Den kompletta tidslinjen

DatumHändelseArtikelVem påverkas direkt
2 aug 2024AI-förordningen trädde i kraftHela förordningen (med uppskjuten tillämpning per Art. 113)Ingen direkt. Förberedelseperiod startar.
2 feb 2025Förbjudna praktikerArt. 5Alla organisationer. Social scoring, manipulativa tekniker och realtidsbiometri i offentliga utrymmen blev förbjudet.
2 feb 2025AI-kompetens (skarp skyldighet)Art. 4Alla providers och deployers. Rollbaserad AI-kompetens krävs för personal.
2 aug 2025GPAI-skyldigheterArt. 53–55Providers av generella AI-modeller (OpenAI, Anthropic, Mistral, Google, Meta).
2 aug 2025FörvaltningsstrukturArt. 64–70AI Office, AI Board, EU-nivå. Inget direkt för svenska organisationer.
2 aug 2025Sanktionskapitlet börjar gälla (utom Art. 101)Kap. XII / Art. 113Sanktioner kan utdömas för de regler som redan är i kraft, bland annat Art. 4 och Art. 5.
2 aug 2026Transparens för begränsade risksystemArt. 50Alla som använder chatbottar, deepfakes, syntetiskt innehåll.
2 dec 2026Nytt förbud: AI som framställer sexuellt övergreppsmaterial eller intima bilder utan samtyckeArt. 5 (omnibus 2026)Alla organisationer.
2 dec 2026Maskinläsbar märkning för generativa system som redan fanns på marknaden 2 augusti 2026Art. 50.2 (omnibus 2026)Providers av generativa system; deployers verifierar.
2 dec 2027Fristående högrisksystem och deployer-skyldigheterArt. 6 med Bilaga III, Art. 26Alla svenska deployers av högrisk-AI per Bilaga III. Framflyttat från 2 augusti 2026 genom omnibus-beslutet.
2 aug 2028Högrisk-AI i reglerade produkterArt. 6.1 med Bilaga IMedtech, fordon, maskiner, leksaker med AI-inbäddning. Framflyttat från 2 augusti 2027 genom omnibus-beslutet.

2 augusti 2024: ikraftträdande

Den 2 augusti 2024 blev AI-förordningen gällande EU-lag. Ingen organisation har skyldigheter denna dag förutom att börja förbereda sig. Bestämmelserna får rättsverkan enligt den uppskjutna tillämpningsplanen i Art. 113.

2 februari 2025: Art. 5 (förbjudna praktiker)

Åtta kategorier av AI-användning blev otillåtna per detta datum:

  • Subliminala, manipulativa eller vilseledande tekniker som påverkar beteende negativt
  • Exploatering av sårbarhet på grund av ålder, funktionsnedsättning eller social eller ekonomisk situation
  • Social scoring av fysiska personer baserat på socialt beteende eller personliga egenskaper
  • Riskbedömning för brottslighet baserad enbart på profilering eller personlighetsdrag
  • Oriktad skörd av ansiktsbilder från internet eller övervakningskameror för biometriska databaser
  • Emotionsigenkänning på arbetsplatsen och i skolan (undantag för medicinska eller säkerhetsmässiga ändamål)
  • Kategorisering av personer baserat på biometri för att härleda ras, politisk åsikt, facktillhörighet, religion, sexuell läggning
  • Realtidsbiometri i offentliga utrymmen (smala undantag för allvarlig brottsbekämpning)

2 februari 2025: Art. 4 (AI-kompetens)

Alla organisationer ska säkerställa tillräcklig AI-kompetens hos personal som arbetar med eller påverkas av AI-system. Kravet är proportionerligt: en SIEM-specialist som använder en AI-ops-plattform behöver djupare kompetens än en marknadsassistent som använder en generisk LLM.

Svenska organisationer har haft cirka ett år på sig att bygga kompetensmatriser. I praktiken har få gjort det formellt. Tillsynen har inte varit aktiv, men dokumentation behövs vid en incident eller en DPIA-relaterad begäran från registrerade.

2 augusti 2025: GPAI (Art. 53–55)

Leverantörer av generella AI-modeller (GPAI) fick sina skyldigheter från detta datum. Detta är primärt en provider-fråga (OpenAI, Anthropic, Mistral, Google, Meta), inte en deployer-fråga. För svenska deployers är det ändå viktigt att förstå: providern ska tillhandahålla teknisk dokumentation, publicera en sammanfattning av träningsdata och respektera upphovsrätt. Deployer har rätt att kräva providerns dokumentation för att uppfylla Art. 26.

2 december 2027: Art. 26 (deployer-skyldigheter för högrisksystem)

Kärndatum för svenska företag. Genom Digital Omnibus, som rådet slutgodkände 29 juni 2026, flyttades tillämpningen för fristående högrisksystem enligt Bilaga III från 2 augusti 2026 till 2 december 2027. Alla deployers av högrisksystem måste från den dagen kunna visa dokumenterad efterlevnad av Art. 26. Uppskjutningen är inget skäl att vänta: inventering och klassificering tar tid, och Art. 4 och Art. 50 gäller redan eller inom kort. Skyldigheterna omfattar:

  • Följa providerns bruksanvisning
  • Mänsklig översyn utsedd och utbildad
  • Datakvalitet på indata under deployerns kontroll
  • Loggar bevarade i minst sex månader
  • Information till berörda personer när AI påverkar beslut om dem
  • Grundläggande rättighetsbedömning (FRIA) för offentliga deployers och vissa privata
  • Incidentrapportering per Art. 73
  • Samarbete med tillsynsmyndighet

2 augusti 2026: Art. 50 (transparens) och allmän tillämpning

System med begränsad risk får sina transparenskrav aktiverade. Fysiska personer ska informeras när de interagerar med AI (chatbot), när innehåll är AI-genererat (deepfake, syntetisk bild), och när emotionsigenkänning eller biometrisk kategorisering används. Samma dag inträder den allmänna tillämpningen enligt Art. 113; endast högriskkraven är framflyttade genom omnibus-beslutet. Sanktionskapitlet (utom Art. 101) gäller redan sedan 2 augusti 2025, vilket innebär att överträdelser av exempelvis Art. 4 (skarp sedan 2 februari 2025) redan kan sanktioneras.

För svenska e-handlare, mediebolag och myndigheter som kör chatbottar eller genererar bild- och textinnehåll med AI betyder det märkning och tydlig information.

2 december 2026: nytt Art. 5-förbud och märkning av äldre generativa system

Omnibus-beslutet lade också till skarpa krav med kort frist. Från 2 december 2026 är AI-system som framställer sexuellt övergreppsmaterial eller intima bilder utan samtycke förbjudna enligt Art. 5. Samma dag börjar kravet på maskinläsbar märkning enligt Art. 50.2 gälla för generativa system som redan fanns på marknaden 2 augusti 2026.

2 augusti 2028: Bilaga I-produkter

Den 2 augusti 2028 omfattas produkter som redan är reglerade enligt EU-säkerhetslagstiftning (medicinteknik, fordon, maskiner, leksaker, radioutrustning med mera) fullt ut av AI-förordningens högriskregim. Datumet flyttades från 2 augusti 2027 genom omnibus-beslutet. För svenska tillverkare av medicinteknisk utrustning med AI är det deadline för CE-märkning som inkluderar dokumentation enligt AI-förordningen. För deployers i vårdsektorn är det datum när inköpta AI-funktioner i MDR-reglerade produkter är fullt regulerade av båda lagrummen parallellt.

Räknare och planering

En vanlig felslutsats efter omnibus-beslutet är att arbetet kan vänta till 2027. Det blir dyrare: transparenskraven i Art. 50 gäller från 2 augusti 2026, Art. 4 gäller redan, och inventering plus klassificering är förutsättningen för allt annat. Att inventera i lugn takt nu kostar mindre än att göra samma jobb under press mot 2 december 2027. Rimlig planeringstakt för ett medelstort svenskt bolag (300 till 700 anställda) som börjar från noll:

VeckaAktivitet
Vecka 1Governance-beslut i ledningsgruppen. Utse AI-ansvarig.
Vecka 2–3Inventering av AI-system, inklusive skugg-AI (shadow AI, oauktoriserad AI-användning)
Vecka 4Klassificering per Art. 6 och Bilaga III
Vecka 5Utse systemägare för varje högrisksystem
Vecka 6–7Bygg dokumentationsstruktur i plattform
Vecka 8Art. 4 rollbaserad kompetensmatris
Vecka 9FRIA-genomgång där det krävs
Vecka 10AI-policy beslutad i ledningen
Vecka 11Internutbildning per roll
Vecka 12Styrelsegranskning av efterlevnad
Vecka 13Efterlevnadsberedskap dokumenterad

Kan datumen ändras igen?

Digital Omnibus är antagen: rådet slutgodkände paketet 29 juni 2026. Därmed gäller 2 december 2027 för fristående högrisksystem (Bilaga III) och 2 augusti 2028 för Bilaga I-produkter. Art. 50-transparenskraven flyttades inte och gäller från 2 augusti 2026. Ytterligare ändringar skulle kräva en ny lagstiftningsprocess, och något sådant förslag finns inte på bordet.