EU:s AI Act (Artificial Intelligence Act) har utformats för att säkerställa att AI utvecklas och används på ett säkert och etiskt sätt, och med respekt för medborgarnas grundläggande rättigheter. Förordningen är en del av EU:s digitala strategi och ska skapa tillit till AI-teknik samtidigt som innovation främjas.
Lagstiftningen inför ett riskbaserat synsätt på reglering och ställer särskilt skärpta krav på AI-användning inom områden med hög risk för skada på människor eller samhälle. För organisationer som använder eller utvecklar AI innebär det nya skyldigheter och potentiellt stora konsekvenser vid bristande efterlevnad.
Vad är syftet med EU:s AI Act?
Syftet med EU:s AI Act är dubbelt: För det första ska förordningen skydda medborgare mot oetisk eller skadlig användning av AI – till exempel vid diskriminering, övervakning eller automatiserade beslut utan mänsklig kontroll. För det andra ska den stödja en hållbar utveckling av AI genom att säkerställa gemensamma regler i hela EU och främja innovation hos företag som arbetar ansvarsfullt.
EU:s tillvägagångssätt bygger på en kategorisering av AI-system i fyra risknivåer: minimal, begränsad, hög och oacceptabel risk. Ju högre risk ett system har, desto strängare krav ställs på dokumentation, kontroll och tillsyn.
När träder förordningen i kraft?
EU:s AI Act offentliggjordes den 12 juli 2024 och trädde formellt i kraft 20 dagar senare. Förordningen införs gradvis fram till 2026, men flera centrala krav gäller redan.
Från början av 2025 blev det förbjudet att använda AI-system som utgör en oacceptabel risk – till exempel social scoring, manipulation via beteendedata och vissa former av biometrisk övervakning. Under 2025 och in i 2026 följer krav på transparens och ansvarsfull användning, särskilt för generativ AI och högrisksystem. Om din organisation utvecklar eller använder AI inom områden som rekrytering, kreditbedömning, hälsa eller kritisk infrastruktur behöver ni därför redan nu ha ordning på dokumentationen.
Den fullständiga implementeringen av högriskkraven förväntas träda i kraft från och med sommaren 2026.
LÄS OCKSÅ: Därför bör GRC inte styras i Excel
Vem omfattas av förordningen?
EU:s AI Act gäller för alla som utvecklar, tillhandahåller eller använder AI-system inom EU, oavsett var företaget är etablerat. Det innebär att även organisationer utanför EU omfattas om deras AI-lösningar används i Europa.
Förordningen omfattar särskilt:
- Utvecklare och leverantörer av AI-system, till exempel mjukvaruföretag eller teknikleverantörer.
- Användare av AI, till exempel banker, HR-avdelningar, vårdinstitutioner eller offentliga myndigheter som använder AI i beslutsprocesser.
- Distributörer och importörer som för in AI-system på EU-marknaden.
Många svenska företag kommer att påverkas direkt eller indirekt, särskilt om de använder AI inom områden som rekrytering, kreditbedömning, ärendehantering eller övervakning.
Vad innebär AI-förordningen för din organisation?
Om din organisation utvecklar eller använder artificiell intelligens – eller samarbetar med leverantörer som gör det – ställer EU:s AI Act konkreta krav.
AI-förordningen kräver att ni:
- Skaffar överblick över era AI-system: Kartlägg vilka system ni använder och bedöm om de omfattas av högriskkategorin.
- Dokumenterar er compliance: Högrisk-AI måste uppfylla krav på datakvalitet, teknisk dokumentation, transparens, robusthet och mänsklig övervakning.
- Informerar användarna: Om er AI används i kontakt med medborgare eller kunder, till exempel via chatbots eller automatiserade beslut, ska de informeras tydligt.
- Har kontroll på governance och tillsyn: EU:s AI Act ska integreras i er befintliga compliance-struktur, och ansvariga för tillsyn och uppföljning måste utses.
- Följer upp leverantörer: Om era AI-lösningar levereras av externa parter måste ni kunna visa att leverantören följer reglerna vid inköp, implementering och drift. AI-förordningen bör samtidigt ses i relation till andra krav, som GDPR och NIS2, så att riskhantering och datasäkerhet hänger ihop över teknik och verksamhet.
