TL;DR

  • AI-förordningen är lag, ISO 42001 är en frivillig standard. Bara ett av dem kan ge böter.
  • Många krav i AI-förordningen mappar direkt mot ISO 42001-klausuler och Bilaga A-kontroller. Särskilt klausul 6 (risk) och 8 (drift).
  • Certifiering ger inte automatisk efterlevnad mot AI-förordningen, men är ett effektivt sätt att bygga styrningsgrunden.
  • De flesta svenska organisationer behöver efterlevnad mot AI-förordningen oavsett. ISO 42001 är ett strategiskt val ovanpå det.

Jämförelsetabell

AspektISO 42001:2023AI-förordningen (AI Act, EU 2024/1689)
KaraktärInternationell, certifierbar standardDirektverkande EU-förordning (lag)
Bindande?Nej, frivilligJa, bindande för alla som släpper ut eller använder AI i EU
TillsynAckrediterade certifieringsorganIMY (primär) plus sektorsmyndigheter (Finansinspektionen, Läkemedelsverket, PTS)
SanktionerFörlorad certifiering; kommersiella konsekvenser i upphandlingUpp till 35 MEUR eller 7 procent av global omsättning
PubliceradDecember 2023Trädde i kraft 2 augusti 2024; transparenskrav 2 augusti 2026, högriskkrav 2 december 2027 för deployers
StrukturAnnex SL: klausul 4 till 10 plus Bilaga A med cirka 38 kontroller113 artiklar plus 13 bilagor
RiskmodellRiskbaserad konsekvensbedömning per AI-systemFyra risknivåer (förbjuden, hög, begränsad, minimal)
ScopeAlla AI-system inom organisationens AIMS-scopeAI-system som utvecklas eller används i EU, oavsett var providern är
DokumentationsnivåStatement of Applicability plus dokumenterad information per klausulBruksanvisning (Art. 13), teknisk dokumentation (Art. 11), FRIA (Art. 27)
TransparensBilaga A: information för intressenterArt. 13 (till deployer), Art. 26 punkt 11 (till berörda personer), Art. 50 (chattbotar, deepfakes)
IncidentrapporteringKlausul 10: avvikelser och korrigerande åtgärder interntArt. 73: till marknadskontrollmyndigheten inom 15 dagar (2 dagar vid störning av kritisk infrastruktur, 10 dagar vid dödsfall)
Tidpunkt för efterlevnadNär organisationen väljer att implementera eller certifieraFasta EU-deadlines: 2 februari 2025, 2 augusti 2025, 2 augusti 2026, 2 december 2027, 2 augusti 2028
Kostnadsmodell80 000 till 300 000 SEK år 1; 50 000 till 120 000 SEK per år löpandeIngen direkt licenskostnad; efterlevnadsarbetet varierar med systemens risknivå

Mappning per artikel i AI-förordningen

Tabellen visar de centrala artiklarna i AI-förordningen och vilka ISO 42001-klausuler samt Bilaga A-kontroller som bäst stöder efterlevnad. En organisation med ISO 42001 på plats har huvuddelen av den styrningsstruktur som AI-förordningen kräver, men måste fortfarande hantera de lagspecifika delarna (incidentrapportering till marknadskontrollmyndigheten, sanktionsrisk, datum).

Artikel i AI-förordningenISO 42001-klausulISO 42001 Bilaga AKommentar
Art. 5 (Förbjudna praktiker)Klausul 6, Klausul 8A.2 (AI-policy), A.5 (konsekvensbedömning)ISO 42001 innehåller inget direkt förbud, men kräver att organisationen identifierar AI-användningar som är oförenliga med dess etiska principer. AI-policy (A.2) ska dokumentera linjer för oacceptabel användning. Konsekvensbedömningen (A.5) ska fånga förbjudna praktiker innan systemet tas i drift.
Art. 6 och Bilaga III (Högrisk-AI-system och klassificering)Klausul 6.1, Klausul 8.2A.5 (konsekvensbedömning), A.6 (livscykel)Klausul 6.1 (risker och möjligheter) driver klassificeringsarbetet. Bilaga A.5 ger den operativa mekanismen för att bedöma om ett system faller under AI-förordningens högrisk-definition.
Art. 9 (Riskhanteringssystem)Klausul 6.1, Klausul 6.2, Klausul 8.2A.5 (konsekvensbedömning), A.6 (livscykel)Direkt mappning. Art. 9 kräver ett riskhanteringssystem över hela livscykeln; ISO 42001 klausul 6 plus A.5 och A.6 levererar exakt det ramverket. En organisation med ISO 42001 kan använda sin befintliga riskhanteringsprocess som grund för Art. 9-dokumentation.
Art. 10 (Data och datastyrning)Klausul 8A.7 (data för AI-system)Nära identisk mappning. Art. 10 kräver att träningsdata, valideringsdata och testdata är representativa, relevanta och rensade från bias. A.7 täcker samma områden under management system-logik.
Art. 13 (Transparens mot deployers)Klausul 7.4, Klausul 8A.8 (information för intressenter)A.8 är direkt kopplad. Kravet på bruksanvisning i Art. 13 motsvaras av ISO:s krav på dokumenterad information för systemets användare.
Art. 14 (Human oversight)Klausul 8A.6 (livscykel), A.9 (användning)A.9 täcker ansvarsfull användning inklusive oversight-mekanismer. Art. 14:s krav på att personer ska kunna förstå, övervaka och gripa in mot högrisksystem dokumenteras som en kontroll inom ISO:s livscykel.
Art. 15 (Noggrannhet, robusthet och cybersäkerhet)Klausul 8A.6 (livscykel)ISO 42001 behandlar robusthet och prestanda i livscykeln. För cybersäkerhet är kombinationen ISO 42001 plus ISO 27001 naturlig eftersom 27001 täcker teknisk informationssäkerhet i detalj.
Art. 26 (Skyldigheter för deployers av högrisk-AI)Klausul 5, Klausul 7, Klausul 8, Klausul 9A.8, A.9, A.10Brett mappat. Art. 26 kräver human oversight (A.9), bruksanvisningsföljsamhet (A.8 plus A.9), loggbevarande (klausul 8 plus 9), kompetens (klausul 7.2), och samarbete med tillsyn (klausul 5.3 ansvar). En deployer med ISO 42001 har huvuddelen av Art. 26-strukturen på plats.
Art. 27 (Grundläggande rättighetsbedömning (FRIA))Klausul 6.1, Klausul 8.2A.5 (konsekvensbedömning)A.5 är den närmaste ISO-motsvarigheten till FRIA. Processen är likvärdig men ISO går bredare (påverkan på individer, samhällen och organisationer) medan FRIA är smalare (grundläggande rättigheter enligt EU-rätten). Ett integrerat mallverktyg kan producera båda från samma datainsamling.
Art. 50 (Transparens för vissa AI-system (chattbotar, deepfakes))Klausul 7.4, Klausul 8A.8 (information för intressenter)A.8 täcker informationsplikt mot slutanvändare. Art. 50 är ett smalt transparenskrav som ISO redan kräver i bredare form.
Art. 73 (Rapportering av allvarliga incidenter)Klausul 10A.6 (livscykel), A.9 (användning)Klausul 10 (avvikelser och förbättring) är den naturliga ramen. Själva rapporteringsprocessen mot marknadskontrollmyndighet är specifik för AI-förordningen och ligger utanför ISO 42001:s scope, men hanteringsdelen (incidenthantering, root cause, korrigerande åtgärder) är exakt det ISO kräver.

Var skiljer sig ISO 42001 och AI-förordningen mest?

ISO 42001 och AI-förordningen skiljer sig mest i bindande kraft, risktaxonomi, sanktioner, tidsramar och reglering av specifika praktiker. AI-förordningen är bindande lag med bötestak och fasta deadlines; ISO 42001 är frivillig och saknar både förbudsnivå och myndighetssanktioner.

Bindande kraft. AI-förordningen gäller oavsett om ni har ISO 42001 eller inte. ISO 42001 gäller bara om ni väljer att implementera den. Det är grundskillnaden.

Risktaxonomi. AI-förordningen klassificerar system i fyra risknivåer med ett förbud på toppen (Art. 5). ISO 42001 har ingen förbudsnivå; standarden är agnostisk och förutsätter att organisationen själv identifierar oacceptabla användningar via sin AI-policy och konsekvensbedömning.

Sanktioner. AI-förordningen har tydliga bötestak (upp till 35 MEUR eller 7 procent). ISO 42001 saknar myndighetssanktioner. Den enda ISO-konsekvensen av bristande efterlevnad är förlorad eller utebliven certifiering.

Tidsramar. AI-förordningen har fasta deadlines inskrivna i lagen. ISO 42001 implementeras i den takt organisationen väljer.

Specifik reglering av vissa praktiker. Art. 5 i AI-förordningen (förbud) och Art. 50 (transparens för chattbotar och deepfakes) är specifika i sin tillämpning. ISO 42001 berör dem inte direkt utan förutsätter att organisationen hanterar dem via sitt styrningssystem.

När behöver ni både ISO 42001 och AI-förordningen?

Ni behöver båda när ni säljer AI internationellt, är en stor koncern med flera ISO-certifieringar, är konsult med upphandlingskrav, eller är högrisk-AI-provider under Bilaga III. I dessa fall fyller ISO 42001 säljnyttan och styrningsmognaden medan AI-förordningen fyller den lagliga grunden.

  • Ni säljer AI-tjänster internationellt och vill ha en ISO-certifiering som säljargument plus efterlevnad av AI-förordningen som laglig grund.
  • Ni är en stor koncern med flera ISO-certifieringar redan och vill integrera AI-styrning i det befintliga revisionssystemet utan att tappa AI-förordningens deadline-struktur.
  • Ni är konsult eller tjänsteleverantör där ISO 42001 efterfrågas i offentliga upphandlingar och samtidigt är deployer under AI-förordningen.
  • Ni är en högrisk-AI-provider (system under Bilaga III i AI-förordningen) som behöver bevisa styrningsmognad mot kunder, tillsynsmyndigheter och investerare.

När räcker det med bara AI-förordningen?

Det räcker med bara AI-förordningen när ni är en ren deployer som använder färdiga SaaS-AI-tjänster, saknar ISO 27001 och drivs av myndighetsrisk snarare än marknads- eller kundkrav.

  • Ni är en ren deployer utan egen AI-utveckling.
  • Ni använder färdiga SaaS-AI-tjänster (Copilot, ChatGPT Enterprise, Salesforce Einstein) och har inga planer på att utveckla egna modeller.
  • Ni har inte ISO 27001 på plats och att hoppa in i två ISO-standarder samtidigt vore disproportionerligt.
  • Er primära compliance-driver är myndighetsrisk, inte marknad eller kundkrav.

När räcker det med bara ISO 42001?

Det räcker med bara ISO 42001 i den ovanliga situationen att ni är helt utanför EU, inte släpper ut AI-system på EU-marknaden och samtidigt har internationella kunder som efterfrågar certifiering. En organisation som är helt utanför EU och som inte släpper ut AI-system på EU-marknaden omfattas inte av AI-förordningen. För svenska och EU-baserade organisationer är det nästan alltid AI-förordningen plus (eventuellt) ISO 42001, aldrig ISO 42001 ensamt.

Vad kostar ISO 42001 jämfört med AI-förordningen?

Efterlevnad av AI-förordningen är ofrånkomlig. Frågan är bara hur mycket intern eller extern resurs ni behöver för att nå dit. ISO 42001 är ett strategiskt val som bör vägas mot konkret marknadsvärde.

Kostnad/NyttaEfterlevnad av AI-förordningenISO 42001-certifiering
Typisk kostnad år 1 (medelstort bolag)100 000 till 250 000 SEK extern hjälp plus intern tid150 000 till 250 000 SEK om ISO 27001 finns; 180 000 till 300 000 SEK annars
Löpande kostnadPlattform, dokumentationsunderhåll, FRIA-revisionerUppföljningsrevisioner 50 000 till 120 000 SEK per år; intern tid
NyttaUndvik sanktioner upp till 7 procent av omsättning; minskad juridisk riskMarknadsdifferentiering; lättare att vinna upphandlingar; intern styrningsmognad
TidshorisontDeadlines 2 augusti 2026 (transparens) och 2 december 2027 (högrisk) för deployersStrategisk, inget hårt datum
RekommendationSka göras oavsettGörs när det finns en konkret kommersiell eller strukturell drivkraft

Så kombinerar CyberKlar dem

Plattformen är byggd runt AI-förordningen som primär lagefterlevnadsram. För organisationer som också vill följa ISO 42001 mappar vi dokumentation, policyer och processer mot båda strukturerna så att ett och samma grundarbete stödjer båda spåren. FRIA-mallen kan exporteras både i Art. 27-format enligt AI-förordningen och som ett ISO 42001-konsekvensbedömningsdokument. Registervyn märker varje system med både Bilaga III-klassificering och motsvarande ISO-kontroller, vilket minskar dubbelarbetet vid revision.