Efter måneders usikkerhed er der nu en politisk aftale: EU udskyder de tungeste krav til højrisiko-AI-systemer. Selvstændige Annex III-systemer får frist til 2. december 2027, og AI i regulerede produkter til 2. august 2028.
Det vender op og ned på billedet fra slutningen af april, hvor trilogforhandlingerne brød sammen. Men aftalen fjerner ikke alt. Transparenskrav, GPAI-forpligtelser og det danske AI-tilsyn gælder fortsat fra 2. august 2026. Vi gennemgår, hvad der ændrede sig, og hvad du bør gøre nu.
Den 28. april 2026 brød den anden politiske trilog om Digital Omnibus-pakken sammen efter 12 timers forhandlinger. Stridspunktet var, hvordan AI integreret i regulerede produkter under Annex I skal vurderes. Uden en aftale ville de oprindelige frister i EU AI Act (forordning 2024/1689, artikel 113) gælde uændret, og højrisikokravene ville ramme allerede 2. august 2026.
Få dage senere lykkedes det alligevel. I begyndelsen af maj nåede Europa-Parlamentet, Rådet og Kommissionen en foreløbig politisk aftale om Omnibus-pakken. Aftalen udskyder de centrale højrisikokrav, præcis som den oprindelige pakke lagde op til.
Her er det vigtige forbehold. De nye datoer binder først juridisk, når teksten er formelt vedtaget og offentliggjort i EU-Tidende. Det ventes at ske inden 2. august 2026. Indtil da er den oprindelige augustdato formelt stadig gældende, så du bør planlægge ud fra, at forberedelsen skal være i gang.
Den opdaterede tidslinje har tre nedslagspunkter. Først 2. august 2026 for transparenskrav og GPAI-forpligtelser. Dernæst 2. december 2027 for selvstændige højrisikosystemer under Annex III. Og endelig 2. august 2028 for AI indlejret i regulerede produkter som maskiner og medicinsk udstyr.
Transparenskravene er ikke berørt af udskydelsen. Fra 2. august 2026 skal udbydere af GPAI-modeller levere teknisk dokumentation, og AI-genereret indhold skal mærkes, så modtagere ved, at de ser eller interagerer med maskinproduceret materiale. Vi har gennemgået reglerne i detaljer i vores artikel om AI-mærkningspligt.
Bøderne er uændrede og mærkbare. De kan nå op til 15 millioner EUR eller 3 % af den globale årlige omsætning, alt efter hvad der er højest. Kommissionens håndhævelsesbeføjelser for GPAI-udbydere gælder fra 2. august 2026.
Mange danske virksomheder antager fejlagtigt, at hele AI Act er udskudt. Det passer ikke. Forbuddet mod uacceptable AI-praksisser har været gældende siden februar 2025 og omfatter social scoring, manipulation af sårbare grupper og visse former for biometrisk overvågning. Bruger din virksomhed systemer i disse kategorier, er I allerede underlagt loven.
Kravet om AI-literacy gælder også allerede. Alle medarbejdere, der anvender eller udvikler AI, skal have tilstrækkelig viden om teknologiens muligheder og begrænsninger. Ifølge PwC's analyse fra april 2026 har 76 % af de virksomheder, der bruger AI i HR-processer, endnu ikke påbegyndt deres compliance-forberedelse. Netop HR-AI som rekruttering og performancevurdering kategoriseres som højrisiko under Annex III.
Endelig fastholdes transparenskravene fra august 2026. Udbydere og brugere skal sikre, at modtagere ved, de interagerer med AI eller ser AI-genereret indhold. Det gælder chatbots, syntetiske medier og deepfakes, hvor standarden C2PA (Content Credentials) forventes at blive referencen for teknisk implementering.
Mens EU-deadlines flytter sig, står den danske håndhævelse fast. Lovforslag L 111 om supplerende bestemmelser til AI-forordningen træder i kraft 2. august 2026 og udpeger de danske markedstilsynsmyndigheder, blandt andre Digitaliseringsstyrelsen, Datatilsynet og Domstolsstyrelsen.
Myndighederne får beføjelser til at kræve dokumentation, gennemføre kontrolbesøg og offentliggøre afgørelser. Samtidig får borgere klageadgang, hvis de mener sig skadet af et AI-system, og virksomheder skal indberette alvorlige hændelser inden 15 dage. Vi går i dybden med det danske tilsyn i en særskilt artikel.
Også på EU-niveau bemandes håndhævelsen nu. Den 1. juni 2026 nedsatte Kommissionen et videnskabeligt panel med 60 uafhængige eksperter samt et rådgivende forum, der skal understøtte tilsynet med især GPAI-modeller og systemiske risici.
Budskabet til danske virksomheder er det samme som før aftalen, blot med en længere tidshorisont på højrisikodelen. Start med at kortlægge jeres AI-systemer og kategorisere dem efter risiko, så I ved, hvilke der falder under Annex III. Vær særligt opmærksom på AI i HR, kredit, forsikring og offentlig service.
Udpeg derefter en AI-compliance-ansvarlig. Ifølge DI Digital havde kun 26 % af danske virksomheder defineret det ansvar i foråret 2026. Personen behøver ikke være jurist, men skal have mandat til at koordinere på tværs af IT, jura og forretning, og til at få mærkningskravene på plads inden august.
De virksomheder, der venter på fuld afklaring, risikerer at stå med en umulig opgave, hvis tidsplanen skrider igen. De, der starter nu, får en struktureret tilgang til AI-compliance, der holder uanset det endelige regulatoriske udfald. Dette er generel information og ikke juridisk rådgivning.