Sektor

NIS2 Bilaga I

AI Act för bankverksamhet: Krav på svenska banker och finansbolag

NIS2-bilaga: I
Rekommenderad Sprint: Enterprise
Högrisk-andel: 60 procent
Deadline Art. 26: 2 aug 2026

Översikt

Vad AI-förordningen innebär för sektorn

Banker skiljer sig från övriga sektorer genom koncentrationen av kreditbeslut, bedrägeridetektion, AML och KYC-processer. Flera svenska banker har dessutom aktiverat Copilot brett för sina anställda, vilket triggar Art. 4 kompetens och Art. 50 transparens på toppen av de högriskområden som redan identifierats.

Banker skiljer sig också genom att DORA (EU 2022/2554) redan gäller sedan 17 januari 2025. Mycket av DORA-ramverket överlappar med AI Act Art. 15 cybersäkerhetskrav. Korrekt strukturerad compliance-modell återanvänder DORA-dokumentationen där den är tillräcklig.

Klassificering

Bilaga III-punkter som gäller sektorn

Punkt	Tillämpning i bank och finans
III.5b	Kreditvärdighetsbedömning för privatpersoner och små företag
III.1	Biometri i KYC (ansiktsverifiering, röst, fingeravtryck)
III.4	HR-beslut i bank (rekrytering, performance, intern rörelse)
III.5c	AI i prioritering av akut-ärenden vid systemhaveri

AI-system

Typiska AI-system i svenska organisationer

Användningsområde	Typiska leverantörer	Risknivå
Kreditbedömning av privatpersoner	Interna modeller, FICO, Experian Ascend, SAS Credit Scoring	Hög (III.5b)
Bedrägeridetektion på kort och betalningar	Feedzai, NICE Actimize, Featurespace	Hög vid automatiserad blockering
AML och transaktionsövervakning	SAS AML, Oracle FCCM, ComplyAdvantage	Begränsad till hög
KYC via biometri	IDEMIA, Onfido, Scrive, Jumio	Hög (III.1)
Kundserviceautomation (chatbot)	IBM watsonx, Microsoft Copilot Studio, egen LLM	Begränsad till hög
Portföljoptimering och robo-advising	BlackRock Aladdin, SS&C Algorithmics, Kidbrooke	Hög vid direktbeslut mot kund
LLM för dokumentreview	Microsoft Copilot Financial Services, Harvey, Relativity aiR	Minimal till begränsad
Motpartsriskbedömning	Moody's Analytics, S&P Global	Begränsad till hög

Tillsyn

Myndigheter som har tillsyn

Finansinspektionen: primär tillsyn DORA och parallell AI Act
Riksbanken: tillsyn över systemviktiga aktörer och betalningssystem
IMY: primär marknadskontroll för grundläggande rättigheter och GDPR
Finansdepartementet: vägledning via SFS-förordningar
MCF och CERT-SE: cybersäkerhetsincidenter

Regelverk

NIS2-överlapp och Cybersäkerhetslagen

Banker är NIS2 Bilaga I och väsentlig entitet. Cybersäkerhetslagen och DORA gäller redan. AI Act läggs på som tredje lag. DORA Art. 5 till 15 ICT-riskhantering överlappar med AI Act Art. 15. DORA har företräde enligt Lex Specialis där områden överlappar, men NIS2 gäller för aspekter DORA inte täcker. Styrelsens personliga ansvar enligt 6 kap. Cybersäkerhetslagen är särskilt relevant eftersom DORA inte har motsvarande personligt ansvar.

Risk

Unika risker för AI i sektorn

Bias i kreditbeslut som missgynnar grupper baserat på kön, ålder, bostadsort eller etnicitet
Förklaringsbarhet vid avslag, både enligt AI Act Art. 26 och GDPR Art. 22
Dataskyddsintensitet i AML där personuppgifter kombineras med handelsdata
Regulatorisk arbitrage där stack byggs för lägre-risk-tolkning än vad praxis senare visar
Modellkvalitet när providerns data inte är representativ för svensk befolkning

Så hjälper CyberKlar

Plattformen för bank och finans

Plattformen kombinerar DORA, NIS2 och AI Act i en gemensam styrningsmodell: AI-systemregister med dubbel klassificering (DORA ICT-kritikalitet plus AI Act risknivå), FRIA-workflow för kreditbedömningsmodeller som delar data med DPIA, incidentprocess som routar till Finansinspektionen (DORA), CERT-SE (NIS2), IMY (AI Act), leverantörsbedömning kombinerad med DORA-kritikalitetsbedömning för ICT-tredjepartsleverantörer.

Boka Enterprise Sprint Se demo

Vanliga frågor

Frågor vi oftast får från bank och finans

Vilka AI-system i en svensk bank är högrisk?

Kreditbedömning av fysiska personer är direkt högrisk enligt III.5b. KYC-biometri är III.1. Livförsäkring räknas in i III.5b. Bedrägeridetektion kan vara begränsad eller hög beroende på om systemet automatiskt blockerar kund eller ger rekommendation till analytiker. Handelsdesk-algoritmer är inte automatiskt högrisk.

Måste svenska banker göra FRIA?

Ja för AI i kreditbedömning och livförsäkring enligt Art. 27. FRIA ska genomföras innan systemet tas i bruk och dokumenteras hos IMY. Kan samordnas med befintlig DPIA för att återanvända datainsamling.

Hur skiljer sig AI Act från GDPR Art. 22 i kreditbeslut?

GDPR Art. 22 ger registrerad rätt att inte bli föremål för automatiserat beslut med legala effekter om inget av tre undantag gäller. AI Act Art. 26 kräver att deployern informerar, dokumenterar och möjliggör mänsklig granskning. Båda gäller parallellt. Den strängare regeln gäller.

Kan vi använda amerikansk kreditbedömningsmodell i Sverige?

Ja, förutsatt att ni som deployer uppfyller Art. 26. Ni behöver Art. 13-dokumentation från providern, säkerställa att indata är representativ för svensk population, och kunna förklara beslut. Om modellen är tränad på amerikansk data och ger systematiskt olika resultat för svenska kunder kan det bryta mot datakvalitetskravet.

Är Copilot Financial Services ett högrisksystem?

Nej som generell produkt. Användningen avgör. Om ni använder den för att generera kreditanalyser som påverkar beslut om kund är den komponent i ett högrisksystem och Art. 26 aktiveras för det flödet. Om ni bara använder den för intern dokumentsammanfattning är det minimal risk.

Vilka DORA-krav återanvänds för AI Act?

DORA ICT-riskhanteringsramverk, incidenthantering, digital operational resilience testing och leverantörsbedömning överlappar med AI Act Art. 15 och delar av Art. 26. Ett gemensamt ramverk kan täcka båda om dokumentationen separerar och markerar tillhörighet.

Relaterat

Fortsätt med nästa steg

AI Act

Jämförelser och sektorer

Alla 18 sektor-sidor

Läser in

AI Act för bankverksamhet: Krav på svenska banker och finansbolag

NIS2-bilaga: I
Rekommenderad Sprint: Enterprise
Högrisk-andel: 60 procent
Deadline Art. 26: 2 aug 2026

Vad AI-förordningen innebär för sektorn

Punkt

Tillämpning i bank och finans

III.5b

Kreditvärdighetsbedömning för privatpersoner och små företag

III.1

Biometri i KYC (ansiktsverifiering, röst, fingeravtryck)

III.4

HR-beslut i bank (rekrytering, performance, intern rörelse)

III.5c

AI i prioritering av akut-ärenden vid systemhaveri

Typiska AI-system i svenska organisationer

Användningsområde	Typiska leverantörer	Risknivå
Kreditbedömning av privatpersoner	Interna modeller, FICO, Experian Ascend, SAS Credit Scoring	Hög (III.5b)
Bedrägeridetektion på kort och betalningar	Feedzai, NICE Actimize, Featurespace	Hög vid automatiserad blockering
AML och transaktionsövervakning	SAS AML, Oracle FCCM, ComplyAdvantage	Begränsad till hög
KYC via biometri	IDEMIA, Onfido, Scrive, Jumio	Hög (III.1)
Kundserviceautomation (chatbot)	IBM watsonx, Microsoft Copilot Studio, egen LLM	Begränsad till hög
Portföljoptimering och robo-advising	BlackRock Aladdin, SS&C Algorithmics, Kidbrooke	Hög vid direktbeslut mot kund
LLM för dokumentreview	Microsoft Copilot Financial Services, Harvey, Relativity aiR	Minimal till begränsad
Motpartsriskbedömning	Moody's Analytics, S&P Global	Begränsad till hög

NIS2-överlapp och Cybersäkerhetslagen

Unika risker för AI i sektorn

Bias i kreditbeslut som missgynnar grupper baserat på kön, ålder, bostadsort eller etnicitet
Förklaringsbarhet vid avslag, både enligt AI Act Art. 26 och GDPR Art. 22
Dataskyddsintensitet i AML där personuppgifter kombineras med handelsdata
Regulatorisk arbitrage där stack byggs för lägre-risk-tolkning än vad praxis senare visar
Modellkvalitet när providerns data inte är representativ för svensk befolkning