EU’s AI Act er på vej fra politisk projekt til konkret hverdag for virksomheder, myndigheder og rådgivere. Med EU’s omnibus‑aftale fra 7. maj 2026 er der justeret på frister og enkelte formuleringer, men grundretningen er uændret:
Kunstig intelligens skal reguleres risikobaseret, og ansvaret placeres tydeligere hos dem, der udvikler, indkøber og anvender AI‑løsninger.
Det rejser to gennemgående spørgsmål i dialogen med virksomheder:
- Ændrer de nye justeringer reelt noget i forhold til, hvad vi skal gøre nu og her?
- Og hvordan undgår vi, at AI Act bliver endnu et selvstændigt spor ved siden af GDPR, NIS2, ISO‑standarder og resten af compliance‑landskabet?
Hvad ændrer omnibus‑aftalen – og hvad gør den ikke?
Omnibus‑aftalen ændrer ikke ved den grundlæggende arkitektur i AI Act. Den risikobaserede opdeling består, ligesom fokus på højrisiko‑systemer og kravene til data, dokumentation, transparens og menneskelig kontrol.
Ændringerne handler primært om præciseringer, enkelte udskydelser af frister og en bedre tilpasning til anden regulering.
Det giver virksomheder lidt mere tid til at arbejde struktureret med AI-governance og dokumentation – men bør ikke blive en sovepude.
Det afgørende er derfor ikke at vente på den endelige tekst, men i stedet at udnytte tiden til at få styr på de grundlæggende elementer allerede nu:
- Hvilke AI‑anvendelser har vi, og hvilke forventer vi at have de næste år?
- Hvem beslutter, hvilke løsninger vi tager i brug?
- Hvem kan forklare, hvad systemerne faktisk gør, og hvilke data de bygger på?
- Og hvordan dokumenterer vi det, så ledelse, revisor og tilsyn får et reelt indblik i risici og styring?
Undgå endnu et isoleret compliance‑spor – tag udgangspunkt i det velkendte
En af de største faldgruber er, at AI Act bliver et isoleret projekt, løsrevet fra det øvrige governance‑ og compliance‑arbejde i virksomheden.
De fleste organisationer har allerede strukturer for data og informationssikkerhed, erfaring med risikovurderinger og fortegnelser under GDPR – og ofte certificeringer eller erklæringer efter standarder som ISO 27001 eller ISAE.
Det giver derfor sjældent mening at opbygge et helt nyt parallelspor for AI; i stedet bør AI Act bygges oven på det, man i forvejen gør.
I praksis betyder det, at risikovurderinger af AI kan tage udgangspunkt i de metoder, I allerede anvender på andre forretningskritiske systemer og databehandlinger i virksomheden i dag.
De fora, hvor I i dag drøfter informationssikkerhed, GDPR, NIS2 og intern kontrol, er ofte også de rigtige til at håndtere de væsentligste AI‑relaterede beslutninger. Og dokumentationen til AI Act kan i mange tilfælde tænkes sammen med den eksisterende dokumentation om databeskyttelse, sikkerhed og leverandørstyring, i stedet for at blive endnu et separat lag.
Et konkret afsæt for SMV’er
For SMV’er kan AI Act let fremstå både teknisk og juridisk tung. Erfaringen er, at man kommer langt ved at starte relativt enkelt og fokusere på tre ting:
- At få et realistisk overblik over, hvor AI faktisk er i spil, både i egne løsninger og hos væsentlige leverandører.
- At skelne mellem eksperimenter i mindre skala og anvendelser med direkte betydning for kunder, medarbejdere eller kritiske processer.
- At identificere de få områder, hvor AI Act‑kravene har størst praktisk betydning på kort sigt.
Når de væsentligste brugsscenarier er identificeret, bliver det markant lettere at tale konkret om risiko, ansvar og de krav, AI Act stiller til styring, kontrol og transparens.
Revisorens og rådgiverens rolle i næste fase
I den sammenhæng er revisorens og rådgiverens rolle også ved at ændre karakter. Tendensen er tydelig: Revisor og rådgiver bliver i stigende grad bindeleddet mellem jura, teknologi og forretning og er med til at omsætte kravene i AI Act til konkrete arbejdsgange, kontroller og dokumentation i den enkelte virksomhed.
Det handler mindre om at “tjekke bokse” og mere om at sikre, at AI‑risici identificeres, vurderes og dokumenteres på en måde, der passer ind i virksomhedens overordnede styringsmodel.
Når AI Act kobles til de eksisterende rammer for risiko, kontrol og rapportering – i stedet for at leve sit eget liv ved siden af – øges sandsynligheden for, at efterlevelsen både bliver mere effektiv og mere holdbar over tid.
AI Act som del af et samlet styringsbillede
AI Act er ikke breaking news fra dag til dag, men de seneste justeringer og bevægelsen mod endelig vedtagelse understreger, at reguleringen af kunstig intelligens nu er ved at blive en integreret del af EU’s samlede ramme for teknologi, data og ansvar.
Det gør det oplagt allerede nu at få skabt en fælles forståelse i ledelse og bestyrelse, få kortlagt de vigtigste AI‑anvendelser og tænke AI‑efterlevelse sammen med de principper og den dokumentation, der allerede findes under GDPR, ISO og andre standarder.
Hos Grant Thornton rådgiver vi allerede i dag virksomheder om netop denne kobling: hvordan AI Act kan integreres i eksisterende governance‑strukturer, i stedet for at blive endnu et særskilt krav.
Erfaringen er, at virksomheder kommer langt bedre fra start, når AI Act tænkes sammen med eksisterende governance, risikostyring og compliance.
