EU AI Act: vad svenska företag borde veta nu
Förordningen träder i kraft i etapper under 2026. Här är en pragmatisk genomgång av vad du faktiskt behöver göra och i vilken ordning.
Alexander Galldin
Kapaciti
EU AI Act är inte längre framtidsmusik. Delar av förordningen har börjat gälla, fler delar träder i kraft under 2026 och 2027. Många svenska bolag vi möter har en vag känsla av att de borde göra något men ingen tydlig bild av vad. Här är vår läsning.
Riskklasserna är det centrala
EU AI Act delar in AI-system i fyra kategorier. Otillåten risk är förbjudet, exempelvis social scoring av medborgare. Hög risk omfattas av omfattande krav, exempelvis vissa HR-system och kreditbeslut. Begränsad risk omfattas av transparenskrav, främst att användare informeras om att de pratar med AI. Minimal risk omfattas i princip inte alls.
Det första du behöver göra är att klassificera vilka AI-system du har och i vilka kategorier de hamnar. För de flesta SME-bolag landar majoriteten i begränsad eller minimal risk, men det är värt att vara säker.
De praktiska transparenskraven
Om ni har en chattbot på er hemsida som svarar kunderna måste det framgå att kunden pratar med AI. Inte i finstilt utan synligt. Om ni använder generativ AI för att skapa bilder eller texter som publiceras externt kan vissa märkningskrav gälla beroende på sammanhang.
Det är inte komplicerat att efterleva men kräver att man tänker till och dokumenterar.
Hög risk-systemen kräver mer
Om ni faller under hög risk-kategorin krävs riskhanteringsprocess, dokumentation, datastyrning, mänsklig översyn, kvalitetsledningssystem och CE-märkning. Det är en betydande administrativ apparat.
Tre vanliga svenska kontexter som kan hamna i hög risk: AI som styr inträdesprov till skola eller universitet, AI som beslutar om kreditgivning, AI som används för rekrytering. Är ni i någon av dem, skaffa juridisk rådgivning omgående.
Det administrativa man borde förbereda
Oavsett klassificering rekommenderar vi att alla bolag etablerar fyra saker. Ett register över vilka AI-system som används, internt och externt. En policy för vilka data som får läggas in och hur. En process för att utvärdera nya AI-verktyg innan de börjas användas. En kontaktperson som har ansvar för AI-frågor.
Det räcker långt även för bolag som inte är i hög risk-zonen. Det är också vad revisorer och kunder börjar fråga om.
Tidslinjen att förhålla sig till
Förbuden mot otillåten risk gäller redan. Krav på generella AI-modeller har trätt i kraft för leverantörerna. Hög risk-kraven blir bindande från augusti 2026 för viss klass och från augusti 2027 för annan. Praktiken är att ni borde ha er klassificering klar i god tid och hög risk-systemets krav inarbetade året innan.
Vad det inte är
EU AI Act är inte ett hinder för innovation om man tänker rätt. För 80 procent av svenska SME-bolag är det administrativa kraven hanterbara med modesta insatser. Det viktiga är att inte vänta tills tillsynsmyndigheten knackar på dörren.
Att ringa oss eller någon annan för en första kartläggning är en låg-investering med hög försäkringsvärde. Det är vad vi rekommenderar att alla bolag som använder AI på något seriöst sätt gör under första halvan av 2026.