RAISE Act (New Yorks AI-sikkerhedslov)
RAISE Act (Responsible AI Safety and Education Act) er en amerikansk delstatslov vedtaget i New York i december 2025. Loven stiller krav om sikkerhedsprotokoller, transparens og hændelsesrapportering for udviklere af frontier AI-modeller og trådte i kraft 1. januar 2027.
For virksomheder, der udvikler, anvender eller køber AI-løsninger, er RAISE Act et tydeligt signal om, at regulering af AI-sikkerhed ikke længere er et europæisk fænomen. New York er den anden amerikanske stat efter Californien, der indfører omfattende regler for de største AI-modeller, og loven sætter en ny standard for, hvad der forventes af AI-udviklere globalt.
Selvom loven primært rammer de allerstørste AI-udviklere, påvirker den indirekte enhver virksomhed, der bygger på frontier-modeller fra leverandører som OpenAI, Google, Anthropic og Meta. De sikkerhedsprotokoller, som udviklerne skal offentliggøre, bliver et redskab til at vurdere leverandørernes modenhed og pålidelighed.
Hvad kræver RAISE Act?
RAISE Act pålægger såkaldte "large developers" at udarbejde, vedligeholde og offentliggøre en omfattende sikkerheds- og sikringsprotokol for deres frontier AI-modeller. Protokollen skal beskrive, hvordan udvikleren vurderer sikkerhedsrisici, anvender risikobegrænsende teknikker, bruger tredjepart til at evaluere katastroferisiko, beskytter mod modeltyveri og håndterer sikkerhedshændelser.
En frontier-model er defineret som en AI-model trænet med mere end 10^26 beregningsoperationer (FLOPs) til en beregningsomkostning over 100 millioner USD. Det omfatter også modeller fremstillet via Knowledge Distillation fra sådanne modeller, hvis destillationsomkostningen overstiger 5 millioner USD.
Loven kræver desuden hændelsesrapportering inden for 72 timer, når udvikleren har grund til at tro, at en sikkerhedshændelse er opstået. Ved hændelser med umiddelbar risiko for død eller alvorlig fysisk skade strammes fristen til 24 timer.
Derudover skal udviklere gennemføre en årlig uafhængig revision af deres sikkerheds- og sikringsprotokoller. Et resumé af revisionen skal offentliggøres, og væsentlige ændringer i protokollen skal kommunikeres løbende.
Tilsynet varetages af et nyt AI-tilsynskontor under New York Department of Financial Services (DFS), der får beføjelser til at overvåge overholdelse, udstede regler og offentliggøre årlige rapporter om status for frontier AI-sikkerhed.
Consile hjælper virksomheder med at navigere i AI-regulering som RAISE Act og EU AI Act. Kontakt os for en uforpligtende vurdering af, hvordan nye compliance-krav påvirker jeres AI-strategi.
Hvem rammer RAISE Act, og hvad betyder den for din virksomhed?
RAISE Act rammer direkte udviklere med en årlig omsætning over 500 millioner USD, der udvikler eller driver frontier-modeller i New York. Det betyder i praksis virksomheder som OpenAI, Google, Anthropic og Meta. Virksomheder, der udelukkende bruger, licenserer eller bygger applikationer oven på andres modeller, er ikke direkte omfattet.
Men den indirekte effekt er betydelig. Når frontier-udviklere skal offentliggøre deres sikkerhedsprotokoller og hændelsesrapporter, får alle virksomheder, der anvender disse modeller, et nyt grundlag for leverandørvurdering. Det bliver muligt at sammenligne udvikleres sikkerhedsmodenhed på tværs af udbydere, præcis som man i dag vurderer leverandørers AI Governance-praksis.
For europæiske virksomheder, der allerede arbejder med EU AI Act, er RAISE Act et tegn på, at det amerikanske reguleringslandskab bevæger sig i samme retning. Virksomheder, der har investeret i compliance-strukturer til EU AI Act, vil opdage, at mange af de samme principper gælder: risikovurdering, dokumentation, transparens og tilsyn.
Straframmen er op til 1 million USD for førstegangsovertredelser og op til 3 millioner USD for gentagne overtrædelser. New Yorks Attorney General kan anlægge civile sager mod udviklere, der ikke overholder loven.
For virksomheder i Danmark og Norden, der bruger frontier-modeller fra amerikanske leverandører, er det værd at følge, hvordan RAISE Act påvirker de sikkerhedsprotokoller og den dokumentation, som leverandørerne stiller til rådighed. Det kan blive en faktor i fremtidige leverandørvalg og risikovurderinger.
Hvad RAISE Act ikke er
RAISE Act regulerer ikke alle former for AI. Loven fokuserer udelukkende på frontier-modeller og de allerstørste udviklere. Virksomheder, der bygger mindre modeller, fine-tuner eksisterende modeller eller bruger AI-værktøjer via API, er ikke direkte omfattet. Det er vigtigt at skelne mellem RAISE Act og bredere regulering som EU AI Act, der har et langt bredere anvendelsesområde og rammer alle led i AI-værdikæden.
RAISE Act er heller ikke en lov, der forbyder bestemte AI-anvendelser. Den stiller krav om transparens og sikkerhedsprotokoller, men dikterer ikke, hvad frontier-modeller må eller ikke må bruges til. Det er en procesorienteret lov, ikke en indholdsorienteret lov.
Endelig er RAISE Act ikke en føderal amerikansk lov. Den gælder kun i delstaten New York, og der pågår en aktiv debat om føderal præemption, altså om en eventuel føderal AI-lov vil tilsidesætte statslige love som RAISE Act. Indtil videre er den dog gældende ret i New York og et vigtigt referencepunkt for AI-regulering i USA.
Relaterede termer
EU AI Act er den første omfattende AI-lovgivning i verden. Forstå kravene, risikokategorierne og hvad det betyder for danske virksomheder.
AI Governance er den organisatoriske ramme for ansvarlig AI-brug. Forstå hvad det indebærer og hvorfor det er afgørende for din virksomhed.
AI Compliance dækker de processer og systemer, virksomheder skal have på plads for at overholde AI-regulering som EU AI Act. Forstå kravene og kom i gang.
AI Risk Management handler om at identificere, vurdere og håndtere risici ved AI-systemer. Lær frameworks, best practices og krav fra EU AI Act.
Conformity assessment er den formelle vurdering af, om et højrisiko-AI-system overholder EU AI Act. Forstå processen, kravene og din virksomheds ansvar.
En AI Impact Assessment kortlægger risici og konsekvenser ved AI-systemer, før de tages i brug. Forstå kravene i EU AI Act og hvordan din virksomhed kommer i gang.
Ofte stillede spørgsmål om RAISE Act
Gælder RAISE Act for min virksomhed, hvis vi bruger AI fra f.eks. OpenAI?+
Ikke direkte. RAISE Act rammer kun udviklere med over 500 mio. USD i omsætning, der træner frontier-modeller. Men loven påvirker dig indirekte, fordi dine AI-leverandører nu skal offentliggøre sikkerhedsprotokoller og rapportere hændelser. Det giver dig bedre grundlag for leverandørvurdering.
Hvad er forskellen på RAISE Act og EU AI Act?+
EU AI Act regulerer alle AI-systemer i hele værdikæden baseret på risikoniveau. RAISE Act fokuserer udelukkende på frontier-modeller og de allerstørste udviklere. EU AI Act er bredere, mens RAISE Act er dybere på et snævrere område. Begge kræver transparens og dokumentation.
Hvornår træder RAISE Act i kraft, og hvad bør vi gøre nu?+
Loven træder i kraft 1. januar 2027. Virksomheder bør allerede nu vurdere, om deres AI-leverandører er omfattet, og følge med i de sikkerhedsprotokoller, der offentliggøres. Consile hjælper med at navigere i AI-regulering og sikre, at jeres AI-strategi tager højde for nye compliance-krav.