När gäller AI Act i Sverige?

Förordningen är direktverkande och har gällt sedan 2 augusti 2024. Förbjudna praktiker och AI-kompetens började gälla 2 februari 2025. Deployer-skyldigheter för högrisksystem per Art. 26 gäller från 2 augusti 2026. Högrisk-AI inbäddat i reglerade produkter som medicinteknik omfattas fullt ut från 2 augusti 2027.

Vad är skillnaden mellan deployer och provider?

Provider är den som utvecklar och släpper ut AI-systemet på marknaden. Deployer är den som använder det under eget ansvar. Svenska företag som köper Microsoft Copilot, ChatGPT Enterprise eller AI-baserade HR-verktyg är typiskt deployers. Att finjustera en modell eller sätta eget varumärke på den kan göra deployern till provider enligt Art. 25.

Omfattas mitt företag av AI Act?

Sannolikt ja. Alla företag som använder AI i EU omfattas av någon del av förordningen. Om AI-systemen är lågrisk räcker det ofta med transparensskyldigheter och AI-kompetens. Om något system klassificeras som högrisk per Bilaga III, aktiveras hela Art. 26-katalogen.

Vad händer om jag inte följer AI Act?

Sanktionerna är maximalt 35 miljoner euro eller 7 procent av global omsättning för förbjudna praktiker, 15 miljoner euro eller 3 procent för brott mot högriskkrav. IMY är primär svensk marknadskontrollmyndighet med stöd av sektorspecifika myndigheter som Finansinspektionen och Läkemedelsverket.

Räcker GDPR för AI-compliance?

Nej. GDPR gäller parallellt med AI Act när AI-systemet behandlar personuppgifter. AI Act lägger till krav på datakvalitet, dokumentation och human oversight som GDPR inte täcker. Båda måste efterlevas samtidigt.

Hur många AI-system brukar ett medelstort svenskt företag ha?

Efter en strukturerad inventering landar de flesta företag i storleksklassen 200 till 2 000 anställda på mellan 40 och 150 AI-system. Skillnaden från den initiala uppskattningen beror nästan alltid på skugg-AI: Copilot per licens, ChatGPT-abonnemang, och AI-funktioner i befintlig SaaS.

Vad kostar AI Act-efterlevnad?

Variationen är stor. För ett medelstort svenskt företag med 300 till 700 anställda ligger ett strukturerat readiness-arbete typiskt i intervallet 100 000 till 250 000 SEK för extern hjälp, plus intern tid. Löpande plattform och dokumentation tillkommer.

Måste jag ha en AI-policy?

Förordningen kräver inte en specifik AI-policy som dokument, men praxis kräver det. Dokumentationskraven i Art. 26 punkt 5 och Art. 4 för kompetens förutsätter i praktiken en skriven policy.

Vilken myndighet har tillsyn över AI Act i Sverige?

IMY är primär marknadskontrollmyndighet för grundläggande rättigheter och offentliga deployers. Sektorsvis tillsyn utövas av Finansinspektionen (bank och finans), Läkemedelsverket (medicinteknik), Transportstyrelsen (transport) och PTS (digital infrastruktur och telekom).

AI-förordningen: Vad gäller svenska företag 2026

Vad är AI-förordningen?

AI-förordningen är en EU-förordning, vilket innebär att den är direktverkande i alla medlemsstater inklusive Sverige. Till skillnad från direktiv behöver den inte implementeras i svensk lag för att gälla. Förordningen reglerar hela livscykeln för AI-system: från träning och utsläppande på marknaden till användning och avveckling. Huvudsyftet är att säkerställa att AI-system som används i EU är säkra, transparenta och respekterar grundläggande rättigheter.

Regelverket bygger på en risk-baserad modell. AI-system som bedöms utgöra en oacceptabel risk är förbjudna. System med hög risk omfattas av långtgående skyldigheter om riskhantering, datakvalitet, dokumentation, transparens, human oversight och cybersäkerhet. Övriga system har begränsade eller minimala krav.

När börjar AI-förordningen gälla?

Förordningen rullas ut i fem steg.

Datum	Vad börjar gälla
2 augusti 2024	Förordningen trädde i kraft
2 februari 2025	Förbjudna praktiker (Art. 5) och AI-kompetens (Art. 4)
2 augusti 2025	Skyldigheter för leverantörer av generella AI-modeller (GPAI)
2 augusti 2026	Majoriteten av deployer-skyldigheterna, bland annat Art. 26
2 augusti 2027	Högrisk-AI inbäddade i reglerade produkter, som medicinteknik och fordon

Vem omfattas: deployer eller provider?

AI-förordningen skiljer mellan sex rollbegrepp, men två dominerar i praktiken för svenska organisationer: provider och deployer.

En provider utvecklar eller släpper ut ett AI-system på marknaden under eget namn. OpenAI, Anthropic, Google och Microsoft är providers. Så är också svenska AI-bolag som släpper egna modeller eller applikationer på marknaden.

En deployer använder ett AI-system under eget ansvar, typiskt genom en tjänst, ett abonnemang eller en integration. Nästan alla svenska företag med över 50 anställda är deployers idag. Det räcker med en betald Copilot-licens, en integration av ChatGPT Enterprise, Salesforce Einstein aktiverat, eller en AI-driven HR-screening för att omfattas.

Deployer-rollen är den som flest missförstår. Två återkommande missuppfattningar:

Första missuppfattningen: Vi är bara användare, skyldigheterna ligger på leverantören. Fel. Deployers har egna skyldigheter enligt Art. 26 oavsett vad providern gör. Providers har sina skyldigheter enligt Art. 8 till 15. De överlappar inte.

Andra missuppfattningen: Vi bygger inte egen AI, så det gäller inte oss. Fel. Att köpa och använda en tredjepartstjänst gör er till deployer. Att skriva egna GPT-prompter som anställda använder dagligen gör er till deployer för det systemet.

Om ni dessutom finjusterar en modell, sätter ert eget varumärke på ett AI-system, eller ändrar det avsedda syftet, kan ni räknas om till provider enligt Art. 25. Det aktiverar en separat, tyngre skyldighetsram.

AI Act-systemets fyra risknivåer

Förordningen kategoriserar alla AI-system i fyra risknivåer.

Oacceptabel risk (Art. 5, förbjuden sedan 2 februari 2025). Hit hör social scoring, realtidsbiometri i offentliga utrymmen utom vid allvarliga brott, bedömning av känslor på arbetsplatsen och i skolan, prediktiv polisverksamhet baserad enbart på profilering, och subliminala manipulativa tekniker. Förbjudna system får inte användas alls.

Hög risk (Art. 6 och Bilaga III). Åtta områden klassas som högrisk. Biometri och emotionsdetektion, kritisk infrastruktur, utbildning, anställning och HR, åtkomst till väsentliga privata och offentliga tjänster (kreditbedömning, välfärd, akutvård), brottsbekämpning, migration och asyl, samt rättsväsende. Högrisksystem omfattas av hela katalogen av skyldigheter i Art. 8 till 15 för providers och Art. 26 för deployers.

Begränsad risk. System som chattbotar, deepfakes och klassificerare av känslor har specifika transparenskrav i Art. 50. Användaren måste veta att hen interagerar med AI. Syntetiskt innehåll ska märkas. Inga andra skyldigheter.

Minimal risk. Spamfilter, AI i videospel, basal rekommendations-logik. Inga krav, men frivilliga beteendekoder uppmuntras.

Art. 26: deployer-skyldigheter i detalj

För ett svenskt företag som använder ett högrisk-AI-system är Art. 26 kärnan i lagen. Skyldigheterna gäller per system, inte per företag, och dokumenteras individuellt.

Följa bruksanvisningen. Providerns dokumentation måste läsas och systemet användas enligt den.
Tilldela human oversight. Utse och utbilda en eller flera personer som har befogenhet och kompetens att stoppa systemet, ifrågasätta dess utdata och ingripa vid fel.
Säkerställa datakvalitet. Indata som deployern kontrollerar måste vara relevant och representativ för det avsedda syftet.
Övervaka drift. Loggar ska bevaras i minst sex månader, i många fall längre beroende på sektor.
Informera berörda personer. Om AI-systemet fattar eller stöder beslut som påverkar en fysisk person, har personen rätt att veta det.
Göra grundläggande rättighetsbedömning (FRIA). Krävs för offentliga deployers och vissa privata deployers i kredit- och livförsäkringssammanhang innan systemet tas i bruk.
Rapportera allvarliga incidenter. Per Art. 73 inom 15 dagar till marknadskontrollmyndigheten (IMY i Sverige) och providern.
Samarbeta med tillsynsmyndighet. Vid begäran tillhandahålla all dokumentation.

Art. 4: AI-kompetens

Art. 4 gäller sedan 2 februari 2025. Alla organisationer som utvecklar, distribuerar eller använder AI-system ska säkerställa att personal har tillräcklig AI-kompetens. Kravet är tekniskt och individuellt: kompetens per roll, inte en generell AI-utbildning för alla.

I praktiken innebär det tre saker. En kompetensmatris som kopplar roll till systemets komplexitet. Dokumenterad utbildning och refresh-cykler. Spårbarhet för tillsynen, inklusive vem som gjorde vad och när.

Svenska tillsynsmyndigheter har ännu inte publicerat detaljerade riktlinjer, men EU:s AI Office har signalerat att praxis bygger på proportionalitet. En IT-avdelning som rullar ut Copilot brett behöver högre kompetens än en marknadsavdelning som använder ett enkelt innehållsverktyg.

Art. 73: incidentrapportering

Allvarliga incidenter med högrisk-AI-system ska rapporteras till marknadskontrollmyndigheten inom 15 dagar efter att de upptäckts, och inom 48 timmar vid verkliga eller förutsebara dödsfall och allvarliga skador. Rapporteringen går till IMY som är utsedd primär marknadskontrollmyndighet för grundläggande rättigheter, med sektorspecifika myndigheter som parallella kanaler.

Rapporteringsformuläret är ännu inte publicerat i sin slutgiltiga version per april 2026. Till dess kan incidenter anmälas via IMY:s allmänna kanal. AI Act-incidentrapportering är inte samma process som NIS2-incidentrapporteringen. Ett svenskt bolag som är både NIS2-omfattat och AI Act-deployer kan behöva skicka parallella rapporter, vilket är ett av skälen till att integrera compliance-processerna i en plattform.

Hur stora är sanktionerna?

AI-förordningen har tre sanktionsnivåer. Beloppen är maximibelopp, de faktiska sanktionerna bestäms utifrån allvar, varaktighet, återfall och samarbete.

Överträdelse	Maxbelopp	Maxandel av global omsättning
Förbjudna praktiker (Art. 5)	35 miljoner euro	7 procent
Brott mot krav för providers och deployers av högrisksystem (Art. 8 till 15, Art. 26)	15 miljoner euro	3 procent
Lämnande av oriktig eller vilseledande information till myndighet	7,5 miljoner euro	1 procent

Vad gör jag nu? Sex steg till 2 augusti 2026

Planen nedan fungerar för ett företag med 200 till 2 000 anställda. Större företag behöver djupare bemanning, mindre kan genomföra den snabbare.

Inventera AI-system. Inkludera skugg-AI (anställdas egna ChatGPT-konton, Copilot aktiverat per licens, AI-funktioner i befintlig SaaS). Räkna med att hitta 3 till 5 gånger fler system än ni trodde.
Klassificera varje system. Använd beslutsträdet på klassificeringssidan. Flagga varje system som förbjudet, högrisk, begränsad eller minimal.
Tilldela ägarskap. Varje högrisksystem får en intern ägare med ansvar för dokumentation, human oversight och incidenthantering.
Bygg dokumentationsstruktur. En fil per system med bruksanvisning, datakvalitetskrav, oversight-protokoll, användningslogg och incidenthistorik.
Utbilda per Art. 4. Rollbaserad kompetensmatris. Kan ofta paketeras in i befintlig säkerhetsutbildning.
Genomför FRIA där det krävs. Alla offentliga deployers, samt banker och försäkringsbolag som använder AI i kreditbedömning eller riskklassificering av försäkringstagare.

Vanliga missuppfattningar

Små företag slipper. Till viss del. Art. 5 (förbjudna praktiker) och Art. 50 (transparens) gäller alla oavsett storlek. Art. 26 gäller bara deployers av högrisksystem, men storlek befriar inte. Ett tioperson-bolag som använder en AI-baserad CV-screening för rekrytering är deployer av ett Bilaga III.4-system.

Vi väntar på svensk vägledning. Förordningen är direktverkande. Det finns ingen svensk vägledning att vänta på, bara tolkningar och best practice från EU:s AI Office och andra marknader. PTS och IMY kommer publicera sektorpraxis löpande, men deadline flyttas inte.

Vi har ju redan ISO 27001. ISO 27001 täcker informationssäkerhet, inte AI-specifika krav som datakvalitet, oversight eller transparens. ISO 42001 (AI Management) är en bättre utgångspunkt men är inte heller tillräcklig ensam.

AI Act kan skjutas upp. Tidigare har EU-kommissionen antytt att vissa skyldigheter kan försenas, men deployer-skyldigheterna per 2 augusti 2026 är fastslagna och bekräftade i sekundärlagstiftning. Att planera för försening är hög risk.

Vad är AI-förordningen?

När börjar AI-förordningen gälla?

Förordningen rullas ut i fem steg.

Datum	Vad börjar gälla
2 augusti 2024	Förordningen trädde i kraft
2 februari 2025	Förbjudna praktiker (Art. 5) och AI-kompetens (Art. 4)
2 augusti 2025	Skyldigheter för leverantörer av generella AI-modeller (GPAI)
2 augusti 2026	Majoriteten av deployer-skyldigheterna, bland annat Art. 26
2 augusti 2027	Högrisk-AI inbäddade i reglerade produkter, som medicinteknik och fordon

Vem omfattas: deployer eller provider?

AI-förordningen skiljer mellan sex rollbegrepp, men två dominerar i praktiken för svenska organisationer: provider och deployer.

Deployer-rollen är den som flest missförstår. Två återkommande missuppfattningar:

AI Act-systemets fyra risknivåer

Förordningen kategoriserar alla AI-system i fyra risknivåer.

Minimal risk. Spamfilter, AI i videospel, basal rekommendations-logik. Inga krav, men frivilliga beteendekoder uppmuntras.

Art. 26: deployer-skyldigheter i detalj

För ett svenskt företag som använder ett högrisk-AI-system är Art. 26 kärnan i lagen. Skyldigheterna gäller per system, inte per företag, och dokumenteras individuellt.

Följa bruksanvisningen. Providerns dokumentation måste läsas och systemet användas enligt den.
Tilldela human oversight. Utse och utbilda en eller flera personer som har befogenhet och kompetens att stoppa systemet, ifrågasätta dess utdata och ingripa vid fel.
Säkerställa datakvalitet. Indata som deployern kontrollerar måste vara relevant och representativ för det avsedda syftet.
Övervaka drift. Loggar ska bevaras i minst sex månader, i många fall längre beroende på sektor.
Informera berörda personer. Om AI-systemet fattar eller stöder beslut som påverkar en fysisk person, har personen rätt att veta det.
Göra grundläggande rättighetsbedömning (FRIA). Krävs för offentliga deployers och vissa privata deployers i kredit- och livförsäkringssammanhang innan systemet tas i bruk.
Rapportera allvarliga incidenter. Per Art. 73 inom 15 dagar till marknadskontrollmyndigheten (IMY i Sverige) och providern.
Samarbeta med tillsynsmyndighet. Vid begäran tillhandahålla all dokumentation.

Art. 4: AI-kompetens

Art. 73: incidentrapportering

Hur stora är sanktionerna?

AI-förordningen har tre sanktionsnivåer. Beloppen är maximibelopp, de faktiska sanktionerna bestäms utifrån allvar, varaktighet, återfall och samarbete.

Överträdelse	Maxbelopp	Maxandel av global omsättning
Förbjudna praktiker (Art. 5)	35 miljoner euro	7 procent
Brott mot krav för providers och deployers av högrisksystem (Art. 8 till 15, Art. 26)	15 miljoner euro	3 procent
Lämnande av oriktig eller vilseledande information till myndighet	7,5 miljoner euro	1 procent

Vad gör jag nu? Sex steg till 2 augusti 2026

Planen nedan fungerar för ett företag med 200 till 2 000 anställda. Större företag behöver djupare bemanning, mindre kan genomföra den snabbare.

Inventera AI-system. Inkludera skugg-AI (anställdas egna ChatGPT-konton, Copilot aktiverat per licens, AI-funktioner i befintlig SaaS). Räkna med att hitta 3 till 5 gånger fler system än ni trodde.
Klassificera varje system. Använd beslutsträdet på klassificeringssidan. Flagga varje system som förbjudet, högrisk, begränsad eller minimal.
Tilldela ägarskap. Varje högrisksystem får en intern ägare med ansvar för dokumentation, human oversight och incidenthantering.
Bygg dokumentationsstruktur. En fil per system med bruksanvisning, datakvalitetskrav, oversight-protokoll, användningslogg och incidenthistorik.
Utbilda per Art. 4. Rollbaserad kompetensmatris. Kan ofta paketeras in i befintlig säkerhetsutbildning.
Genomför FRIA där det krävs. Alla offentliga deployers, samt banker och försäkringsbolag som använder AI i kreditbedömning eller riskklassificering av försäkringstagare.

AI-förordningen: Vad gäller svenska företag 2026

Vad är AI-förordningen?

När börjar AI-förordningen gälla?

Vem omfattas: deployer eller provider?

AI Act-systemets fyra risknivåer

Art. 26: deployer-skyldigheter i detalj

Art. 4: AI-kompetens

Art. 73: incidentrapportering

Hur stora är sanktionerna?

Hur förhåller sig AI Act till NIS2 och GDPR?

Vad gör jag nu? Sex steg till 2 augusti 2026

Vanliga missuppfattningar

Svar på det vi oftast får frågor om

Vad är AI-förordningen?

När gäller AI Act i Sverige?

Vad är skillnaden mellan deployer och provider?

Omfattas mitt företag av AI Act?

Vad händer om jag inte följer AI Act?

Räcker GDPR för AI-compliance?

Hur många AI-system brukar ett medelstort svenskt företag ha?

Vad kostar AI Act-efterlevnad?

Måste jag ha en AI-policy?

Vilken myndighet har tillsyn över AI Act i Sverige?

Fortsätt läsa

AI-förordningen: Vad gäller svenska företag 2026

Vad är AI-förordningen?

När börjar AI-förordningen gälla?

Vem omfattas: deployer eller provider?

AI Act-systemets fyra risknivåer

Art. 26: deployer-skyldigheter i detalj

Art. 4: AI-kompetens

Art. 73: incidentrapportering

Hur stora är sanktionerna?

Hur förhåller sig AI Act till NIS2 och GDPR?

Vad gör jag nu? Sex steg till 2 augusti 2026

Vanliga missuppfattningar

Svar på det vi oftast får frågor om

Vad är AI-förordningen?

När gäller AI Act i Sverige?

Vad är skillnaden mellan deployer och provider?

Omfattas mitt företag av AI Act?

Vad händer om jag inte följer AI Act?

Räcker GDPR för AI-compliance?

Hur många AI-system brukar ett medelstort svenskt företag ha?

Vad kostar AI Act-efterlevnad?

Måste jag ha en AI-policy?

Vilken myndighet har tillsyn över AI Act i Sverige?

Fortsätt läsa