Vad är ISO 42001 och hur ser certifieringen ut?

ISO 42001 är världens första ledningssystemstandard för artificiell intelligens, fastställd i december 2023, och ställer krav på hur en organisation styr, övervakar och ansvarar för sina AI-system genom hela livscykeln.

Certifieringen går till som för andra ISO-standarder: en oberoende revisor granskar att ni har ett fungerande AI-ledningssystem, först på papper och sedan i drift. Skillnaden mot ett vanligt informationssäkerhetscertifikat är vad som granskas, inte bara att data skyddas, utan att besluten en AI fattar är spårbara, rättvisa och under mänsklig kontroll.

Varför det spelar roll

Den korta versionen: ett certifikat på väggen är inte längre ett juridiskt kvitto, och just därför säger det mer om en leverantör i dag, inte mindre.

Spelplanen flyttades under 2026. EU AI Act trädde i kraft stegvis, men i den så kallade Digital Omnibus-överenskommelsen den 7 maj 2026 enades rådet och Europaparlamentet preliminärt om att skjuta upp skyldigheterna för fristående högrisk-AI under Annex III från 2 augusti 2026 till 2 december 2027, och för högrisk-AI inbäddad i reglerade produkter under Annex I till 2 augusti 2028 (källa: Europeiska unionens råd, pressmeddelande 7 maj 2026). Skälet var att de harmoniserade standarderna och nationella tillsynsstrukturerna inte var klara i tid. Vid tiden för publicering var överenskommelsen fortfarande preliminär: den ska godkännas formellt av rådet och parlamentet och därefter publiceras i EU:s officiella tidning, vilket väntades ske före 2 augusti 2026 (källa: Consilium, 7 maj 2026).

Det betyder inte att kraven på styrning ändras. Annex III-systemen ska fortfarande vara bedömda, registrerade och ha riskhantering, datastyrning, loggning och mänsklig tillsyn på plats. Tidsfristen flyttade. Innehållet i kravet gjorde det inte.

För er som upphandlar eller ansvarar för AI väcker det en praktisk fråga. Hur visar en leverantör att den styrningen redan finns, innan tillsynen kommer? ISO 42001 är i dag det mest mogna svaret. Standarden dokumenterar precis den styrning AI Act kräver, och den granskas av en oberoende part. Samtidigt har Cybersäkerhetslagen (SFS 2025:1506) varit i kraft sedan 15 januari 2026, vilket gör att var era AI-system kör och hur de styrs blir en säkerhetsfråga, inte bara en kvalitetsfråga.

Hur det fungerar

ISO/IEC 42001:2023 beskriver ett AI-ledningssystem, på engelska AI Management System (AIMS). Det är en uppsättning rutiner, roller och kontroller för att etablera, införa, underhålla och förbättra hur organisationen hanterar AI (källa: ISO/IEC 42001:2023, iso.org).

Kärnan ligger i Annex A, som innehåller 38 AI-specifika kontroller organiserade i kontrollmål (källa: SureCloud, 2025). Det kan jämföras med ISO 27001, som har 93 kontroller för informationssäkerhet. Kontrollerna i ISO 42001 täcker sådant ett informationssäkerhetssystem inte rör: hur ni bedömer påverkan på individer, hur ni hanterar bias och rättvisa, hur ni dokumenterar att en AI går att förklara, och hur ni säkrar att en människa har sista ordet.

Skillnaden mellan ISO 27001 och 42001 är alltså inte att den ena ersätter den andra. De styr olika saker. Informationssäkerhet skyddar data. AI-styrning ansvarar för besluten. Ungefär 40 procent av kontrollerna i ISO 42001 har en motsvarighet i ISO 27001 (källa: Scrut, 2025), en branschuppskattning, inte en officiell ISO-siffra, men den förklarar varför en organisation med moget 27001-system har ett försprång.

Tre saker avgör hur lång certifieringsresan blir: hur moget ert befintliga ledningssystem är, hur många AI-system ni har i drift, och hur mycket av den AI-specifika styrningen som redan är dokumenterad. En organisation som börjar från noll lägger typiskt sex till tolv månader på resan. En som redan har ISO 27001 kan komma ner mot tre till fyra månader (källa: Vanta och Schellman, 2025).

Själva revisionen sker i två steg, utförd av ett ackrediterat certifieringsorgan. Stage 1 är en dokumentationsgranskning på en till två dagar, revisorn kontrollerar att ledningssystemet existerar på papper. Stage 2 granskar om systemet fungerar i praktiken, och tar tre till nio dagar eller mer beroende på organisationens storlek (källa: Schellman och Glocert, 2025). Mellan stegen ligger typiskt fyra till tolv veckor. Klarar ni Stage 2 utfärdas certifikatet, som gäller i tre år och underhålls genom årliga övervakningsrevisioner.

När det passar

ISO 42001 passar er som utvecklar, levererar eller driftar AI som påverkar människor, och som behöver kunna visa att styrningen finns innan någon frågar.

Det gäller särskilt:

• Leverantörer till offentlig sektor. När en upphandlare ställer krav på AI-styrning räcker det inte att påstå att den finns, ett oberoende granskat certifikat svarar på frågan en gång. Med fristående högrisk-AI som ska vara bedömd senast 2 december 2027 vill upphandlare se mognaden redan nu.
• Organisationer som omfattas av EU AI Act eller Cybersäkerhetslagen och vill ha ett ramverk som samlar riskhantering, loggning och mänsklig tillsyn i ett system istället för i spridda dokument.
• Verksamheter som redan har ISO 27001 eller 9001. Den harmoniserade strukturen gör att mycket av grunden redan finns, och AI-styrningen byggs ovanpå istället för från noll.

För en organisation som vill bygga förtroende kring sin AI är 42001 i dag det tydligaste sättet att göra styrningen granskbar, inte bara påstådd.

När det inte passar

ISO 42001 är inte rätt för alla. Här är var det inte hör hemma.

Standarden passar dåligt för en organisation som inte använder AI i något som påverkar individer eller verksamhetskritiska beslut. Ett certifikat för ett AI-ledningssystem utan AI att styra blir en kostnad utan motsvarande nytta.

Det är heller ingen genväg till EU AI Act-efterlevnad. ISO 42001 ger i dag ingen presumtion om rättslig efterlevnad under AI Act, den presumtionen kräver harmoniserade standarder publicerade i EU:s officiella tidning, vilket väntas tidigast under 2026 (källa: EU-kommissionen, digital-strategy.ec.europa.eu). En leverantör som säljer 42001 som en juridisk sköld överdriver. Standarden är en bro till kraven, inte ett undantag från dem.

Och certifikatet är ingen engångsprestation. Det kräver årliga övervakningsrevisioner och en organisation som faktiskt lever efter ledningssystemet. För den som söker en stämpel att hänga på väggen och sedan glömma är det fel verktyg. Värdet ligger i det löpande arbetet, inte i pappret.

Konkret exempel

Digitalist Open Tech certifierades enligt ISO/IEC 42001 den 7 oktober 2025 och var bland de första företagen i Sverige att certifiera sitt AI-ledningssystem (källa: DNV Business Assurance, nyhet 18 november 2025). Certifieringen utfärdades av DNV Business Assurance. Implementeringen tog enligt DNV ungefär ett halvår, delvis för att grunden redan fanns i ISO 9001 och i ISO 27001, som Digitalist varit certifierat mot sedan den 29 november 2022 (källa: DNV Business Assurance, nyhet 18 november 2025).

I dag vilar Digitalists AI-styrning på fem integrerade ISO-standarder i ett gemensamt ledningssystem: 9001 för kvalitet, 14001 för miljö, 27001 för informationssäkerhet, 45001 för arbetsmiljö och 42001 för AI (källa: DNV Business Assurance, nyhet 18 november 2025). En del av de AI-specifika Annex A-kontrollerna fanns redan i grunden tack vare den mogna 27001-strukturen, medan andra, de som rör bias, rättvisa, förklarbarhet och mänsklig tillsyn, krävde nytt arbete.

Det praktiska värdet av en revision ligger inte i godkännandet. Det ligger i frågorna revisorn ställer. En extern revisor kommer inte för att sätta dit er, den kommer för att ifrågasätta rutiner, pröva antaganden och hitta förbättringar ni själva slutat se. Det är där värdet av certifieringen faktiskt skapas: i lärandet, inte i kontrollen.

Som generell trovärdighetssignal mäter Digitalist sig i resultat, inte i timmar: NPS 61.

Vanliga missförstånd

“ISO 42001 betyder att vi följer EU AI Act.” Det stämmer inte i juridisk mening. Standarden dokumenterar den styrning AI Act efterfrågar, men ger ingen rättslig presumtion om efterlevnad förrän harmoniserade AI-standarder publicerats i EU:s officiella tidning. ISO 42001 är den bästa tillgängliga bron till kraven, inte ett bevis på att kraven är uppfyllda.

“Vi har redan ISO 27001, alltså är vi i princip 42001-certifierade.” Den harmoniserade strukturen ger ett verkligt försprång, och ungefär 40 procent av kontrollerna överlappar. Men de återstående handlar om bias, rättvisa, förklarbarhet och mänsklig tillsyn, frågor ett informationssäkerhetssystem aldrig var byggt för att besvara. Försprånget gör resan kortare, inte överflödig.

“Certifikatet är ett kvitto vi kan visa upp och sedan vara klara med.” ISO 42001 är ett ledningssystem, inte ett dokument. Det granskas årligen och kräver att organisationen faktiskt arbetar efter det. En certifiering som inte underhålls dras in. Värdet sitter i det levande arbetet kring AI-styrning, inte i certifikatet på väggen.

Frågan en upphandlare eller CISO bör ställa är därför inte om en leverantör har ISO 42001. Den är om leverantören kan visa hur certifieringen ändrar hur den faktiskt bygger och driftar AI, för det är där skillnaden mellan ett granskat och ett påstått ansvar avgörs.