovurdering)
- Automatiserede systemer med en beslutningspåvirkning over for kunder eller medarbejdere
En acquirer, der møder svaret "vi bruger lidt AI hist og her", vil betragte det som et rødt flag. Et struktureret AI-register — med systemnavn, formål, datakilde og ansvarlig ejer — er minimumsstandarden.
2. Risikoklassifikation
EU AI Act opererer med fire risikoniveauer: uacceptabel risiko (forbudt), høj risiko (Annex III), begrænset risiko og minimal risiko. Høj-risiko AI-systemer — defineret i Annex III — inkluderer bl.a. systemer anvendt i:
- Kritisk infrastruktur
- Uddannelse og erhvervsuddannelse
- Beskæftigelse og HR-beslutninger
- Væsentlige private og offentlige tjenesteydelser
- Retshåndhævelse og grænseforvaltning
- Biometrisk identifikation
Har virksomheden foretaget en systematisk klassifikation af sine systemer mod disse kategorier? Eller er det en øvelse, der endnu ikke er påbegyndt? Det er spørgsmål, en erfaren acquirer vil stille direkte.
3. Dokumentationsstatus
For høj-risiko systemer stiller EU AI Act krav om en specifik dokumentationspakke: teknisk dokumentation, risikostyringssystem, datakvalitetsstyring, transparensforanstaltninger og post-market monitoring. En acquirer vil ikke alene spørge, om systemerne er klassificeret — de vil spørge, om dokumentationen faktisk eksisterer og kan fremvises.
EU AI Acts bødestruktur: Hvad betyder det for M&A-valuation?
Artikel 99 i EU AI Act fastsætter bødeniveauer, som enhver virksomhedsejer bør kende:
| Overtrædelsestype | Bøderamme |
|---|---|
| Tier 1: Forbudte AI-praksisser (Art. 5) | Op til €35 mio. eller 7% af global omsætning |
| Tier 2: Øvrige overtrædelser inkl. høj-risiko mangler | Op til €15 mio. eller 3% af global omsætning |
| Fejlagtige oplysninger til myndigheder | Op til €7,5 mio. eller 1% af global omsætning |
Tier 2-rammen er det højeste af €15 mio. eller 3% af den globale årsomsætning, så for koncerner med stor omsætning kan 3%-leddet langt overstige de 15 mio. euro. Det er beløb, der er store nok til at figurere som en post i en købers risikovurdering og dermed potentielt som en downside-justering af enterprise value.
Praktisk konsekvens for M&A: Compliance-gap er bødeeksponering på balancen. En erfaren buy-side-rådgiver vil identificere disse gaps og enten:
- Kræve en reduktion af købesum svarende til estimeret bøderisiko
- Kræve en escrow-aftale, der holder del af betalingen tilbage i en aftalt periode
- Stille krav om, at sælger afhjælper compliance-mangler inden closing
Det er ikke teoretiske forhandlingspositioner. Det er standardpraksis i professionelle M&A-processer med andre regulatoriske risikoklasser — og det bevæger sig nu ind i AI-territoriet.
Due diligence tjekliste: Hvad et target-selskab bør have klar
Her er de konkrete dokumenter og processer, en acquirer i 2026 vil forvente at finde:
Grundlæggende dokumentation
- [ ] AI-systemregister — struktureret oversigt over alle AI-systemer med formål, datakilder, ansvarlig ejer og deployment-status
- [ ] Risikoklassifikationsmatrix — dokumenteret gennemgang af hvert system mod EU AI Acts Annex III-kategorier
- [ ] Teknisk dokumentation (for høj-risiko systemer) — arkitektur, træningsdata, valideringsresultater
- [ ] Risikostyringssystem — dokumenterede processer for identificering og mitigering af AI-risici
Governance og processer
- [ ] Ansvarlig AI-ejer — navngivet person med ansvar for AI-compliance
- [ ] Post-market monitoring-plan — hvordan overvåges systemerne efter deployment
- [ ] Incident-log — dokumentation af eventuelle fejl eller utilsigtede outputs fra AI-systemer
- [ ] Leverandørdokumentation — conformity statements og teknisk dokumentation fra tredjeparts AI-udbydere
Kontraktuelle forhold
- [ ] AI-relaterede kundekontrakter — indeholder de korrekte oplysningsforpligtelser om AI-brug?
- [ ] Leverandøraftaler — indeholder de nødvendige forpligtende estimater og ansvarsprofiler fra AI-leverandører?
- [ ] Medarbejderforhold — er medarbejdere informeret om AI-systemer, der påvirker dem (særligt HR-kategorien)?
En virksomhed, der kan præsentere denne dokumentation struktureret og letlæseligt, signalerer professionel modenhed til en acquirer. En virksomhed, der ikke kan, signalerer ukendt risiko — og ukendt risiko prissættes konservativt.
AI Readiness Score: Vurder din compliance-status inden salgsprocessen
Inden du indleder en formel salgsproces, er det værd at gennemføre en systematisk selvvurdering. Tænk på det som en "AI readiness score" — en struktureret gennemgang der giver dig et øjebliksbillede af, hvor du står.
Niveau 0 — Ikke påbegyndt
Ingen systematisk kortlægning af AI-systemer. Ingen risikoklassifikation. Ingen navngiven ansvarlig. Her prissætter en acquirer compliance som ukendt risiko — konservativt.
Niveau 1 — Kortlagt
AI-systemerne er registreret, og en første risikoklassifikation mod Annex III er gennemført — men dokumentationen er ufuldstændig og usystematisk.
Niveau 2 — Dokumenteret
Register, klassifikation og teknisk dokumentation foreligger for de væsentligste systemer, og governance-roller er udpeget.
Niveau 3 — Revisionsklar
Dokumentationen er komplet, opdateret og kan fremvises på anmodning. Jo tættere på niveau 3, jo mindre fylder AI-compliance i prisforhandlingen — både i escrow-krav og i enterprise value.