KAPACITI.
ICP · Reglerade industrier

EU AI Actträder i kraft2 augusti 2026.

Bötesnivån är 35 MEUR eller 7 procent av global omsättning per icke-konformt high-risk-system. Vi tar er igenom sandbox-processen, från riskklassificering till färdig konformitetsbedömning.

Läs vår metodik
Tre tal · 01
87dagar

kvar till 2 augusti 2026 då EU AI Act träder i kraft för high-risk-system.

35MEUR

i maxböter per icke-konformt high-risk-system, eller 7 procent av global omsättning. Det högsta av de två.

0vendorer

svenska AI-leverantörer har publicerat en verifierbar AI Act-metodik per maj 2026. Vi är de första.

Lagrum · 02

Vad lagen kräver av er senast 2 augusti 2026.

Sex obligationer som varje high-risk-system måste uppfylla. Listan är hämtad direkt från förordningen, kommentarerna är vår tolkning av vad det innebär att bygga retroaktivt.

Artikel 9

Riskhanteringssystem

Kontinuerlig identifiering, analys och mitigering av risker över hela livscykeln för varje high-risk-system.

Varför svårt att retrofitta: Kräver dokumenterad process från träningsdata till produktion. Omöjligt att rekonstruera retroaktivt utan källkontroll på alla led.

Artikel 10

Datastyrning

Träningsdata, valideringsdata och testdata måste vara relevant, representativ och fri från bias för det avsedda syftet.

Varför svårt att retrofitta: Dataseparation och bias-revision går inte att lägga på i efterhand. Modellen måste ha sett rätt data från första körning.

Artikel 12

Loggning och spårbarhet

Automatisk händelseloggning under hela driften med tillräcklig spårbarhet för revision i efterhand.

Varför svårt att retrofitta: Utan append-only audit-chain saknas tamper-evidence. Standardloggar i Postgres eller S3 räcker inte mot notified body.

Artikel 13

Transparens mot användare

Tekniska instruktioner och dokumentation som låter operatörer förstå systemets förmåga, begränsningar och risker.

Varför svårt att retrofitta: Modell-cards och prompt-loggar måste vara läsbara för icke-tekniska compliance-team. Få system har det idag.

Artikel 14

Mänsklig översikt

Systemet ska vara designat så att fysiska personer kan förstå output och ingripa när det behövs.

Varför svårt att retrofitta: Kräver UI för human-in-the-loop, eskaleringsvägar och voice-validation av utgående svar. Behöver byggas in i pipelinen, inte bredvid.

Artikel 15

Robusthet, noggrannhet, cybersäkerhet

Systemet ska prestera konsekvent, vara motståndskraftigt mot fel och skyddat mot adversariella attacker.

Varför svårt att retrofitta: Hallucination-guard, prompt-injection-skydd och stabilitetstester måste vara del av deploy-pipen, inte ad-hoc patchar.

Arkitektur · 03

Vad vi har byggt sedan 2024.

Pipelinen är AI Act-redo från dag ett. Det är inte en marknadsföringsfras, det är fyra tekniska val vi gjorde innan förordningen var färdigförhandlad.

Mappar mot Artikel 12 och 19

Append-only hash-chain audit per kund

Vad det gör. Varje prompt, varje verktygskall och varje svar skrivs till en kryptografiskt länkad logg, isolerad per kund-tenant.

Vad det löser. Tamper-evidence för notified body-revision. Varje rad har hash av föregående rad, så manipulation upptäcks omedelbart.

Hårt att bygga retroaktivt. Att retrofitta detta i en befintlig pipeline kräver att samtliga händelser rinner genom samma append-only kärna. Det är en arkitekturell omskrivning, inte en patch.

Mappar mot Artikel 14 och 15

Voice-validation och hallucination-guard

Vad det gör. Varje utgående svar valideras mot en domän-specifik voice-profil och en faktagrund. Avvikelser blockeras eller flaggas för granskning.

Vad det löser. Mänsklig översikt blir verkställbar i realtid. Robusthetskravet på noggrannhet får ett mätbart tröskelvärde.

Hårt att bygga retroaktivt. Validatorerna måste tränas på kundens egen data och språkstil. Generiska guards fångar inte branschspecifika fel.

Mappar mot Artikel 10 och GDPR Artikel 32

Multi-tenant sandbox-isolation

Vad det gör. Kundens data, prompts, embeddings och modellvikter ligger i en isolerad tenant. Ingen cross-leak mellan kunder.

Vad det löser. Datastyrning och konfidentialitet kan demonstreras med teknisk evidens, inte bara policy.

Hårt att bygga retroaktivt. Multi-tenancy som bygger på namespace i en delad databas räknas inte som isolering vid revision. Kräver fysisk eller kryptografisk separation från grunden.

Mappar mot Schrems II och dataskydd

On-prem och EU-cloud deployment

Vad det gör. Hela stacken kan köra i kundens egen miljö, eller på EU-suverän cloud. Inga US-vendorer i kritiska led.

Vad det löser. Data lämnar inte Sverige eller EU. Compliance med dataresidens utan kompromisser i prestanda.

Hårt att bygga retroaktivt. Kräver att modellinferens, audit-store och vector-search alla finns i versioner som klarar luftgapad drift. De flesta moderna AI-stackar gör det inte.

Process · 04

Sandbox-processen i fyra steg.

Sex veckor från kontraktsstart till färdig konformitetsbedömning för ett enskilt system. Parallellt körschema för portföljer.

01

Riskklassificering

Vi går igenom era system mot Annex III och avgör vilka som faller under high-risk. Ni får en skriftlig klassificering att ta till styrelsen.

Vecka 1
02

Sandbox-deployment

Era system flyttas in i vår sandbox-miljö, isolerade per tenant. Inga produktionseffekter, inga datadelningar utåt.

Vecka 2 till 3
03

Konformitetstest

Audit-trail valideras, bias mäts, robusthet stresstestas, transparens-dokumentation produceras. Ni får en gap-rapport per artikel.

Vecka 3 till 5
04

Konformitetsbedömning

Vi paketerar dokumentation, testresultat och teknisk evidens i ett format som notified body kan revidera. Sista steget är ert scoping-samtal med revisorn.

Vecka 5 till 6
Ingen säljpitch, vi går direkt på era system.
Avgränsning · 05

Det vi inte gör.

Det är lika viktigt att vara tydlig med var vår kompetens slutar. Här är fyra saker vi inte säljer in, och vart ni istället ska vända er.

01

Vi är inte juridisk rådgivning.

Vi kan arkitekturen och evidenskedjan, men inte den legala tolkningen. För kontraktsrätt och tvister rekommenderar vi Setterwalls, Mannheimer Swartling eller Cirio.

02

Vi är inte notified body.

Vi förbereder er för revision, vi gör inte revisionen. RISE väntar på godkännande som notified body i Sverige. Vi paketerar er evidens så att den revisionen blir kort.

03

Vi gör inte one-shot consulting.

En PowerPoint som beskriver compliance gör er inte compliant. Vi bygger infrastruktur som finns kvar efter kontraktet och som producerar ny evidens varje dag.

04

Vi lovar inte att alla system passerar.

Om ett system inte är möjligt att göra konformt säger vi det rakt ut. Det är billigare att stänga av tidigt än att betala 35 MEUR senare.

Frågor · 06

Frågor vi får från ledningsgrupper.

Hittar ni inte svaret? Skriv till oss så svarar vi inom en arbetsdag.

01Hur garanterar ni att data inte lämnar Sverige?
+
Sandboxen kör antingen i er egen miljö eller på EU-suverän infrastruktur i Stockholm. Inga US-baserade modellanrop, ingen US-baserad vector-store, ingen US-baserad audit-pipeline. Ni får en deployment-topologi att ta till er DPO.
02Vad händer om EU AI Act ändras?
+
Ramverket förändras inkrementellt via delegated acts och implementing acts. Vår audit-arkitektur är versionerad, så när en ny artikel-tolkning landar uppdaterar vi mappingen och kör om konformitetstesterna utan att starta om från noll.
03Kan vi göra detta på egen hand?
+
Ja, om ni har två erfarna ML-arkitekter, en compliance-jurist och tolv månader. De flesta av våra kunder kommer till oss för att de inte har det. Det handlar om att flytta deadline från 2027 till augusti 2026.
04Vad kostar detta?
+
Sandbox-processen ligger mellan 280 och 650 KSEK beroende på antal system och komplexitet. Det är väsentligt under marknadsspannet på 110 till 280 KEUR per system som vi sett från europeiska compliance-leverantörer.
05Hur lång tid tar processen?
+
Sex veckor från kontraktsstart till färdig konformitetsbedömning för ett enskilt system. För portföljer med fem till tio system räknar vi tio till fjorton veckor med parallell sandbox-körning.
06Vilka branscher har ni jobbat med?
+
Bank, försäkring, vård, energi och kreditbedömning under 2024 och 2025. Vi tar inte uppdrag inom rättsskipning eller militär tillämpning. Referenser delas under NDA i scoping-samtalet.
07Vad händer om notified body underkänner ett system?
+
Då har ni en dokumenterad gap-lista och en åtgärdsplan från oss. Vi har redan kört testerna i sandboxen, så underkännanden från notified body ska vara mycket sällsynta vid rätt förarbete.
Nästa steg · 07

Boka 30 min med en av våra arkitekter.

Vi går igenom era tre största risker mot EU AI Act, och vad ni kan börja stänga den här veckan.

Vad ni får ut av samtalet

  • 01En kort klassificering av vilka av era system som är high-risk under Annex III.
  • 02De tre största gap mot konformitet, prioriterade efter bötesexponering.
  • 03Ett uppskattat tidsspann och kostnadsspann för sandbox-processen baserat på er portfölj.
Samtalet hålls under NDA. Inga slides, ingen säljpresentation.