Ett frågeformulär i upphandlingskvalitet för köpare av AI-system enligt förordning (EU) 2024/1689 och direktiv (EU) 2022/2555. Varje fråga är mappad mot en konkret skyldighet som flödar vidare till tillhandahållaren eller till den köpande entiteten som väsentlig/viktig NIS2-entitet. Betygsätt varje svar 0–3 med hjälp av rubrikerna nedan; behandla allt som bedöms 1 eller lägre som en förhandlingshävstång i avtalet.
Betygsskala (0–3)
| Betyg | Innebörd | Vad som krävs |
|---|---|---|
| 3 | Starkt bevis | Frågan besvarad skriftligen, bevis bifogat, ingen uppföljning nödvändig. |
| 2 | Godtagbar med förbehåll | Besvarad, men med ett förbehåll som tillhandahållaren accepterar och dokumenterar i upphandlingsunderlaget. |
| 1 | Partiell / enbart åtagande | Leverantören åtar sig att tillhandahålla senare. Godtagbart endast med ett måldatum och en eskaleringsansvarig. |
| 0 | Saknas eller vägrat | Inget svar eller uttryckligt avslag. Antingen dödar detta affären eller dokumenteras det som en avtalsreglerad kvarstående risk som godkänts av ledningsansvarig. |
A — Rättslig status och klassificering
Fastställer huruvida leverantören har gjort det tröskelbedömningsarbete som köparens skyldigheter enligt artikel 26 förlitar sig på.
A1 — Klassificeras systemet som högrisk enligt Bilaga III? Om ja, vilken punkt och underpunkt? Varför det är viktigt: Styr hela uppsättningen av tillhandahållarens skyldigheter enligt artikel 26 i förordning (EU) 2024/1689.
A2 — Har leverantören släppt ut systemet på EU-marknaden som en leverantör, och finns det en EU-försäkran om överensstämmelse? Varför det är viktigt: EU-försäkran om överensstämmelse enligt artikel 47 är det dokument köparen behöver för att styrka artikel 26.1.
A3 — Är systemet CE-märkt i tillämpliga fall? Varför det är viktigt: CE-märkning enligt artikel 48 är den synliga regulatoriska signalen om att bedömningen av överensstämmelse slutförts.
A4 — Om leverantören är etablerad utanför EU, finns det ett auktoriserat ombud inom unionen enligt artikel 22? Varför det är viktigt: Utan ett EU-ombud är tillsynen osäker och tillhandahållaren bär mer kvarstående risk.
A5 — Vad är leverantörens uttalande om avsett ändamål, ordagrant? Varför det är viktigt: Användning utanför avsett ändamål kan omklassificera tillhandahållaren som leverantör enligt artikel 25 och utlösa skyldigheter enligt Bilaga IV.
B — Teknisk dokumentation (Bilaga IV)
Bilaga IV listar de nio avsnitten i den tekniska dokumentation som en leverantör av ett högrisk-AI-system måste inneha. Tillhandahållaren behöver tillräckligt av den för att driva systemet korrekt och för att kunna besvara myndighetsfrågor.
B1 — Kommer leverantören att dela den tekniska dokumentationen enligt Bilaga IV, eller en sammanfattning tillräcklig för tillhandahållarens skyldigheter enligt artikel 26? Varför det är viktigt: Vissa leverantörer håller den fullständiga filen hemlig som affärshemlighet; en sammanfattning på tillhandahållarnivå är godtagbar enligt artikel 11.2.
B2 — Inkluderar dokumentationen de konstruktionsval, egenskaper hos tränings-/validerings-/testdata och mätvärden som krävs av Bilaga IV? Varför det är viktigt: Krävs av Bilaga IV punkterna 2 och 3.
B3 — Mot vilka standarder har systemet bedömts (harmoniserade standarder, gemensamma specifikationer)? Varför det är viktigt: Bilaga IV punkt 7 — deklarerade standarder styr presumtionen om överensstämmelse vid bedömningen.
B4 — Vad är planen för övervakning efter utsläppande på marknaden och hur kommer tillhandahållare att underrättas om väsentliga förändringar? Varför det är viktigt: Bilaga IV punkt 9 plus artikel 72 — tillhandahållaren behöver kanalen för ändringsmeddelanden skriftligen.
B5 — Vilken utdataloggning genereras automatiskt och hur kan tillhandahållaren hämta loggar för minimiperioden om 6 månader enligt artikel 26.6? Varför det är viktigt: Artikel 26.6 — loggåtkomst är ett återkommande upphandlingsmisslyckande.
C — Artefakter riktade till tillhandahållaren enligt artikel 26
Vad leverantören aktivt måste leverera för att göra köparens efterlevnad av artikel 26 möjlig.
C1 — Är bruksanvisningen enligt artikel 13 fullständig och på ett språk som tillhandahållaren förstår? Varför det är viktigt: Artikel 13 är den rättsliga ankringen för tillhandahållarens skyldighet enligt artikel 26.1.
C2 — Stödjer systemet mänsklig tillsyn i den form som leverantören beskrivit enligt artikel 14? Varför det är viktigt: Konstruktionsvalen i artikel 14 avgör vilken tillsynsroll tillhandahållaren trovärdigt kan bemanna.
C3 — Kommer leverantören att samarbeta om rapportering av allvarliga incidenter enligt artikel 73 — inom vilken servicenivå? Varför det är viktigt: Tillhandahållaren måste rapportera allvarliga incidenter utan onödigt dröjsmål; leverantörens samarbete är operativ verklighet.
C4 — Tillhandahåller leverantören den information enligt artikel 13 som tillhandahållaren behöver för GDPR-konsekvensbedömningen enligt artikel 26.9? Varför det är viktigt: Sparar tillhandahållaren från att härleda information som redan innehas av leverantören.
C5 — Vilka bevis kommer leverantören att tillhandahålla för att stödja tillhandahållarens skyldighet avseende indata enligt artikel 26.4 för fält som tillhandahållaren kontrollerar? Varför det är viktigt: Indatarelevansen är ett delat arbetsflöde även om den rättsliga skyldigheten vilar på tillhandahållaren.
D — Dataskydd (GDPR)
Efterlevnad av AI-förordningen är nödvändig men inte tillräcklig. GDPR löper parallellt och upphandlingsavtalet måste låsa bägge.
D1 — Finns det ett personuppgiftsbiträdesavtal enligt GDPR artikel 28? Varför det är viktigt: Grundläggande — utan ett sådant avtal kan tillhandahållaren inte lagligen använda leverantören som personuppgiftsbiträde.
D2 — Listas underbiträden med platser och mekanism för vidareöverföring? Varför det är viktigt: GDPR kapitel V — överföringar utanför EES kräver en giltig mekanism (adekvansbeslutet, standardavtalsklausuler + konsekvensbedömning av överföringen).
D3 — Vilken rättslig grund åberopar leverantören för eventuell behandling som utförs som personuppgiftsansvarig (t.ex. modellutveckling)? Varför det är viktigt: Om leverantören behandlar för egna ändamål förändras tillhandahållarens risk som personuppgiftsansvarig väsentligt.
D4 — Vilka åtaganden gäller för lagring och radering av uppgifter per datakategori? Varför det är viktigt: Kopplar till tillhandahållarens skyldighet avseende lagringsminimering enligt GDPR artikel 5.1 e.
D5 — Hur hanterar leverantören begäranden om de registrerades rättigheter som vidarebefordras via tillhandahållaren? Varför det är viktigt: Krävs för att göra tillhandahållarens svarstid enligt GDPR artikel 12 trovärdig.
E — NIS2 leveranskedjesäkerhet (artikel 21)
Om köparen är en väsentlig eller viktig NIS2-entitet, flödar skyldigheterna avseende leveranskedjan enligt artikel 21.2 d vidare till varje AI-leverantör.
E1 — Är leverantören själv i tillämpningsområdet för NIS2 (väsentlig eller viktig entitet) eller något likvärdigt sektoriellt regelverk som DORA? Varför det är viktigt: Avgör vilken cybersäkerhetsnivå leverantören redan måste upprätthålla.
E2 — Vilka certifieringar avseende informationssäkerhet innehar leverantören (ISO/IEC 27001, SOC 2 typ II, ENS, andra)? Varför det är viktigt: Operativ bevisning som stödjer köparens leverantörsbedömning enligt artikel 21.2 d.
E3 — Vilket åtagande om incidentnotifiering till kunder har leverantören, och inom vilken tidsram? Varför det är viktigt: Köparens 24-timmars NIS2-klocka enligt artikel 23 beror på snabb notifiering från leverantören.
E4 — Tillämpar leverantören multifaktorautentisering, kryptering under transport och i vila samt en säker livscykel för programvaruutveckling? Varför det är viktigt: Autentiseringsskyldigheter enligt artikel 21.2 j och skyldigheter avseende säker anskaffning enligt artikel 21.2 e.
E5 — När genomfördes det senaste oberoende penetrationstestet eller red team-övningen, och kan en sammanfattning för ledningen delas? Varför det är viktigt: Demonstrerbara bevis på cyberhygien för artikel 21.2 g.
F — Avtal och avveckling
Upphandlingsklausuler som gör resten av schemat verkställbart.
F1 — Finns det en revisionsrätt/inspektionsrätt för köparen eller köparens tillsynsmyndighet? Varför det är viktigt: Utan den är leverantörstillsynen enligt artikel 21.2 d och myndighetsamarbetet enligt artikel 26.12 teoretiska.
F2 — Vilka villkor gäller för prisändringar, ändringar av räckvidden och uppsägning av bekvämlighet? Varför det är viktigt: Väsentligt för totalägandekostnaden och avvecklingsrisken.
F3 — Vad gäller för dataexport, portabilitet för modellutdata och avvecklingshjälp? Varför det är viktigt: Undviker inlåsning och stödjer onboarding av ersättningsleverantörer.
F4 — Vad är ansvarstak, och undantar det intrång i immateriella rättigheter och brott mot konfidentialitetsskyldigheter? Varför det är viktigt: AI-leverantörer begränsar i allt högre grad ansvaret till 12-månaders avgifter; undantag för immateriella rättigheter är viktiga när ursprunget för träningsdata är oklart.
F5 — Finns det en klausul om regeländringar som förpliktar till samarbete i takt med att AI-förordningen, NIS2 och Digital Omnibus utvecklas? Varför det är viktigt: Det regulatoriska läget 2026–2027 kommer att fortsätta förändras; klausulen förhindrar kostsam omförhandling.
Hur du använder schemat
- Skicka ut de 30 frågorna i din anbudsförfrågan/intresseanmälan snarare än att förhandla om dem efter leverantörsvalet. Tidigare är billigare.
- Betygsätt varje svar 0–3. Allt som bedöms 1 eller lägre är en förhandlingshävstång eller en dokumenterad kvarstående risk — inte ett tyst godkännande.
- Bifoga det ifyllda schemat till upphandlingsbeslutsunderlaget. Revisorer och behöriga myndigheter under bägge regelverk kommer att acceptera ett samtida betygsprotokoll som bevis på vederbörlig aktsamhet.
- Betygsätt på nytt årligen och efter varje leverantörsversionsuppgradering som berör det avsedda ändamålet, sammansättningen av träningsdata eller utformningen av mänsklig tillsyn.
- Mappa de högst bedömda leverantörsluckorna mot ditt eget bevispaket enligt artikel 26 — ibland kan tillhandahållaren kompensera för leverantörssvagheter med extra organisatoriska kontroller; ibland inte.
Prissättningskontext
Sanktionerna för bristande efterlevnad är inte obetydliga. Misslyckanden avseende teknisk dokumentation enligt Bilaga IV kan medföra böter på upp till 15 miljoner euro eller 3 % av den globala årsomsättningen (beroende på vilket belopp som är högst) enligt artikel 99.4 i AI-förordningen. Överträdelser av artikel 5 avseende förbjudna metoder går upp till 35 miljoner euro eller 7 %. NIS2 artikel 34 fastställer upp till 10 miljoner euro eller 2 % för väsentliga entiteter, 7 miljoner euro eller 1,4 % för viktiga. Leverantörsgranskning är ett av de billigare sätten att minska den exponeringen.
Källor
- Förordning (EU) 2024/1689 (AI-förordningen), artiklarna 11, 13, 14, 22, 25, 26, 47, 48, 72, 73, 99 och Bilagorna III, IV — https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- Direktiv (EU) 2022/2555 (NIS2), artiklarna 21, 23, 34 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj
- Förordning (EU) 2016/679 (GDPR), kapitlen IV–V (personuppgiftsansvariga, personuppgiftsbiträden, överföringar).
- Europeiska kommissionens AI Act Service Desk; ENISA:s NIS2-vägledning om leveranskedjesäkerhet.
Obs: PowerQuant tillhandahåller mallar och dokumentation för användning i din interna upphandlingsprocess — inte juridisk rådgivning. Ansvarsgränser, undantag för immateriella rättigheter och klausuler om regeländringar är jurisdiktionsspecifika; anlita din juridiska rådgivare för avtalsskrivning.
PowerQuant Modul 2
Upphandlingsbevispaket: ifyllt leverantörsfrågeformulär, betygsatt mot detta 30-frågeschema, plus tillhandahållarens bevisning enligt artikel 26 som kompenserar för leverantörsluckor. 14–21 arbetsdagar.