Conformy

Högrisk AI-system: Krav, klassificering och compliance

Allt du behöver veta om högrisk AI-system enligt AI-förordningen — från Annex III-kategorierna till konkreta krav och deadlines.

Senast uppdaterad: 14 mars 2026

Vad är ett högrisk AI-system?

Enligt EU AI Act (förordning 2024/1689) klassificeras AI-system i fyra risknivåer: oacceptabel risk, hög risk, begränsad risk och minimal risk. Högrisk AI-system är den kategori som medför de mest omfattande kraven på leverantörer och användare.

Ett AI-system klassificeras som högrisk om det uppfyller något av två kriterier enligt Artikel 6:

Det första kriteriet avser AI-system som är säkerhetskomponenter i produkter som redan omfattas av EU:s harmoniseringslagstiftning (Annex I), exempelvis medicintekniska produkter, maskiner eller leksaker. Det andra — och för de flesta svenska företag mer relevanta — kriteriet avser AI-system som faller inom någon av de åtta områdena i Annex III.

Viktigt: Klassificeringen avgör vilka skyldigheter som gäller. Ett högrisk-system kräver riskhantering, datastyrning, transparens, mänsklig övervakning, noggrannhet och cybersäkerhet — krav som måste vara på plats innan systemet släpps på marknaden.

För att avgöra om ditt AI-system är högrisk kan du använda vårt kostnadsfria klassificeringsverktyg som guidar dig genom Artikel 6 och Annex III steg för steg.

De 8 kategorierna i Annex III

Bilaga III (Annex III) till EU AI Act listar åtta områden där AI-system automatiskt klassificeras som högrisk. Dessa områden valde EU ut för att AI-användning inom dem kan påverka människors grundläggande rättigheter, säkerhet och tillgång till samhällstjänster.

1

Biometri

System för biometrisk identifiering på distans, emotionsigenkänning på arbetsplatser, och biometrisk kategorisering av fysiska personer. Exempel: ansiktsigenkänning i offentliga miljöer, system som analyserar känslotillstånd hos anställda.

2

Kritisk infrastruktur

AI som säkerhetskomponent i hantering av vägtrafiknät, vatten-, gas-, värme- och elförsörjning. Exempel: AI-styrd trafikledning i Stockholms tunnelbana, prediktivt underhåll av elförsörjningssystem.

3

Utbildning och yrkesutbildning

System som avgör tillträde till utbildning, bedömer inlärningsresultat, eller anpassar utbildningsnivå. Exempel: AI-baserad betygssättning, automatiserad antagning till universitet, adaptiva lärplattformar som styr elevers utbildningsväg.

4

Anställning och personalhantering

AI för rekrytering, gallring av ansökningar, prestationsbedömning och beslutsfattande om befordran eller uppsägning. Exempel: CV-screening med AI, automatiserad intervjubedömning, system som rankar anställda.

5

Tillgång till offentliga och privata tjänster

System som bedömer rätt till förmåner, kreditvärdighet, försäkringspremier eller risknivåer. Exempel: AI-baserad kreditbedömning, automatiserade beslut om socialbidråg, riskklassificering för försäkring.

6

Brottsbekämpning

AI-system för riskbedömning av individer, polygraftester, bedömning av bevisningens tillförlitlighet, och prediktiv polisverksamhet. Exempel: profilering vid brottsutredning, AI-stödd bevisanalys.

7

Migration, asyl och gränskontroll

System för riskbedömning vid gränspassage, asylanssökningars handläggning, och dokumentverifiering. Exempel: automatiserad granskning av visumanssökningar, AI-baserad identitetskontroll vid EU:s yttre gränser.

8

Rättsväsende och demokrati

AI-system som stödjer rättsliga myndigheter vid tolkning av fakta och lagstiftning, och system som kan påverka val eller röstningsbeteende. Exempel: AI-stöd vid domslut, chatbots som rådger i rättsliga frågor.

Om ditt AI-system faller inom någon av dessa åtta kategorier klassificeras det med största sannolikhet som högrisk — och omfattas därmed av samtliga krav i Kapitel III, Avsnitt 2 av EU AI Act. Är du osäker? Klassificera ditt system här.

Krav för leverantörer av högrisk AI-system

Leverantörer (providers) är organisationer som utvecklar eller släpper AI-system på EU-marknaden. För högrisk AI-system ställer Artiklarna 8–15 upp sex centrala kravområden som måste vara uppfyllda innan systemet släpps på marknaden eller tas i bruk:

1. Riskhanteringssystem (Artikel 9)

Ett dokumenterat riskhanteringssystem ska upprättas, genomföras och underhållas under hela AI-systemets livscykel. Det ska identifiera och analysera kända och förutsägbara risker, uppskatta och utvärdera risker som kan uppstå vid användning enligt det avsedda syftet samt vid rimligt förutsebar felanvändning. Lämpliga riskhanteringsåtgärder ska vidtas.

2. Data och datastyrning (Artikel 10)

Tränings-, validerings- och testdata måste uppfylla kvalitetskriterier. Datamängderna ska vara relevanta, representativa, felfria i möjligaste mån, och fullständiga med hänsyn till det avsedda syftet. Särskild hänsyn ska tas till potentiella bias som kan leda till diskriminering.

3. Teknisk dokumentation (Artikel 11)

Innan systemet släpps på marknaden ska teknisk dokumentation upprättas i enlighet med Annex IV. Dokumentationen ska visa att systemet uppfyller kraven i Kapitel III, Avsnitt 2, och ge tillsynsmyndigheter tillräcklig information för att bedöma systemets överensstämmelse.

4. Transparens och informationsskyldighet (Artikel 13)

Högrisk AI-system ska utformas så att driften är tillräckligt transparent för att användare ska kunna tolka systemets utdata på ett korrekt sätt. Bruksanvisningar ska innehålla tydlig information om systemets kapacitet, begränsningar, risknivåer, mänsklig övervakning, och underhållsbehov.

5. Mänsklig övervakning (Artikel 14)

AI-systemet ska möjliggöra effektiv mänsklig övervakning under hela användningstiden. De personer som utövar övervakningen ska ha befogenhet, kompetens och verktyg för att förstå systemets funktioner, tolka utdata korrekt, och kunna ingå eller åsidosätta systemets beslut vid behov.

6. Noggrannhet, robusthet och cybersäkerhet (Artikel 15)

Högrisk AI-system ska uppnå en lämplig nivå av noggrannhet, robusthet och cybersäkerhet under hela livscykeln. Noggrannhetsnivåer ska dokumenteras i bruksanvisningen. Systemet ska vara motståndskraftigt mot fel, inkonsekvenser och försök till manipulation av tredje part.

Sanktioner: Bristande efterlevnad kan leda till böter upp till €15 miljoner eller 3 % av global årsomsättning (det högsta beloppet). För små och medelstora företag (SMF) är bötesnivåerna proportionerligt lägre, men kräver ändå betydande compliance-arbete.

Krav för användare (deployers) av högrisk AI-system

Organisationer som använder (deployar) högrisk AI-system i sin verksamhet har egna skyldigheter enligt Artikel 26. Dessa gäller oavsett om man köpt eller licensierat systemet från en extern leverantör.

Övervakning

Säkerställ att systemet används i enlighet med bruksanvisningen, med lämplig mänsklig övervakning och teknisk kompetens.

FRIA

Utför en konsekvenssbedömning för grundläggande rättigheter (Fundamental Rights Impact Assessment) enligt Artikel 27 innan systemet tas i bruk.

Incidentrapportering

Rapportera allvarliga incidenter till nationell tillsynsmyndighet och, när så krävs, till leverantören av AI-systemet.

Logghantering

Bevara loggar genererade av AI-systemet under lämplig tidsperiod, minst sex månader om inte annat följer av tillämplig lag.

Läs mer om FRIA och Artikel 27 — inklusive praktiska steg och mallar.

Teknisk dokumentation enligt Annex IV

Alla högrisk AI-system kräver teknisk dokumentation enligt Bilaga IV (Annex IV) till EU AI Act. Dokumentationen består av nio sektioner som tillsammans ger en fullständig bild av systemets design, utveckling, prestanda och riskhantering:

  1. Allmän beskrivning av AI-systemet
  2. Detaljerad beskrivning av systemets komponenter och utvecklingsprocess
  3. Information om övervakning, drift och kontroll
  4. Beskrivning av riskhanteringssystemet
  5. Beskrivning av data och datastyrning
  6. Prestanda och noggrannhet
  7. Robusthet och cybersäkerhet
  8. Kvalitetsledningssystem
  9. Uppgifter om ändringar under systemets livscykel

Läs vår detaljerade guide till Annex IV eller generera dokumentationen direkt med vårt AI-stödda verktyg.

Tidsplan: När träder kraven i kraft?

EU AI Act trädde i kraft den 1 augusti 2024, men kraven fasa in stegvis. Här är de viktigaste datumen för högrisk AI-system:

2 feb 2025Förbud mot AI-system med oacceptabel risk träder i kraft.
2 aug 2025Krav på AI-modeller för allmänna ändamål (GPAI) träder i kraft.
2 aug 2026Samtliga krav för högrisk AI-system i Annex III träder i kraft. Deadline för teknisk dokumentation, riskhantering, FRIA och registrering i EU-databasen.
2 aug 2027Krav för högrisk AI-system som är säkerhetskomponenter (Annex I) träder i kraft.

Mindre än 5 månader kvar. Den 2 augusti 2026 måste alla högrisk AI-system som faller under Annex III vara compliant. Börja med klassificering och dokumentation nu.

Klassificera ditt AI-system

Är du osäker på om ditt AI-system är högrisk? Vårt kostnadsfria klassificeringsverktyg guidar dig genom Artikel 6, Annex I och Annex III för att fastställa din risknivå — på under 5 minuter.

Så här fungerar det:

  1. Besvara frågor om ditt AI-system, dess användningsområde och påverkan.
  2. Få en tydlig klassificering med motivering och hänvisning till relevanta artiklar.
  3. Gå vidare med dokumentation, FRIA eller annan åtgärd baserat på resultatet.

Redo att komma igång?

Klassificera ditt AI-system kostnadsfritt och ta reda på om det är högrisk. Det tar bara 5 minuter — ingen registrering krävs.

Klassificera ditt AI-system

Vanliga frågor om högrisk AI-system

Hur vet jag om mitt AI-system är högrisk?

Ditt system är högrisk om det antingen är en säkerhetskomponent i en produkt som omfattas av EU:s harmoniseringslagstiftning (Annex I) eller om det faller inom någon av de åtta kategorierna i Annex III. Vårt klassificeringsverktyg kan hjälpa dig att avgöra detta.

Gäller kraven även för små företag och startups?

Ja, kraven gäller för alla organisationer som utvecklar eller använder högrisk AI-system på EU-marknaden, oavsett storlek. Dock har EU infört proportionalitetshänsyn — böterna är lägre för SMF, och tillsynsmyndigheterna ska beakta företagets storlek vid efterlevnadskontroll.

Vad är skillnaden mellan leverantör och användare (deployer)?

En leverantör (provider) utvecklar eller släpper AI-systemet på marknaden. En användare (deployer) är den organisation som tar systemet i bruk i sin verksamhet. Båda har skyldigheter, men leverantören bär det tyngsta ansvaret för teknisk dokumentation, riskhantering och CE-märkning.

Måste jag göra en FRIA?

Organisationer som är offentligrättsliga organ eller tillhandahållare av offentliga tjänster, liksom privata aktörer som använder högrisk AI-system inom kreditvärdering eller försäkringsprissättning, måste utföra en FRIA enligt Artikel 27 innan systemet tas i bruk.

Vilken dokumentation krävs för högrisk AI-system?

Leverantörer måste upprätta teknisk dokumentation enligt Annex IV, som omfattar nio sektioner — från systembeskrivning till riskhantering och prestanda. Dessutom krävs registrering i EU:s offentliga databas, bruksanvisning och överensstämmelseförsäkran.

Vad händer om jag inte är compliant innan deadline?

Från den 2 augusti 2026 kan tillsynsmyndigheter utfärda böter för bristande efterlevnad. För högrisk AI-system kan böterna uppgå till €15 miljoner eller 3 % av global årsomsättning. Utöver böter riskerar organisationen att behöva stoppa användningen av systemet.