PowerQuant

EU AI Act og virksomhedsovertagelse: Sådan forbereder du din AI-compliance til due diligence

PowerQuant · EU AI Act compliance for HR-tech

Markedet for virksomhedsovertagelser har fået et nyt tjekpunkt i 2025 og 2026: EU AI Act compliance. Acquirers — og deres juridiske rådgivere — stiller nu spørgsmål, som for blot to år siden ville have virket fremmedartede: Hvilke AI-systemer anvender target-virksomheden? Er de klassificeret korrekt? Og hvad er den potentielle bødeeksponering, hvis dokumentationen ikke er i orden?

Svaret på de spørgsmål kan i dag flytte en valuationsmodel. Denne artikel gennemgår, hvad du som virksomhedsejer eller CFO bør have styr på, inden du går ind i en salgsproces — og hvordan du omsætter compliance-dokumentation til forhandlingsstyrke.

Hvorfor EU AI Act er blevet et M&A-punkt i 2026

EU AI Act trådte formelt i kraft den 1. august 2024. De første forpligtelser ramte allerede i februar 2025 (forbud mod uacceptabel risiko), og med Annex III-deadlinen den 2. december 2027 nærmer det afgørende compliance-vindue sig hurtigt for virksomheder, der anvender høj-risiko AI-systemer.

For en acquirer betyder det, at et target-selskab med udokumenterede AI-systemer repræsenterer en regulatorisk liability — ikke bare i teorien, men med konkrete bødebeløb, der kan modregnes i købesumsforhandlingen eller kræve escrow-aftaler. Professionelle kapitalfonde og strategiske købers juridiske teams er begyndt at inkorporere AI Act compliance som standardpunkt i deres due diligence-tjeklister på linje med GDPR-status og NIS2-forpligtelser.

Tre drivkræfter forklarer accelerationen:

1. Lovgivningens progressive ikrafttrædelse. EU AI Act er ikke ét big-bang. Forpligtelserne indfases i bølger frem mod 2027. Det betyder, at en virksomhed, der i dag undlader at kortlægge sine AI-systemer, akkumulerer compliance-gæld, som en køber vil prissætte.

2. Regulatorernes signalvirkning. Det Europæiske AI-kontor og nationale myndigheder — herunder Datatilsynet i Danmark — har offentliggjort vejledninger og signaleret aktiv håndhævelse fra 2026. Acquirers kan ikke længere argumentere for, at risikoen er hypotetisk.

3. Investors' ESG-rammer kræver det. Mange institutionelle investorer og PE-fonde har governance-krav til teknologirisici i porteføljeselskaber. AI Act compliance er i stigende grad en del af den teknologiske due diligence-ramme.

Hvad acquirers typisk spørger om

Baseret på de spørgsmål, der allerede cirkulerer i professionelle due diligence-processer, kan man destillere tre overordnede kategorier:

1. AI-system inventar

Den første og mest basale tjek: Har virksomheden overhovedet overblik over, hvilke AI-systemer den anvender eller har udviklet? Det inkluderer:

  • Egentudviklede modeller (internt eller via leverandører)
  • Tredjeparts AI-komponenter integreret i produkter og processer
  • AI-assisterede beslutningssystemer (kreditvurdering, HR-screening, risikovurdering)
  • Automatiserede systemer med en beslutningspåvirkning over for kunder eller medarbejdere

    • En acquirer, der møder svaret "vi bruger lidt AI hist og her", vil betragte det som et rødt flag. Et struktureret AI-register — med systemnavn, formål, datakilde og ansvarlig ejer — er minimumstandarden.

    2. Risikoklassifikation

    EU AI Act opererer med fire risikoniveauer: uacceptabel risiko (forbudt), høj risiko (Annex III), begrænset risiko og minimal risiko. Høj-risiko AI-systemer — defineret i Annex III — inkluderer bl.a. systemer anvendt i:

  • Kritisk infrastruktur
  • Uddannelse og erhvervsuddannelse
  • Beskæftigelse og HR-beslutninger
  • Væsentlige private og offentlige tjenesteydelser
  • Retshåndhævelse og grænseforvaltning
  • Biometrisk identifikation

    • Har virksomheden foretaget en systematisk klassifikation af sine systemer mod disse kategorier? Eller er det en øvelse, der endnu ikke er påbegyndt? Det er spørgsmål, en erfaren acquirer vil stille direkte.

    3. Dokumentationsstatus

    For høj-risiko systemer stiller EU AI Act krav om en specifik dokumentationspakke: teknisk dokumentation, risikostyringssystem, datakvalitetsstyring, transparensforanstaltninger og post-market monitoring. En acquirer vil ikke alene spørge, om systemerne er klassificeret — de vil spørge, om dokumentationen faktisk eksisterer og kan fremvises.

    EU AI Acts bødestruktur: Hvad betyder det for M&A-valuation?

    Artikel 99 i EU AI Act fastsætter bødeniveauer, som enhver virksomhedsejer bør kende:

    | Overtrædelsestype | Bøderamme |

    |---|---|

    | Tier 1: Forbudte AI-praksisser (Art. 5) | Op til €35 mio. eller 7% af global omsætning |

    | Tier 2: Øvrige overtrædelser inkl. høj-risiko mangler | Op til €15 mio. eller 3% af global omsætning |

    | Fejlagtige oplysninger til myndigheder | Op til €7,5 mio. eller 1% af global omsætning |

    For en SMV med 50 mio. kr. i omsætning betyder Tier 2-rammen en potentiel bødeeksponering på op til ca. 11 mio. kr. For en mellemstor virksomhed med 300 mio. kr. i omsætning kan tallet nærme sig 30 mio. kr. Det er beløb, der er store nok til at figurere som en post i en købers risikovurdering og dermed potentielt som en downside-justering af enterprise value.

    Praktisk konsekvens for M&A: Compliance-gap er bødeeksponering på balancen. En erfaren buy-side-rådgiver vil identificere disse gaps og enten:

  • Kræve en reduktion af købesum svarende til estimeret bøderisiko
  • Kræve en escrow-aftale, der holder del af betalingen tilbage i en aftalt periode
  • Stille krav om, at sælger afhjælper compliance-mangler inden closing

    • Det er ikke teoretiske forhandlingspositioner. Det er standardpraksis i professionelle M&A-processer med andre regulatoriske risikoklasser — og det bevæger sig nu ind i AI-territoriet.

    Due diligence tjekliste: Hvad et target-selskab bør have klar

    Her er de konkrete dokumenter og processer, en acquirer i 2026 vil forvente at finde:

    Grundlæggende dokumentation

  • [ ] AI-systemregister — struktureret oversigt over alle AI-systemer med formål, datakilder, ansvarlig ejer og deployment-status
  • [ ] Risikoklassifikationsmatrix — dokumenteret gennemgang af hvert system mod EU AI Acts Annex III-kategorier
  • [ ] Teknisk dokumentation (for høj-risiko systemer) — arkitektur, træningsdata, valideringsresultater
  • [ ] Risikostyringssystem — dokumenterede processer for identificering og mitigering af AI-risici

    • Governance og processer

  • [ ] Ansvarlig AI-ejer — navngivet person med ansvar for AI-compliance
  • [ ] Post-market monitoring-plan — hvordan overvåges systemerne efter deployment
  • [ ] Incident-log — dokumentation af eventuelle fejl eller utilsigtede outputs fra AI-systemer
  • [ ] Leverandørdokumentation — conformity statements og teknisk dokumentation fra tredjeparts AI-udbydere

    • Kontraktuelle forhold

  • [ ] AI-relaterede kundekontrakter — indeholder de korrekte oplysningsforpligtelser om AI-brug?
  • [ ] Leverandøraftaler — indeholder de nødvendige forpligtende estimater og ansvarsprofiler fra AI-leverandører?
  • [ ] Medarbejderforhold — er medarbejdere informeret om AI-systemer, der påvirker dem (særligt HR-kategorien)?

    • En virksomhed, der kan præsentere denne dokumentation struktureret og letlæseligt, signalerer professionel modenhed til en acquirer. En virksomhed, der ikke kan, signalerer ukendt risiko — og ukendt risiko prissættes konservativt.

    AI Readiness Score: Vurder din compliance-status inden salgsprocessen

    Inden du indleder en formel salgsproces, er det værd at gennemføre en systematisk selvvurdering. Tænk på det som en "AI readiness score" — en struktureret gennemgang der giver dig et øjebliksbillede af, hvor du står.

    Niveau 0 — Ikke påbegyndt

    Ingen systematisk kortlægning af AI-systemer. Ingen risikoklassifikation. Ing

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr