Läser in
Läser in
Artikeln definierar tre tidsfönster baserat på incidentens allvar. 48 timmar gäller för dödsfall eller allvarlig skada på en persons hälsa. 2 dagar för händelser som påverkar kritisk infrastruktur väsentligt. 15 dagar för övriga allvarliga incidenter. Rapporten ska göras så snart kausalt samband (eller rimlig sannolikhet för det) mellan AI-system och incident är etablerat.
Allvarlig incident definieras brett och inkluderar dödsfall, allvarlig skada på hälsa, störning av kritisk infrastruktur, brott mot grundläggande rättigheter eller skada på egendom eller miljö av betydelse. Tröskeln är lägre än många antar: en bias-bias-fråga som systematiskt missgynnar en skyddad grupp kan kvalificera.
Rapporteringen går till den nationella marknadskontrollmyndigheten. I Sverige är IMY primär för grundläggande rättigheter. Sektorsmyndigheter (Finansinspektionen, Läkemedelsverket, PTS) har parallell tillsyn inom sina sektorer. Provider av systemet ska också informeras omedelbart.
Både providers och deployers. Primär rapporteringsskyldighet ligger hos deployer eftersom de närmast ser incidenten. Provider har egen skyldighet att rapportera baserat på post-market monitoring (Art. 72) och information från deployers.
Relationen mellan deployer och provider vid incident: deployer rapporterar omedelbart till provider parallellt med tillsynsmyndighet. Provider kan behöva förlänga sin egen rapport till tillsynsmyndighet när deployer-information erhålls. Båda rollerna har egen rapporteringslog.
Undantag: militära incidenter undantas enligt Art. 2.3. Forskning i utvecklingsfas innan marknadssläpp undantas enligt Art. 2.6 men inte när systemet lämnat utvecklingsfas.
Incidentprocess enligt Art. 73 börjar med detekteringsförmåga. Organisationen behöver kunna identifiera när AI orsakat eller bidragit till allvarlig konsekvens. Det kräver att loggning enligt Art. 26 fungerar, human oversight (Art. 14) har mandat att rapportera uppåt, och en eskaleringskedja är definierad.
Administrativt: en AI-ansvarig eller DPO håller i processen. Vid misstanke om incident: 1) bekräfta att det är AI-relaterat, 2) klassificera allvar (dödsfall, skada, infrastruktur, grundläggande rättigheter), 3) starta tidsfönster, 4) samla fakta, 5) skriv preliminär rapport, 6) lämna in till IMY och provider, 7) följa upp med kompletterande information, 8) arkivera och utvärdera.
Tidsfönster löper från när incidenten upptäcktes, inte när den inträffade. Detta är viktigt: en bias-fråga som pågått i månader men upptäcks idag har 48-timmar eller 15-dagars klocka från idag.
Organisationer som redan är NIS2-omfattade har befintlig incidentprocess mot CERT-SE. Art. 73-processen läggs parallellt, inte ersätter. Vid kombinerade händelser (cyberattack som orsakar AI-fel) rapporteras till båda myndigheterna.
Art. 73 är direktverkande men har tät samordning med svensk incidentregistrering. IMY är primär mottagare för AI Act Art. 73. Cybersäkerhetslagen 5 kap. kräver rapportering till CERT-SE vid cyberincident (24 timmar tidig varning, 72 timmar notifikation). Vid AI-incident med cyberaspekt aktiveras båda.
GDPR Art. 33 kräver rapport till IMY inom 72 timmar vid personuppgiftsincident. Om AI-incident också är personuppgiftsincident gäller tre tidsfönster parallellt (24h CERT-SE, 48h IMY AI Act, 72h IMY GDPR). Sektorsspecifika lagar kompletterar: Lex Maria (vård, 2 månader till IVO), MDR vigilance (15 dagar till Läkemedelsverket), DORA (finans, specifika tidsfönster till Finansinspektionen).
Nej. Allvarlig incident enligt Art. 73 inkluderar även allvarlig skada på hälsa, störning av kritisk infrastruktur, brott mot grundläggande rättigheter (bias som systematiskt missgynnar grupp) och väsentlig egendoms- eller miljöskada. Tröskeln är lägre än intuition antyder.
Nej. CERT-SE tar emot NIS2-incidenter. AI Act Art. 73 går till IMY. GDPR Art. 33 går till IMY men annan process. En cyberrelaterad AI-incident med personuppgiftsläcka kan behöva tre separata rapporter med olika tidsfönster.
Nej. Tidsfönstret börjar när kausalt samband mellan AI-system och incident upptäcks eller etableras med rimlig sannolikhet. En bias-fråga som pågått i 6 månader men upptäcks idag har 15-dagars klocka från idag. Avsikten är att incentivera upptäckt, inte bestraffa tidigare okunskap.
Både provider och deployer har egen rapporteringsskyldighet. Deployer är ofta förste upptäckare och har primär rapporteringsplikt till tillsynsmyndighet. Provider rapporterar baserat på aggregerad post-market data. Båda rollerna har egna spår.