AI Act — en ny regulatorisk verklighet
Europeiska unionen var först i världen med att skapa en omfattande reglering av artificiell intelligens. Förordningen AI Act (Regulation (EU) 2024/1689) trädde i kraft den 1 augusti 2024 och tillämpas stegvis: de första skyldigheterna gäller från och med den 2 februari 2025, huvuddelen från den 2 augusti 2026, full tillämpning från den 2 augusti 2027. Varje företag som använder AI-system i sin verksamhet inom EU måste sätta sig in i dem.
AI Act förbjuder inte artificiell intelligens — den reglerar den utifrån ett riskbaserat tillvägagångssätt. Ju högre risk, desto strängare krav. De flesta affärsmässiga AI-tillämpningar hamnar i kategorierna låg eller begränsad risk, vilket innebär relativt lätta skyldigheter. Men det finns områden där kraven är mycket strikta.
Tidsplan för ikraftträdande (Art. 113)
- 1 augusti 2024 — förordningens ikraftträdande
- 2 februari 2025 — förbuden mot farliga metoder (Kapitel II, Art. 5) och skyldigheten till AI-kunskap (Art. 4) tillämpas
- 2 augusti 2025 — skyldigheter för leverantörer av general-purpose AI-modeller (Kapitel V) samt bestämmelser om tillsynsmyndigheter och sanktioner
- 2 augusti 2026 — skyldigheter för högrisksystem tillämpas (Kapitel III), transparens för chatbottar och deepfakes (Art. 50), regulatoriska sandlådor
- 2 augusti 2027 — full tillämpning, inklusive skyldigheter för högrisksystem inbyggda i produkter som redan omfattas av befintliga harmoniseringsregler i EU (Bilaga I)
Riskklassificering av AI-system
AI Act delar in AI-system i fyra riskkategorier:
- Oacceptabel risk (förbjuden, Art. 5) — system som manipulerar mänskligt beteende under medvetandetröskeln, social poängsättning av myndigheter, biometrisk övervakning i realtid (med undantag), känsloigenkänning på arbetsplatsen och i utbildning, prediktiv kriminell profilering. Dessa system är förbjudna.
- Hög risk (Kapitel III, Art. 6-27) — AI som används vid rekrytering, kreditgivning, hälso- och sjukvård, utbildning, rättskipning, kritisk infrastruktur. De strängaste kraven: dokumentation, testning, transparens, mänsklig tillsyn, registrering i EU-databasen.
- Begränsad risk (Art. 50) — chatbottar, deepfakes, innehållsgenererande system. Transparenskrav: användaren måste veta att hen pratar med AI, och AI-genererat innehåll måste märkas maskinläsbart.
- Minimal risk — de flesta AI-tillämpningar i näringslivet: spamfilter, produktrekommendationer, automatisering av interna processer. Minimala eller inga skyldigheter.
Vem är leverantör och vem är användare av ett AI-system?
AI Act skiljer mellan två nyckelroller. Leverantören (provider) är den enhet som skapar och släpper ut ett AI-system på marknaden. Deployer är den enhet som använder AI-systemet i sin ekonomiska verksamhet. Skyldigheterna skiljer sig åt mellan rollerna — leverantörer har strängare krav gällande teknisk dokumentation och certifiering.
Ett företag som köper en färdig AI-lösning av en leverantör och använder den för sina egna processer är en deployer. Ett företag som anpassar eller finjusterar en modell för egna tillämpningar kan bli leverantör med alla därav följande konsekvenser.
Skyldigheter för deployers av högrisksystem (Art. 26)
Om ditt företag använder ett AI-system med hög risk (t.ex. ett scoringsystem i kreditprocessen, ett verktyg för CV-screening, ett system för stöd vid medicinsk diagnostik) måste du:
- Säkerställa mänsklig tillsyn över AI-systemets beslut
- Föra driftsloggar i minst 6 månader
- Genomföra en konsekvensbedömning för grundläggande rättigheter (FRIA, Art. 27)
- Informera anställda om AI-system som berör dem
- Rapportera allvarliga incidenter och fel till behörig tillsynsmyndighet
Regulatoriska sandlådor (Art. 57-63)
AI Act föreskriver regulatoriska sandlådor — en mekanism som låter företag testa innovativa AI-system under tillsynsmyndighetens övervakning i en kontrollerad miljö. Varje medlemsstat är skyldig att starta minst en sandlåda senast den 2 augusti 2026. För företag som utvecklar AI-lösningar inom högriskområden är detta en praktisk väg till återkoppling från tillsynsorgan redan före full certifiering.
Sanktioner (Art. 99)
Böterna för överträdelse av AI Act är graderade utifrån typen av överträdelse:
- upp till 35 miljoner EUR eller 7% av global årsomsättning (det högre beloppet) för tillämpning av förbjudna praktiker (Art. 5)
- upp till 15 miljoner EUR eller 3% av global årsomsättning för överträdelser av övriga skyldigheter i förordningen
- upp till 7,5 miljoner EUR eller 1% av global årsomsättning för att lämna oriktig, ofullständig eller vilseledande information till tillsynsmyndigheter
För SMF och startups tillämpas det lägre av de två beloppen för att undvika oproportionerlig börda.
Så stödjer ESKOM.AI efterlevnad av AI Act
ESKOM.AI hjälper organisationer att förbereda sig för AI Acts krav. Vi erbjuder revision av befintliga AI-system med avseende på riskklassificering, utarbetande av teknisk dokumentation, implementering av mekanismer för mänsklig tillsyn och loggning, samt utbildningar för team som ansvarar för compliance. Varje ny AI-implementation i vårt utförande är utformad med AI Act-efterlevnad i åtanke från dag ett.