fix(ms-ai-architect): RX-REG-KB M13 artikkelnr. — 5 AI Act-siteringer rettet mot EUR-Lex [skip-docs]
Kryssmodell-review akse 3 (M13): governance-refene bar feil AI Act-artikkelnummer.
Hver rettet mot EUR-Lex CELEX:32024R1689 / AI Act Explorer (verifisert 2026-07-15):
- Art. 71 -> 49 (registreringsplikt; 71 = EU-databasen som entitet):
conformity-assessment L177/271/320, ms-tools-mapping L234
- Art. 72 -> 73 (alvorlige hendelser = "Reporting of Serious Incidents";
72 = post-market monitoring, beholdt der det faktisk betyr monitoring):
ms-tools-mapping L52/247
- Art. 83 -> 3(23)/43(4) (vesentlig endring: def = 3(23), ny samsvarsvurdering = 43(4);
83 = "Formal non-compliance"): conformity-assessment L126, transparency-notices L295
- Annex III 5(d) -> 5(c) (livs-/helseforsikring; 5(d) = noedanrop):
fria-template L37, deployer-obligations L86
- Art. 12(2) -> 19(1) (6-mnd loggretensjon = "Automatically generated logs";
12 = record-keeping-kapabilitet): provider-obligations L179/326
Last updated-bump 2026-02 -> 2026-07-15: ms-tools-mapping, transparency-notices.
TDD: lint section 7 (5 nye) failing foer fiks, groenn etter. Suite 830/830 exit 0.
Restanse (frist-klynge): conformity L177 "2. august 2026" staar igjen for M13-frister.
Kilder: artificialintelligenceact.eu/article/{3,19,43,49,71,72,73}/ + /annex/3/
This commit is contained in:
parent
1f80574d0d
commit
ddbe4954e0
7 changed files with 64 additions and 14 deletions
|
|
@ -123,7 +123,7 @@ Annex IV spesifiserer hvilken teknisk dokumentasjon som kreves. Under følger hv
|
|||
|
||||
**Hva kreves:**
|
||||
- Endringslogg med semantisk versjonering
|
||||
- Definisjon av vesentlig endring (substantial modification, Art. 83)
|
||||
- Definisjon av vesentlig endring (substantial modification, Art. 3(23))
|
||||
- Prosess for revurdering av samsvar ved endringer
|
||||
- Planlagt avvikling/erstatning
|
||||
|
||||
|
|
@ -174,7 +174,7 @@ Annex IV spesifiserer hvilken teknisk dokumentasjon som kreves. Under følger hv
|
|||
### Element 9: Registreringsinformasjon for EU-database
|
||||
|
||||
**Hva kreves:**
|
||||
- Registreringsnummer fra EU-databasen (Art. 71) — obligatorisk fra 2. august 2026
|
||||
- Registreringsnummer fra EU-databasen (Art. 49) — obligatorisk fra 2. august 2026
|
||||
- Bekreftelse på at registrering er fullført
|
||||
- URL til offentlig oppføring
|
||||
|
||||
|
|
@ -268,7 +268,7 @@ Navn og stilling: [Navn], [Stilling — typisk daglig leder eller bemyndiget per
|
|||
3. Teknisk dokumentasjon gjennomgås og godkjennes internt
|
||||
4. EU-samsvarserklæring utarbeides og signeres
|
||||
5. CE-merking påføres
|
||||
6. Registrering i EU-database (Art. 71)
|
||||
6. Registrering i EU-database (Art. 49)
|
||||
|
||||
**Fordeler:** Raskere, billigere, full kontroll
|
||||
**Risiko:** Intern bias — sørg for uavhengig intern review
|
||||
|
|
@ -317,7 +317,7 @@ Er systemet for biometrisk fjernidentifisering?
|
|||
| 6. QMS-tilpasning | Tilpass kvalitetsstyringssystem til Art. 17-krav | 2–4 uker |
|
||||
| 7. Intern review | Uavhengig intern gjennomgang av teknisk dokumentasjon | 2–3 uker |
|
||||
| 8. Samsvarserklæring | Utarbeid og signer EU-samsvarserklæring (Art. 47) | 1 uke |
|
||||
| 9. Registrering | Registrer i EU-database (Art. 71) | 1 uke |
|
||||
| 9. Registrering | Registrer i EU-database (Art. 49) | 1 uke |
|
||||
| 10. CE-merking | Påfør CE-merking i dokumentasjon og UI | 1 uke |
|
||||
| **Totalt (intern)** | | **3–9 måneder** |
|
||||
| **Totalt (ekstern)** | Legg til 3–6 måneder for notified body-prosess | **6–15 måneder** |
|
||||
|
|
|
|||
|
|
@ -83,7 +83,7 @@ Offentlige organer skal oppbevare logger i minst 6 måneder (Art. 26(6)). Nasjon
|
|||
|---------------|------|
|
||||
| Offentlig organ (stat, fylke, kommune) | ALLTID for høyrisiko-AI (Art. 27(1)) |
|
||||
| Privat aktør — kredittvurdering (Annex III pkt. 5(b)) | ALLTID |
|
||||
| Privat aktør — livsforsikring og helseforsikring (Annex III pkt. 5(d)) | ALLTID |
|
||||
| Privat aktør — livsforsikring og helseforsikring (Annex III pkt. 5(c)) | ALLTID |
|
||||
| Privat aktør — andre Annex III-kategorier | Frivillig, men anbefalt |
|
||||
| Bankvirksomhet for kredittvurdering | ALLTID |
|
||||
|
||||
|
|
|
|||
|
|
@ -34,7 +34,7 @@ FRIA er en selvstendig vurdering fra deployer — ikke det samme som provider's
|
|||
|
||||
- **Offentlige organer som deployer av høyrisiko-AI = ALLTID** (Art. 27(1)) — dette inkluderer statlige etater, fylkeskommuner, kommuner og offentlige foretak
|
||||
- **Bankvirksomhet for kredittvurdering = ALLTID** (Annex III pkt. 5(b))
|
||||
- **Livsforsikring og helseforsikring = ALLTID** (Annex III pkt. 5(d))
|
||||
- **Livsforsikring og helseforsikring = ALLTID** (Annex III pkt. 5(c))
|
||||
- **Private deployers som oppfyller Art. 27-kriteriene** — bl.a. stor skala behandling av personopplysninger
|
||||
|
||||
### Frivillig men sterkt anbefalt
|
||||
|
|
|
|||
|
|
@ -1,6 +1,6 @@
|
|||
# EU AI Act — Microsoft-verktøy for Compliance
|
||||
|
||||
**Last updated:** 2026-02
|
||||
**Last updated:** 2026-07-15
|
||||
**Status:** GA
|
||||
**Category:** Responsible AI & Governance
|
||||
**Type:** reference
|
||||
|
|
@ -49,7 +49,7 @@ Microsoft-plattformen tilbyr en bred portefølje av verktøy som støtter etterl
|
|||
| **Art. 43** Samsvarsvurdering | Dokumentasjon av intern samsvarsvurdering | Microsoft Purview Compliance Manager | Opprett AI Act-assessment; knytt til teknisk dokumentasjon og risikovurdering |
|
||||
| **Art. 47** Samsvarserklæring | Signering og arkivering av EU-samsvarserklæring | Microsoft Purview, SharePoint med eSign | Arkivér samsvarserklæring med digital signatur; versjonskontroll og tilgangsstyring |
|
||||
| **Art. 50** Transparens (AI-merking) | Automatisk AI-merking av generert innhold | Azure AI Content Safety watermarking, C2PA | Aktiver watermarking for DALL-E-genererte bilder; implementér C2PA-metadata i output-pipeline |
|
||||
| **Art. 72** Alvorlige hendelser | Alvorlighetshendelses-rapportering til tilsyn | Azure Monitor Alerts, Microsoft Sentinel, ServiceNow | Konfigurér Sentinel-playbooks for automatisk hendelsesklassifisering; dokumentér rapporteringsrutine til Datatilsynet |
|
||||
| **Art. 73** Alvorlige hendelser | Alvorlighetshendelses-rapportering til tilsyn | Azure Monitor Alerts, Microsoft Sentinel, ServiceNow | Konfigurér Sentinel-playbooks for automatisk hendelsesklassifisering; dokumentér rapporteringsrutine til Datatilsynet |
|
||||
|
||||
---
|
||||
|
||||
|
|
@ -231,7 +231,7 @@ Anbefalt sekvens basert på AI Act-ikrafttredelsesdatoer og risikoprioritering:
|
|||
10. **Power Automate HITL-flows:** Implementér godkjennings-workflows for alle høyrisiko-AI-systemer (Art. 14)
|
||||
11. **Microsoft Priva FRIA:** Gjennomfør Fundamental Rights Impact Assessment (Art. 27)
|
||||
12. **EU-samsvarserklæring:** Utarbeid og signer (Art. 47)
|
||||
13. **EU-database registrering:** Registrér alle høyrisiko-systemer (Art. 71)
|
||||
13. **EU-database registrering:** Registrér alle høyrisiko-systemer (Art. 49)
|
||||
14. **CE-merking:** Påfør i dokumentasjon og UI (Art. 48)
|
||||
|
||||
**Mål:** CE-merking og registrering fullført før 2. august 2026
|
||||
|
|
@ -244,7 +244,7 @@ Anbefalt sekvens basert på AI Act-ikrafttredelsesdatoer og risikoprioritering:
|
|||
|
||||
15. **Azure Monitor Workbooks:** Bygg AI Act compliance-dashboard med KPI-er (Art. 26)
|
||||
16. **Azure Policy:** Implementér policy-håndhevelse for konfigurasjonskontroll
|
||||
17. **Microsoft Sentinel:** Konfigurér playbooks for alvorlig-hendelse-rapportering (Art. 72)
|
||||
17. **Microsoft Sentinel:** Konfigurér playbooks for alvorlig-hendelse-rapportering (Art. 73)
|
||||
18. **Kvartalsvis evaluering:** Systematisk gjennomgang av nøyaktighetsmetrikker og risikovurdering
|
||||
|
||||
**Mål:** Robust løpende compliance-program med automatisert monitorering
|
||||
|
|
|
|||
|
|
@ -176,7 +176,7 @@ Høyrisiko-AI-systemer skal ha innebygd kapasitet for automatisk loggføring av
|
|||
|
||||
### Oppbevaringsperiode
|
||||
|
||||
**6 måneder** — Art. 12(2) krever minst 6 måneder oppbevaring av logger. Lengre oppbevaring kan kreves av nasjonal lov (f.eks. forvaltningsloven for offentlig sektor i Norge: 3-10 år avhengig av sakstype).
|
||||
**6 måneder** — Art. 19(1) krever minst 6 måneder oppbevaring av logger. Lengre oppbevaring kan kreves av nasjonal lov (f.eks. forvaltningsloven for offentlig sektor i Norge: 3-10 år avhengig av sakstype).
|
||||
|
||||
### Logg-arkitektur for Microsoft-plattformer
|
||||
|
||||
|
|
@ -323,7 +323,7 @@ Måned 9: CE-merking påføres (Art. 48) — der relevant
|
|||
Måned 9: Registrering i EU AI Act-database (Art. 49) — offentlig tilgjengelig
|
||||
Måned 10: Lansering — deployer onboarding med bruksanvisning (Art. 13)
|
||||
Løpende: Post-market overvåking (Art. 72), hendelsesrapportering (Art. 73)
|
||||
Løpende: Logging 6-måneder minimum (Art. 12)
|
||||
Løpende: Logging 6-måneder minimum (Art. 19(1))
|
||||
Årlig: Revisjon av risikostyringssystem (Art. 9)
|
||||
Årlig: QMS intern revisjon
|
||||
Ved endring: Ny samsvarsvurdering dersom vesentlig endring (Art. 43(4))
|
||||
|
|
|
|||
|
|
@ -1,6 +1,6 @@
|
|||
# EU AI Act — Transparensnotiser og Informasjonsplikter
|
||||
|
||||
**Last updated:** 2026-02
|
||||
**Last updated:** 2026-07-15
|
||||
**Status:** GA
|
||||
**Category:** Responsible AI & Governance
|
||||
**Type:** regulatory
|
||||
|
|
@ -292,7 +292,7 @@ Transparensnotiser og bruksinstruksjoner skal oppdateres ved følgende hendelser
|
|||
**Hva som må oppdateres:**
|
||||
- Bruksinstruksjon: berørte Art. 13(3)-punkter
|
||||
- Transparensnotis: hvis funksjonsbeskrivelsen endres
|
||||
- Samsvarsvurdering: revurderes om endringen er "vesentlig" (Art. 83)
|
||||
- Samsvarsvurdering: revurderes om endringen er "vesentlig" (Art. 43(4))
|
||||
|
||||
---
|
||||
|
||||
|
|
|
|||
|
|
@ -130,3 +130,53 @@ for (const f of ['ai-act-provider-obligations.md', 'ai-act-fria-template.md', 'a
|
|||
assert.ok(read(f).includes('Nkom'), 'Nkom (koordinerende markedstilsynsmyndighet) must be named');
|
||||
});
|
||||
}
|
||||
|
||||
// --- 7. M13 article-number citations (EUR-Lex CELEX:32024R1689 / AI Act Explorer, verified 2026-07-15) ---
|
||||
// Ground truth this session (RX-REG-KB Økt 2, cluster «artikkelnr.»):
|
||||
// - Registration duty = Art. 49 ("Registration"). Art. 71 is the EU DATABASE entity
|
||||
// ("EU Database for High-Risk AI Systems Listed in Annex III"). Lines describing the ACT
|
||||
// of registering must cite Art. 49, not Art. 71.
|
||||
// - Serious-incident reporting = Art. 73 ("Reporting of Serious Incidents"). Art. 72 is
|
||||
// post-market monitoring — correct where it means monitoring, wrong for incidents.
|
||||
// - Substantial modification: definition = Art. 3(23); new-conformity trigger = Art. 43(4).
|
||||
// Art. 83 is "Formal non-compliance" — never a substantial-modification citation.
|
||||
// - Annex III 5(c) = risk assessment & pricing in life and health insurance (5(d) = emergency dispatch).
|
||||
// - Six-month log retention = Art. 19(1) ("Automatically generated logs"); Art. 12 is the
|
||||
// record-keeping capability, not the retention duration.
|
||||
|
||||
test('conformity-assessment: registration act = Art. 49; substantial-mod def = Art. 3(23)', () => {
|
||||
const md = read('ai-act-conformity-assessment.md');
|
||||
assert.ok(!/\(Art\. 71\)/.test(md), 'registration act cites Art. 49, not the Art. 71 database entity');
|
||||
assert.ok(!/substantial modification, Art\. 83\)/.test(md), 'substantial-mod definition = Art. 3(23), not Art. 83');
|
||||
assert.ok(/\(Art\. 49\)/.test(md), 'Art. 49 registration citation present');
|
||||
assert.ok(/Art\. 3\(23\)/.test(md), 'Art. 3(23) substantial-mod definition present');
|
||||
});
|
||||
|
||||
test('microsoft-tools-mapping: serious incidents = Art. 73; registration = Art. 49', () => {
|
||||
const md = read('ai-act-microsoft-tools-mapping.md');
|
||||
assert.ok(!/\*\*Art\. 72\*\* Alvorlige hendelser/.test(md), 'serious incidents = Art. 73, not Art. 72');
|
||||
assert.ok(!/alvorlig-hendelse-rapportering \(Art\. 72\)/.test(md), 'serious-incident reporting = Art. 73');
|
||||
assert.ok(!/\(Art\. 71\)/.test(md), 'registration act = Art. 49, not Art. 71');
|
||||
assert.ok(/Art\. 73/.test(md), 'Art. 73 serious-incident citation present');
|
||||
});
|
||||
|
||||
test('transparency-notices: substantial-mod re-conformity = Art. 43(4)', () => {
|
||||
const md = read('ai-act-transparency-notices.md');
|
||||
assert.ok(!/"vesentlig" \(Art\. 83\)/.test(md), 're-conformity on substantial mod = Art. 43(4), not Art. 83');
|
||||
assert.ok(/Art\. 43\(4\)/.test(md), 'Art. 43(4) present');
|
||||
});
|
||||
|
||||
test('fria-template + deployer-obligations: insurance = Annex III 5(c), not 5(d)', () => {
|
||||
for (const f of ['ai-act-fria-template.md', 'ai-act-deployer-obligations.md']) {
|
||||
const md = read(f);
|
||||
assert.ok(!/Annex III pkt\. 5\(d\)/.test(md), `${f}: life/health insurance = Annex III 5(c), not 5(d)`);
|
||||
assert.ok(/Annex III pkt\. 5\(c\)/.test(md), `${f}: Annex III 5(c) present`);
|
||||
}
|
||||
});
|
||||
|
||||
test('provider-obligations: six-month log retention = Art. 19(1), not Art. 12', () => {
|
||||
const md = read('ai-act-provider-obligations.md');
|
||||
assert.ok(!/Art\. 12\(2\) krever minst 6 måneder/.test(md), 'retention duration = Art. 19(1), not Art. 12(2)');
|
||||
assert.ok(!/6-måneder minimum \(Art\. 12\)/.test(md), '6-month minimum retention = Art. 19(1), not Art. 12');
|
||||
assert.ok(/Art\. 19\(1\)/.test(md), 'Art. 19(1) retention citation present');
|
||||
});
|
||||
|
|
|
|||
Loading…
Add table
Add a link
Reference in a new issue