Med EU:s AI-förordning (Regulation (EU) 2024/1689) på plats har AI-compliance blivit en konkret verklighet för organisationer i hela Europa. Förordningen började tillämpas stegvis under 2025, och under 2026 träder de mest omfattande kraven i kraft – inte minst för högrisk-AI-system.
Den här artikeln ger en praktisk genomgång av vad compliance innebär, vilka krav som gäller, och hur ni kan förbereda er organisation.
Vad innebär AI Compliance?
AI Compliance handlar om att säkerställa att AI-system som utvecklas, distribueras eller används inom EU uppfyller de krav som AI-förordningen ställer. Det rör sig om:
- Riskklassificering – att identifiera om ert AI-system faller under oacceptabel, hög, begränsad eller minimal risk.
- Dokumentation och transparens – att kunna visa hur systemet fungerar, vilken data det tränats på, och vilka beslut det fattar.
- Mänsklig tillsyn – att det finns möjlighet till mänsklig kontroll och ingripande.
- Datakvalitet och styrning – att tränings- och testdata uppfyller kvalitetskrav.
Riskklassificeringen: grunden för era skyldigheter
AI-förordningen bygger på en riskbaserad modell med fyra nivåer:
Oacceptabel risk (förbjudet)
Vissa AI-användningar är helt förbjudna sedan februari 2025. Det gäller bland annat:
- Social poängsättning (social scoring) av myndigheter
- Realtids-biometrisk identifiering på distans i offentliga miljöer (med begränsade undantag)
- AI som utnyttjar sårbarheter hos specifika grupper
- Subliminal manipulation som kan orsaka skada
Hög risk
Högrisk-AI-system får de mest omfattande kraven. Hit hör system som används inom:
- Kritisk infrastruktur – energi, transport, vatten
- Utbildning – antagning, betygsättning
- Arbetsmarknad – rekrytering, uppsägning, prestationsbedömning
- Rättsvårdande myndigheter – riskbedömning, bevisanalys
- Migration och gränskontroll – ansökningshantering, riskprofilering
Kraven inkluderar riskhanteringssystem, datakvalitetskrav, teknisk dokumentation, loggning, transparensinformation, mänsklig tillsyn och cybersäkerhet.
Begränsad risk
System med begränsad risk har framför allt transparenskrav – till exempel måste chatbottar och deepfakes tydligt märkas så att användare vet att de interagerar med AI eller att innehållet är AI-genererat.
Minimal risk
De flesta AI-system faller under minimal risk och har inga specifika krav, även om frivilliga uppförandekoder uppmuntras.
Högrisk-AI: de viktigaste kraven i praktiken
Om ert system klassificeras som högrisk behöver ni uppfylla ett antal krav som börjar tillämpas fullt ut i augusti 2026:
1. Riskhanteringssystem (Art. 9)
Ett riskhanteringssystem ska etableras, implementeras och dokumenteras genom hela systemets livscykel. Det ska identifiera och analysera kända och förutsebara risker, och utvärdera risker som kan uppstå vid avsedd användning och rimligt förutsebar missbruk.
2. Datakvalitet (Art. 10)
Tränings-, validerings- och testdata ska uppfylla kvalitetskrav gällande relevans, representativitet, riktighet och fullständighet. Bias i data ska identifieras och hanteras.
3. Teknisk dokumentation (Art. 11)
Dokumentation ska upprättas innan systemet släpps och hållas uppdaterad. Den ska ge tillräcklig information för att myndigheter ska kunna bedöma systemets överensstämmelse.
4. Loggning (Art. 12)
Högrisk-AI-system ska ha automatisk loggning som möjliggör spårbarhet. Loggar ska bevaras under en lämplig tidsperiod.
5. Transparens och information (Art. 13)
Användare ska få tydlig information om systemets kapacitet, begränsningar, avsedd användning och tolkningsbarhet.
6. Mänsklig tillsyn (Art. 14)
Systemet ska utformas så att det kan övervakas effektivt av människor. Det ska finnas möjlighet att ingripa, avbryta eller korrigera.
7. Cybersäkerhet (Art. 15)
Systemet ska uppnå en lämplig nivå av säkerhet, motståndskraft och noggrannhet med hänsyn till sin avsedda användning.
Kopplingen till GDPR och NIS2
AI-compliance existerar inte i ett vakuum. Två andra centrala regelverk påverkar direkt:
GDPR
AI-system som behandlar personuppgifter måste fortsatt följa GDPR. Det innebär bland annat:
- Rättslig grund för databehandling (t.ex. samtycke, berättigat intresse)
- Dataskyddskonsekvensbedömning (DPIA) för högriskbehandlingar
- Rätten till förklaring vid automatiserat beslutsfattande (Art. 22 GDPR)
- Privacy by design i systemutvecklingen
NIS2
Organisationer som omfattas av NIS2-direktivet har redan skyldigheter kring cybersäkerhet och incidentrapportering. AI-förordningens cybersäkerhetskrav för högrisk-AI överlappar med NIS2, vilket skapar möjlighet till samordnad efterlevnad.
Tidslinje: när gäller vad?
| Datum | Vad händer |
|---|---|
| Februari 2025 | Förbud mot AI med oacceptabel risk börjar gälla |
| Augusti 2025 | Regler för GPAI-modeller (General Purpose AI) tillämpas |
| Augusti 2026 | Fullständiga krav för högrisk-AI-system träder i kraft |
| Augusti 2027 | Krav på högrisk-AI som är inbäddad i reglerade produkter |
Så förbereder ni er organisation
Steg 1: Inventera era AI-system
Kartlägg vilka AI-system ni utvecklar, köper in eller använder. Identifiera vilka som kan klassificeras som högrisk.
Steg 2: Genomför en riskbedömning
Analysera risknivån för varje system. Dokumentera den bedömning som lett till klassificeringen.
Steg 3: Etablera ett compliance-ramverk
Inför processer för dokumentation, riskhantering, datakvalitet, mänsklig tillsyn och incidenthantering.
Steg 4: Koppla ihop med GDPR och NIS2
Se över befintliga processer för dataskydd och cybersäkerhet. Identifiera synergier och luckor.
Steg 5: Utbilda organisationen
Säkerställ att nyckelpersoner – utvecklare, jurister, ledning – förstår kraven och sin roll i efterlevnaden. AI-förordningen ställer krav på "AI literacy" (Art. 4).
Sammanfattning
EU:s AI-förordning ändrar spelplanen för alla som arbetar med AI i Europa. Compliance är inte bara en juridisk skyldighet – det är en möjlighet att bygga förtroende, minska risk och skapa hållbara AI-system.
Organisationer som börjar förbereda sig nu – med riskklassificering, dokumentation och integrerade processer – kommer att ha en tydlig fördel när de fullständiga kraven träder i kraft i augusti 2026.
Vill ni veta var ni står? Walma hjälper organisationer att kartlägga sin AI-användning, bedöma risknivåer och bygga ett compliance-ramverk som uppfyller EU:s AI-förordning, GDPR och NIS2 – i praktiken, inte bara på papper.
