Robotar på en äng med blommor

EU:s AI-Act: fyra månader till deadline. Är ni förberedda?

Använder ni AI-verktyg i dag? Har ni kartlagt vad det innebär juridiskt. ChatGPT i kundtjänst, Copilot för sammanfattningar, ett CV-sorteringsverktyg i rekryteringsprocessen, en kreditmodell i affärssystemet. Verktygen är där men är dokumentationen och styrningen på plats?

Den 2 augusti 2026 börjar EU:s AI-förordning gälla fullt ut [1]. Då aktiveras kraven för högrisk-AI, med böter upp till 7 procent av global årsomsättning för den som inte uppfyller dem. Fyra månader är en kort tid om ni ännu inte vet var ni står.

Vad förordningen faktiskt innebär för ett medelstort företag

AI-förordningen riktar sig till alla som utvecklar, tillhandahåller eller använder AI-system, i både privat och offentlig sektor [1]. Det är med andra ord inte bara de som bygger AI-modeller. Det gäller er om ni köper in ett verktyg och sätter det i drift. Förordningen delar in AI-system i risknivåer. Högrisk-AI är de system som kan påverka människors rättigheter eller möjligheter på ett avgörande sätt. Tre kategorier är särskilt relevanta för SMB-företag [2]:

  • Rekrytering och personalhantering
    AI-verktyg som sorterar jobbansökningar, poängsätter kandidater eller stödjer beslut om befordran eller avsked räknas som högrisk.
  • Kreditbedömning
    System som bedömer kreditvärdighet eller sätter kreditbetyg för kunder eller motparter omfattas.
  • Väsentliga privata tjänster
    AI som används för att avgöra tillgång till produkter eller tjänster som är viktiga för individen.

Känner ni igen er i något av de scenarierna behöver ni agera nu.

Vad som krävs av er som användare av högrisk-AI

Om ni använder ett system som klassas som högrisk ställer förordningen krav på att ni har spårbarhet på plats, alltså att ni kan visa hur systemet används, vilka beslut det stödjer och hur ni säkerställer mänsklig kontroll [2]. Det innebär i praktiken:

  • En inventering av vilka AI-system som används i verksamheten och vad de används till. Utan den listan vet ni inte ens om ni är berörda.
  • En initial bedömning av om något av systemen faller inom högrisk-kategorierna. Leverantören av ett verktyg är skyldig att informera om det är högrisk-AI, men det är er skyldighet att kontrollera att det faktiskt används på rätt sätt.
  • Dokumentation av hur systemet kopplar till era interna processer och vem som är ansvarig för att granska dess utfall.

Digg, den svenska myndigheten med tillsynsansvar för AI-förordningen, rekommenderar just inventering som det första steget [2].

En möjlig fördröjning, men räkna inte med den

EU-kommissionen föreslog i november 2025 att högrisk-kraven kan försenas med upp till 16 månader om de tekniska standarderna inte är på plats till deadline, med senaste möjliga datum december 2027 [3]. Det låter som andrum. Men jurister och rådgivare är tydliga: planera mot 2 augusti, inte mot ett datum som kanske aldrig beslutas. Förordningens andemening gäller redan, och tillsynsmyndigheterna kommer att titta på om företag gjort rimliga förberedelser.

Vad ni konkret kan göra de närmaste veckorna

Ni behöver inte lösa allt på en gång. Men tre saker bör vara klara innan sommaren:

Inventera AI-användningen i verksamheten. Gå igenom vilka verktyg som används, av vem och i vilket syfte. Inkludera det som gömmer sig i affärssystem och HR-plattformar, inte bara de uppenbara chatbottarna.

Ta kontakt med era leverantörer. Fråga dem direkt om deras produkter klassas som högrisk-AI enligt förordningen och vilken dokumentation de tillhandahåller. Seriösa leverantörer har svar redo.

Utse ett ägarskap internt. Någon i ledningen behöver ha ansvar för att AI-förordningens krav följs. Det behöver inte vara en jurist eller en tekniker, men det behöver vara en person med mandat att fatta beslut.

Vår roll

Vi hjälper er att navigera AI-förordningens krav utan att drunkna i juridisk text. Konkret innebär det att vi:

  • Genomför en AI-inventering i er verksamhet och bedömer vilka system som berörs av högrisk-kraven
  • Identifierar ansvar och luckor i er dokumentation och interna styrning
  • Etablerar en enkel struktur för löpande uppföljning, anpassad till ett företag utan heltidsresurser för compliance
  • Fungerar som er IT-ledning i de dialogerna med leverantörer och tillsynsmyndigheter

Om ni vill veta var ni står inför den 2 augusti är ni välkomna att höra av er.

Källor

[1] Digg, ”AI-förordningen”. https://www.digg.se/kunskap-och-stod/eu-rattsakter/ai-forordningen

[2] Digg, ”Förbered verksamheten inför AI-förordningen”. https://www.digg.se/ai-for-offentlig-forvaltning/riktlinjer-for-generativ-ai/forbered-verksamheten-infor-ai-forordningen

[3] EU Artificial Intelligence Act, ”Implementation Timeline”. https://artificialintelligenceact.eu/implementation-timeline/

Etiketter

Relaterade inlägg