EU AI Act: vad vi har byggt in från dag ett

En CTO öppnar mejlet på onsdag morgon. Avsändaren är hennes legal counsel. Ärenderaden lyder "EU AI Act, sammanställning för styrelsemötet". Hon hinner läsa två stycken innan hon stänger laptopen och säger högt åt köket att hon behöver ringa Alex. Det är inte hennes första kontakt med regelverket. Men det är första gången siffrorna är skrivna i rött, 35 MEUR högst upp i ett lila Anthropic Claude-genererat sammandrag.

Den här typen av samtal blir vanligare just nu. Inte hos bolag som är dåliga. Hos bolag som är bra. SaaS-VD på ett trettiomansbolag i Solna som byggt produkten kring OpenAI och Anthropic Claude. Ekonomichefen på en mellanstor industriell aktör som har en RAG-pipeline över interna manualer i pgvector. Produktchefen på en SaaS som säljer beslutsstöd till bank. Tre olika branscher, samma fråga: är vi compliant, och vad kostar det om vi inte är det?

Det här är en text för dig som ställer den frågan. Vi pratar om vad EU AI Act faktiskt betyder konkret, vad compliance-retrofit kostar, varför Sverige har en strukturell nackdel just nu, och vad Kapaciti har byggt in i sin pipeline från dag ett. Inga fingerade case. Bara siffror, observationer, och vad arkitekturen tekniskt gör. Cirka 8 minuters läsning.

Vad EU AI Act faktiskt är

Det första att förstå är att EU AI Act inte är ett juridiskt teoretiskt dokument längre. Den 2 augusti 2025 trädde GPAI-reglerna i kraft. General Purpose AI, alltså modeller som GPT-5, Llama 3.1 70B, Qwen 2.5, Anthropic Claude. Den 2 augusti 2026 blir high-risk obligations tvingande. Det är där pengarna sitter. High-risk är AI-system som påverkar kreditbeslut, rekrytering, vård, utbildning, polisarbete, kritisk infrastruktur. Många svenska SaaS landar oavsiktligt i den kategorin när de bygger beslutsstöd. Cirka 90 dagar efter den 2 augusti 2026 börjar notified bodies revidera. Det är då skarpa böter kan börja skickas ut.

Sanktionsnivåerna är offentliga och alla pratar om dem. Upp till 35 MEUR eller 7% av världsomsättning, beroende på vilket som är högst. Det är samma struktur som GDPR men med ungefär dubbla tak. Den siffran är inte byggd för att skrämmas. Den är byggd för att Bryssel vill att compliance ska vara billigare än brott, även för bolag med miljardomsättning.

Men det är inte böterna som är problemet för dig. Det är retrofit-kostnaden.

Vad det faktiskt kostar att retro-fitta

Här ska jag vara konkret eftersom det är vad jag är trött på i den här diskussionen. Folk pratar om compliance i abstrakta ordalag. Vad det faktiskt kostar att retro-fitta en befintlig SaaS för EU AI Act high-risk-kraven, det säger ingen rakt ut. Min bedömning, baserad på de offerter och underlag vi själva sett i marknaden under våren 2026, är att totalkostnaden för ett medelstort svenskt SaaS landar någonstans mellan 110 000 och 280 000 euro. Det är vår siffra. Den är inte officiell. Den är inte heller en gissning, den kommer från en marknadsanalys av top-20 svenska SaaS-bolag och deras nuvarande Postgres-pipelines.

Den bryts ner i fem dimensioner. Extern juridisk konsultation för att kartlägga var i produkten high-risk-klassificering aktiveras: 30 till 80 K euro, ungefär 350 000 till 900 000 SEK. Notified body-avgifter när du anlitar en organisation som Swedac eller motsvarande för konformitetsbedömning: 15 till 40 K euro. Monitoring-infrastruktur, alltså audit-loggar, drift-monitoring, anomaly detection per request: 20 till 50 K euro att bygga och deploya, typiskt 4 till 8 månader engineering. Bias-audit av träningsdata och output-distribution över skyddade attribut: 20 till 50 K euro. Internt legal counsel, konstant under 2 kvartal: 25 till 60 K euro.

Det här är inte engångsutgifter. Det är ungefär årlig kostnad för att hålla compliance levande efter att grundbygget är gjort. Och då har vi inte räknat med opportunity cost för engineering-team som måste pausa roadmap för att retro-fitta i Postgres och FastAPI. 3 till 6 månader är typiskt fönster om du har 2 senior-utvecklare som kan sitta heltid på det.

Sandbox-luckan i Sverige

Sen finns det en svensk faktor som gör den här ekvationen sämre. Sverige har ingen operational AI-sandbox idag. Spanien har AESIA, en sandbox under sin nya AI-myndighet där bolag kan testa system mot regulator innan release. Frankrike har CNIL:s experimenterings-sandbox som körts sedan 2023. Tyskland har en BMWK-pilot för industriell AI med 12 deltagande bolag, många som kör pgvector och LangGraph. Nederländerna har AP:s sandbox med 4 aktiva spår. Det betyder att bolag i de fyra länderna kan validera arkitektur, konformitet och bias-mitigation, även sådant som kör pgvector och Postgres lokalt, i en miljö där myndigheten är medspelare innan de går live. Du kan i praktiken få ett soft pre-clearance.

Sverige har Swedac som är formell notified body för konformitetsbedömning, men ingen sandbox där du faktiskt kan iterera på arkitektur i dialog med tillsynen. Det betyder att svenska SaaS som bygger nu, antingen flyger blint mot 2 augusti 2026 eller tvingas öppna ett dotterbolag i Spanien eller Nederländerna för att hinna testa, en process som tar 4 till 6 månader och kostar runt 200 000 sek i juridik. Det är inte teori. Vi har sett 3 konkreta fall den senaste månaden där svenska SaaS-bolag som kör Anthropic Claude i produktion övervägt detta. Det är en strukturell nackdel som inte syns i någon press-release.

Vad Kapaciti har byggt in från dag ett

Det här är där Kapaciti har en annan startposition. Vi byggde inte produkten, sprang i marknaden, och möter sen compliance som en eftertanke. Vi byggde det andra hållet. Arkitekturen är compliance-medveten från första dagen, byggd ovanpå Postgres och pgvector istället för proprietär lock-in.

Konkret betyder det fem saker. Vi kör data-residency på lokala modeller där det krävs. Llama 3.1 70B och Qwen 2.5 körs på Ollama på vår egen infra för kunder som har data som inte får lämna huset. Det löser GDPR och datasuveränitet i samma drag. Vi har en append-only audit-log per request, sha256-kedjad så att man inte kan ändra historiken i efterhand. Det är vad EU AI Act artikel 12 ber om för high-risk-system. Vi har en voice-profile-validator som kör på varje LLM-output innan den lämnar systemet. Den blockerar hallucinationer mot domänspecifika regler och är samma teknik som senare kan användas för bias-mitigation. Vi har transparens-pattern där varje agent-output flaggar källor, confidence-nivå, och vilken modell som genererade den, oavsett om det är Anthropic Claude eller en lokal Qwen 2.5. Det matchar artikel 13 om transparens. Och vi har human-in-the-loop-arkitektur för alla kritiska beslut, vilket är artikel 14.

Det är inte sexigt att skriva i en bloggpost. Det är konfigurationsfiler, FastAPI-endpoints och pipeline-struktur i n8n och LangGraph. Men det är skillnaden mellan ett bolag som är klart att leverera till en svensk bank i augusti 2026 och ett bolag som måste pausa roadmap i 6 månader och bränna 200 000 euro på retrofit.

Vad det betyder för dig som kund

Vad betyder det här för dig som funderar på att köpa AI-system? Två saker. Det första är att frågan du måste ställa till varje leverantör är konkret: om jag som kund klassas som high-risk under EU AI Act, vilka delar av er produkt klarar revision den 2 augusti 2026, och vilka behöver vi tillsammans skriva om? Om de svarar svävande, vet du var de står. Det andra är: kostnadsfrågan har förskjutits. Tidigare var billigare API-modeller med OpenAI eller Anthropic Claude den uppenbara vägen. Från sommaren 2026 räknas total cost of ownership inklusive compliance. Då kan en lokal Llama 3.1 70B-stack på Ollama bli billigare än ett moln-API som tvingar dig till retrofit.

Vi pratar gärna om var ni står. Inte som pitch. Som samtal. Mejla, så går vi igenom er nuvarande arkitektur, era val mellan Postgres, pgvector och proprietära alternativ, och vad som faktiskt krävs för att stå stadigt när tillsynen börjar i augusti 2026.