EU:s AI-förordning, ofta kallad AI Act, är världens första breda "horisontella" regelverk som styr utveckling, marknadsintroduktion och användning av AI-system i EU. Den bygger på en riskbaserad modell: vissa AI-användningar förbjuds, andra kräver transparens eller omfattande krav (särskilt för högrisk-AI), och generella AI-modeller får egna skyldigheter.
Den här artikeln ger:
- en historisk översikt (hur vi hamnade här),
- en praktisk genomgång av vad som gäller, och
- en tydlig tidslinje för 2026 och 2027.
Kort bakgrund: Vad är AI-förordningen?
AI-förordningen är Regulation (EU) 2024/1689 ("Artificial Intelligence Act") som publicerades i EU:s officiella tidning sommaren 2024. Den skapar ett gemensamt ramverk inom EU för att:
- skydda hälsa, säkerhet och grundläggande rättigheter,
- samtidigt som innovation möjliggörs genom t.ex. sandlådor och stödåtgärder.
Historiken: Viktiga milstolpar (2021–2024)
1. EU-kommissionens förslag (2021)
Resan började med att EU-kommissionen la fram ett formellt förslag till AI-förordning i april 2021 (COM(2021) 206).
2. Förhandlingar och "provisorisk överenskommelse" (2023)
Efter intensiva trilogförhandlingar nådde rådet och parlamentet en provisorisk politisk överenskommelse i december 2023.
3. EU-parlamentets godkännande (mars 2024)
EU-parlamentet antog texten vid plenarsammanträdet den 13 mars 2024.
4. Rådets slutliga "gröna ljus" (maj 2024)
EU-rådet gav slutligt klartecken 21 maj 2024, vilket i praktiken avslutade lagstiftningsprocessen.
5. Publicering och ikraftträdande (sommar 2024)
Förordningen publicerades i EU:s officiella tidning och började gälla som EU-rätt (ikraftträdande) sommaren 2024.
Viktigt: ikraftträdande betyder inte att alla skyldigheter börjar gälla direkt – förordningen har en stegvis tillämpning.
Vad som gäller i praktiken: risknivåer och huvudkrav
AI-förordningen brukar sammanfattas i fyra nivåer:
Förbjudna AI-praktiker
Vissa användningar är förbjudna, exempelvis vissa former av manipulation, social scoring och vissa biometriska scenarion. EU-kommissionen har också publicerat riktlinjer om förbjudna praktiker för att stödja en enhetlig tolkning.
Högrisk-AI
AI-system i vissa områden (t.ex. kritisk infrastruktur, utbildning, rekrytering, kreditprövning m.m.) klassas som högrisk och kräver bland annat:
- riskhantering,
- datakvalitet,
- teknisk dokumentation,
- loggning,
- mänsklig övervakning,
- cybersäkerhet och robusthet,
…plus skyldigheter för både leverantörer och användare (deployers).
De åtta områdena i Annex III
Annex III listar de användningsområden som klassas som högrisk när AI-system inte ingår i en redan reglerad produkt. För svenska organisationer är det här checklistan att jämföra mot:
- Biometri. Fjärridentifiering, kategorisering och känsloigenkänning (utanför förbjudna scenarion).
- Kritisk infrastruktur. Säkerhetskomponenter i el-, vatten- och trafikförsörjning.
- Utbildning och yrkesutbildning. Antagning, bedömning, övervakning vid prov.
- Sysselsättning och personalhantering. Rekrytering, urval, befordran, uppsägning, prestationsutvärdering.
- Tillgång till väsentliga tjänster. Kreditprövning, riskbedömning för liv- och sjukförsäkring, prioritering i akutsjukvård, bedömning av rätt till offentliga förmåner.
- Brottsbekämpning. Riskbedömning av individer, bevisvärdering, profilering.
- Migration, asyl och gränskontroll. Riskbedömningar, verifiering av resehandlingar.
- Rättsväsende och demokratiska processer. Beslutsstöd för domstolar, system som påverkar väljarbeteende.
Om er användning faller inom något av dessa områden, och inte är undantagen enligt artikel 6.3, gäller högrisk-kraven fullt ut.
Transparenskrav
Vissa AI-funktioner omfattas av tydliga transparenskrav – exempelvis när människor interagerar med AI eller vid syntetiskt genererat innehåll. Transparensreglerna i artikel 50 börjar gälla senare i införandet.
Allmän AI / GPAI (General-Purpose AI models)
Förordningen innehåller särskilda regler för general-purpose AI-modeller. Det här är centralt för leverantörer av breda modeller och för ekosystemet runt dem.
Är ni leverantör eller deployer? Rollerna avgör kraven
En av de vanligaste frågorna från svenska företag är vilken roll de faktiskt har enligt AI Act. Förordningen definierar fyra:
- Leverantör (provider) utvecklar ett AI-system och släpper det på EU-marknaden under eget namn eller varumärke. Bär huvudbördan av krav: riskhantering, teknisk dokumentation, konformitetsbedömning, registrering i EU-databasen.
- Deployer (användare i förordningens mening) använder ett AI-system i yrkesmässig verksamhet. Skyldigheter kring mänsklig övervakning, loggning, information till berörda personer, och i vissa fall grundläggande rättighetskonsekvensanalys (FRIA).
- Importör och distributör ansvarar för att system som släpps på EU-marknaden är CE-märkta och åtföljs av korrekt dokumentation.
Viktig fälla, artikel 25: En deployer som väsentligen modifierar ett högrisk-system, släpper det under eget varumärke, eller använder det för ett annat ändamål än det avsedda blir själv leverantör med tillhörande skyldigheter. Detta gäller särskilt företag som finetunar GPAI-modeller och bygger egna produkter ovanpå.
Tidslinjen: Vad händer 2026 och 2027?
EU-kommissionens AI Act Service Desk beskriver att lagen tillämpas successivt med "full roll-out" senast 2 augusti 2027.
Under 2026: "Majoriteten av reglerna" börjar gälla
Den stora milstolpen är 2 augusti 2026:
- Majoriteten av reglerna börjar tillämpas och tillsyn/enforcement startar på nationell nivå och EU-nivå.
- Högrisk-AI i Annex III börjar omfattas (t.ex. högrisk-användningar inom flera samhällssektorer).
- Transparensregler (Artikel 50) börjar gälla.
- Innovationsstöd börjar gälla, och medlemsstaterna ska ha minst en regulatorisk AI-sandbox per land etablerad.
Konsekvens för företag 2026: Det är här många organisationer "går live" med compliance: klassning, risk- och kvalitetsprocesser, dokumentation, leverantörskedja, incidenthantering och styrning behöver vara på plats för system som träffas av Annex III.
Under 2027: Reglerna för högrisk-AI i reglerade produkter börjar gälla
Nästa stora milstolpe är 2 augusti 2027:
- Regler för högrisk-AI som är inbäddad i reglerade produkter börjar tillämpas.
- Det handlar typiskt om AI som är en del av produktreglerade områden (t.ex. vissa maskiner, fordon och medicinteknisk utrustning – beroende på hur de klassas och vilket EU-regelverk som gäller för produkten).
Tabell: Historik + vad som gäller 2026–2027
| Datum | Vad händer | Vem påverkas mest | Praktisk innebörd |
|---|---|---|---|
| 21 apr 2021 | Kommissionens förslag (COM(2021) 206) | Alla | Starten på lagstiftningsprocessen |
| 8 dec 2023 | Provisorisk politisk överenskommelse | Alla | Texten "sätter sig" efter trilog |
| 13 mar 2024 | Europaparlamentet antar texten | Alla | Demokratiskt slutsteg i EP |
| 21 maj 2024 | Rådet ger slutligt klartecken | Alla | Lagen är formellt antagen |
| 02 feb 2025 | Definitioner/AI-literacy + förbud börjar gälla | De flesta | Krav på AI-kompetens och att undvika förbjudna praktiker |
| 02 aug 2025 | GPAI-regler + governance ska vara på plats | Modell-/plattformleverantörer + myndigheter | Krav på GPAI-leverantörer; nationella myndigheter och EU-organ etableras |
| 02 aug 2026 | Majoriteten av reglerna + enforcement startar | Högrisk-aktörer, de flesta större org | Högrisk Annex III börjar gälla, transparens (Art. 50), sandlådor m.m. |
| 02 aug 2027 | Högrisk-AI i reglerade produkter börjar gälla | Tillverkare + produkt-ekosystem | Produktnära AI får fulla högrisk-krav i reglerade produktområden |
Digital Omnibus on AI: Förslaget som kan flytta hela 2026-deadlinen
Den 19 november 2025 publicerade EU-kommissionen ett ändringsförslag kallat Digital Omnibus on AI (COM(2025) 836). Bakgrunden är pragmatisk: harmoniserade standarder från CEN-CENELEC JTC 21 är försenade, och flera medlemsstater har inte hunnit utse nationella tillsynsmyndigheter eller anmälda organ. Att kräva efterlevnad mot regler vars tekniska standarder ännu inte finns blev politiskt ohållbart.
Förslagets centrala punkt är att flytta deadline för högrisk-AI i Annex III från 2 augusti 2026 till 2 december 2027, och för högrisk-AI inbäddad i reglerade produkter från 2 augusti 2027 till 2 augusti 2028. Parlamentet adopterade sin förhandlingsposition den 26 mars 2026 (569 röster för, 45 emot) och rådet sin allmänna inriktning den 13 mars 2026. En svensk detalj: Arba Kokalari (M, EPP) är medrapportör för IMCO-utskottet.
Men trilogförhandlingarna mellan parlamentet, rådet och kommissionen den 28 april 2026 sprack efter tolv timmars förhandling. En ny trilog är inplanerad till 13 maj 2026. Stridsfrågan rör bland annat huruvida sektorslagstiftning (t.ex. Maskinförordningen, MDR) ska flyttas från Annex I avsnitt A till B. Parlamentet vill, rådet motsätter sig. Kritiker, däribland MEP Brando Benifei, varnar för att flytten skulle "fragmentera AI Act:s horisontella ramverk".
Vad detta betyder i praktiken: om Omnibus inte antas formellt före 2 augusti 2026 gäller den ursprungliga AI Act som den är skriven, inklusive Annex III-deadlinen. Stora juristbyråer och IAPP rekommenderar därför att planera mot 2 augusti 2026 och betrakta en eventuell uppskjutning som uppsida, inte basscenario. Notera också att transparenskraven i artikel 50 inte är föremål för uppskjutning. Vattenmärkning och tydlig märkning av AI-genererat innehåll ska vara på plats för system som lanseras från 2 augusti 2026, oavsett Omnibus.
Sanktioner: Vad det kostar att inte följa AI-förordningen
Sanktionsstrukturen i artikel 99 är trestegsindelad och baseras på det högsta av fast belopp eller andel av global årsomsättning:
- Förbjudna AI-praktiker: upp till 35 miljoner € eller 7 % av föregående års globala omsättning.
- Övriga överträdelser (t.ex. brott mot högrisk-krav, transparens eller GPAI-skyldigheter): upp till 15 miljoner € eller 3 %.
- Felaktig, ofullständig eller missvisande information till tillsynsmyndigheter eller anmälda organ: upp till 7,5 miljoner € eller 1 %.
För små och medelstora företag samt startups gäller det lägre av de två beloppen, en proportionalitetsregel värd att känna till för svenska scaleups. Sanktionerna utdöms av nationella tillsynsmyndigheter, vilket i Sverige innebär koordinering via IMY. Utöver böter kan tillsynsmyndighet kräva tillbakadragande från marknaden, vilket i praktiken ofta är den allvarligare konsekvensen för en SaaS-leverantör.
Vad gäller specifikt i Sverige?
I Sverige har Integritetsskyddsmyndigheten (IMY) föreslagits som koordinerande nationell tillsynsmyndighet, med sektorsmyndigheter (Finansinspektionen, Läkemedelsverket, Transportstyrelsen m.fl.) som ansvariga inom sina respektive områden. Detta följer av regeringens proposition baserad på utredningen Ett samhälle med AI som en god kraft (SOU 2024:75) från AI-kommissionen.
Senast 2 augusti 2026 ska Sverige ha minst en regulatorisk AI-sandlåda etablerad. Verket för innovationssystem (Vinnova) tillsammans med IMY har pekats ut som drivande. Sandlådan är särskilt relevant för SME och offentlig sektor som vill testa högrisk-AI mot tillsynsmyndighet under kontrollerade former.
För svenska organisationer betyder detta i praktiken att AI Act-arbetet sällan kan separeras från GDPR, NIS2, DORA och CRA. En typisk svensk högrisk-implementering träffas av minst tre regelverk samtidigt, och det är där compliance-arbetet ofta blir tungt. Vi går igenom den svenska compliance-stacken i detalj i en separat artikel, inklusive hur sandlådan fungerar i praktiken. Walmas plattform Noda är byggd med detta i åtanke: full spårbarhet, källhänvisningar och svensk datasuveränitet är nyckelkrav som återkommer i samtliga av dessa regelverk, inte bara i AI-förordningen.
Praktisk checklista inför 2026
Om er organisation berörs av AI-förordningen – här är vad företag typiskt behöver göra under 2025–2026:
- Inventera AI-användningar – inkl. inbyggda modeller, tredjepartsverktyg och automatiserade beslut.
- Klassificera risk – förbjudet, högrisk Annex III, transparens eller övrigt.
- Styrning & roller – AI-policy, ägarskap och leverantörsstyrning.
- Dokumentation & spårbarhet – teknisk dokumentation, loggning och datakällor.
- Process för incidenter och ändringar – rutiner för när modellen, datan eller användningen ändras.
- AI-literacy-program – utbildning anpassad efter roller: produkt, IT, juridik, inköp och verksamhet.
De exakta kraven beror på roll: leverantör, importör, distributör eller användare/deployer.
FAQ
När börjar AI-förordningen gälla "på riktigt"?
Den är i EU-rättens mening redan i kraft, men tillämpas stegvis. De stora datumen för bred företagsefterlevnad är 2 augusti 2026 (majoriteten av reglerna) och 2 augusti 2027 (högrisk-AI i reglerade produkter).
Vilka företag berörs av AI-förordningen?
Alla organisationer som utvecklar, distribuerar eller använder AI-system inom EU berörs. Det gäller även företag utanför EU vars AI-system används inom unionen. Särskilt relevanta är aktörer inom högrisk-sektorer som hälso- och sjukvård, utbildning, rekrytering, kreditprövning och kritisk infrastruktur.
Vad räknas som högrisk-AI?
Högrisk-AI definieras i Annex III och inkluderar system som används inom områden som biometrisk identifiering, kritisk infrastruktur, utbildning och yrkesutbildning, anställning och personalhantering, tillgång till offentliga tjänster, brottsbekämpning, migrationshantering och rättsväsende. AI-system som ingår i redan reglerade produkter (t.ex. medicinteknisk utrustning, fordon) kan också klassas som högrisk.
Vad är viktigast under 2026?
Att högrisk-AI i Annex III börjar omfattas av regelverket och att enforcement startar. Organisationer behöver ha sina risk- och kvalitetsprocesser, dokumentation och styrning på plats senast 2 augusti 2026.
Vad är skillnaden 2027 jämfört med 2026?
2027 träffar särskilt högrisk-AI som är inbäddad i reglerade produkter – exempelvis AI-komponenter i maskiner, fordon eller medicinteknisk utrustning som redan omfattas av annan EU-produktlagstiftning.
Vad innebär GPAI-reglerna?
General-Purpose AI-modeller (GPAI) har egna skyldigheter som började gälla 2 augusti 2025. Leverantörer av sådana modeller ska bland annat tillhandahålla teknisk dokumentation, följa upphovsrättsregler och publicera sammanfattningar av träningsdata. GPAI-modeller med "systemisk risk" har ytterligare krav.
Vad händer om man inte följer AI-förordningen?
Sanktionerna varierar beroende på överträdelsens art. Böter kan uppgå till 35 miljoner euro eller 7 % av global årsomsättning för överträdelser av förbjudna AI-praktiker, och upp till 15 miljoner euro eller 3 % av omsättningen för andra överträdelser. Nationella tillsynsmyndigheter ansvarar för enforcement.
Gäller AI-förordningen för svenska myndigheter?
Ja, AI-förordningen gäller för alla aktörer som utvecklar eller använder AI-system – inklusive offentlig sektor och myndigheter. Svenska myndigheter som använder AI-system för exempelvis beslutsfattande, bedömningar eller automatiserade processer behöver följa samma riskklassificering och krav som privata aktörer.
Behöver vi en AI-policy?
Det är inte ett explicit krav i förordningen att ha en separat "AI-policy", men i praktiken behöver organisationer ha dokumenterad styrning, rollfördelning och processer för att uppfylla kraven. En AI-policy är ofta det enklaste sättet att samla detta. Kravet på AI-literacy (artikel 4) innebär dessutom att personal som arbetar med AI-system ska ha tillräcklig kompetens.
Hur kan Walma hjälpa med AI-förordningen?
Walma erbjuder AI-lösningar som är designade med compliance i åtanke. Vår plattform Noda ger full spårbarhet, källhänvisningar och svensk datasuveränitet – tre nyckelkrav i AI-förordningen. Vi erbjuder även AI-utbildningar och workshops som hjälper organisationer att bygga den AI-literacy som förordningen kräver.
