Styrning & efterlevnad
EU AI Act: vad alla företag och organisationer behöver veta
Vad är EU AI Act och hur påverkar den mitt företag?
Vad är EU AI Act och hur påverkar den mitt företag?
EU AI Act är EU:s förordning som reglerar AI efter risk: ju högre risk ett system medför, desto hårdare krav. Den trädde i kraft 1 augusti 2024 och gäller alla som utvecklar eller använder AI inom EU.
Förordningen påverkar er oavsett om ni bygger AI själva eller bara använder verktyg ni köpt in. Den ställer krav på hur ni klassar era system, hur ni dokumenterar dem och hur ni informerar människor som möter dem. Vissa krav gäller redan. Andra har just skjutits upp. Den här artikeln går igenom vad som gäller nu, vad som dröjer, och vad ni bör göra under tiden.
Varför det spelar roll
AI Act är världens första breda AI-lag, och den fungerar som GDPR gjorde för persondata: den sätter en global standard. Ett företag som säljer in i EU måste följa den även om huvudkontoret ligger någon annanstans. Reglerna följer produkten, inte bara leverantören.
Den vanligaste missräkningen är att tro att lagen bara berör techbolag som tränar egna modeller. Den berör lika mycket organisationen som använder ett färdigt rekryteringsverktyg. Den berör kommunen som inför ett beslutsstöd och banken som låter en modell bedöma kreditrisk. Som användare ärver ni skyldigheter, inte bara leverantören.
Det andra som gör 2026 speciellt är att tidslinjen just ritats om. Ändringspaketet Digital Omnibus on AI, som rådet och parlamentet enades om i maj 2026, sköt upp de tunga högriskkraven. Det har lett till en farlig slutsats i en del ledningsgrupper: att man kan vänta. Det stämmer inte. Förbuden, kompetenskravet, reglerna för generella modeller och transparenskraven gäller fortfarande. Andningspausen gäller högrisk, inte styrningen i stort.
Hur det fungerar
AI Act bygger på en enda idé: reglera efter risk. Förordningen delar in all AI i fyra nivåer och lägger generella AI-modeller i en egen kategori bredvid.
| Riskklass | Vad det betyder | Exempel |
|---|---|---|
| Oacceptabel | Förbjuden | Social poängsättning, manipulativ AI, viss biometrisk massövervakning |
| Hög | Tillåten, hårt reglerad | AI i rekrytering, kreditbedömning, utbildning, medicinteknik |
| Begränsad | Transparenskrav | Chattbottar, AI-genererat innehåll som ska märkas |
| Minimal | Oreglerad | Skräppostfilter, AI i dataspel |
För högrisksystem krävs mest. Ni måste ha riskhantering, dokumentation, mänsklig kontroll, loggning och en bedömning av systemets påverkan innan det tas i drift. Det är här en konsekvensbedömning av grundläggande rättigheter, en FRIA, kommer in för offentliga aktörer och vissa privata.
För generella AI-modeller (GPAI) gäller egna regler sedan 2 augusti 2025. Leverantören ska hålla teknisk dokumentation, respektera upphovsrätt och vara transparent om träningsdata. Modeller med systemrisk, över tröskeln 10^25 FLOP, får tyngre säkerhetskrav. Det rör enligt EU-kommissionens uppskattning bara 5–15 företag i världen, alltså de största modellbyggarna. Den frivilliga GPAI Code of Practice, publicerad 10 juli 2025, ger en presumtion om efterlevnad för den som undertecknar.
För begränsad risk räcker transparens. En chattbot ska tala om att den är en AI. AI-genererat innehåll ska gå att känna igen.
Tidslinjen är fasad. Här är vad som gäller i tur och ordning:
- 1 augusti 2024, förordningen i kraft.
- 2 februari 2025, förbuden mot oacceptabel AI och kravet på AI-kompetens hos personal gäller.
- 2 augusti 2025, reglerna för generella AI-modeller gäller; EU:s AI Office blir operativt.
- 2 augusti 2026, transparenskraven i artikel 50 gäller; befintliga system får fyra månaders nådetid för vattenstämpling.
- 2 december 2027, fristående högrisksystem (bilaga III) ska uppfylla kraven.
- 2 augusti 2028, AI inbyggd i reglerade produkter (bilaga I) ska uppfylla kraven.
Skillnaden mot den ursprungliga planen är att högriskkraven flyttats fram. De låg tidigare på 2 augusti 2026. Genom Digital Omnibus on AI gäller i stället en mekanism där kraven börjar tillämpas först när kommissionen bekräftat att nödvändiga standarder och stödverktyg finns på plats, en framflyttning på upp till 16 månader, med en bortre gräns 2 december 2027 för fristående högrisksystem respektive 2 augusti 2028 för AI inbyggd i reglerade produkter. Källa: Council of the EU, pressmeddelande 7 maj 2026.
I Sverige är tillsynen uppdelad. Betänkandet SOU 2025:101 föreslår Post- och telestyrelsen som samordnande marknadskontrollmyndighet och gemensam kontaktpunkt, i ett system med elva marknadskontrollmyndigheter och två anmälande myndigheter. Den svenska kompletteringslagstiftningen föreslås träda i kraft 2 augusti 2026. Förslagen är ett betänkande som remitterades hösten 2025 och ännu inte är antagna. Källa: SOU 2025:101 (regeringen.se).
När det passar att agera nu
Börja kartlägga direkt om något av det här stämmer in på er:
- Ni använder eller bygger AI i rekrytering, kreditbedömning, utbildning eller annan känslig beslutsprocess. Då är ni sannolikt högrisk och behöver tidigt veta vilka krav som väntar.
- Ni har en chattbot eller publicerar AI-genererat innehåll mot kund. Transparenskraven gäller från 2 augusti 2026, och de skjuts inte upp.
- Ni är osäkra på vilka AI-verktyg organisationen faktiskt använder. En inventering är förutsättningen för all klassning, och skugg-AI är vanligare än de flesta ledningsgrupper tror.
- Personal fattar beslut med stöd av AI. Kravet på AI-kompetens gäller redan sedan februari 2025.
Tidsfönstret fram till högriskkraven är inte en paus. Det är tid att göra inventeringen, klassningen och dokumentationen i lugn takt i stället för under press.
När det inte passar att överreglera
Allt ni gör är inte högrisk, och AI Act kräver inte att ni behandlar det så.
- Minimal-risk-AI behöver ingen särskild AI Act-process. Skräppostfilter och stavningshjälp faller utanför. Att bygga en tung governance-apparat runt dem är slöseri.
- Köper ni in en färdig GPAI-modell är ni inte modellleverantören. Skyldigheterna för själva modellen ligger på den som tränar och släpper den. Era krav rör hur ni använder den, inte hur den byggdes.
- Är ni helt utanför EU-marknaden gäller inte förordningen. Men kontrollera den slutsatsen noga: säljer ni indirekt in i EU, eller hamnar utdata från ert system hos EU-användare, kan ni omfattas ändå.
- Vänta inte med inventeringen bara för att högrisk sköts upp. Det är den vanligaste feltolkningen av Omnibus. Förbud, transparens och kompetenskrav gäller oavsett.
Skillnaden mellan att ligga steget före och att ligga steget efter är inte hur snabbt ni dokumenterar varje system. Den är hur tidigt ni vet vilka system som ens omfattas.
Konkret exempel
Tänk er en svensk kommun som inför ett AI-stöd för att förhandsgranska ansökningar om ekonomiskt bistånd. Systemet rangordnar ärenden och föreslår vilka som bör prioriteras.
Det är ett högrisksystem enligt bilaga III, eftersom det påverkar tillgången till en offentlig förmån. Kommunen måste då göra flera saker innan driftstart. De ska genomföra en konsekvensbedömning av grundläggande rättigheter. De ska säkerställa mänsklig kontroll, så att en handläggare alltid fattar det faktiska beslutet och kan gå emot systemet. De ska logga hur systemet använts och dokumentera vilka data det vilar på.
Skjuts kraven upp till december 2027 kan kommunen ta systemet i drift tidigare. Men de behöver redan nu veta att det är högrisk, eftersom klassningen avgör vad förvaltningen, leverantörsavtalet och upphandlingen måste innehålla. Beställer kommunen utan att veta klassen får man ett system som inte går att rätta i efterhand utan kostnad.
Det här är arbetet i praktiken på Digitalist. Vi var bland de första i Sverige att certifieras enligt ISO/IEC 42001, standarden för AI-styrning, via DNV Business Assurance den 7 oktober 2025. Certifieringen är inte ett papper utan en arbetsordning: riskbedömning, mänsklig kontroll, loggning och leverantörsutvärdering blir rutiner i stället för avsikter. Det är samma struktur AI Act kräver, byggd i förväg i stället för efterhandsklädd.
Vanliga missförstånd
“AI Act gäller bara företag som bygger egen AI.” Fel. Som användare av inköpt AI ärver ni skyldigheter, särskilt om systemet är högrisk. Den som inför ett rekryteringsverktyg bär ansvar för hur det används, inte bara den som byggde det.
“Eftersom högriskkraven sköts upp kan vi vänta.” Fel. Förbuden gäller sedan februari 2025. Kompetenskravet gäller. Reglerna för generella modeller gäller. Transparenskraven kommer 2 augusti 2026 och skjuts inte upp. Andningspausen rör en del av förordningen, inte hela.
“IMY blir Sveriges AI-myndighet, precis som för GDPR.” Fel. Betänkandet SOU 2025:101 pekar i stället ut Post- och telestyrelsen som samordnande kontaktpunkt. IMY behåller persondata och föreslås få tillsyn över vissa områden, däribland förbjudna AI-system, men blir inte den allmänna AI-tillsynsmyndigheten. Förslaget är ett betänkande på remiss, inte antagen lag. Källa: SOU 2025:101 (regeringen.se).
Det första konkreta steget är nästan alltid detsamma: inventera vilken AI ni faktiskt använder, klassa varje system efter risk, och börja med det som är högrisk. Klassen avgör allt som följer.
Vanliga frågor
- Förordningen gäller redan delvis. Den trädde i kraft 1 augusti 2024 och rullas ut i faser. Förbuden mot oacceptabel AI och kravet på AI-kompetens gäller sedan 2 februari 2025. Reglerna för generella AI-modeller gäller sedan 2 augusti 2025. Transparenskraven börjar gälla 2 augusti 2026. De tunga högriskkraven har skjutits upp genom Digital Omnibus on AI, till 2 december 2027 för fristående system och 2 augusti 2028 för AI inbyggd i reglerade produkter. Källa: Council of the EU (2026).
- Förordningen delar in AI i fyra nivåer efter risk. Oacceptabel risk är förbjuden, till exempel social poängsättning. Hög risk är tillåten men hårt reglerad, till exempel AI i rekrytering eller kreditbedömning. Begränsad risk kräver transparens, till exempel att en chattbot säger att den är en AI. Minimal risk är oreglerad. Generella AI-modeller hanteras som en egen kategori med separata regler. Källa: EU-kommissionen (2026).
- GPAI står för general-purpose AI, alltså generella AI-modeller som kan användas till många olika uppgifter. Stora språkmodeller är det tydligaste exemplet. Sedan 2 augusti 2025 har leverantörer av sådana modeller egna skyldigheter kring teknisk dokumentation, upphovsrätt och transparens. Modeller som bedöms ha systemrisk, över tröskeln 10^25 FLOP, får tyngre säkerhetskrav. Källa: EU-kommissionen, GPAI Code of Practice (2025).
- Taken följer tre nivåer. Förbjuden AI-användning kan ge böter på upp till 35 miljoner euro eller 7 procent av den globala årsomsättningen, det högsta av de två. Brott mot leverantörs- eller användarskyldigheter och mot transparenskraven har taket 15 miljoner euro eller 3 procent. Oriktig eller vilseledande information till en myndighet kan ge 7,5 miljoner euro eller 1 procent. Källa: AI-förordningen, artikel 99.
- Delvis. Genom ändringspaketet Digital Omnibus on AI nådde rådet och parlamentet en preliminär politisk överenskommelse i maj 2026 om att skjuta upp de tunga högriskkraven. Förbuden, reglerna för generella modeller och transparenskraven gäller däremot enligt plan. Andningspausen gäller alltså högrisk, inte governance i stort. Källa: Council of the EU, pressmeddelande 7 maj 2026 (preliminär överenskommelse vid första behandlingen; den slutliga texten ska publiceras i EUT efter formellt antagande).
- Inte som allmän tillsynsmyndighet. Det svenska betänkandet SOU 2025:101 föreslår Post- och telestyrelsen (PTS) som samordnande marknadskontrollmyndighet och gemensam kontaktpunkt, i ett system med elva marknadskontrollmyndigheter och två anmälande myndigheter. IMY behåller ansvaret för personuppgifter och föreslås få tillsyn över bland annat förbjudna AI-system. Förslagen är ännu ett betänkande på remiss, inte antagen lag. Källa: SOU 2025:101 (regeringen.se, oktober 2025).
När börjar EU AI Act gälla?
Vilka är AI Acts riskklasser?
Vad är GPAI?
Hur stora är böterna i EU AI Act?
Stämmer det att kraven sköts upp?
Blir IMY Sveriges tillsynsmyndighet för AI Act?
Vill ni omsätta det här i praktiken?
Boka ett kort samtal med en kundansvarig.