EU-Parlamentet har stemt for at udskyde dele af implementeringen af AI Act, så myndighederne får bedre tid til at forberede vejledninger og standarder til virksomhederne.
Det kan umiddelbart lyde godt, at virksomheder og organisationer dermed også får mere tid til at forberede sig, men meldingen fra analytikere og rådgivere er samtidig ganske entydig.
Virksomheder bør fortsætte arbejdet, som om reglerne allerede var gældende.
Ifølge Computerworld.com skaber beslutningen om at udskyde dele af AI Act usikkerhed om et regelsæt, som i forvejen har været præget af uklarhed, forskudte forventninger og manglende praktisk vejledning.
Siden efteråret har rådet fra analysehuset Gartner været, at it-chefer ikke må se en mulig forlængelse som en chance for at læne sig tilbage, men i stedet bør se den som en mulighed for at teste og forbedre processer til at katalogisere og styre AI-systemer.
Her er de nye datoer
EU-Parlamentet foreslår, at reglerne for de såkaldte højrisiko-AI-systemer, der specifikt er nævnt i forordningen, først skal gælde fra 2. december 2027.
Ifølge Digitaliseringsstyrelsen kan AI-systemer, der klassificeres som højrisiko, medføre en væsentlig risiko for skade på sundheden, sikkerheden og borgernes grundlæggende rettigheder, og derfor er disse systemer underlagt en række skærpede krav i AI-forordningen. Kravene dækker blandt andet over detaljeret dokumentation, risikostyring, overvågning og ansvarlighed. Formålet med kravene er at minimere den nævnte risiko.
For AI-systemer, der er dækket af EU-lovgivning om sikkerhed og markedsovervågning, lyder den foreslåede dato på 2. august 2028.
Samtidig går parlamentet ind for at give leverandører frem til 2. november 2026 til at efterleve reglerne om mærkning af AI-genereret lyd, billeder, video og tekst, så det tydeligt fremgår, hvor indholdet stammer fra.
Beslutningen om udskydelsen skal dog formelt godkendes af Ministerrådet, før den kan træde i kraft.
Medlemslandene kan trække tiden yderligere
En ekstra komplikation i implementeringen er ifølge Computerworld.com, at EU-beslutningerne ikke alene afgør tempoet.
Flavio Villanustre, sikkerhedschef i selskabet LexisNexis Risk Solutions Group, peger på, at EU-regulering fungerer på to niveauer: Et politisk niveau i EU og et implementeringsniveau i medlemslandene.
Det betyder, at selv når en beslutning er truffet og offentliggjort i Bruxelles, kan der gå lang tid, før de enkelte lande har omsat den til nationale krav og praktiske rammer.
Hans vurdering er derfor, at de reelle deadlines i praksis godt kan ende længere ude i fremtiden, end det nuværende lovudkast lægger op til.
Men det bør ifølge eksperter ikke bruges som sovepude.
Ingen fribillet
Selv om tidsplanen dermed ser ud til at blive skubbet, er bør det ifølge eksperter ikke bruges som sovepude for it-cheferne derude.
Brian Levine, der er direktør i cybersikkerhedsvirksomheden FormerGov, udtaler til Computerworld.com, at udskydelsen efterlader it-chefer i et regulatorisk limbo, men ikke ændrer ved det grundlæggende forhold, at virksomhederne stadig bærer ansvaret for de risici, deres AI-systemer skaber.
Budskabet er, at dårlig styring af AI allerede nu kan udløse operationelle, juridiske og omdømmemæssige problemer, uanset hvornår Bruxelles måtte begynde at håndhæve reglerne.
Ifølge Jason Hookey fra Info-Tech Research Group, giver det dog mening at udskyde kravene til højrisiko-AI, fordi mange organisationer ganske enkelt ikke vil kunne leve op til dem uden tilstrækkelig vejledning, tekniske standarder og støtte - hvilket er lige præcis det, som EU-Parlamentet vil købe sig tid til at klargøre ved at udskyde AI Act.
Også Jason Hookey understreger, at udskydelsen kun ændrer tidsplanen, men ikke målene.
Virksomheder, der bruger tiden fornuftigt, vil stå stærkere både i forhold til compliance, styring og tillid i markedet, lyder vurderingen, når AI-Act først endeligt træder i kraft.
