Bestyrelsen har spurgt til AI Act. Måske kom spørgsmålet fra revisionsudvalget, måske fra en investor, måske fra en kunde der bad om jeres AI-governance i et udbud. Og svaret blev sandsynligvis enten en advokatgennemgang på 40 sider, ingen i direktionen har læst til ende — eller et teknisk webinar om risikoklasser, der aldrig blev til en beslutning. Tilbage står det egentlige spørgsmål ubesvaret: hvad gør vi, hvem ejer det, og hvad koster det.
Det danske marked tilbyder to slags hjælp, og ingen af dem rammer ledelsesbordet. Den juridiske gennemgang svarer "hvad siger loven" uden at fortælle jer hvad I skal beslutte. Det tekniske bootcamp svarer "sådan klassificerer man et system" uden ledelses-relevans. En bestyrelse skal hverken memorere artikler eller læse Annex III — den skal kunne se jeres reelle eksponering, kende de få deadlines der binder, og godkende en plan med ejerskab og budget. Det er en governance-beslutning, ikke en juraøvelse.
Og tidsbilledet er mere nuanceret, end overskrifterne lyder. Forbuddet mod visse AI-praksisser og kravet om AI-literacy (Article 4) har været i kraft siden februar 2025 og gælder alle der bruger AI — uanset risikoniveau (literacy-kravet er dog ved at blive blødgjort fra at "sikre" til at "støtte" et tilstrækkeligt niveau, og håndhæves først fra august 2026). Forpligtelserne for generelle AI-modeller (GPAI) har været gældende siden august 2025. Til gengæld er de tunge høj-risiko-krav under politisk forhandling lige nu: Kommissionens Digital Omnibus lægger op til at udskyde Annex III-deadline fra august 2026 til december 2027. Det fjerner ikke arbejdet — det forskyder en frist. Lead-tiden på konformitetsvurdering, leverandørstyring og et literacy-program der overlever et tilsyn, er stadig måneder, og det er forberedelse I skal lave uanset hvornår uret stopper. Workshoppen følger arbejdsgangen i en reel governance-beslutning: eksponering → forpligtelser → governance → handlingsplan. Fire moduler, jeres egne systemer på bordet, og en bestyrelsespitch I går ud af døren med.