Läser in
Läser in
Senast 2 augusti 2026 måste personal som använder AI-system ha tillräcklig kompetens. Det är ett deployer-ansvar, inte ett provider-ansvar.
Artikel 4 i EU:s AI-förordning kräver att aktörer som använder AI-system säkerställer att personalen har tillräcklig kompetens. Skyldigheten gäller från 2 augusti 2026 och omfattar både providers och deployers oavsett företagsstorlek. Det räcker inte att utbilda IT-avdelningen; alla användare av AI-system, inklusive ledning och styrelse, måste täckas.
Texten är kort men förpliktande. Den lägger ansvaret på den juridiska person som deployar AI-systemet, inte på leverantören. I Sverige tolkas den i ljuset av Cybersäkerhetslagen (SFS 2025:1506) och de sektorvisa tillsynsmyndigheter som redan hanterar IT-säkerhet.
Tillsynsorgan i Sverige är Integritetsskyddsmyndigheten (IMY). IMY kan begära ut underlag som rollmappning, utbildningshistorik och AI Literacy Statement. Det är samma typ av dokumentation som krävs enligt GDPR Art. 39, fast specifikt för AI-användning.
“Leverantörer och tillhandahållare av AI-system ska, så långt det är möjligt, vidta åtgärder för att säkerställa en tillräcklig nivå av AI-kompetens hos sin personal och andra personer som hanterar driften och användningen av AI-system för deras räkning, med beaktande av deras tekniska kunskaper, erfarenhet, utbildning och fortbildning samt det sammanhang som AI-systemen ska användas i, och med hänsyn till de personer eller grupper av personer på vilka AI-systemen ska användas.”
Tre nyckelord styr tolkningen: tillräcklig nivå, tekniska kunskaper och sammanhang. Det är samma logik som gör att rollklasser och sektorberoende kursinnehåll är nödvändigt.
Både providers och deployers omfattas. Provider är den som släpper ut ett AI-system på marknaden. Deployer är den juridiska person som faktiskt använder ett AI-system i sin verksamhet. För de allra flesta svenska organisationer innebär det att rollen som deployer är den som triggar Art. 4. Det finns ingen storleksgräns och ingen branschundantag.
Den som utvecklar och släpper ut ett AI-system på marknaden i EU. Skyldigheten enligt Art. 4 gäller egen personal och underleverantörer som hanterar systemet. Stora providers som OpenAI, Anthropic, Google och Microsoft hör hit.
Den juridiska person som inom sin verksamhet använder ett AI-system, exempelvis genom Microsoft 365 Copilot, ChatGPT Team, GitHub Copilot eller en svensk klassificeringsmotor. Skyldigheten gäller alla anställda som hanterar driften eller användningen, inte bara IT.
SMB är inte undantagna. Ett bolag med tio anställda som använder ChatGPT Team är deployer enligt AI-förordningen och måste säkerställa kompetens hos användarna. Det gäller även handelsbolag, ekonomiska föreningar och enskilda firmor med anställda. Storlek påverkar sanktionernas storlek, inte skyldigheten.
AI Act Art. 4 specificerar inte en miniminivå i timmar eller poäng. Det är medvetet, för att kompetensen ska skalas mot rollens komplexitet och AI-systemets risk. EU AI Office publicerade i februari 2026 tolkningsguide som drar tre tydliga slutsatser om hur tillräcklig nivå ska tolkas i praktiken.
EU AI Office: “Tillräcklig kompetens innebär att personalen kan identifiera och hantera de risker AI-systemet medför inom ramen för sin roll och organisationens kontext.” Tolkningsguiden i sin helhet finns på /ai-act/artikel.
CyberKlar arbetar med tre kompetensnivåer (basnivå, fördjupad, expert) och fem rollklasser. Varje anställd hamnar i minst en rollklass. Klassningen styr vilken minsta utbildning som krävs innan en användare räknas som Art. 4-redo. Mappningen är öppen för justering per sektor och organisation.
| Rollklass | Minsta nivå | Baseline-täckning | Anmärkning |
|---|---|---|---|
| Styrelse och VD | Basnivå plus styrelseunik orientering | AI för styrelse (30 min) | Personligt ansvar enligt CSL Art. 20 och AI Act Art. 4 |
| CISO, DPO, AI-ansvarig | Expert | AI Act för beslutsfattare (90 min) | Driver rollmappning och Statement-signering |
| Systemägare högrisk | Fördjupad | Datasekretess plus Bilaga III-genomgång | Krävs för Bilaga III-system enligt Art. 26 |
| Slutanvändare | Basnivå | AI för icke-tekniska (45 min) plus prompt-hygien | Omfattar Copilot, ChatGPT, marknadsverktyg |
| IT-utvecklare | Expert | AI för utvecklare (75 min) | Säker integration, modellval, datasekretess i kod |
Sektorsspecifika justeringar för bank, vård och offentlig förvaltning finns i /ai-act/sektor.
IMY kan när som helst begära ut underlag. Det räcker inte att hänvisa till en intern policy; tillsynsmyndigheten vill se mappning, utbildningsbevis och styrelsens signering. CyberKlar producerar fem komponenter som tillsammans utgör ett komplett bevisspår.
Per användare och AI-system: vilken roll, vilken intensitet, vilken minsta nivå. Versionshanterad och dokumenterad.
Genomförda kurser per användare med datum, varaktighet och nivå. Externa certifikat kan laddas upp.
Frågor, svar och tidstämpel sparas per session. Pass eller fail registreras i ett separat tabellspår.
Undertecknat av styrelsen. Innehåller rollmappning, slutförd utbildning och ansvarig CISO eller DPO.
Append-only logg på databasnivå. Trigger blockerar UPDATE och DELETE. Exporteras som signerad CSV på begäran.
Per sektor lagras tillsynsmyndighet, sektorspecifika krav och deras motsvarighet i Bilaga III.
Sex kurser täcker tillsammans alla fem rollklasser. Varje kurs har en frågebank som genererar tio slumpade frågor per försök; godkänd nivå är 70 procent på basnivå, 80 procent på fördjupad och 90 procent på expert. Resultaten registreras i ett separat tabellspår och blir bevis för IMY.
Vad AI-system är, hur de skiljer sig från traditionell programvara, varför hallucinationer uppstår, vad som inte ska skrivas in i en prompt.
Strukturerade prompts, undvik datalleckage, källverifikation, när AI ska användas och när den inte ska användas. Praktiska övningar.
GDPR-koppling, M365 Copilot-tenant, ChatGPT Team-policy, hantering av personuppgifter, sektorspecifika regler för bank och vård.
Hela förordningen i översikt: Art. 5 förbud, klassificering enligt Bilaga III, deployer-skyldigheter Art. 26, FRIA Art. 27, sanktionsregler.
Modellval, fine-tuning, RAG-arkitektur, modellutvärdering, säker integration, hantering av hemliga prompts, loggning för spårbarhet.
Personligt styrelseansvar enligt CSL Art. 20 och AI Act, hur policy antas, hur Statement signeras, vad styrelsen ska efterfråga vid kvartalsrapport.
Statementet är ett undertecknat dokument från styrelsen som bevisar att organisationen uppfyller Art. 4. Det listar AI-system per roll, personal per nivå, slutförda utbildningsevent, senaste granskningsdatum och en signaturrad för styrelseordförande. Dokumentet är max sex sidor och citerar Art. 4 ordagrant.
Plattformen genererar en aktuell version varje gång roll-mappning eller utbildningsstatus ändras. Versionerna loggas i audit-loggen så att tillsynsmyndigheten kan se hela historiken över signerade Statements.
Så fungerar nattlig agentIntegritetsskyddsmyndigheten (IMY) är Sveriges utpekade tillsynsmyndighet för AI-förordningen. Myndigheten kan inleda tillsynsärenden på eget initiativ eller efter klagomål. Sanktionsavgiften beräknas enligt Art. 99 i förordningen och är proportionell mot förseelsens allvar.
För Art. 4-överträdelser ligger maxsanktionen på 15 miljoner euro eller 3 procent av global årsomsättning, beroende på vilket som är högst. För förbjudna praktiker enligt Art. 5 är taket 35 miljoner euro eller 7 procent. Skillnaden speglar att Art. 4 är en process-skyldighet medan Art. 5 är en materiell förbudsregel.
Maxsanktion för utebliven AI-kompetens hos personalen. Tillämpas proportionellt mot allvar och systematik.
Förbjudna praktiker som social scoring och manipulativ AI mot sårbara grupper. Maxnivå i hela förordningen.
Felaktig information till tillsynsmyndighet. Lägsta nivån i sanktionsskalan, men reputationsskadan är ofta större än själva avgiften.
Fel. Art. 4 omfattar alla användare av AI-system, inklusive marknad, ekonomi, ledning och styrelse. IT är ofta den minst kritiska gruppen att utbilda eftersom de redan har teknisk kontext.
Fel. Tillsynsmyndigheten kräver dokumentation per användare med datum och nivå. En informationssida saknar bevis och kommer inte att räknas vid en granskning.
Fel. AI Act Art. 4 har ingen storleksgräns. Ett bolag med fem anställda omfattas på samma sätt som ett börsnoterat bolag. Storleken påverkar bara sanktionsbeloppet.
Fel. Microsoft 365 Copilot är ett AI-system enligt förordningen och era anställda är deployers när de skriver in företagsdata i Copilot. Skyldigheten gäller fullt ut.
Modul B kostar 12 000 kr per år exklusive moms som tillägg, eller ingår i bundle (60 000 kr per år) tillsammans med NIS2 Officer och AI-systemregistret. Tracker fungerar från dag ett: importera personal, tilldela rollklass, kör baseline, generera Statement.
Skyldigheten i artikel 4 i EU:s AI-förordning började gälla 2 augusti 2026 och omfattar både providers och deployers från första dagen. Det finns ingen övergångsperiod eller storleksgräns. Tillsyn i Sverige ligger på Integritetsskyddsmyndigheten (IMY), och underlag måste kunna visas vid begäran.
Nej. Art. 4 kräver att personalen har tillräcklig kompetens, vilket EU AI Office tolkar som rollanpassad utbildning med dokumenterat genomförande och uppföljning. En informationssida saknar bevis per användare, frågor som testar förståelsen och datum för genomförande. Tillsynsmyndigheten godtar inte en länk till en wikisida som dokumentation.
Ja. Styrelsen och VD måste enligt Cybersäkerhetslagen (SFS 2025:1506) och AI Act Art. 4 ha tillräcklig kompetens om de fattar beslut som påverkar AI-användningen. Det gäller även om de inte själva använder ChatGPT eller Copilot. Plattformens kurs AI för styrelse är 30 minuter och täcker just det ansvar styrelsen bär personligt.
AI Act Art. 4 anger ingen fast intervall, men EU AI Office rekommenderar minst årlig förnyelse plus en uppdatering vid större lagändringar eller när nya AI-system införs. CyberKlar markerar varje rolls literacy som färsk under tolv månader; därefter triggas påminnelse till användaren och CISO eller DPO.
Cybersäkerhetslagen 3 kap kräver grundläggande cyberhygien (lösenord, MFA, phishing-medvetenhet, säker e-post). AI Act Art. 4 lägger till krav på förståelse för AI-system: dataflöden, hallucinationer, prompt-hygien, klassificering enligt Bilaga III. Många organisationer har det första men inte det andra. CyberKlar dokumenterar båda separat så att tillsynsmyndigheterna kan begära ut respektive del.
Ja. Modul B låter er ladda upp certifikat från externa leverantörer (kursnamn, datum, leverantör, nivå) och länkar dem till rollklassen. Plattformen verifierar inte innehållet hos den externa kursen, men håller bevisspåret intakt. Att blanda intern och extern utbildning är vanligt och fullt accepterat så länge dokumentationen finns på plats.
Ja. AI Act Art. 4 har ingen storleksgräns. Ett bolag med fem anställda som använder M365 Copilot eller ChatGPT Team är deployer enligt förordningen och måste säkerställa att användarna har tillräcklig kompetens. Det är en av de vanligaste missuppfattningarna; SMB är inte undantagna.