Quick Answer
En praktisk efterlevnadschecklista för AI-förordningen ( EU AI Act ) börjar med att fastställa er roll och klassificera era AI-systems risk, för att sedan arbeta igenom dokumentation, styrning och, för högrisksystem, bedömning av överensstämmelse. Nedan får ni en steg-för-steg-checklista och en tidslinje. Detta är allmän information, inte juridisk rådgivning. Steg 1: Är ni leverantör eller ibruktagare? Skyldigheterna i EU AI Act beror på er roll. Klargör därför rollen först, eftersom samma organisation kan vara båda för olika system. Leverantör: ni utvecklar ett AI-system eller en AI-modell, eller låter utveckla det, och släpper ut det på marknaden eller tar det i bruk under eget namn eller varumärke. Leverantörer bär den tyngsta bördan. Ibruktagare: ni använder ett AI-system i er yrkesverksamhet (till exempel ett inköpt rekryteringsverktyg). Ibruktagare har lättare krav men ansvarar för korrekt användning, mänsklig tillsyn och information till berörda. Observera: väsentliga ändringar av ett inköpt högrisksystem, eller att sätta eget varumärke på det, kan göra er till leverantör med fullt ansvar.
En praktisk efterlevnadschecklista för AI-förordningen (EU AI Act) börjar med att fastställa er roll och klassificera era AI-systems risk, för att sedan arbeta igenom dokumentation, styrning och, för högrisksystem, bedömning av överensstämmelse. Nedan får ni en steg-för-steg-checklista och en tidslinje. Detta är allmän information, inte juridisk rådgivning.
Steg 1: Är ni leverantör eller ibruktagare?
Skyldigheterna i EU AI Act beror på er roll. Klargör därför rollen först, eftersom samma organisation kan vara båda för olika system.
- Leverantör: ni utvecklar ett AI-system eller en AI-modell, eller låter utveckla det, och släpper ut det på marknaden eller tar det i bruk under eget namn eller varumärke. Leverantörer bär den tyngsta bördan.
- Ibruktagare: ni använder ett AI-system i er yrkesverksamhet (till exempel ett inköpt rekryteringsverktyg). Ibruktagare har lättare krav men ansvarar för korrekt användning, mänsklig tillsyn och information till berörda.
- Observera: väsentliga ändringar av ett inköpt högrisksystem, eller att sätta eget varumärke på det, kan göra er till leverantör med fullt ansvar.
Vad gäller om ni är utanför EU?
Räckvidden är extraterritoriell. Riktar ni er mot EU-marknaden eller används systemets resultat inom EU omfattas ni, och kan behöva utse en auktoriserad representant i unionen.
Steg 2: Klassificera systemets risk
Gå igenom varje AI-system och placera det på rätt risknivå enligt AI-förordningen. Klassificeringen avgör allt som följer.
| Fråga | Om ja |
|---|---|
| Faller systemet under en förbjuden praktik (t.ex. social poängsättning, manipulation)? | Oacceptabel risk — får inte användas |
| Används det inom ett känsligt område i bilaga III (rekrytering, kredit, biometri, utbildning, kritisk infrastruktur) eller som säkerhetskomponent i en reglerad produkt (bilaga I)? | Hög risk — fullständiga krav |
| Interagerar det med människor, eller genererar det innehåll/deepfakes? | Begränsad risk — transparenskrav |
| Inget av ovanstående? | Minimal risk — inga särskilda krav |
Dokumentera bedömningen för varje system. Klassificeringen ska kunna motiveras och uppdateras om användningen ändras. Tänk på att ett system kan flytta mellan nivåer över tid: en ny funktion eller ett nytt användningsområde kan göra ett tidigare lågrisksystem till högrisk. En undantagsregel finns dessutom för bilaga III-system som bara utför en snäv, förberedande uppgift och inte väsentligt påverkar beslut, men undantaget måste dokumenteras och kunna försvaras.
Behöver ni hjälp med cloud?
Boka ett kostnadsfritt 30-minuters möte med en av våra specialister inom cloud. Vi analyserar ert behov och ger konkreta rekommendationer — helt utan förpliktelse.
Steg 3: Steg-för-steg-checklista
Använd följande efterlevnadschecklista som arbetsordning. Den gäller alla organisationer; omfattningen ökar med risknivån.
- Inventera: upprätta ett register över alla AI-system, deras syfte, leverantör och datakällor.
- Klassificera: fastställ risknivå och roll för varje system (steg 1 och 2).
- AI-kompetens: säkerställ att personal som utvecklar eller använder AI har tillräcklig kunskap (krav sedan februari 2025).
- Transparens: märk AI-genererat innehåll och informera användare när de interagerar med AI.
- Högrisk – riskhantering: inrätta ett riskhanteringssystem över hela livscykeln.
- Högrisk – data: säkerställ datakvalitet och hantera bias i tränings- och testdata.
- Högrisk – tillsyn: bygg in meningsfull mänsklig tillsyn samt loggning, robusthet och cybersäkerhet.
- Bedömning av överensstämmelse: genomför den och anbringa CE-märkning före marknadsintroduktion (se steg 4).
- Registrera: registrera högrisksystem i EU:s databas där så krävs.
- Övervaka: inför övervakning efter utsläppande på marknaden och rapportera allvarliga incidenter.
För ibruktagare av högrisksystem tillkommer särskilda skyldigheter: att använda systemet enligt bruksanvisningen, säkerställa att indata är relevanta, utöva mänsklig tillsyn, spara loggar och i vissa fall informera arbetstagare och genomföra en konsekvensbedömning avseende grundläggande rättigheter. Bocka av varje punkt per system och spara underlaget, eftersom tillsynsmyndigheter kan begära att få se det.
Steg 4: Bedömning av överensstämmelse och CE-märkning för hög risk
Innan ett högrisksystem släpps ut på EU-marknaden måste leverantören genomföra en bedömning av överensstämmelse som visar att alla krav uppfylls.
- För de flesta fristående bilaga III-system görs en intern kontroll mot kraven.
- För vissa system och för produkter under bilaga I kan ett anmält organ (tredjepart) behöva involveras.
- Upprätta en EU-försäkran om överensstämmelse och anbringa CE-märkning.
- Att följa harmoniserade standarder ger en presumtion om överensstämmelse och underlättar processen.
- Bedömningen ska upprepas vid väsentliga ändringar av systemet.
Planera in detta tidigt, eftersom bedömningen av överensstämmelse ofta är den mest tidskrävande delen och måste vara klar innan systemet får tas i bruk. Saknas harmoniserade standarder kan ni stödja er på gemensamma specifikationer från kommissionen.
Steg 5: Dokumentation och styrning
God styrning är ryggraden i efterlevnad av EU AI Act. Säkerställ att följande finns på plats och hålls uppdaterat:
- Teknisk dokumentation som beskriver systemets utformning, data, prestanda och begränsningar.
- Automatisk loggning av händelser för spårbarhet.
- Bruksanvisningar till ibruktagare.
- Ansvarsfördelning och en utsedd intern ägare för AI-styrning, gärna kopplad till befintligt ledningssystem som ISO 27001.
- Samordning med GDPR: genomför konsekvensbedömning avseende dataskydd där personuppgifter behandlas.
Hur hänger AI Act ihop med GDPR?
De gäller parallellt. AI Act reglerar systemet som produkt; GDPR reglerar personuppgifterna. Behandlar ert AI-system personuppgifter måste ni uppfylla båda samtidigt och dokumentera det.
Steg 6: Tidslinje att planera mot
Planera efterlevnaden mot de stegvisa datumen (per juni 2026). Genom 2026 års förenklingspaket (Digital Omnibus) sköts de tyngsta högriskkraven fram.
| Datum | Att ha klart |
|---|---|
| 2 februari 2025 | Avveckla förbjudna tillämpningar; säkra AI-kompetens |
| 2 augusti 2025 | GPAI-krav för leverantörer av allmänna AI-modeller |
| 2 augusti 2026 | Transparenskrav (artikel 50) på plats |
| 2 december 2027 (uppskjutet) | Fullständig efterlevnad för fristående högrisksystem (bilaga III) |
| 2 augusti 2028 (uppskjutet) | Högrisk-AI inbäddad i reglerade produkter (bilaga I) |
Eftersom högriskdatumen har ändrats under lagstiftningsprocessen bör ni alltid verifiera de senaste officiella datumen innan ni låser er plan.
Steg 7: Hur ni börjar
Kom igång med tre konkreta åtgärder:
- Inventera och utse ägare: kartlägg era AI-system och ge någon ansvar för AI-styrning.
- Klassificera och prioritera: identifiera eventuella förbjudna och högrisksystem först, eftersom de kräver mest arbete.
- Bygg vidare på befintliga ramverk: integrera AI-styrning i er informationssäkerhet och era dataskyddsrutiner i stället för att börja från noll.
Vanliga frågor om efterlevnad av AI-förordningen
När börjar AI-förordningen gälla?
Stegvis. Förbjudna tillämpningar gäller sedan februari 2025, GPAI-krav sedan augusti 2025 och transparenskrav från augusti 2026. De tyngsta högriskkraven sköts genom 2026 års förenklingspaket fram till 2 december 2027 (bilaga III) respektive 2 augusti 2028 (bilaga I). Verifiera alltid de senaste officiella datumen.
Gäller checklistan vårt företag om vi inte finns i EU?
Ja, om ni riktar er mot EU-marknaden eller om era AI-systems resultat används inom EU. EU AI Act har extraterritoriell räckvidd och ni kan behöva en auktoriserad representant i unionen.
Vad är skillnaden mellan EU AI Act och GDPR?
GDPR reglerar personuppgifter; AI Act reglerar AI-system som produkter. De gäller parallellt, så ett system som behandlar personuppgifter måste uppfylla båda regelverken.
Hur stora är sanktionerna vid bristande efterlevnad?
Upp till 35 miljoner EUR eller 7 % av global årsomsättning för förbjuden AI, med lägre nivåer (3 % respektive 1 %) för andra överträdelser.
Nästa steg
För en djupare förklaring av regelverket, läs vår översikt av AI-förordningen (EU AI Act). Vill ni omsätta checklistan i en konkret plan hjälper Opsio er med AI-strategi och lösningar.
Denna checklista utgör allmän information och inte juridisk rådgivning. Kontakta juridisk expertis för bedömning av er specifika situation.
Written By
Country Manager, Indien
Praveena leder Opsios verksamhet i Indien och bidrar med över 17 års branschövergripande erfarenhet inom AI, tillverkning, DevOps och managed services.
Editorial standards: Denna artikel är skriven av molnpraktiker och granskad av vårt ingenjörsteam. Vi uppdaterar innehållet kvartalsvis. Opsio upprätthåller redaktionellt oberoende.