EU AI Act 2026, vad det betyder i Sverige

EU AI Act är världens första breda regelverk för artificiell intelligens. Förordningen antogs 2024 och trädde i kraft den 1 augusti samma år, men reglerna har rullats ut i etapper. För dig som använder eller bygger AI-tjänster i Sverige 2026 betyder det att vissa delar redan gäller, vissa börjar gälla i sommar, och vissa väntar fortfarande på sin tur.

Det här är inte ännu en sammanfattning av paragrafer i tre nivåer. Vi går igenom riskklasserna, vad som börjat gälla när, vilka skyldigheter du faktiskt har som svensk användare eller företagare, och hur IMY tänker agera när någon bryter mot reglerna.

Vad är EU AI Act i korthet?

EU AI Act är en förordning, vilket betyder att den gäller direkt i Sverige utan att riksdagen behöver implementera den i nationell lag. Den klassificerar AI-system efter risk och ställer olika krav beroende på risknivå. Logiken är enkel: ju större risk för individens rättigheter, hälsa eller säkerhet, desto fler skyldigheter för leverantören och användaren.

Förordningen omfattar både leverantörer (de som bygger och säljer AI-system) och deployers (de som använder ett AI-system i sin verksamhet). Den gäller även företag utanför EU om deras AI-system används inom unionen, vilket är samma extraterritoriella logik som GDPR.

Riskklasserna i EU AI Act

Förordningen delar in AI-system i fyra nivåer.

Otillåten risk (förbjudet)

Vissa användningar är helt förbjudna inom EU. Det handlar bland annat om social scoring av medborgare, manipulativ AI som utnyttjar barns eller funktionsnedsattas sårbarhet, biometrisk realtidsidentifiering i offentliga rum (med snäva polisiära undantag) och prediktiv brottsbekämpning baserad enbart på profilering. Förbuden började gälla redan den 2 februari 2025.

Hög risk

Hög risk är den största och mest betungande kategorin. Hit räknas AI-system inom kritisk infrastruktur, utbildning och bedömning av elever, rekrytering och HR-beslut, kreditbedömning, försäkringspriser, brottsbekämpning, gränskontroll och rättskipning. Också medicinteknik och biometri klassas som högrisk.

Leverantörer av högrisksystem måste bland annat genomföra riskbedömningar, dokumentera teknisk information, ha ett kvalitetsledningssystem, logga händelser, säkerställa mänsklig övervakning och registrera systemet i en EU-databas. Användare av högrisksystem har också skyldigheter, exempelvis att övervaka systemet och rapportera incidenter.

Begränsad risk (transparenskrav)

Här hamnar de flesta vanliga generativa AI-tjänster. Chattbottar måste informera om att användaren talar med en AI. Deepfakes och AI-genererat innehåll måste märkas. Modeller med syntetisk text, bild, ljud eller video ska generera utdata som är maskinläsbart märkta.

Minimal risk

AI i spelfilter, skräppostfilter och liknande lågriskanvändningar har inga särskilda krav utöver befintlig lagstiftning. De flesta AI-system hamnar här.

Tidslinjen: när börjar vad gälla?

Det här är där många blir förvirrade. Förordningen har inte ett enda startdatum.

• 1 augusti 2024: AI Act träder formellt i kraft.
• 2 februari 2025: Förbuden mot otillåten AI börjar gälla. Krav på AI-kompetens hos personal som hanterar AI börjar också gälla.
• 2 augusti 2025: Regler för general purpose AI (GPAI), det vill säga grundmodeller som GPT, Claude, Gemini, börjar gälla. Sanktionsregler och nationella tillsynsmyndigheter ska vara på plats.
• 2 augusti 2026: Huvuddelen av förordningen blir tillämplig, inklusive de flesta krav på högrisksystem.
• 2 augusti 2027: Slutdatum för högrisk-AI som är inbäddad i produkter som omfattas av befintlig produktsäkerhetslagstiftning (medicinteknik, leksaker, fordon).

Just nu, maj 2026, gäller alltså förbuden, GPAI-reglerna och AI-kompetenskravet. Resten av högriskreglerna landar om knappt tre månader.

Vad betyder det här för dig som privatperson?

Som vanlig användare av ChatGPT, Gemini eller Claude märker du mest av transparenskraven. AI-genererat innehåll ska märkas, deepfakes likaså, och chattbottar måste tala om att de är AI. Du har också rätt att få en förklaring när ett högrisksystem (typ en automatiserad kreditbedömning) fattar ett beslut som påverkar dig.

Du kan klaga till Integritetsskyddsmyndigheten (IMY) om du tror att en AI-tjänst bryter mot reglerna. IMY har utsetts till samordnande tillsynsmyndighet i Sverige, även om vissa sektorer (finansinspektionen, läkemedelsverket) tar hand om sina egna områden.

Vad gäller för svenska företag?

Här blir det mer konkret. Som svenskt företag har du tre möjliga roller enligt AI Act.

Roll 1: Du använder befintliga AI-tjänster (deployer)

Det här gäller de flesta. Om du betalar för ChatGPT, Copilot eller Claude och använder dem i din verksamhet är du en deployer. Sedan februari 2025 har du en konkret skyldighet: AI-kompetens. Personalen som arbetar med AI ska ha tillräcklig kunskap för att förstå systemet, dess risker och dess begränsningar.

Det betyder inte att alla behöver gå en kurs. Men det måste finnas en intern logik för vem som får använda vad, till vad, och med vilken förståelse. Här tjänar du på att titta på vår genomgång av bästa AI-verktygen tillsammans med en intern policy.

Använder du AI för rekrytering, utbildning, kreditbedömning eller liknande blir du dessutom deployer av ett högrisksystem och får extra skyldigheter: dokumentation, övervakning, incidentrapportering.

Roll 2: Du integrerar AI i en produkt (leverantör)

Bygger du ett verktyg som använder en grundmodell under huven, och säljer det under eget varumärke i EU, räknas du som leverantör. Då är det din uppgift att se till att slutprodukten uppfyller AI Acts krav, även om grundmodellen kommer från OpenAI eller Anthropic.

Roll 3: Du tränar egna modeller (provider av GPAI)

Få svenska företag tränar egna grundmodeller, men de som gör det får tunga skyldigheter sedan augusti 2025: teknisk dokumentation, transparens om träningsdata, copyright-policy och i vissa fall systemic risk assessment.

IMY:s roll i Sverige

Regeringen utsåg under 2025 Integritetsskyddsmyndigheten (IMY) till nationell samordnande myndighet för AI Act. Beslutet är logiskt, AI Act och GDPR överlappar i många praktiska frågor. IMY ansvarar för tillsyn av flertalet AI-system, hanterar klagomål från allmänheten och samarbetar med andra svenska myndigheter inom respektive sektor.

Konkret innebär det att om du som företag bryter mot AI Act är det IMY som kommer på besök. Om du som privatperson tror att en AI-tjänst diskriminerat eller manipulerat dig är det till IMY du anmäler.

Tillsynsmyndigheten i Bryssel, AI Office, hanterar GPAI-leverantörerna direkt. Det är där OpenAI och Anthropic primärt rapporterar.

Böterna är på GDPR-nivå

Förordningen har vassa tänder. Sanktionerna ligger i samma härad som GDPR, ibland högre.

• Otillåten AI: upp till 35 miljoner euro eller 7 procent av global omsättning.
• Brott mot högriskregler: upp till 15 miljoner euro eller 3 procent av global omsättning.
• Felaktig information till myndigheter: upp till 7,5 miljoner euro eller 1 procent av global omsättning.

Det är högsta tariff. För småföretag är beloppen lägre och tillsynsmyndigheterna förväntas vara proportionerliga. Men ribban är satt, och praxis kommer att forma sig under 2026-2027.

Praktiska steg för svenska företag just nu

Vänta inte till augusti 2026. Sex saker värda att börja med:

1. Inventera vilka AI-tjänster som faktiskt används i organisationen. Skuggorganisering är norm, inte undantag.
2. Klassificera användningen mot AI Acts riskkategorier. De flesta är begränsad risk, men HR-, ekonomi- och säkerhetsfunktionerna kan hamna i högrisk.
3. Skriv en intern AI-policy som hanterar både AI Act och GDPR. Vår genomgång av AI för småföretag är en bra utgångspunkt.
4. Dokumentera AI-kompetenskravet. Vem har fått vilken utbildning, och när?
5. Kontrollera leverantörsavtal. För kritiska användningar behöver du veta hur leverantören uppfyller sina skyldigheter.
6. Bevaka Sveriges AI-strategi och IMY:s vägledningar löpande. Båda kommer att utvecklas snabbt under nästa år.

Vanliga frågor om EU AI Act

Vad härnäst?

EU AI Act är inte färdig. Tillsynspraxis, vägledningar och delegerade akter kommer att forma hur reglerna tolkas under 2026-2028. Det viktigaste för svenska företag just nu är att ha koll på vad som används internt och dokumentera AI-kompetensen.

För dig som vill grotta ner dig vidare, vår genomgång av GDPR och ChatGPT hanterar dataskyddsfrågorna i detalj, och AI och jobben tittar på hur arbetsmarknaden faktiskt förändras under regleringens första år.