EU AI Act för svenska beslutsfattare
Vad förordningen kräver, när det gäller och hur du förbereder verksamheten utan att bromsa affären.
EU AI Act är världens första övergripande AI-lag och den träder i kraft i etapper fram till 2027. För svenska organisationer betyder det nya krav på riskklassificering, dokumentation, mänsklig tillsyn och transparens — men också en tydlig karta för att skala AI ansvarsfullt. Den här guiden går igenom vad ledningen behöver besluta 2026, hur ni klassar era system, och vilka fällor som slår hårt vid revision.
Snabbfakta
- Målgrupp
- Ledning, juridik, informationssäkerhet
- Lästid
- 12 min
- Uppdaterad
- Juli 2026
- Nivå
- Grund → tillämpning
## Vad AI Act faktiskt reglerar
AI Act delar upp system i fyra risknivåer: **oacceptabel risk** (förbjuden användning, t.ex. social scoring), **hög risk** (kraftigt reglerad — biometri, kritisk infrastruktur, HR, kreditbedömning), **begränsad risk** (transparenskrav — chatbots, deepfakes) och **minimal risk** (självreglering). De flesta interna produktivitetsverktyg hamnar i minimal risk, men så fort ett system fattar eller stödjer beslut om personer skiftar klassificeringen snabbt.
## Tidslinje att planera efter
- **Februari 2025:** förbud mot oacceptabla system började gälla. - **Augusti 2025:** krav på leverantörer av General Purpose AI (GPAI). - **Augusti 2026:** huvuddelen av högriskkraven aktiveras. - **Augusti 2027:** fullständig tillämpning inklusive äldre system.
## Vad ni behöver göra före augusti 2026
1. **AI-inventering.** Kartlägg alla AI-system i drift — inklusive skugg-AI som anställda använder via privatkonton. 2. **Riskklassa varje användningsfall.** Samma modell kan vara låg risk för sammanfattning av mötesnoteringar och hög risk för rekrytering. 3. **Utse ansvarig.** AI-ansvarig eller AI-styrgrupp med mandat att stoppa system som inte klarar kraven. 4. **Dokumentera datakällor och begränsningar.** Detta är det vanligaste revisionsfelet. 5. **Träna personalen (AI-literacy).** Kravet i Artikel 4 gäller redan — alla som använder AI professionellt ska förstå kapacitet och risker.
## Vanliga misstag
- Antar att en molnleverantör bär hela ansvaret. Ni är **deployer** och har egna skyldigheter. - Klassar ett system som "beslutsstöd" utan att dokumentera hur människan faktiskt kan avvika från förslaget. - Saknar loggar över vilka versioner av modellen som använts när — omöjligt att rekonstruera vid tillsyn.
## Sanktioner
Böter upp till **35 miljoner euro eller 7 % av global omsättning** för de allvarligaste överträdelserna. Svenska tillsynsmyndigheten (sannolikt IMY tillsammans med sektormyndigheter) förväntas ha proaktiv tillsyn från 2026.
## Praktisk checklista för styrelserapportering
- [ ] Aktuell AI-inventering (senast 90 dagar gammal) - [ ] Riskklassning per användningsfall, godkänd av juridik - [ ] Leverantörsavtal med data processing addendum (DPA) - [ ] Utbildningsplan för AI-literacy - [ ] Incidentrutin — vem larmas om ett system beter sig oväntat