Kort version

Den 2 augusti 2026 blir AI-förordningens krav på högrisk-AI direkt tillämpliga. Digital Omnibus — EU-kommissionens paket med förenklingar och tidsförskjutningar för digitalregleringar — kan skjuta upp det till december 2027, men paketet är inte antaget. En politisk överenskommelse utgör inte juridiskt försvar vid tillsyn. Tillämpare — bolag som köper och använder AI-system — har en lättare kravbild men får ett nytt ansvar: dokumenterad due diligence av leverantören. Saknar leverantören CE-märkning eller bruksanvisning enligt artikel 13 (leverantörens informationsplikt till tillämpare) bör tillämparen behandla det som en väsentlig brist.

Vad som räknas som högrisk

Bilaga III listar fristående högrisk-AI: rekrytering, kreditbedömning, biometri, utbildning, kritisk infrastruktur, brottsbekämpning, migration och rättskipning. Bilaga I täcker AI inbäddad i redan reglerade produkter — medicintek, fordon, maskiner, leksaker.

Artikel 6.3 ger ett undantag för system som finns på listan men inte utgör en betydande risk. Undantaget kräver dokumenterad bedömning från leverantören och tillämpas inte automatiskt. En genomförd och dokumenterad bedömning utgör försvar vid tillsyn; avsaknad av klassificering gör det inte.

Vad leverantörer ska ha klart

Listan är lång. I praktiken kokar det ner till fyra arbetspaket:

  1. Dokumentation och kvalitetsledning. Teknisk dokumentation enligt bilaga IV, formaliserat kvalitetsledningssystem (art. 17), riskhanteringssystem (art. 9). Dokumentationen är typiskt det första som granskas vid tillsyn.
  2. Data och bias. Tränings-, validerings- och testdata ska vara representativa och biasbedömda (art. 10). Kravet är obligatoriskt och saknar undantag.
  3. Märkning och registrering. CE-märkning, EU-deklaration om överensstämmelse, registrering i EU-databasen (art. 48, 49, 71). Databasen är öppen för registrering.
  4. Mänsklig tillsyn och loggning. Designad in i systemet, inte påklistrad (art. 14). Automatisk händelseloggning under drift (art. 12). Många SaaS-leverantörer saknar detta i sin standardprodukt.

Tillämpare: det nya ansvaret

Tillämpare — bolag som köper och driftar högrisk-AI — har sex skyldigheter som ofta underskattas:

  1. Använd systemet enligt leverantörens bruksanvisning (art. 26).
  2. Säkerställ mänsklig tillsyn av kompetent personal — inte bara formellt utsedd, utan faktiskt utbildad.
  3. Övervaka driften och rapportera allvarliga incidenter inom 15 dagar.
  4. Genomför en konsekvensbedömning av grundläggande rättigheter (FRIA, art. 27) om ni är offentlig aktör eller hanterar väsentliga tjänster.
  5. Informera berörda individer när högrisk-AI påverkar beslut om dem.
  6. Dokumentera due diligence av leverantören. Begär CE-märkning, registreringsbevis och bruksanvisning. Bristande dokumentation från leverantören bör föranleda en bedömning av om leverantörsbyte är nödvändigt.

Sanktioner och svensk tillsynsstruktur

Sanktionsnivåerna är europeiska: 35 miljoner euro eller 7 procent av global omsättning för förbjudna metoder, 15 miljoner euro eller 3 procent för brister i högriskkraven.

Frågan om vem som driver tillsyn i Sverige är olöst. Regeringen diskuterar fortfarande frågan om en samordnande myndighet. Sektorsmyndigheterna — Läkemedelsverket, Transportstyrelsen, Integritetsskyddsmyndigheten (IMY) — har mandat inom sina områden men ingen har fått särskilda resurser för AI Act-tillsyn. Det innebär sannolikt en trög start. Samtidigt saknar myndigheterna etablerade rutiner för AI Act-tillsyn, vilket gör tidiga tillsynsärenden svårare att förutse i utfall.

Vad bolag bör göra under resterande veckor

  1. Klassificera allt. Inkludera köpta SaaS-tjänster. Rekryteringsverktyg och kreditbedömningssystem faller sannolikt under bilaga III. Dokumentera bedömningen — även för system som bedöms ligga utanför.
  2. Skicka artikel 13-förfrågan till varje AI-leverantör. Begär bruksanvisning, CE-märkningsdokumentation och EU-databasregistrering. Gör det skriftligt och dokumentera uteblivna svar.
  3. Skriv FRIA där det krävs. Mall finns från AI-byrån. Prioritera system som påverkar anställda (rekrytering, prestationsbedömning) och kunder (kreditbedömning, försäkring).
  4. Utse och utbilda tillsynspersonal. Mänsklig tillsyn kräver att personerna förstår systemets kapacitet, begränsningar och risker. Formell utnämning utan dokumenterad utbildning uppfyller inte kravet.

Källor