Source: OJ L, 2024/1689, 12.7.2024Current language: SV
- Artificial intelligence act
Basic legislative acts
- AI act regulation
Artikel 73 Rapportering av allvarliga incidenter
Summary What does Article 73 of the AI act regulation say?
This article establishes the serious incident reporting regime for providers of high-risk AI systems placed on the Union market.
It sets out the obligation to report to market surveillance authorities in the Member State where an incident occurred, and crucially, it lays down a tiered set of deadlines depending on the severity of the incident.
The general deadline is 15 days, but this is tightened significantly for incidents involving widespread infringement or disruption of critical infrastructure (2 days), and further still where a person has died (10 days).
The article also covers post-reporting obligations, requiring providers to conduct investigations and cooperate with authorities without altering the AI system in a way that could compromise that investigation.
Important points:
- Report serious incidents to the relevant market surveillance authority, with the deadline varying based on severity: 15 days as a general rule, 2 days for widespread infringements or critical infrastructure disruptions, and 10 days where a death has occurred.
- Following a report, conduct a risk assessment and corrective action, and do not alter the AI system in a way that could affect the evaluation of the incident's causes without first informing the competent authorities.
- Market surveillance authorities are required to take appropriate measures within seven days of receiving a notification and to immediately notify the Commission of any serious incident.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Leverantörer av AI-system med hög risk som släpps ut på unionsmarknaden ska rapportera alla allvarliga incidenter till marknadskontrollmyndigheterna i de medlemsstater där incidenten inträffade.
Den rapport som avses i punkt 1 ska göras omedelbart efter det att leverantören har fastställt ett orsakssamband mellan AI-systemet och den allvarliga incidenten eller den rimliga sannolikheten för att det finns ett sådant samband och, under alla omständigheter, senast 15 dagar efter det att leverantören eller, i tillämpliga fall, tillhandahållaren fått kännedom om den allvarliga incidenten.
Den rapporteringsperiod som avses i första stycket ska ta hänsyn till hur allvarligt den allvarliga incidenten är.
Trots vad som sägs i punkt 2 i denna artikel ska, i händelse av en utbredd överträdelse eller en allvarlig incident enligt definitionen i artikel 3.49 b, den rapport som avses i punkt 1 i den här artikeln tillhandahållas omedelbart och senast två dagar efter det att leverantören eller, i tillämpliga fall, tillhandahållaren fått kännedom om incidenten.
Trots vad som sägs i punkt 2 ska rapporten, om en person avlider, tillhandahållas omedelbart efter det att leverantören eller tillhandahållaren har fastställt, eller så snart den misstänker, ett orsakssamband mellan AI-systemet med hög risk och den allvarliga incidenten, dock senast tio dagar efter den dag då leverantören eller, i tillämpliga fall, tillhandahållaren fått kännedom om den allvarliga incidenten.
Om det är nödvändigt för att säkerställa snabb rapportering får leverantören eller, i tillämpliga fall, tillhandahållaren, lämna in en inledande rapport som är ofullständig, följd av en fullständig rapport.
Efter rapporteringen av en allvarlig incident enligt punkt 1 ska leverantören utan dröjsmål utföra de nödvändiga utredningarna med avseende på den allvarliga incidenten och det berörda AI-systemet. Detta ska inbegripa en riskbedömning av incidenten och korrigerande åtgärder.
Leverantören ska samarbeta med de behöriga myndigheterna, och i förekommande fall med det berörda anmälda organet, under de utredningar som avses i första stycket, och får inte utföra någon utredning som inbegriper att ändra det berörda AI-systemet på ett sätt som kan påverka eventuella efterföljande utvärderingar av orsakerna till incidenten, innan den underrättar de behöriga myndigheterna om en sådan åtgärd.
Efter att ha mottagit en underrättelse om en allvarlig incident enligt artikel 3.49 c ska den berörda marknadskontrollmyndigheten informera de nationella offentliga myndigheter eller organ som avses i artikel 77.1. Kommissionen ska utarbeta särskilda vägledning för att underlätta fullgörandet av de skyldigheter som anges i punkt 1 i den här artikeln. Dessa riktlinjer ska utfärdas senast den 2 augusti 2025 och ska bedömas regelbundet.
Marknadskontrollmyndigheten ska vidta lämpliga åtgärder i enlighet med vad som föreskrivs i artikel 19 i förordning (EU) 2019/1020 inom sju dagar från den dag som den mottog den underrättelse som avses i punkt 1 i den här artikeln och ska följa de underrättelseförfaranden som föreskrivs i den förordningen.
För AI-system med hög risk som avses i bilaga III och som släpps ut på marknaden eller tas i bruk av leverantörer som omfattas av unionslagstiftningsinstrument som föreskriver rapporteringsskyldigheter som är likvärdiga med dem som anges i denna förordning ska anmälan av allvarliga incidenter vara begränsade till dem som avses i artikel 3.49 c.
För AI-system med hög risk som utgör säkerhetskomponenter i enheter, eller som själva är enheter, vilka omfattas av förordningarna (EU) 2017/745 och (EU) 2017/746, ska anmälan av allvarliga incidenter begränsas till sådana som avses i artikel 3.49 c i den här förordningen och göras till den nationella behöriga myndighet som utsetts för detta ändamål av de medlemsstater där incidenten inträffade.
Nationella behöriga myndigheter ska omedelbart underrätta kommissionen om alla allvarliga incidenter, oavsett om de har vidtagit åtgärder med anledning av dessa, i enlighet med artikel 20 i förordning (EU) 2019/1020.
Relevant recitals
Skäl 155 Post-market monitoring systems
För att säkerställa att leverantörer av AI-system med hög risk kan beakta erfarenheterna från användning av AI-system med hög risk för att förbättra sina system och utformnings- och utvecklingsprocessen, eller kan vidta eventuella korrigerande åtgärder i rätt tid, bör alla leverantörer ha infört ett system för övervakning efter utsläppande på marknaden. I förekommande fall bör övervakningen efter utsläppande på marknaden omfatta en analys av interaktionen med andra AI-system, inbegripet andra enheter och programvara. Övervakningen efter utsläppande på marknaden bör inte omfatta känsliga operativa uppgifter om tillhandahållare som är brottsbekämpande myndigheter. Detta system är också viktigt för att säkerställa att eventuella risker som härrör från AI-system som fortsätter sin inlärning efter att de släppts ut på marknaden eller tagits i bruk kan hanteras på ett mer effektivt sätt och i rätt tid. I detta sammanhang bör leverantörer också åläggas att ha ett system för rapportering till de berörda myndigheterna av alla allvarliga incidenter som orsakas av användningen av deras AI-system, varmed avses en incident eller en funktionsstörning som leder till dödsfall eller allvarlig skada för hälsan, en allvarlig och oåterkallelig störning av förvaltningen och driften av kritisk infrastruktur, överträdelser av skyldigheter enligt unionsrätten avsedda att skydda grundläggande rättigheter eller allvarlig skada för egendom eller för miljön.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
marknadskontrollmyndighet
(En. market surveillance authority)
Definition
allvarlig incident
(En. serious incident)
- Dödsfall eller allvarlig skada på en persons hälsa.
- En allvarlig och oåterkallelig störning av förvaltningen eller driften av kritisk infrastruktur.
- Åsidosättande av skyldigheter enligt unionsrätten avsedda att skydda grundläggande rättigheter.
- Allvarlig skada på egendom eller på miljön.
Definition
säkerhetskomponent
(En. safety component)
Definition
utbredd överträdelse
(En. widespread infringement)
- har skadat eller sannolikt kommer att skada de kollektiva intressena för enskilda personer som är bosatta i minst två andra medlemsstater än den där
- handlingen eller underlåtenheten hade sitt ursprung eller ägde rum,
- den berörda leverantören befinner sig eller är etablerad eller, i tillämpliga fall, dess ombud befinner sig eller är etablerat, eller
- tillhandahållaren är etablerad, i de fall där överträdelsen begås av tillhandahållaren,
- har orsakat, orsakar eller sannolikt kommer att orsaka skada på enskilda personers kollektiva intressen och uppvisar gemensamma drag, till exempel genom att innebära bruk av samma olagliga metoder eller åsidosättande av samma intresse, samt begås av samma operatör och begås samtidigt i minst tre medlemsstater.
Definition
importör
(En. importer)
Definition
känsliga operativa uppgifter
(En. sensitive operational data)
Definition
utsläppande på marknaden
(En. placing on the market)
Definition
brottsbekämpande myndighet
(En. law enforcement authority)
- en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, eller
- ett annat organ eller en annan enhet som genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning för att förebygga, förhindra, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
Definition
kritisk infrastruktur
(En. critical infrastructure)
Definition
indata
(En. input data)
Definition
AI-modell för allmänna ändamål
(En. general-purpose AI model)
Definition
tillhandahållare
(En. deployer)
Definition
risk
Definition
AI-system
(En. AI system)
Definition
distributör
(En. distributor)
Definition
ombud
(En. authorised representative)
Definition
operatör
(En. operator)
Definition
leverantör
(En. provider)
Definition
system för övervakning efter utsläppande på marknaden
(En. post-market monitoring system)