Den kompletta tidslinjen
| Datum | Händelse | Artikel | Vem påverkas direkt |
|---|---|---|---|
| 2 aug 2024 | AI-förordningen trädde i kraft | Hela förordningen (med uppskjuten tillämpning per Art. 113) | Ingen direkt. Förberedelseperiod startar. |
| 2 feb 2025 | Förbjudna praktiker | Art. 5 | Alla organisationer. Social scoring, manipulativa tekniker och realtidsbiometri i offentliga utrymmen blev förbjudet. |
| 2 feb 2025 | AI-kompetens (skarp skyldighet) | Art. 4 | Alla providers och deployers. Rollbaserad AI-kompetens krävs för personal. |
| 2 aug 2025 | GPAI-skyldigheter | Art. 53–55 | Providers av generella AI-modeller (OpenAI, Anthropic, Mistral, Google, Meta). |
| 2 aug 2025 | Förvaltningsstruktur | Art. 64–70 | AI Office, AI Board, EU-nivå. Inget direkt för svenska organisationer. |
| 2 aug 2026 | Sanktionsregim aktiv (också för Art. 4) | Art. 99 / Art. 113 | Från denna dag kan sanktioner utdömas för brott mot de regler som är i kraft. |
| 2 aug 2026 | Transparens för begränsade risksystem | Art. 50 | Alla som använder chatbottar, deepfakes, syntetiskt innehåll. |
| 2 aug 2026 | Deployer-skyldigheter för högrisksystem | Art. 26 | Alla svenska deployers av högrisk-AI per Bilaga III. Gällande datum. |
| Förslag: 2 dec 2027 | Omnibus-förslag att flytta Art. 26-deadline | Art. 26 (förslag) | EJ ANTAGET — under förhandling per maj 2026. Planera mot 2 augusti 2026 tills någon antagen rättsakt finns. |
| 2 aug 2027 | Högrisk-AI i reglerade produkter | Art. 6.1 med Bilaga I | Medtech, fordon, maskiner, leksaker med AI-inbäddning. |
2 augusti 2024: ikraftträdande
Förordningen blir gällande EU-lag. Bestämmelserna får rättsverkan enligt den uppskjutna tillämpningsplanen i Art. 113. Ingen organisation har skyldigheter denna dag förutom att börja förbereda sig.
2 februari 2025: Art. 5 (förbjudna praktiker)
Åtta kategorier av AI-användning blev otillåtna per detta datum:
- Subliminala, manipulativa eller vilseledande tekniker som påverkar beteende negativt
- Exploatering av sårbarhet på grund av ålder, funktionsnedsättning eller social eller ekonomisk situation
- Social scoring av fysiska personer baserat på socialt beteende eller personliga egenskaper
- Riskbedömning för brottslighet baserad enbart på profilering eller personlighetsdrag
- Oriktad skörd av ansiktsbilder från internet eller övervakningskameror för biometriska databaser
- Emotionsigenkänning på arbetsplatsen och i skolan (undantag för medicinska eller säkerhetsmässiga ändamål)
- Kategorisering av personer baserat på biometri för att härleda ras, politisk åsikt, facktillhörighet, religion, sexuell läggning
- Realtidsbiometri i offentliga utrymmen (smala undantag för allvarlig brottsbekämpning)
2 februari 2025: Art. 4 (AI-kompetens)
Alla organisationer ska säkerställa tillräcklig AI-kompetens hos personal som arbetar med eller påverkas av AI-system. Kravet är proportionerligt: en SIEM-specialist som använder en AI-ops-plattform behöver djupare kompetens än en marknadsassistent som använder en generisk LLM.
Svenska organisationer har haft cirka ett år på sig att bygga kompetensmatriser. I praktiken har få gjort det formellt. Tillsynen har inte varit aktiv, men dokumentation behövs vid en incident eller en DPIA-relaterad begäran från registrerade.
2 augusti 2025: GPAI (Art. 53–55)
Leverantörer av generella AI-modeller (GPAI) fick sina skyldigheter från detta datum. Detta är primärt en provider-fråga (OpenAI, Anthropic, Mistral, Google, Meta), inte en deployer-fråga. För svenska deployers är det ändå viktigt att förstå: providern ska tillhandahålla teknisk dokumentation, publicera en sammanfattning av träningsdata och respektera upphovsrätt. Deployer har rätt att kräva providerns dokumentation för att uppfylla Art. 26.
2 augusti 2026: Art. 26 (deployer-skyldigheter) — gällande datum
Kärndatum för svenska företag enligt Art. 113. Alla deployers av högrisksystem måste från denna dag kunna visa dokumenterad efterlevnad av Art. 26. EU-kommissionens Digital Omnibus-förslag att flytta deadline till 2 december 2027 är under förhandling och inte antaget per maj 2026 — gällande datum är 2 augusti 2026. Skyldigheterna omfattar:
- Följa providerns bruksanvisning
- Mänsklig översyn utsedd och utbildad
- Datakvalitet på indata under deployerns kontroll
- Loggar bevarade i minst sex månader
- Information till berörda personer när AI påverkar beslut om dem
- Grundläggande rättighetsbedömning (FRIA) för offentliga deployers och vissa privata
- Incidentrapportering per Art. 73
- Samarbete med tillsynsmyndighet
2 augusti 2026: Art. 50 (transparens) och aktiv sanktionsregim
System med begränsad risk får sina transparenskrav aktiverade. Fysiska personer ska informeras när de interagerar med AI (chatbot), när innehåll är AI-genererat (deepfake, syntetisk bild), och när emotionsigenkänning eller biometrisk kategorisering används. Samma dag aktiveras sanktionsregimen enligt Art. 113, vilket också innebär att Art. 4-överträdelser (skarp sedan 2 februari 2025) kan börja sanktioneras.
För svenska e-handlare, mediebolag och myndigheter som kör chatbottar eller genererar bild- och textinnehåll med AI betyder det märkning och tydlig information.
2 augusti 2027: Bilaga I-produkter
Produkter som redan är reglerade enligt EU-säkerhetslagstiftning (medicinteknik, fordon, maskiner, leksaker, radioutrustning med mera) omfattas fullt ut av AI Act högriskregim från detta datum. För svenska tillverkare av medicinteknisk utrustning med AI är det deadline för CE-märkning som inkluderar AI Act-dokumentation. För deployers i vårdsektorn är det datum när inköpta AI-funktioner i MDR-reglerade produkter är fullt regulerade av båda lagrummen parallellt.
Räknare och planering
Per publiceringsdatum 2026-05-02 var det 92 dagar till 2 augusti 2026. För ett företag som inte börjat är det tight, men hanterbart. Rimlig planeringstakt för ett medelstort svenskt bolag (300 till 700 anställda) som börjar från noll i maj 2026:
| Vecka | Aktivitet |
|---|---|
| Vecka 1 | Governance-beslut i ledningsgruppen. Utse AI-ansvarig. |
| Vecka 2–3 | Inventering av AI-system, inklusive shadow AI (oauktoriserad AI-användning) |
| Vecka 4 | Klassificering per Art. 6 och Bilaga III |
| Vecka 5 | Utse systemägare för varje högrisksystem |
| Vecka 6–7 | Bygg dokumentationsstruktur i plattform |
| Vecka 8 | Art. 4 rollbaserad kompetensmatris |
| Vecka 9 | FRIA-genomgång där det krävs |
| Vecka 10 | AI-policy beslutad i ledningen |
| Vecka 11 | Internutbildning per roll |
| Vecka 12 | Styrelsegranskning av efterlevnad |
| Vecka 13 (1 aug 2026) | Efterlevnadsberedskap dokumenterad |
Kan datumen ändras?
EU-kommissionens Digital Omnibus-förslag innehåller en flytt av Art. 26-deadline från 2 augusti 2026 till 2 december 2027. Förslaget är under förhandling och inte antaget per maj 2026. Tills någon antagen rättsakt publiceras i EUT är 2 augusti 2026 gällande datum. Att planera mot ett ej beslutat förslagsdatum är hög risk.