Hoppa till innehåll
[ Guide ]

EU AI Act för svenska beslutsfattare

Vad förordningen kräver, när det gäller och hur du förbereder verksamheten utan att bromsa affären.

EU AI Act är världens första övergripande AI-lag och den träder i kraft i etapper fram till 2027. För svenska organisationer betyder det nya krav på riskklassificering, dokumentation, mänsklig tillsyn och transparens — men också en tydlig karta för att skala AI ansvarsfullt. Den här guiden går igenom vad ledningen behöver besluta 2026, hur ni klassar era system, och vilka fällor som slår hårt vid revision.

Snabbfakta

Målgrupp
Ledning, juridik, informationssäkerhet
Lästid
12 min
Uppdaterad
Juli 2026
Nivå
Grund → tillämpning

## Vad AI Act faktiskt reglerar

AI Act delar upp system i fyra risknivåer: **oacceptabel risk** (förbjuden användning, t.ex. social scoring), **hög risk** (kraftigt reglerad — biometri, kritisk infrastruktur, HR, kreditbedömning), **begränsad risk** (transparenskrav — chatbots, deepfakes) och **minimal risk** (självreglering). De flesta interna produktivitetsverktyg hamnar i minimal risk, men så fort ett system fattar eller stödjer beslut om personer skiftar klassificeringen snabbt.

## Tidslinje att planera efter

- **Februari 2025:** förbud mot oacceptabla system började gälla. - **Augusti 2025:** krav på leverantörer av General Purpose AI (GPAI). - **Augusti 2026:** huvuddelen av högriskkraven aktiveras. - **Augusti 2027:** fullständig tillämpning inklusive äldre system.

## Vad ni behöver göra före augusti 2026

1. **AI-inventering.** Kartlägg alla AI-system i drift — inklusive skugg-AI som anställda använder via privatkonton. 2. **Riskklassa varje användningsfall.** Samma modell kan vara låg risk för sammanfattning av mötesnoteringar och hög risk för rekrytering. 3. **Utse ansvarig.** AI-ansvarig eller AI-styrgrupp med mandat att stoppa system som inte klarar kraven. 4. **Dokumentera datakällor och begränsningar.** Detta är det vanligaste revisionsfelet. 5. **Träna personalen (AI-literacy).** Kravet i Artikel 4 gäller redan — alla som använder AI professionellt ska förstå kapacitet och risker.

## Vanliga misstag

- Antar att en molnleverantör bär hela ansvaret. Ni är **deployer** och har egna skyldigheter. - Klassar ett system som "beslutsstöd" utan att dokumentera hur människan faktiskt kan avvika från förslaget. - Saknar loggar över vilka versioner av modellen som använts när — omöjligt att rekonstruera vid tillsyn.

## Sanktioner

Böter upp till **35 miljoner euro eller 7 % av global omsättning** för de allvarligaste överträdelserna. Svenska tillsynsmyndigheten (sannolikt IMY tillsammans med sektormyndigheter) förväntas ha proaktiv tillsyn från 2026.

## Praktisk checklista för styrelserapportering

- [ ] Aktuell AI-inventering (senast 90 dagar gammal) - [ ] Riskklassning per användningsfall, godkänd av juridik - [ ] Leverantörsavtal med data processing addendum (DPA) - [ ] Utbildningsplan för AI-literacy - [ ] Incidentrutin — vem larmas om ett system beter sig oväntat

Vanliga frågor

Snabba svar om den här nyheten

Gäller AI Act även om vi bara använder ChatGPT internt?
Ja. Som deployer bär ni ansvar för hur systemet används i verksamheten, oavsett vem som byggt modellen. Kraven på AI-literacy och användningspolicy gäller från och med 2 februari 2025.
Måste vi rapportera till en myndighet?
Endast högriskleverantörer registrerar system i EU-databasen. Som deployer räcker det oftast med intern dokumentation, men vid allvarliga incidenter finns rapporteringsplikt inom 15 dagar.
Vad räknas som ett högrisksystem?
System som används inom bilaga III-områden: biometrisk identifiering, kritisk infrastruktur, utbildning och examination, rekrytering, tillgång till väsentliga tjänster (kredit, försäkring, offentlig service), brottsbekämpning, migration och rättskipning.