EU-Kommissionen har med sin Digital Omnibus-pakke sat gang i den største forenkling af AI-lovgivningen siden AI Act blev vedtaget. For danske virksomheder betyder det udskudte deadlines, lettere dokumentationskrav og potentielt milliarder i besparelser, men kun hvis du forstår de nye regler og handler rettidigt.
Omnibus-pakken, der blev fremlagt i november 2025 og nu behandles i Europa-Parlamentet, ændrer spillereglerne for, hvordan virksomheder skal forholde sig til højrisiko AI-systemer, AI Literacy og regulatoriske sandkasser. I denne artikel guider vi dig igennem de vigtigste ændringer, de nye deadlines, de konkrete lempelser for SMV'er og hvad din virksomhed bør gøre allerede nu for at stå stærkest muligt.
Hvad er Digital Omnibus, og hvorfor kommer den nu?
Navnet "Omnibus" stammer fra latin og betyder "for alle". Det signalerer, at pakken tager et helhedsblik på tværs af al digital lovgivning i EU, herunder AI Act, Data Act, GDPR, ePrivacy-direktivet og cybersikkerhedslovgivningen. Målet er at harmonisere krav, fjerne overlap og reducere den administrative byrde for europæiske virksomheder med mindst 25 procent for alle virksomheder og mindst 35 procent for SMV'er inden 2029.
Baggrunden er, at implementeringen af AI Act har mødt betydelige udfordringer siden vedtagelsen. Mange EU-lande har været forsinkede med at udpege nationale myndigheder, harmoniserede standarder mangler stadig, og komplekse overlap med andre digitale love har skabt juridisk usikkerhed for virksomheder i alle størrelser. Situationen har gjort det vanskeligt for selv de mest compliance-bevidste organisationer at forberede sig ordentligt, fordi de regler, de skal overholde, endnu ikke er fuldt konkretiserede i praksis.
Presset fra erhvervslivet har været massivt. Store europæiske virksomheder som Airbus og ASML har offentligt efterlyst en pause i implementeringen, og et åbent brev fra 45 virksomheder krævede en toårig udsættelse af håndhævelsen. Samtidig har brancheorganisationen CCIA bifaldet Omnibus-forslaget, men presser på for endnu dybere forenklinger. På den anden side frygter mindre startups, at forsinkelserne kan cementere de etablerede spilleres forspring og skabe ulige konkurrencevilkår.
EU-Kommissionen estimerer, at de samlede forenklingstiltag kan spare europæiske virksomheder op til 5 milliarder euro i administrative omkostninger inden 2029. Dertil kommer, at det europæiske Business Wallet-initiativ potentielt kan frigøre yderligere 150 milliarder euro i årlige besparelser på tværs af alle sektorer. For danske virksomheder, der allerede investerer i AI Readiness og digital transformation, er det tal, der gør en reel forskel på bundlinjen og konkurrenceevnen internationalt.
Digital Omnibus er dog ikke blot en teknisk justering af eksisterende lovgivning. Den repræsenterer et fundamentalt skift i EU's tilgang til digital regulering, fra detaljerede forhåndsregler til en mere pragmatisk og risikobaseret model. For virksomheder betyder det, at compliance i højere grad handler om at demonstrere ansvarlig praksis end om at afkrydse en lang liste af tekniske krav. Det stiller større krav til virksomhedens egen vurderingsevne, men giver også mere fleksibilitet til at tilpasse compliance-indsatsen til den konkrete forretningssituation.
Hvad betyder stop-the-clock for min virksomheds AI-compliance?
Stop-the-clock betyder, at forpligtelserne for højrisiko AI-systemer ikke træder i kraft, før EU-Kommissionen officielt bekræfter, at harmoniserede standarder og vejledninger er tilgængelige. I praksis udskydes den oprindelige deadline fra august 2026 med op til 16 måneder. Europa-Parlamentets rapportører har foreslået faste backstop-deadlines: Annex III-systemer senest december 2027 og Annex I-systemer senest august 2028.
Gælder lempelserne kun for SMV'er, eller også for større virksomheder?
De mest markante lempelser er rettet mod SMV'er og small mid-caps (SMC'er), som nu får forenklede dokumentationskrav og proportionale krav til kvalitetsstyringssystemer. Men også større virksomheder drager fordel af de generelle forenklinger, herunder reduceret registreringspligt for visse AI-systemer, klarere overlap mellem lovgivninger og adgang til de nye regulatoriske sandkasser.
Hvornår forventes Digital Omnibus at blive endeligt vedtaget?
Omnibus-pakken følger den ordinære lovgivningsprocedure i EU. Europa-Parlamentets udvalg forventes at fremlægge ændringsforslag inden juni 2026, hvorefter Rådet forhandler en fælles holdning. Trialog-fasen forventes i efteråret 2026, og den endelige vedtagelse kan strække sig ind i 2027. Forslaget vil sandsynligvis gennemgå betydelige ændringer undervejs i processen.
Stop-the-clock: Nye deadlines for højrisiko AI-systemer
Den mest omtalte ændring i Digital Omnibus er den såkaldte "stop-the-clock"-mekanisme. Under den oprindelige AI Act skulle reglerne for højrisiko AI-systemer træde i kraft den 2. august 2026. Med Omnibus-pakken kobles ikrafttrædelsen i stedet til, at EU-Kommissionen bekræfter, at de nødvendige harmoniserede standarder, vejledninger og fælles specifikationer er tilgængelige for virksomhederne. Først når denne bekræftelse foreligger, starter uret for compliance.
I praksis betyder det en udsættelse på op til 16 måneder fra den oprindelige deadline. For AI-systemer under Annex III træder forpligtelserne i kraft seks måneder efter Kommissionens bekræftelse, mens Annex I-systemer får 12 måneder. Europa-Parlamentets rapportører Arba Kokalari og Michael McNamara har i deres udkast til betænkning foreslået faste backstop-deadlines: 2. december 2027 for Annex III og 2. august 2028 for Annex I, uanset om standarderne er klar på det tidspunkt.
For virksomheder, der arbejder med Enterprise AI-løsninger, giver dette et velkomment pusterum til at opbygge robuste compliance-processer. Men det er afgørende at forstå, at udsættelsen ikke fjerner forpligtelserne. Den giver mere tid til at forberede sig ordentligt, og de virksomheder, der bruger denne tid aktivt på at etablere AI Governance-strukturer, vil have en betydelig konkurrencefordel, når reglerne endeligt træder i kraft.
Det er også værd at bemærke, at visse gennemsigtighedsregler for generativ AI skydes til februar 2027. Det gælder blandt andet kravene til, hvordan udbydere af store sprogmodeller (LLM'er) skal informere brugerne om AI-genereret indhold. For virksomheder, der anvender generative AI-værktøjer internt eller i kundevendte løsninger, giver det mere tid til at etablere de nødvendige dokumentations- og informationsprocesser, men bør ikke forveksles med en fritagelse.
Lettere krav for SMV'er og small mid-caps
En af de mest betydningsfulde ændringer for det danske erhvervsliv er udvidelsen af de fordele, der tidligere kun gjaldt SMV'er, til også at omfatte small mid-caps (SMC'er). I Danmark udgør SMV'er og SMC'er langt størstedelen af virksomhederne, og mange af disse er netop nu i gang med at udforske, hvordan AI kan styrke deres forretning. Kommissionen foreslår, at alle SMV'er og SMC'er kan benytte en forenklet mulighed for at opbygge kvalitetsstyringssystemer, der er proportionale med organisationens størrelse og ressourcer.
Tidligere var denne forenklede mulighed forbeholdt mikrovirksomheder med under ti ansatte. Nu udvides den markant, hvilket reducerer dokumentationsbyrden for de virksomheder, der hverken har ressourcerne eller behovet for fuldskalacompliance på niveau med tech-giganterne. Teknisk dokumentation forenkles ligeledes, og der tages særligt hensyn til SMV'er og SMC'er ved fastsættelse af bøder og sanktioner. Det betyder i praksis, at en dansk mellemstor produktionsvirksomhed, der anvender AI til kvalitetskontrol, ikke skal igennem samme tunge compliance-proces som en global AI-udbyder.
Derudover ændres AI Literacy-forpligtelsen markant. Hvor den oprindelige AI Act krævede, at virksomheder selv skulle sikre AI-kompetencer internt, erstattes dette nu af et krav om, at medlemsstaterne og Kommissionen skal opmuntre til og støtte træning. Det fjerner en direkte compliance-byrde fra virksomhederne, selvom det naturligvis stadig er en klog investering at opbygge AI-kompetencer bredt i organisationen som led i en ansvarlig AI-strategi.
En anden vigtig lempelse vedrører registreringspligten for AI-systemer. Under den oprindelige AI Act skulle visse systemer, som udbyderen ikke anser for at være højrisiko, registreres i EU's højrisiko AI-database. Med Omnibus-forslaget fjernes denne pligt og erstattes af en mere pragmatisk selvvurderingsmodel. Det reducerer den administrative byrde, men stiller samtidig større krav til virksomhedens egen risikovurdering og dokumentation af, hvorfor et system ikke kategoriseres som højrisiko.
Har du styr på AI Act-compliance?
Digital Omnibus giver dig mere tid, men forberedelserne bør starte nu. Lad os hjælpe dig med en AI Governance-plan, der passer til din virksomhed.
Regulatoriske sandkasser og nye muligheder for innovation
Omnibus-pakken introducerer en ny struktur for regulatoriske sandkasser, der skal gøre det lettere for virksomheder at udvikle og teste AI-løsninger under kontrolleret regulatorisk vejledning. Ud over de eksisterende nationale sandkasser, som allerede er under etablering i flere EU-lande, oprettes en EU-dækkende sandkasse for generelle AI-modeller, der forventes klar i 2028. Denne dobbelte struktur giver virksomheder adgang til regulatorisk vejledning på både nationalt og europæisk niveau.
For SMV'er og SMC'er er sandkasserne særligt interessante. Deltagelse giver mulighed for at pilotteste højpåvirkende AI-løsninger med direkte feedback fra regulatorerne, inden fuld compliance kræves. Det reducerer risikoen ved innovation og giver virksomhederne en dybere forståelse af, hvordan reglerne skal fortolkes i praksis. Danske virksomheder, der overvejer at udvikle AI-løsninger inden for eksempelvis sundhed, rekruttering eller kreditvurdering, som alle er områder med højrisikokategorisering, bør undersøge mulighederne for sandkassedeltagelse tidligt i processen.
Sandkasserne er også tænkt som et værktøj til at bygge bro mellem innovation og regulering. Ved at give virksomheder mulighed for at teste og iterere under vejledning kan regulatorerne samtidig opbygge praktisk erfaring med, hvordan reglerne fungerer i virkeligheden. Det kan på sigt føre til mere nuancerede og praksisnære regler, der bedre afspejler den teknologiske virkelighed. For virksomheder, der arbejder med AI-agenter eller multi-agent-systemer, kan sandkasserne give værdifuld klarhed over, hvordan disse komplekse systemer skal klassificeres og dokumenteres under AI Act.
Det er værd at bemærke, at sandkasserne ikke er et fristed, hvor alt er tilladt. De fungerer under streng overvågning, og virksomheder, der deltager, skal stadig overholde grundlæggende sikkerhedskrav og beskytte borgernes rettigheder. Men de tilbyder en struktureret ramme, hvor du kan afprøve nye idéer uden risiko for sanktioner, så længe du følger sandkassens betingelser. For mange danske virksomheder kan det være den afgørende faktor, der gør forskellen mellem at innovere med AI og at vente på sidelinjen.
Hvad din virksomhed bør gøre inden august 2026
Selvom Digital Omnibus giver mere tid, er det afgørende at bruge den klogt. De virksomheder, der starter forberedelserne nu, vil stå stærkest, når reglerne endeligt træder i kraft. Første skridt er at kortlægge, hvilke af jeres AI-systemer der potentielt falder ind under højrisikokategorierne i Annex I og Annex III. Det kræver en systematisk gennemgang af jeres AI-portefølje og en vurdering af, hvor i organisationen kunstig intelligens anvendes, fra automatiseret beslutningsstøtte til kundevendte chatbots og interne procesautomatiseringer.
Dernæst bør I etablere eller styrke jeres AI Governance-rammeværk. Selvom compliance-kravene til kvalitetsstyring lempes for SMV'er, er det stadig forretningskritisk at have overblik over, hvordan AI-systemer udvikles, implementeres og overvåges i jeres organisation. Et solidt governance-setup gør det ikke bare lettere at overholde reglerne, men reducerer også risikoen for fejl, bias og reputationsskade. Overvej at etablere et AI-udvalg eller udpege en AI-ansvarlig, der kan koordinere indsatsen på tværs af afdelinger og sikre, at jeres AI Roadmap er i overensstemmelse med de regulatoriske krav.
Hold også øje med den lovgivningsmæssige proces. Europa-Parlamentets udvalg forventes at fremlægge ændringsforslag inden juni 2026, og trialog-fasen kan begynde i efteråret 2026. Forslaget er stadig et udkast og vil sandsynligvis blive genstand for betydelig debat og ændringer. Ved at følge processen tæt kan du tilpasse jeres compliance-strategi løbende, i stedet for at blive overrasket af den endelige tekst. Det er også klogt at deltage i høringer og brancheorganisationers arbejde med at påvirke den endelige lovgivning.
Endelig anbefaler vi, at du bruger de kommende måneder til at opbygge intern viden om AI-regulering og compliance. Besøg vores AI Nyheder-blog for løbende opdateringer, og udforsk vores AI Ordbog for forklaringer af centrale begreber som AI Governance, Guardrails og Explainable AI. Jo bedre forberedt din organisation er, desto lettere bliver overgangen, når de endelige regler træder i kraft. Og husk: Digital Omnibus fjerner ikke AI Act. Den gør den mere håndterbar, men kræver stadig, at du tager ansvar for jeres AI-systemer. De virksomheder, der handler proaktivt nu, vil ikke bare undgå sanktioner, men også opbygge den tillid hos kunder og partnere, der i stigende grad bliver en konkurrenceparameter i en AI-drevet økonomi.