EU AI Act – så påverkar AI-förordningen Sverige
EU:s AI-förordning gäller redan, delvis. Här är riskkategorier, tidsplan, sanktioner och konkreta steg för svenska organisationer.
Sedan februari 2025 är åtta typer av AI-system förbjudna i EU. Kravet på AI-kompetens gäller redan. Och om drygt ett år slår de tunga reglerna för högrisk-AI till med full kraft. Ändå saknar de flesta svenska organisationer en plan.
AI Act, formellt Regulation (EU) 2024/1689, är världens första heltäckande lagstiftning om artificiell intelligens. Den berör alla som utvecklar, distribuerar eller använder AI-system inom EU. Det spelar ingen roll om ditt företag har tio anställda eller tiotusen.
Den här guiden ger dig hela bilden, från riskkategorier och förbud till sanktioner, svenska myndigheter och konkreta steg för att förbereda din organisation.
AI Act i korthet
Europaparlamentet röstade igenom AI Act i mars 2024 med överväldigande majoritet: 523 röster för, 46 emot. EU-rådet godkände formellt förordningen i maj samma år, och den trädde i kraft den 1 augusti 2024.
Till skillnad från ett direktiv gäller en EU-förordning direkt i alla medlemsländer, utan att varje land behöver skriva egen lag. Det innebär att AI Act redan är gällande rätt i Sverige.
Kärnan i förordningen är ett riskbaserat synsätt. Ju högre risk ett AI-system innebär för människors hälsa, säkerhet eller grundläggande rättigheter, desto strängare krav ställs. Det är samma princip som EU använder för läkemedel, leksaker och medicintekniska produkter.
Förordningen gäller inte bara europeiska företag. Alla organisationer som erbjuder AI-system på EU:s marknad omfattas, oavsett var de har sitt säte. EU-kommissionen beskriver det som en global standard för ansvarsfull AI. I praktiken innebär det att amerikanska, kinesiska och svenska bolag alla omfattas om deras AI-system används av personer inom EU.
Fyra risknivåer – från förbjudet till fritt
AI Act delar in alla AI-system i fyra kategorier baserat på den risk de medför. Det är dessa kategorier som avgör vilka regler som gäller för just ditt system.
| Risknivå | Vad innebär det | Exempel | Reglering |
|---|---|---|---|
| Oacceptabel | AI som hotar grundläggande rättigheter | Social poängsättning, subliminal manipulation | Totalförbjudet sedan feb 2025 |
| Hög risk | AI i känsliga beslut som påverkar individer | Rekrytering, kreditbedömning, medicinsk diagnostik | Strikta krav från aug 2026 |
| Begränsad risk | AI som interagerar med människor | Chatbotar, deepfakes, AI-genererat innehåll | Transparens och informationsplikt |
| Minimal risk | AI utan särskild risk | Skräppostfilter, AI-stöd i datorspel | Inga krav, fri användning |
De allra flesta AI-system som används i dag faller i kategorin minimal risk. Det betyder att de inte berörs av några särskilda krav.
Men gränsen mellan minimal och hög risk kan vara smalare än man tror. Om ditt företag använder AI för att filtrera jobbansökningar, bedöma kreditvärdighet eller prioritera patienter i vården, befinner du dig redan i högrisk-kategorin.
Förbjuden AI – det här får ingen göra
Åtta specifika AI-tillämpningar är totalförbjudna sedan den 2 februari 2025. Det är den första vågen av bestämmelser som faktiskt gäller, och överträdelser kan redan nu leda till sanktioner på upp till 35 miljoner euro.
Åtta förbjudna AI-tillämpningar
1. Subliminal manipulation – AI som påverkar beslut genom omedvetna tekniker
2. Utnyttjande av sårbarheter – system som exploaterar ålder, funktionsnedsättning eller ekonomisk utsatthet
3. Social poängsättning – klassificering av personer baserat på socialt beteende
4. Prediktiv brottsriskbedömning – profilering för att förutsäga brottsbenägenhet
5. Oriktat skrapande av ansiktsbilder – massinhämtning av ansiktsbilder från nätet eller övervakningskameror
6. Känsloigenkänning på arbetsplats och i skola – AI som läser av känslor i dessa miljöer
7. Biometrisk kategorisering – härledning av bland annat ras, politisk åskådning eller sexuell läggning via biometri
8. Biometrisk fjärridentifiering i realtid – ansiktsigenkänning i realtid för brottsbekämpning i offentliga miljöer
Det finns snäva undantag för den sista punkten. Realtidsidentifiering kan tillåtas vid jakt på försvunna personer, förebyggande av terrorhot och lokalisering av misstänkta för allvarlig brottslighet. I samtliga fall krävs förhandsgodkännande av en rättslig myndighet.
De flesta svenska organisationer berörs inte direkt av förbuden. Men de sätter ribban. Om ditt AI-system rör sig i närheten av biometri, känsloanalys eller profilering bör du göra en noggrann bedömning.
Högrisk-AI – kraven i praktiken
Högrisk-kategorin är där de tyngsta kraven landar. Den omfattar AI-system som används i beslut med stor påverkan på enskilda individer. Bilaga III i förordningen listar de specifika områdena:
- Biometri och identifiering
- Kritisk infrastruktur (energi, transport, vatten, digital infrastruktur)
- Antagning och bedömning inom utbildning
- Rekrytering, befordran och uppsägning
- Tillgång till offentliga tjänster och förmåner
- Riskbedömning inom brottsbekämpning
- Asylprocesser och gränskontroll
- Juridisk tolkning, domstolsstöd och demokratiska processer
I praktiken innebär det att ett svenskt rekryteringsföretag som använder AI för CV-screening omfattas. Samma sak gäller en kommun som låter AI prioritera socialtjänstärenden, eller en bank vars kreditmodell bygger på maskininlärning.
För system som klassas som högrisk krävs ett helt paket av åtgärder:
- Dokumenterat riskhanteringssystem
- Krav på datakvalitet och representativa dataset
- Teknisk dokumentation som beskriver systemet i detalj
- Loggning och spårbarhet
- Transparens och tydlig information till användare
- Mänsklig översikt och möjlighet att ingripa
- Krav på noggrannhet, robusthet och cybersäkerhet
- CE-märkning, överensstämmelsebedömning och registrering i EU:s publika AI-databas
Kraven liknar det svenska näringslivet redan känner igen från CE-märkning av produkter. Skillnaden är att det nu gäller programvara, inte fysiska varor. Processen för överensstämmelsebedömning innebär att leverantören måste visa att systemet uppfyller alla krav innan det får släppas på marknaden, precis som för medicintekniska produkter.
Dessa krav börjar gälla den 2 augusti 2026. Högrisk-AI som redan är inbäddad i reglerade produkter, exempelvis medicintekniska system och leksaker, får en förlängd övergångsperiod till 2 augusti 2027.
Generella AI-modeller – regler för ChatGPT, Claude och Gemini
En egen kategori i AI Act gäller generella AI-modeller (GPAI, General Purpose AI). Det är modeller som ChatGPT, Claude, Gemini och liknande, som kan användas för en mängd olika uppgifter utan att vara byggda för ett specifikt ändamål.
Sedan den 2 augusti 2025 gäller nya krav för leverantörer av dessa modeller. De måste ta fram teknisk dokumentation som visar hur modellen har byggts och testats. De ska publicera en sammanfattning av det upphovsrättsskyddade material som använts för träning. Och de måste tillhandahålla modellkort som beskriver modellens avsedda användning och kända begränsningar.
Modeller som bedöms ha systemisk risk får ytterligare krav. Dit räknas bland annat modeller som tränats med mycket stor beräkningskapacitet. Leverantörerna måste genomföra motståndstestning (så kallad adversarial testing), rapportera allvarliga incidenter till EU:s AI-kontor och mäta energiförbrukningen.
Vad betyder det för svenska organisationer som använder dessa tjänster? Ansvaret för att uppfylla GPAI-kraven ligger hos modellleverantörerna, inte hos er som användare. Men ni bör vara medvetna om vilken dokumentation leverantören tillhandahåller. Om ni bygger egna produkter ovanpå en GPAI-modell kan ert system klassas som högrisk, och då gäller högrisk-kraven för er.
Befintliga modeller som redan finns på marknaden har en övergångsperiod till den 2 augusti 2027.
Tidslinjen – dessa datum gäller
AI Act rullar ut stegvis. Vissa bestämmelser gäller redan. Andra ligger drygt ett år bort. Här är de viktigaste datumen.
1 augusti 2024 markerar startpunkten. Förordningen träder i kraft, men inga krav gäller ännu.
2 februari 2025 är första skarpa datumet. De åtta förbjudna AI-praktikerna börjar gälla. Samtidigt träder kravet på AI-kompetens i kraft, som innebär att alla organisationer som använder AI ska säkerställa tillräcklig kunskap hos sin personal. Det handlar inte om att alla ska bli AI-experter, men om att förstå grunderna i de system man arbetar med.
2 augusti 2025 handlar om generella AI-modeller. Leverantörer av modeller som GPT, Claude och Gemini måste uppfylla krav på teknisk dokumentation, redovisning av träningsmaterial och modellkort. Modeller med systemisk risk får dessutom krav på motståndstestning och incidentrapportering.
2 augusti 2026 är den stora dagen. Full tillämpning av högrisk-kraven, överensstämmelsebedömning, EU-databas och sanktionsmekanismer. Svensk kompletterande lagstiftning träder i kraft samma datum.
2 augusti 2027 gäller högrisk-AI som är inbäddad i redan reglerade produkter. Medicintekniska system och leksaker med AI-komponenter ska då uppfylla alla krav.
IMY och svensk tillsyn
En vanlig missuppfattning är att IMY (Integritetsskyddsmyndigheten) blir Sveriges AI Act-myndighet. Så blir det inte.
Enligt den statliga utredningen SOU 2025:101 föreslås Post- och telestyrelsen (PTS) som samordnande marknadstillsynsmyndighet och nationell kontaktpunkt. Det är PTS som får det övergripande ansvaret för att granska att AI-system på den svenska marknaden uppfyller kraven.
IMY behåller sin roll för personuppgifter kopplade till AI. Under 2026 fokuserar myndigheten på tre områden: brottsbekämpning, barn och unga samt AI i offentlig sektor.
Läkemedelsverket får ansvar för högrisk-AI inom medicintekniska produkter. Flera andra sektorsmyndigheter får ansvar inom sina respektive områden. Modellen liknar hur Sverige hanterar produktsäkerhet i dag, där olika myndigheter ansvarar för sina sektorer.
Utredningen föreslår också att minst en regulatorisk sandbox ska vara etablerad senast den 2 augusti 2026. PTS ansvarar för den primära sandboxen. En sandbox innebär att företag kan testa AI-system i en kontrollerad miljö med myndighetstillsyn, innan systemen lanseras på marknaden. AI Sweden erbjuder redan utbildningsresurser för organisationer som vill förbereda sig.
Den svenska kompletterande lagstiftningen är tänkt att träda i kraft den 2 augusti 2026, samtidigt som de flesta av AI Acts bestämmelser blir fullt tillämpliga.
GDPR-veteraner har ett försprång
Om du redan har jobbat med GDPR-efterlevnad finns goda nyheter. Mycket av det arbetet är direkt överförbart till AI Act.
| Aspekt | GDPR | AI Act |
|---|---|---|
| Syfte | Skydda personuppgifter | Reglera AI-system baserat på risk |
| Tillämpning | Sedan 25 maj 2018 | Full tillämpning 2 aug 2026 |
| Riskbaserat | Nej, gäller all behandling | Ja, fyra risknivåer |
| Tillsyn i Sverige | IMY | PTS (samordnande) + sektormyndigheter |
| Högsta sanktion | 20 milj. EUR / 4 % av omsättning | 35 milj. EUR / 7 % av omsättning |
| Dokumentation | Registerförteckning, DPIA | Teknisk dokumentation, riskhantering, loggning |
| Individuella rättigheter | Omfattande (insyn, radering, portabilitet) | Begränsade (transparens, förklaring vid högrisk) |
Organisationer som redan har ett dataskyddsombud, rutiner för konsekvensbedömning (DPIA) och ett register över personuppgiftsbehandlingar har byggstenarna på plats. AI Act kräver liknande systematik: dokumentera, bedöm risker, var transparent och säkerställ mänsklig kontroll.
Konkret kan en befintlig DPIA-process utvidgas till att täcka AI-specifika risker. Ert dataskyddsombud kan ta en samordnande roll i den nya riskbedömningen. Och ert befintliga register kan fungera som mall för den AI-inventering som behövs.
De två förordningarna samverkar dessutom. AI-system som behandlar personuppgifter måste följa båda regelverken parallellt. En konsekvensbedömning under GDPR blir ofta en naturlig startpunkt för den riskbedömning som AI Act kräver. Organisationer som redan har den muskeln har ett genuint försprång.
Fem steg för att förbereda din organisation
Oavsett om du driver ett nystartat företag eller en stor organisation finns det konkreta saker du kan göra redan nu. Här är fem steg som ger dig ett försprång.
1. Inventera era AI-system. Börja med att kartlägga vilka AI-verktyg och system som används i organisationen. Inkludera allt: chatbotar i kundtjänst, AI-stöd i rekrytering, automatiserade beslutsprocesser och de verktyg som enskilda medarbetare har börjat använda på eget initiativ. Många organisationer vet inte hur många AI-system de faktiskt har i drift.
2. Klassificera enligt risknivåerna. Bedöm varje system mot AI Acts fyra riskkategorier. Rör sig något i högrisk-zonen? Titta särskilt på system som påverkar beslut om enskilda individer, exempelvis antagning, rekrytering eller kreditbedömning.
3. Starta med AI-kompetens. Kravet på AI-kompetens gäller redan sedan februari 2025. Säkerställ att de medarbetare som arbetar med AI har tillräcklig kunskap om teknikens möjligheter, begränsningar och risker. Det handlar inte om att alla ska bli programmerare, utan om att förstå vad systemen gör och var gränserna går.
4. Bygg på GDPR-grunden. Har ni redan rutiner för konsekvensbedömning och registerförteckning? Utvidga dem till att täcka AI-specifika risker. Dokumentation, riskhantering och transparens är gemensamma nämnare mellan de två regelverken.
5. Följ den svenska processen. Håll koll på hur PTS och andra myndigheter konkretiserar kraven. Den regulatoriska sandboxen som planeras till 2026 kan vara en möjlighet att testa era system i en trygg miljö innan reglerna får full verkan.
Sanktioner – priset för att vänta
AI Act har tänder. Sanktionsnivåerna är medvetet höga för att skapa efterlevnad, och de är graderade efter allvarlighetsgrad.
Sanktioner i tre nivåer
Förbjudna AI-praktiker: Upp till 35 miljoner euro eller 7 % av global årsomsättning.
Brott mot högrisk-krav och leverantörsplikt: Upp till 15 miljoner euro eller 3 %.
Vilseledande information till myndigheter: Upp till 7,5 miljoner euro eller 1 %.
Det högre beloppet gäller alltid. Små och medelstora företag samt nystartade bolag får lägre maxbelopp som fastställs av respektive medlemsstat.
Jämfört med GDPR är taken högre. GDPR:s maximala sanktion är 20 miljoner euro eller 4 % av omsättningen. AI Acts högsta nivå är nästan dubbelt så hög.
Sanktionsmekanismerna aktiveras fullt den 2 augusti 2026. Men redan nu gäller sanktioner för överträdelse av förbuden i artikel 5. Att vänta med förberedelserna är i sig en risk.
Fördjupa dig i AI-juridiken
Vår kurs AI för jurister ger dig verktygen att navigera AI Act, GDPR och framtidens regelverk. Kursen passar jurister, ansvariga för regelefterlevnad och alla som behöver förstå AI-regleringen på djupet.
Nästa steg
AI Act är den mest ambitiösa regleringen av teknik som EU har genomfört. Den skapar nya villkor för alla som utvecklar eller använder AI-system. Det gäller lika mycket för ett svenskt tillverkningsföretag som för ett globalt teknikbolag.
Det positiva är att lagen inte kräver att du slutar använda AI. Tvärtom. Den skapar ett ramverk där innovation kan ske med tydliga spelregler. Organisationer som agerar tidigt bygger inte bara regelefterlevnad, de bygger förtroende hos kunder, medarbetare och tillsynsmyndigheter.
Förordningstexten finns i sin helhet på EUR-Lex. EU-kommissionens riktlinjer för förbjudna AI-praktiker ger praktisk vägledning. Och AI Sweden erbjuder utbildningsresurser specifikt för svensk AI Act-förberedelse.
Den 2 augusti 2026 avgör inte om du får använda AI. Den avgör om du har gjort det ansvarsfullt nog att fortsätta.
Behöver din organisation hjälp med AI Act?
Vi hjälper företag att förstå och förbereda sig för EU:s AI-förordning. Boka ett kostnadsfritt samtal så tar vi det därifrån.