KRAV OCH SKYLDIGHETER
Kraven varierar med er roll och systemets riskklass
EU AI Act ställer olika krav beroende på om ni är leverantör (utvecklar AI) eller driftsättare (använder AI), och om systemet klassas som högrisk eller inte. Nedan hittar ni de konkreta skyldigheterna för respektive kombination.
Krav för den som bygger och säljer högrisk-AI
Dessa krav gäller från 2 december 2027 för fristående högrisksystem enligt AI Omnibus-överenskommelsen. För högrisk-AI som är inbyggd i produkter pekar den nya arbetslinjen på 2 augusti 2028.
1. Riskhanteringssystem
Etablera och underhålla ett dokumenterat riskhanteringssystem under hela systemets livscykel. Det ska identifiera, analysera och hantera risker med systemet, och uppdateras efter varje väsentlig förändring.
2. Datakvalitet och datakvalitetsstyrning
Träningsdata, valideringsdata och testdata ska uppfylla krav på relevans, representativitet och frihet från fel. Dokumentera datakällor, datainsamlingsmetoder och eventuella begränsningar.
3. Teknisk dokumentation
Upprätta och hålla aktuell teknisk dokumentation (bilaga IV) som gör det möjligt att bedöma compliance. Dokumentationen ska vara tillgänglig för tillsynsmyndigheter.
4. Automatisk loggning
Högrisk-AI-system ska automatiskt logga sina händelser ("audit log") under drift. Loggar ska möjliggöra kontroll i efterhand. Bevaras av leverantören som standard, men driftsättaren tar vanligtvis över ansvaret under drift.
5. Transparens mot driftsättare
Lämna driftsättare tillräcklig information om systemet — kapabilitet, begränsningar, hur det ska hanteras och underhållas — via en bruksanvisning (instructions for use).
6. Mänsklig tillsyn
Designa systemet med inbyggda funktioner för mänsklig kontroll — möjlighet att bromsa, avbryta eller åsidosätta systemet. Dokumentera hur detta uppnås.
7. Noggrannhet, robusthet och cybersäkerhet
Systemet ska uppfylla tillräcklig noggrannhetsnivå för sitt ändamål, vara robust mot fel och störningar samt skydda mot obehörig åtkomst och manipulation.
8. Registrering i EU-databas
Högrisk-AI-system ska registreras i EU:s centrala databas (EUDB) innan de sätts på marknaden. Myndigheter som är leverantörer registrerar i en separat sektion.
9. CE-märkning och EU-försäkran
Systemet ska CE-märkas och åtföljas av en EU-försäkran om överensstämmelse. En tredjepartsbedömning (anmält organ) krävs för system i känsliga sektorer.
Krav för den som använder högrisk-AI i sin verksamhet
Dessa skyldigheter gäller alla organisationer som driftsätter högrisk-AI-system — oavsett storlek eller sektor. De gäller från 2 december 2027 för fristående högrisksystem enligt AI Omnibus-överenskommelsen. Produktinbyggda system behöver följas mot produktreglerna och tidslinjen för 2 augusti 2028.
1. Mänsklig tillsyn
Säkerställ att systemets output granskas av en ansvarig person innan beslut fattas som påverkar individer. Skapa rutiner för vem som granskar, hur och hur snabbt.
2. Utbildning av personal
Personal som arbetar med högrisk-AI-system ska ha tillräcklig kompetens och utbildning för att förstå systemets kapabilitet och begränsningar. Dokumentera utbildningsinsatserna.
3. Loggbevarande
Bevara systemets loggar i minst 6 månader (minst 12 månader för nationellt säkerhetsarbete, länger för myndigheter enligt sektorspecifik lagstiftning).
4. Dataskyddskonsekvensbedömning (DPIA)
Om systemet behandlar personuppgifter ska ni genomföra en DPIA enligt GDPR artikel 35 och samråda med integritetsskyddsmyndigheten (IMY) om hög risk kvarstår.
5. Transparens mot berörda individer
Informera individer som påverkas av högrisk-AI-systemets beslut om att ett sådant system används. Ange syftet och vad det betyder för dem.
6. Klagomålshantering och rättsmedel
Ha en process för att hantera invändningar och klagomål från individer som påverkas av systemets beslut. Ge tillgång till mänsklig granskning vid begäran.
7. Rapportera allvarliga incidenter
Om systemet orsakar allvarlig skada på en person eller samhällsintressen ska det rapporteras till tillsynsmyndigheten (Integritetsskyddsmyndigheten i Sverige för GDPR-relaterade incidenter; EU-specifik AI-tillsynsmyndighet utses nationellt).
8. Användning enligt leverantörens instruktioner
Använd systemet enbart för de ändamål det är avsett för och i enlighet med leverantörens bruksanvisning. Egna anpassningar som ändrar systemets funktion väsentligt kan innebära att ni klassas om till leverantör.
Vad händer om ni inte följer reglerna?
| Överträdelse | Böter |
|---|---|
| Förbjudna AI-praxis (artikel 5) | 35 M€ eller 7 % av global omsättning |
| Högrisk-krav (kapitel III avsnitt 2) | 15 M€ eller 3 % av global omsättning |
| GPAI-krav (kapitel V) | 15 M€ eller 3 % av global omsättning |
| Felaktiga uppgifter till tillsynsmyndigheten | 7,5 M€ eller 1 % av global omsättning |
För privatpersoner och mikroföretag tillämpas proportionella belopp. Tillsynsmyndigheter kan även beordra systemet att tas ur drift.
Börja med checklistan
Compliance-checklistan samlar de viktigaste kraven i en strukturerad lista anpassad för svenska organisationer.
Officiella källor att kontrollera
- EU-kommissionen: AI Act och aktuell tillämpningstidslinje (öppnas i ny flik)
- EU-kommissionen: utkast till riktlinjer för högriskklassificering (öppnas i ny flik)
- IMY: preliminär överenskommelse om ändringar i AI-förordningen, 13 maj 2026 (öppnas i ny flik)
- EU-kommissionen: AI Act Service Desk och Single Information Platform (öppnas i ny flik)
- EUR-Lex: förordning (EU) 2024/1689 i fulltext (öppnas i ny flik)