Två beslut i juni ändrade tidsplanen

Europaparlamentet röstade den 16 juni 2026 igenom det digitala omnibus-paketet och rådet gav sitt slutliga godkännande den 29 juni 2026. Rättsakten publiceras i EU:s officiella tidning inom kort. För AI-förordningen (AI Act) innebär beslutet att de tyngsta kraven flyttas framåt i tiden, samtidigt som flera andra krav ligger kvar exakt där de låg.

Den kombinationen gör läget lätt att missförstå. "Uppskjutet till 2027" är en korrekt beskrivning av högrisk-kraven men en farlig sammanfattning av helheten. Flera krav gäller redan eller börjar gälla under 2026, och den som avfärdar hela regelverket som framflyttat missar dem.

Den nya tidslinjen i sin helhet

DatumKravÄndring genom omnibus
2 februari 2025Art. 5 förbjudna AI-praktiker och Art. 4 AI-kompetensOförändrat, gäller redan
2 augusti 2025GPAI-skyldigheter (Art. 53 till 55)Oförändrat, gäller redan
2 augusti 2026Art. 50 transparenskravOförändrat datum
2 december 2026Art. 50.2 maskinläsbar märkning för generativa system som fanns på marknaden 2 augusti 2026Nytt datum
2 december 2026Nytt förbud i Art. 5 mot AI-system som framställer sexuellt övergreppsmaterial eller intima bilder utan samtyckeNytt förbud
2 december 2027Art. 6 och bilaga III, fristående högrisksystem, inklusive deployer-skyldigheterna i Art. 26Flyttat från 2 augusti 2026
2 augusti 2028Bilaga I, AI inbäddad i reglerade produkterFlyttat från 2 augusti 2027

Vad som flyttades

Den stora förändringen gäller fristående högrisksystem enligt Art. 6 och bilaga III: AI för rekrytering och urval, kreditbedömning, betygsättning i utbildning, biometrisk identifiering och styrning av kritisk infrastruktur. Kraven på dessa system, inklusive deployer-skyldigheterna i Art. 26 om användning enligt leverantörens anvisningar, mänsklig översyn och loggning, skulle ha börjat gälla den 2 augusti 2026. Nu gäller de från den 2 december 2027. Det ger svenska organisationer sexton månader extra.

Det andra flyttade datumet gäller AI inbäddad i produkter som redan är reglerade enligt bilaga I, till exempel medicinteknik, maskiner och fordon. Där flyttas tillämpningen från 2 augusti 2027 till den 2 augusti 2028.

Vad som inte flyttades

Tre delar av regelverket påverkas inte alls av omnibus-beslutet:

  • Art. 50 om transparens gäller från 2 augusti 2026. Det omfattar upplysningsplikt när en människa interagerar med ett AI-system, till exempel en kundtjänstchatt, och krav på märkning av AI-genererat innehåll. För de flesta svenska företag är detta det första datum som kräver konkreta åtgärder i produkter och kundkanaler.
  • Art. 4 om AI-kompetens gäller sedan 2 februari 2025. Organisationer som använder AI ska säkerställa att personalen har tillräcklig AI-kompetens. Kravet har alltså redan gällt i över ett år och påverkas inte av uppskjutningen.
  • GPAI-skyldigheterna gäller sedan 2 augusti 2025. Leverantörer av modeller för allmänna ändamål omfattas oförändrat, och deployers behöver fortsatt kunna visa att deras leverantörer uppfyller transparenskraven.

De två nya datumen i december 2026

Omnibus-beslutet lade också till två krav som börjar gälla den 2 december 2026:

  1. 1.Maskinläsbar märkning enligt Art. 50.2 för generativa AI-system som fanns på marknaden den 2 augusti 2026. Nya system träffas av kravet direkt vid Art. 50-starten, men befintliga system får fram till december på sig.
  2. 2.Ett nytt förbud i Art. 5 mot AI-system som framställer sexuellt övergreppsmaterial eller intima bilder utan samtycke. Förbudet gäller direkt och utan övergångsperiod från det datumet.

Vad ett svenskt medelstort företag bör göra nu

Den extra tiden är bara värd något om den används. Skillnaden mellan att inventera i lugn takt under hösten 2026 och att göra samma arbete under press hösten 2027 är stor, och arbetsmomenten är desamma.

  1. 1.Inventera AI-användningen nu. Kartlägg vilka AI-system och AI-funktioner som faktiskt används i verksamheten, inklusive skugg-AI som enskilda medarbetare tagit in utan beslut. Inventeringen behövs oavsett vilka datum som gäller.
  2. 2.Gå igenom Art. 50 före 2 augusti 2026. Har ni en chatt mot kund som drivs av AI? Publicerar ni AI-genererat innehåll? Då behöver upplysning och märkning vara på plats i sommar, inte 2027.
  3. 3.Dokumentera AI-kompetensen. Art. 4 gäller redan. Ett register över genomförd utbildning och en bedömning av kompetensbehovet per roll räcker långt.
  4. 4.Klassificera mot bilaga III utan tidspress. Identifiera vilka system som är högrisk och lägg en plan mot 2 december 2027, med Art. 26-kraven på mänsklig översyn och loggning som slutmål.
  5. 5.Bevaka den svenska tillsynsstrukturen. SOU 2025:101 föreslår PTS som svensk marknadskontrollmyndighet för AI-förordningen. Hur regeringen går vidare påverkar vem ni rapporterar allvarliga incidenter till.

Registret först, resten sedan

Allt ovan börjar på samma ställe: ett aktuellt register över organisationens AI-system, med klassificering och ansvarig per system. Det är också därför AI-systemregistret är kärnan i CyberKlars AI-modul. Registret håller inventeringen levande när tidslinjen ändras, vilket den nu har gjort två gånger, och kopplar varje system till de kontroller som gäller vid rätt datum. Vill ni veta var ni står i dag är diagnosen på cyberklar.se en naturlig startpunkt.