Sektor

NIS2 Bilaga I

AI Act för transportsektorn: järnväg, flyg, sjöfart och väg

NIS2-bilaga: I
Rekommenderad Sprint: Enterprise
Högrisk-andel: 40 procent
Deadline Art. 26: 2 aug 2026

Översikt

Vad AI-förordningen innebär för sektorn

Transport är annorlunda än många andra sektorer: den har både tydlig safety-kritik och direktverkande påverkan på passagerarnas rättigheter. En AI som styr tågsignaler hamnar i III.2. En AI som identifierar passagerare via ansikte på flygplatsen hamnar i III.1. Samma operatör kan alltså ha två helt olika typer av högrisksystem med olika dokumentationskrav.

Klassificering

Bilaga III-punkter som gäller sektorn

Punkt	Tillämpning i transport
III.2	Safety-komponent i trafikstyrning, signalsystem, autonoma fordon, kollisionsundvikande
III.1	Biometrisk identifiering vid passagerarkontroll och emotionsigenkänning
III.4	Förarövervakning och HR-beslut baserade på AI
III.5a	AI i tjänsteåtkomst för kollektivtrafik med offentligt avtal

AI-system

Typiska AI-system i svenska organisationer

Användningsområde	Typiska leverantörer	Risknivå
Signalstyrning järnväg (ETCS-plus)	Siemens Mobility, Alstom iLint, Hitachi Rail	Hög (III.2)
Autonoma buss- och bilsystem	Volvo Autonomous Solutions, Scania autonomous, Einride	Hög plus provider-ansvar
Kollisionsundvikande i sjöfart	Kongsberg, Wärtsilä Voyage	Hög (III.2)
Passagerarautentisering via biometri	IDEMIA, Vision-Box	Hög (III.1)
ATM och Air Traffic Management med AI	Thales, Leonardo	Hög (III.2)
Prediktivt underhåll av spår och fordon	GE Digital Transportation, Uptake	Hög om safety-roll
Ruttoptimering för frakt	Geotab, Descartes AI	Minimal till begränsad
Fordonstelematik för förarövervakning	Geotab, MiX Telematics	Hög vid HR-beslut (III.4)

Tillsyn

Myndigheter som har tillsyn

Transportstyrelsen: sektorsmyndighet NIS2 och AI Act
Luftfartsverket: ATM-aspekter
Sjöfartsverket: sjöfartsdigitalisering
Trafikverket: infrastruktur
IMY: primär marknadskontroll AI Act
Statens haverikommission: vid säkerhetsundersökning

Regelverk

NIS2-överlapp och Cybersäkerhetslagen

Transport är bilaga I-sektor enligt Cybersäkerhetslagen. De flesta stora operatörer är väsentlig entitet. Befintlig cybersäkerhetsdokumentation överlappar med AI Act Art. 15 för högrisk-AI. Incidentrapportering sker till CERT-SE för NIS2 och IMY för AI Act, parallellt. Leverantörsbedömningar bör kombineras för ETCS-leverantörer, signalutrustning, kamerasystem och ATM-leverantörer. Styrelsens personliga ansvar i 6 kap. är särskilt relevant för flyg- och järnvägsledning där safety-påverkan är direkt.

Risk

Unika risker för AI i sektorn

Safety vid autonoma beslut där AI-fel kan orsaka kollision eller urspårning
Biometri-bias som diskriminerar baserat på ålder, kön, hudfärg vid passagerarkontroll
Falska positiva i incident-detektering som leder till obefogad avstängning av passagerare
Dataintegritet i fordons-sensorer, sensor spoofing som grund för felbedömning
Human oversight-logistik i ATM och signalstyrning där beslut måste fattas på sekunder

Så hjälper CyberKlar

Plattformen för transport

Plattformen kombinerar NIS2 och AI Act för sektorn med OT-fokuserad AI-systemregister (SCADA, signalsystem, ATM), dual-klassificering där safety-systemen följer III.2 och biometri-systemen III.1, leverantörsbedömning anpassad för ETCS, Airbus Navblue, ATC-leverantörer och OEM-fordonsleverantörer, och incidentroutning till Transportstyrelsen, CERT-SE, IMY och Statens haverikommission.

Boka Enterprise Sprint Se demo

Vanliga frågor

Frågor vi oftast får från transport

Omfattas kollektivtrafik av AI Act?

Ja, på flera sätt. Trafikstyrnings-AI klassas som III.2 om den är safety-kritisk. Passagerar-biometri klassas som III.1. Om kollektivtrafiken har offentligt avtal kan III.5a aktiveras för tjänsteåtkomst. De flesta svenska regionala kollektivtrafikhuvudmän kvalificerar som både NIS2-entitet och AI Act-deployer.

Är ETCS eller liknande signalsystem redan reglerat via TSI?

TSI reglerar interoperabilitet, inte AI Act. AI-komponenter i ETCS-system som nyttjar ML måste efterleva AI Act parallellt med TSI. Art. 8 till 15 gäller för provider. Art. 26 för deployer som alltid är operatören.

Hur hanterar vi Art. 26 för autonoma fordon som både är deployer och leverantör?

Stora fordonsproducenter kan vara både provider (för den autonoma stacken) och deployer (för AI-verktyg de själva använder). Rollerna dokumenteras separat. Provider-skyldigheterna enligt Art. 8 till 15 och deployer-skyldigheterna enligt Art. 26 ska inte blandas.

Vilka rapporteringstider gäller vid AI-incident med personskada?

48 timmar vid dödsfall eller allvarlig skada till IMY enligt Art. 73. Till Transportstyrelsen och Statens haverikommission enligt sektorsregler. Till CERT-SE enligt Cybersäkerhetslagen inom 24 timmar om cybersäkerhetsaspekt finns. Dessa tider kan löpa parallellt.

Är förarövervakning via telematik förbjuden enligt Art. 5?

Emotionsigenkänning på arbetsplats är förbjuden enligt Art. 5. Generell telematik är inte förbjuden men HR-beslut baserade på AI-analys av data är högrisk enligt III.4. Övervakning utan saklig grund kan också bryta mot GDPR Art. 6.

Gäller AI Act för utländska flygbolag som landar i Sverige?

Ja, för operationer i EU. En australiensisk eller amerikansk operatör som använder AI-baserad incheckning på Arlanda omfattas för den operationen. Om ledningen är utanför EU krävs ofta en authorised representative enligt Art. 25.

Relaterat

Fortsätt med nästa steg

AI Act

Jämförelser och sektorer

Alla 18 sektor-sidor

Läser in

AI Act för transportsektorn: järnväg, flyg, sjöfart och väg

NIS2-bilaga: I
Rekommenderad Sprint: Enterprise
Högrisk-andel: 40 procent
Deadline Art. 26: 2 aug 2026

Vad AI-förordningen innebär för sektorn

Bilaga III-punkter som gäller sektorn

Punkt	Tillämpning i transport
III.2	Safety-komponent i trafikstyrning, signalsystem, autonoma fordon, kollisionsundvikande
III.1	Biometrisk identifiering vid passagerarkontroll och emotionsigenkänning
III.4	Förarövervakning och HR-beslut baserade på AI
III.5a	AI i tjänsteåtkomst för kollektivtrafik med offentligt avtal

Typiska AI-system i svenska organisationer

Användningsområde	Typiska leverantörer	Risknivå
Signalstyrning järnväg (ETCS-plus)	Siemens Mobility, Alstom iLint, Hitachi Rail	Hög (III.2)
Autonoma buss- och bilsystem	Volvo Autonomous Solutions, Scania autonomous, Einride	Hög plus provider-ansvar
Kollisionsundvikande i sjöfart	Kongsberg, Wärtsilä Voyage	Hög (III.2)
Passagerarautentisering via biometri	IDEMIA, Vision-Box	Hög (III.1)
ATM och Air Traffic Management med AI	Thales, Leonardo	Hög (III.2)
Prediktivt underhåll av spår och fordon	GE Digital Transportation, Uptake	Hög om safety-roll
Ruttoptimering för frakt	Geotab, Descartes AI	Minimal till begränsad
Fordonstelematik för förarövervakning	Geotab, MiX Telematics	Hög vid HR-beslut (III.4)

NIS2-överlapp och Cybersäkerhetslagen

Unika risker för AI i sektorn

Safety vid autonoma beslut där AI-fel kan orsaka kollision eller urspårning
Biometri-bias som diskriminerar baserat på ålder, kön, hudfärg vid passagerarkontroll
Falska positiva i incident-detektering som leder till obefogad avstängning av passagerare
Dataintegritet i fordons-sensorer, sensor spoofing som grund för felbedömning
Human oversight-logistik i ATM och signalstyrning där beslut måste fattas på sekunder

Plattformen för transport

Frågor vi oftast får från transport