ORDBOG

EU AI Act + NIS2 ordbog

32 centrale begreber, danske deployers støder på i EU AI Act og NIS2. Hver definition er kildehenvist til officiel forordningstekst — Regulation (EU) 2024/1689 eller Direktiv (EU) 2022/2555 — og skrevet med deployer-perspektivet for øje.

Primær kilde: konsolideret tekst på EUR-Lex 32024R1689 (AI Act) og EUR-Lex 32022L2555 (NIS2). Senest opdateret: 24. juni 2026.

A

AI-system

Reference: Regulation (EU) 2024/1689, Art. 3(1)

Et maskinbaseret system, der er designet til at fungere med varierende grad af autonomi, og som efter idriftsættelse kan udvise tilpasningsevne, og som af eksplicitte eller implicitte mål udleder, hvordan input genererer output — fx forudsigelser, indhold, anbefalinger eller beslutninger — der kan påvirke fysiske eller virtuelle miljøer. Definitionen er bevidst bred og dækker både klassisk machine learning, generative AI-modeller og regelbaserede systemer med statistisk komponent. Ren deterministisk software (fx en SQL-rapport eller en Excel-makro) falder uden for.

For deployers: Hvis et tool i din stack lærer fra data eller genererer output, skal du behandle det som et AI-system, indtil leverandøren dokumenterer det modsatte.

Se også: Udbyder (provider), Idriftsætter (deployer), Højrisiko-AI

AI Office

Reference: Regulation (EU) 2024/1689, Art. 64 + Kommissionens afgørelse C(2024) 1459

EU-Kommissionens dedikerede AI-kontor, etableret i februar 2024 under DG CNECT. Fører tilsyn med general-purpose AI-modeller (GPAI), drifter Code of Practice for GPAI, koordinerer med nationale tilsynsmyndigheder og er sekretariat for European Artificial Intelligence Board. AI Office håndhæver IKKE direkte på deployer-niveau — det gør de nationale tilsynsmyndigheder.

Se også: GPAI — general-purpose AI, Sanktioner / bøder

AI-literacy (Art. 4)

Reference: Regulation (EU) 2024/1689, Art. 4 — i kraft siden 2. februar 2025

Pligt for både udbydere og idriftsættere af AI-systemer til at sikre, at deres personale (og andre, der opererer eller bruger AI-systemerne på deres vegne) har et tilstrækkeligt niveau af AI-kompetencer. Niveauet skal tilpasses brugernes tekniske viden, erfaring, uddannelse og den kontekst, AI-systemet bruges i. Forordningen specificerer ingen konkret eksamen — kravet er rolle-baseret dokumentation: hvilke roller bruger AI, hvilken træning har de fået, hvornår.

For deployers: Et Article 4-register (roller × træning × dato) er minimumsbevis. PowerQuant M1 leverer skabelonen.

Se også: Idriftsætter (deployer), Deployer-forpligtelser (Art. 26)

Alvorlig hændelse

Reference: Regulation (EU) 2024/1689, Art. 3(49) + Art. 73

En hændelse eller funktionsfejl ved et AI-system, der direkte eller indirekte fører til: død eller alvorlig sundhedsskade, alvorlig og uoprettelig forstyrrelse af kritisk infrastruktur, krænkelse af EU-grundrettigheder, eller alvorlig skade på ejendom eller miljø. Udbydere af højrisiko-AI skal rapportere til den nationale tilsynsmyndighed senest 15 dage efter kendskab (kortere ved livstruende hændelser eller død). Idriftsætteren har en spejlpligt: informere udbyder + tilsyn straks ved kendskab.

Se også: Højrisiko-AI, Post-market monitoring, Deployer-forpligtelser (Art. 26)

Annex III (højrisiko-områder)

Reference: Regulation (EU) 2024/1689, Annex III

Listen over use cases, hvor et AI-system automatisk klassificeres som højrisiko. Otte hovedområder: (1) biometri, (2) kritisk infrastruktur, (3) uddannelse, (4) beskæftigelse og HR — herunder rekruttering, screening, performance management og fordeling af opgaver, (5) adgang til væsentlige private og offentlige tjenester (kreditscoring, forsikring), (6) retshåndhævelse, (7) migration og grænsekontrol, (8) retspleje og demokratiske processer. Listen kan udvides af Kommissionen via delegerede retsakter.

For deployers: De fleste HR-tech AI-systemer (rekruttering, ranking, monitoring) lander i Annex III pkt. 4 — uanset om I selv kalder det 'beslutningsstøtte'.

Se også: Højrisiko-AI, Annex IV (teknisk dokumentation), Deployer-forpligtelser (Art. 26)

Annex IV (teknisk dokumentation)

Reference: Regulation (EU) 2024/1689, Annex IV (jf. Art. 11)

Indholdsfortegnelsen for den tekniske dokumentation, som udbydere af højrisiko-AI skal udarbejde og holde opdateret. Ni hovedafsnit: systembeskrivelse, designvalg, arkitektur og datakilder, valideringsmetode, risikohåndtering, ændringsstyring, performance-metrikker, instruktioner til idriftsætteren samt EU-overensstemmelseserklæring. Notificerede myndigheder kan kræve dokumentationen udleveret i op til 10 år efter AI-systemet er taget af markedet.

For deployers: Som idriftsætter får du IKKE Annex IV ud af udbyderen — men du må kræve det Art. 13-uddrag, du selv har brug for til Art. 26 + Art. 27.

Se også: Annex III (højrisiko-områder), Udbyder (provider), Overensstemmelsesvurdering (conformity assessment)

B

Bemyndiget organ (notified body)

Reference: Regulation (EU) 2024/1689, Art. 29-39

En uafhængig tredjeparts-organisation, der er notificeret til Kommissionen og kan udføre overensstemmelsesvurdering for visse højrisiko-AI-systemer — primært biometrisk identifikation under Annex III pkt. 1(a). For de fleste øvrige Annex III-områder (inkl. HR) gennemfører udbyderen selv en intern overensstemmelsesvurdering uden notified body. Bemyndigede organer udpeges af medlemsstaternes nationale notificerende myndigheder (i Danmark forventes Sikkerhedsstyrelsen).

Se også: Overensstemmelsesvurdering (conformity assessment), CE-mærkning

C

CE-mærkning

Reference: Regulation (EU) 2024/1689, Art. 48 + Forordning (EF) 765/2008

Den fysiske eller digitale CE-mærkning, som udbyderen sætter på et højrisiko-AI-system efter gennemført overensstemmelsesvurdering. Dokumenterer, at systemet overholder AI Act + relevante harmoniserede produktregler. For rent digitale AI-systemer placeres CE-mærket i den ledsagende dokumentation og — hvis teknisk muligt — i UI'et. CE-mærket må først anbringes, når EU-overensstemmelseserklæringen er underskrevet.

Se også: Overensstemmelsesvurdering (conformity assessment), Bemyndiget organ (notified body), Annex IV (teknisk dokumentation)

CSIRT

Reference: Direktiv (EU) 2022/2555 (NIS2), Art. 10-11

Computer Security Incident Response Team — det nationale CERT, som NIS2-enheder skal rapportere væsentlige cyberhændelser til. I Danmark er det Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste, der fungerer som national CSIRT for de fleste sektorer; sektor-CSIRT'er kan supplere (fx CSIRT-DK for energi). CSIRT modtager 24-timers early warning, 72-timers hændelsesnotifikation og 1-måneds slutrapport.

Se også: NIS2-direktivet, Hændelsesrapportering (NIS2)

D

Datakvalitet og data governance

Reference: Regulation (EU) 2024/1689, Art. 10

Krav til, at træning-, validerings- og testdatasæt brugt af højrisiko-AI er relevante, repræsentative, så vidt muligt fejlfri og fuldstændige, og at de afspejler det geografiske, adfærdsmæssige og funktionelle miljø, AI-systemet skal bruges i. Udbyderen skal dokumentere datakilder, mærkning, processer for at undgå bias, og evt. behandling af særlige kategorier af persondata (Art. 9 GDPR) når det er strengt nødvendigt for bias-detektion. Idriftsætteren har ingen Art. 10-pligt — men kan kræve dokumentationen via Art. 13.

Se også: Udbyder (provider), Risikostyringssystem, Annex IV (teknisk dokumentation)

Deepfake

Reference: Regulation (EU) 2024/1689, Art. 3(60) + Art. 50(4)

AI-genereret eller AI-manipuleret billede-, lyd- eller videoindhold, der ligner eksisterende personer, objekter, steder eller begivenheder, og som fejlagtigt ville fremstå for et menneske som autentisk eller sandfærdigt. Idriftsætteren skal mærke deepfake-indhold som AI-genereret eller -manipuleret. Undtagelser gælder for kunstnerisk/satirisk indhold (men oplysningspligten består — bare i format, der ikke ødelægger oplevelsen) og for retshåndhævelse.

Se også: Transparensforpligtelse (Art. 50), Deployer-forpligtelser (Art. 26)

Deployer-forpligtelser (Art. 26)

Reference: Regulation (EU) 2024/1689, Art. 26

Kernepligterne for idriftsættere af højrisiko-AI: (a) brug systemet efter udbyderens brugsanvisning, (b) tildel menneskeligt tilsyn til kompetente personer, (c) sørg for at input-data er relevante og repræsentative, (d) overvåg drift og log alvorlige hændelser, (e) opbevar automatisk genererede logfiler i minimum 6 måneder, (f) informer arbejdstagere og deres repræsentanter inden idriftsættelse af AI på arbejdspladsen, (g) gennemfør Art. 27 FRIA for relevante offentlige tjenester og kreditscoring.

For deployers: Art. 26 er det ENESTE sted i AI Act, hvor 'arbejdsmarkedet' er nævnt eksplicit — pligten til at informere medarbejdere kommer her, ikke i GDPR.

Se også: Idriftsætter (deployer), FRIA — Fundamental Rights Impact Assessment, Menneskelig overvågning, AI-literacy (Art. 4)

Distributør

Reference: Regulation (EU) 2024/1689, Art. 3(7)

Enhver fysisk eller juridisk person i forsyningskæden — bortset fra udbyderen og importøren — der gør et AI-system tilgængeligt på EU-markedet. Typisk reseller eller systems integrator. Distributørens pligter (Art. 24): verificér CE-mærkning + EU-overensstemmelseserklæring, kontrollér at udbyder + importør har opfyldt deres pligter, og indberet kendte non-conformities til udbyder + myndigheder.

Se også: Udbyder (provider), Importør, Operatør

F

Forbudte AI-praksisser (Art. 5)

Reference: Regulation (EU) 2024/1689, Art. 5 — i kraft siden 2. februar 2025

Otte kategorier af AI-anvendelse, der er fuldstændigt forbudt i EU: (1) subliminal eller manipulativ teknik, der skader, (2) udnyttelse af sårbarheder (alder, handicap, social/økonomisk situation), (3) social scoring af individer baseret på adfærd eller forudsagte personlige egenskaber, (4) profil-baseret kriminalitets-risikovurdering af enkeltpersoner, (5) ikke-målrettet skraber-baseret ansigtsgenkendelses-database, (6) emotionsgenkendelse på arbejdspladsen og i uddannelse (med medicinske/sikkerhedsundtagelser), (7) biometrisk kategorisering efter beskyttede karakteristika, (8) real-time fjern-biometrisk identifikation i offentlige rum til retshåndhævelse (med snævre undtagelser). Sanktion: op til 35 mio. EUR eller 7 % af global omsætning.

For deployers: Pkt. 6 rammer HR-tech: AI, der måler medarbejderes 'engagement' via webcam eller stemme, er som hovedregel forbudt — uanset om det er sundhedsbegrundet, hvis det reelt overvåger emotion.

Se også: Sanktioner / bøder, Højrisiko-AI

FRIA — Fundamental Rights Impact Assessment

Reference: Regulation (EU) 2024/1689, Art. 27

Konsekvensanalyse for grundlæggende rettigheder, som visse idriftsættere skal gennemføre FØR første brug af et højrisiko-AI-system. Pligten gælder offentlige organer samt private aktører, der leverer offentlige tjenester, plus banker/forsikringsselskaber, der bruger AI til kreditscoring eller risikovurdering af livs- og sygeforsikring. Skal beskrive: processen, det tidsrum AI bruges i, hvilke fysiske personer der påvirkes, specifikke risici og afbødende foranstaltninger samt governance + klageadgang. FRIA-resultatet skal anmeldes til den nationale tilsynsmyndighed.

For deployers: Standard HR-tech rekruttering kræver IKKE FRIA — men hvis I bruger AI til at fordele offentlige sundheds- eller velfærdsydelser, gør det. GDPR-DPIA er ikke en erstatning.

Se også: Deployer-forpligtelser (Art. 26), Højrisiko-AI

G

GPAI — general-purpose AI

Reference: Regulation (EU) 2024/1689, Art. 3(63) + Art. 51-55

En AI-model, der er trænet på store mængder data ved brug af self-supervision i stor skala, viser betydelig generalitet og er i stand til kompetent at udføre en bred vifte af forskellige opgaver — uafhængigt af, hvordan modellen efterfølgende markedsføres. Eksempler: GPT-, Claude-, Gemini-, Mistral-modeller. GPAI-udbyderens pligter (Art. 53) gælder fra 2. august 2025: teknisk dokumentation, information til downstream-leverandører, opfyldelse af ophavsret + offentligt resumé af træningsindhold.

Se også: GPAI med systemisk risiko, Udbyder (provider), AI Office

GPAI med systemisk risiko

Reference: Regulation (EU) 2024/1689, Art. 51 + Annex XIII

GPAI-modeller, der vurderes til at have systemisk risiko enten via computer-tærskel (>10^25 FLOPs total compute brugt under træning) eller via Kommissionens afgørelse baseret på Annex XIII (antal brugere, datasæt-størrelse, autonomi, m.fl.). Ekstra pligter (Art. 55): model-evaluering, adversarial testing, systemisk risikohåndtering, cyber-resiliens, hændelsesrapportering til AI Office. Pr. juni 2026 er bl.a. GPT-4-klassen, Claude-klassen og Gemini-klassen designeret.

Se også: GPAI — general-purpose AI, AI Office

H

Højrisiko-AI

Reference: Regulation (EU) 2024/1689, Art. 6 + Annex I/III

AI-systemer klassificeret som højrisiko enten fordi de er sikkerhedskomponent i et produkt, der allerede er reguleret under EU-harmoniserede produktregler (Annex I — fx medicinsk udstyr, maskiner, legetøj) ELLER fordi de bruges i et af de otte Annex III-områder. Undtagelse: et Annex III-system er IKKE højrisiko, hvis det kun udfører en snæver proceduremæssig opgave, kun forbedrer et menneskelig udført arbejde, kun afslører beslutningsmønstre uden at erstatte menneskelig vurdering, eller kun er forberedende. Udbyderen skal dokumentere ikke-højrisiko-vurderingen.

Se også: Annex III (højrisiko-områder), Annex IV (teknisk dokumentation), Udbyder (provider), Risikostyringssystem

Hændelsesrapportering (NIS2)

Reference: Direktiv (EU) 2022/2555, Art. 23

NIS2-enheder skal rapportere væsentlige hændelser til CSIRT eller kompetent myndighed i tre tempi: (1) tidlig varsling senest 24 timer efter kendskab, med angivelse af om hændelsen forventes at have grænseoverskridende effekt eller skyldes ulovlig/ondsindet handling, (2) hændelsesnotifikation senest 72 timer efter kendskab med opdateret vurdering og indikatorer for kompromittering, (3) slutrapport senest 1 måned efter hændelsesnotifikationen med detaljeret beskrivelse, root cause og afbødende foranstaltninger. Brugere skal informeres uden unødigt ophold, hvis hændelsen kan have negativ indvirkning på dem.

For deployers: Hvis I er HR-tech SaaS klassificeret som vigtig enhed (digital tjenesteyder), starter 24-timers uret når jeres SRE bekræfter alvorlig hændelse — ikke når kommunikationsafdelingen får besked.

Se også: NIS2-direktivet, Væsentlig vs vigtig enhed (NIS2), CSIRT

I

Idriftsætter (deployer)

Reference: Regulation (EU) 2024/1689, Art. 3(4)

En fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ, der bruger et AI-system under sin autoritet — bortset fra brug i en personlig, ikke-erhvervsmæssig aktivitet. 'Idriftsætter' er den officielle danske oversættelse af 'deployer'. De fleste virksomheder, der køber et AI-tool (fx en HR-tech screeningsplatform) og tager det i brug, er idriftsættere — IKKE udbydere. Idriftsætteren bærer Art. 26-pligterne for højrisiko-AI og Art. 50-transparenspligten ved interaktion med fysiske personer.

For deployers: Du kan blive omklassificeret til udbyder, hvis du sætter dit eget brand på AI'en, ændrer formålet, eller foretager substantielle ændringer (Art. 25).

Se også: Udbyder (provider), Deployer-forpligtelser (Art. 26), Substantiel ændring

Importør

Reference: Regulation (EU) 2024/1689, Art. 3(6)

Enhver fysisk eller juridisk person etableret i EU, der bringer et AI-system bærende navn eller varemærke fra en tredjelands-baseret udbyder i omsætning på EU-markedet. Importørens pligter (Art. 23): verificér at udbyderen har gennemført overensstemmelsesvurdering + udarbejdet teknisk dokumentation, kontrollér CE-mærket, sikr at brugsanvisning er på officielt EU-sprog, og at importørens kontaktoplysninger er anført på systemet eller emballagen.

Se også: Udbyder (provider), Distributør, CE-mærkning

M

Menneskelig overvågning

Reference: Regulation (EU) 2024/1689, Art. 14

Krav om, at højrisiko-AI er designet sådan, at fysiske personer effektivt kan overvåge systemet i den periode, det er i brug. Udbyderen skal designe interface og kontroller, så overvågeren kan: forstå systemets kapaciteter og begrænsninger, korrekt fortolke output, beslutte at se bort fra output, intervenere eller standse systemet via 'stop'-knap eller lignende. To-menneskers verifikation kræves for biometrisk identifikation (Annex III pkt. 1(a)). Idriftsætteren skal udpege overvågere med kompetence + autoritet (Art. 26(2)).

For deployers: 'Klik for at acceptere' i en rekrutterings-pipeline er IKKE menneskelig overvågning. Overvågeren skal kunne fortolke + tilsidesætte — og være trænet til det.

Se også: Højrisiko-AI, Deployer-forpligtelser (Art. 26), AI-literacy (Art. 4)

N

NIS2-direktivet

Reference: Direktiv (EU) 2022/2555 — Network and Information Security 2

EU-direktiv vedtaget 14. december 2022 med implementeringsdeadline 17. oktober 2024. Erstatter NIS1 (2016/1148). Udvider personkredsen til 18 sektorer (fx digital infrastruktur, leverandører af administrerede tjenester, fødevarer, offentlig administration) og indfører harmoniserede krav til risikostyring (Art. 21), ledelsens ansvar (Art. 20), hændelsesrapportering (Art. 23) og leverandørkæde-sikkerhed. I Danmark implementeres NIS2 via national lov; lovens endelige ikrafttrædelse er som af medio 2026 forsinket ift. EU-deadline. Tjek Erhvervsstyrelsen for opdateret status.

Se også: Væsentlig vs vigtig enhed (NIS2), Hændelsesrapportering (NIS2), CSIRT

O

Operatør

Reference: Regulation (EU) 2024/1689, Art. 3(8)

Samlebetegnelse for udbyder, producent, idriftsætter, autoriseret repræsentant, importør og distributør. Bruges i forordningen, når en pligt gælder flere roller samtidigt (fx generel pligt til at samarbejde med markedsovervågningsmyndigheder, jf. Art. 74). I praksis: når teksten siger 'operator', skal du tjekke om din specifikke rolle (typisk idriftsætter) er omfattet.

Se også: Udbyder (provider), Idriftsætter (deployer), Importør, Distributør

Overensstemmelsesvurdering (conformity assessment)

Reference: Regulation (EU) 2024/1689, Art. 43 + Annex VI/VII

Processen, hvor det dokumenteres, at et højrisiko-AI-system opfylder kravene i AI Act kapitel III afsnit 2. To procedurer: (a) intern kontrol (Annex VI) — udbyderen vurderer selv; gælder for de fleste Annex III-områder inkl. HR, kreditscoring, uddannelse, beskæftigelse, (b) tredjepart med bemyndiget organ (Annex VII) — gælder kun biometrisk identifikation under Annex III pkt. 1(a), eller hvis ikke alle harmoniserede standarder er anvendt. Skal gennemføres FØR systemet bringes i omsætning og gentages ved substantielle ændringer.

Se også: Højrisiko-AI, Bemyndiget organ (notified body), Annex IV (teknisk dokumentation), CE-mærkning

P

Post-market monitoring

Reference: Regulation (EU) 2024/1689, Art. 72 + Implementing Act forventet

Udbyderens pligt til systematisk og aktivt at indsamle, dokumentere og analysere data om højrisiko-AI-systemets performance i hele dets livscyklus, så det løbende kan vurderes om systemet stadig overholder AI Act-kravene. Skal være beskrevet i en post-market monitoring-plan, der er en del af den tekniske dokumentation (Annex IV pkt. 9). Idriftsætteren har spejlpligt: rapportere alvorlige hændelser og funktionsfejl til udbyderen uden ugrundet ophold (Art. 26(5)).

Se også: Alvorlig hændelse, Udbyder (provider), Annex IV (teknisk dokumentation)

R

Risikostyringssystem

Reference: Regulation (EU) 2024/1689, Art. 9

Et kontinuerligt, iterativt system, som udbyderen af højrisiko-AI skal etablere, implementere, dokumentere og vedligeholde gennem hele AI-systemets livscyklus. Skal omfatte: identifikation og analyse af kendte og rimeligt forudsigelige risici, vurdering af risici opstået ved tilsigtet brug + rimeligt forudsigelig misbrug, evaluering af data fra post-market monitoring, og passende risikostyringsforanstaltninger. Specifik beskyttelse af sårbare grupper (børn, ældre, personer med handicap) skal være indarbejdet.

Se også: Datakvalitet og data governance, Højrisiko-AI, Udbyder (provider)

S

Sanktioner / bøder

Reference: Regulation (EU) 2024/1689, Art. 99 — håndhævelig fra 2. august 2025

Tre bøde-niveauer: (1) op til 35 mio. EUR eller 7 % af samlet global årsomsætning (det højeste) for overtrædelse af Art. 5-forbud; (2) op til 15 mio. EUR eller 3 % for overtrædelse af de fleste øvrige operatør-pligter (Art. 16, 22, 23, 24, 25, 26, 27, 50, 53, 54); (3) op til 7,5 mio. EUR eller 1 % for forkerte, ufuldstændige eller vildledende oplysninger til myndigheder. For SMV'er + startups gælder DET LAVESTE af de to beløb. Nationale myndigheder fastsætter sanktionsniveauet inden for disse rammer.

Se også: Forbudte AI-praksisser (Art. 5), Deployer-forpligtelser (Art. 26)

Substantiel ændring

Reference: Regulation (EU) 2024/1689, Art. 3(23)

En ændring af et AI-system efter dets ibrugtagning, som ikke er forudset eller planlagt i den indledende overensstemmelsesvurdering, og som påvirker AI-systemets overholdelse af kapitel III afsnit 2, eller medfører en ændring af det tilsigtede formål. Trigger: ny overensstemmelsesvurdering + opdateret teknisk dokumentation. En idriftsætter, der foretager substantielle ændringer, omklassificeres til udbyder (Art. 25(1)(c)) med fulde provider-pligter.

For deployers: At finjustere en GPAI-model med jeres egne CV'er kan udløse provider-status. Hold konfigurations- og prompt-loggen — det er beviset for, hvornår 'tuning' bliver 'modificering'.

Se også: Idriftsætter (deployer), Udbyder (provider), Overensstemmelsesvurdering (conformity assessment)

T

Transparensforpligtelse (Art. 50)

Reference: Regulation (EU) 2024/1689, Art. 50 — i kraft fra 2. august 2026

Fire transparenspligter, der gælder uanset risiko-kategori: (1) udbydere skal designe AI-systemer, der interagerer med fysiske personer, så brugeren oplyses om AI-interaktionen (medmindre det er åbenbart); (2) udbydere af generativ AI skal mærke output i et maskinlæsbart format som AI-genereret; (3) idriftsættere af emotionsgenkendelse eller biometrisk kategorisering skal informere de eksponerede personer; (4) idriftsættere af deepfake-systemer skal mærke det AI-genererede indhold som sådan. Undtagelser for kunstnerisk indhold (med opretholdt oplysningspligt) og retshåndhævelse.

For deployers: Deadline 2. august 2026 er IKKE udsat af Digital Omnibus-pakken. Chatbots på jeres karriereside skal være Art. 50-compliant fra den dato.

Se også: Deepfake, Deployer-forpligtelser (Art. 26), Sanktioner / bøder

U

Udbyder (provider)

Reference: Regulation (EU) 2024/1689, Art. 3(3)

En fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ, der udvikler et AI-system eller en GPAI-model, eller får udviklet et AI-system eller en GPAI-model og bringer det/den i omsætning eller idriftsætter under eget navn eller varemærke — uanset om mod betaling eller gratis. Udbyderen bærer hovedparten af AI Act-pligterne for højrisiko-AI: risikostyring, datakvalitet, teknisk dokumentation, log-arkitektur, transparens over for idriftsætter, menneskelig overvågning, nøjagtighed/robusthed/cybersikkerhed, overensstemmelsesvurdering, CE-mærkning, post-market monitoring.

Se også: Idriftsætter (deployer), Annex IV (teknisk dokumentation), Overensstemmelsesvurdering (conformity assessment)

V

Væsentlig vs vigtig enhed (NIS2)

Reference: Direktiv (EU) 2022/2555, Annex I + Annex II

NIS2 opdeler regulerede enheder i to klasser. Væsentlige enheder (essential entities, Annex I) er store enheder i højkritiske sektorer: energi, transport, bank, finansmarkedsinfrastruktur, sundhed, drikkevand, spildevand, digital infrastruktur, ICT-tjenestestyring, offentlig administration, rumfart. Vigtige enheder (important entities, Annex II) er mellemstore enheder i samme sektorer + alle størrelser i 'andre kritiske sektorer': post- og kurer, affaldsforvaltning, kemi, fødevarer, fremstilling af medicinsk udstyr, digitale udbydere (online markedspladser, søgemaskiner, sociale platforme). Forskel: væsentlige er underlagt ex-ante tilsyn (proaktive inspektioner); vigtige kun ex-post (efter hændelse eller anmeldelse).

For deployers: HR-tech SaaS klassificeres typisk som vigtig enhed (Annex II — digital udbyder), ikke væsentlig — men I rammes stadig af Art. 21 risikostyring + Art. 23 hændelsesrapportering.

Se også: NIS2-direktivet, Hændelsesrapportering (NIS2)

Brug ordbogen sammen med leverancen

PowerQuant Module 1 oversætter ordbogens begreber til konkrete registre for jeres organisation: AI-inventar, Art. 4 AI-literacy register og gap-analyse mod Annex III + Art. 26. Fast pris 10.999 kr, leveret på 5 hverdage.

Se Module 1 →Tilbage til vidensbasen →

Disclaimer: Ordbogen er teknisk dokumentationshjælp, ikke juridisk rådgivning. Ved konkret tvivlsspørgsmål — konsultér advokat eller den nationale tilsynsmyndighed (i Danmark forventes Digitaliseringsstyrelsen som koordinerende AI Act-myndighed, Datatilsynet for grundrettighedsaspekter, og Center for Cybersikkerhed for NIS2-CSIRT).