BEACON Guide

EU’s AI-forordning (AI Act), forklaret.

EU’s AI-forordning (AI Act, forordning (EU) 2024/1689) er verdens første omfattende AI-lov. Den trådte i kraft den 1. august 2024 og gælder i faser — den forbyder visse AI-praksisser helt, pålægger systemer med ”høj risiko” strenge pligter og kræver gennemsigtighed, når mennesker interagerer med AI eller ser AI-genereret indhold. I 2026 flyttede ”Digital Omnibus on AI” flere frister, så her er det opdaterede billede: hvad forordningen dækker, hvem der skal overholde den og hvornår, bøderne, og hvad den betyder for en almindelig hjemmeside.

Start gratis Kør et gratis tjek
Risikobaseret, ikke generelFire niveauer: forbudte praksisser, højrisikosystemer, begrænset risiko (gennemsigtighedskrav) og minimal risiko — det meste AI lander i det sidste niveau uden nye forpligtelser.
Trinvis tidslinjeForbud og krav om AI-kompetencer siden feb. 2025; regler for AI til almen brug (GPAI) siden aug. 2025; gennemsigtighedskrav fra aug. 2026; højrisikokrav nu udskudt til dec. 2027 / aug. 2028.
Ekstraterritorial rækkeviddeDen gælder udbydere og brugere uden for EU, når AI-systemets output bruges i EU — ligesom med GDPR behøver du ikke et EU-kontor for at være omfattet.
Hårde forbudSocial scoring, manipulerende teknikker, umålrettet indsamling af ansigtsbilleder, følelsesgenkendelse på arbejde og i skolen (med snævre undtagelser) — forbudt siden februar 2025.
Gennemsigtighed for hjemmesiderChatbots skal oplyse, at de er AI; AI-genereret og manipuleret indhold (deepfakes) skal mærkes, med maskinlæsbar mærkning af syntetiske medier.
Bøder i GDPR-klassenOp til 35 mio. € eller 7% af den globale omsætning for forbudte praksisser; op til 15 mio. € eller 3% for de fleste andre overtrædelser; op til 7,5 mio. € eller 1% for vildledende oplysninger.
De fire risikoniveauer kort fortalt
Uacceptabel risiko
Forbudt
Høj risiko
Strenge pligter + registrering
Begrænset risiko
Gennemsigtighedspligter
Minimal risiko
Ingen nye pligter
Maksimale bøder
Forbudte praksisser€35M / 7%
De fleste andre overtrædelser€15M / 3%
Vildledende oplysninger€7.5M / 1%
af den globale årsomsætning (det højeste beløb)
Tidslinjen — opdateret efter Digital Omnibus 2026
1.8.2024Træder i kraft
2.2.2025Forbud + AI-kompetencer
2.8.2025Regler for GPAI-modeller
2.8.2026Gennemsigtighed + bøderI dag
2.12.2026Nye indholdsforbud
2.12.2027Høj risiko — bilag III
2.8.2028Høj risiko — bilag I

Hvad AI-forordningen er (og ikke er)

AI-forordningen er en produktsikkerhedslignende regulering af AI-systemer, der bringes på EU-markedet, eller hvis output bruges i EU. Den regulerer ikke ”AI” som teknologi — den regulerer specifikke anvendelser efter risiko. Jo højere risiko for sundhed, sikkerhed eller grundlæggende rettigheder, desto tungere forpligtelser. Det meste hverdags-AI (spamfiltre, anbefalingswidgets, stavekontrol, AI-funktioner i produktivitetsværktøjer) er minimal risiko og får slet ingen nye pligter.

De fire risikoniveauer

Alt i forordningen hviler på denne klassificering:

  • Uacceptabel risiko — totalforbudt siden den 2. februar 2025: social scoring, udnyttende eller manipulerende teknikker, umålrettet indsamling af ansigtsbilleder, følelsesgenkendelse på arbejdspladser og i skoler (snævre sikkerhedsundtagelser), biometrisk kategorisering for at udlede følsomme egenskaber samt biometrisk fjernidentifikation i realtid i det offentlige rum til retshåndhævelse (begrænsede undtagelser). Fra den 2. december 2026 forbyder 2026-ændringen desuden udtrykkeligt AI-systemer, der genererer intime billeder uden samtykke eller CSAM.
  • Høj risiko — tilladt, men strengt reguleret: AI brugt som sikkerhedskomponent i regulerede produkter (bilag I — maskiner, medicinsk udstyr, elevatorer…) eller i følsomme anvendelser (bilag III — rekruttering og medarbejderledelse, karaktergivning i uddannelse, kreditvurdering, essentielle tjenester, retshåndhævelse, migration, retsvæsen). Pligterne omfatter risikostyring, datagovernance, teknisk dokumentation, logning, menneskeligt tilsyn, test af nøjagtighed/robusthed og registrering i en EU-database.
  • Begrænset risiko — gennemsigtighedskrav (artikel 50): fortæl folk, når de interagerer med et AI-system (chatbots), mærk AI-genereret eller manipuleret billed-/lyd-/videoindhold (deepfakes), mærk syntetisk indhold maskinlæsbart, og oplys om AI-genereret tekst, der offentliggøres for at informere offentligheden om emner af offentlig interesse.
  • Minimal risiko — alt andet: ingen nye forpligtelser, frivillige adfærdskodekser opmuntres.

Tidslinjen i 2026 — opdateret efter Digital Omnibus

Forordningen trådte i kraft den 1. august 2024 og skulle have været næsten fuldt gældende den 2. august 2026. I november 2025 foreslog Kommissionen ”Digital Omnibus on AI” for at forenkle og forskyde det; Parlamentet godkendte den 16. juni 2026, og Rådet gav sin endelige godkendelse den 29. juni 2026. De vigtigste datoer nu:

  • 2. februar 2025 — forbuddene mod praksisser med uacceptabel risiko og kravene om AI-kompetencer trådte i kraft.
  • 2. august 2025 — forpligtelser for udbydere af AI-modeller til almen brug (GPAI): teknisk dokumentation, ophavsretspolitik, resuméer af træningsdata; ekstra pligter for modeller med systemisk risiko — samt EU’s AI-kontor og governance-strukturer.
  • 2. august 2026 — forordningen bliver generelt gældende: gennemsigtighedskrav (artikel 50), bøder og de fleste øvrige bestemmelser. Maskinlæsbar mærkning af syntetisk indhold får en overgangsperiode til den 2. december 2026 for systemer, der allerede var på markedet før den 2. august 2026.
  • 2. december 2026 — nye forbud mod AI, der genererer intime billeder uden samtykke og CSAM, træder i kraft.
  • 2. december 2027 — højrisikokrav for anvendelser i bilag III (rekruttering, kreditvurdering, uddannelse…) — udskudt 16 måneder fra den oprindelige dato i august 2026.
  • 2. august 2028 — højrisikokrav for produktindlejret AI efter bilag I (medicinsk udstyr, maskiner…) — udskudt et år fra august 2027. Nationale reguleringsmæssige sandkasser skal være klar senest den 2. august 2027.

Hvem der skal overholde den

Forpligtelserne knytter sig til roller i værdikæden: udbydere (der udvikler eller bringer et AI-system på EU-markedet under eget navn), brugere (der anvender et AI-system professionelt) samt importører og distributører. Rækkevidden er ekstraterritorial — en SaaS fra USA eller Storbritannien, hvis AI-output bruges i EU, er omfattet. SMV’er får visse lempelser: forenklet dokumentation, prioriteret adgang til sandkasser og bøder, der begrænses til det laveste af de to beløb i stedet for det højeste.

Hvad AI-forordningen betyder for din hjemmeside

For de fleste virksomheder er de første reelle berøringspunkter gennemsigtighedsreglerne, der gælder fra august 2026 — de handler om, hvad besøgende ser på din side:

  • AI-chatbots og assistenter på din side skal gøre det klart, at den besøgende taler med en maskine (medmindre det er åbenlyst ud fra konteksten).
  • AI-genererede eller AI-manipulerede billeder, lyd og video (deepfakes), som du offentliggør, skal mærkes synligt som kunstigt genereret eller manipuleret.
  • Syntetiske medier bør bære maskinlæsbar mærkning (f.eks. metadata/vandmærkning) — mærkningspligten for systemer fra før aug. 2026 gælder fra den 2. december 2026.
  • AI-skrevet tekst, der offentliggøres for at informere offentligheden om emner af offentlig interesse, skal oplyses som AI-genereret, medmindre den har været igennem menneskelig redaktionel gennemgang med ansvarspåtagelse.
  • Bruger du AI til rekruttering, kreditvurdering eller andre anvendelser i bilag III, så forbered dig på højrisikoregimet, der gælder fra den 2. december 2027.
  • AI-kompetencer: organisationer, der bruger AI professionelt, bør tage skridt til, at medarbejderne forstår de systemer, de betjener.

Bøder

Bødestrukturen er bevidst GDPR-lignende: op til 35 mio. € eller 7% af den globale årsomsætning (alt efter hvad der er højest) for forbudte praksisser; op til 15 mio. € eller 3% for de fleste andre overtrædelser, herunder højrisiko- og GPAI-pligter; op til 7,5 mio. € eller 1% for at give myndigheder ukorrekte eller vildledende oplysninger. For SMV’er er hvert loft det laveste af de to beløb. Håndhævelsen deles mellem nationale markedsovervågningsmyndigheder og, for GPAI-modeller, EU’s AI-kontor.

Hvordan Beacon passer ind

Beacon scanner allerede, hvad søgemaskiner og AI-crawlere faktisk ser på din hjemmeside — robots.txt-politikker, renderet indhold, strukturerede data og oplysninger. Vi bygger videre på det fundament med en AI Act-parathedsscanning: et automatiseret tjek af din hjemmesides besøgendevendte gennemsigtighedssignaler (chatbot-oplysning, mærkning af AI-indhold, maskinlæsbar mærkning og tilhørende metadata) med en prioriteret rettelsesliste. Det bliver ikke juridisk rådgivning — men den viser dig konkret, hvad din side eksponerer i dag, og hvad du skal rette først.

FAQ

Gælder EU’s AI-forordning for virksomheder uden for EU?

Ja. Ligesom GDPR har den ekstraterritorial rækkevidde: bringer du et AI-system på EU-markedet, eller bruges systemets output i EU, er du omfattet, uanset hvor din virksomhed er etableret.

Hvornår gælder de vigtigste forpligtelser egentlig?

Forbud og AI-kompetencer siden den 2. februar 2025; pligter for GPAI-modeller siden den 2. august 2025; gennemsigtighedskrav og bøder fra den 2. august 2026. Efter Digital Omnibus i 2026 blev højrisikokravene udskudt til den 2. december 2027 (anvendelser i bilag III) og den 2. august 2028 (produktindlejret AI efter bilag I).

Skal jeg mærke AI-genereret indhold på min hjemmeside?

Hvis du offentliggør AI-genererede eller AI-manipulerede billeder, lyd eller video (deepfakes), ja — de skal mærkes, og syntetiske medier bør bære maskinlæsbar mærkning. AI-chatbots skal oplyse, at de er AI. AI-skrevet tekst om emner af offentlig interesse skal oplyses, medmindre en menneskelig redaktør tager ansvaret.

Er ChatGPT eller min AI-leverandør ansvarlig i stedet for mig?

Ansvaret er delt efter rolle. Modeludbyderen (f.eks. OpenAI) bærer GPAI-udbyderens pligter; du, som brugeren der sætter en chatbot på din side eller offentliggør AI-indhold, bærer gennemsigtighedspligterne over for dine besøgende.

Er det forbudt at bruge AI til SEO eller content marketing?

Nej. At generere marketingtekster med AI er minimal/begrænset risiko — helt lovligt. Forordningen kræver kun gennemsigtighed i bestemte tilfælde (deepfakes, tekst af offentlig interesse, chatbots) og forbyder en kort liste af skadelige praksisser, der intet har med normal markedsføring at gøre.

Hvad bør en hjemmesideejer gøre lige nu?

Kortlæg, hvor AI rører din side (chatbot, genererede billeder/tekster), tilføj tydelige AI-oplysninger og mærkninger, tjek din mærkning af syntetiske medier, og orientér dit team. Hold derefter øje med den 2. december 2027, hvis du bruger AI til rekruttering eller andre områder i bilag III.

Hurtig selvtest: hvor står I?

Seks udsagn — svar ærligt. Svarene bliver i din browser.

Besøgende ved, når de chatter med en AI (eller vi har ingen AI-chat).
AI-genererede billeder, lyd eller video er synligt mærket (eller vi udgiver ingen).
AI-skrevne artikler af offentlig interesse oplyses eller gennemgås af mennesker.
Vi har tjekket, at ingen AI-brug er en forbudt praksis (art. 5).
Vi ved, om nogen AI-brug falder under bilag III (høj risiko).
Vores team har fået grundlæggende AI-træning.
0/6 besvaretFå din gratis parathedsscanningDen gratis Beacon-konto inkluderer signal-scanningen og den interaktive tjekliste — uden kort.

Tjek hvad din hjemmeside eksponerer i dag — gratis

Kør Beacons gratis synlighedsscanning nu. AI Act-parathedstjek kommer snart til Beacon.

Start gratis Kør et gratis tjek