Uppdatering: EU:s AI-förordning blev lag i EU-länder den 1 augusti (efter publicering 2–3 veckor tidigare).
EU:s AI-förordning (AI Act) antas av EU-kommissionen i juni 2024. Den blir då lag i alla medlemsländer. Vissa delar börjar gälla direkt, medan andra inte börjar gälla förrän fyra år.
AI-förordningen reglerar AI-system som finns på EU:s marknad – till exempel inte AI som enbart används för forskning eller enbart för militära ändamål. De berörda AI-system delas in i ett antal kategorier, med olika krav för varje kategori.
Utöver AI-förordningen gäller även annan lagstiftning, exempelvis för datahantering (som GDPR) och användning i särskilda områden (som medicinsk teknik). Beskrivningarna nedan täcker inte alla krav, och det finns också undantag som inte nämns. I länksamlingen finns tips om fler ställen att läsa mer om AI-förordningen. Kontakta mig om du vill ha utbildning eller närmare rådgivning angående AI-förordningen.
Fyra risknivåer för AI-system
AI-system är mjukvaror eller andra system som använder AI för delar av funktionerna. De klassas i fyra olika risknivåer, beroende på vad systemen är byggda för eller används till.
AI-system med oacceptabel risk
Detta är exempelvis AI som används för rutinmässig identifiering av människor eller AI som används för att manipulera människor. Dessa AI-system är förbjudna.
Förbudet börjar gälla 6 månader efter att AI-förordningen publicerats.
AI-system med hög risk
Detta är system som har stor inverkan på människors liv, så som utbildning, sjukvård, kritiska samhällsfunktioner och områden som regleras särskilt av annan lagstiftning. Sådana AI-system behöver uppfylla förhållandevis hårda krav på transparens, ha giltiga användningsområden tydligt beskrivna och följas upp regelbundet av den som tillhandahåller systemet.
Den största delen av AI-förordningen handlar om de här bestämmelserna. Kraven börjar gälla 2 eller 3 år efter att AI-förordningen publicerats, beroende på användningsområden. För AI-system som redan är på marknaden är tidsfristen 4 år.
AI-system med begränsad risk
Det här är AI-system där transparens kring avsändare kan vara en risk, så som chattbottar, deepfakes och automatiskt skapat innehåll på nätet. Här finns krav på att göra tydligt att material är AI-skapat.
AI-system med minimal eller ingen risk
Det här omfattar mycket av den AI som fanns redan för fem år sedan, så som spamfilter och AI-styrda delar av spel. AI-förordningen medför inga nya krav på dessa system.
AI-modeller för allmänna ändamål
(General purpose AI, GPAI)
Utöver AI-system finns också bestämmelser för ”AI-modeller för allmänna ändamål”, vilket är AI-modeller som kan användas för många olika saker. I praktiken betyder det idag bara stora språkmodeller och multimodala AI-modeller. Dessa behöver ha en sammanfattning av träningsdatan, som ska uppfylla direktivet för upphovsrätt, och de måste också ha teknisk dokumentation och instruktioner för användning.
Kraven börjar gälla 1 år efter att AI-förordningen publicerats. För GPAI som redan finns på marknaden är tidsfristen 3 år.
Öppna AI-modeller för allmänna ändamål
(Open source GPAI)
GPAI som klassas som open source (enligt AI-förordningens definition) anses uppfylla kraven på teknisk dokumentation och instruktioner för användning, men behöver fortfarande uppfylla de övriga kraven för GPAI.
AI-modeller för allmänna ändamål som innebär systemrisker
(GPAI with systemic risks)
Det här är GPAI med kapacitet att utgöra risker för människors hälsa, säkerhet eller grundläggande rättigheter, eller hot mot samhället eller EU-marknaden som helhet. Om en AI-modell tränats med mer än en viss mängd datorkraft (10^25 flops) klassas de automatiskt som GPAI som innebär systemrisker. I andra fall används utvärderingar som utformas av EU-kommissionens AI-kontor eller en panel av oberoende experter.
GPAI som innebär systemrisker behöver utvärderas på särskilda sätt, bland annat för missanvändning. Det finns också striktare krav på att detektera och rapportera incidenter, och högre krav på skydd mot cyberangrepp.
Falk AI 