Udfordringer med agentisk AI-styring i henhold til EU's AI-lov 2026

I takt med at håndhævelsesbestemmelserne i EU's AI-lov træder i kraft i august 2025 – med fulde compliance-forpligtelser, der strækker sig over hele 2026 – opstår et nyt og vanskeligt problem for teknologiledere i og uden for Europa. Agentiske AI-systemer, der autonomt udfører flertrinsopgaver på tværs af virksomhedsmiljøer, afslører dybe huller i forvaltningen, som eksisterende compliance-rammer aldrig var designet til at håndtere.

Der er enorme udfordringer. Organisationer, der anvender disse autonome agenter, kan risikere bøder på op til 35 millioner euro eller 7 % af den globale årlige omsætning for de mest alvorlige overtrædelser. Og den ubehagelige virkelighed er, at mange virksomheder i øjeblikket ikke har nogen pålidelig måde at forklare, hvad deres AI-agenter foretager sig, endsige bevise, at disse handlinger er lovlige.

Hvad driver regeringskrisen

I modsætning til traditionelle AI-modeller, der reagerer på en enkelt prompt og producerer et enkelt output, fungerer agentiske AI-systemer med en grad af uafhængighed, der fundamentalt ændrer risikoberegningen. Disse agenter kan flytte data mellem platforme, initiere transaktioner, kommunikere med eksterne API'er og sammenkæde beslutningssekvenser – ofte med minimal menneskelig overvågning på hvert trin.

Det er netop denne autonomi, der gør dem værdifulde. Virksomheder som Salesforce, Microsoft og Google har alle satset betydeligt på agentarkitekturer i de seneste atten måneder. Salesforces Agentforce-platform, Microsofts Copilot-agenter og Googles Vertex AI-agenter lover alle at automatisere komplekse forretningsarbejdsgange, der tidligere krævede menneskelig indgriben hele vejen igennem.

Men her er styringsudfordringen: Når en agent træffer en konsekvensbeslutning – f.eks. at afvise et forsikringskrav, vurdere en patients medicinske data eller markere en medarbejder til præstationsvurdering – har den organisation, der anvender den, brug for et komplet revisionsspor. Hvem godkendte agentens handlingsområde? Hvilke data informerede beslutningen? Var der meningsfuld menneskelig overvågning? I henhold til EU's AI-lovgivnings krav til højrisikosystemer er disse spørgsmål ikke valgfrie. De er juridisk påkrævede.

Hvorfor EU's AI-lov gør dette presserende

EU's AI-lovgivning kategoriserer AI-applikationer i risikoniveauer, og de strengeste forpligtelser gælder for højrisiko-anvendelsessager – herunder ansættelsesbeslutninger, kreditvurdering, retshåndhævelse, migrationsstyring og kritisk infrastruktur. For en dybere forståelse af disse kategorier, se vores oversigt over 5 AI-beregningsarkitekturer, som enhver ingeniør skal kende i 2025 .

Her er, hvad organisationer, der implementerer agentsystemer i disse domæner, skal demonstrere:

• Sporbarhed: Fuldstændig logføring af agentens handlinger, input og output gennem hele dens driftscyklus.
• Menneskelig tilsyn: Mekanismer, der giver kvalificerede personer mulighed for at gribe ind, tilsidesætte eller lukke systemet ned når som helst.
• Risikostyring: Løbende vurdering af, hvordan agentens autonome adfærd kan producere skadelige eller diskriminerende resultater.
• Gennemsigtighed: Tydelig dokumentation, der gør det muligt for tilsynsmyndigheder og berørte personer at forstå, hvordan beslutninger blev truffet.

Problemet er, at mange implementeringer af agentbaseret AI udvisker ansvarslinjerne. Når en agent orkestrerer handlinger på tværs af flere systemer – trækker data fra én database, kører inferens gennem en anden model og sender et resultat til en tredje applikation – bliver beslutningskæden uigennemsigtig. Selv de ingeniører, der har bygget systemet, kan have svært ved at rekonstruere den præcise logik bag et specifikt resultat.

Ansvarlighedskløften, som ledere skal lukke

Virksomhedsledere bærer det endelige ansvar for de systemer, de implementerer, uanset hvor autonome disse systemer bliver. Dette er et princip, som EU's AI-lovgivning udtrykkeligt forstærker. Implementering af højrisiko-AI-systemer – ikke kun udviklere – har betydelige compliance-forpligtelser.

En McKinsey-undersøgelse fra starten af 2025 viste dog, at mens 72 % af organisationerne havde implementeret en eller anden form for AI i deres drift, havde færre end halvdelen implementeret formelle styringsstrukturer for disse implementeringer. Specifikt for agentsystemer er forskellen sandsynligvis større, da mange virksomheder stadig er i pilotfaser og behandler styring som et problem, der skal løses senere.

Den tilgang er hurtigt ved at blive uholdbar. Brancheanalytikere advarer om, at organisationer er nødt til at behandle styringen af AI-agenter med samme strenghed, som de anvender på finansiel kontrol eller databeskyttelse under GDPR. Hvis man ikke kan revidere det, kan man ikke forsvare det – og tilsynsmyndighederne vil i sidste ende spørge.

Hvad eksperter siger

Flere fremtrædende stemmer inden for AI-politik har udpeget agentiske systemer som en regulatorisk blind plet. Forskere ved Ada Lovelace Institute har argumenteret for, at eksisterende AI-styringsrammer antager et relativt statisk forhold mellem input og output – en antagelse, der bryder sammen, når agenter kæder flere autonome beslutninger sammen over tid.

Gartner forudsagde i mellemtiden i slutningen af 2024, at mindst 15 % af de daglige forretningsbeslutninger i 2028 ville blive truffet autonomt af AI-agenter – en stigning fra stort set nul i 2023. Denne udvikling tyder på, at styringsproblemet kun vil intensiveres i takt med at implementeringen skaleres.

For IT-ledere er budskabet klart: at vente på, at lovgivningsmæssige retningslinjer bliver præskriptive, før man handler, er en taberstrategi. EU's AI-lovgivning fastsætter brede forpligtelser, og det vil være op til organisationerne at demonstrere, at de har opfyldt dem gennem dokumenterede, forsvarlige forvaltningspraksisser. De, der er interesserede i at opbygge robuste AI-tilsynsprogrammer, bør udforske vores guide om Microsoft Open-Source Toolkit, der sikrer AI-agenter under kørsel .

Hvad sker dernæst

Flere udviklinger er værd at følge nøje i resten af 2025 og ind i 2026:

1. Reguleringsvejledningsdokumenter: Det Europæiske Kontor for Kunstig Intelligens (AI) forventes at offentliggøre detaljeret vejledning om overholdelse af højrisikokrav, som specifikt kan omhandle multiagent- og agentsystemer.
2. Funktioner til leverandøransvarlighed: Store cloududbydere vil sandsynligvis levere forbedrede logførings-, forklarings- og kontrolfunktioner til deres agentplatforme i takt med at presset på compliance stiger.
3. Forsikrings- og ansvarsskift: Forvent fremkomsten af AI-specifikke ansvarsforsikringsprodukter, da virksomheder søger at overføre noget af den regulatoriske risiko forbundet med autonome systemer.
4. Spændinger i forbindelse med håndhævelse på tværs af grænser: Virksomheder med hovedsæde uden for EU, men som betjener europæiske kunder, vil stå over for komplekse jurisdiktionsspørgsmål om, hvordan agentstyring finder anvendelse på deres aktiviteter.

Den nederste linje

Agentisk AI repræsenterer et af de mest betydningsfulde skift inden for virksomhedsteknologi siden cloud computings fremkomst. Men den samme autonomi, der gør disse systemer kraftfulde, gør dem også vanskelige at styre – og tidslinjen for håndhævelsen af EU's AI-lov giver ikke meget plads til selvtilfredshed.

Ledere, der behandler ledelse som en eftertanke, risikerer ikke blot regulatoriske sanktioner, men også en underminering af tilliden hos kunder, medarbejdere og partnere. De organisationer, der trives under disse nye regler, vil være dem, der indbygger ansvarlighed i deres agentsystemer fra bunden i stedet for at eftermontere den, efter en compliance-krise har tvunget dem til det.