PowerQuantSESkicka ert frågeformulär

Ett frågeformulär i upphandlingskvalitet för köpare av AI-system enligt förordning (EU) 2024/1689 och direktiv (EU) 2022/2555. Varje fråga är mappad mot en konkret skyldighet som flödar vidare till tillhandahållaren eller till den köpande entiteten som väsentlig/viktig NIS2-entitet. Betygsätt varje svar 0–3 med hjälp av rubrikerna nedan; behandla allt som bedöms 1 eller lägre som en förhandlingshävstång i avtalet.

Betygsskala (0–3)

BetygInnebördVad som krävs
3Starkt bevisFrågan besvarad skriftligen, bevis bifogat, ingen uppföljning nödvändig.
2Godtagbar med förbehållBesvarad, men med ett förbehåll som tillhandahållaren accepterar och dokumenterar i upphandlingsunderlaget.
1Partiell / enbart åtagandeLeverantören åtar sig att tillhandahålla senare. Godtagbart endast med ett måldatum och en eskaleringsansvarig.
0Saknas eller vägratInget svar eller uttryckligt avslag. Antingen dödar detta affären eller dokumenteras det som en avtalsreglerad kvarstående risk som godkänts av ledningsansvarig.

A — Rättslig status och klassificering

Fastställer huruvida leverantören har gjort det tröskelbedömningsarbete som köparens skyldigheter enligt artikel 26 förlitar sig på.

A1 — Klassificeras systemet som högrisk enligt Bilaga III? Om ja, vilken punkt och underpunkt? Varför det är viktigt: Styr hela uppsättningen av tillhandahållarens skyldigheter enligt artikel 26 i förordning (EU) 2024/1689.

A2 — Har leverantören släppt ut systemet på EU-marknaden som en leverantör, och finns det en EU-försäkran om överensstämmelse? Varför det är viktigt: EU-försäkran om överensstämmelse enligt artikel 47 är det dokument köparen behöver för att styrka artikel 26.1.

A3 — Är systemet CE-märkt i tillämpliga fall? Varför det är viktigt: CE-märkning enligt artikel 48 är den synliga regulatoriska signalen om att bedömningen av överensstämmelse slutförts.

A4 — Om leverantören är etablerad utanför EU, finns det ett auktoriserat ombud inom unionen enligt artikel 22? Varför det är viktigt: Utan ett EU-ombud är tillsynen osäker och tillhandahållaren bär mer kvarstående risk.

A5 — Vad är leverantörens uttalande om avsett ändamål, ordagrant? Varför det är viktigt: Användning utanför avsett ändamål kan omklassificera tillhandahållaren som leverantör enligt artikel 25 och utlösa skyldigheter enligt Bilaga IV.

B — Teknisk dokumentation (Bilaga IV)

Bilaga IV listar de nio avsnitten i den tekniska dokumentation som en leverantör av ett högrisk-AI-system måste inneha. Tillhandahållaren behöver tillräckligt av den för att driva systemet korrekt och för att kunna besvara myndighetsfrågor.

B1 — Kommer leverantören att dela den tekniska dokumentationen enligt Bilaga IV, eller en sammanfattning tillräcklig för tillhandahållarens skyldigheter enligt artikel 26? Varför det är viktigt: Vissa leverantörer håller den fullständiga filen hemlig som affärshemlighet; en sammanfattning på tillhandahållarnivå är godtagbar enligt artikel 11.2.

B2 — Inkluderar dokumentationen de konstruktionsval, egenskaper hos tränings-/validerings-/testdata och mätvärden som krävs av Bilaga IV? Varför det är viktigt: Krävs av Bilaga IV punkterna 2 och 3.

B3 — Mot vilka standarder har systemet bedömts (harmoniserade standarder, gemensamma specifikationer)? Varför det är viktigt: Bilaga IV punkt 7 — deklarerade standarder styr presumtionen om överensstämmelse vid bedömningen.

B4 — Vad är planen för övervakning efter utsläppande på marknaden och hur kommer tillhandahållare att underrättas om väsentliga förändringar? Varför det är viktigt: Bilaga IV punkt 9 plus artikel 72 — tillhandahållaren behöver kanalen för ändringsmeddelanden skriftligen.

B5 — Vilken utdataloggning genereras automatiskt och hur kan tillhandahållaren hämta loggar för minimiperioden om 6 månader enligt artikel 26.6? Varför det är viktigt: Artikel 26.6 — loggåtkomst är ett återkommande upphandlingsmisslyckande.

C — Artefakter riktade till tillhandahållaren enligt artikel 26

Vad leverantören aktivt måste leverera för att göra köparens efterlevnad av artikel 26 möjlig.

C1 — Är bruksanvisningen enligt artikel 13 fullständig och på ett språk som tillhandahållaren förstår? Varför det är viktigt: Artikel 13 är den rättsliga ankringen för tillhandahållarens skyldighet enligt artikel 26.1.

C2 — Stödjer systemet mänsklig tillsyn i den form som leverantören beskrivit enligt artikel 14? Varför det är viktigt: Konstruktionsvalen i artikel 14 avgör vilken tillsynsroll tillhandahållaren trovärdigt kan bemanna.

C3 — Kommer leverantören att samarbeta om rapportering av allvarliga incidenter enligt artikel 73 — inom vilken servicenivå? Varför det är viktigt: Tillhandahållaren måste rapportera allvarliga incidenter utan onödigt dröjsmål; leverantörens samarbete är operativ verklighet.

C4 — Tillhandahåller leverantören den information enligt artikel 13 som tillhandahållaren behöver för GDPR-konsekvensbedömningen enligt artikel 26.9? Varför det är viktigt: Sparar tillhandahållaren från att härleda information som redan innehas av leverantören.

C5 — Vilka bevis kommer leverantören att tillhandahålla för att stödja tillhandahållarens skyldighet avseende indata enligt artikel 26.4 för fält som tillhandahållaren kontrollerar? Varför det är viktigt: Indatarelevansen är ett delat arbetsflöde även om den rättsliga skyldigheten vilar på tillhandahållaren.

D — Dataskydd (GDPR)

Efterlevnad av AI-förordningen är nödvändig men inte tillräcklig. GDPR löper parallellt och upphandlingsavtalet måste låsa bägge.

D1 — Finns det ett personuppgiftsbiträdesavtal enligt GDPR artikel 28? Varför det är viktigt: Grundläggande — utan ett sådant avtal kan tillhandahållaren inte lagligen använda leverantören som personuppgiftsbiträde.

D2 — Listas underbiträden med platser och mekanism för vidareöverföring? Varför det är viktigt: GDPR kapitel V — överföringar utanför EES kräver en giltig mekanism (adekvansbeslutet, standardavtalsklausuler + konsekvensbedömning av överföringen).

D3 — Vilken rättslig grund åberopar leverantören för eventuell behandling som utförs som personuppgiftsansvarig (t.ex. modellutveckling)? Varför det är viktigt: Om leverantören behandlar för egna ändamål förändras tillhandahållarens risk som personuppgiftsansvarig väsentligt.

D4 — Vilka åtaganden gäller för lagring och radering av uppgifter per datakategori? Varför det är viktigt: Kopplar till tillhandahållarens skyldighet avseende lagringsminimering enligt GDPR artikel 5.1 e.

D5 — Hur hanterar leverantören begäranden om de registrerades rättigheter som vidarebefordras via tillhandahållaren? Varför det är viktigt: Krävs för att göra tillhandahållarens svarstid enligt GDPR artikel 12 trovärdig.

E — NIS2 leveranskedjesäkerhet (artikel 21)

Om köparen är en väsentlig eller viktig NIS2-entitet, flödar skyldigheterna avseende leveranskedjan enligt artikel 21.2 d vidare till varje AI-leverantör.

E1 — Är leverantören själv i tillämpningsområdet för NIS2 (väsentlig eller viktig entitet) eller något likvärdigt sektoriellt regelverk som DORA? Varför det är viktigt: Avgör vilken cybersäkerhetsnivå leverantören redan måste upprätthålla.

E2 — Vilka certifieringar avseende informationssäkerhet innehar leverantören (ISO/IEC 27001, SOC 2 typ II, ENS, andra)? Varför det är viktigt: Operativ bevisning som stödjer köparens leverantörsbedömning enligt artikel 21.2 d.

E3 — Vilket åtagande om incidentnotifiering till kunder har leverantören, och inom vilken tidsram? Varför det är viktigt: Köparens 24-timmars NIS2-klocka enligt artikel 23 beror på snabb notifiering från leverantören.

E4 — Tillämpar leverantören multifaktorautentisering, kryptering under transport och i vila samt en säker livscykel för programvaruutveckling? Varför det är viktigt: Autentiseringsskyldigheter enligt artikel 21.2 j och skyldigheter avseende säker anskaffning enligt artikel 21.2 e.

E5 — När genomfördes det senaste oberoende penetrationstestet eller red team-övningen, och kan en sammanfattning för ledningen delas? Varför det är viktigt: Demonstrerbara bevis på cyberhygien för artikel 21.2 g.

F — Avtal och avveckling

Upphandlingsklausuler som gör resten av schemat verkställbart.

F1 — Finns det en revisionsrätt/inspektionsrätt för köparen eller köparens tillsynsmyndighet? Varför det är viktigt: Utan den är leverantörstillsynen enligt artikel 21.2 d och myndighetsamarbetet enligt artikel 26.12 teoretiska.

F2 — Vilka villkor gäller för prisändringar, ändringar av räckvidden och uppsägning av bekvämlighet? Varför det är viktigt: Väsentligt för totalägandekostnaden och avvecklingsrisken.

F3 — Vad gäller för dataexport, portabilitet för modellutdata och avvecklingshjälp? Varför det är viktigt: Undviker inlåsning och stödjer onboarding av ersättningsleverantörer.

F4 — Vad är ansvarstak, och undantar det intrång i immateriella rättigheter och brott mot konfidentialitetsskyldigheter? Varför det är viktigt: AI-leverantörer begränsar i allt högre grad ansvaret till 12-månaders avgifter; undantag för immateriella rättigheter är viktiga när ursprunget för träningsdata är oklart.

F5 — Finns det en klausul om regeländringar som förpliktar till samarbete i takt med att AI-förordningen, NIS2 och Digital Omnibus utvecklas? Varför det är viktigt: Det regulatoriska läget 2026–2027 kommer att fortsätta förändras; klausulen förhindrar kostsam omförhandling.

Hur du använder schemat

  1. Skicka ut de 30 frågorna i din anbudsförfrågan/intresseanmälan snarare än att förhandla om dem efter leverantörsvalet. Tidigare är billigare.
  2. Betygsätt varje svar 0–3. Allt som bedöms 1 eller lägre är en förhandlingshävstång eller en dokumenterad kvarstående risk — inte ett tyst godkännande.
  3. Bifoga det ifyllda schemat till upphandlingsbeslutsunderlaget. Revisorer och behöriga myndigheter under bägge regelverk kommer att acceptera ett samtida betygsprotokoll som bevis på vederbörlig aktsamhet.
  4. Betygsätt på nytt årligen och efter varje leverantörsversionsuppgradering som berör det avsedda ändamålet, sammansättningen av träningsdata eller utformningen av mänsklig tillsyn.
  5. Mappa de högst bedömda leverantörsluckorna mot ditt eget bevispaket enligt artikel 26 — ibland kan tillhandahållaren kompensera för leverantörssvagheter med extra organisatoriska kontroller; ibland inte.

Prissättningskontext

Sanktionerna för bristande efterlevnad är inte obetydliga. Misslyckanden avseende teknisk dokumentation enligt Bilaga IV kan medföra böter på upp till 15 miljoner euro eller 3 % av den globala årsomsättningen (beroende på vilket belopp som är högst) enligt artikel 99.4 i AI-förordningen. Överträdelser av artikel 5 avseende förbjudna metoder går upp till 35 miljoner euro eller 7 %. NIS2 artikel 34 fastställer upp till 10 miljoner euro eller 2 % för väsentliga entiteter, 7 miljoner euro eller 1,4 % för viktiga. Leverantörsgranskning är ett av de billigare sätten att minska den exponeringen.

Källor

  • Förordning (EU) 2024/1689 (AI-förordningen), artiklarna 11, 13, 14, 22, 25, 26, 47, 48, 72, 73, 99 och Bilagorna III, IV — https://eur-lex.europa.eu/eli/reg/2024/1689/oj
  • Direktiv (EU) 2022/2555 (NIS2), artiklarna 21, 23, 34 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Förordning (EU) 2016/679 (GDPR), kapitlen IV–V (personuppgiftsansvariga, personuppgiftsbiträden, överföringar).
  • Europeiska kommissionens AI Act Service Desk; ENISA:s NIS2-vägledning om leveranskedjesäkerhet.

Obs: PowerQuant tillhandahåller mallar och dokumentation för användning i din interna upphandlingsprocess — inte juridisk rådgivning. Ansvarsgränser, undantag för immateriella rättigheter och klausuler om regeländringar är jurisdiktionsspecifika; anlita din juridiska rådgivare för avtalsskrivning.

PowerQuant Modul 2

Upphandlingsbevispaket: ifyllt leverantörsfrågeformulär, betygsatt mot detta 30-frågeschema, plus tillhandahållarens bevisning enligt artikel 26 som kompenserar för leverantörsluckor. 14–21 arbetsdagar.