Source: OJ L, 2024/1689, 12.7.2024Current language: SV
- Artificial intelligence act
Basic legislative acts
- AI act regulation
Artikel 55 Skyldigheter för leverantörer av AI-modeller för allmänna ändamål med systemrisk
Summary What does Article 55 of the AI act regulation say?
This article sets out a heightened tier of obligations that apply exclusively to providers of general-purpose AI models with systemic risk, building directly on top of the baseline obligations already established in Articles 53 and 54.
The core thrust is that these providers must actively manage the most serious potential harms their models could cause at Union level — through rigorous evaluation, ongoing risk assessment and mitigation, incident reporting, and cybersecurity protection.
The article also addresses how providers can demonstrate compliance, whether through codes of practice, harmonised standards, or alternative means assessed by the Commission.
Important points:
- Providers of general-purpose AI models with systemic risk must perform adversarial testing, assess and mitigate systemic risks, report serious incidents to the AI Office without undue delay, and ensure adequate cybersecurity protection for the model and its physical infrastructure.
- Compliance with these obligations can be demonstrated by adhering to an approved code of practice or a European harmonised standard; providers who do neither must demonstrate alternative adequate means of compliance for assessment by the Commission.
- All information and documentation obtained under this article, including trade secrets, is subject to the confidentiality obligations set out in Article 78.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Utöver de skyldigheter som förtecknas i artiklarna 53 och 54 ska leverantörer av AI-modeller för allmänna ändamål med systemrisk
genomföra utvärderingar av modeller i enlighet med standardiserade protokoll och verktyg som återspeglar den aktuella tekniska nivån, inbegripet genomförande och dokumentation av antagonistisk testning av modellen i syfte att identifiera och minska systemrisker,
bedöma och minska eventuella systemrisker på unionsnivå, inbegripet källorna till dem, som kan härröra från utveckling, utsläppande på marknaden eller användning av AI-modeller för allmänna ändamål med systemrisk,
bevaka, dokumentera och utan oskäligt dröjsmål rapportera till AI-byrån och, i förekommande fall, till nationella behöriga myndigheter, relevant information om allvarliga incidenter och möjliga korrigerande åtgärder för att hantera dem,
säkerställa en lämplig nivå av cybersäkerhetsskydd för AI-modellen för allmänna ändamål med systemrisk och modellens fysiska infrastruktur.
Leverantörer av AI-modeller för allmänna ändamål med systemrisk får förlita sig på förfarandekoder i den mening som avses i artikel 56 för att visa att de fullgjort de skyldigheter som anges i punkt 1 i den här artikeln, till dess att en harmoniserad standard har offentliggjorts. Efterlevnad av europeiska harmoniserade standarder ger leverantörer presumtion om överensstämmelse i den utsträckning som de standarderna omfattar dessa skyldigheter. Leverantörer av AI-modeller för allmänna ändamål med systemrisker som inte följer en godkänd förfarandekod eller en europeisk harmoniserad standard ska uppvisa alternativa lämpliga sätt att uppfylla skyldigheterna, vilka ska bedömas av kommissionen.
All information eller dokumentation som har erhållits enligt denna artikel, inbegripet företagshemligheter, ska behandlas i enlighet med de konfidentialitetskrav som anges i artikel 78.
Relevant recitals
Skäl 114 Additional obligations in case of systemic risks
Utöver de skyldigheter som föreskrivs för leverantörer av AI-modeller för allmänna ändamål bör leverantörer av AI-modeller för allmänna ändamål som medför systemrisker omfattas av skyldigheter som syftar till att identifiera och begränsa dessa risker och säkerställa en lämplig nivå av cybersäkerhetsskydd, oavsett om den tillhandahålls som en fristående modell eller inbyggd i ett AI-system eller en produkt. För att uppnå dessa mål bör det genom denna förordning krävas att leverantörer utför nödvändiga utvärderingar av modeller, särskilt innan de släpps ut på marknaden för första gången, vilket bör inbegripa att genomföra och dokumentera antagonistiska tester av modeller, även när så är lämpligt genom intern eller oberoende extern testning. Dessutom bör leverantörer av AI-modeller för allmänna ändamål med systemrisker kontinuerligt bedöma och begränsa systemriskerna, bland annat genom att införa riskhanteringspolicyer, såsom processer för ansvarsskyldighet och styrning, genomföra övervakning efter utsläppande på marknaden, vidta lämpliga åtgärder längs hela modellens livscykel och samarbeta med relevanta aktörer längs AI-värdekedjan.
Skäl 115 Protection of general-purpose AI models with systemic risks
Leverantörer av AI-modeller för allmänna ändamål med systemrisker bör bedöma och begränsa eventuella systemrisker. Om utvecklingen eller användningen av modellen, trots insatser för att identifiera och förebygga risker i samband med en AI-modell för allmänna ändamål som kan medföra systemrisker, orsakar en allvarlig incident, bör leverantören av AI-modellen för allmänna ändamål utan oskäligt dröjsmål bevaka incidenten och rapportera all relevant information och möjliga korrigerande åtgärder till kommissionen och de nationella behöriga myndigheterna. Dessutom bör leverantörer säkerställa en lämplig nivå av cybersäkerhetsskydd för modellen och dess fysiska infrastruktur, om så är lämpligt, under modellens hela livscykel. Cybersäkerhetsskydd som avser systemrisker i samband med skadlig användning eller attacker bör ta vederbörlig hänsyn till oavsiktligt modelläckage, otillåtet utsläppande, kringgående av säkerhetsåtgärder och försvar mot cyberattacker, obehörig åtkomst eller modellstöld. Detta skydd kan underlättas genom att modellvikter, algoritmer, servrar och dataset säkras, exempelvis genom operativa säkerhetsåtgärder för informationssäkerhet, särskilda cybersäkerhetspolicyer, lämpliga tekniska och etablerade lösningar samt kontroller av cyberåtkomst och fysisk åtkomst som är lämpliga för de relevanta omständigheterna och riskerna i samband med detta.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
allvarlig incident
(En. serious incident)
- Dödsfall eller allvarlig skada på en persons hälsa.
- En allvarlig och oåterkallelig störning av förvaltningen eller driften av kritisk infrastruktur.
- Åsidosättande av skyldigheter enligt unionsrätten avsedda att skydda grundläggande rättigheter.
- Allvarlig skada på egendom eller på miljön.
Definition
harmoniserad standard
(En. harmonised standard)
Definition
utsläppande på marknaden
(En. placing on the market)
Definition
kritisk infrastruktur
(En. critical infrastructure)
Definition
indata
(En. input data)
Definition
AI-modell för allmänna ändamål
(En. general-purpose AI model)
Definition
risk
Definition
AI-system
(En. AI system)
Definition
systemrisk
(En. systemic risk)
Definition
AI-byrån
(En. AI Office)
Definition
leverantör
(En. provider)