När träder EU:s AI-förordning i kraft?

EU:s AI-förordning trädde formellt i kraft den 1 augusti 2024. Förbud mot vissa AI-tillämpningar gäller sedan 2 februari 2025. De flesta övriga krav, inklusive regler för högrisk-system, börjar gälla den 2 augusti 2026.

Påverkas mitt småföretag av AI-förordningen?

De flesta svenska småföretag som använder AI-verktyg som ChatGPT eller Copilot klassas som användare av AI med begränsad eller minimal risk. Det innebär begränsade krav, främst transparens. Om ni utvecklar egna AI-system som påverkar anställning, kreditbedömning eller säkerhet kan strängare regler gälla.

Vad händer om man bryter mot AI-förordningen?

Sanktionerna varierar beroende på typ av överträdelse. Förbjudna AI-praktiker kan ge böter upp till 35 miljoner euro eller 7 procent av global årsomsättning. Brott mot högrisk-krav kan ge böter upp till 15 miljoner euro eller 3 procent. Små och medelstora företag får lägre maxbelopp.

Vad är skillnaden mellan AI-förordningen och GDPR?

GDPR reglerar hantering av personuppgifter. AI-förordningen reglerar AI-system baserat på deras risknivå, oavsett om personuppgifter hanteras eller inte. De kompletterar varandra: om ditt AI-system behandlar personuppgifter gäller båda regelverken samtidigt.

Vem ansvarar för tillsyn av AI-förordningen i Sverige?

Post- och telestyrelsen (PTS) föreslås som samordnande marknadstillsynsmyndighet och nationell kontaktpunkt. PTS får det övergripande ansvaret för att granska att AI-system på den svenska marknaden uppfyller kraven.

EU:s AI-förordning: Vad svenska företag behöver veta

EU:s AI-förordning (officiellt: förordning (EU) 2024/1689, på engelska AI Act) är ett riskbaserat regelverk som klassificerar AI-system i fyra riskkategorier och ställer krav utifrån hur stor risk systemet utgör för hälsa, säkerhet och grundläggande rättigheter.

För de flesta svenska småföretag och medelstora företag innebär förordningen begränsade men viktiga skyldigheter. Den här artikeln bryter ner regelverket i begripliga delar och ger dig en praktisk checklista för att förbereda din verksamhet.

Tidslinje: viktiga datum

AI-förordningen rullas ut stegvis. Här är de viktigaste datumen:

1 augusti 2024: Förordningen trädde formellt i kraft
2 februari 2025: Förbud mot vissa AI-tillämpningar (kapitel II) började gälla. Nya definitioner i artikel 3 trädde i kraft.
2 augusti 2025: Regler för generella AI-modeller (som GPT-4 och Claude) börjar gälla
2 augusti 2026: De flesta övriga krav börjar gälla, inklusive regler för högrisk-system

Det innebär att du har ungefär fyra månader kvar (räknat från publiceringsdatum) att förbereda dig för de mest omfattande kraven. Det låter kort, men för de flesta SME:er är arbetet hanterbart.

Viktigt att veta

Förordningen gäller alla företag som använder eller tillhandahåller AI-system inom EU, oavsett var företaget är baserat. Det inkluderar svenska företag som använder amerikanska AI-tjänster som ChatGPT eller Claude.

De fyra riskkategorierna

Kärnan i AI-förordningen är ett riskbaserat ramverk. Ju högre risk ett AI-system medför, desto strängare krav. Här är de fyra kategorierna:

1. Oacceptabel risk (förbjudet)

Vissa AI-tillämpningar är helt förbjudna sedan februari 2025. Det handlar om system som:

Manipulerar människor genom subliminala tekniker
Utnyttjar sårbarheter hos specifika grupper (barn, äldre, personer med funktionsnedsättning)
Används för social poängsättning av myndigheter
Används för biometrisk fjärridentifiering i realtid på offentliga platser (med vissa undantag för brottsbekämpning)

För de allra flesta svenska företag är dessa förbud inte relevanta i den dagliga verksamheten. Men det är bra att vara medveten om dem.

2. Hög risk

Detta är den mest omfattande kategorin och den som påverkar flest företag. AI-system klassas som högrisk om de används inom:

Kritisk infrastruktur: Transport, energi, vattenförsörjning
Utbildning: Automatiserad poängsättning av prov, antagningsbeslut
Anställning: CV-screening, automatiserade rekryteringsbeslut, prestationsövervakning
Kreditbedömning: Automatiserade beslut om lån och försäkring
Brottsbekämpning: Bevisvärdering, riskbedömning
Migration och gränskontroll: Ansökningshantering, riskbedömning
Säkerhetskritiska produkter: Medicinsk utrustning, fordon

Högrisk-system måste uppfylla krav på riskhantering, datakvalitet, transparens, mänsklig tillsyn och CE-märkning.

3. Begränsad risk

AI-system med begränsad risk har enklare krav, främst transparens. Det handlar om system som:

Interagerar direkt med människor (chatbottar) och måste informera om att de är AI
Genererar eller manipulerar bilder, ljud eller video (deepfakes) och måste märka innehållet
Används för känsloigenkänning eller biometrisk kategorisering

Om ditt företag använder en AI-chatbot på hemsidan behöver du alltså informera besökarna om att de pratar med en AI. Det är allt.

4. Minimal risk

Majoriteten av AI-system faller i denna kategori. Här finns inga specifika krav enligt förordningen. Exempel: spamfilter, AI-genererade produktrekommendationer, stavningskontroll och de flesta generativa AI-verktyg som används internt.

De flesta SME:er hamnar här

Om ditt företag använder ChatGPT, Claude, Copilot eller liknande verktyg för interna uppgifter (textgenerering, sammanfattning, brainstorming) klassas det som minimal risk. Det innebär inga specifika krav från AI-förordningen, men det betyder inte att du bör ignorera regelverket helt. En grundläggande förståelse skyddar dig om verksamheten utvecklas.

Vad AI-förordningen kräver i praktiken

Kraven varierar beroende på om du är leverantör (utvecklar AI-system), distributör (säljer dem vidare) eller användare (driftsätter och använder dem). De flesta svenska SME:er är användare.

Om du använder AI-verktyg (de flesta företag)

Som användare av AI-system har du följande skyldigheter:

Transparens: Informera kunder och medarbetare när de interagerar med AI
Mänsklig tillsyn: Se till att viktiga beslut som påverkar människor inte fattas helt automatiskt utan mänsklig granskning
Dokumentation: Ha koll på vilka AI-system ni använder och för vilka ändamål
GDPR-koppling: Om AI-systemet behandlar personuppgifter gäller GDPR parallellt

Om du utvecklar egna AI-system

Leverantörer av högrisk-system har betydligt strängare krav:

Riskhanteringssystem som löpande identifierar och minimerar risker
Datakvalitetskrav: data som används för träning och testning måste vara relevant, representativ och fri från bias
Teknisk dokumentation och spårbarhet
Transparenskrav gentemot användare
System för mänsklig tillsyn
CE-märkning innan systemet får sättas på marknaden

Förhållandet till GDPR

AI-förordningen och GDPR är separata regelverk som kompletterar varandra. GDPR reglerar behandling av personuppgifter. AI-förordningen reglerar AI-system baserat på deras risknivå, oavsett om personuppgifter är inblandade.

I praktiken innebär det att om ditt AI-system behandlar personuppgifter (vilket de flesta gör i någon utsträckning), behöver du följa båda regelverken. Det är ingen ny situation för företag som redan har GDPR-rutiner på plats. Tänk på AI-förordningen som ett extra lager ovanpå, inte en ersättning.

Konkret: om du använder ett AI-verktyg för att analysera kunddata behöver du dels följa GDPR:s regler om personuppgiftsbehandling, dels säkerställa transparens och mänsklig tillsyn enligt AI-förordningen.

Sanktioner: vad riskerar man?

Sanktionerna i AI-förordningen är betydande, i nivå med GDPR. De varierar beroende på typ av överträdelse:

Förbjudna AI-praktiker: Upp till 35 miljoner euro eller 7 procent av global årsomsättning (det högsta beloppet gäller)
Brott mot högrisk-krav: Upp till 15 miljoner euro eller 3 procent av global årsomsättning
Vilseledande information till myndigheter: Upp till 7,5 miljoner euro eller 1 procent av global årsomsättning

Små och medelstora företag samt nystartade bolag får lägre maxbelopp som fastställs av respektive medlemsstat. Det betyder att sanktionerna kommer att anpassas efter företagets storlek och resurser.

Perspektiv

Sanktionerna låter dramatiska, men de riktas främst mot leverantörer av högrisk-system som medvetet bryter mot reglerna. Om ditt företag använder etablerade AI-verktyg (ChatGPT, Copilot, etc.) på ett ansvarsfullt sätt är risken för sanktioner minimal. Det viktigaste är att ha grundläggande koll på vilka system ni använder och att följa transparenskraven.

Tillsyn i Sverige

Post- och telestyrelsen (PTS) föreslås som samordnande marknadstillsynsmyndighet och nationell kontaktpunkt för AI-förordningen i Sverige. PTS får det övergripande ansvaret för att granska att AI-system på den svenska marknaden uppfyller kraven.

Utöver PTS kan sektorsspecifika myndigheter få ansvar inom sina områden. Till exempel kan Finansinspektionen övervaka AI-system inom bank och försäkring, medan Arbetsmiljöverket kan ha tillsyn över AI i arbetslivet.

Tillsynen förväntas initialt fokusera på vägledning och stöd snarare än sanktioner. Myndigheterna vill att företag ska göra rätt, inte straffa dem för att regelverket är nytt och komplext.

Praktisk checklista för ditt företag

Här är en konkret checklista du kan arbeta igenom för att förbereda ditt företag:

Steg 1: Inventera era AI-system (1 till 2 timmar)

Lista alla AI-verktyg och system ni använder. Inkludera:

Vilka verktyg (ChatGPT, Copilot, Claude, branschspecifika system)
Vad de används till (textgenerering, kundtjänst, dataanalys, beslutsfattande)
Vem som använder dem (vilka roller och avdelningar)
Om de behandlar personuppgifter

Steg 2: Bedöm risknivå (30 minuter)

Gå igenom varje AI-system mot de fyra riskkategorierna. Fråga:

Fattar systemet beslut som direkt påverkar människor (anställning, kredit, etc.)?
Används det i någon av högrisk-sektorerna?
Interagerar det direkt med kunder (chatbot)?

Om svaret är nej på alla tre frågor hamnar ni sannolikt i kategorin minimal risk.

Steg 3: Säkerställ transparens (1 timme)

Om ni har kundnära AI-system (chatbotar, automatiserade svar) se till att:

Kunder informeras om att de interagerar med AI
AI-genererat innehåll (bilder, video) märks tydligt

Steg 4: Uppdatera er AI-policy (1 till 2 timmar)

Om ni redan har en AI-policy, uppdatera den med:

Referens till AI-förordningen och era skyldigheter
Tydliga regler för mänsklig tillsyn av viktiga beslut
Ansvarsfördelning: vem ansvarar för att policyn följs?

Steg 5: Håll er uppdaterade

Regelverket är nytt och tolkningar kommer att utvecklas. Följ Diggs (Myndigheten för digital förvaltning) vägledning om AI-förordningen och PTS information om tillsynen. Prenumerera på vårt nyhetsbrev för uppdateringar anpassade till svenska SME:er.

Vad bör du göra nu?

AI-förordningen behöver inte vara skrämmande. För de flesta svenska företag som använder AI-verktyg på ett normalt sätt handlar det om tre saker:

Vet vilka AI-system ni använder. Inventera och dokumentera.
Var transparenta. Informera när kunder möter AI.
Ha mänsklig tillsyn. Låt aldrig AI fatta viktiga beslut om människor helt på egen hand.

Det viktigaste steget är det första: att börja. En enkel inventering tar två timmar och ger er en tydlig bild av var ni står. Därifrån kan ni prioritera rätt.

Vill du veta mer om hur AI påverkar svenska företag? Läs vår kompletta guide om AI för företag eller fördjupa dig i hur du bygger en hållbar AI-strategi.