EU-trilogen om AI Act Omnibus kollapsede 28. april efter 12 timers forhandlinger uden en politisk aftale. For danske virksomheder betyder det én ting: den oprindelige deadline 2. august 2026 for højrisiko AI-systemer står ved magt.
Omnibus-pakken skulle have udskudt de hårdeste krav til 2027 og 2028, men Europa-Parlamentet og Rådet kunne ikke blive enige om, hvordan AI i regulerede produkter skal vurderes. Resultatet er, at alle virksomheder, der bruger AI, nu har 3 måneder til at forberede sig på fuld compliance. I denne artikel gennemgår vi præcis, hvad der skete, hvilke deadlines der gælder, og hvad du skal gøre inden august.
Den 28. april 2026 mødtes Europa-Parlamentet, Rådet og Kommissionen til den anden politiske trilog om Digital Omnibus-pakken. Formålet var at vedtage en samlet udskydelse af EU AI Act-kravene for højrisiko AI-systemer. Efter 12 timers intensive forhandlinger brød mødet sammen uden resultat. Det cypriotiske rådsformandskab kunne ikke lukke den tekniske uenighed om conformity assessment for AI i regulerede produkter under Annex I.
Konkret handler konflikten om, hvorvidt AI-systemer integreret i maskiner, medicinsk udstyr og andre regulerede produkter skal gennemgå en kombineret AI Act- og sektorvurdering (Section A) eller primært en sektorspecifik vurdering (Section B). Det lyder teknisk, men konsekvensen er enorm: uden en Omnibus-aftale gælder de oprindelige deadlines i AI Act (Regulation 2024/1689, Artikel 113) uændret.
Næste trilog er planlagt til 13. maj 2026, men selv hvis parterne når en aftale, skal teksten stadig igennem formel vedtagelse i begge institutioner. Realistisk set er det usandsynligt, at en eventuel udskydelse kan træde i kraft før august-deadline. Danske virksomheder bør derfor planlægge ud fra, at alle krav gælder som planlagt.
Selv om Omnibus-forhandlingerne brød sammen, var der bred enighed om de overordnede datoer. Det giver et godt billede af, hvad der kommer, uanset om pakken til sidst vedtages eller ej. De tre centrale deadlines i den opdaterede Digital Omnibus-tidslinje er: 2. august 2026 for transparenskrav og GPAI-forpligtelser, 2. december 2027 for standalone højrisiko AI-systemer under Annex III, og 2. august 2028 for AI indlejret i regulerede produkter som maskiner og medicinsk udstyr.
Men her er det afgørende: uden en vedtaget Omnibus gælder de oprindelige deadlines i AI Act, Artikel 113. Det betyder, at kravene til højrisiko AI-systemer under Annex III allerede træder i kraft 2. august 2026, ikke december 2027. For virksomheder, der bruger AI til rekruttering, kreditvurdering, biometrisk identifikation eller andre Annex III-anvendelser, er situationen pludselig akut.
Transparenskravene er uberørt af forhandlingerne. Fra 2. august 2026 skal alle udbydere af GPAI-modeller levere teknisk dokumentation til EU AI Office. AI-indholdsmærkning bliver obligatorisk, og brugere af chatbots og AI-genereret indhold skal informere modtagere om, at indholdet er maskinproduceret. EU-kodeksen for AI-mærkning forventes at lande i juni 2026 og vil præcisere de praktiske krav.
Bøderne for manglende compliance er betydelige: op til 15 millioner EUR eller 3 % af den globale årlige omsætning, alt efter hvad der er højest. Kommissionens håndhævelsesbeføjelser for GPAI-udbydere træder i kraft fra 2. august 2026.
Mange danske virksomheder antager fejlagtigt, at hele AI Act er udskudt. Det er forkert.
Flere centrale krav er allerede i kraft, og din virksomhed kan allerede nu være i overtrædelse uden at vide det. For det første har forbuddet mod uacceptable AI-praksisser været gældende siden februar 2025. Det omfatter social scoring, manipulation af sårbare grupper, og visse former for biometrisk overvågning. Hvis din virksomhed bruger AI-systemer, der falder i disse kategorier, er I allerede underlagt loven.
For det andet gælder kravet om AI-literacy allerede. Alle medarbejdere, der anvender eller udvikler AI-systemer, skal have tilstrækkelig viden om teknologiens muligheder og begrænsninger. Ifølge PwC's analyse fra april 2026 har 76 % af virksomheder, der bruger AI i HR-processer, endnu ikke påbegyndt compliance-forberedelse. Det tal er alarmerende, fordi netop HR-AI (rekruttering, performance-vurdering) kategoriseres som højrisiko under Annex III.
For det tredje fastholdes transparenskravene fra august 2026 uændret. Udbydere af AI-systemer med transparensforpligtelser skal sikre, at brugere ved, de interagerer med AI. Det gælder chatbots, AI-genereret indhold og syntetiske medier. Deepfake-mærkning er en del af dette krav, og standarden C2PA (Content Credentials) forventes at blive referencen for teknisk implementering.
Med kun 3 måneder til deadline har danske virksomheder brug for en konkret handlingsplan. Her er de fem vigtigste trin, prioriteret efter hastighed og effekt.
Første skridt er at kortlægge alle jeres AI-systemer og kategorisere dem efter AI Act's risikokategorier. Brug AI System Categorization-rammen til at afgøre, om jeres systemer falder under minimal risiko, begrænset risiko eller højrisiko. Vær særligt opmærksom på AI brugt i HR, kredit, forsikring og offentlig service.
Andet skridt er at implementere AI-indholdsmærkning for marketing og content. Hvis jeres marketingafdeling bruger generativ AI til at producere tekst, billeder eller video, skal det indhold mærkes fra august 2026. Start med at definere en intern politik for, hvornår og hvordan AI-genereret indhold markeres, og implementer tekniske løsninger til automatisk mærkning.
Tredje skridt er at udpege en AI-compliance-ansvarlig. Ifølge DI Digital's rapport fra april 2026 har kun 26 % af danske virksomheder defineret, hvem der har ansvaret for AI-compliance. Uden en klar ansvarlig risikerer I, at compliance-arbejdet falder mellem flere stole. Personen behøver ikke være jurist, men skal have mandat til at koordinere på tværs af IT, jura og forretning.
Fjerde skridt er at dokumentere jeres brug af GPAI-modeller. Hvis I bruger store sprogmodeller (LLM'er) fra tredjeparter som OpenAI, Google eller Anthropic, skal I som deployer dokumentere, hvordan modellerne anvendes, hvilke data der behandles, og hvilke guardrails der er implementeret. Start risk management-processen nu, selv om deadline for højrisiko-systemer potentielt bliver udskudt.
Femte og sidste skridt er at starte med AI risk management. Byg et audit trail-system, der dokumenterer jeres AI-beslutninger. Selv om conformity assessment-kravene for højrisiko-systemer muligvis udskydes til 2027, tager implementeringen typisk 6 til 12 måneder. Virksomheder, der starter nu, vil have en markant fordel, uanset om Omnibus-aftalen falder på plads eller ej.
AI Act stiller ikke kun krav til jer som brugere af AI, men også til jeres leverandører. Udbydere af højrisiko AI-systemer skal kunne levere dokumentation for data governance, modelperformance og sikkerhedsvurderinger. Ifølge Kennedys Law's analyse har AI Act ekstraterritorial rækkevidde ligesom GDPR, hvilket betyder, at den gælder for alle, der påvirker EU-borgere, uanset hvor leverandøren er baseret.
Konkret bør I stille tre krav til jeres AI-leverandører allerede nu. Først: kræv dokumentation for logging og traceability, så I kan spore AI-beslutninger i jeres systemer. Dernæst: kræv oplysninger om, hvordan leverandøren håndterer human oversight og post-market monitoring. Og endelig: bed om en AI impact assessment der beskriver systemets risici og mitigeringsforanstaltninger.
For virksomheder, der bruger AI-agenter til at automatisere arbejdsprocesser, er kravene særligt relevante. Agentic AI-systemer, der handler autonomt på vegne af virksomheden, kan falde under højrisiko-kategorien afhængigt af anvendelsesområdet. Sørg for at jeres leverandører af agent-baserede løsninger kan dokumentere, hvordan ansvarlig AI-principper er integreret i produktet.
Den næste politiske trilog er sat til 13. maj 2026. Hvis parterne når en aftale, vil de planlagte udskydelser sandsynligvis træde i kraft: december 2027 for standalone højrisiko-systemer og august 2028 for AI i regulerede produkter. Men selv i det scenarie ændrer det ikke ved transparenskravene, GPAI-forpligtelserne og AI-literacy-kravet, der alle fastholdes med august 2026-deadline.
Det cypriotiske rådsformandskab har deadline for at lukke forhandlingerne inden 30. juni 2026. Hvis det ikke lykkes, overtager Litauen formandskabet fra 1. juli, og forhandlingerne kan trække ud yderligere. Ifølge IAPP's rapportering er der reel risiko for, at den politiske usikkerhed fortsætter ind i efteråret 2026.
Uanset hvad der sker den 13. maj, er budskabet til danske virksomheder klart: begynd compliance-arbejdet nu. De virksomheder, der venter på en afklaring, risikerer at stå med en umulig opgave, hvis Omnibus-aftalen falder helt fra hinanden. De virksomheder, der starter i dag, vil derimod have en struktureret tilgang til AI-compliance der holder, uanset det regulatoriske udfald. Med 70 % af danske virksomheder, der allerede bruger AI-værktøjer ifølge Dansk Erhverv, og en global enterprise AI-spending der rammer 665 milliarder dollars i 2026, er indsatsen for høj til at vente.