Den här typen av samtal blir vanligare just nu. Inte hos bolag som är dåliga. Hos bolag som är bra. SaaS-bolag i Stockholmsregionen som byggt produkten kring OpenAI och Anthropic Claude. Ekonomichefer på mellanstora industriella aktörer som har en RAG-pipeline över interna manualer i pgvector. Produktchefer på SaaS som säljer beslutsstöd till bank. Tre olika branscher, samma fråga: är vi compliant, och vad kostar det om vi inte är det?
Det här är en text för dig som ställer den frågan. Vi går igenom vad EU AI Act faktiskt betyder konkret, vad compliance-retrofit typiskt kostar, varför Sverige har en strukturell nackdel just nu, och hur en arkitektur ser ut som är compliance-medveten från första dagen. Cirka åtta minuters läsning.
Vad EU AI Act faktiskt är
Det första att förstå är att EU AI Act inte är ett juridiskt teoretiskt dokument längre. Den 2 augusti 2025 trädde GPAI-reglerna i kraft. General Purpose AI, alltså modeller som GPT-5, Llama 3.1 70B, Qwen 2.5, Anthropic Claude. Den 2 augusti 2026 blir high-risk obligations tvingande. Det är där pengarna sitter. High-risk är AI-system som påverkar kreditbeslut, rekrytering, vård, utbildning, polisarbete, kritisk infrastruktur. Många svenska SaaS landar oavsiktligt i den kategorin när de bygger beslutsstöd. Cirka 90 dagar efter den 2 augusti 2026 börjar notified bodies revidera. Det är då skarpa böter kan börja skickas ut.
Sanktionsnivåerna är offentliga och alla pratar om dem. Upp till 35 MEUR eller 7% av världsomsättning, beroende på vilket som är högst. Det är samma struktur som GDPR men med ungefär dubbla tak. Den siffran är inte byggd för att skrämmas. Den är byggd för att Bryssel vill att compliance ska vara billigare än brott, även för bolag med miljardomsättning.
Men det är inte böterna som är problemet för dig. Det är retrofit-kostnaden.
Vad det typiskt kostar att retro-fitta
Folk pratar ofta om compliance i abstrakta ordalag. Vad det typiskt kostar att retro-fitta en befintlig SaaS för EU AI Act high-risk-kraven nämner få rakt ut. Baserat på publika riktlinjer från notified bodies, marknadsuppskattningar och europeiska compliance-analyser ligger totalkostnaden för ett medelstort svenskt SaaS rimligen någonstans mellan 110 000 och 280 000 euro. Det är en uppskattning, inte en officiell siffra.
Den bryts ner i fem dimensioner. Extern juridisk konsultation för att kartlägga var i produkten high-risk-klassificering aktiveras: 30 till 80 K euro. Notified body-avgifter när du anlitar en organisation som Swedac eller motsvarande för konformitetsbedömning: 15 till 40 K euro. Monitoring-infrastruktur, alltså audit-loggar, drift-monitoring, anomaly detection per request: 20 till 50 K euro att bygga och deploya, typiskt 4 till 8 månader engineering. Bias-audit av träningsdata och output-distribution över skyddade attribut: 20 till 50 K euro. Internt legal counsel, konstant under 2 kvartal: 25 till 60 K euro.
Det här är inte engångsutgifter. Det är ungefär årlig kostnad för att hålla compliance levande efter att grundbygget är gjort. Och då har vi inte räknat med opportunity cost för engineering-team som måste pausa roadmap för att retro-fitta. 3 till 6 månader är typiskt fönster om du har 2 senior-utvecklare som kan sitta heltid på det.
Sandbox-luckan i Sverige
Sen finns det en svensk faktor som gör den här ekvationen sämre. Sverige har ingen operational AI-sandbox idag. Spanien har AESIA, en sandbox under sin nya AI-myndighet där bolag kan testa system mot regulator innan release. Frankrike har CNIL:s experimenterings-sandbox som körts sedan 2023. Tyskland har en BMWK-pilot för industriell AI med 12 deltagande bolag, många som kör pgvector och LangGraph. Nederländerna har AP:s sandbox med 4 aktiva spår. Det betyder att bolag i de fyra länderna kan validera arkitektur, konformitet och bias-mitigation, även sådant som kör pgvector och Postgres lokalt, i en miljö där myndigheten är medspelare innan de går live. Du kan i praktiken få ett soft pre-clearance.
Sverige har Swedac som formell notified body för konformitetsbedömning, men ingen sandbox där man faktiskt kan iterera på arkitektur i dialog med tillsynen. Det betyder att svenska SaaS som bygger nu antingen flyger blint mot 2 augusti 2026 eller överväger att öppna ett dotterbolag i Spanien eller Nederländerna för att hinna testa, en process som tar 4 till 6 månader och kostar runt 200 000 sek i juridik. Det är en strukturell nackdel som inte syns i någon press-release.
Vad en compliance-medveten arkitektur ser ut som
Skillnaden mellan ett bygge som möter compliance som en eftertanke och ett som är compliance-medvetet från första dagen är arkitektonisk. Bygg ovanpå öppna komponenter som Postgres och pgvector istället för proprietär lock-in.
Konkret betyder det fem saker. Kör data-residency på lokala modeller där det krävs. Llama 3.1 70B och Qwen 2.5 kan köras på Ollama på egen infra för verksamheter med data som inte får lämna huset. Det löser GDPR och datasuveränitet i samma drag. Bygg en append-only audit-log per request, sha256-kedjad så att man inte kan ändra historiken i efterhand. Det är vad EU AI Act artikel 12 ber om för high-risk-system. En voice-profile-validator som kör på varje LLM-output innan den lämnar systemet kan blockera hallucinationer mot domänspecifika regler och är samma teknik som senare kan användas för bias-mitigation. Ett transparens-pattern där varje agent-output flaggar källor, confidence-nivå och vilken modell som genererade den matchar artikel 13. Och human-in-the-loop-arkitektur för alla kritiska beslut är artikel 14.
Det är inte sexigt att skriva i en bloggpost. Det är konfigurationsfiler, FastAPI-endpoints och pipeline-struktur i n8n och LangGraph. Men det är skillnaden mellan att kunna leverera till en regulerad köpare i augusti 2026 och att tvingas pausa roadmap i sex månader och bränna 200 000 euro på retrofit.
Vad det betyder för dig som kund
Vad betyder det här för dig som funderar på att köpa AI-system? Två saker. Det första är att frågan du måste ställa till varje leverantör är konkret: om jag som kund klassas som high-risk under EU AI Act, vilka delar av er produkt klarar revision den 2 augusti 2026, och vilka behöver vi tillsammans skriva om? Om de svarar svävande, vet du var de står. Det andra är: kostnadsfrågan har förskjutits. Tidigare var billigare API-modeller med OpenAI eller Anthropic Claude den uppenbara vägen. Från sommaren 2026 räknas total cost of ownership inklusive compliance. Då kan en lokal Llama 3.1 70B-stack på Ollama bli billigare än ett moln-API som tvingar dig till retrofit.
Vi pratar gärna om var ni står. Inte som pitch. Som samtal. Mejla, så går vi igenom er nuvarande arkitektur, era val mellan Postgres, pgvector och proprietära alternativ, och vad som faktiskt krävs för att stå stadigt när tillsynen börjar i augusti 2026.