Er min SMV omfattet af EU AI Act?

Ja, hvis I bruger AI til at træffe eller assistere beslutninger om mennesker, fx ansættelse, kreditvurdering, juridisk rådgivning, sundhed eller adgang til væsentlige services. Også hvis I leverer chatbots eller deepfakes til borgere (limited risk med transparens-krav). De fleste danske vidensintensive SMVer har mindst et limited risk-system.

Hvad er forskellen på high-risk og limited risk under EU AI Act?

High-risk (Annex III + Art. 6) er AI-systemer i kritiske domæner som HR-screening, kreditvurdering, sundhed og uddannelse, med 8 omfattende forpligtelser. Limited risk (Art. 50) dækker chatbots, deepfakes og emotion-recognition, med kun transparens-krav. High-risk kræver dokumentation, risk management og human oversight; limited risk kræver kun at brugere informeres om AI-interaktion.

Hvor stor er bøden ved overtrædelse af EU AI Act?

Op til 35 mio EUR eller 7% af global årlig omsætning (det højeste beløb) for forbudte praksisser (Art. 5). Op til 15 mio EUR eller 3% for high-risk-overtrædelser. Op til 7,5 mio EUR eller 1,5% for forkerte oplysninger. For SMVer kan der være reduceret bøde-niveau, men reglerne gælder ens.

Hvor lang tid tager det at blive EU AI Act-compliant?

Realistisk 3-9 måneder afhængig af eksponering og modenhed. Quick Check-vurdering: 1 dag. Etablering af AI-policy og governance: 2-4 uger. Implementering af krav for high-risk-systemer (risk management, dokumentation, human oversight): 3-6 måneder. ISO 42001 readiness: 6-12 måneder.

Hvad koster EU AI Act-compliance for en SMV?

Quick Check vurdering: 15.000-25.000 kr. Full Assessment: 50.000-90.000 kr. ISO 42001 readiness: 80.000-150.000 kr. Internt arbejde varierer fra 50-200 timer afhængig af eksponering. Total: 50.000-300.000 kr for en typisk vidensintensiv SMV i Fase 1.

Skal jeg bruge ISO 42001 for at være compliant?

Nej. EU AI Act kræver ikke ISO 42001-certificering. Men ISO 42001 (AI Management System) giver en struktureret tilgang til governance der dækker mange af EU AI Act-kravene. Certificering kan være konkurrencefordel i public sector og enterprise-kunderelationer, men er ikke nødvendigt for compliance alene.

Hvilke AI-værktøjer er omfattet af EU AI Act?

EU AI Act regulerer AI-systemer baseret på use case, ikke teknologi. Det betyder ChatGPT/Claude/Gemini/Copilot ikke i sig selv er high-risk, men anvendelsen kan være det. Eksempel: Claude til intern tekstredaktion = minimal risk; Claude til klient-due-diligence der fører til afvisning = high-risk. Klassificeringen følger USE CASE.

Hvad er en AI-policy og hvordan laver jeg en?

En AI-policy er virksomhedens skriftlige regler for hvordan AI bruges: hvilke værktøjer er godkendt, hvilke data må sendes, hvem ejer governance, hvordan behandles output, hvilke risici accepteres. Den bør være 3-8 sider, opdateres kvartårligt, og ejes typisk af IT-chef + DPO. EnterpriseIQ leverer AI-policy-stub som del af Quick Check.

Hvor begynder jeg med EU AI Act-compliance?

Start med tre skridt: 1) Kortlæg alle AI-anvendelser inkl. shadow IT (2 uger). 2) Klassificér hver mod EU AI Act (forbudt/high-risk/limited/minimal). 3) Skriv basis AI-politik. Disse tre giver fundament til at handle videre og kan laves selv eller via en Quick Check-leverance.

Hvad sker der hvis jeg ignorerer EU AI Act?

Risici inkluderer: bøder (op til 7% af omsætning), audit-anmodninger fra Datatilsynet, renomméskade hvis sag bliver offentlig, og tab af kunder der prioriterer compliance. For de fleste SMVer er den realistiske risiko ikke maksimum-bøden, men distraktion, ressource-spild og tabt momentum hvis myndighederne kommer på besøg uforberedt.

Hvordan dokumenterer jeg AI-anvendelse for compliance?

Mindst fire dokumentations-niveauer: 1) AI-system-inventory (komplet liste over hvilke AI-systemer der bruges, til hvad, af hvem). 2) Risk-classification pr system med artikel-reference. 3) Audit-trail pr AI-genereret output (hvilken model, prompt, dato). 4) Human oversight-procedure (hvordan mennesker reviewer AI-output). Dette logges typisk i Google Sheet eller dedikeret GRC-system.

Pillar · Publiceret 2026-05-13 · 16 min læsetid

EU AI Act for danske SMVer

Q: Hvornår gælder EU AI Act fuldt?

EU AI Act trådte i kraft 1. august 2024. Forbudte praksisser (Art. 5) er gældende fra 2. februar 2025. General-purpose AI-modeller fra 2. august 2025. High-risk AI-systemer fra 2. august 2026. Resterende regler fra 2. august 2027.

Forordning (EU) 2024/1689, bedre kendt som EU AI Act, er den første sammenhængende AI-lovgivning i verden. For danske vidensintensive SMVer betyder den både risiko og mulighed. Denne guide gennemgår hvad I skal vide, hvad I skal gøre, og hvornår.

Skrevet af Jesper Sachmann, grundlægger af EnterpriseIQ. 27 års IT-lederskab fra Oracle, Logica og Capgemini, kombineret med hands-on AI og GRC-baggrund (Archer).

TL;DR

→EU AI Act gælder fuldt fra 2026-08-02 for high-risk-systemer. Forbudte praksisser er allerede gældende.
→Fire risk-kategorier: forbudt, high-risk, limited, minimal. De fleste SMVer har systemer i flere kategorier.
→High-risk-systemer har otte forpligtelser (Art. 9-15): risk management, datakvalitet, dokumentation, logning, transparens, human oversight, nøjagtighed, post-market monitoring.
→Bøder op til 7% af global omsætning eller 35 mio EUR.
→Start med 3 skridt: kortlæg AI-anvendelse, klassificér mod risk-kategorier, skriv AI-politik.

Hvorfor EU AI Act betyder noget for SMVer

Da forordningen blev vedtaget i 2024, var fokus i medierne på store platforme. Men EU AI Act gælder for alle der udvikler, deployer eller bruger AI-systemer i EU, inklusiv små danske advokat-virksomheder, revisorhuse og IT-konsulenter.

Den danske AI-adoption i SMVer var 14% i 2023 (Danmarks Statistik), sammenlignet med 51% blandt store virksomheder. Det betyder mange SMVer står lige nu i overgangen mellem "vi har ikke rigtig brugt AI" og "vi er begyndt at bruge det seriøst". Det er den værste tilstand at være i når EU AI Act træder fuldt i kraft.

EU AI Act er ikke en teknologi-lov. Det er en use-case-baseret risikolovgivning. Det betyder klassificeringen følger hvad AI'en bruges til, ikke hvilken model eller leverandør. Samme Claude eller GPT-4 kan være minimal risk i én sammenhæng og high-risk i en anden.

Deadlines i kalenderen

Dato	Hvad	Status
2024-08-01	Forordningen trådt i kraft	Gået
2025-02-02	Forbudte praksisser (Art. 5) gælder	Gået
2025-08-02	General-purpose AI (Art. 51-55) gælder	Gået
2026-08-02	High-risk AI-systemer gælder fuldt	Næste
2027-08-02	Resterende regler gælder fuldt	Senere

Det vigtigste er 2026-08-02 for high-risk-systemer. Det er den deadline der vil ramme flest SMVer, og det er den der kræver mest forberedelse.

De fire risk-kategorier

Forbudt (Art. 5)

Allerede gældende. Disse AI-anvendelser er forbudt i EU uanset hvem der laver dem:

Subliminal manipulation der gør skade
Udnyttelse af sårbarhed (alder, handicap, social situation)
Social scoring af mennesker
Biometrisk fjernidentifikation i real-tid i offentlige rum
Emotion-recognition i arbejde og uddannelse
Klassificering af mennesker efter biometriske data (race, politik, etc.)
Forudsigelse af kriminel risiko alene baseret på profil

For de fleste SMVer er forbudte praksisser ikke et reelt problem. De rammer hovedsageligt store platforme. Men hvis jeres HR-værktøj kategoriserer kandidater efter "personlighedsprofiler" der kommer tæt på biometriske data, så er det værd at få vurderet.

High-risk (Annex III + Art. 6)

Hovedopgaven for de fleste SMVer. Hvis I har AI-systemer i følgende kategorier, falder de under high-risk:

Biometri og kategorisering
Kritisk infrastruktur
Uddannelse og erhvervsuddannelse (eksamen, optagelse)
Ansættelse og HR: screening, performance, forfremmelse
Adgang til væsentlige services: kreditscoring, sundhed, forsikring
Retshåndhævelse
Migration, asyl, grænsekontrol
Retsforvaltning og demokratiske processer

Limited risk (Art. 50)

Transparens-krav fra 2026-08-02. Dette dækker:

Chatbots og dialog-AI: brugeren skal vide det er AI
Emotion-recognition (når ikke forbudt)
Biometriske kategoriserings-systemer
Deepfakes og syntetisk indhold: skal mærkes

Limited risk er ikke en tung byrde, men det skal være på plads. Eksempel: hvis I har en kunde-chatbot på website, skal der stå klart at brugeren snakker med AI.

Minimal risk

Alt andet. Ingen formelle krav, men anbefales frivillig adfærdskodeks. Typiske eksempler: ChatGPT/Claude til intern tekstredaktion, spam-filtre, lager-prognoser, kode-assistance som GitHub Copilot, mødetranskription med Krisp.

Otte forpligtelser for high-risk-systemer

Hvis I har high-risk-systemer, kræver EU AI Act (Art. 9-15 + 49 + 72) følgende inden 2026-08-02:

1. Risk management system (Art. 9)

Etabler kontinuerlig risk-vurdering pr high-risk-system. Identificér, vurdér, afbød, monitorér risici.

2. Datakvalitet og -governance (Art. 10)

Træning, validering og test-data skal være repræsentativ og relevant. Bias-vurdering kræves.

3. Teknisk dokumentation (Art. 11)

Komplet dokumentation der demonstrerer compliance, opdateret løbende.

4. Logning (Art. 12)

Automatisk hændelses-logning. Sporing af input, output, beslutninger.

5. Transparens (Art. 13)

Brugere af systemet skal kunne forstå dets output. Brugsanvisning, begrænsninger, performance.

6. Human oversight (Art. 14)

Mennesker skal kunne forstå AI-output og overskride beslutninger. Ikke "rubber-stamp".

7. Nøjagtighed og robusthed (Art. 15)

Konsistent performance + modstand mod fejl og angreb. Måles og dokumenteres.

8. Post-market monitoring (Art. 72)

Løbende overvågning efter deployment. Rapportering af alvorlige hændelser.

Det er omfattende. For et SMV med 1-3 high-risk-systemer taler vi typisk 100-300 timer internt arbejde over 3-6 måneder for at få det på plads, afhængig af om I starter fra 0 eller har eksisterende GRC-fundament.

Branche-eksempler

Advokat-virksomheder

Typiske AI-anvendelser og deres klassificering:

Klient-due-diligence og screening der kan føre til afvisning → high-risk
AI-genereret juridisk rådgivning der går direkte til klienten → high-risk eller limited (afhænger af om der er human oversight)
Dokument-research med Perplexity eller Claude → minimal risk
Kontrakt-review med AI som assistant → minimal risk (hvis advokaten validerer)
Tids-registrering med AI-genereret beskrivelse → minimal risk

Revisor-virksomheder

AML-screening med konsekvens for klient-engagement → high-risk
Risk-vurdering der fører til afvisning af klient → high-risk
Automatisk klassificering af bilag → minimal risk
Revisionsnotater-udkast → minimal risk
Materielitets-vurdering med AI som assistant → minimal risk (hvis revisor validerer)

Finansrådgivere

Kreditscoring → high-risk (med visse undtagelser for banker)
Kunde-segmentering der påvirker pris eller tilbud → high-risk
AI-baseret investeringsanbefaling til privatpersoner → high-risk
Klient-rapport-generering → minimal risk

IT-service-virksomheder

Egen anvendelse: ofte minimal risk
Ticket-prioritering der påvirker SLA → kan være high-risk
Knowledge base med RAG → minimal risk
GitHub Copilot til kode → minimal risk
Hvis I implementerer AI hos kunder med high-risk-konsekvens → I har tilsynspligt

HR (alle brancher)

Kandidat-screening → high-risk
CV-parsing der filtrerer → high-risk
Performance-vurdering → high-risk
Lønjustering eller forfremmelse-anbefaling → high-risk

Bøder og konsekvenser

Type overtrædelse	Maksimum-bøde
Forbudte praksisser (Art. 5)	35 mio EUR eller 7% af global omsætning
High-risk-overtrædelser	15 mio EUR eller 3% af global omsætning
Forkerte oplysninger til myndighed	7,5 mio EUR eller 1,5% af global omsætning

For SMVer kan der være reduceret bøde-niveau efter forholdsmæssighedsprincippet, men reglerne gælder ens. Det realistiske risikobillede er ikke maksimum-bøde, men audit-anmodninger, renomméskade, og tab af kunder der prioriterer compliance.

ISO/IEC 42001: hvornår giver det mening?

ISO/IEC 42001 (AI Management System) er en frivillig standard der giver en struktureret tilgang til AI-governance. Den dækker mange af EU AI Act-kravene, men er ikke obligatorisk for compliance.

ISO 42001 giver mening hvis I:

Sælger til public sector eller enterprise-kunder der kræver det
Vil have certificering som konkurrencefordel
Har flere high-risk-systemer og kan udnytte stordrift
Bygger AI som produkt og vil signalere modenhed

ISO 42001 giver IKKE mening hvis I: har 1-2 limited risk-systemer, er en lille virksomhed uden enterprise-salg, eller bare vil opfylde EU AI Act-minimum. For de fleste SMVer er fokuseret EU AI Act-compliance vejen først; ISO 42001 vurderes senere.

Tre skridt I kan tage i denne uge

Skridt 1: Kortlæg AI-anvendelse

Lav en liste over alle AI-værktøjer i officiel brug
Spørg medarbejdere om hvad de bruger på personlige konti (shadow IT)
Beskriv hver anvendelse i 2-3 sætninger
Notér data der sendes og om beslutninger om mennesker er involveret

Skridt 2: Klassificér mod EU AI Act

Brug 4-kategori-modellen (forbudt / high-risk / limited / minimal)
Vær konservativ ved tvivl (vælg højere risiko)
Få jurist eller AI-rådgiver til at validere
Notér konkrete actions for hvert high-risk-system

Skridt 3: Skriv basis AI-politik

Beskriv hvad medarbejdere må og ikke må sende til AI
Definér godkendelsesprocedure for nye AI-værktøjer
Notér ejer for AI-portefølje (typisk IT-chef + DPO)
Del med medarbejderne, for uden træning er politik værdiløs

Det her er ikke nok til at være EU AI Act-compliant fuldt ud, men det er fundamentet. Hvis I står på det, er resten spørgsmål om hvor dybt I går, ikke om hvor I starter.

FAQ

Hvornår gælder EU AI Act fuldt?

EU AI Act trådte i kraft 2024-08-01. Forbudte praksisser fra 2025-02-02. General-purpose AI fra 2025-08-02. High-risk systemer fra 2026-08-02. Resterende regler fra 2027-08-02.

Er min SMV omfattet?

Ja, hvis I bruger AI til at træffe eller assistere beslutninger om mennesker, eller hvis I leverer chatbots/deepfakes til borgere. De fleste danske vidensintensive SMVer har mindst et limited risk-system.

Hvor stor er bøden?

Op til 7% af global omsætning eller 35 mio EUR for forbudte praksisser. 3% / 15 mio EUR for high-risk-overtrædelser. Forholdsmæssigheds-princip for SMVer.

Hvor lang tid tager det at blive compliant?

Realistisk 3-9 måneder. Quick Check: 1 dag. AI-policy: 2-4 uger. High-risk implementering: 3-6 måneder. ISO 42001: 6-12 måneder.

Hvad koster det?

Quick Check 15-25 tkr. Full Assessment 50-90 tkr. ISO 42001 readiness 80-150 tkr. Internt arbejde 50-200 timer afhængig af eksponering.

Hvilke AI-værktøjer er omfattet?

EU AI Act regulerer baseret på use case, ikke teknologi. ChatGPT til intern tekstredaktion er minimal risk. Samme ChatGPT til klient-due-diligence er high-risk.

Hvad er en AI-policy?

Virksomhedens skriftlige regler for AI-brug: godkendte værktøjer, datapolitik, governance-ejere, risk-tolerance, kontroller. 3-8 sider, opdateres kvartårligt, ejes typisk af IT-chef + DPO.

Hvor begynder jeg?

Tre skridt: kortlæg AI-anvendelse (2 uger), klassificér mod risk-kategorier (1 uge), skriv basis AI-politik (2-4 uger). Eller bestil en Quick Check og få det leveret klart om 1-2 uger.

Næste skridt

Tre veje afhængig af hvor I står:

Gratis

Hent tjeklisten

8-siders PDF med 12-punkts tjekliste + branche-eksempler. Lad jeres DPO eller jurist gennemgå.

Fra 15.000 kr

Book Quick Check

1 dags vurdering. Komplet inventory, risk-classification, 10-siders rapport og 90-dages roadmap.

Gratis

30 min samtale

Uforpligtende screening. Vi finder ud af om Quick Check passer jer eller noget andet.

Om forfatteren

Jesper Sachmann er grundlægger af EnterpriseIQ. 27 års IT-lederskab fra Oracle, Logica og Capgemini, kombineret med hands-on AI-erfaring og GRC-baggrund fra Archer.

AI-attribution: Denne artikel er AI-assisteret produceret med Claude Opus 4.7, menneskelig review af Jesper Sachmann. Se vores AI-transparenspolitik for hvordan vi bruger AI i alle leverancer.

Citerer du denne artikel? "EnterpriseIQ, EU AI Act for danske SMVer (2026-05-13)" eller link til enterpriseiq.dk/indsigt/eu-ai-act-smv-guide.