I februari 2025 började de första förbuden i EU:s AI-förordning att gälla. Känsloutläsning på arbetsplatsen? Förbjudet. Social poängsättning? Förbjudet. Men för de flesta svenska företag är det här bara början – de tyngsta kraven träder i kraft successivt fram till 2027.
Problemet är inte att förordningen finns. Problemet är att många företag inte vet om de över huvud taget berörs, vilken riskklass deras AI-system hamnar i, eller vad de behöver göra. I mitt arbete med svenska företag ser jag att de flesta inte ens har inventerat vilka AI-system de använder – och det är ett problem som går att lösa snabbare än man tror.
Enligt SCB:s kartläggning från 2025 använder 35 procent av svenska företag redan AI. Många av dem omfattas av EU:s AI-förordning utan att veta om det.
Den här guiden ger dig hela bilden: vad förordningen innebär, när de olika kraven börjar gälla, hur du bedömer dina egna AI-system – och fem konkreta steg för att förbereda din organisation.
[BILD: Tidslinje: AI-förordningens milstolpar aug 2024 → aug 2027 med markeringar för varje fas]
Vad är EU:s AI-förordning?
EU:s AI-förordning (officiellt: Europaparlamentets och rådets förordning 2024/1689) är världens första heltäckande lagstiftning för artificiell intelligens. Den antogs i juni 2024 och trädde i kraft den 1 augusti 2024.
Syftet är tredelat: skydda människors hälsa, säkerhet och grundläggande rättigheter, främja innovation på den inre marknaden, och skapa enhetliga regler så att företag inte behöver navigera 27 olika nationella AI-lagar.
Förordningen gäller alla som utvecklar, tillhandahåller eller använder AI-system inom EU – oavsett om företaget är baserat i Europa eller inte. Som Digg sammanfattar det: förordningen gäller för den som utvecklar, tillhandahåller eller använder AI-system, både inom privat och offentlig verksamhet.
Viktigt: eftersom det är en förordning (inte ett direktiv) är den direkt tillämplig i svensk rätt – den behöver inte införas genom separat svensk lagstiftning. Däremot har den svenska regeringen tillsatt en utredning (SOU 2025:101) som föreslår kompletterande svensk lagstiftning, bland annat vilka myndigheter som ska utöva tillsyn. Post- och telestyrelsen (PTS) föreslås representera Sverige i EU:s AI-styrelse.
Risknivåerna – så klassificeras AI-system
Kärnan i AI-förordningen är en riskbaserad modell. Inte alla AI-system regleras lika hårt – det beror på vad systemet används till och vilken påverkan det kan ha på människor.
Oacceptabel risk – förbjudet
Några användningsområden är helt förbjudna sedan den 2 februari 2025:
Social poängsättning av individer baserat på beteende. AI-baserad känsloutläsning på arbetsplatser och i skolor. Biometrisk fjärridentifiering i realtid på allmänna platser (med vissa undantag för brottsbekämpning). Manipulativ AI som utnyttjar sårbarheter hos specifika grupper.
Hög risk – tillåtet med stränga krav
Det här är den kategori som berör flest svenska företag. AI-system klassas som högrisk om de används inom något av sju definierade områden, enligt förordningens bilaga III:
Kritisk infrastruktur (transport, energi, vattenförsörjning). Utbildning och yrkesutbildning (t.ex. automatiserad bedömning av studenter). Rekrytering och personalhantering (CV-screening, prestationsbedömning). Tillgång till väsentliga tjänster (kreditbedömning, försäkring). Brottsbekämpning och migration. Rättslig tolkning.
För högrisk-system gäller bland annat: riskbedömning innan systemet tas i bruk, teknisk dokumentation och loggning, mänsklig översikt (”human in the loop”), registrering i en EU-databas, och fortlöpande övervakning efter lansering.
Begränsad risk – transparenskrav
Generativ AI, som ChatGPT, Claude och Gemini, klassas inte som högrisk men måste uppfylla transparenskrav. Innehåll som genererats av AI ska märkas som sådant, och deepfakes ska tydligt märkas. Leverantörer av generativa AI-modeller måste också publicera sammanfattningar av sin träningsdata och följa EU:s upphovsrättsregler.
Minimal eller ingen risk – inga krav
De flesta AI-system – spamfilter, AI i dataspel, rekommendationssystem – har inga skyldigheter enligt förordningen. Företag kan frivilligt anta uppförandekoder.
[BILD: Infografik: pyramid med fyra risknivåer, färgkodade från röd (förbjudet) till grön (minimal risk), med svenska exempel i varje nivå]
Tidslinjen – när börjar vad gälla?
AI-förordningen införs stegvis. Här är de viktigaste datumen:
1 augusti 2024: Förordningen trädde i kraft.
2 februari 2025: Förbud mot oacceptabel AI (artikel 5) börjar gälla. Krav på AI-kunnighet för anställda hos leverantörer och användare av AI (artikel 4). Nya definitioner träder i kraft.
2 augusti 2025: Regler för AI-modeller för allmänna ändamål (GPAI, t.ex. GPT, Claude, Gemini) börjar gälla. AI-styrelsen (AI Board) och nationella tillsynsmyndigheter ska vara på plats. Sanktionsregimen aktiveras.
2 augusti 2026: Huvuddelen av förordningen blir fullt tillämplig, inklusive transparenskrav (artikel 50) och de flesta användarskyldigheter. Den svenska kompletterande lagstiftningen föreslås också träda i kraft detta datum.
2 augusti 2027 (eller tidigare): Krav för högrisk-AI-system i reglerade produkter (bilaga I). OBS: EU-kommissionen har föreslagit att länka startdatumet för högriskregler till när harmoniserade standarder och stödverktyg finns tillgängliga – senast december 2027. Det är ett förslag, inte beslut.
Praktisk konsekvens: även om högriskreglerna kan förskjutas något rekommenderar både Svenskt Näringsliv och PwC att företag börjar förbereda sig nu. Att inventera AI-system, bygga intern styrning och etablera dokumentationsrutiner tar tid.
Så påverkas svenska företag konkret
Du som använder AI (men inte utvecklar)
De flesta svenska företag är användare av AI-system, inte leverantörer. Enligt Företagarna innebär det att du har följande skyldigheter:
Använda AI-system enligt leverantörens bruksanvisningar. Säkerställa att de som utövar mänsklig tillsyn har rätt kompetens, utbildning och befogenhet. Sedan februari 2025: se till att anställda som arbetar med AI har tillräcklig AI-kunnighet (artikel 4).
Använder ditt företag AI för rekrytering, kreditbedömning eller personalbedömning? Då använder ni troligen högrisk-AI och behöver följa de strängare kraven – även som användare.
Du som utvecklar eller levererar AI
Om du utvecklar, tillhandahåller eller distribuerar AI-system på EU-marknaden har du mer omfattande skyldigheter: riskbedömningssystem, teknisk dokumentation, kvalitetsledningssystem, CE-märkning för högrisk-system, och registrering i EU:s databas. Här blir kraven avsevärt tyngre och mer resurskrävande.
Särskilt för små och medelstora företag
Förordningen tar hänsyn till SME:ers storlek. Sanktionsavgifterna ska vara proportionella, och varje medlemsstat ska tillhandahålla minst en regulatorisk sandlåda för AI senast augusti 2026 – en testmiljö där företag kan experimentera med AI under myndighetstillsyn utan fulla regulatoriska krav. EU-kommissionens förenklingspaketet (Digital Omnibus, november 2025) föreslår ytterligare lättnader för mindre företag.
Sanktioner vid överträdelse
Förordningen har kännbara sanktioner. Sanktionsavgifterna baseras på företagets globala årsomsättning:
Förbjuden AI-användning: Upp till 35 miljoner euro eller 7 % av global årsomsättning (det högsta beloppet gäller).
Bristande efterlevnad av högriskkrav: Upp till 15 miljoner euro eller 3 % av global årsomsättning.
Vilseledande information till myndigheter: Upp till 7,5 miljoner euro eller 1 % av global årsomsättning.
För perspektiv: ett svenskt företag med 500 miljoner kronor i omsättning som bryter mot förbudsreglerna riskerar böter på upp till 35 miljoner kronor.
Fem steg för att förbereda ditt företag
Oavsett om du är användare eller leverantör av AI finns det saker du kan och bör göra redan nu. Här är en praktisk plan:
1. Inventera era AI-system
Börja med att kartlägga vilka AI-system ni använder idag och vilka ni planerar att införa. Inkludera allt från ChatGPT-prenumerationer till inbäddade AI-funktioner i befintliga programvaror. PwC rekommenderar att detta är det allra första steget.
2. Klassificera efter risknivå
För varje AI-system: faller det under förbjuden användning? Är det högrisk enligt bilaga III? Eller är det begränsad/minimal risk? Den här klassificeringen styr hela din complianceplan.
3. Klargör roller och ansvar
Förstå om ert företag agerar som leverantör, användare, importör eller distributör – det påverkar vilka skyldigheter ni har. En och samma organisation kan ha olika roller för olika AI-system. Läs mer om hur ansvar fördelas internt: Vem ansvarar för AI i organisationen?
4. Bygg intern styrning
Etablera dokumentationsrutiner, loggning och riskprocesser. Se över befintliga leverantörsavtal: har ni tillgång till teknisk dokumentation från era AI-leverantörer? Om inte, börja förhandla nu. En AI-policy är det naturliga första steget.
5. Utbilda era team
Sedan februari 2025 gäller artikel 4 om AI-kunnighet. Det innebär att anställda som arbetar med AI ska ha tillräcklig förståelse för hur systemen fungerar. Det här är inte bara ett juridiskt krav – det är en förutsättning för att AI faktiskt ska användas på ett sätt som stödjer människan istället för att ersätta hennes omdöme.
Vill du veta hur din organisation kan komma igång konkret – med både regelefterlevnad och praktisk nytta? Läs: Så ser de första 30 dagarna med AI ut i ett företag. Och för hela bilden: Komma igång med AI på jobbet.
[BILD: Checklista-grafik: 5 steg som staplar med ikoner och korta rubriker]
Samspelet med GDPR och annan EU-lagstiftning
AI-förordningen existerar inte i ett vakuum. Den överlappar med och kompletterar flera andra EU-regelverk, och Svenskt Näringsliv varnar för att hantera dem som separata projekt:
GDPR ställer redan krav på automatiserat beslutsfattande och dataskyddskonsekvensbedömningar. AI-förordningen överlappar men har ett bredare fokus än personuppgifter.
Digital Services Act (DSA) reglerar plattformar och rekommendationssystem – överlappar med AI-förordningens transparenskrav.
Cyberresiliensförordningen (CRA) och NIS2-direktivet ställer krav på cybersäkerhet som berör AI-system i kritisk infrastruktur.
Produktsäkerhetsdirektivet påverkar AI-system som är inbäddade i fysiska produkter (medicinteknisk utrustning, fordon, maskiner).
Rekommendation: samordna era regelefterlevnadsspår. GDPR, DSA, CRA, NIS2 och AI-förordningen bör hanteras i en gemensam struktur – inte som fem separata projekt.
Vanliga frågor om EU:s AI-förordning
Gäller AI-förordningen mitt företag?
Om ditt företag använder AI-system yrkesmässigt inom EU – ja. Det spelar ingen roll om du utvecklat systemet själv eller köpt det från en leverantör. Personlig, icke-yrkesmässig användning är undantagen.
Klassas ChatGPT som högrisk?
Nej. Generativ AI som ChatGPT, Claude och Gemini klassas som begränsad risk med transparenskrav, inte som högrisk. Däremot kan ett system som använder en generativ AI-modell för högriskändamål (t.ex. automatiserad rekrytering) klassas som högrisk.
Vad är AI-kunnighet enligt artikel 4?
Artikel 4 kräver att anställda hos leverantörer och användare av AI har tillräcklig förståelse för de AI-system de arbetar med. Nivån ska anpassas till rollen, risknivån och kontexten. Förordningen specificerar inte exakt vilken utbildning som krävs – men kravet gäller sedan februari 2025.
Vilken myndighet har tillsyn i Sverige?
Den svenska AI-utredningen (SOU 2025:101) föreslår ett decentraliserat system där befintliga sektorsspecifika tillsynsmyndigheter – inom finans, hälsa, telekommunikation med flera – får marknadsövervakningsansvar för sina respektive områden. PTS föreslås representera Sverige i EU:s AI-styrelse.
När måste mitt företag vara compliant?
Det beror på vilken typ av AI-system du använder eller tillhandahåller. Förbudsreglerna gäller redan. AI-kunnighetskravet gäller sedan februari 2025. Huvuddelen av övriga krav gäller från augusti 2026. Högriskregler för reglerade produkter senast 2027.
EU:s AI-förordning är inte ett hinder för att använda AI – det är ett ramverk för att använda AI ansvarsfullt. För de flesta svenska företag handlar det inte om att sluta använda AI utan om att göra det med dokumentation, transparens och mänsklig översikt.
De företag som börjar nu – med inventering, klassificering och utbildning – får inte bara en regulatorisk fördel. De bygger också det förtroende hos kunder, anställda och partners som krävs för att AI verkligen ska göra nytta på lång sikt.
Vill ni veta var er organisation står – och vad nästa steg bör vara? Boka ett kostnadsfritt strategisamtal – 30 minuter där vi går igenom er situation och ni får klarhet i rätt nästa steg.
Hur långt har ditt företag kommit i förberedelserna? Har ni inventerat era AI-system än? Dela gärna i kommentarerna.
Interna länkar:
1. timilindeman.com/komma-igang-med-ai-pa-jobbet/
2. timilindeman.com/blogg/vem-ansvarar-ai-organisation
3. timilindeman.com/blogg/ai-policy-foretag
4. timilindeman.com/blogg/forsta-30-dagarna-ai-foretag
5. AI Effektanalys: timilindeman.com/ai-effektanalys/
Externa länkar:
1. EU-kommissionen – AI Act enters into force (aug 2024)
2. Digg – AI-förordningen (Sveriges officiella stödsida)
3. SCB – Artificiell intelligens i Sverige 2025
4. Regeringen.se – Utredning SOU 2025:101 (okt 2025)
5. Svenskt Näringsliv – Välkommen paus av EU-regler (nov 2025)
6. PwC Sverige – AI-förordningen – så kan din verksamhet påverkas
7. Företagarna – Har mitt företag skyldigheter enligt EU:s AI-förordning?