EU AI Act är världens första omfattande AI-lagstiftning och påverkar nu så gott som varje svenskt bolag som använder AI-verktyg. Den 7 maj 2026 sköts högrisk-reglerna upp med 16 månader efter intensiv lobbying från europeisk industri — en händelse som i sig säger något om lagens komplexitet. Här är en informativ genomgång av vad lagen säger, vad ni faktiskt måste göra, vad sanktionerna är, och vad både förespråkare och kritiker säger. Inget ställningstagande — bara fakta, så ni kan bilda er en egen uppfattning.
EU AI Act (Förordning 2024/1689) är världens första omfattande AI-lagstiftning. Den klassificerar AI-system i fyra risknivåer — oacceptabel, hög, begränsad och minimal risk — och ställer olika krav beroende på risknivå. Lagen trädde i kraft 1 augusti 2024 och tillämpas stegvis. Vissa förbud och AI literacy-kravet (artikel 4) gäller sedan 2 februari 2025. Högrisk-reglerna sköts upp 16 månader och får nu full tillämpning 2 december 2027. För de flesta svenska bolag är den mest relevanta delen att rekryterings-AI är klassad som högrisk — och att alla som använder AI måste säkerställa tillräcklig AI-kompetens hos personalen.
EU AI Act togs fram för att skapa ett gemensamt regelverk för AI inom EU. Diskussionerna inleddes 2020, lagförslaget presenterades 2021 och efter flera år av förhandling antogs den slutgiltiga versionen 2024. Förordningen är direkt tillämplig i alla EU-länder — den behöver inte införlivas i svensk lag på samma sätt som ett direktiv.
Syftet enligt EU-parlamentet är att "säkerställa att AI-system som används i EU är säkra, transparenta, spårbara, icke-diskriminerande och miljövänliga". Lagen är riskbaserad — den reglerar inte AI som teknik, utan användningen av AI i specifika sammanhang. Ett AI-system som rekommenderar musik på Spotify har helt andra krav på sig än ett AI-system som bedömer kreditvärdighet hos en bank.
EU AI Act kompletterar befintliga regelverk som GDPR, produktsäkerhetslagar och konsumenträtt — den ersätter dem inte. Företag som redan har god ordning på GDPR har en bra grund att bygga vidare på.
AI-system delas in i fyra kategorier baserat på vilken risk de innebär för enskilda individer och samhället:
| Risknivå | Beskrivning | Exempel |
|---|---|---|
| Oacceptabel risk | Förbjudna AI-tillämpningar som hotar grundläggande rättigheter | Social scoring av medborgare, manipulativ AI som utnyttjar sårbarheter, realtids-biometrisk identifiering i offentliga rum (med undantag) |
| Hög risk | AI som kan påverka individers säkerhet, rättigheter eller tillgång till tjänster | Rekrytering och CV-sortering, kreditbedömning, kritisk infrastruktur, biometrisk identifiering, brottsbekämpning, migrationskontroll |
| Begränsad risk | AI med transparenskrav men inga tunga skyldigheter | Chattbottar (måste informera användaren att de pratar med AI), deepfakes (måste märkas), AI-genererat innehåll |
| Minimal risk | Frivilliga riktlinjer, inga obligatoriska krav | De flesta AI-verktyg — spamfilter, AI i videospel, rekommendationsalgoritmer, generativa AI-verktyg för vanlig kontorsproduktivitet |
Den absoluta majoriteten av vardaglig AI-användning hamnar i kategorin minimal eller begränsad risk. Det är högrisk-kategorin som driver de tunga skyldigheterna — och det är därför så mycket av debatten handlar om den.
EU AI Act har en bred räckvidd. Lagen gäller alla som tillhandahåller, distribuerar eller använder AI-system på EU-marknaden, oavsett var företaget har sitt säte. Det innebär bland annat:
Det enda undantaget är ren privat, icke-yrkesmässig användning — som att be ChatGPT skriva ett tal till en 50-årsfest. Allt som sker i en arbetskontext omfattas.
För att förstå era skyldigheter måste ni först veta vilken roll ni har i lagens mening:
Distinktionen är viktig eftersom deployers har betydligt lättare skyldigheter än providers. Som deployer är ni inte ansvariga för hur AI-systemet är byggt — leverantören är ansvarig för det. Men ni är ansvariga för hur ni använder det i er verksamhet.
Om ni som deployer börjar använda ett AI-system på ett sätt som inte ingår i leverantörens avsedda användning kan ni glida över till provider-rollen — och då gäller helt andra, mycket tyngre skyldigheter. Ett exempel: ni licensierar ett chattbots-system för kundtjänst men anpassar det för att fatta beslut om kandidatmatchning. Då har ni ändrat avsedd användning och kan klassificeras som provider.
EU AI Act trädde formellt i kraft 1 augusti 2024, men reglerna tillämpas i etapper:
| Datum | Vad börjar gälla |
|---|---|
| 2 februari 2025 | Förbud mot oacceptabel AI börjar tillämpas. AI literacy-kravet (artikel 4) blir aktivt |
| 2 augusti 2025 | Regler för generella AI-modeller (GPAI) - exempelvis GPT-5, Claude, Gemini - börjar gälla |
| 2 december 2027 | Högrisk-reglerna börjar gälla fullt ut (försenat från 2 augusti 2026) |
| 2 augusti 2028 | Inbyggda AI-system i produkter (hissar, leksaker etc.) får sina krav |
Den 7 maj 2026 nåddes en preliminär överenskommelse om Digital Omnibus on AI — ett förenklingspaket som sköt upp högrisk-reglerna med 16 månader. Den ursprungliga deadlinen var 2 augusti 2026; den nya är 2 december 2027.
Förseningen skedde efter intensiv lobbying från europeisk industri. Mer än 40 stora bolag inklusive ASML, Airbus, Ericsson, Nokia, SAP, Siemens och Mistral AI varnade öppet för att lagen riskerade att över-reglera EU ur den globala AI-kapplöpningen. EU-kommissionen själv erkände att harmoniserade standarder och tekniska verktyg som krävdes för efterlevnad inte var färdiga i tid — bara 8 av 27 medlemsstater hade då utsett nationella AI-myndigheter.
Förseningen gäller dock inte AI literacy-kravet i artikel 4 — det är fortfarande aktivt och måste uppfyllas. Inte heller förbuden mot oacceptabel AI eller GPAI-reglerna är förskjutna. Det är specifikt högrisk-implementeringen som fått mer tid.
För svenska bolag som använder AI-verktyg (alltså är deployers) gäller följande huvudsakliga skyldigheter, främst enligt artikel 26 i förordningen:
För minimal- och begränsad-risk-AI är skyldigheterna betydligt lättare — främst handlar de om transparens (informera när användaren pratar med AI) och AI literacy hos personalen.
För många svenska bolag är det rekryterings-AI som blir den största praktiska frågan. Enligt bilaga III i lagen klassas följande som högrisk:
Ett svenskt rekryteringsbolag som använder AI för att sortera CV:n eller matcha kandidater omfattas alltså av högrisk-reglerna. Samma sak gäller för HR-avdelningar som använder rekryterings-AI internt.
I praktiken handlar mycket av detta om att dokumentera processer som redan finns. Företag som redan har sunt rekryteringshantverk — där AI alltid kompletteras av människans bedömning — har ofta största delen av compliance på plats. För Balr Consulting har vi själva tagit fram en intern AI Policy som tydligt reglerar detta.
Det här är den skyldighet som flest svenska bolag missar att de redan måste uppfylla. Artikel 4 i EU AI Act är aktiv sedan 2 februari 2025 och säger att alla som tillhandahåller eller använder AI-system ska:
"...vidta åtgärder för att, så långt som möjligt, säkerställa en tillräcklig nivå av AI-kompetens hos sin personal och andra personer som hanterar driften och användningen av AI-system å deras vägnar..."
Vad "tillräcklig" innebär definieras inte exakt i lagen. Det är upp till varje företag att bedöma utifrån:
Det innebär att en rekryterare som använder Bullhorn AI behöver djupare utbildning än en administratör som bara använder Copilot för att skriva mejl. För de flesta bolag räcker det med en dokumenterad utbildningsplan, basutbildning för alla, fördjupad utbildning för dem som hanterar högrisk-AI, och ett utbildningsregister som bevis.
Det viktiga är inte att alla blir AI-experter — det är att ni kan bevisa att ni tagit kravet på allvar med dokumentation som visar vem som utbildats om vad och när.
Sanktionerna i EU AI Act är strukturerade i tre nivåer:
| Överträdelse | Maxbot |
|---|---|
| Förbjudna AI-tillämpningar (oacceptabel risk) | 35 miljoner euro eller 7 % av global omsättning (det högsta) |
| Brott mot högrisk-krav (inkl. deployer-skyldigheter) | 15 miljoner euro eller 3 % av global omsättning |
| Bristfällig dokumentation eller felaktig information | 7,5 miljoner euro eller 1 % av global omsättning |
För små och medelstora bolag (SMB) gäller en mildare regel: sanktionen är det lägre av beloppet eller procentsatsen. Det innebär att stora multinationella bolag riskerar betydligt högre böter än ett medelstort svenskt bolag, även för samma typ av överträdelse.
Den praktiska implementeringen av sanktioner är ännu i sin linda. Tillsynsmyndigheterna fokuserar i första hand på vägledning och samarbete snarare än att straffa. Men vid uppenbara och allvarliga överträdelser — särskilt sådana som rör grundläggande rättigheter — kan sanktioner bli aktuella redan nu.
Sverige har valt en sektorbaserad tillsynsmodell. Enligt den statliga utredningen SOU 2025:101 föreslås följande ansvarsfördelning:
Sverige planerar dessutom minst en regulatorisk sandbox där bolag kan testa AI-system i en kontrollerad miljö med myndighetstillsyn innan systemen lanseras på marknaden. PTS ansvarar för den primära sandboxen.
Den svenska regeringens AI-strategi inkluderar 479 miljoner kronor i stöd för regelefterlevnad — bland annat genom utbildningsinsatser för små och medelstora företag.
EU AI Act är långt ifrån okontroversiell. Här är vad båda sidor säger — utan att vi tar ställning.
Båda sidor har giltiga poänger. För svenska bolag är slutsatsen pragmatisk: lagen måste följas oavsett om man håller med eller inte. Det betyder dock inte att man ska överimplementera — det räcker långt med en proportionell approach som matchar er faktiska AI-användning.
Oavsett vad man tycker om lagen finns det konkreta steg att ta. Här är en pragmatisk plan:
För de flesta svenska bolag handlar EU AI Act inte om dramatiska förändringar. Många gör redan det som krävs — de använder AI som beslutsstöd, har människor som granskar resultat, och bedriver utbildning. Det viktiga är att dokumentera det ni redan gör. Compliance är till stor del en pappersövning, inte en omkullkastning av verksamheten.
EU AI Act är ett område där få bolag har all kompetens internt — och där fel approach kan skapa onödig byråkrati eller, omvänt, exponera bolaget för rättsliga risker. Vi på Balr Consulting ser tre vanliga engagemang:
1-2 veckors insats där våra AI-konsulter kartlägger era AI-verktyg, klassificerar dem mot EU AI Act:s risknivåer och identifierar var ni har gap mot kraven. Resultatet: en konkret action plan med 30, 60 och 90 dagars vyer.
Hjälp att ta fram en pragmatisk intern AI-policy som matchar er verksamhet, samt löpande governance-stöd. Detta inkluderar utbildningsplan, dokumentationsmallar och processer för nya AI-verktyg. Vi kan dela vår egen Balr Consulting AI Policy som referenspunkt.
Strukturerad utbildning för olika roller — från grundläggande AI-medvetenhet till djupgående utbildning för rekryterare eller andra som hanterar högrisk-AI. Allt levereras med dokumentation som uppfyller artikel 4-kraven.
Vi tillsätter dessutom specialister inom Copilot Implementation, Azure AI och cybersäkerhet för bredare AI-projekt.
Balr Consulting tillsätter erfarna AI-konsulter och compliance-specialister inom dagar. Skicka en förfrågan så återkommer vi med kvalificerade kandidater inom 24-48 timmar.
Vad är EU AI Act?
EU AI Act (Förordning 2024/1689) är världens första omfattande lagstiftning som reglerar artificiell intelligens. Den klassificerar AI-system i fyra risknivåer — oacceptabel, hög, begränsad och minimal risk — och ställer olika krav beroende på risk. Lagen trädde i kraft 1 augusti 2024 och tillämpas stegvis. Vissa förbud gäller sedan februari 2025, AI literacy-kravet är aktivt sedan 2 februari 2025, och högrisk-reglerna får full tillämpning 2 december 2027 efter EU:s 16-månadersförsening.
Gäller EU AI Act mitt företag?
Ja, om ert företag använder eller utvecklar AI-system inom EU. Lagen gäller alla aktörer som tillhandahåller, distribuerar eller använder AI på EU-marknaden, oavsett var företaget har sitt säte. Som användare av AI-verktyg klassas ni som deployer och har vissa skyldigheter. Endast rent personlig icke-yrkesmässig användning är undantagen.
Vad är skillnaden mellan provider och deployer i EU AI Act?
Provider (leverantör) är den som utvecklar eller marknadsför ett AI-system - exempelvis OpenAI, Microsoft eller Google. Deployer (användare) är den organisation som använder AI-systemet i sin verksamhet. Deployers har lättare skyldigheter än providers men måste bland annat säkerställa mänsklig översyn, AI literacy hos personal, korrekt användning enligt instruktioner och loggning av högrisk-AI.
När börjar EU AI Act gälla på riktigt?
Lagen trädde i kraft 1 augusti 2024 och tillämpas stegvis. Förbud mot oacceptabel AI och AI literacy-kravet (artikel 4) gäller sedan 2 februari 2025. Regler för generella AI-modeller (GPAI) gäller från 2 augusti 2025. Högrisk-AI-reglerna skulle ursprungligen gälla från 2 augusti 2026 men sköts upp 16 månader till 2 december 2027 efter beslut i Digital Omnibus on AI (maj 2026). Inbyggda AI-system får ytterligare anstånd till 2 augusti 2028.
Vad räknas som högrisk-AI?
Högrisk-AI är system som används inom områden där de kan påverka individers grundläggande rättigheter, säkerhet eller tillgång till tjänster. Exempel inkluderar AI för rekrytering och CV-sortering, kreditbedömning, biometrisk identifiering, kritisk infrastruktur, utbildning, brottsbekämpning och migration. För svenska bolag är rekryterings-AI ofta den mest relevanta kategorin - bilaga III i lagen listar alla högrisk-områden.
Vad är AI literacy och måste alla anställda ha det?
AI literacy enligt artikel 4 i EU AI Act innebär att personalen ska ha tillräcklig AI-kompetens för de verktyg de använder. Kravet gäller alla EU-bolag sedan 2 februari 2025 och är riskbaserat - djupare utbildning krävs för dem som hanterar högrisk-AI än för dem som använder Copilot för att skriva mejl. Det finns ingen specifik certifiering som krävs; bolaget får själv bedöma vad som är tillräckligt och dokumentera det.
Vilka sanktioner finns vid brott mot EU AI Act?
Sanktioner är strukturerade i tre nivåer. Brott mot förbjudna AI-tillämpningar kan ge upp till 35 miljoner euro eller 7 procent av global omsättning. Brott mot högrisk-krav (inklusive deployer-skyldigheter och AI literacy) kan ge upp till 15 miljoner euro eller 3 procent av global omsättning. Bristfällig dokumentation kan ge upp till 7,5 miljoner euro eller 1 procent. För små och medelstora bolag gäller det lägre av belopp eller procentsats.
Vad är kritiken mot EU AI Act?
Kritiken är omfattande och kommer från flera håll. Stora europeiska bolag som Airbus, Ericsson, SAP, Siemens, ASML och Mistral varnar för att lagen kväver europeisk innovation i ett område där EU redan ligger efter USA och Kina. Andra menar att definitioner som tillräcklig AI literacy är otydliga och svåra att tillämpa, att lagen placerar för stor börda på små deployers, och att EU saknar tillräckliga harmoniserade standarder för att företag ska kunna efterleva kraven. Motargumenten lyfter att lagen skyddar individers grundläggande rättigheter och säkerställer mänsklig översyn i kritiska beslut.