Företagsutveckling , , , ,

EU AI Act 2026 – så påverkas svenska företag av AI-förordningen

AI och digitala mönster över Europakarta som symboliserar AI-regleringen

EU:s AI-förordning – även kallad AI Act – blir världens första heltäckande regelverk för artificiell intelligens när den fullt ut träder i kraft den 2 augusti 2026. För svenska företag innebär det betydande konsekvenser, oavsett om man bygger AI-system eller bara använder dem i verksamheten. Sanktionerna är medvetet höga, upp till 35 miljoner euro eller 7 procent av global årsomsättning.

Det viktigaste 2026: AI Act tillämpas stegvis. Förbjudna AI-praktiker har gällt sedan februari 2025 och kravet på AI-kunnighet hos personal har gällt sedan dess. Den 2 augusti 2026 träder huvuddelen av kraven på högrisksystem i kraft. EU-kommissionen har dock föreslagit en möjlig försening på upp till 16 månader om standarderna inte är på plats i tid.

Vad är AI Act?

AI Act är en EU-förordning som syftar till att skapa harmoniserade regler för artificiell intelligens inom hela EU. Förordningen trädde formellt i kraft den 1 augusti 2024 och tillämpas stegvis under en tvåårsperiod. Skillnaden mot ett direktiv är att en förordning gäller direkt som lag i alla EU-länder utan att behöva implementeras i nationell rätt.

Förordningens grundprincip är riskbaserad: ju högre risk ett AI-system medför för hälsa, säkerhet eller grundläggande rättigheter, desto strängare blir kraven. Det finns fyra risknivåer: oacceptabel, hög, begränsad och minimal risk.

De fyra risknivåerna

Klassificeringen avgör hur AI-systemet får användas och vilka krav som ställs:

Risknivå Exempel Krav
Oacceptabel Social scoring, beteendemanipulation Förbjudet
Hög Rekrytering, kreditbedömning, vård Tillåtet med strikt reglering
Begränsad Chatbottar, deepfakes Transparenskrav
Minimal Spamfilter, AI i spel Inga krav

Förbjudna AI-praktiker

Vissa AI-tillämpningar förbjöds redan den 2 februari 2025. Det handlar om system som EU bedömer utgör en oacceptabel risk för grundläggande rättigheter:

  • System för social scoring av medborgare
  • AI som manipulerar mänskligt beteende på ett skadligt sätt
  • AI som utnyttjar personers sårbarhet (ålder, funktionsnedsättning)
  • Realtidsbiometrisk identifiering på offentlig plats (med vissa undantag)
  • Skapande av databaser för ansiktsigenkänning genom skrapning
  • Bedömning av känslor på arbetsplats eller utbildning (med undantag för säkerhetsskäl)

Högrisksystem – här ligger fokus 2026

Det är inom kategorin högrisksystem som de flesta svenska företag kommer att märka konsekvenserna. Bilaga III i AI-förordningen specificerar åtta kategorier av högrisk-AI-system, däribland:

  • Rekrytering och HR: AI som filtrerar CV, intervjuar kandidater eller påverkar lönesättning
  • Kreditbedömning: AI som bedömer privatpersoners kreditvärdighet
  • Utbildning: AI som påverkar antagning eller bedömning av studenter
  • Sjukvård: AI för diagnostik eller medicinska beslut
  • Brottsbekämpning: AI som används av polis och rättsväsende
  • Kritisk infrastruktur: AI i transport, energi och vattenförsörjning
  • Migration och asyl: AI som används vid gränskontroll eller asylprövning
  • Rättskipning: AI som påverkar rättsliga beslut eller demokratiska processer

För högrisksystem måste leverantörer säkerställa CE-märkning, riskhantering, datakvalitet, mänsklig tillsyn, robusthet och cybersäkerhet. Användare (i förordningen kallade ”deployers”) har egna skyldigheter, exempelvis att övervaka systemets prestanda och rapportera allvarliga incidenter.

Roller enligt AI Act

Förordningen skiljer på olika aktörer i AI-kedjan, och kraven varierar beroende på roll:

  • Leverantörer (providers): Företag som utvecklar och släpper AI-system på marknaden
  • Användare (deployers): Organisationer som använder AI-system i sin verksamhet
  • Importörer: Företag som tar in AI-system från länder utanför EU
  • Distributörer: Mellanhänder som gör AI-system tillgängliga på marknaden

Många svenska företag är ”deployers” – de använder AI-verktyg från andra leverantörer i sin egen verksamhet. Även den rollen medför skyldigheter, framför allt för högrisksystem.

AI-kunnighet redan ett krav

En av de första bestämmelserna trädde i kraft den 2 februari 2025, nämligen kravet på AI-kunnighet enligt artikel 4. Det innebär att personer i en organisation som arbetar med AI-system måste ha tillräcklig kompetens för att hantera dem på ett ansvarsfullt sätt. Kravet gäller redan idag och är inte beroende av att övriga delar av förordningen träder i kraft. Företag bör därför säkerställa att personalen får relevant utbildning.

Tidplan – när gäller vad?

Datum Vad börjar gälla?
1 augusti 2024 Förordningen träder formellt i kraft
2 februari 2025 Förbjudna praktiker, AI-kunnighet, definitioner
2 augusti 2025 Regler för generella AI-modeller (GPAI)
2 augusti 2026 Huvuddelen av högriskreglerna
2 augusti 2027 Högrisksystem inbäddade i reglerade produkter

I november 2025 föreslog EU-kommissionen att högriskreglerna kan försenas med upp till 16 månader om de tekniska standarderna inte är klara i tid. Förslaget är ännu inte antaget vid skrivande stund.

Tillsyn i Sverige

Den statliga utredningen SOU 2025:101 föreslår att Post- och telestyrelsen (PTS) får rollen som samordnande marknadstillsynsmyndighet och nationell kontaktpunkt för AI Act i Sverige. Integritetsskyddsmyndigheten (IMY) behåller sin roll för personuppgifter kopplade till AI och fokuserar 2026 på tre områden: brottsbekämpning, barn och unga samt AI i offentlig sektor. Läkemedelsverket får ansvar för högrisk-AI inom medicintekniska produkter, och flera andra sektorsmyndigheter får ansvar inom sina respektive områden.

Utredningen föreslår också att minst en regulatorisk sandbox ska vara etablerad senast den 2 augusti 2026. En sandbox innebär att företag kan testa AI-system i en kontrollerad miljö med myndighetstillsyn, innan systemen lanseras på marknaden.

Sanktioner i tre nivåer

Brott mot AI Act kan kosta enorma summor. Sanktionerna är graderade efter hur allvarlig överträdelsen är:

  • Förbjudna AI-praktiker: upp till 35 miljoner euro eller 7 procent av global årsomsättning
  • Brott mot högrisk-krav: upp till 15 miljoner euro eller 3 procent
  • Vilseledande information till myndigheter: upp till 7,5 miljoner euro eller 1 procent

Det högre beloppet gäller alltid. För små och medelstora företag samt nystartade bolag fastställs lägre maxbelopp av respektive medlemsstat. Jämförelsevis är maxsanktionen enligt GDPR 20 miljoner euro eller 4 procent – AI Act har alltså högre tak.

Sex steg att förbereda sig

För svenska företag som använder eller utvecklar AI-system rekommenderas följande steg före 2 augusti 2026:

  1. Inventera alla AI-system som organisationen utvecklar, distribuerar eller använder, inklusive tredjepartssystem och inbäddade komponenter
  2. Klassificera varje system enligt risknivåerna i förordningen
  3. Genomför konformitetsbedömningar för högrisksystem (riskhantering, datakvalitet, dokumentation)
  4. Implementera tekniska krav som mänsklig tillsyn, loggningsfunktioner och cybersäkerhetsåtgärder
  5. Säkerställ AI-kunnighet hos personal som arbetar med systemen
  6. Följ den svenska processen och håll koll på hur PTS och andra myndigheter konkretiserar kraven

Vanliga frågor och svar

När börjar AI Act gälla fullt ut?
Huvuddelen av kraven börjar gälla den 2 augusti 2026. Vissa delar har gällt sedan februari 2025 (förbjudna praktiker och AI-kunnighet) och augusti 2025 (regler för generella AI-modeller). EU har dock föreslagit en möjlig försening med upp till 16 månader.

Vilka företag berörs av AI Act?
Alla som utvecklar, säljer, importerar eller använder AI-system inom EU – oavsett om företaget är etablerat inom eller utanför unionen. Förordningen gör skillnad mellan leverantörer, distributörer, importörer och användare med olika krav för varje roll.

Vad räknas som ett högrisksystem?
AI-system som används inom områden som rekrytering, kreditbedömning, vård, utbildning, brottsbekämpning, kritisk infrastruktur eller rättsväsende. Bilaga III i förordningen listar de exakta kategorierna.

Hur höga är sanktionerna?
Upp till 35 miljoner euro eller 7 procent av global årsomsättning för förbjudna praktiker. För brott mot högrisk-krav upp till 15 miljoner euro eller 3 procent. Det högre beloppet gäller alltid.

Vad innebär kravet på AI-kunnighet?
Att personal som använder AI-system ska ha tillräcklig kompetens för att förstå hur systemen fungerar, deras begränsningar och risker. Kravet gäller redan från februari 2025 och är inte beroende av övriga delar av förordningen.

Senast uppdaterad: 23 juni 2026

Etikett
Matz Nordström
Matz Nordström

Matz Nordström är en erfaren skribent och analytiker med över 30 års erfarenhet inom näringsliv och ekonomi. Matz har en gedigen bakgrund inom media och affärsutveckling, vilket gör honom till en nyckelperson på Näringslivsbolaget. Matz har en passion för att förklara komplexa ekonomiska samband på ett begripligt sätt och strävar alltid efter att leverera djupgående analyser och aktuella nyheter till läsarna.

visa alla inlägg

Relaterade inlägg

Publicera kommentar

Du har kanske missat