Förordningen gäller direkt i Sverige
Europaparlamentets och rådets förordning (EU) 2024/1689 (AI-förordningen) är en EU-förordning och gäller direkt i Sverige. Ingen separat svensk implementeringslag krävs för att förordningen ska tillämpas. Svenska myndigheter, regioner och kommuner omfattas därför direkt i den mån de utvecklar eller använder AI-system.
I de flesta fall agerar en myndighet som tillhandahållare (deployer, även kallad driftsättare) av AI-system som anskaffats från externa leverantörer (providers). Notera dock artikel 25: en tillhandahållare kan under vissa förutsättningar omklassificeras till leverantör, exempelvis vid väsentlig ändring av ett högrisk-AI-system eller om systemet förses med myndighetens eget namn.
Högrisk-områden enligt Bilaga III i offentlig verksamhet
Bilaga III förtecknar användningsområden som klassas som högrisk. Flera av dessa är direkt relevanta för offentlig sektor, bland annat:
- AI-system kopplade till tillgång till och åtnjutande av väsentliga samhällsviktiga tjänster och förmåner,
- vissa AI-system inom brottsbekämpning,
- vissa AI-system inom migration, asyl och gränskontroll,
- vissa AI-system inom utbildning och yrkesutbildning.
Skyldigheterna för tillhandahållare av Bilaga III-system gäller från 2 augusti 2026. Det finns ett förslag, Digital Omnibus, om att skjuta upp dessa till 2 december 2027 (Digital Omnibus-förslag, ännu ej i kraft; godkänt av Europaparlamentet 16 juni 2026, men rådet inväntar OJ-publicering). Fram till dess gäller datumet 2 augusti 2026.
Grundläggande konsekvensbedömning enligt artikel 27
För offentliga organ ställer artikel 27 ett särskilt krav. Innan ett högrisk-AI-system enligt Bilaga III tas i drift ska vissa tillhandahållare – däribland offentligrättsliga organ – genomföra en grundläggande konsekvensbedömning av systemets inverkan på grundläggande rättigheter (FRIA, fundamental rights impact assessment).
En sådan bedömning omfattar enligt artikel 27 bland annat en beskrivning av processerna där systemet ska användas, tidsperiod och frekvens för användningen, de kategorier av fysiska personer som kan påverkas, specifika risker för skada samt åtgärder för mänsklig tillsyn och hantering av risker. Resultatet ska i tillämpliga fall anmälas till behörig myndighet.
Tillhandahållarens skyldigheter enligt artikel 26
Utöver artikel 27 gäller de allmänna skyldigheterna för tillhandahållare i artikel 26 för högrisk-AI-system, bland annat användning enligt bruksanvisning, mänsklig tillsyn, säkerställande av relevanta indata i den mån tillhandahållaren kontrollerar dessa, samt övervakning och incidentrapportering.
Transparens enligt artikel 50
Artikel 50 (transparens) gäller från 2 augusti 2026. För offentlig sektor är detta relevant vid exempelvis medborgartjänster och konversationsgränssnitt: fysiska personer ska informeras om att de interagerar med ett AI-system, om det inte är uppenbart, och visst AI-genererat innehåll ska märkas.
Redan i kraft sedan 2 februari 2025 är artikel 4 (AI-kunnighet) och artikel 5 (förbjudna metoder). Offentliga aktörer ska säkerställa tillräcklig AI-kunnighet hos berörd personal och får inte använda de metoder som förbjuds i artikel 5.
Sanktioner enligt artikel 99
- Förbjudna metoder enligt artikel 5: upp till 35 miljoner EUR eller 7 % av global årsomsättning.
- Överträdelser av bland annat artikel 50 och högrisk-skyldigheterna: upp till 15 miljoner EUR eller 3 %.
- Oriktig information till myndigheter: upp till 7,5 miljoner EUR eller 1 %.
Inför inköp
- Inventera AI-system i verksamheten och bedöm vilka som faller under Bilaga III.
- Avgör rollen i varje fall: tillhandahållare eller leverantör (beakta artikel 25).
- Planera grundläggande konsekvensbedömning enligt artikel 27 för relevanta högrisk-system.
- Säkerställ artikel 50-transparens i medborgarkontakter inför 2 augusti 2026.
- Dokumentera AI-kunnighet enligt artikel 4 (jfr PowerQuant Modul 1 för AI-inventering och Artikel 4-register).
Denna text utgör allmän information och är inte juridisk rådgivning.