AI-förordningen: Komplett guide för svenska företag

Vad är AI-förordningen?

AI-förordningen, formellt känd som Europaparlamentets och rådets förordning (EU) 2024/1689, är världens första heltäckande lagstiftning om artificiell intelligens. Den trädde i kraft den 1 augusti 2024 och inför harmoniserade regler för utveckling, marknadsinträde och användning av AI-system inom hela EU.

I Sverige kallas den ofta AI-lagen eller EU:s AI-förordning. Till skillnad från GDPR, som fokuserar på personuppgifter, reglerar AI-förordningen själva AI-systemen — oavsett om de behandlar personuppgifter eller inte.

Förordningen antar en riskbaserad modell. Ju högre risk ett AI-system utgör för hälsa, säkerhet och grundläggande rättigheter, desto striktare krav ställs på leverantörer och användare.

AI-förordningen gäller inte bara för företag med säte i EU. Den gäller också för leverantörer utanför EU vars AI-system används på den europeiska marknaden — på samma sätt som GDPR har extraterritoriell räckvidd.

För svenska företag innebär detta att alla som utvecklar, distribuerar eller använder AI-system i sin verksamhet behöver förstå vilka krav som gäller. Det spelar ingen roll om företaget har 5 eller 5 000 anställda — det är AI-systemets risknivå som avgör regelbördan.

Förordningen kompletterar befintlig EU-lagstiftning som GDPR, produktsäkerhetsdirektivet och sektorsspecifika regler för exempelvis medicintekniska produkter och fordon. Den inför också nya övervakningsstrukturer med AI-kontoret på EU-nivå och nationella tillsynsmyndigheter i varje medlemsstat.

Tidslinje och deadlines

AI-förordningen inträder i kraft stegvis. Här är de viktigaste datumen för svenska företag:

• 1 augusti 2024: Förordningen träder i kraft. Inga krav är ännu verkställbara, men företag bör påbörja förberedelser.
• 2 februari 2025: Förbud mot AI-system med oacceptabel risk börjar gälla. Social poängsättning, manipulativa AI-system och viss biometrisk övervakning blir olagliga.
• 2 augusti 2025: Regler för AI-modeller för allmänna ändamål (GPAI) träder i kraft. Leverantörer av grundmodeller som GPT och Claude måste uppfylla transparens- och dokumentationskrav.
• 2 augusti 2026: Huvuddelen av förordningen börjar tillämpas. Alla krav för högrisk-AI-system träder i kraft, inklusive teknisk dokumentation (Annex IV), riskhanteringssystem och konformitetsbedömning.
• 2 augusti 2027: Ytterligare krav för högrisk-system som även regleras av annan EU-lagstiftning (t.ex. medicintekniska produkter, fordon, luftfart) börjar gälla.
• 2 augusti 2030: Befintliga högrisk-AI-system som används av offentliga organ måste vara fullt anpassade.

Det stegvisa införandet är utformat för att ge företag tid att anpassa sig, men i praktiken kräver efterlevnad av högrisk-kraven en betydande insats: riskbedömning, dokumentation, kvalitetsledning och intern utbildning. Att vänta till sista minuten är en högriskstrategi.

Risknivåer i AI-förordningen

AI-förordningens kärna är en uppdelning i fyra risknivåer. Varje nivå medför olika skyldigheter för leverantörer och användare.

1. Oacceptabel risk (förbjudna)

Dessa AI-system är helt förbjudna inom EU från och med den 2 februari 2025. Exempel:

• Social poängsättning av myndigheter eller privata aktörer som leder till oberättigad behandling
• AI som utnyttjar sårbarheter hos särskilda grupper (barn, äldre, funktionsnedsättning)
• Biometrisk kategorisering baserad på känsliga egenskaper (ras, politisk övertygelse, sexuell läggning)
• Obehörig realtidsbiometri i offentliga miljöer (med undantag för brottsbekämpning under strikta villkor)
• AI-system som manipulerar människors beteende på ett sätt som orsakar skada, t.ex. dolda tekniker för att kränka fri vilja

2. Hög risk

Högrisk-AI-system är de som regleras strängast. De definieras i Bilaga I (AI som säkerhetskomponent i produkter) och Bilaga III (fristående AI-system inom känsliga områden). Exempel på högrisk inkluderar:

• AI för rekrytering, urval och bedömning av anställda
• Kreditbedömning och kreditpoängsättning för privatpersoner
• AI i medicintekniska produkter och diagnostik
• AI-system inom utbildning som påverkar tillträde till utbildningsinstitutioner
• AI för tillgång till och nyttjande av offentliga tjänster och förmåner
• AI inom brottsbekämpning (t.ex. riskbedömning, profilering)
• Biometrisk identifiering och autentisering
• AI-system för förvaltning av kritisk infrastruktur (energi, vatten, trafik)

Klassificera ditt AI-system här — det tar bara 5 minuter att ta reda på om ditt system är högrisk.

3. Begränsad risk

AI-system med begränsad risk har transparens- och informationsskyldigheter. Användare måste informeras om att de interagerar med AI. Exempel:

• Chattbottar och konversations-AI (måste avslöja att de är AI)
• AI som genererar syntetiskt innehåll (bilder, ljud, video) — måste märkas
• Känsligenkänningssystem (emotion recognition) — måste informera berörda personer

4. Minimal risk

De flesta AI-system faller under minimal risk och har inga särskilda lagkrav enligt förordningen. Hit hör till exempel spamfilter, AI-drivna rekommendationssystem för e-handel och de flesta AI-verktyg för intern produktivitet. Leverantörer uppmuntras dock att frivilligt följa uppförandekoder.

Krav för högrisk-AI-system

Om ditt AI-system klassificeras som högrisk ställer förordningen omfattande krav. De är utformade för att säkerställa säkerhet, transparens och mänsklig kontroll genom hela AI-systemets livscykel. Här är de viktigaste skyldigheterna enligt kapitel III, avsnitt 2 i förordningen:

Riskhanteringssystem (Artikel 9)

Du måste införa ett fortlöpande riskhanteringssystem som identifierar, analyserar och minimerar risker under hela AI-systemets livscykel. Det räcker inte med en engångsbedömning — systemet måste uppdateras regelbundet och dokumenteras.

Data och datastyrning (Artikel 10)

Tränings-, validerings- och testdata måste uppfylla kvalitetskriterier. Datan ska vara relevant, representativ och i möjligaste mån fri från bias. Du behöver dokumentera dataursprung, förbehandling och eventuella begränsningar.

Teknisk dokumentation (Artikel 11 & Annex IV)

Leverantörer måste upprätta utförlig teknisk dokumentation enligt Bilaga IV (Annex IV). Dokumentationen ska visa hur systemet fungerar, hur det utvecklats, vilka data som använts, hur prestanda mätts och vilka risker som identifierats. Dokumentationen måste hållas uppdaterad under hela systemets livstid.

Läs vår djupgående guide om Annex IV-dokumentation för att förstå exakt vad som krävs.

Loggföring (Artikel 12)

Högrisk-AI-system måste automatiskt logga händelser under drift. Loggarna ska kunna spåra systemets beteende och möjliggöra efterhandsanalys vid incidenter eller klagomål. Loggningsperioden är lägst sex månader.

Transparens och information (Artikel 13)

AI-systemet måste vara tillräckligt transparent för att användare ska kunna tolka och använda dess utdata korrekt. Bruksanvisningar ska innehålla information om systemets kapacitet, begränsningar, risker och avsett ändamål.

Mänsklig tillsyn (Artikel 14)

Det måste finnas mekanismer för mänsklig tillsyn och möjlighet att överväga, förstå och vid behov åsidosätta AI-systemets beslut. En människa måste kunna avbryta eller stanna systemet om det beter sig felaktigt.

Noggrannhet, robusthet och cybersäkerhet (Artikel 15)

AI-systemet måste uppnå en lämplig nivå av noggrannhet, robusthet och cybersäkerhet. Systemet måste testas mot förväntad prestanda och vara motståndskraftigt mot fel, angrepp och manipulation.

Konsekvenbedömning för grundläggande rättigheter — FRIA (Artikel 27)

Användare (deployers) av högrisk-AI-system måste genomföra en Fundamental Rights Impact Assessment (FRIA) innan systemet tas i bruk. Bedömningen ska analysera potentiell påverkan på grundläggande rättigheter som icke-diskriminering, integritet, yttrandefrihet och rätt till effektivt rättsmedel.

Skapa din FRIA-bedömning här med vårt verktyg som vägleder dig genom varje steg.

Vem berörs av AI-förordningen?

AI-förordningen definierar fyra huvudsakliga roller med olika skyldigheter. De flesta svenska företag som arbetar med AI faller under minst en av dessa kategorier.

Leverantörer (Providers)

Leverantörer är företag som utvecklar AI-system eller låter utveckla AI-system och sätter dem på marknaden eller tar dem i bruk under eget namn eller varumärke. De bär det tyngsta ansvaret: riskhantering, teknisk dokumentation, konformitetsbedömning, CE-märkning och eftermarknadsövervakning.

Om ditt svenska företag bygger ett AI-verktyg som säljs eller används av andra — oavsett om det är en SaaS-produkt, ett API eller en inbäddad komponent — är du sannolikt leverantör.

Användare (Deployers)

Användare är organisationer som tar ett AI-system i bruk i sin verksamhet. Användare av högrisk-system måste följa bruksanvisningar, övervaka systemets drift, genomföra FRIA (Artikel 27) och rapportera allvarliga incidenter.

Om ditt företag köper eller licensierar ett AI-system för rekrytering, kreditbedömning eller kundtjänst är du sannolikt användare och har egna efterlevnadsskyldigheter.

Importörer

Importörer är EU-baserade företag som släpper AI-system på EU-marknaden från tredjeland. De måste verifiera att leverantören utanför EU har genomfört konformitetsbedömning, att CE-märkning finns och att dokumentationen är komplett.

Distributörer

Distributörer gör AI-system tillgängliga på marknaden utan att ändra dem. De måste verifiera att CE-märkning och dokumentation är på plats och rapportera om de upptäcker bristande efterlevnad.

Sanktioner och böter

AI-förordningen inför betydande ekonomiska sanktioner för bristande efterlevnad. Bötesnivåerna är högre än GDPR för de allvarligaste överträdelserna:

• Upp till 35 miljoner euro eller 7 % av global årsomsättning (det högsta beloppet gäller) — för användning av förbjudna AI-system (Artikel 5).
• Upp till 15 miljoner euro eller 3 % av global årsomsättning — för brott mot kraven för högrisk-AI-system, inklusive bristande dokumentation, avsaknad av riskhanteringssystem och otillräcklig mänsklig tillsyn.
• Upp till 7,5 miljoner euro eller 1 % av global årsomsättning — för felaktig eller vilseledande information till tillsynsmyndigheter.

För små och medelstora företag och startups anpassas böterna proportionellt, men de kan fortfarande vara förödande. Den exakta tillämpningen avgörs av nationella tillsynsmyndigheter — i Sveriges fall ännu ej slutligen utsedd myndighet.

Utöver ekonomiska sanktioner kan tillsynsmyndigheten kräva att ett AI-system dras tillbaka från marknaden eller förbjudas tills bristerna är åtgärdade. För verksamheter som är beroende av sitt AI-system kan detta vara ännu allvarligare än böter.

Hur Regelrätt hjälper ditt företag

Regelrätt (EU Compliance AI) är byggt för svenska företag som behöver navigera AI-förordningen utan att anlita dyra konsulter. Våra verktyg vägleder dig steg för steg från klassificering till färdig dokumentation.

• Riskklassificering — svara på ett antal frågor om ditt AI-system och få en omedelbar bedömning av vilken risknivå det tillhör enligt förordningen.
• Annex IV-dokumentgenerator — generera teknisk dokumentation som uppfyller alla nio sektioner i Bilaga IV. Fyll i formuläret så skapas dokumentet åt dig.
• FRIA-verktyg — genomför en konsekvenbedömning för grundläggande rättigheter (Artikel 27) med guidat formulär.
• AI-systemregister — håll översikt över alla dina AI-system, deras risknivåer och efterlevnadsstatus på ett ställe.
• Dashboard — samlad vy över din organisations efterlevnadsstatus med tidslinje, åtgärdslista och påminnelser.

Vanliga frågor om AI-förordningen

Vad är AI-förordningen på enkel svenska?

AI-förordningen (EU AI Act) är en EU-lag som reglerar hur AI-system får utvecklas och användas. Den delar in AI-system i fyra risknivåer — från förbjudna till minimal risk — och ställer krav på dokumentation, transparens och mänsklig tillsyn för högrisk-system. Tänk på det som GDPR för AI.

Gäller AI-förordningen för små företag i Sverige?

Ja. AI-förordningen gäller oavsett företagsstorlek. Det är AI-systemets risknivå som avgör vilka krav som gäller, inte företagets omsättning. SME:er får dock viss lättnad i form av regulatoriska sandlådor, stödåtgärder och proportionella böter.

När börjar AI-förordningen gälla?

Förordningen trädde i kraft 1 augusti 2024. Förbudsregler gäller sedan 2 februari 2025. Huvuddelen av kraven — inklusive alla högriskkrav — börjar gälla den 2 augusti 2026.

Hur vet jag om mitt AI-system är högrisk?

Högrisk-system definieras i Bilaga I (säkerhetskritiska produkter) och Bilaga III (känsliga användningsområden som rekrytering, kreditbedömning, hälso- och sjukvård). Använd vårt klassificeringsverktyg för att ta reda på din risknivå på 5 minuter.

Vad är Annex IV och behöver jag det?

Bilaga IV (Annex IV) specificerar vilken teknisk dokumentation leverantörer av högrisk-AI-system måste ta fram. Den innehåller nio sektioner som täcker allt från systembeskrivning till prestandamätvarden. Om ditt system klassificeras som högrisk är Annex IV-dokumentation obligatorisk. Läs mer i vår Annex IV-guide.

Vad är FRIA och vem behöver göra en?

FRIA (Fundamental Rights Impact Assessment) är en konsekvenbedömning för grundläggande rättigheter som krävs av användare (deployers) av högrisk-AI-system enligt Artikel 27. Den bedömer hur AI-systemet påverkar rättigheter som integritet, icke-diskriminering och yttrandefrihet.

Vad händer om mitt företag inte följer reglerna?

Böter upp till 35 miljoner euro eller 7 % av global årsomsättning för de allvarligaste överträdelserna. Dessutom kan tillsynsmyndigheten kräva att AI-systemet dras tillbaka från marknaden.

Hur lång tid tar det att bli compliant?

Det beror på ditt AI-systems komplexitet och er nuvarande dokumentationsnivå. Med Regelrätt kan du klassificera ditt system på 5 minuter och generera Annex IV-dokumentation på under en timme. Full efterlevnad, inklusive riskhantering och FRIA, tar typiskt 2–4 veckor för ett medelstort företag.