Utsettelsen av EU-s AI-forordning (AI Act) er reell. Chatboten din har fortsatt frist 2. august.

Viktigste poenger
Utsettelsen er reell, men den gjelder sannsynligvis ikke deg
Avtalen av 7. mai flytter frittstående høyrisikosystemer til 2. desember 2027 og AI inne i regulerte produkter til 2. august 2028. Åpenhetsreglene var aldri en del av avtalen og gjelder fortsatt fra 2. august 2026.
Chatboter må gi seg til kjenne fra 2. august
Hvis brukerne med rimelighet kan tro at de snakker med et menneske, må produktet fortelle dem at det er AI. Bøter for brudd på åpenhetsreglene når 15 millioner euro eller 3% av global omsetning.
Overgangsperioden for vannmerking er fire måneder, ikke en utsettelse
Generative systemer som allerede er på EU-markedet før 2. august, får frist til 2. desember 2026 med å merke output som AI-generert. Alt som lanseres etter 2. august, må være i samsvar fra dag én.
GDPR venter ikke på AI Act
Europeiske datatilsyn bøtelegger allerede AI-produkter etter eksisterende personvernregler. Utsettelsen endrer ingenting av det, og enterprise-kjøpere ber om AI-klassifiseringsnotater allerede nå.
I to år var 2. august 2026 datoen alle gjennomganger av AI Act ringet rundt med rødt. Det var da det tunge maskineriet skulle komme: høyrisikoforpliktelser, samsvarsvurderinger, den tekniske dokumentasjonen ingen ville skrive. Så, den 7. mai, ble EU-lovgiverne enige om å utsette det meste av det.
Lettelsesoverskriftene skrev seg selv, og de fleste gründere skummet dem og gikk videre. Forståelig. Også en feil, for den delen av forordningen som faktisk berører et typisk programvareprodukt, ble ikke flyttet til 2027. Det meste av den lander fortsatt 2. august, fire uker fra nå.
Hva som ble utsatt, hva som ikke ble det, og hva som er verdt å gjøre med det denne måneden.
Hva som faktisk ble flyttet
Selve avtalen av 7. mai, formelt en del av Digital Omnibus, EUs forsøk på å forenkle sitt eget digitale regelverk, skriver om AI Acts kalender på tre punkter.
- Frittstående høyrisikosystemer (vedlegg III): rekruttering og prestasjonsevaluering, kredittscoring, prising av forsikringsrisiko, biometri, kritisk infrastruktur. Var 2. august 2026. Nå 2. desember 2027.
- AI inne i regulerte produkter (vedlegg I): medisinsk utstyr, leker, heiser, kjøretøy. Nå 2. august 2028. Definisjonen av «sikkerhetskomponent» ble også snevret inn, slik at en AI-funksjon som bare hjelper brukeren eller optimaliserer ytelsen, uten å skape en helse- eller sikkerhetsrisiko, ikke lenger drar hele produktet inn i høyrisikoterritorium.
- Nasjonale regulatoriske sandkasser: medlemsstatene har nå frist til 2. august 2027 med å få dem på plass.
Det finnes også en overgangsregel med ekte penger i seg: systemer som allerede er på EU-markedet før disse datoene, holder seg helt utenfor høyrisikoregimet med mindre du endrer dem vesentlig senere. Og SMB-forenklingene, blant dem lettere dokumentasjon og forholdsmessige bøter, utvides nå til selskaper med inntil 750 ansatte og 150 millioner euro i omsetning. Det dekker nesten alle selskaper vi jobber med.
Så hvis veikartet ditt inkluderer AI-assistert rekruttering, kredittbeslutninger eller en diagnostisk funksjon inne i medisinsk utstyr, fikk du nettopp 16 til 24 ekstra måneder. Den delen av lettelsen er reell.
Hva som fortsatt lander 2. august
Artikkel 50, åpenhetsreglene. De var aldri en del av utsettelsesforhandlingene, og de dekker tilfeldigvis de AI-funksjonene de fleste produkter faktisk skiper. Tre forpliktelser, i klartekst:
- Hvis folk samhandler med et AI-system, må de få vite det. En supportbot, en bookingassistent, en salgsagent på WhatsApp: hvis en rimelig bruker kan tro at de snakker med et menneske, må produktet si noe annet.
- Hvis produktet ditt genererer eller manipulerer innhold, enten det er tekst, bilder, lyd eller video, må resultatet merkes som AI-generert på en maskinlesbar måte. Dette er vannmerkingskravet.
- Systemer for følelsesgjenkjenning og biometrisk kategorisering må gi seg til kjenne overfor menneskene de rettes mot.
Den ene innrømmelsen: generative systemer som allerede er på markedet før 2. august, får frist til 2. desember 2026 med å få vannmerkingen på plass. Alt som lanseres etter 2. august, må være i samsvar fra dag én. Det er en overgangsperiode på fire måneder, ikke en utsettelse.
Sanksjonene for brudd på artikkel 50 går opp til 15 millioner euro eller 3% av global omsetning, det som er høyest. Ikke overskriftstallet 35 millioner; det nivået er forbeholdt forbudte praksiser, som har vært gjeldende siden februar 2025 og utvides i desember til å dekke nudifiseringsapper og AI-generert CSAM. Men 3% av omsetningen for ikke å merke en chatbot er en dyr måte å spare én linje UI-tekst på.
Kommisjonen har også publisert utkast til retningslinjer og en Code of Practice for hvordan åpenhetsreglene skal gjennomføres i praksis. Endelige versjoner ventes i løpet av noen uker og vil neppe avvike mye fra utkastene.
Hvor det etterlater et typisk produkt
Nesten ingens produkt er «et AI-system» i abstrakt forstand, så en rask kartlegging:
- Support- eller bookingchatbot: opplysningsplikt, 2. august. Vanligvis én ærlig setning i grensesnittet. Den billigste compliance-jobben du gjør i år.
- AI-generert innhold i produktet: en generator for annonsetekster, en bildegenerator, verktøy for markedsføringstekst. Maskinlesbar merking, med 2. desember-fristen hvis du lanserte før 2. august. Følg med på den endelige Code of Practice for hva som regnes som gyldig merking.
- Rekrutterings-, scoring- og forsikringsfunksjoner: desember 2027. Men de harmoniserte standardene du ville bygget mot, blir kanskje ikke endelige før tett opptil den datoen, som er nøyaktig det som skjedde med den opprinnelige fristen. Teamene som venter på standardene, kommer til å bygge mot klokka igjen.
- Helseprodukter: hvis AI-en sitter inne i regulert utstyr, venter AI Act nå til 2028. MDR- og FDA-reglene har ikke flyttet seg i mellomtiden, og de forblir den bindende begrensningen.
Og én ting utsettelsen ikke setter på pause: GDPR. Europeiske datatilsyn har allerede bøtelagt AI-produkter og blokkert konkrete bruksområder for modeller. Dataminimering, formålsbegrensning og åpenhet om automatiserte beslutninger gjelder i dag, for fullt, for de samme funksjonene som nettopp fikk AI Act-fristen sin flyttet. En utsatt forordning er ikke et regulatorisk vakuum.
Hva som er verdt å gjøre i juli
Ikke et compliance-program. Fire ettermiddager med arbeid:
- Kartlegg AI-funksjonene dine mot forordningens fire kategorier: forbudt, høyrisiko, kun åpenhet, minimal. For de fleste produkter er det ærlige svaret ett eller to åpenhetspunkter og ingenting annet. Skriv det ned. Et énsides klassifiseringsnotat er det første en tilsynsmyndighet, eller innkjøpsteamet hos en enterprise-kunde, ber om.
- Skip chatbot-opplysningen. Én setning i grensesnittet, ferdig før 2. august.
- Hvis du genererer innhold, velg en merkingstilnærming nå og følg utkastet til Code of Practice. Å ettermontere metadata på flere måneder med lagret output i november kommer til å gjøre betydelig mer vondt.
- Sjekk om den utvidede mid-cap-lettelsen dekker deg. Under 750 ansatte og 150 millioner euro i omsetning gjør den sannsynligvis det, og den endrer både dokumentasjonsbyrden og bøteeksponeringen din.
Ett forbehold: avtalen av 7. mai er en politisk enighet, ikke lov ennå. Parlamentet og Rådet ventes å vedta den formelt innen utgangen av juli, like før den gamle fristen. Datoene regnes som avklart; detaljene er det ikke. Om den generelle AI-kompetanseplikten overlever, for eksempel, er fortsatt åpent. Bygg mot datoene ovenfor, og få noen til å lese den endelige teksten på nytt når den lander i EU-tidende.
Ofte stilte spørsmål
Gjelder AI Act for selskaper utenfor EU?
Ja. Som GDPR og Cyber Resilience Act følger AI Act produktet inn i markedet, ikke selskapet. Hvis AI-funksjonen din er tilgjengelig for brukere i EU, bærer du forpliktelsene uansett hvor du er registrert. En amerikansk startup med EU-kunder er omfattet.
Hva gjelder nøyaktig fra 2. august 2026?
Artikkel 50, åpenhetsreglene: folk som samhandler med et AI-system, må få vite at det er AI, AI-generert eller manipulert innhold må merkes på en maskinlesbar måte, og systemer for følelsesgjenkjenning eller biometrisk kategorisering må gi seg til kjenne. Generative systemer som allerede er på markedet før den datoen, får frist til 2. desember 2026 for innholdsmerkingen. Høyrisikoforpliktelsene ble flyttet til desember 2027 (frittstående) og august 2028 (inne i regulerte produkter).
Vi bygger på OpenAI- eller Anthropic-API-er. Er disse forpliktelsene våre eller deres?
Begge deler, på ulike lag. Modelleverandørene bærer forpliktelsene for generelle AI-modeller (GPAI), som har gjeldt siden august 2025. Men selskapet som setter produktet foran brukerne, bærer pliktene på produktnivå. Hvis appen din presenterer en chatbot, er opplysningsplikten din. Hvis produktet ditt genererer innhold under din merkevare, er merkeplikten i praksis også din, selv om modellen under er leid.
Er utsettelsen egentlig endelig?
Ikke helt. 7. mai var en politisk enighet mellom EU-institusjonene, og formell vedtakelse i Parlamentet og Rådet ventes innen utgangen av juli 2026, like før den gamle fristen. Datoene regnes som avklart, men den endelige teksten er ikke publisert, og noen detaljer, som om AI-kompetanseplikten overlever, er fortsatt åpne.
Relaterte artikler
Tilgjengelighetsdirektivet fikk sin første dom. 71 % tilgjengelig holdt ikke.
En fransk domstol holdt Carrefour ansvarlig for en nettbutikk blinde kunder ikke kan bruke: seks måneder på å rette den, deretter 500 euro per dag. Hva EAA dekker, hvem som er unntatt, og hvorfor overgangsvinduet til 2030 er svakere enn det ser ut.
Hva en AI-agent faktisk koster i 2026 (byggingen er den billige delen)
Byråer priser "en AI-agent" til alt fra 8 000 dollar til en halv million, og spriket er stort sett ærlig. Her er de reelle 2026-nivåene, token-regnestykket, og hvorfor byggingen bare er omtrent en tredjedel av det du kommer til å bruke.