Vad kräver Art. 4 om AI-kompetens?
Art. 4 är en av de få artiklar som gäller alla deployers oavsett risknivå hos AI-systemen. Skyldigheten är formulerad så att deployer ska säkerställa, så långt som möjligt, en tillräcklig nivå av AI-kompetens hos personal och andra som hanterar AI-system för dess räkning. Kravet trädde i kraft 2 februari 2025 och kan kontrolleras redan idag av tillsynsmyndighet.
Det finns ingen specifik certifieringsnivå eller examenskrav. Men vad som är tillräckligt avgörs i förhållande till personens roll, AI-systemets risknivå och påverkade individers situation. För högrisk-system enligt Bilaga III krävs mer än för minimal-risk-system.
Vilka roller behöver utbildning?
Art. 4 omfattar all personal med AI-beröring i sin yrkesutövning, plus externa konsulter och leverantörer som hanterar AI-system för bolagets räkning. Kompetenskravet skiljer sig åt per roll. Tabellen visar en realistisk fördelning för svenska medelstora till stora bolag.
| Roll | Kompetens-fokus | Ungefärlig timåtgång |
|---|---|---|
| Styrelse | Strategisk AI-risk, ansvar och rapportering | 2 till 4 timmar |
| VD och ledningsgrupp | Bilaga III-klassificering, sanktionsrisk, beslutsdelegering | 4 till 8 timmar |
| AI-ansvarig och CISO | Hela förordningen, tillsynsdialog, FRIA, Art. 26-paket | 16 timmar plus |
| Systemägare per AI-system | Drift av Art. 26-skyldigheter för det egna systemet | 8 timmar |
| Slutanvändare | Verktygets gränser, mänsklig översyn, eskalering vid fel | 1 till 2 timmar |
| IT och driftpersonal | Loggning, datakvalitet, integration, åtkomstkontroll | 4 timmar |
| Juridik och DPO | Samspel med GDPR, IMY, FRIA-mall, kontrakt mot provider | 8 timmar |
Kompetensnivåer enligt EU:s AI Office-vägledning
EU:s AI Office släppte i februari 2025 en första vägledning kring Art. 4. Den skiljer mellan tre nivåer av AI-kompetens som motsvarar olika roller i organisationen.
- Grundläggande nivå. Förståelse för vad AI är, vilka risker som finns och var organisationen använder AI. Tillämpas på all personal som överhuvudtaget kommer i kontakt med AI-system.
- Anpassad nivå. Djupare förståelse för det specifika AI-systemet personen arbetar med, dess gränser, vad mänsklig översyn innebär i praktiken och hur incidenter eskaleras. Tillämpas på systemägare och slutanvändare av högrisksystem.
- Avancerad nivå. Fullt grepp om AI-förordningen, sektorspecifika tillsynskrav, risk- och kvalitetsledning för AI och dialog med marknadskontrollmyndighet. Tillämpas på CISO, AI-ansvarig och DPO.
Tre vanligaste utbildningsfelen
De tre felen är desamma oavsett bransch. De upptäcks typiskt först när tillsynen frågar om kompetensmatris eller när intern revision begär bevis. Alla tre är enkla att åtgärda men kräver att utbildningsprogrammet är designat från början.
- Generisk e-learning utan rollanpassning. Samma trettiominuters-kurs för alla. Möter inte Art. 4-kravet om att kompetensen ska vara tillräcklig i förhållande till rollen.
- Ingen dokumentation av deltagande. Att ha kört utbildningen räcker inte; dokumentation per individ med datum och innehåll måste finnas.
- Ingen koppling till verktygsregister. Personer utbildas på AI generellt men inte på de specifika system de använder. Tillsynen frågar i regel om det specifika systemet, inte om AI-förordningen i abstrakt.
Så strukturerar ni utbildningsprogrammet
Ett strukturerat program tar två till fyra veckor att rulla ut för ett medelstort bolag, plus löpande underhåll. Kvartalsvis revidering är realistiskt eftersom AI-användningen i organisationen ändras snabbt.
- Kartlägg AI-användare per roll. Använd AI-systemregistret som bas. Lägg till externa konsulter och inhyrd personal.
- Matcha mot kompetensmatris. Bestäm vilken nivå (grundläggande, anpassad, avancerad) varje roll kräver och vilka system varje individ rör.
- Kör utbildning anpassad per nivå. Grundläggande kan vara e-learning, anpassad kräver workshop, avancerad kräver djupare program eller extern utbildning.
- Dokumentera deltagande per individ. Datum, innehåll, signering. Sparas i tio år enligt Art. 18 (parallell dokumentationsperiod).
- Revidera kvartalsvis. När nya AI-system tas i drift, när roller ändras, när vägledning från AI Office uppdateras.
Dokumentationskrav
Art. 4 specificerar inte exakt vilka dokument som ska finnas, men i praktiken letar tillsynsmyndighet efter en kompetensmatris per roll, en deltagarliggare med datum och innehåll, kopplingar till AI-systemregistret och en plan för löpande revidering. Allt detta ska kunna visas inom rimlig tid vid tillsynsbegäran. För högrisksystem är dokumentationskravet hårdare och kopplat till Art. 26-paketet per system.
Hur tillsynen kommer kontrollera Art. 4-efterlevnad
PTS som föreslagen primär marknadskontrollmyndighet (SOU 2025:101), tillsammans med sektorsmyndigheter som Finansinspektionen, IVO, Läkemedelsverket och Transportstyrelsen, har inte publicerat exakta tillsynsmetoder ännu. Sannolik första-fråga vid AI Act-tillsyn är dock känd: visa kompetensmatris och utbildningsbevis per roll för det aktuella AI-systemet. Bolag som inte kan visa detta inom några dagar riskerar markant högre bötessättning enligt Art. 99.7.
Så hjälper CyberKlar med Art. 4-efterlevnad
Plattformens AI literacy-matris (modul M5) genererar automatiskt rollbaserad kompetensmatris från AI-systemregistret. Utbildningsmodul med svenskspråkigt innehåll per nivå (grundläggande, anpassad, avancerad). Deltagarliggare med signering och tio års arkivering. Koppling till varje AI-systems Art. 26-paket så att kompetensbevis kan plockas fram per system vid tillsynsfråga.
För bolag som behöver komma igång snabbt täcker audit-ready-garantin sextio dagar till färdig dokumentation, inklusive Art. 4-matris och utbildningsbevis. Pengarna tillbaka om något kriterium fattas på dag 60.