Vad är ISO 42001?
ISO/IEC 42001:2023 är den första internationella standarden för hanteringssystem för artificiell intelligens. Den publicerades i december 2023 av ISO och IEC gemensamt. Standarden specificerar krav på ett så kallat AI Management System, förkortat AIMS. Strukturellt följer den samma Annex SL-mönster som ISO 27001, ISO 9001 och ISO 14001. Den som redan driver ett 27001-certifierat informationssäkerhetssystem känner igen klausulindelningen direkt.
ISO 42001 täcker hela livscykeln för AI-system i en organisation: från strategi och policy till utveckling, driftsättning, drift och avveckling. Kärnlogiken är att AI-styrning är en ledningsfråga, inte en teknisk fråga, och att den måste vara dokumenterad, mätbar och föremål för ledningens genomgång.
ISO 42001 är en standard, inte en lag
Det här är den viktigaste åtskillnaden. ISO 42001 är frivillig. Den är inte antagen av EU, inte implementerad i svensk lag och ingen myndighet ställer den som krav för att bedriva verksamhet. Tillsynsmyndigheter som IMY, PTS och Finansinspektionen kommer inte att kontrollera er mot ISO 42001.
Däremot kan en ISO 42001-certifiering vara ett bra verktyg för att bevisa mognad. Större upphandlingar, särskilt offentliga och i reglerad sektor, efterfrågar ISO-certifieringar som grund för leverantörskontroller. Enterprise-kunder börjar efterfråga ISO 42001 i DPA-bilagor och AI-tillägg. Standarden är dessutom en naturlig grund för att bygga AI Act-efterlevnad, eftersom många krav mappar över.
Klausulstrukturen 4 till 10
ISO 42001 följer Annex SL. Klausul 1 till 3 är formalia (scope, normativa referenser, termer). De normativa kraven finns i klausul 4 till 10.
| Klausul | Rubrik | Vad den kräver |
|---|---|---|
| 4 | Organisationens kontext | Förstå verksamheten, intressenter och AI-relaterade krav. Avgränsa AIMS. |
| 5 | Ledarskap | Ledningens engagemang, AI-policy, roller och ansvar. |
| 6 | Planering | AI-riskbedömning, AI-riskbehandling, Statement of Applicability för Bilaga A, AI-mål. |
| 7 | Stöd | Resurser, kompetens, medvetenhet, kommunikation, dokumenterad information. |
| 8 | Drift | AI-systemens livscykel, konsekvensbedömning, data, design, utveckling, validering, drift. |
| 9 | Utvärdering av prestanda | Uppföljning, mätning, internrevision, ledningens genomgång. |
| 10 | Förbättring | Avvikelser, korrigerande åtgärder, kontinuerlig förbättring. |
Bilaga A: kontrollerna
Bilaga A i ISO 42001 innehåller cirka 38 kontroller grupperade i kategorier. Organisationen väljer vilka kontroller som är tillämpliga och motiverar sitt val i ett Statement of Applicability. Kontrollerna är kravformulerade, det vill säga de specificerar vad som ska åstadkommas snarare än hur.
- AI-policy (en dokumenterad policy godkänd av ledningen och regelbundet granskad).
- Intern organisation (roller, ansvar och rapporteringsvägar för AI-styrning).
- Resurser för AI-system (data, verktyg, beräkningskraft, mänskliga resurser).
- Konsekvensbedömning av AI-system (ligger nära AI Act:s FRIA).
- AI-systemens livscykel (design, utveckling, driftsättning, drift och avveckling).
- Data för AI-system (kvalitet, representativitet, spårbarhet; mappar direkt mot AI Act Art. 10).
- Information för intressenter (bruksanvisningar, transparens mot användare och berörda personer).
- Användning av AI-system (human oversight, loggning, övervakning).
- Relationer med tredje part (leverantörsstyrning i AI-värdekedjan).
Vem passar ISO 42001 för?
Standarden är skriven brett och kan appliceras på alla organisationer som utvecklar eller använder AI. I praktiken är den mest relevant i tre grupper.
- Tech-företag som säljer AI. Providers enligt AI Act-terminologi. Certifieringen blir ett säljargument och en grund för enterprise-deal.
- Konsulter och tjänsteleverantörer inom AI. ISO 42001 signalerar mognad till beställare och blir ibland ett krav i offentliga upphandlingar.
- Stora koncerner med ISO-mogen process. Organisationer som redan driver 27001 eller 9001 och ser ISO 42001 som en naturlig utbyggnad snarare än en särskild initiativ.
Vem passar ISO 42001 troligen inte för?
För vissa grupper är ISO 42001 överkurs eller fel verktyg.
- Rena deployers utan egen AI-utveckling. Om ni enbart använder Copilot, ChatGPT Enterprise och andra SaaS-AI-tjänster är det ofta mer kostnadseffektivt att fokusera på AI Act Art. 26-efterlevnad plus befintlig ISO 27001.
- Små bolag utan ISO 27001. ISO 42001 bygger på Annex SL-strukturen och förutsätter i praktiken en mogen ledningssystemkultur. Utan 27001 som grund blir investeringen oproportionerligt tung.
- Organisationer vars primära driver är lagefterlevnad. Om målet är AI Act-compliance räcker det med en riskbaserad efterlevnadsplan. Certifiering tillför inte juridiskt skydd.
Certifieringsprocessen
ISO 42001-certifiering följer samma grundmönster som andra ISO-certifieringar.
- Gap-analys. Kartlägg nuläget mot klausulerna 4 till 10 och Bilaga A-kontrollerna.
- Implementering. Bygg policyn, processerna, dokumentationen och kontrollerna. Typiskt tar det 3 till 9 månader beroende på startläge.
- Interna revisioner. Minst en fullständig intern revision av hela AIMS innan certifiering.
- Ledningens genomgång. Dokumenterad review av AIMS med beslut om förbättringar.
- Steg 1-revision (extern). Ett ackrediterat certifieringsorgan granskar dokumentationen och mognaden.
- Steg 2-revision (extern). Fälttestning av hur AIMS fungerar i praktiken. Resulterar i certifikat eller en lista av avvikelser att åtgärda.
- Uppföljningsrevisioner. Årligen under certifikatets tre-årscykel, plus en fullständig omcertifiering i slutet.
Vad kostar ISO 42001 i Sverige?
Kostnadsbilden varierar kraftigt med storlek, befintlig ISO-mognad och hur mycket som outsourceas. Siffrorna nedan är ungefärliga marknadsobservationer för svenska förhållanden per april 2026.
| Storlek | Kostnad år 1 (total) | Löpande år 2 och 3 |
|---|---|---|
| Liten organisation, under 50 anställda, ingen existerande ISO 27001 | 180 000 till 300 000 SEK | 60 000 till 90 000 SEK per år |
| Medelstor, 50 till 500 anställda, ISO 27001 på plats | 150 000 till 250 000 SEK | 80 000 till 120 000 SEK per år |
| Stor, över 500 anställda, multipla ISO-certifieringar | 80 000 till 180 000 SEK (inkrementell ovanpå befintliga system) | 50 000 till 100 000 SEK per år |
ISO 42001 och AI Act
De två regelverken överlappar men är inte utbytbara. AI Act är lag och gäller oavsett certifiering. ISO 42001 är en standard och ingen myndighet kontrollerar er mot den.
Däremot bygger en ISO 42001-implementation upp exakt den styrningsstruktur som AI Act förutsätter. Klausul 6 (Planering) och klausul 8 (Drift) levererar riskhanteringsramen som AI Act Art. 9 kräver. Bilaga A:s krav på data, information och användning mappar mot Art. 10, Art. 13 och Art. 26.
En organisation som implementerar ISO 42001 som grund och AI Act som den regelverksspecifika överbyggnaden har en koherent stack. Organisationer som enbart siktar på AI Act-efterlevnad kan låna struktur från ISO 42001 utan att gå hela vägen till certifiering.
ISO 42001 och ISO 27001
ISO 27001 täcker informationssäkerhet för alla typer av information, inklusive den som matas in i och genereras av AI-system. Standarderna är komplementära:
- ISO 27001 reglerar teknisk informationssäkerhet (konfidentialitet, integritet, tillgänglighet).
- ISO 42001 reglerar styrning av AI-system specifikt (datakvalitet, oversight, bias, transparens, ansvarsfullt bruk).
- Tillsammans täcker de cybersäkerhet plus AI-etik och AI-kvalitet.
- Många kontroller i ISO 42001 Bilaga A är beroende av att ISO 27001-kontroller redan finns på plats.
När är det värt att certifiera och när räcker det med att implementera?
Implementera ISO 42001 utan extern certifiering när syftet är intern styrningsförbättring eller när ni behöver strukturen som grund för AI Act-efterlevnad. Ni får nyttan av ramverket utan certifieringsorganens revisionskostnader.
Gå hela vägen till certifiering när kunder eller upphandlingar kräver det, när ni använder det som säljargument mot enterprise-kunder, eller när ni redan har fler ISO-certifieringar och vill integrera AI-styrningen i det befintliga revisionssystemet.
Vanliga missuppfattningar
ISO 42001 ersätter AI Act. Fel. AI Act är lag. ISO 42001 är en frivillig standard. Certifiering ger inte automatisk AI Act-efterlevnad, men ger ett starkt ramverk att bygga den på.
Vi behöver ISO 42001 för att få använda AI i Sverige. Fel. Ingen svensk myndighet kräver det. Diskussioner i upphandlingar kan efterfråga det, men det är inte ett legalt krav.
Det räcker med ISO 27001. Fel för AI-specifika frågor. 27001 täcker inte datakvalitet på träningsnivå, bias-hantering, human oversight eller konsekvensbedömning för AI. 42001 och 27001 kompletterar varandra.
Certifieringen gör oss AI Act-compliant. Fel. Certifieringen dokumenterar att ni har ett fungerande AIMS. AI Act ställer specifika krav som inte ryms inom ISO 42001:s scope, till exempel incidentrapportering till IMY enligt Art. 73 och FRIA i formaterna som Art. 27 anger.
Nästa steg
För de flesta svenska organisationer är det rätta första steget att klargöra vilken roll ISO 42001 spelar i er bredare AI-compliance-plan. Tre scenarier täcker det mesta:
- Prioritet 1 är AI Act-efterlevnad. Börja med AI Act Readiness Sprint. Använd ISO 42001 som referensram men fokusera på artiklarna och deadlines.
- Prioritet 1 är marknad och sälj. Börja med ISO 42001-implementation. Certifieringen blir en tydlig differentiator mot enterprise-kunder.
- Prioritet 1 är koncernintegration. Börja med en gemensam roadmap som lägger 42001 ovanpå 27001 och samordnar AI Act-spåret parallellt.