EU:s AI-förordning, ofta kallad AI Act, är världens första breda "horisontella" regelverk som styr utveckling, marknadsintroduktion och användning av AI-system i EU. Den bygger på en riskbaserad modell: vissa AI-användningar förbjuds, andra kräver transparens eller omfattande krav (särskilt för högrisk-AI), och generella AI-modeller får egna skyldigheter.
Den här artikeln ger:
- en historisk översikt (hur vi hamnade här),
- en praktisk genomgång av vad som gäller, och
- en tydlig tidslinje för 2026 och 2027.
Kort bakgrund: Vad är AI-förordningen?
AI-förordningen är Regulation (EU) 2024/1689 ("Artificial Intelligence Act") som publicerades i EU:s officiella tidning sommaren 2024. Den skapar ett gemensamt ramverk inom EU för att:
- skydda hälsa, säkerhet och grundläggande rättigheter,
- samtidigt som innovation möjliggörs genom t.ex. sandlådor och stödåtgärder.
Historiken: Viktiga milstolpar (2021–2024)
1. EU-kommissionens förslag (2021)
Resan började med att EU-kommissionen la fram ett formellt förslag till AI-förordning i april 2021 (COM(2021) 206).
2. Förhandlingar och "provisorisk överenskommelse" (2023)
Efter intensiva trilogförhandlingar nådde rådet och parlamentet en provisorisk politisk överenskommelse i december 2023.
3. EU-parlamentets godkännande (mars 2024)
EU-parlamentet antog texten vid plenarsammanträdet den 13 mars 2024.
4. Rådets slutliga "gröna ljus" (maj 2024)
EU-rådet gav slutligt klartecken 21 maj 2024, vilket i praktiken avslutade lagstiftningsprocessen.
5. Publicering och ikraftträdande (sommar 2024)
Förordningen publicerades i EU:s officiella tidning och började gälla som EU-rätt (ikraftträdande) sommaren 2024.
Viktigt: ikraftträdande betyder inte att alla skyldigheter börjar gälla direkt – förordningen har en stegvis tillämpning.
Vad som gäller i praktiken: risknivåer och huvudkrav
AI-förordningen brukar sammanfattas i fyra nivåer:
Förbjudna AI-praktiker
Vissa användningar är förbjudna, exempelvis vissa former av manipulation, social scoring och vissa biometriska scenarion. EU-kommissionen har också publicerat riktlinjer om förbjudna praktiker för att stödja en enhetlig tolkning.
Högrisk-AI
AI-system i vissa områden (t.ex. kritisk infrastruktur, utbildning, rekrytering, kreditprövning m.m.) klassas som högrisk och kräver bland annat:
- riskhantering,
- datakvalitet,
- teknisk dokumentation,
- loggning,
- mänsklig övervakning,
- cybersäkerhet och robusthet,
…plus skyldigheter för både leverantörer och användare (deployers).
Transparenskrav
Vissa AI-funktioner omfattas av tydliga transparenskrav – exempelvis när människor interagerar med AI eller vid syntetiskt genererat innehåll. Transparensreglerna i artikel 50 börjar gälla senare i införandet.
Allmän AI / GPAI (General-Purpose AI models)
Förordningen innehåller särskilda regler för general-purpose AI-modeller. Det här är centralt för leverantörer av breda modeller och för ekosystemet runt dem.
Tidslinjen: Vad händer 2026 och 2027?
EU-kommissionens AI Act Service Desk beskriver att lagen tillämpas successivt med "full roll-out" senast 2 augusti 2027.
Under 2026: "Majoriteten av reglerna" börjar gälla
Den stora milstolpen är 2 augusti 2026:
- Majoriteten av reglerna börjar tillämpas och tillsyn/enforcement startar på nationell nivå och EU-nivå.
- Högrisk-AI i Annex III börjar omfattas (t.ex. högrisk-användningar inom flera samhällssektorer).
- Transparensregler (Artikel 50) börjar gälla.
- Innovationsstöd börjar gälla, och medlemsstaterna ska ha minst en regulatorisk AI-sandbox per land etablerad.
Konsekvens för företag 2026: Det är här många organisationer "går live" med compliance: klassning, risk- och kvalitetsprocesser, dokumentation, leverantörskedja, incidenthantering och styrning behöver vara på plats för system som träffas av Annex III.
Under 2027: Reglerna för högrisk-AI i reglerade produkter börjar gälla
Nästa stora milstolpe är 2 augusti 2027:
- Regler för högrisk-AI som är inbäddad i reglerade produkter börjar tillämpas.
- Det handlar typiskt om AI som är en del av produktreglerade områden (t.ex. vissa maskiner, fordon och medicinteknisk utrustning – beroende på hur de klassas och vilket EU-regelverk som gäller för produkten).
Tabell: Historik + vad som gäller 2026–2027
| Datum | Vad händer | Vem påverkas mest | Praktisk innebörd |
|---|---|---|---|
| 21 apr 2021 | Kommissionens förslag (COM(2021) 206) | Alla | Starten på lagstiftningsprocessen |
| 8 dec 2023 | Provisorisk politisk överenskommelse | Alla | Texten "sätter sig" efter trilog |
| 13 mar 2024 | Europaparlamentet antar texten | Alla | Demokratiskt slutsteg i EP |
| 21 maj 2024 | Rådet ger slutligt klartecken | Alla | Lagen är formellt antagen |
| 02 feb 2025 | Definitioner/AI-literacy + förbud börjar gälla | De flesta | Krav på AI-kompetens och att undvika förbjudna praktiker |
| 02 aug 2025 | GPAI-regler + governance ska vara på plats | Modell-/plattformleverantörer + myndigheter | Krav på GPAI-leverantörer; nationella myndigheter och EU-organ etableras |
| 02 aug 2026 | Majoriteten av reglerna + enforcement startar | Högrisk-aktörer, de flesta större org | Högrisk Annex III börjar gälla, transparens (Art. 50), sandlådor m.m. |
| 02 aug 2027 | Högrisk-AI i reglerade produkter börjar gälla | Tillverkare + produkt-ekosystem | Produktnära AI får fulla högrisk-krav i reglerade produktområden |
Kan tidslinjen ändras?
Det finns två "rörliga delar" att hålla koll på:
EU-kommissionens signal om koppling till standarder
I AI Act Service Desk står att kommissionen (i kontexten av ett "Digital Omnibus package") har föreslagit att koppla tillämpningen av regler för högrisk-AI till tillgången på stödverktyg, inklusive harmoniserade standarder. Det antyder att praktisk tillämpning kan påverkas av hur snabbt standarder och stödmaterial blir klara.
Politisk diskussion om justeringar
Det har förekommit medieuppgifter om att delar av AI Act kan bli föremål för justeringar eller förseningar under tryck från näringsliv och geopolitik, särskilt kopplat till "high-risk"-delar och sanktionslogik. Det här är inte samma sak som att lagen "inte gäller", men det är en anledning att följa EU-kommissionens officiella uppdateringar.
Praktisk checklista inför 2026
Om er organisation berörs av AI-förordningen – här är vad företag typiskt behöver göra under 2025–2026:
- Inventera AI-användningar – inkl. inbyggda modeller, tredjepartsverktyg och automatiserade beslut.
- Klassificera risk – förbjudet, högrisk Annex III, transparens eller övrigt.
- Styrning & roller – AI-policy, ägarskap och leverantörsstyrning.
- Dokumentation & spårbarhet – teknisk dokumentation, loggning och datakällor.
- Process för incidenter och ändringar – rutiner för när modellen, datan eller användningen ändras.
- AI-literacy-program – utbildning anpassad efter roller: produkt, IT, juridik, inköp och verksamhet.
De exakta kraven beror på roll: leverantör, importör, distributör eller användare/deployer.
FAQ
När börjar AI-förordningen gälla "på riktigt"?
Den är i EU-rättens mening redan i kraft, men tillämpas stegvis. De stora datumen för bred företagsefterlevnad är 2 augusti 2026 (majoriteten av reglerna) och 2 augusti 2027 (högrisk-AI i reglerade produkter).
Vilka företag berörs av AI-förordningen?
Alla organisationer som utvecklar, distribuerar eller använder AI-system inom EU berörs. Det gäller även företag utanför EU vars AI-system används inom unionen. Särskilt relevanta är aktörer inom högrisk-sektorer som hälso- och sjukvård, utbildning, rekrytering, kreditprövning och kritisk infrastruktur.
Vad räknas som högrisk-AI?
Högrisk-AI definieras i Annex III och inkluderar system som används inom områden som biometrisk identifiering, kritisk infrastruktur, utbildning och yrkesutbildning, anställning och personalhantering, tillgång till offentliga tjänster, brottsbekämpning, migrationshantering och rättsväsende. AI-system som ingår i redan reglerade produkter (t.ex. medicinteknisk utrustning, fordon) kan också klassas som högrisk.
Vad är viktigast under 2026?
Att högrisk-AI i Annex III börjar omfattas av regelverket och att enforcement startar. Organisationer behöver ha sina risk- och kvalitetsprocesser, dokumentation och styrning på plats senast 2 augusti 2026.
Vad är skillnaden 2027 jämfört med 2026?
2027 träffar särskilt högrisk-AI som är inbäddad i reglerade produkter – exempelvis AI-komponenter i maskiner, fordon eller medicinteknisk utrustning som redan omfattas av annan EU-produktlagstiftning.
Vad innebär GPAI-reglerna?
General-Purpose AI-modeller (GPAI) har egna skyldigheter som började gälla 2 augusti 2025. Leverantörer av sådana modeller ska bland annat tillhandahålla teknisk dokumentation, följa upphovsrättsregler och publicera sammanfattningar av träningsdata. GPAI-modeller med "systemisk risk" har ytterligare krav.
Vad händer om man inte följer AI-förordningen?
Sanktionerna varierar beroende på överträdelsens art. Böter kan uppgå till 35 miljoner euro eller 7 % av global årsomsättning för överträdelser av förbjudna AI-praktiker, och upp till 15 miljoner euro eller 3 % av omsättningen för andra överträdelser. Nationella tillsynsmyndigheter ansvarar för enforcement.
Gäller AI-förordningen för svenska myndigheter?
Ja, AI-förordningen gäller för alla aktörer som utvecklar eller använder AI-system – inklusive offentlig sektor och myndigheter. Svenska myndigheter som använder AI-system för exempelvis beslutsfattande, bedömningar eller automatiserade processer behöver följa samma riskklassificering och krav som privata aktörer.
Behöver vi en AI-policy?
Det är inte ett explicit krav i förordningen att ha en separat "AI-policy", men i praktiken behöver organisationer ha dokumenterad styrning, rollfördelning och processer för att uppfylla kraven. En AI-policy är ofta det enklaste sättet att samla detta. Kravet på AI-literacy (artikel 4) innebär dessutom att personal som arbetar med AI-system ska ha tillräcklig kompetens.
Hur kan Walma hjälpa med AI-förordningen?
Walma erbjuder AI-lösningar som är designade med compliance i åtanke. Vår plattform Noda ger full spårbarhet, källhänvisningar och svensk datasuveränitet – tre nyckelkrav i AI-förordningen. Vi erbjuder även AI-utbildningar och workshops som hjälper organisationer att bygga den AI-literacy som förordningen kräver.
