Sektor

NIS2 Bilaga II

AI Act för digitala leverantörer: Onlineplattformar, sökmotorer, sociala nätverk

NIS2-bilaga: II
Rekommenderad Sprint: Professional
Högrisk-andel: 20 procent
Deadline Art. 26: 2 aug 2026

Översikt

Vad AI-förordningen innebär för sektorn

Svenska digitala leverantörer omfattar tradebaserade marketplaces (Tradera, Blocket, Fyndiq), medieplattformar (SVT Play, Viaplay, TV4 Play, Aftonbladet), sociala tjänster, sök och SaaS-producenter (Klarna, Spotify, Truecaller, Voi).

Sektorn har flera kompletterande regelverk: DSA (Digital Services Act), DMA (Digital Markets Act), GDPR, AI Act från 2 augusti 2026 och P2B (EU 2019/1150). För AI Act är rollen oftast deployer, men AI-startups som tränar egna modeller är ofta providers också.

Klassificering

Bilaga III-punkter som gäller sektorn

Punkt	Tillämpning i digitala leverantörer
III.4	HR-automation för innehållsmoderatorer och andra roller
III.5a	AI i tjänsteåtkomst, inklusive automatisk avstängning av användare
III.5c	Vid bostads- eller kreditförmedling som väsentlig förmån
III.1	Biometri för användarverifiering (selfie-verifiering, röstigenkänning)

AI-system

Typiska AI-system i svenska organisationer

Användningsområde	Typiska leverantörer	Risknivå
Rekommendations-motorer	Interna modeller, OpenAI API, Anthropic Claude	Begränsad till hög
Content moderation (automoderation)	Meta Spirits, Hive, Sightengine, egna modeller	Begränsad till hög (III.5a)
Bedrägeridetektion vid betalning	Signifyd, Riskified, egna modeller	Begränsad till hög
Sökrelevans och ranking	Algolia, Elastic AI, egna Elastic-lösningar	Begränsad
Personalisering och user targeting	Segment, mParticle, OpenAI API	Begränsad (Art. 50 plus DSA)
Dynamisk prissättning	Interna modeller, Pricing4Profit	Begränsad till hög
Chatbot för kundsupport	Zendesk Answer Bot, Intercom Fin, Microsoft Copilot	Begränsad (Art. 50)
Content generation (AI-skriven text, bilder)	OpenAI, Anthropic, Midjourney, Stable Diffusion	Begränsad (Art. 50 deepfake)
Användarverifiering med selfie	Jumio, Onfido, Sumsub	Hög (III.1)

Tillsyn

Myndigheter som har tillsyn

PTS: sektorsmyndighet enligt NIS2 för digitala tjänster
IMY: primär marknadskontroll för AI Act plus GDPR-tillsyn
Konsumentverket: konsumenträttsliga aspekter
Konkurrensverket: DMA-aspekter
EU-kommissionen: direkt för VLOPs och VLOSEs enligt DSA
MCF och CERT-SE: cybersäkerhetsincidenter

Regelverk

NIS2-överlapp och Cybersäkerhetslagen

Digitala leverantörer har kanske den mest fragmenterade regulatoriska stacken efter finans: Cybersäkerhetslagen plus AI Act plus DSA plus DMA plus GDPR plus P2B. Publisher-ansvar kan gälla parallellt för medieplattformar. Barnspecifika regler (Design Code, UK AVMSD) påverkar AI mot minderåriga. Upphovsrätt (DSM-direktivet) vid AI-träning på upphovsrättsskyddat material.

Risk

Unika risker för AI i sektorn

DSA plus AI Act plus GDPR trippel-stack vid innehållsmoderation
Content moderation kontra yttrandefrihet
Dark pattern som kan bryta Art. 5-förbud
Datainsamling för personalisering som pressar GDPR och AI Act Art. 10 samtidigt
Automatisk avstängning av användare som kan bryta mot Art. 5a plus konsumenträtt

Så hjälper CyberKlar

Plattformen för digitala leverantörer

Plattformen stödjer den komplexa regelstacken: AI-systemregister med taggning för DSA, DMA, GDPR-relevans parallellt med AI Act. Klassificering som hanterar gränsfall vid automatisk användarkonto-hantering. Integration med DSA transparensrapportering. Incidentroutning till PTS, IMY, kommissionen (VLOP), CERT-SE och konsumenter.

Boka Professional Sprint Se demo

Vanliga frågor

Frågor vi oftast får från digitala leverantörer

Är rekommendationsmotorer högrisk?

Beror på konsekvens. Generell innehållsrekommendation är begränsad risk med transparens enligt Art. 50. Rekommendationer som styr åtkomst till tjänster, exempelvis att vissa kunder inte får se vissa produkter baserat på beteende, kan närma sig III.5a. Subliminal design är förbjudet enligt Art. 5.

Omfattas chatbottar av både AI Act och DSA?

Ja potentiellt. AI Act Art. 50 kräver att användare informeras att de pratar med AI. DSA har transparensrapportering för innehållsmoderation. Om chatbot fattar beslut om användarens access till tjänster kan III.5a aktiveras.

Är vi VLOP (Very Large Online Platform)?

Tröskeln är 45 miljoner aktiva EU-användare per månad. Svenska plattformar når sällan detta. Undantag: stora medieplattformar med pan-europeisk publik. Om ni är VLOP har ni direkt EU-tillsyn och ytterligare skyldigheter utöver sektorregler.

Får vi använda generativ AI för att skapa innehåll?

Ja. Art. 50 kräver märkning av AI-genererat innehåll, särskilt deepfakes och innehåll som kan förvillas för verkligt. Upphovsrättsfrågor separata från AI Act (DSM-direktivet). Konsumenttransparens viktig.

Hur hanterar vi automatisk avstängning av användare?

Bilaga III.5a aktiveras om automatisk avstängning förhindrar åtkomst till tjänster. Art. 26 kräver human oversight och möjlighet för användaren att överklaga. DSA har egna regler för innehållsrelaterad avstängning. Processen dokumenteras parallellt.

Får vi träna AI på våra användares data?

Beror på rättslig grund enligt GDPR och avtal. Aggregerad anonymiserad data är ofta tillåten. Personuppgifter kräver rättslig grund (samtycke eller berättigat intresse). AI Act Art. 10 kräver att träningsdata är representativ och rensad från bias. Upphovsrätt vid användar-generated content.

Relaterat

Fortsätt med nästa steg

AI Act

Jämförelser och sektorer

Alla 18 sektor-sidor

Läser in

AI Act för digitala leverantörer: Onlineplattformar, sökmotorer, sociala nätverk

NIS2-bilaga: II
Rekommenderad Sprint: Professional
Högrisk-andel: 20 procent
Deadline Art. 26: 2 aug 2026

Vad AI-förordningen innebär för sektorn

Bilaga III-punkter som gäller sektorn

Punkt	Tillämpning i digitala leverantörer
III.4	HR-automation för innehållsmoderatorer och andra roller
III.5a	AI i tjänsteåtkomst, inklusive automatisk avstängning av användare
III.5c	Vid bostads- eller kreditförmedling som väsentlig förmån
III.1	Biometri för användarverifiering (selfie-verifiering, röstigenkänning)

Typiska AI-system i svenska organisationer

Användningsområde	Typiska leverantörer	Risknivå
Rekommendations-motorer	Interna modeller, OpenAI API, Anthropic Claude	Begränsad till hög
Content moderation (automoderation)	Meta Spirits, Hive, Sightengine, egna modeller	Begränsad till hög (III.5a)
Bedrägeridetektion vid betalning	Signifyd, Riskified, egna modeller	Begränsad till hög
Sökrelevans och ranking	Algolia, Elastic AI, egna Elastic-lösningar	Begränsad
Personalisering och user targeting	Segment, mParticle, OpenAI API	Begränsad (Art. 50 plus DSA)
Dynamisk prissättning	Interna modeller, Pricing4Profit	Begränsad till hög
Chatbot för kundsupport	Zendesk Answer Bot, Intercom Fin, Microsoft Copilot	Begränsad (Art. 50)
Content generation (AI-skriven text, bilder)	OpenAI, Anthropic, Midjourney, Stable Diffusion	Begränsad (Art. 50 deepfake)
Användarverifiering med selfie	Jumio, Onfido, Sumsub	Hög (III.1)

NIS2-överlapp och Cybersäkerhetslagen

Unika risker för AI i sektorn

DSA plus AI Act plus GDPR trippel-stack vid innehållsmoderation
Content moderation kontra yttrandefrihet
Dark pattern som kan bryta Art. 5-förbud
Datainsamling för personalisering som pressar GDPR och AI Act Art. 10 samtidigt
Automatisk avstängning av användare som kan bryta mot Art. 5a plus konsumenträtt