diff --git a/skills/ms-ai-governance/references/responsible-ai/ai-act-conformity-assessment.md b/skills/ms-ai-governance/references/responsible-ai/ai-act-conformity-assessment.md index ca76c9d..e721211 100644 --- a/skills/ms-ai-governance/references/responsible-ai/ai-act-conformity-assessment.md +++ b/skills/ms-ai-governance/references/responsible-ai/ai-act-conformity-assessment.md @@ -123,7 +123,7 @@ Annex IV spesifiserer hvilken teknisk dokumentasjon som kreves. Under følger hv **Hva kreves:** - Endringslogg med semantisk versjonering -- Definisjon av vesentlig endring (substantial modification, Art. 83) +- Definisjon av vesentlig endring (substantial modification, Art. 3(23)) - Prosess for revurdering av samsvar ved endringer - Planlagt avvikling/erstatning @@ -174,7 +174,7 @@ Annex IV spesifiserer hvilken teknisk dokumentasjon som kreves. Under følger hv ### Element 9: Registreringsinformasjon for EU-database **Hva kreves:** -- Registreringsnummer fra EU-databasen (Art. 71) — obligatorisk fra 2. august 2026 +- Registreringsnummer fra EU-databasen (Art. 49) — obligatorisk fra 2. august 2026 - Bekreftelse på at registrering er fullført - URL til offentlig oppføring @@ -268,7 +268,7 @@ Navn og stilling: [Navn], [Stilling — typisk daglig leder eller bemyndiget per 3. Teknisk dokumentasjon gjennomgås og godkjennes internt 4. EU-samsvarserklæring utarbeides og signeres 5. CE-merking påføres -6. Registrering i EU-database (Art. 71) +6. Registrering i EU-database (Art. 49) **Fordeler:** Raskere, billigere, full kontroll **Risiko:** Intern bias — sørg for uavhengig intern review @@ -317,7 +317,7 @@ Er systemet for biometrisk fjernidentifisering? | 6. QMS-tilpasning | Tilpass kvalitetsstyringssystem til Art. 17-krav | 2–4 uker | | 7. Intern review | Uavhengig intern gjennomgang av teknisk dokumentasjon | 2–3 uker | | 8. Samsvarserklæring | Utarbeid og signer EU-samsvarserklæring (Art. 47) | 1 uke | -| 9. Registrering | Registrer i EU-database (Art. 71) | 1 uke | +| 9. Registrering | Registrer i EU-database (Art. 49) | 1 uke | | 10. CE-merking | Påfør CE-merking i dokumentasjon og UI | 1 uke | | **Totalt (intern)** | | **3–9 måneder** | | **Totalt (ekstern)** | Legg til 3–6 måneder for notified body-prosess | **6–15 måneder** | diff --git a/skills/ms-ai-governance/references/responsible-ai/ai-act-deployer-obligations.md b/skills/ms-ai-governance/references/responsible-ai/ai-act-deployer-obligations.md index 519cd36..b3ace7c 100644 --- a/skills/ms-ai-governance/references/responsible-ai/ai-act-deployer-obligations.md +++ b/skills/ms-ai-governance/references/responsible-ai/ai-act-deployer-obligations.md @@ -83,7 +83,7 @@ Offentlige organer skal oppbevare logger i minst 6 måneder (Art. 26(6)). Nasjon |---------------|------| | Offentlig organ (stat, fylke, kommune) | ALLTID for høyrisiko-AI (Art. 27(1)) | | Privat aktør — kredittvurdering (Annex III pkt. 5(b)) | ALLTID | -| Privat aktør — livsforsikring og helseforsikring (Annex III pkt. 5(d)) | ALLTID | +| Privat aktør — livsforsikring og helseforsikring (Annex III pkt. 5(c)) | ALLTID | | Privat aktør — andre Annex III-kategorier | Frivillig, men anbefalt | | Bankvirksomhet for kredittvurdering | ALLTID | diff --git a/skills/ms-ai-governance/references/responsible-ai/ai-act-fria-template.md b/skills/ms-ai-governance/references/responsible-ai/ai-act-fria-template.md index 871f68e..ddad6ff 100644 --- a/skills/ms-ai-governance/references/responsible-ai/ai-act-fria-template.md +++ b/skills/ms-ai-governance/references/responsible-ai/ai-act-fria-template.md @@ -34,7 +34,7 @@ FRIA er en selvstendig vurdering fra deployer — ikke det samme som provider's - **Offentlige organer som deployer av høyrisiko-AI = ALLTID** (Art. 27(1)) — dette inkluderer statlige etater, fylkeskommuner, kommuner og offentlige foretak - **Bankvirksomhet for kredittvurdering = ALLTID** (Annex III pkt. 5(b)) -- **Livsforsikring og helseforsikring = ALLTID** (Annex III pkt. 5(d)) +- **Livsforsikring og helseforsikring = ALLTID** (Annex III pkt. 5(c)) - **Private deployers som oppfyller Art. 27-kriteriene** — bl.a. stor skala behandling av personopplysninger ### Frivillig men sterkt anbefalt diff --git a/skills/ms-ai-governance/references/responsible-ai/ai-act-microsoft-tools-mapping.md b/skills/ms-ai-governance/references/responsible-ai/ai-act-microsoft-tools-mapping.md index 1028dbe..46c636e 100644 --- a/skills/ms-ai-governance/references/responsible-ai/ai-act-microsoft-tools-mapping.md +++ b/skills/ms-ai-governance/references/responsible-ai/ai-act-microsoft-tools-mapping.md @@ -1,6 +1,6 @@ # EU AI Act — Microsoft-verktøy for Compliance -**Last updated:** 2026-02 +**Last updated:** 2026-07-15 **Status:** GA **Category:** Responsible AI & Governance **Type:** reference @@ -49,7 +49,7 @@ Microsoft-plattformen tilbyr en bred portefølje av verktøy som støtter etterl | **Art. 43** Samsvarsvurdering | Dokumentasjon av intern samsvarsvurdering | Microsoft Purview Compliance Manager | Opprett AI Act-assessment; knytt til teknisk dokumentasjon og risikovurdering | | **Art. 47** Samsvarserklæring | Signering og arkivering av EU-samsvarserklæring | Microsoft Purview, SharePoint med eSign | Arkivér samsvarserklæring med digital signatur; versjonskontroll og tilgangsstyring | | **Art. 50** Transparens (AI-merking) | Automatisk AI-merking av generert innhold | Azure AI Content Safety watermarking, C2PA | Aktiver watermarking for DALL-E-genererte bilder; implementér C2PA-metadata i output-pipeline | -| **Art. 72** Alvorlige hendelser | Alvorlighetshendelses-rapportering til tilsyn | Azure Monitor Alerts, Microsoft Sentinel, ServiceNow | Konfigurér Sentinel-playbooks for automatisk hendelsesklassifisering; dokumentér rapporteringsrutine til Datatilsynet | +| **Art. 73** Alvorlige hendelser | Alvorlighetshendelses-rapportering til tilsyn | Azure Monitor Alerts, Microsoft Sentinel, ServiceNow | Konfigurér Sentinel-playbooks for automatisk hendelsesklassifisering; dokumentér rapporteringsrutine til Datatilsynet | --- @@ -231,7 +231,7 @@ Anbefalt sekvens basert på AI Act-ikrafttredelsesdatoer og risikoprioritering: 10. **Power Automate HITL-flows:** Implementér godkjennings-workflows for alle høyrisiko-AI-systemer (Art. 14) 11. **Microsoft Priva FRIA:** Gjennomfør Fundamental Rights Impact Assessment (Art. 27) 12. **EU-samsvarserklæring:** Utarbeid og signer (Art. 47) -13. **EU-database registrering:** Registrér alle høyrisiko-systemer (Art. 71) +13. **EU-database registrering:** Registrér alle høyrisiko-systemer (Art. 49) 14. **CE-merking:** Påfør i dokumentasjon og UI (Art. 48) **Mål:** CE-merking og registrering fullført før 2. august 2026 @@ -244,7 +244,7 @@ Anbefalt sekvens basert på AI Act-ikrafttredelsesdatoer og risikoprioritering: 15. **Azure Monitor Workbooks:** Bygg AI Act compliance-dashboard med KPI-er (Art. 26) 16. **Azure Policy:** Implementér policy-håndhevelse for konfigurasjonskontroll -17. **Microsoft Sentinel:** Konfigurér playbooks for alvorlig-hendelse-rapportering (Art. 72) +17. **Microsoft Sentinel:** Konfigurér playbooks for alvorlig-hendelse-rapportering (Art. 73) 18. **Kvartalsvis evaluering:** Systematisk gjennomgang av nøyaktighetsmetrikker og risikovurdering **Mål:** Robust løpende compliance-program med automatisert monitorering diff --git a/skills/ms-ai-governance/references/responsible-ai/ai-act-provider-obligations.md b/skills/ms-ai-governance/references/responsible-ai/ai-act-provider-obligations.md index 41a3ca7..efeceb9 100644 --- a/skills/ms-ai-governance/references/responsible-ai/ai-act-provider-obligations.md +++ b/skills/ms-ai-governance/references/responsible-ai/ai-act-provider-obligations.md @@ -176,7 +176,7 @@ Høyrisiko-AI-systemer skal ha innebygd kapasitet for automatisk loggføring av ### Oppbevaringsperiode -**6 måneder** — Art. 12(2) krever minst 6 måneder oppbevaring av logger. Lengre oppbevaring kan kreves av nasjonal lov (f.eks. forvaltningsloven for offentlig sektor i Norge: 3-10 år avhengig av sakstype). +**6 måneder** — Art. 19(1) krever minst 6 måneder oppbevaring av logger. Lengre oppbevaring kan kreves av nasjonal lov (f.eks. forvaltningsloven for offentlig sektor i Norge: 3-10 år avhengig av sakstype). ### Logg-arkitektur for Microsoft-plattformer @@ -323,7 +323,7 @@ Måned 9: CE-merking påføres (Art. 48) — der relevant Måned 9: Registrering i EU AI Act-database (Art. 49) — offentlig tilgjengelig Måned 10: Lansering — deployer onboarding med bruksanvisning (Art. 13) Løpende: Post-market overvåking (Art. 72), hendelsesrapportering (Art. 73) -Løpende: Logging 6-måneder minimum (Art. 12) +Løpende: Logging 6-måneder minimum (Art. 19(1)) Årlig: Revisjon av risikostyringssystem (Art. 9) Årlig: QMS intern revisjon Ved endring: Ny samsvarsvurdering dersom vesentlig endring (Art. 43(4)) diff --git a/skills/ms-ai-governance/references/responsible-ai/ai-act-transparency-notices.md b/skills/ms-ai-governance/references/responsible-ai/ai-act-transparency-notices.md index b9d5e41..5f2daa7 100644 --- a/skills/ms-ai-governance/references/responsible-ai/ai-act-transparency-notices.md +++ b/skills/ms-ai-governance/references/responsible-ai/ai-act-transparency-notices.md @@ -1,6 +1,6 @@ # EU AI Act — Transparensnotiser og Informasjonsplikter -**Last updated:** 2026-02 +**Last updated:** 2026-07-15 **Status:** GA **Category:** Responsible AI & Governance **Type:** regulatory @@ -292,7 +292,7 @@ Transparensnotiser og bruksinstruksjoner skal oppdateres ved følgende hendelser **Hva som må oppdateres:** - Bruksinstruksjon: berørte Art. 13(3)-punkter - Transparensnotis: hvis funksjonsbeskrivelsen endres -- Samsvarsvurdering: revurderes om endringen er "vesentlig" (Art. 83) +- Samsvarsvurdering: revurderes om endringen er "vesentlig" (Art. 43(4)) --- diff --git a/tests/kb-update/test-governance-refs-reg-lint.test.mjs b/tests/kb-update/test-governance-refs-reg-lint.test.mjs index 917b589..a9bd92a 100644 --- a/tests/kb-update/test-governance-refs-reg-lint.test.mjs +++ b/tests/kb-update/test-governance-refs-reg-lint.test.mjs @@ -130,3 +130,53 @@ for (const f of ['ai-act-provider-obligations.md', 'ai-act-fria-template.md', 'a assert.ok(read(f).includes('Nkom'), 'Nkom (koordinerende markedstilsynsmyndighet) must be named'); }); } + +// --- 7. M13 article-number citations (EUR-Lex CELEX:32024R1689 / AI Act Explorer, verified 2026-07-15) --- +// Ground truth this session (RX-REG-KB Økt 2, cluster «artikkelnr.»): +// - Registration duty = Art. 49 ("Registration"). Art. 71 is the EU DATABASE entity +// ("EU Database for High-Risk AI Systems Listed in Annex III"). Lines describing the ACT +// of registering must cite Art. 49, not Art. 71. +// - Serious-incident reporting = Art. 73 ("Reporting of Serious Incidents"). Art. 72 is +// post-market monitoring — correct where it means monitoring, wrong for incidents. +// - Substantial modification: definition = Art. 3(23); new-conformity trigger = Art. 43(4). +// Art. 83 is "Formal non-compliance" — never a substantial-modification citation. +// - Annex III 5(c) = risk assessment & pricing in life and health insurance (5(d) = emergency dispatch). +// - Six-month log retention = Art. 19(1) ("Automatically generated logs"); Art. 12 is the +// record-keeping capability, not the retention duration. + +test('conformity-assessment: registration act = Art. 49; substantial-mod def = Art. 3(23)', () => { + const md = read('ai-act-conformity-assessment.md'); + assert.ok(!/\(Art\. 71\)/.test(md), 'registration act cites Art. 49, not the Art. 71 database entity'); + assert.ok(!/substantial modification, Art\. 83\)/.test(md), 'substantial-mod definition = Art. 3(23), not Art. 83'); + assert.ok(/\(Art\. 49\)/.test(md), 'Art. 49 registration citation present'); + assert.ok(/Art\. 3\(23\)/.test(md), 'Art. 3(23) substantial-mod definition present'); +}); + +test('microsoft-tools-mapping: serious incidents = Art. 73; registration = Art. 49', () => { + const md = read('ai-act-microsoft-tools-mapping.md'); + assert.ok(!/\*\*Art\. 72\*\* Alvorlige hendelser/.test(md), 'serious incidents = Art. 73, not Art. 72'); + assert.ok(!/alvorlig-hendelse-rapportering \(Art\. 72\)/.test(md), 'serious-incident reporting = Art. 73'); + assert.ok(!/\(Art\. 71\)/.test(md), 'registration act = Art. 49, not Art. 71'); + assert.ok(/Art\. 73/.test(md), 'Art. 73 serious-incident citation present'); +}); + +test('transparency-notices: substantial-mod re-conformity = Art. 43(4)', () => { + const md = read('ai-act-transparency-notices.md'); + assert.ok(!/"vesentlig" \(Art\. 83\)/.test(md), 're-conformity on substantial mod = Art. 43(4), not Art. 83'); + assert.ok(/Art\. 43\(4\)/.test(md), 'Art. 43(4) present'); +}); + +test('fria-template + deployer-obligations: insurance = Annex III 5(c), not 5(d)', () => { + for (const f of ['ai-act-fria-template.md', 'ai-act-deployer-obligations.md']) { + const md = read(f); + assert.ok(!/Annex III pkt\. 5\(d\)/.test(md), `${f}: life/health insurance = Annex III 5(c), not 5(d)`); + assert.ok(/Annex III pkt\. 5\(c\)/.test(md), `${f}: Annex III 5(c) present`); + } +}); + +test('provider-obligations: six-month log retention = Art. 19(1), not Art. 12', () => { + const md = read('ai-act-provider-obligations.md'); + assert.ok(!/Art\. 12\(2\) krever minst 6 måneder/.test(md), 'retention duration = Art. 19(1), not Art. 12(2)'); + assert.ok(!/6-måneder minimum \(Art\. 12\)/.test(md), '6-month minimum retention = Art. 19(1), not Art. 12'); + assert.ok(/Art\. 19\(1\)/.test(md), 'Art. 19(1) retention citation present'); +});