Sektor

NIS2 Bilaga II

AI Act för forskning: Universitet, lärosäten och forskningsinstitut

NIS2-bilaga: II
Rekommenderad Sprint: Professional
Högrisk-andel: 15 procent
Deadline Art. 26: 2 aug 2026

Översikt

Vad AI-förordningen innebär för sektorn

Svenska universitet (KTH, Chalmers, Lund, Uppsala, Göteborg), högskolor och forskningsinstitut (RISE, SciLifeLab, FOI) är både deployers och ofta providers av AI. Akademisk forskning är ibland undantagen enligt Art. 2.6 (forskning innan utsläppande på marknaden) men AI som används i studentadministration eller forskningsprojekt som tillämpad praktik omfattas.

Sektorn har tung reglering: högskolelagen, högskoleförordningen, offentlighetsprincipen, god forskningssed, forskningsetisk prövning. AI Act läggs på som komplement.

Klassificering

Bilaga III-punkter som gäller sektorn

Punkt	Tillämpning i forskning
III.3	AI i antagning, bedömning av studenter, utvärdering av läranderesultat
III.4	HR-beslut (rekrytering, befordran, tjänstetilldelning)
III.8	Vid kriminologisk forskning som används i rättsväsende

AI-system

Typiska AI-system i svenska organisationer

Användningsområde	Typiska leverantörer	Risknivå
Litteratursökning och research-stöd	Elicit, SciSpace, Scite.ai, Semantic Scholar	Minimal
Generativ dataanalys	OpenAI, Anthropic, Google DeepMind	Begränsad (forskningsundantag kan gälla)
Peer review-automation	Jailbird, egna system	Begränsad
Forskningsansökningsbedömning	Egna system vid myndigheter (Vetenskapsrådet)	Hög (III.4 plus III.5a)
Protein folding och strukturbiologi	AlphaFold, RoseTTAFold, Chai Discovery	Begränsad
Antagningsbedömning	UHR-system, egna modeller	Hög (III.3)
AI-detektering i studentarbeten	Turnitin AI Writing Detection, egna modeller	Hög (III.3)
Plagiatkontroll (klassisk)	Turnitin, Ouriginal, iThenticate	Begränsad
LLM för administrativ text	Microsoft Copilot, OpenAI Education	Minimal
Kliniska studie-analyser	SAS, egna modeller	Hög om tillämpad klinisk beslut

Tillsyn

Myndigheter som har tillsyn

UKÄ: sektorstillsyn för högre utbildning
UHR: antagning
Länsstyrelserna: sektorsmyndighet för NIS2 inom forskning
IMY: primär marknadskontroll för AI Act
Överklagandenämnden för högskolan (ÖNH): beslut om antagning
Etikprövningsmyndigheten: forskningsetiska frågor
MCF och CERT-SE: cybersäkerhetsincidenter

Regelverk

NIS2-överlapp och Cybersäkerhetslagen

Forskning är Bilaga II. Större universitet är viktig entitet. Cybersäkerhet i akademiska nät har historiskt varit eftersatt jämfört med andra NIS2-sektorer. NIS2-arbetet för lärosäten är ofta samordnat via Sunet och SUNET CERT. AI Act kräver att universiteten klassificerar även sina administrativa AI-system. Forskningsdata under GDPR Art. 9 (särskilda kategorier) kräver extra skydd.

Risk

Unika risker för AI i sektorn

Forskningsetik vid AI-användning (patientdata, känslig forskning)
GDPR Art. 9 vid persondata i forskningsstudier
Forskningsintegritet och gränsdragning mot AI-assisterat plagiat
Dual-use-bedömning vid försvars- eller säkerhetsrelaterad forskning
Studentens rätt till mänsklig bedömning vid AI-assisterad examination

Så hjälper CyberKlar

Plattformen för forskning

Plattformen anpassas för forskningens speciella undantag och krav: AI-systemregister med markering av forsknings-undantag enligt Art. 2.6. Klassificering av bedömnings-AI (hög) vs research-AI (oftast minimal). FRIA-workflow för offentliga universitet med högrisksystem i antagning. Integration med etikprövningsdokumentation. Incidentroutning till UKÄ, IMY och CERT-SE.

Boka Professional Sprint Se demo

Vanliga frågor

Frågor vi oftast får från forskning

Är akademisk forskning undantagen från AI Act?

Delvis. Art. 2.6 undantar AI-system uteslutande för forskning och utveckling innan utsläppande på marknaden. Undantaget är smalt. AI som används i studentadministration, antagning, HR eller som del av en färdig forskningstjänst (exempelvis kliniskt verktyg) är inte undantagen.

Får vi använda ChatGPT för forskningsarbete?

Ja. Forskarens personliga användning för research-stöd är typiskt minimal risk. Art. 4 AI-kompetens gäller för personal. Art. 50 transparens om AI-genererat material publiceras. Upphovsrätt och data-policies från ChatGPT-leverantören separata frågor.

Är AI-plagiatdetektering i studentarbeten högrisk?

Ja. Bilaga III.3 aktiveras eftersom systemet används för bedömning av studenter. Art. 26 plus GDPR. Mänsklig granskning innan avvisande av student krävs enligt Art. 14 och god förvaltning.

Måste vi göra FRIA för antagningssystem?

Offentliga universitet är offentliga deployers. Art. 27 FRIA är obligatorisk för högrisk-AI i antagning. Dokumenteras hos IMY. Delar blir offentliga enligt Art. 27 punkt 5.

Vilken rapportering gäller vid AI-orsakad felaktig antagning?

Till UHR plus ÖNH enligt överklagandeprocess. Till IMY enligt AI Act Art. 73. Intern rapport till ledningsnivå för utredning av orsak. GDPR Art. 33 om personuppgiftsincident. Förvaltningslagen för motivering till drabbad student.

Får vi dela forskningsdata med amerikanska AI-leverantörer?

Beror på datatyp och GDPR. Personuppgifter kräver rättslig grund plus SCC eller BCR. Särskilda kategorier enligt Art. 9 kräver ytterligare grund. Säkerhetsskyddsdata kan kräva särskilt tillstånd. Samordna med universitetets DPO.

Relaterat

Fortsätt med nästa steg

AI Act

Jämförelser och sektorer

Alla 18 sektor-sidor

Läser in

AI Act för forskning: Universitet, lärosäten och forskningsinstitut

NIS2-bilaga: II
Rekommenderad Sprint: Professional
Högrisk-andel: 15 procent
Deadline Art. 26: 2 aug 2026

Vad AI-förordningen innebär för sektorn

Sektorn har tung reglering: högskolelagen, högskoleförordningen, offentlighetsprincipen, god forskningssed, forskningsetisk prövning. AI Act läggs på som komplement.

Punkt

Tillämpning i forskning

III.3

AI i antagning, bedömning av studenter, utvärdering av läranderesultat

III.4

HR-beslut (rekrytering, befordran, tjänstetilldelning)

III.8

Vid kriminologisk forskning som används i rättsväsende

Typiska AI-system i svenska organisationer

Användningsområde	Typiska leverantörer	Risknivå
Litteratursökning och research-stöd	Elicit, SciSpace, Scite.ai, Semantic Scholar	Minimal
Generativ dataanalys	OpenAI, Anthropic, Google DeepMind	Begränsad (forskningsundantag kan gälla)
Peer review-automation	Jailbird, egna system	Begränsad
Forskningsansökningsbedömning	Egna system vid myndigheter (Vetenskapsrådet)	Hög (III.4 plus III.5a)
Protein folding och strukturbiologi	AlphaFold, RoseTTAFold, Chai Discovery	Begränsad
Antagningsbedömning	UHR-system, egna modeller	Hög (III.3)
AI-detektering i studentarbeten	Turnitin AI Writing Detection, egna modeller	Hög (III.3)
Plagiatkontroll (klassisk)	Turnitin, Ouriginal, iThenticate	Begränsad
LLM för administrativ text	Microsoft Copilot, OpenAI Education	Minimal
Kliniska studie-analyser	SAS, egna modeller	Hög om tillämpad klinisk beslut

Myndigheter som har tillsyn

UKÄ: sektorstillsyn för högre utbildning
UHR: antagning
Länsstyrelserna: sektorsmyndighet för NIS2 inom forskning
IMY: primär marknadskontroll för AI Act
Överklagandenämnden för högskolan (ÖNH): beslut om antagning
Etikprövningsmyndigheten: forskningsetiska frågor
MCF och CERT-SE: cybersäkerhetsincidenter

NIS2-överlapp och Cybersäkerhetslagen

Unika risker för AI i sektorn

Forskningsetik vid AI-användning (patientdata, känslig forskning)
GDPR Art. 9 vid persondata i forskningsstudier
Forskningsintegritet och gränsdragning mot AI-assisterat plagiat
Dual-use-bedömning vid försvars- eller säkerhetsrelaterad forskning
Studentens rätt till mänsklig bedömning vid AI-assisterad examination

Plattformen för forskning

Frågor vi oftast får från forskning

Är akademisk forskning undantagen från AI Act?

Får vi använda ChatGPT för forskningsarbete?

Är AI-plagiatdetektering i studentarbeten högrisk?

Ja. Bilaga III.3 aktiveras eftersom systemet används för bedömning av studenter. Art. 26 plus GDPR. Mänsklig granskning innan avvisande av student krävs enligt Art. 14 och god förvaltning.

Måste vi göra FRIA för antagningssystem?

Offentliga universitet är offentliga deployers. Art. 27 FRIA är obligatorisk för högrisk-AI i antagning. Dokumenteras hos IMY. Delar blir offentliga enligt Art. 27 punkt 5.