Det viktigaste i tio punkter
- Förordningen trädde i kraft 2 augusti 2024. Den är direktverkande i Sverige utan separat implementationslag.
- Majoriteten av deployer-skyldigheterna gäller från 2 augusti 2026.
- Fyra risknivåer: oacceptabel (förbjuden), hög, begränsad, minimal.
- Deployer är den som använder AI-systemet. Provider är den som släpper ut det på marknaden. Deployer-rollen är den som flest svenska företag träffas av.
- Åtta högriskområden definierade i Bilaga III, från kreditbedömning till utbildning och rekrytering.
- Art. 26 är kärnskyldigheten för deployers av högrisksystem.
- Art. 4 kräver AI-kompetens hos personal sedan 2 februari 2025.
- Art. 5 förbjuder manipulativa tekniker, social scoring och vissa biometriska system sedan 2 februari 2025.
- Sanktioner: 35 MEUR eller 7 procent för förbjudna praktiker, 15 MEUR eller 3 procent för högriskbrott.
- IMY är primär svensk marknadskontrollmyndighet. Sektorsmyndigheter som Finansinspektionen och Läkemedelsverket har parallell tillsyn.
Vem omfattas?
Nästan alla svenska organisationer med över 50 anställda omfattas av någon del av förordningen. Skälen:
- Microsoft Copilot, ChatGPT Enterprise, Salesforce Einstein och AI-baserade HR-verktyg är vardaglig stack. Aktivering räcker för att klassas som deployer.
- Art. 4 (AI-kompetens) gäller utan storleksundantag och utan risknivå-krav.
- Förbjudna praktiker gäller alla, också enmansföretag.
- Undantag: militär AI och nationell säkerhet (Art. 2.3), AI för forsknings- och utvecklingsändamål innan utsläppande på marknaden, privata icke-professionella användare.
De fyra risknivåerna
| Risknivå | Typ av system | Vad krävs |
|---|---|---|
| Oacceptabel | Social scoring, manipulativ AI, realtidsbiometri i offentliga utrymmen (med vissa undantag), prediktiv polisverksamhet baserad på enbart profilering | Förbjudet. Får inte användas alls. |
| Hög | Bilaga III-system inom biometri, kritisk infrastruktur, utbildning, HR, tjänsteåtkomst, brottsbekämpning, migration, rättsväsende | Hela katalogen: riskhantering, datakvalitet, dokumentation, transparens, human oversight, cybersäkerhet. Deployer: Art. 26. |
| Begränsad | Chatbottar, deepfakes, syntetiskt innehåll, emotionsigenkänning | Transparenskrav: informera användaren. Märkning av AI-genererat innehåll. |
| Minimal | Spamfilter, AI i videospel, basal personalisering | Inga krav utöver frivilliga koder. |
Artikel-översikt
| Artikel | Vad den reglerar | Vem som påverkas |
|---|---|---|
| Art. 4 | AI-kompetens | Alla organisationer |
| Art. 5 | Förbjudna praktiker | Alla organisationer |
| Art. 6 | Klassificering av högrisksystem | Providers och deployers |
| Art. 8 till 15 | Skyldigheter för providers | Providers |
| Art. 13 | Transparens mot deployer | Providers |
| Art. 14 | Human oversight | Providers och deployers |
| Art. 25 | När deployer blir provider | Deployers |
| Art. 26 | Deployer-skyldigheter för högrisksystem | Deployers |
| Art. 27 | Grundläggande rättighetsbedömning (FRIA) | Offentliga deployers och vissa privata |
| Art. 50 | Transparens för begränsade risksystem | Alla som använder chatbottar, deepfakes, syntetiskt innehåll |
| Art. 73 | Incidentrapportering | Providers och deployers |
| Art. 99 | Sanktioner | Alla |
| Bilaga III | Definition av åtta högriskområden | Alla som klassificerar system |
De åtta högriskområdena i Bilaga III
- Biometri, inklusive emotionsigenkänning och kategorisering
- Kritisk infrastruktur (safety-komponenter inom vägtrafik, järnväg, vatten, gas, el, internet)
- Utbildning och yrkesutbildning (antagning, bedömning, övervakning)
- Anställning, HR och självanställning (rekrytering, befordran, beslut om kontrakt, övervakning)
- Åtkomst till väsentliga privata och offentliga tjänster och förmåner (kreditbedömning, försäkringspremier, välfärd, emergency services)
- Brottsbekämpning (profilering, riskbedömning, bevisvärdering, polygraph och liknande)
- Migration, asyl, gränskontroll
- Rättsväsende och demokratiska processer
Sanktionsmatris
| Överträdelse | Maxbelopp | Maxandel av global omsättning |
|---|---|---|
| Förbjudna praktiker (Art. 5) | 35 MEUR | 7 procent |
| Brott mot högriskkrav (Art. 8 till 15, Art. 26) | 15 MEUR | 3 procent |
| Oriktig information till myndighet | 7,5 MEUR | 1 procent |
Tidslinje
| Datum | Händelse |
|---|---|
| 2 aug 2024 | Förordningen i kraft |
| 2 feb 2025 | Art. 5 (förbjudna praktiker) och Art. 4 (AI-kompetens) |
| 2 aug 2025 | GPAI-modeller (generella AI-modeller) |
| 2 aug 2026 | Deployer-skyldigheter för högrisksystem (Art. 26) |
| 2 aug 2027 | Högrisk-AI i reglerade produkter (medtech, fordon, maskiner) |
Fem saker att göra direkt om ni inte börjat
- Inventera AI-system. Inkludera skugg-AI.
- Klassificera. Förbjuden, hög, begränsad, minimal per system.
- Utse en ägare per system. Har befogenhet att stoppa eller ifrågasätta.
- Dokumentera Art. 4-kompetens. Minst en rollbaserad matris finns sedan 2 februari 2025.
- Boka ett readiness-möte. Antingen internt eller via AI Act Readiness Sprint.