När jag pratar med svenska företagsledare och kommunchefer om AI-förordningen är det vanligaste antagandet att "EU har bestämt, så då är det väl bara att följa." Det stämmer formellt. Förordningen är direkt tillämplig i alla medlemsstater och kräver ingen särskild införlivandelag för att gälla. Men i praktiken är efterlevnadsarbetet i Sverige något helt annat än ren EU-rätt. Det är ett pussel av nationell tillsyn, sektorsmyndigheter, en regulatorisk sandlåda som ska vara på plats om tre månader, och fyra-fem andra regelverk som griper in samtidigt.
Den som bara läser AI Act-texten missar minst hälften av jobbet. Den här artikeln går igenom det andra halvan: den svenska kontexten, hur tillsynen organiseras, vad sandlådan faktiskt erbjuder, och varför compliance-arbetet i Sverige nästan aldrig handlar om en enskild förordning.
För övergripande information om datum och milstolpar hänvisar jag till vår sammanställning av AI-förordningen. Här fokuserar jag på det svenska genomförandet.
IMY får huvudrollen, sektorsmyndigheter behåller sina områden
Regeringen har, baserat på AI-kommissionens slutbetänkande Ett samhälle med AI som en god kraft (SOU 2024:75), pekat ut Integritetsskyddsmyndigheten (IMY) som koordinerande nationell tillsynsmyndighet under AI-förordningen. Det betyder att IMY:
- är kontaktpunkt mot AI Office i Bryssel,
- samordnar svensk tillsyn nationellt,
- för dialog med Europeiska AI-styrelsen,
- ansvarar för marknadskontroll inom de områden som inte täcks av sektorsmyndigheter.
Men IMY äger inte hela tillsynen. Sverige följer en sektoriell modell där befintliga tillsynsmyndigheter behåller ansvaret inom sina respektive områden:
- Finansinspektionen för AI i finansiella tjänster (kreditprövning, riskbedömning för försäkring, kapitalförvaltning).
- Läkemedelsverket för AI som är en del av medicintekniska produkter.
- Transportstyrelsen för AI i fordon och transportsystem.
- Skolinspektionen och UKÄ för utbildningsområdet.
- Polismyndigheten för AI inom brottsbekämpning, med Säkerhets- och integritetsskyddsnämnden som granskningsorgan.
Det här är pragmatiskt. Det vore orealistiskt att flytta all AI-relaterad tillsyn till en ny myndighet på 18 månader. Men det skapar också en koordineringsbörda. Om ni utvecklar ett AI-system för kreditprövning hamnar ni under både IMY (för datadelen via GDPR) och Finansinspektionen (för AI Act-delen). I praktiken behöver ni hantera två tillsynsspår parallellt, och dessa myndigheter har olika praxis, olika tempo och olika syn på vad som räknas som tillräcklig dokumentation.
För svenska organisationer betyder det här att första frågan inte är "vad säger AI Act," utan "vilken sektorsmyndighet hamnar vi under, och vilken praxis har de byggt upp inom angränsande regelverk?" Det är där compliance-arbetet börjar.
Statusen just nu: proposition, lag och tidsplan
I april 2026 är läget att AI-kommissionens slutbetänkande är levererat (SOU 2024:75), regeringens proposition är beredd, och en svensk genomförandelag förväntas träda i kraft i god tid före 2 augusti 2026. Lagen är subsidiär till förordningen och reglerar i huvudsak fyra saker:
- Vilka myndigheter som har vilket ansvar.
- Sanktionsavgifternas process inom svensk förvaltningsrätt.
- Etablering och drift av den regulatoriska sandlådan.
- Sekretess och informationsutbyte mellan tillsynsmyndigheter.
Tidsmässigt är detta en hård deadline. Om Sverige inte har den nationella tillsynsstrukturen på plats senast 2 augusti 2026 riskerar EU-kommissionen att inleda överträdelseförfarande. Det är samma dynamik som vi såg med GDPR 2018, då flera medlemsstater var sena.
En sak att hålla ögonen på: även om Digital Omnibus on AI antas och Annex III-deadlinen flyttas till 2 december 2027 (mer om det i den övergripande tidsplanen för AI Act) så förändras inte behovet av nationell struktur. Tillsynsmyndigheten ska finnas på plats oavsett. Sandlådan likaså. Sverige kan inte vänta in trilogutfallet och sedan bygga.
Den regulatoriska sandlådan: nyckeln för svenska SME och offentlig sektor
Artikel 57 i AI-förordningen kräver att varje medlemsstat har minst en regulatorisk AI-sandlåda etablerad senast 2 augusti 2026. I Sverige har Verket för innovationssystem (Vinnova) tillsammans med IMY pekats ut som drivande, och en första pilot väntas öppna under hösten 2026.
Vad är då en regulatorisk sandlåda?
Det är en kontrollerad miljö där ett företag eller en offentlig organisation kan utveckla, testa och validera ett AI-system mot tillsynsmyndighet, i dialog och under en begränsad tid. Skyddet är dubbelriktat: deltagaren får tidig vägledning och en formell bedömning av regelefterlevnaden, och tillsynsmyndigheten får insyn i hur tekniken används i praktiken.
Sandlådan är särskilt värdefull för tre typer av aktörer:
- SME och scaleups som inte har egen juridisk avdelning men utvecklar AI som faller inom Annex III. Att få en formell bedömning från IMY innan lansering kan vara skillnaden mellan att gå live och att inte våga.
- Offentlig sektor som är skyldig att leverera tjänster baserade på AI (digital välfärd, ärendehantering, beslutsstöd) men som har låg risktolerans. Sandlådan ger en formell bana för att testa exempelvis ett AI-baserat beslutsstöd för socialtjänsten utan att riskera tillsynsärende.
- Sektorer med tung produktreglering där högrisk-AI är inbäddad i CE-märkta produkter och samspelet mellan AI Act, MDR (medicinteknik) och Maskinförordningen är komplext.
Praktiska detaljer som ännu inte är formellt fastställda men som ligger i förslagen: ansökningsperioder två gånger per år, urval baserat på samhällsnytta och regulatorisk komplexitet, deltagande är gratis men bygger på betydande egenarbete från sökanden, och resultaten publiceras (anonymiserat där det är motiverat) som vägledning för andra aktörer.
För Walma är sandlådan en av de viktigaste mekanismerna i hela AI Act-strukturen. Det är där det kommer byggas svensk praxis kring vad som faktiskt räknas som tillräcklig riskhantering, dokumentation och mänsklig övervakning. Den som följer sandlådans utfall i tre-fyra år har ett kompetensförsprång jämfört med den som bara läser regeltexten.
Min rekommendation: om er roadmap inkluderar något som faller inom Annex III och ni är osäkra på klassificering eller compliance, börja förbereda en sandlådeansökan redan nu. Den första kohorten kommer få oproportionerligt mycket lärande och relationskapital.
Compliance-stacken: AI Act lever inte i isolation
Det här är kanske den viktigaste poängen i hela artikeln. AI Act lever inte i isolation. En svensk högrisk-implementering träffas typiskt av minst tre regelverk samtidigt, ofta fler. Här är hur de griper in:
GDPR
Behandling av personuppgifter i AI-system ligger fortfarande under GDPR. Artikel 22 i GDPR (automatiserade individuella beslut) blir särskilt central när AI används för beslutsstöd, eftersom den kräver mänsklig prövning, information till den registrerade, och i vissa fall rätt till förklaring. Krocken: AI Act:s logging-krav (artikel 12) kan ibland stå i spänning mot GDPR:s dataminimeringsprincip. Lösningen är inte att välja en, utan att bygga ett system där loggningen är riktad och proportionerlig.
NIS2
Sedan oktober 2024 omfattas en bredare uppsättning organisationer av NIS2 (cybersäkerhetsdirektivet). För högrisk-AI är artikel 15 i AI Act (cybersäkerhet och robusthet) i hög grad operationaliserad genom NIS2:s krav på riskhantering, incidentrapportering och leverantörskedjesäkerhet. Den som redan har NIS2-arbete på plats har en stor del av AI Act:s cybersäkerhetskrav klart, det handlar mest om att lägga till AI-specifika kontroller (modellintegritet, adversariell robusthet) ovanpå.
DORA
För finanssektorn lägger DORA (Digital Operational Resilience Act) ytterligare ett lager. AI-system inom kredit, försäkring och kapitalförvaltning är inte bara högrisk-AI utan också IKT-tjänst med särskilda krav på resiliens, tredjepartshantering och incidentrapportering till Finansinspektionen.
CRA
Cyber Resilience Act som börjar tillämpas successivt från 2027 träffar produkter med digitala element, vilket inkluderar många AI-system som säljs som standalone-produkt eller komponent. Här är samspelet med AI Act:s konformitetsbedömning för högrisk-AI ännu under praxisutveckling.
Branschspecifik produktreglering
För medicinteknik (MDR, IVDR), maskiner (Maskinförordningen) och fordon (typgodkännande) gäller dessutom att AI Act:s högrisk-krav läggs ovanpå redan existerande CE-märkningssystem. Det är detta Digital Omnibus försöker hantera genom att potentiellt flytta sektorslagstiftning från Annex I avsnitt A till B.
Sammantaget: en svensk SaaS-leverantör som bygger ett AI-system för riskbedömning inom försäkring träffas av AI Act, GDPR, NIS2, DORA och Solvens II. En kommun som inför AI-baserat beslutsstöd för bistånd träffas av AI Act, GDPR, förvaltningslagen och socialtjänstlagen. Det är där compliance-arbetet blir tungt, och det är där rådgivare som faktiskt förstår samspelet är värda sitt pris.
Tre rekommendationer baserat på vår praktik
På Walma har vi under det senaste året följt ett tjugotal organisationer genom det första AI Act-arbetet. Tre saker återkommer som mest värdefulla:
1. Mappa er tillsyn först, regelverk sen. Innan ni öppnar AI Act-texten: identifiera vilken eller vilka svenska tillsynsmyndigheter ni hamnar under. Sektorsmyndigheterna kommer ha olika tempo, olika prioriteringar och olika praxis. Att veta att ni ligger under till exempel Finansinspektionen plus IMY ger en helt annan handlingsplan än om ni bara har IMY.
2. Behandla sandlådan som en strategisk möjlighet, inte ett juridiskt verktyg. De första 20-30 organisationer som deltar kommer få oproportionerligt mycket kunskap, varumärkesvärde och relationskapital. Om er roadmap inkluderar något som faller inom Annex III: börja förbereda en sandlådeansökan nu, inte sen.
3. Bygg compliance-stacken som ett system. Försök inte att hantera AI Act, GDPR, NIS2 och DORA som separata projekt med separata team. Det är en av de vanligaste fallgroparna vi ser. Den som har en gemensam dokumentations-, logg- och styrningsmodell sparar 30-50 % av arbetet jämfört med den som silor regelverken.
På Walma har vi byggt vår plattform Noda med exakt det här i åtanke. Full spårbarhet, källhänvisningar och svensk datasuveränitet är inte bara nyckelkrav i AI-förordningen. De är samma nyckelkrav som återkommer i GDPR, NIS2, DORA och CRA. Vi väljer att bygga produkten en gång, mot den högsta gemensamma nämnaren, snarare än att försöka tillgodose varje regelverk separat.
Det är så vi tänker att svenska organisationer kommer behöva tänka under de kommande två åren. AI-förordningen är inte slutspelet. Den är startpunkten för en ny generation regelverk där samspelet är hela poängen.
FAQ
Vilken myndighet i Sverige ansvarar för AI-förordningen?
Integritetsskyddsmyndigheten (IMY) är koordinerande nationell tillsynsmyndighet och kontaktpunkt mot AI Office i Bryssel. Sektorsmyndigheter som Finansinspektionen, Läkemedelsverket och Transportstyrelsen ansvarar inom sina respektive områden.
När öppnar den svenska AI-sandlådan?
En första pilot väntas öppna under hösten 2026, drivet av Vinnova tillsammans med IMY. Sverige måste enligt artikel 57 ha minst en regulatorisk sandlåda etablerad senast 2 augusti 2026.
Behöver vi följa GDPR och AI-förordningen samtidigt?
Ja. De två regelverken kompletterar varandra. GDPR styr behandlingen av personuppgifter, AI-förordningen styr AI-systemets utformning, riskhantering och dokumentation. Båda gäller parallellt och ska byggas in i samma processer.
Räknas vår kommun som högrisk-aktör?
Det beror på användningsområdet. AI för biståndsbeslut, antagning till utbildning, prioritering i akutvård eller riskbedömning inom socialtjänst faller typiskt under Annex III och är därmed högrisk. AI för intern administration utan beslutsstöd gör det oftast inte.
Vad händer om Digital Omnibus on AI antas?
Om Omnibus antas före 2 augusti 2026 kan deadline för Annex III-AI flyttas till 2 december 2027. Den svenska tillsynsstrukturen och sandlådan ska dock vara på plats oavsett, och transparenskraven i artikel 50 är inte föremål för uppskjutning.
Hur kan Walma hjälpa oss med AI-förordningen i Sverige?
Vi hjälper svenska organisationer att kartlägga vilka tillsynsmyndigheter de hamnar under, klassificera AI-användningar enligt Annex III, och bygga en gemensam compliance-stack för AI Act, GDPR, NIS2 och DORA. Vår plattform Noda är byggd med svensk datasuveränitet och full spårbarhet som grund.
