Digital Omnibus och AI Act-revisionen: uppskovet är ännu inte klart

Kort version

Digital Omnibus är ett lagstiftningspaket från EU-kommissionen som samlar förenklingar och tidsförskjutningar för flera digitalregleringar, däribland AI-förordningen. Parlamentet och rådet enades den 7 maj om att skjuta upp kraven på högrisk-AI — system som används inom exempelvis rekrytering, kreditbedömning och biometri — till december 2027. Men formell antagning väntas tidigast i juli, och tills paketet är publicerat i EU:s officiella tidning (Official Journal) gäller det ursprungliga datumet. Svenska sektorsmyndigheter har mandat att inleda tillsyn i augusti, och inget i Digital Omnibus hindrar dem. Bolag som pausar compliance-arbetet saknar juridiskt försvar om tillsyn inleds före paketets antagande.

Två datum, en juridisk verklighet

Den politiska överenskommelsen skapar förvirring eftersom den kommuniceras som om den vore beslutad, trots att den inte är det. AI-förordningen sorterar AI-system i riskklasser. Bilaga III listar fristående högrisk-AI (rekrytering, kreditbedömning, biometri m.fl.) och bilaga I täcker AI inbäddad i redan reglerade produkter (medicintek, fordon, maskiner). Det är dessa bilagor som avgör vilka datum som gäller:

• Bilaga III (rekrytering, kredit, biometri): uppskov till 2 december 2027 — om paketet antas.
• Bilaga I (medicintek, fordon, maskindirektivet): uppskov till 2 augusti 2028 — om paketet antas.
• Vattenstämpel (art. 50.2): krav på att syntetiskt AI-genererat innehåll märks maskinläsbart — uppskov till 2 december 2026.
• Övriga transparenskrav (art. 50): kvarstår 2 augusti 2026, opåverkade av Omnibus.

Det sista punkten förbises ofta. Transparenskraven — informera användare att de interagerar med AI, märk syntetiskt innehåll — träffar varje bolag som använder generativ AI mot kunder eller anställda. Det datumet flyttas inte.

Sverige saknar tillsynsmyndighet

Sverige har fortfarande inte utsett en sammanhållen AI Act-myndighet. Sektorsmyndigheterna (Läkemedelsverket, Transportstyrelsen, IMY — Integritetsskyddsmyndigheten) har mandat att agera inom sina områden. Ingen av dem har fått instruktioner att avvakta Digital Omnibus. Leverantörer av högrisk-AI ska CE-märka sina system och registrera dem i EU:s AI-databas innan de får släppas på marknaden. Det innebär att en marknadsövervakningsmyndighet formellt kan ställa frågor om den märkningen och registreringen redan i augusti — oavsett vad Bryssel kommit överens om politiskt.

I praktiken väntas ingen aktiv tillsyn i augusti. Men bolag som inte har påbörjat klassificering och dokumentation saknar försvar om frågan ställs.

Vad bolag bör göra

1. Pausa inte. Sakta ner takten, men stäng inte ner projektet. Klassificera alla AI-system mot bilaga III och bilaga I. Dokumentera även de system som bedöms ligga utanför — den dokumentationen utgör försvaret.
2. Fixera transparenskraven till augusti. De gäller oavsett. Identifiera varje kundkontaktyta och internt verktyg som använder generativ AI. Skriv informationstexter och implementera märkning av syntetiskt innehåll.
3. Granska leverantörerna av generella AI-modeller (GPAI). AI-förordningen ställer särskilda krav på leverantörer av modeller med bred användning, som stora språkmodeller. Dessa omfattas av en frivillig uppförandekod (Code of Practice) sedan augusti 2025. Läs leverantörsavtalet. Tillämparen ärver särskilt ansvar för upphovsrättsefterlevnad och dokumentation.
4. Bevaka publiceringen i EU:s officiella tidning. Tills paketet publiceras finns inget uppskov. Sätt en bevakning och planera för båda utfallen.

Källor

• Förordning (EU) 2024/1689, AI-förordningen (konsoliderad text)
• Kommissionen, AI Act-portalen
• Europaparlamentet, pressmeddelanden Digital Omnibus, maj 2026
• AI Act Service Desk, FAQ