EU AI Act: Så förbereder ni ert företag innan augusti 2026

EU AI Act, eller AI-förordningen, är världens första heltäckande lagstiftning för artificiell intelligens. Den reglerar AI-system utifrån risk — ju högre risk systemet innebär för människors rättigheter, hälsa och säkerhet, desto strängare krav. Förordningen gäller oavsett företagsstorlek. Det är AI-systemets riskklassificering som avgör vilka regler som tillämpas.

Parallellt har den svenska regeringen lanserat en nationell AI-strategi med målet att Sverige ska vara bland de tio främsta länderna i världen inom AI. Strategin betonar att företag behöver bättre förutsättningar att använda AI — men också att det sker ansvarsfullt. AI-förordningen och den nationella strategin pekar i samma riktning: AI ska skapa värde, men med tydlig styrning.

Om ni redan arbetar med AI-strategi och roadmap bör compliance med AI-förordningen integreras i det arbetet. Det handlar inte om att lägga till ett parallellt projekt, utan om att göra styrning och ansvarsfull AI till en naturlig del av hur ni planerar och genomför AI-initiativ.

Tidslinje: Vad gäller redan och vad kommer

AI-förordningen införs stegvis. Flera viktiga milstolpar har redan passerat, och den mest omfattande fasen börjar i augusti 2026.

1. Februari 2025: Förbud mot AI-system med oacceptabel risk trädde i kraft. Det gäller bland annat social poängsättning, manipulativ AI och vissa former av biometrisk övervakning.
2. Augusti 2025: Regler för AI-modeller med generella syften (GPAI), som GPT och Claude, började gälla. Leverantörer av sådana modeller måste uppfylla krav på transparens och dokumentation.
3. Augusti 2026: Huvuddelen av förordningen blir tillämplig. Krav på högrisk-AI-system, riskbedömningar, kvalitetsstyrning och transparens träder i kraft.
4. Augusti 2027: Ytterligare krav på specifika AI-system som klassificeras under produktsäkerhetslagstiftning.

Det innebär att svenska företag har cirka tre månader kvar att förbereda sig för den bredaste fasen av kraven. Organisationer som ännu inte påbörjat arbetet behöver agera nu.

AI-förordningens riskklasser — var hamnar era system?

AI-förordningen bygger på en riskbaserad modell med fyra nivåer. Klassificeringen avgör vilka krav som gäller för varje AI-system ni använder eller tillhandahåller.

Oacceptabel risk (förbjudna)

AI-system som anses innebära en oacceptabel risk är helt förbjudna. Exempel: social poängsättning, realtidsbiometri i offentliga miljöer (med begränsade undantag), och AI som utnyttjar människors sårbarhet för att manipulera beteenden. Dessa förbud gäller redan sedan februari 2025.

Hög risk

Högrisk-AI-system är kärnan i förordningen och omfattar de flesta kraven. Hit hör AI som används inom rekrytering och HR, kreditbedömning, utbildning, tillgång till offentliga tjänster, brottsbekämpning och kritisk infrastruktur. Företag som använder eller levererar högrisk-AI måste uppfylla krav på riskhantering, datakvalitet, dokumentation, mänsklig tillsyn, cybersäkerhet och transparens.

Begränsad risk

AI-system med begränsad risk har främst transparenskrav. Det gäller exempelvis chatbottar, AI-genererat innehåll och system som interagerar med användare. Användare ska informeras om att de interagerar med AI och att innehåll är AI-genererat.

Minimal risk

AI-system med minimal risk, till exempel skräppostfilter och AI i spel, omfattas inte av särskilda krav. De flesta AI-system faller i denna kategori.

Det första steget för varje organisation är att kartlägga vilka AI-system som används och klassificera dem enligt riskmodellen. Utan den kartläggningen kan ni inte bedöma vilka krav som gäller.

Konkreta krav för högrisk-AI-system

Om er organisation utvecklar, distribuerar eller använder AI-system som klassificeras som högrisk gäller omfattande krav från augusti 2026. Här är de viktigaste:

• Riskhanteringssystem: Ett dokumenterat system för att identifiera, bedöma och hantera risker genom AI-systemets hela livscykel.
• Datakvalitet: Träningsdata, validerings- och testdata ska uppfylla kvalitetskrav avseende relevans, representativitet och felfrihet.
• Teknisk dokumentation: Detaljerad dokumentation av systemets syfte, funktion, begränsningar och prestanda.
• Loggning och spårbarhet: Automatisk loggning av systemets aktivitet för att möjliggöra efterlevnadskontroll.
• Mänsklig tillsyn: System ska utformas så att människor kan övervaka, ingripa och vid behov avbryta driften.
• Cybersäkerhet: Robusthet och motståndskraft mot manipulation och tekniska fel.
• Konsekvensanalys (FRIA): Fundamental Rights Impact Assessment — en bedömning av AI-systemets påverkan på grundläggande rättigheter.

Notera att AI-förordningen och GDPR överlappar. Om ert högrisk-AI-system behandlar personuppgifter behöver ni genomföra både en FRIA enligt AI-förordningen och en DPIA enligt GDPR. Det är effektivt att samordna dessa bedömningar.

Fem steg för att förbereda ert företag

Att uppfylla AI-förordningens krav behöver inte vara överväldigande — men det kräver struktur och ägarskap. Här är fem konkreta steg för att komma igång.

1. Kartlägg era AI-system

Börja med en inventering av alla AI-system som används eller utvecklas i organisationen. Inkludera tredjepartslösningar, inbäddad AI i befintliga verktyg och interna prototyper. Dokumentera syfte, dataanvändning och berörda intressenter. En AI-mognadsanalys kan vara en bra startpunkt för att förstå bredden av er AI-användning.

2. Klassificera enligt riskmodellen

Bedöm varje identifierat AI-system enligt förordningens riskklasser. Utgå från systemets användningsområde och konsekvenser — inte från teknologin i sig. System som används för rekrytering, kreditbedömning eller personalhantering hamnar ofta i högrisk-kategorin.

3. Gapanalys mot kraven

Jämför nuläget med de krav som gäller för era riskklassificerade system. Vilken dokumentation finns redan? Vilka processer för riskhantering och tillsyn är på plats? Var finns gapen? Prioritera de största gapen med hänsyn till tidslinjen.

4. Etablera AI-styrning

Utse roller och ansvar för AI-styrning. Det bör finnas tydligt ägarskap för compliance, riskhantering och kvalitet. Bygg in styrningen i befintliga processer snarare än att skapa en separat AI-funktion. Många organisationer integrerar detta i sitt arbete med AI-förändringsledning.

5. Dokumentera och implementera

Skapa den tekniska dokumentationen, riskhanteringssystemen och tillsynsprocesserna som krävs. Testa dem i praktiken innan augusti 2026. Planera för löpande underhåll — compliance är inte en engångsinsats utan en fortlöpande process.

Sanktioner och påföljder

AI-förordningen har kännbara sanktioner. Böter kan uppgå till 35 miljoner euro eller 7 procent av global årsomsättning för de allvarligaste överträdelserna. Även mindre överträdelser kan resultera i böter upp till 15 miljoner euro eller 3 procent av omsättningen.

Utöver de finansiella konsekvenserna innebär bristande compliance en reputationsrisk och kan påverka kundrelationer och affärsmöjligheter. Företag som proaktivt arbetar med AI-styrning och transparens stärker sin position hos kunder, partners och tillsynsmyndigheter.

Sammanfattning

EU:s AI-förordning ställer konkreta krav på svenska företag som använder eller levererar AI-system. Den riskbaserade modellen innebär att kraven varierar beroende på systemets påverkan, men alla organisationer behöver minst kartlägga sin AI-användning och klassificera systemen.

Med tre månader kvar till att huvuddelen av förordningen träder i kraft är tiden att agera nu. Organisationer som integrerar compliance i sin AI-strategi — istället för att behandla det som ett separat projekt — får bättre styrning, lägre risk och en starkare grund för att skala AI ansvarsfullt.

Behöver ni stöd med AI-styrning och förberedelser inför AI-förordningen? Kontakta oss för en dialog om hur vi kan hjälpa er att skapa en hållbar grund för ansvarsfull AI i er organisation.