Die Verordnung folgt, wie bereits aus der Datenschutzgrundverordnung bekannt, einem risikobasierten Ansatz. Demzufolge werden KI-Systeme in verschiedene Risikoklassen eingeteilt: unakzeptables Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko. Systeme mit unakzeptablem Risiko, wie beispielsweise soziale Bewertungssysteme durch Regierungen, sind verboten. Hochrisiko-Systeme, die erhebliche Auswirkungen auf die Sicherheit und Grundrechte haben können, unterliegen strengen Auflagen und müssen umfangreiche Konformitätsbewertungsverfahren durchlaufen.
Demgegenüber gelten für Systeme mit geringem Risiko geringere Vorgaben. Für Systeme während mit minimalem Risiko sind sogar nur sehr wenigen oder gar keinen spezifischen regulatorischen Anforderungen vorgesehen. Unternehmen, die keine Hochrisiko-KI-Systeme einsetzen, profitieren von vereinfachten Anforderungen, müssen aber dennoch bestimmte Grundsätze einhalten.
Wichtig ist ebenfalls, dass die gesetzlichen Vorgaben nicht nur für die Entwickler von KI-Systemen gelten. Vielmehr unterfallen auch Nutzer solcher Softwarelösungen der Regulatorik.