Den 28. april 2026 mødes EU-Parlamentet og Rådet til den afgørende trilogi om EU AI Omnibus, der kan ændre tidslinjen for hele EU AI Act. For danske virksomheder, der allerede bruger AI i stor stil, er det nu, I skal forstå, hvad der er på spil.
EU AI Omnibus er et lovforslag, der udskyder de skrappeste krav til højrisiko-AI-systemer til 2027 og 2028, men fastholder transparenskravene i Artikel 50 fra 2. august 2026. Det betyder, at virksomheder, der bruger generativ AI til markedsføring, kundeservice eller intern kommunikation, skal handle inden for de næste måneder. I denne artikel gennemgår vi, hvad Omnibus indeholder, hvilke deadlines der stadig gælder, og hvad du konkret skal gøre for at være klar.
Hvad er EU AI Omnibus, og hvorfor ændrer den alt?
EU AI Omnibus, officielt kaldet "Digital Omnibus on AI", er EU-Kommissionens forslag til at justere den oprindelige AI Act-tidslinje. Forslaget blev fremsat efter massiv kritik fra europæisk erhvervsliv, der argumenterede for, at implementeringstempoet var urealistisk. Kommissionen estimerer selv, at Omnibus kan spare op til 5 milliarder euro i administrative omkostninger inden 2029.
Kernen i forslaget er en stop-the-clock-mekanisme for højrisiko-AI-systemer. Det betyder, at forpligtelserne for disse systemer først træder i kraft, når EU-Kommissionen har bekræftet, at de nødvendige retningslinjer og harmoniserede standarder er på plads. For virksomheder, der udvikler eller bruger højrisiko-AI, giver det en tiltrængt buffer.
Den politiske opbakning er massiv. Da EU-Parlamentet vedtog sin forhandlingsmandat den 26. marts 2026, stemte 569 ud af 637 medlemmer for forslaget. Parlamentet og Rådet er bredt enige om de centrale elementer, hvilket gør en politisk aftale den 28. april realistisk. Men selvom Omnibus udskyder visse krav, er der deadlines, der allerede banker på døren.
Følg med i EU's AI-regulering uge for uge
Deadlines, nye krav og compliance-opdateringer direkte i din indbakke, så du aldrig bliver overrasket af ny AI-lovgivning.
Gælder EU AI Omnibus også for danske SMV'er?
Ja. Omnibus gælder for alle virksomheder i EU, uanset størrelse. Dog indfører forslaget simplificerede compliance-krav for SMV'er og små midcap-virksomheder, hvilket reducerer den administrative byrde. Artikel 50-kravene om transparens gælder dog fuldt ud fra 2. august 2026, også for mindre virksomheder der bruger generativ AI.
Hvad sker der, hvis min virksomhed ikke overholder Artikel 50 til august 2026?
Manglende overholdelse af transparenskravene kan medføre bøder på op til 15 millioner euro eller 3 procent af den globale årsomsætning. For forbudte AI-praksisser er bøden endnu højere: op til 35 millioner euro eller 7 procent af omsætningen. Det anbefales at starte med en kortlægning af jeres AI-systemer allerede nu.
Hvad er forskellen på Artikel 50 og højrisiko-kravene?
Artikel 50 handler om transparens: brugere skal vide, når de interagerer med AI, og AI-genereret indhold skal mærkes. Højrisiko-kravene i Annex I og III er langt mere omfattende og kræver risikovurderinger, teknisk dokumentation, menneskeligt tilsyn og løbende overvågning. Omnibus udskyder højrisiko-kravene, men Artikel 50 gælder som planlagt fra august 2026.
Stop-the-clock: Hvilke deadlines er udskudt, og hvilke gælder stadig?
Omnibus introducerer et todelt system for højrisiko-AI. For selvstændige højrisiko-systemer under Annex III (fx AI til rekruttering, kreditscoring og sundhedsdiagnostik) gælder en overgangsperiode på 6 måneder efter Kommissionens bekræftelse, med en endelig deadline den 2. december 2027. For højrisiko-systemer, der er indlejret i produkter under Annex I (fx medicinsk udstyr og køretøjer), er overgangsperioden 12 måneder med deadline den 2. august 2028.
Men Artikel 50-transparensforpligtelserne er en helt anden historie. De gælder fra 2. august 2026, uanset hvad der sker med Omnibus. Ifølge Dansk Erhverv betyder det, at virksomheder, der bruger AI til at generere tekst, billeder eller video til markedsføring, skal mærke dette indhold som AI-genereret fra den dato. Det gælder også chatbots, der skal informere brugere om, at de taler med et AI-system.
Konkret dækker Artikel 50 fire områder: interaktion med AI-systemer (brugere skal informeres), syntetisk indhold (skal mærkes maskinlæsbart), emotionsgenkendelse og biometrisk kategorisering (kræver informeret samtykke), samt manipuleret indhold som deepfakes (skal oplyses). EU-Kommissionen arbejder desuden på en Code of Practice for AI-genereret indhold, der forventes færdig i juni 2026, to måneder før kravene træder i kraft.
For Parlamentet og Rådet er der dog fortsat uenighed om tidspunktet for syntetisk indhold-kravene. Rådet foreslår 2. februar 2027, mens Parlamentet ønsker en kortere forlængelse til 2. november 2026. Denne detalje afgøres ved trilogen den 28. april.
Dansk virkelighed: Hvad betyder det for din virksomhed?
Danmark er et af de mest AI-modne lande i EU. Ifølge Eurostats seneste opgørelse anvender 42 procent af danske virksomheder mindst én AI-teknologi, langt over EU-gennemsnittet på omkring 20 procent. Dansk Erhvervs egne tal viser, at 70 procent af danske virksomheder bruger AI, en stigning på 26 procentpoint siden 2023. Det gør Artikel 50-kravene særligt relevante for det danske erhvervsliv.
For IT-ledere betyder det konkret, at jeres tekniske infrastruktur skal kunne identificere og mærke AI-genereret indhold automatisk. For CRM-ansvarlige handler det om at sikre, at kundeinteraktioner gennem AI-drevne systemer overholder transparenskravene. Udfordringen er, at mange danske virksomheder bruger AI uden nødvendigvis at være klar over det. AI-funktioner er i stigende grad indlejret i CRM-systemer, regnskabssoftware, HR-platforme og marketingværktøjer, hvor de kører i baggrunden. Når mærkningspligten træder i kraft i august, skal virksomheder kunne identificere og dokumentere alle steder, hvor AI producerer indhold, der når ud til kunder eller offentligheden.
For danske SMV'er er billedet endnu mere komplekst. 66 procent anvender mindst én AI-teknologi, men under 10 procent har AI integreret i deres interne processer på en struktureret måde. Samtidig peger 74 procent af SMV-lederne på manglende AI-kompetencer som den største barriere. Det skaber et paradoks: virksomhederne bruger AI, men mangler den interne AI-literacy til at håndtere compliance-kravene. Konsekvenserne ved manglende overholdelse er alvorlige: bøder på op til 35 millioner euro eller 7 procent af den globale årsomsætning for brug af forbudte AI-praksisser, og op til 15 millioner euro eller 3 procent af omsætningen for overtrædelse af højrisiko-kravene.
Ifølge Elevai bør danske virksomheder planlægge efter august 2026 og betragte en eventuel udskydelse som en bonus. Det er en pragmatisk tilgang, der sikrer, at I ikke bliver fanget på det forkerte ben.
Kritikken: Svækker Omnibus beskyttelsen mod AI-risici?
Omnibus er ikke uden kontrovers. Over 40 menneskerettigheds- og digitale rettighedsorganisationer, herunder Article 19 og European Digital Rights, har kritiseret forslaget for at svække beskyttelsen mod højrisiko-AI-systemer. Kritikerne argumenterer for, at stop-the-clock-mekanismen reelt udskyder vigtig beskyttelse af borgernes rettigheder, særligt inden for områder som biometrisk identifikation og automatiseret beslutningstagning.
Debatten handler grundlæggende om balancen mellem innovation og rettigheder. EU-Kommissionen har fremhævet, at europæiske virksomheder har brug for tid til at tilpasse sig, og at for hurtig implementering risikerer at drive AI-udvikling ud af Europa. Modstanderne mener derimod, at forsinkelsen sender et signal om, at erhvervsinteresser vejer tungere end borgerbeskyttelse.
For danske virksomheder er diskussionen relevant, fordi den signalerer den politiske retning. Selvom Omnibus giver mere tid til højrisiko-compliance, er det sandsynligt, at kravene, når de endelig træder i kraft, vil blive håndhævet stramt. AI Governance og AI Risk Management bør derfor allerede nu være en del af jeres strategiske planlægning, uanset de udskudte deadlines.
Forenkling af compliance: Hvad gør Omnibus lettere?
Ud over udskydelsen af deadlines indeholder Omnibus flere forenklinger, der er gode nyheder for virksomheder. Incident reporting forenkles markant med et single-entry-point, så virksomheder kun skal rapportere til én myndighed i stedet for flere. Desuden forlænges GDPR-notifikationsdeadlinen fra 72 til 96 timer ved sikkerhedshændelser, der involverer AI-systemer.
For virksomheder, der anvender enterprise AI-løsninger, er der også lettelser i dokumentationskravene. Omnibus præciserer, at leverandøren (provider) og den virksomhed, der anvender systemet (deployer), deler ansvaret for compliance. Det betyder, at hvis du bruger en AI-platform fra en større leverandør, vil en del af compliance-byrden ligge hos leverandøren, forudsat at du bruger systemet inden for de tilsigtede rammer.
SMV'er og små midcap-virksomheder får desuden simplificerede compliance-krav, selvom de præcise detaljer stadig forhandles. Det er et vigtigt signal, da de fleste danske virksomheder falder i denne kategori. AI Compliance behøver ikke at være en uoverkommelig opgave, men det kræver, at I starter med det grundlæggende: en kortlægning af jeres AI-systemer og en vurdering af, hvilke krav der gælder for jer.
Handlingsplan: 5 ting du skal gøre inden august 2026
Uanset Omnibus-udfaldet er der fem konkrete skridt, du bør tage inden august 2026. For det første skal du kortlægge alle AI-systemer i din virksomhed. Det inkluderer ikke kun dedikerede AI-værktøjer, men også AI-funktioner indlejret i CRM, marketing automation og kundeserviceplatforme. For det andet skal du implementere AI-mærkning på alt generativt AI-indhold, der når ud til kunder eller offentligheden. Det gælder tekst, billeder, video og lyd.
For det tredje skal du sikre, at chatbots og andre AI-systemer, der interagerer direkte med brugere, tydeligt informerer om, at der er tale om AI. For det fjerde bør du forberede jeres incident reporting-setup, så I er klar til at rapportere sikkerhedshændelser via det kommende single-entry-point. Selvom det endelige system endnu ikke er lanceret, kan I allerede nu definere interne processer for, hvem der rapporterer hvad, og hvornår.
For det femte skal du investere i AI Readiness og kompetenceopbygning. 74 procent af danske SMV-ledere peger på manglende AI-kompetencer som en barriere. AI-literacy i organisationen er ikke bare et nice-to-have; det er en forudsætning for at kunne håndtere de regulatoriske krav. Start med at udpege en AI-ansvarlig, der har overblik over jeres systemer og kan koordinere compliance-indsatsen. Et menneskeligt tilsyn med jeres AI-processer er ikke kun et lovkrav, men også god forretningspraksis.
Kan du heller ikke følge med nyhedsstrømmen?
Det kan vi godt forstå, for hver uge bringer +20 nyheder! Du kan gøre som 1200+ andre profesionelle og modtage nyhederne direkte i din indbakke.
Blot udfyld formularen og du er med på holdet