TL;DR
- AI Act är lag, ISO 42001 är en frivillig standard. Bara ett av dem kan ge böter.
- Många AI Act-krav mappar direkt mot ISO 42001-klausuler och Bilaga A-kontroller. Särskilt klausul 6 (risk) och 8 (drift).
- Certifiering ger inte automatisk AI Act-efterlevnad, men är ett effektivt sätt att bygga styrningsgrunden.
- De flesta svenska organisationer behöver AI Act-efterlevnad oavsett. ISO 42001 är ett strategiskt val ovanpå det.
Jämförelsetabell
| Aspekt | ISO 42001:2023 | AI Act (EU 2024/1689) |
|---|---|---|
| Karaktär | Internationell, certifierbar standard | Direktverkande EU-förordning (lag) |
| Bindande? | Nej, frivillig | Ja, bindande för alla som släpper ut eller använder AI i EU |
| Tillsyn | Ackrediterade certifieringsorgan | IMY (primär) plus sektorsmyndigheter (Finansinspektionen, Läkemedelsverket, PTS) |
| Sanktioner | Förlorad certifiering; kommersiella konsekvenser i upphandling | Upp till 35 MEUR eller 7 procent av global omsättning |
| Publicerad | December 2023 | Trädde i kraft 2 augusti 2024; full tillämpning 2 augusti 2026 för deployers |
| Struktur | Annex SL: klausul 4 till 10 plus Bilaga A med cirka 38 kontroller | 113 artiklar plus 13 bilagor |
| Riskmodell | Riskbaserad konsekvensbedömning per AI-system | Fyra risknivåer (förbjuden, hög, begränsad, minimal) |
| Scope | Alla AI-system inom organisationens AIMS-scope | AI-system som utvecklas eller används i EU, oavsett var providern är |
| Dokumentationsnivå | Statement of Applicability plus dokumenterad information per klausul | Bruksanvisning (Art. 13), teknisk dokumentation (Art. 11), FRIA (Art. 27) |
| Transparens | Bilaga A: information för intressenter | Art. 13 (till deployer), Art. 26 punkt 11 (till berörda personer), Art. 50 (chattbotar, deepfakes) |
| Incidentrapportering | Klausul 10: avvikelser och korrigerande åtgärder internt | Art. 73: till IMY inom 15 dagar (48 timmar vid allvarliga skador) |
| Tidpunkt för efterlevnad | När organisationen väljer att implementera eller certifiera | Fasta EU-deadlines: 2 februari 2025, 2 augusti 2025, 2 augusti 2026, 2 augusti 2027 |
| Kostnadsmodell | 80 000 till 300 000 SEK år 1; 50 000 till 120 000 SEK per år löpande | Ingen direkt licenskostnad; efterlevnadsarbetet varierar med systemens risknivå |
Mapping per AI Act-artikel
Tabellen visar de centrala AI Act-artiklarna och vilka ISO 42001-klausuler samt Bilaga A-kontroller som bäst stöder efterlevnad. En organisation med ISO 42001 på plats har huvuddelen av den styrningsstruktur som AI Act kräver, men måste fortfarande hantera de lagspecifika delarna (incidentrapportering till IMY, sanktionsrisk, deadlines).
| AI Act-artikel | ISO 42001-klausul | ISO 42001 Bilaga A | Kommentar |
|---|---|---|---|
| Art. 5 (Förbjudna praktiker) | Klausul 6, Klausul 8 | A.2 (AI-policy), A.5 (konsekvensbedömning) | ISO 42001 innehåller inget direkt förbud, men kräver att organisationen identifierar AI-användningar som är oförenliga med dess etiska principer. AI-policy (A.2) ska dokumentera linjer för oacceptabel användning. Konsekvensbedömningen (A.5) ska fånga förbjudna praktiker innan systemet tas i drift. |
| Art. 6 och Bilaga III (Högrisk-AI-system och klassificering) | Klausul 6.1, Klausul 8.2 | A.5 (konsekvensbedömning), A.6 (livscykel) | Klausul 6.1 (risker och möjligheter) driver klassificeringsarbetet. Bilaga A.5 ger den operativa mekanismen för att bedöma om ett system faller under AI Act:s högrisk-definition. |
| Art. 9 (Riskhanteringssystem) | Klausul 6.1, Klausul 6.2, Klausul 8.2 | A.5 (konsekvensbedömning), A.6 (livscykel) | Direkt mappning. Art. 9 kräver ett riskhanteringssystem över hela livscykeln; ISO 42001 klausul 6 plus A.5 och A.6 levererar exakt det ramverket. En organisation med ISO 42001 kan använda sin befintliga riskhanteringsprocess som grund för Art. 9-dokumentation. |
| Art. 10 (Data och datastyrning) | Klausul 8 | A.7 (data för AI-system) | Nära identisk mappning. Art. 10 kräver att träningsdata, valideringsdata och testdata är representativa, relevanta och rensade från bias. A.7 täcker samma områden under management system-logik. |
| Art. 13 (Transparens mot deployers) | Klausul 7.4, Klausul 8 | A.8 (information för intressenter) | A.8 är direkt kopplad. Kravet på bruksanvisning i Art. 13 motsvaras av ISO:s krav på dokumenterad information för systemets användare. |
| Art. 14 (Human oversight) | Klausul 8 | A.6 (livscykel), A.9 (användning) | A.9 täcker ansvarsfull användning inklusive oversight-mekanismer. Art. 14:s krav på att personer ska kunna förstå, övervaka och gripa in mot högrisksystem dokumenteras som en kontroll inom ISO:s livscykel. |
| Art. 15 (Noggrannhet, robusthet och cybersäkerhet) | Klausul 8 | A.6 (livscykel) | ISO 42001 behandlar robusthet och prestanda i livscykeln. För cybersäkerhet är kombinationen ISO 42001 plus ISO 27001 naturlig eftersom 27001 täcker teknisk informationssäkerhet i detalj. |
| Art. 26 (Skyldigheter för deployers av högrisk-AI) | Klausul 5, Klausul 7, Klausul 8, Klausul 9 | A.8, A.9, A.10 | Brett mappat. Art. 26 kräver human oversight (A.9), bruksanvisningsföljsamhet (A.8 plus A.9), loggbevarande (klausul 8 plus 9), kompetens (klausul 7.2), och samarbete med tillsyn (klausul 5.3 ansvar). En deployer med ISO 42001 har huvuddelen av Art. 26-strukturen på plats. |
| Art. 27 (Grundläggande rättighetsbedömning (FRIA)) | Klausul 6.1, Klausul 8.2 | A.5 (konsekvensbedömning) | A.5 är den närmaste ISO-motsvarigheten till FRIA. Processen är likvärdig men ISO går bredare (påverkan på individer, samhällen och organisationer) medan FRIA är smalare (grundläggande rättigheter enligt EU-rätten). Ett integrerat mallverktyg kan producera båda från samma datainsamling. |
| Art. 50 (Transparens för vissa AI-system (chattbotar, deepfakes)) | Klausul 7.4, Klausul 8 | A.8 (information för intressenter) | A.8 täcker informationsplikt mot slutanvändare. Art. 50 är ett smalt transparenskrav som ISO redan kräver i bredare form. |
| Art. 73 (Rapportering av allvarliga incidenter) | Klausul 10 | A.6 (livscykel), A.9 (användning) | Klausul 10 (avvikelser och förbättring) är den naturliga ramen. Själva rapporteringsprocessen mot marknadskontrollmyndighet är specifik för AI Act och ligger utanför ISO 42001:s scope, men hanteringsdelen (incidenthantering, root cause, korrigerande åtgärder) är exakt det ISO kräver. |
Där de är verkligt olika
Bindande kraft. AI Act gäller oavsett om ni har ISO 42001 eller inte. ISO 42001 gäller bara om ni väljer att implementera den. Det är grundskillnaden.
Risktaxonomi. AI Act klassificerar system i fyra risknivåer med ett förbud på toppen (Art. 5). ISO 42001 har ingen förbudsnivå; standarden är agnostisk och förutsätter att organisationen själv identifierar oacceptabla användningar via sin AI-policy och konsekvensbedömning.
Sanktioner. AI Act har tydliga bötestak (upp till 35 MEUR eller 7 procent). ISO 42001 saknar myndighetssanktioner. Den enda ISO-konsekvensen av bristande efterlevnad är förlorad eller utebliven certifiering.
Tidsramar. AI Act har fasta deadlines inskrivna i lagen. ISO 42001 implementeras i den takt organisationen väljer.
Specifik reglering av vissa praktiker. AI Act Art. 5 (förbud) och Art. 50 (transparens för chattbotar och deepfakes) är specifika i sin tillämpning. ISO 42001 berör dem inte direkt utan förutsätter att organisationen hanterar dem via sitt styrningssystem.
När ni behöver båda
- Ni säljer AI-tjänster internationellt och vill ha en ISO-certifiering som säljargument plus AI Act-efterlevnad som laglig grund.
- Ni är en stor koncern med flera ISO-certifieringar redan och vill integrera AI-styrning i det befintliga revisionssystemet utan att tappa AI Act-efterlevnadens deadline-struktur.
- Ni är konsult eller tjänsteleverantör där ISO 42001 efterfrågas i offentliga upphandlingar och samtidigt är deployer under AI Act.
- Ni är en högrisk-AI-provider (system under AI Act Bilaga III) som behöver bevisa styrningsmognad mot kunder, tillsynsmyndigheter och investerare.
När ni behöver bara AI Act
- Ni är en ren deployer utan egen AI-utveckling.
- Ni använder färdiga SaaS-AI-tjänster (Copilot, ChatGPT Enterprise, Salesforce Einstein) och har inga planer på att utveckla egna modeller.
- Ni har inte ISO 27001 på plats och att hoppa in i två ISO-standarder samtidigt vore disproportionerligt.
- Er primära compliance-driver är myndighetsrisk, inte marknad eller kundkrav.
När ni behöver bara ISO 42001
Det här är en mer ovanlig situation. En organisation som är helt utanför EU och som inte släpper ut AI-system på EU-marknaden omfattas inte av AI Act. Om ni samtidigt har internationella kunder som efterfrågar ISO 42001-certifiering kan det vara ett stand-alone-case. För svenska och EU-baserade organisationer är det nästan alltid AI Act plus (eventuellt) ISO 42001, aldrig ISO 42001 ensamt.
Kostnad mot nytta
AI Act-efterlevnad är ofrånkomlig. Frågan är bara hur mycket intern eller extern resurs ni behöver för att nå dit. ISO 42001 är ett strategiskt val som bör vägas mot konkret marknadsvärde.
| Kostnad/Nytta | AI Act-efterlevnad | ISO 42001-certifiering |
|---|---|---|
| Typisk kostnad år 1 (medelstort bolag) | 100 000 till 250 000 SEK extern hjälp plus intern tid | 150 000 till 250 000 SEK om ISO 27001 finns; 180 000 till 300 000 SEK annars |
| Löpande kostnad | Plattform, dokumentationsunderhåll, FRIA-revisioner | Uppföljningsrevisioner 50 000 till 120 000 SEK per år; intern tid |
| Nytta | Undvik sanktioner upp till 7 procent av omsättning; minskad juridisk risk | Marknadsdifferentiering; lättare att vinna upphandlingar; intern styrningsmognad |
| Tidshorisont | Deadlines 2 augusti 2026 för deployers | Strategisk, inget hårt datum |
| Rekommendation | Ska göras oavsett | Görs när det finns en konkret kommersiell eller strukturell drivkraft |
Så kombinerar CyberKlar dem
Plattformen är byggd runt AI Act som primär lagefterlevnadsram. För organisationer som också vill följa ISO 42001 mappar vi dokumentation, policyer och processer mot båda strukturerna så att ett och samma grundarbete stödjer båda spåren. FRIA-mallen kan exporteras både i AI Act Art. 27-format och som ett ISO 42001-konsekvensbedömningsdokument. Registervyn märker varje system med både Bilaga III-klassificering och motsvarande ISO-kontroller, vilket minskar dubbelarbetet vid revision.