open/ktg-plugin-marketplace
1
0
Fork 0
Code Issues Pull requests Releases Wiki Activity Actions
ktg-plugin-marketplace/plugins/ms-ai-architect/skills/ms-ai-governance/references/responsible-ai/ai-act-microsoft-tools-mapping.md
Kjell Tore Guttormsen 6a7632146e feat(ms-ai-architect): add plugin to open marketplace (v1.5.0 baseline) 
Initial addition of ms-ai-architect plugin to the open-source marketplace.
Private content excluded: orchestrator/ (Linear tooling), docs/utredning/
(client investigation), generated test reports and PDF export script.
skill-gen tooling moved from orchestrator/ to scripts/skill-gen/.

Security scan: WARNING (risk 20/100) — no secrets, no injection found.
False positive fixed: added gitleaks:allow to Python variable reference
in output-validation-grounding-verification.md line 109.

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-04-07 17:17:17 +02:00

20 KiB
Raw Blame History

EU AI Act — Microsoft-verktøy for Compliance

Last updated: 2026-02 Status: GA Category: Responsible AI & Governance

Oversikt

Microsoft-plattformen tilbyr en bred portefølje av verktøy som støtter etterlevelse av EU AI Act. Dette dokumentet gir en systematisk mapping fra AI Act-artikler til konkrete Microsoft-produkter og -tjenester, med implementeringsdetaljer, lisensinformasjon og anbefalt prioriteringsrekkefølge.

Hoved-matrise: AI Act-artikkel til Microsoft-verktøy

AI Act-artikkel Krav Microsoft-verktøy Implementeringsdetalj
Art. 5 Forbudt praksis Dokumentasjon av at systemet ikke faller inn under forbudte kategorier Microsoft Purview Compliance Manager Opprett tilpasset assessment med Art. 5-sjekkliste; dokumentér eksklusjonsgrunnlag
Art. 9 Risikostyring Kontinuerlig risikoidentifisering og -reduksjon Azure AI Content Safety, Azure AI Foundry Evaluation Sett opp automatisert evaluering i Prompt Flow; konfigurér Content Safety-filtre med terskler tilpasset risikonivå
Art. 9 Risikostyring Risikoregister og -prosess Microsoft Purview Compliance Manager Bruk innebygde risk assessments; knytt til Azure DevOps work items for sporbarhet
Art. 10 Data governance Treningsdata-kvalitetsdokumentasjon Microsoft Purview Data Catalog, Azure ML Data Labeling Registrér alle datasett i Purview med lineage-sporing; dokumentér pre-prosesseringssteg i Azure ML
Art. 10 Data governance Datakvalitetstiltak og bias-vurdering Azure AI Foundry Evaluation, Responsible AI Dashboard Kjør Responsible AI Dashboard i Azure ML for bias-analyse og fairness-måling per undergruppe
Art. 11 Teknisk dokumentasjon Fullstendig Annex IV-dokumentasjon Azure ML Model Registry, Prompt Flow Tracing, Azure AI Foundry Bruk Model Registry for automatisk modellkort-generering; eksportér Prompt Flow-traces til dokumentasjon
Art. 11 Teknisk dokumentasjon Versjonskontroll av AI-artefakter Azure DevOps, GitHub, Azure ML Model Registry Semantisk versjonering av modeller, prompts og konfigurasjoner; koble til change management-prosess
Art. 12 Loggføring Automatisk og uforanderlig loggføring Azure Monitor, Application Insights, Log Analytics Konfigurér 6-måneders retention (minimum per AI Act); bruk immutable storage for audit logs; alert ved logg-gap
Art. 12 Loggføring Sporbarhet av AI-beslutninger Azure AI Foundry Prompt Flow Tracing Aktiver trace-logging per forespørsel; logg input, output, versjon og bruker-ID
Art. 13 Transparens Publisering av bruksinstruksjoner Azure AI Foundry Model Cards, SharePoint, Confluence Generer modellkort automatisk fra Azure ML; publisér på intern portal med versjonskontroll
Art. 13 Transparens AI-merking i grensesnitt Copilot Studio (custom messages), custom UI components Konfigurér velkommen-melding i Copilot Studio; implementér Art. 50(1)-notis i UI-lag
Art. 14 Menneskelig tilsyn Human-in-the-loop i automatiserte flyter Power Automate Approvals, Copilot Studio HITL Konfigurér approval-actions i Power Automate; bruk Copilot Studio escalation til menneskelig agent
Art. 14 Menneskelig tilsyn Override-mekanisme for AI-beslutninger Power Apps, custom portals Bygg override-knapp i saksbehandlerflate; logg alle overrides i Azure Monitor
Art. 15 Cybersikkerhet Robusthet mot adversarial inputs Azure AI Content Safety, Microsoft Defender for Cloud Aktiver jailbreak-deteksjon i Content Safety; sett opp Defender CSPM for AI workloads
Art. 15 Cybersikkerhet Zero Trust-arkitektur Microsoft Entra ID, Azure Key Vault, Azure Private Endpoint Implementér Conditional Access; lagre API-nøkler i Key Vault; isolér AI-endepunkter via Private Endpoint
Art. 15 Cybersikkerhet Sårbarhetshåndtering Microsoft Defender Vulnerability Management Aktiver kontinuerlig sårbarhetsskanning; sett opp SLA for patch av kritiske funn
Art. 17 Kvalitetsstyring QMS-dokumentasjon og prosedyrer Microsoft Purview Compliance Manager, SharePoint Bruk Compliance Manager for policy-sporing; lagre prosedyredokumenter i SharePoint med godkjenningsflyt
Art. 26 Deployer-krav Driftsmonitorering og ytelsesmåling Azure Monitor Workbooks, AI Foundry dashboards, Application Insights Sett opp Azure Workbook med AI Act KPI-er (nøyaktighet, latens, hallusinasjonsrate, avvisningsrate)
Art. 26 Deployer-krav Drift-deteksjon og varsling Azure ML Online Endpoint Monitoring, Azure Monitor Alerts Konfigurér data-drift-monitor; sett opp alerting på ytelsesfall > definert terskel
Art. 27 FRIA Fundamental Rights Impact Assessment Microsoft Priva, Purview Compliance Manager Bruk Priva Subject Rights Requests for rettighetsanalyse; dokumentér FRIA i Compliance Manager
Art. 43 Samsvarsvurdering Dokumentasjon av intern samsvarsvurdering Microsoft Purview Compliance Manager Opprett AI Act-assessment; knytt til teknisk dokumentasjon og risikovurdering
Art. 47 Samsvarserklæring Signering og arkivering av EU-samsvarserklæring Microsoft Purview, SharePoint med eSign Arkivér samsvarserklæring med digital signatur; versjonskontroll og tilgangsstyring
Art. 50 Transparens (AI-merking) Automatisk AI-merking av generert innhold Azure AI Content Safety watermarking, C2PA Aktiver watermarking for DALL-E-genererte bilder; implementér C2PA-metadata i output-pipeline
Art. 72 Alvorlige hendelser Alvorlighetshendelses-rapportering til tilsyn Azure Monitor Alerts, Microsoft Sentinel, ServiceNow Konfigurér Sentinel-playbooks for automatisk hendelsesklassifisering; dokumentér rapporteringsrutine til Datatilsynet

Verktøy-dyppdykk

Microsoft Purview (Data Governance + Compliance Manager)

Hva det gjør: Microsoft Purview er en samlet plattform for data governance, informasjonsbeskyttelse og compliance-styring. Compliance Manager er en spesifikk modul for å bygge og spore compliance assessments mot regulatoriske rammeverk.

Mapping til AI Act:

  • Compliance Manager: Oppretting og sporing av AI Act-assessments, inkludert Annex III-klassifisering, Art. 9-risikoregister, og Art. 17-QMS-dokumentasjon
  • Data Catalog: Lineage-sporing av treningsdata (Art. 10), katalogisering av datasett med kvalitetsmetrikker
  • Information Protection: Klassifisering og beskyttelse av sensitiv AI-dokumentasjon

Praktisk bruk: Start med å opprette et tilpasset assessment i Compliance Manager basert på EU AI Act-malen (tilgjengelig fra Microsoft). Knytt hvert kontrolltiltak til ansvarlig person og dokumentér bevis fortløpende.

Azure AI Content Safety

Hva det gjør: En administrert tjeneste for å analysere og filtrere AI-generert og brukergenerert innhold for skadelig innhold, prompt injection, jailbreak-forsøk, og politikkbrudd.

Mapping til AI Act:

  • Art. 9: Kontinuerlig risikomitigering via innholdsfiltre (vold, hatefullt innhold, seksuelt innhold, selvskade)
  • Art. 15: Robusthet mot adversarial inputs — Prompt Shield blokkerer jailbreak og indirect prompt injection
  • Art. 50: Watermarking av AI-generert bildeinnhold (C2PA-standard)

Konfigurasjon for offentlig sektor:

  • Sett severity-terskler lavt for borgermøtende systemer (kategori 2 av 6 i stedet for standard 4)
  • Aktiver Groundedness detection for RAG-systemer — reduserer hallusinasjonsrisiko (Art. 9)
  • Aktiver Protected Material detection for å unngå opphavsrettsproblemmer

Azure AI Foundry (Prompt Flow, Evaluation, Model Catalog)

Hva det gjør: Azure AI Foundry er en ende-til-ende plattform for utvikling, evaluering og deployering av generative AI-løsninger. Prompt Flow gir visuell orkestrering av LLM-pipeliner med innebygd tracing. Evaluation muliggjør systematisk vurdering av modellkvalitet.

Mapping til AI Act:

  • Prompt Flow Tracing: Art. 12-loggføring — full sporbarhet av input, output og mellomliggende steg per forespørsel
  • Evaluation: Art. 9 og Art. 15 — automatisert testing av nøyaktighet, robusthet, groundedness, relevans og coherence
  • Model Catalog: Art. 11 — dokumentasjon av modellversjon, kapabiliteter og begrensninger via standardiserte modellkort
  • Responsible AI Dashboard: Art. 10 — bias-analyse, fairness-måling, forklarbarhet per undergruppe

Praktisk bruk: Sett opp en automatisert evalueringspipeline som kjøres ved hver modell- eller prompt-endring. Bruk Prompt Flow Tracing med 6-måneders retention i Log Analytics for å oppfylle Art. 12-krav.

Microsoft Priva

Hva det gjør: Microsoft Priva er en personvernhåndteringsplattform som hjelper organisasjoner med å forstå dataflyt av personopplysninger, håndtere rettighetsanmodninger og redusere personvernrisiko.

Mapping til AI Act:

  • Art. 27 FRIA: Fundamental Rights Impact Assessment — Priva Privacy Risk Management identifiserer risikoer for individers rettigheter knyttet til AI-behandling
  • GDPR Art. 35 DPIA: Priva støtter DPIA-prosessen og dokumenterer behandlingsaktiviteter
  • Subject Rights Requests: Håndtering av innsyn, sletting og korrigeringsanmodninger fra borgere som er berørt av AI-beslutninger

Viktig: FRIA (Art. 27) er et krav spesifikt for offentlige myndigheter som deployer høyrisiko-AI-systemer. Priva gir et strukturert rammeverk, men FRIA må tilpasses AI Act-konteksten og kombineres med Compliance Manager for helhetlig dokumentasjon.

Microsoft Entra ID

Hva det gjør: Microsofts identitets- og tilgangsplattform som håndterer autentisering, autorisasjon, Conditional Access og identitetsstyring.

Mapping til AI Act:

  • Art. 14 og Art. 15: Sikker identitetsstyring sikrer at kun autoriserte brukere (Art. 14) og systemer (Art. 15) har tilgang til AI-systemer og treningsdata
  • Conditional Access: Implementerer policyer som kun tillater tilgang fra godkjente enheter og nettverk — reduserer angrepsflate (Art. 15)
  • Privileged Identity Management (PIM): Just-in-time-tilgang for administratorer til AI-infrastruktur — reduserer risiko for utilsiktet endring
  • Audit Logs: Detaljert loggføring av alle påloggings- og tilgangshendelser — støtter Art. 12-krav

Konfigurasjon for AI Act: Sett opp dedikerte app-registreringer for AI-systemer med minste-privilegium-tilgang. Aktiver PIM for tilgang til Azure AI Foundry og Azure ML. Konfigurér Conditional Access til å kreve MFA og compliant device for alle AI-administrasjonsoppgaver.

Azure Policy

Hva det gjør: Azure Policy er et rule-based compliance-verktøy som kontinuerlig evaluerer Azure-ressurser mot definerte policyer og kan håndheve konfigurasjonsregler automatisk.

Mapping til AI Act:

  • Art. 9 og Art. 17: Håndhevelse av sikkerhetspolicyer på tvers av AI-infrastruktur (f.eks. "Azure OpenAI-ressurser skal alltid bruke Private Endpoint", "Logging skal alltid være aktivert")
  • Art. 10: Håndhevelse av policy for data residency — sikrer at treningsdata og AI-behandling skjer innenfor godkjent geografi (f.eks. EU)
  • Art. 15: Automatisk remediering av feilkonfigurerte ressurser — f.eks. automatisk aktivering av diagnostics-logging

Anbefalte innebygde policyer for AI Act:

  • Azure AI Services resources should use customer-managed keys
  • Azure Machine Learning workspaces should use private link
  • Diagnostic logs in Azure AI Services should be enabled
  • [Preview] Azure OpenAI should disable public network access

Azure Monitor + Application Insights

Hva det gjør: Azure Monitor er Microsofts overvåkingsplattform for infrastruktur og applikasjoner. Application Insights er en APM-tjeneste (Application Performance Monitoring) innebygd i Monitor som gir detaljert telemetri fra applikasjoner.

Mapping til AI Act:

  • Art. 12: Uforanderlig loggføring av AI-systemets drift — all input/output, latens, feilhendelser. Bruk Immutable Storage for compliance-kritiske logger.
  • Art. 26: Driftsmonitorering — Custom Workbooks for AI Act KPI-er: nøyaktighetsrate, hallusinasjonsrate, bruker-avvisningsrate, HITL-aktiveringsrate
  • Art. 9: Varsling ved ytelsesfall (data-drift, accuracy degradation) via Alert Rules

Konfigurasjon for Art. 12: Sett minimum 6 måneders retention i Log Analytics Workspace. For saker der AI-systemet er involvert i juridisk bindende beslutninger (forvaltningsvedtak), anbefales 5 år (forvaltningsloven § 11b og arkivlovgivningen).

Power Automate (for HITL-workflows)

Hva det gjør: Power Automate er en low-code-plattform for automatisering av forretningsprosesser. Approval-connector muliggjør strukturerte godkjennings-workflows med full loggføring.

Mapping til AI Act:

  • Art. 14: Human-in-the-loop — Approval-actions krever menneskelig godkjenning før AI-generert output iverksettes. Loggfører hvem som godkjente, når og med hvilke kommentarer.
  • Art. 12: Audit trail for alle godkjenningsbeslutninger — eksporteres til Dataverse eller SharePoint
  • Art. 26: Override-sporing — loggfør når saksbehandler avviser eller redigerer AI-utkast, med årsak

Praktisk implementering: Bygg en Power Automate-flyt der AI-systemet (f.eks. via Azure Logic Apps eller direkte fra Copilot Studio) sender vedtaksutkast til Approval-steg. Saksbehandler mottar e-post eller Teams-notifikasjon, gjennomgår utkastet og godkjenner/avviser. Logg alle beslutninger i Azure Monitor.

Lisens-krav for AI Act Compliance-verktøy

Verktøy Minimum lisens Anbefalt for offentlig sektor Merknad
Microsoft Purview Compliance Manager Microsoft 365 E3 / E5 M365 E5 Compliance E3 gir grunnleggende assessment; E5 gir avanserte rapporter og Priva
Microsoft Priva Microsoft Priva add-on (~50 NOK/bruker/mnd) Inkludert i M365 E5 Compliance Priva Privacy Risk Management krever separat lisens eller E5
Azure AI Content Safety Pay-as-you-go (Azure consumption) Dedikert Azure-abonnement Prising per 1000 tekst-tegn / per bilde; budsjettér ut fra volum
Azure AI Foundry (Evaluation) Pay-as-you-go Dedikert Azure-abonnement Evalueringsoperasjoner faktureres per run; Prompt Flow er gratis å kjøre
Azure ML (Responsible AI Dashboard) Azure ML compute-kostnader Dedikert Azure-abonnement Selve Dashboard-funksjonen er gratis; compute for kjøring av analyser faktureres
Azure Monitor + Log Analytics Inkludert i Azure Utvidet retention tilkommer 90 dager gratis retention; 6 måneder (AI Act-krav) koster ca. 3,5 NOK/GB/mnd ekstra
Microsoft Entra ID (PIM, Conditional Access) Entra ID P2 Inkludert i M365 E5 / EMS E5 P1 gir Conditional Access; P2 kreves for PIM og Identity Protection
Azure Policy Gratis Gratis Ingen lisenskostnad; compute for remediering faktureres
Power Automate (Approvals) Power Automate Standard (~200 NOK/bruker/mnd) Per-user plan anbefales Inkludert i M365 E3/E5 for grunnleggende flows; avanserte konnektorer krever premium
Microsoft Defender for Cloud Inkludert (grunnleggende) / Defender CSPM (betalt) Defender CSPM Plan 2 AI Workload Protection er i preview — sjekk Microsofts prissider for oppdatert info

Kostnadsestimat for en typisk norsk offentlig virksomhet (500 brukere, ett høyrisiko-AI-system):

  • M365 E5 Compliance (inkl. Purview + Priva): ca. 2 500 NOK/bruker/år → 1 250 000 NOK/år
  • Azure-tjenester (Content Safety, Monitor, AI Foundry): ca. 150 000400 000 NOK/år avhengig av volum
  • Power Automate Standard: ca. 2 500 NOK/bruker/år (kun HITL-brukere, typisk 50100) → 125 000250 000 NOK/år
  • Totalt: ca. 1,52 MNOK/år for full AI Act compliance-stack

Merk: Mange norske offentlige virksomheter har allerede M365 E3/E5 — marginalkosten for AI Act-compliance er da lavere.

Implementeringsrekkefølge

Anbefalt sekvens basert på AI Act-ikrafttredelsesdatoer og risikoprioritering:

Fase 1: Umiddelbart (Q1 2026) — Klassifisering og grunnleggende kontroller

Prioritet: Forstå eksponering og implementér grunnleggende sikkerhetskontroller

  1. Purview Compliance Manager: Opprett AI Act-assessment, klassifisér alle AI-systemer mot Annex III
  2. Entra ID Conditional Access + PIM: Sikre tilgang til AI-infrastruktur (Art. 15 baseline)
  3. Azure Monitor logging: Aktiver og konfigurér 6-måneders retention for alle AI-systemer (Art. 12)
  4. Azure AI Content Safety: Aktiver for alle borgermøtende AI-tjenester (Art. 9 baseline)

Mål: Oversikt over compliance-gap og grunnleggende sikkerhet på plass

Fase 2: Q2 2026 — Dokumentasjon og risikostyring

Prioritet: Oppfylle Art. 9, 10, 11 og 13-krav i god tid før august 2026

  1. Azure AI Foundry Evaluation: Konfigurér automatisert evalueringspipeline (Art. 9 + Art. 11)
  2. Responsible AI Dashboard: Kjør bias- og fairness-analyse (Art. 10)
  3. Purview Data Catalog: Katalogisér treningsdata og aktivér lineage-sporing (Art. 10)
  4. Teknisk dokumentasjon (Annex IV): Skriv alle 9 elementer — bruk Azure ML Model Registry som grunnlag
  5. Bruksinstruksjoner (Art. 13): Publisér for alle høyrisiko-systemer

Mål: Teknisk dokumentasjon komplett, evalueringspipeline operativ

Fase 3: Q3 2026 (FØR 2. august 2026) — Samsvarsvurdering og registrering

Prioritet: Formell compliance klar til ikrafttredelsesdato

  1. Power Automate HITL-flows: Implementér godkjennings-workflows for alle høyrisiko-AI-systemer (Art. 14)
  2. Microsoft Priva FRIA: Gjennomfør Fundamental Rights Impact Assessment (Art. 27)
  3. EU-samsvarserklæring: Utarbeid og signer (Art. 47)
  4. EU-database registrering: Registrér alle høyrisiko-systemer (Art. 71)
  5. CE-merking: Påfør i dokumentasjon og UI (Art. 48)

Mål: CE-merking og registrering fullført før 2. august 2026

Fase 4: Q4 2026 og løpende — Kontinuerlig compliance

Prioritet: Opprettholde og forbedre compliance over tid

  1. Azure Monitor Workbooks: Bygg AI Act compliance-dashboard med KPI-er (Art. 26)
  2. Azure Policy: Implementér policy-håndhevelse for konfigurasjonskontroll
  3. Microsoft Sentinel: Konfigurér playbooks for alvorlig-hendelse-rapportering (Art. 72)
  4. Kvartalsvis evaluering: Systematisk gjennomgang av nøyaktighetsmetrikker og risikovurdering

Mål: Robust løpende compliance-program med automatisert monitorering

For Cosmo

Bruk dette dokumentet når:

  1. Kunden spør "hvilke Microsoft-verktøy trenger vi for AI Act?" — Start med hoved-matrisen og filtrer basert på hvilke artikler som er relevante for kundens system. For de fleste offentlige virksomheter er Art. 9, 10, 11, 12, 13, 14 og 15 de viktigste.

  2. Kunden spør om kostnader for AI Act compliance — Bruk lisens-seksjonen og kostnadsestimatet som utgangspunkt. Juster for volum og eksisterende lisenser (mange har allerede M365 E3/E5).

  3. Kunden trenger en plan — Bruk implementeringsrekkefølgen direkte. Påpek at 2. august 2026 er den kritiske datoen for samsvarsvurdering og CE-merking.

  4. Kunden spør om et spesifikt verktøy — Bruk verktøy-dyppdykk-seksjonen for detaljert informasjon med praktiske konfigurasjonsråd.

  5. Kunden allerede har Azure/M365 og vil minimere tilleggskostnader — Pek på at Azure Monitor, Azure Policy, Entra ID P1/P2 og grunnleggende Purview er inkludert eller billig. Den største kostnaden er typisk M365 E5 Compliance-oppgradering og Azure AI Content Safety (volumavhengig).

Vær konkret om at ingen enkelt Microsoft-verktøy gir full AI Act-compliance alene — det er kombinasjonen av verktøy, prosedyrer og dokumentasjon som skaper etterlevelse. Verktøyene er enablers, ikke svar i seg selv.