PowerQuantSESkicka ert frågeformulär

EU AI Act och NIS2 för HR-tech-tillhandahållare i hela Europeiska unionen. Tjugosex konkreta frågor om roller, tidslinjer, högriskklassificering, tillhandahållarens skyldigheter enligt art. 26, böter och NIS2-överlappningen — med artikelhänvisningar till förordning (EU) 2024/1689 och direktiv (EU) 2022/2555.

Senast uppdaterat: juni 2026. PowerQuant ApS (CVR 46274067) är en leverantör av teknisk dokumentation och bevis — inte en advokatbyrå. Informationen nedan utgör inte juridisk rådgivning. Verifiera alltid mot den aktuella förordningstexten och den behöriga nationella myndigheten innan ni fattar något efterlevnadsbeslut.

1. Vem gäller lagen för? (Roller)

Roller avgör vilka skyldigheter som gäller. Att blanda ihop tillhandahållarrollen med leverantörsrollen är det enskilt vanligaste misstaget vi ser i EU HR-tech.

Vad är skillnaden mellan en tillhandahållare och en leverantör enligt EU AI Act?

En leverantör utvecklar ett AI-system (eller låter det utvecklas) och lanserar det på EU-marknaden eller tar det i bruk under sitt eget namn eller varumärke (art. 3(3) i förordning (EU) 2024/1689). En tillhandahållare är en fysisk eller juridisk person som använder ett AI-system under sin egen kontroll i en professionell verksamhet (art. 3(4)). De flesta EU HR-tech-företag är tillhandahållare för tredjeparts-AI (Workday Recruiting, Greenhouse, HiBob, Microsoft Copilot, ChatGPT Enterprise, Bullhorn AI) och kan samtidigt vara leverantör av sina egna AI-funktioner.

Är vi en tillhandahållare om vi helt enkelt använder Workday eller Greenhouse?

Ja. När ni aktivt använder ett AI-system i er rekryterings- eller HR-process är ni en tillhandahållare för det systemet oavsett vem som byggde det. Ni har därför fristående skyldigheter enligt art. 26 (högrisk-skyldigheter för tillhandahållare) och art. 50 (transparens) som inte kan avtalas bort till leverantören.

Vi säljer HR-tech som innehåller en AI-funktion — är vi leverantör eller tillhandahållare?

Båda samtidigt, om ni både utvecklar och marknadsför AI-funktionen och även använder den internt. Som leverantör omfattas ni av art. 16–22 (konformitetsbedömning, CE-märkning, övervakning efter utsläppande på marknaden, teknisk dokumentation). Som tillhandahållare gentemot era egna kunder bör ni ändå leverera instruktioner för användning och loggresultat så att kunderna kan styrka sina egna skyldigheter enligt art. 26.

Om vi finjusterar eller väsentligt modifierar en modell, blir vi då en leverantör?

Ja, enligt art. 25(1). Om ni sätter ert eget namn på ett högrisk-AI-system som redan finns på marknaden, väsentligt modifierar ett högrisk-AI-system eller ändrar det avsedda syftet med ett icke-högrisk-system så att det blir högrisk, betraktas ni som en ny leverantör med fullständiga leverantörsskyldig­heter. Ordinär konfiguration eller prompt-anpassning utlöser vanligtvis inte art. 25; finjustering av en modell på era egna data kan göra det.

Gäller EU AI Act för SMF och nystartade företag?

Ja, AI Act gäller oavsett företagets storlek. Några specifika lättnader finns: SMF och nystartade företag får prioriterad tillgång till regulatoriska sandbox-miljöer för AI (art. 62), och taket för administrativa böter enligt art. 99(6) beräknas som det LÄGRE av det fasta EUR-beloppet och procentandelen av omsättningen (tvärtom mot regeln för större företag, där det HÖGRE gäller).

2. Tidslinjer — vad gäller när?

AI Act trädde i kraft den 1 augusti 2024 (förordning (EU) 2024/1689) med fasad tillämpning. De viktigaste datumen för EU HR-tech-tillhandahållare:

När började förbuden mot oacceptabla AI-metoder (art. 5) gälla?

Den 2 februari 2025. Art. 5 förbjuder bland annat social poängsättning av offentliga eller privata aktörer, manipulativ AI som väsentligt snedvrider en persons beteende till deras nackdel, biometrisk fjärridentifiering i realtid i allmänt tillgängliga utrymmen för brottsbekämpning (med snäva undantag), och — särskilt relevant för HR-tech — känsloigenkänning på arbetsplatsen och i utbildningssammanhang, utom av medicinska skäl eller säkerhetsskäl.

När måste vi uppfylla AI-kompetens enligt art. 4?

Art. 4 har gällt sedan den 2 februari 2025 för både leverantör och tillhandahållare. Kommissionens AI-kontor har bekräftat att det inte finns någon övergångsperiod för art. 4 i sig. Aktiv tillsynsverkställighet av nationella marknadsövervakningsmyndigheter börjar den 2 augusti 2026, men den materiella skyldigheten gäller idag.

När börjar transparensskyldigheter enligt art. 50 för tillhandahållare gälla?

Den 2 augusti 2026. Tillhandahållare som genererar eller manipulerar bild, ljud eller video som utgör en djupfälskning måste informera om att innehållet är artificiellt genererat eller manipulerat (art. 50(4)). Tillhandahållare som använder system för känsloigenkänning eller biometrisk kategorisering måste informera de fysiska personer som exponeras för systemet (art. 50(3)). AI-genererad text som publiceras för att informera allmänheten om frågor av allmänt intresse måste märkas som artificiellt genererad, såvida den inte har genomgått redaktionell granskning av människa med redaktionellt ansvar.

När börjar högrisk-skyldigheterna enligt Bilaga III gälla?

Den ursprungliga deadlinen är den 2 augusti 2026 (art. 113(c)). Den politiska överenskommelsen om Digital/AI Omnibus den 7 maj 2026 har FÖRESLAGIT att skjuta upp de fristående Bilaga III-högrisk-skyldigheterna till den 2 december 2027 (och AI inbyggd i produkter reglerade i Bilaga I till den 2 augusti 2028). Europaparlamentet godkände den provisoriska överenskommelsen den 16 juni 2026, men rådet har ännu inte slutfört det formella antagandet och texten har ännu inte publicerats i Europeiska unionens officiella tidning per den 25 juni 2026. Tills den publikationen träder i kraft är den 2 augusti 2026 det rättsligt bindande datumet.

Vad är den aktuella statusen för förslaget om den digitala omnibusen?

En provisorisk politisk (trilogs-)överenskommelse nåddes den 7 maj 2026 mellan kommissionen, parlamentet och rådet. Parlamentet godkände formellt den provisoriska överenskommelsen den 16 juni 2026. Rådets formella antagande och publicering i Europeiska unionens officiella tidning är fortfarande utestående per den 25 juni 2026. Omnibusen berör inte art. 4 (AI-kompetens), art. 5 (förbud), art. 50 (transparens) eller skyldigheterna avseende allmänna AI-modeller i kapitel V — dessa fortsätter enligt sina ursprungliga tidslinjer. Tills omnibusen är formellt antagen och publicerad är den ursprungliga högrisk-deadlinen den 2 augusti 2026 det datum som rättsligt binder er; vi rekommenderar att planera mot den 2 augusti 2026 och behandla eventuell slutgiltig uppskjutning som buffert.

3. När är vi högrisk? (Bilaga III)

Bilaga III listar åtta kategorier av högrisk-användningsfall. HR-tech fångas vanligtvis av punkt 4 (anställning, personalledning och tillgång till egenföretagande) och kan även fångas av punkt 1 (biometri) beroende på användning.

Är rekryterings-AI högrisk?

Ja. Bilaga III punkt 4(a) klassificerar AI-system avsedda att användas för rekrytering eller urval av fysiska personer som högrisk, inklusive system för att placera riktade jobbannonser, analysera och filtrera ansökningar samt utvärdera kandidater. Sökandespårningssystem med AI-poängsättning, CV-gallring, videointerviewanalys och CV-parsing faller typiskt inom denna kategori.

Är personalövervakning och prestationsutvärdering högrisk?

Ja, när det går utöver neutral tidregistrering. Bilaga III punkt 4(b) täcker AI avsett att användas för att fatta eller väsentligt påverka beslut som berör arbetsvillkor, befordran eller uppsägning av arbetsrelaterade avtalsförhållanden, uppgiftsfördelning baserad på individuellt beteende eller personliga egenskaper, samt övervakning och utvärdering av personers prestationer och beteende i sådana förhållanden. Personalanalytik-poängsättning, produktivitets­poängsättning och beteendebaserade instrumentpaneler fångas typiskt.

Är anställningsfacing chatbottar (HR-helpdeskar, policybottar) högrisk?

Vanligtvis nej, inte i sig. En ren informationschatbot utlöser primärt transparensskyldigheten enligt art. 50(1) (användaren måste veta att de interagerar med en AI). Men om chatbotten fattar eller väsentligt stöder beslut om anställningsvillkor, prestationer eller tillgång — till exempel automatiskt godkänner ledighetsansökningar, eskalerar klagomål eller poängsätter medarbetarfeedback — kan den övergå till högrisk-territoriet i Bilaga III punkt 4.

Vår AI-funktion är en liten del av en större produkt — är den ändå högrisk?

Funktionsstorlek avgör inte frågan. Det avgörande är om AI-systemet är avsett för ett högrisk-användningsfall enligt Bilaga III och om det har ett väsentligt inflytande på resultatet av beslutsprocessen (art. 6(3)). Undantaget i art. 6(3) för snäva procedurmässiga uppgifter (mönsterdetektering, förberedande uppgifter, förbättring av genomförd mänsklig aktivitet utan väsentligt inflytande) måste dokumenteras skriftligen och registreras i EU-databasen innan lansering — det är inte ett automatiskt undantag.

4. Vad måste vi göra? (Tillhandahållarens skyldigheter)

Art. 26 fastställer tillhandahållarens skyldigheter för högrisk-AI-system. De är fristående skyldigheter som den tillhandahållaren är skyldig tillsynsmyndigheten och kan inte avtalas bort till leverantören.

Vilka är de viktigaste tillhandahållarens skyldigheter enligt art. 26 för högrisk-AI?

De huvudsakliga skyldigheterna: (a) vidta tekniska och organisatoriska åtgärder för att säkerställa att systemet används i enlighet med instruktionerna för användning, (b) tilldela mänsklig tillsyn till fysiska personer med nödvändig kompetens, utbildning och befogenhet att ingripa, (c) säkerställa att indata är relevanta och tillräckligt representativa för det avsedda ändamålet när den tillhandahållaren kontrollerar indatan, (d) övervaka systemets drift och rapportera allvarliga incidenter till leverantören och den relevanta nationella marknadsövervakningsmyndigheten, (e) spara automatiskt genererade loggar i minst 6 månader, (f) informera berörda arbetstagare och deras representanter innan systemet tas i drift på arbetsplatsen, (g) samordna med GDPR-konsekvensbedömningar avseende dataskydd där det är relevant, och — för offentliga organ och vissa privata tillhandahållare — genomföra en bedömning av påverkan på grundläggande rättigheter enligt art. 27.

Vilka transparensskyldigheter är vi skyldiga våra egna anställda?

Art. 26(7) kräver att tillhandahållare av högrisk-AI på arbetsplatsen informerar arbetstagarrepresentanter och de berörda arbetstagarna — innan systemet tas i drift — om att de kommer att vara föremål för användningen av ett högrisk-AI-system. Denna skyldighet är oberoende av GDPR art. 13/14-informationsskyldigheterna och eventuella nationella regler om medbestämmande/företagsråd. Informationen måste vara begriplig (inte bara ett juridisk-tekniskt meddelande) och dokumenterad.

Vad är en bedömning av påverkan på grundläggande rättigheter (FRIA)?

Art. 27 kräver att tillhandahållare som är organ som regleras av offentlig rätt, privata aktörer som tillhandahåller offentliga tjänster, och tillhandahållare av specifika högrisk-AI-system som anges i Bilaga III punkterna 5(b) och 5(c) (kreditvärdighet och bedömning av liv- eller hälsoförsäkringsrisk) genomför en FRIA innan systemet tas i drift. FRIA:n beskriver den tillhandahållarens processer i vilka systemet kommer att användas, perioden och frekvensen för användning, kategorierna av berörda fysiska personer, de specifika skaderiskerna och åtgärderna för mänsklig tillsyn. Resultatet måste anmälas till den nationella marknadsövervakningsmyndigheten. En FRIA är inte samma sak som en GDPR-DPIA, men de två kan samordnas.

Hur ser transparens enligt art. 50 ut i praktiken för HR-tech-tillhandahållare?

Tre praktiska saker: (1) chatbottar och konversations-AI: slutanvändare måste informeras om att de interagerar med ett AI-system, såvida detta inte är uppenbart för en rimligt välunderrättad person (art. 50(1) gäller leverantör, men upplysning på tillhandahållare-sidan är bästa praxis). (2) AI-genererad eller manipulerad bild, ljud eller video som utgör en djupfälskning: den tillhandahållaren måste informera om att innehållet har artificiellt genererats eller manipulerats (art. 50(4)). (3) AI-genererad text publicerad för att informera allmänheten om frågor av allmänt intresse: måste märkas som artificiellt genererad, såvida inte innehållet har genomgått redaktionell granskning av människa och en fysisk eller juridisk person har redaktionellt ansvar (art. 50(4)). Upplysningen måste vara tydlig, urskiljbar och lämnas senast vid tidpunkten för den första interaktionen eller exponeringen.

Vad innebär AI-kompetens enligt art. 4 i praktiken, och vad bör ett register innehålla?

Art. 4 kräver att leverantör och tillhandahållare vidtar åtgärder för att säkerställa en "tillräcklig nivå" av AI-kompetens för personal och andra personer som hanterar eller använder AI-system å deras vägnar, med beaktande av deras tekniska kunskaper, erfarenhet, utbildning, träning och användningssammanhanget. Ett användbart register innehåller vanligtvis: en lista över roller med AI-exponering, kompetenscertifikat per roll, slutförda utbildningsaktiviteter (datum, innehåll, deltagarlista), utvärderingsmetod och dokumentation av fortlöpande uppföljning. Den erforderliga nivån är kontextuell — en HR-administratör som använder Copilot för kandidatkommunikation behöver en annan nivå än en dataforskare som tränar era egna modeller.

5. Böter och verkställighet

Art. 99 fastställer tre nivåer av administrativa böter. För större företag är boten det HÖGRE av det fasta EUR-beloppet eller procentandelen av den globala årsomsättningen; för SMF och nystartade företag är det det LÄGRE av de två (art. 99(6)).

Hur stora kan böterna enligt EU AI Act bli?

Tre nivåer enligt art. 99: (1) Art. 99(3) — brott mot art. 5 (förbjudna metoder): upp till 35 miljoner EUR eller 7 % av den totala globala årsomsättningen, beroende på vilket som är högst. (2) Art. 99(4) — brott mot andra skyldigheter inklusive art. 16–29 (leverantörs och tillhandahållarens skyldigheter), art. 50-transparens och skyldigheter för anmälda organ: upp till 15 miljoner EUR eller 3 %. (3) Art. 99(5) — tillhandahållande av felaktig, ofullständig eller vilseledande information till anmälda organ eller nationella behöriga myndigheter som svar på en begäran: upp till 7,5 miljoner EUR eller 1 %. För SMF och nystartade företag gäller det LÄGRE av de två beloppen (art. 99(6)).

Vem verkställer EU AI Act i varje medlemsstat?

Varje medlemsstat måste utse en eller flera nationella behöriga myndigheter, inklusive minst en anmälningsmyndighet och en marknadsövervakningsmyndighet, och anmäla dem till kommissionen senast den 2 augusti 2025 (art. 70). Verkställigheten är nationell; gränsöverskridande samordning sker genom AI-kontoret vid kommissionen och AI-styrelsen. Europeiska datatillsynsmannen (EDTM) fungerar som marknadsövervakningsmyndighet för EU-institutioner, organ, kontor och byråer. Verifiera alltid den aktuella utpekandet i den medlemsstat där ni är etablerade eller där AI-systemet används.

Gäller böterna lika för SMF och nystartade företag?

Ja, men beräkningen skiljer sig åt. För SMF (inklusive nystartade företag) är boten det LÄGRE av det fasta EUR-beloppet och procentandelen av omsättningen, per art. 99(6). Det innebär att ett nystartat företag med 500 000 EUR i omsättning som bryter mot art. 5 kan bötfällas med upp till 35 000 EUR (7 % av omsättningen), inte 35 miljoner EUR. Tillsynsmyndigheten måste också beakta SMF:s intressen och ekonomiska livskraft när den fastställer boten.

Vem kan klaga eller utlösa en utredning?

Art. 85 ger varje fysisk eller juridisk person rätt att lämna in ett klagomål till den relevanta nationella marknadsövervakningsmyndigheten om de har skäl att anse att det har skett en överträdelse av AI Act. Berörda arbetstagare, kandidater, civilsamhällesorganisationer och konkurrenter kan alla lämna in klagomål, som myndigheten måste hantera i enlighet med sina egna förfaranden och informera klaganden om framsteg och resultat.

6. NIS2 + EU AI Act-överlappning

NIS2 (cybersäkerhet) och AI Act (AI-styrning) är separata regelverk men kan överlappa för HR-tech som hanterar personuppgifter om anställda och kandidater.

Vad är skillnaden mellan NIS2 och EU AI Act?

NIS2 (direktiv (EU) 2022/2555) är ett cybersäkerhetsregelverk som kräver riskhantering, incidenthantering, leveranskedjessäkerhet och rapportering från väsentliga entiteter och viktiga entiteter i 18 listade sektorer. AI Act reglerar AI-system specifikt — riskklassificering, transparens, mänsklig tillsyn, bias och kvalitet på träningsdata. Ett HR-tech-företag kan omfattas av båda: NIS2 om det faller inom en listad sektor och uppfyller storlekströsklarna, AI Act oberoende därav när det tillhandahåller eller driftsätter AI-system i unionen.

Fångas HR-tech av NIS2?

Det beror på tre faktorer: (1) sektor — Bilaga I och II till NIS2 listar digital infrastruktur, leverantörer av molntjänster, leverantörer av datacenter-tjänster, leverantörer av hanterade tjänster och leverantörer av hanterade säkerhetstjänster, vilket kan täcka den underliggande infrastruktur som HR-tech körs på, (2) storlek — minst medelstort (50+ anställda ELLER mer än 10 miljoner EUR i årsomsättning) för de flesta sektorer, med undantag för mindre enheter avseende kritikalitet, (3) den konkreta tjänst som erbjuds. Ren HR-SaaS som körs ovanpå molnet fångas typiskt inte direkt av NIS2 om den inte kvalificerar som leverantör av digitala tjänster eller kritisk tjänst i sin medlemsstat; de underliggande moln-, hosting- och SOC-leverantörerna gör det vanligtvis. Kontrollera alltid registreringsordningen i etableringsmedlemsstaten.

Vad är NIS2-transpositionsstatus i EU?

Transpositionsdeadlinen var den 17 oktober 2024 (art. 41). Per maj 2026 hade 22 av 27 medlemsstater transpositionslagstiftning i kraft; Frankrike, Irland, Luxemburg, Nederländerna och Spanien befann sig fortfarande i lagstiftningsprocessen enligt ECSO:s transpositionsspårare. Detta innebär att en EU-bred HR-tech-leverantör måste arbeta stat för stat för att identifiera vilken nationell NIS2-lag som gäller, den lokala tillsynsmyndigheten, registreringens skärningsdatum och incidentrapporteringsflödet.

Vilka incidentrapporteringstidslinjer gäller under NIS2?

Art. 23 NIS2 inför ett skiktat anmälningssystem till CSIRT eller behörig myndighet: en TIDIG VARNING inom 24 timmar efter att ha blivit medveten om en betydande incident (med en indikation om huruvida incidenten misstänks vara av skadlig karaktär), en INCIDENTANMÄLAN inom 72 timmar med en initial bedömning av allvar och påverkan, och en SLUTRAPPORT senast en månad efter incidentanmälan (eller en lägesrapport om incidenten pågår). Nationella lagar kan lägga till sektorspecifika skyldigheter utöver detta.

7. Om PowerQuant

Är PowerQuant en advokatbyrå?

Nej. PowerQuant ApS (dansk CVR 46274067) är en leverantör av teknisk dokumentation och bevis. Vi citerar EU-förordningstext ordagrant och levererar sammanställda efterlevnadsbevis (AI-inventering, art. 4-register, art. 50-upplysningspaket, Bilaga III-räckvidds­bedömning, FRIA-mallar, gapanalys för tillhandahållarens kontroller enligt art. 26). För bindande juridisk tolkning av specifika fall, ansvarsfrågor eller rättstvister, kontakta en specialiserad AI/IT-advokatbyrå i er jurisdiktion.

Hur lång tid tar Modul 1, och vad får jag?

Fem arbetsdagar från bokning. Ni får en AI-inventering av era AI-system i bruk, ett AI-kompetensregister enligt art. 4, ett rollbaserat kontrollmemo, ett art. 50-upplysningspaket (kopyfördig text för chatbottar, generativ AI, djupfälskningar där det är relevant) och en gapanalys mot tillhandahållarens skyldigheter enligt art. 26. Leveranser är PDF (PDF/A-4), JSON och Markdown — alla Ed25519-signerade och källciterade till förordningen. Fast pris per .eu-prissidan; det underliggande Modul 1-referenspriset på den danska sajten är 10 999 DKK exkl. moms per AI-system.

Var behandlas data?

Inom EU. PowerQuant använder EU-hostad infrastruktur och behandlar kunduppladdade efterlevnadsbevis inom EU. Underbiträden och tabellen för datalagring listas på /sv/trust/sub-processors. Vi agerar som ert biträde enligt GDPR art. 28 och skriver under ett personuppgiftsbiträdesavtal innan några personuppgifter delas.

Primära källor

  • Förordning (EU) 2024/1689 — Artificiell intelligens-förordningen (Europeiska unionens officiella tidning 12 juli 2024; ikraftträdde 1 augusti 2024)
  • Europeiska kommissionen — AI Act Service Desk + Shaping Europe's Digital Future (AI-kompetens enligt art. 4 Q&A; gäller sedan den 2 februari 2025)
  • Bilaga III — Högrisk-AI-system (punkt 1 biometri, punkt 4 anställning, punkterna 5(b)/(c) FRIA-utlösare)
  • Artikel 99 — Sanktionsavgifter (35 M EUR / 7 %; 15 M EUR / 3 %; 7,5 M EUR / 1 %)
  • Digital/AI Omnibus politisk överenskommelse den 7 maj 2026; parlamentets godkännande den 16 juni 2026; rådets antagande och publicering i Europeiska unionens officiella tidning utestående per den 25 juni 2026
  • Direktiv (EU) 2022/2555 (NIS2) — transpositionsdeadline den 17 oktober 2024; 22/27 medlemsstater transponerade per ECSO-spåraren (maj 2026)
  • Europeiska datatillsynsmannen (EDTM) — marknadsövervakningsmyndighet för EU-institutioner