PowerQuantSESkicka ert frågeformulär

Avancerad FAQ för tillhandahållare — EU:s AI-förordning + NIS2

22 djupgående svar för organisationer som redan förstår grunderna och arbetar med implementering av artikel 26, FRIA-omfång, bevisning enligt bilaga IV, leverantörshantering, bötes­exponering och Digital Omnibus-tidsplanen. Artikelnummer hänvisar till förordning (EU) 2024/1689 (EU:s AI-förordning) och direktiv (EU) 2022/2555 (NIS2).

Denna sida är teknisk dokumentation, inte juridisk rådgivning. PowerQuant ApS (CVR 46274067) är en leverantör av efterlevnadsbevis; för juridisk tolkning, rådfråga kvalificerad juridisk rådgivare.


1. Vad kräver artikel 26 konkret av en tillhandahållare för ett högrisk-AI-system?

Artikel 26 fastställer de grundläggande skyldigheterna för tillhandahållare: (a) använda systemet i enlighet med leverantörens bruksanvisning (art. 26(1)); (b) tilldela mänsklig tillsyn till fysiska personer med nödvändig kompetens, utbildning, befogenhet och stöd (art. 26(2)); (c) i de fall den tillhandahållaren kontrollerar indata, säkerställa att dessa är relevanta och tillräckligt representativa för det avsedda ändamålet (art. 26(4)); (d) övervaka driften i förhållande till bruksanvisningen och informera leverantören/distributören och marknadskontrollmyndigheten om användningen medför en risk enligt art. 79(1), samt avbryta användningen utan onödigt dröjsmål (art. 26(5)); (e) behålla automatiskt genererade loggar i den utsträckning de befinner sig under den tillhandahållarens kontroll i minst sex månader, om inte EU-rätten eller nationell rätt föreskriver annat (art. 26(6)); (f) vid driftsättning på arbetsplatsen, informera arbetstagarrepresentanter och berörda arbetstagare innan systemet tas i drift (art. 26(7)).

2. Vem måste genomföra en konsekvensbedömning avseende grundläggande rättigheter (FRIA) enligt artikel 27?

Tre kategorier av tillhandahållare måste genomföra en FRIA innan högrisk-AI-system förtecknade i bilaga III används för första gången: (i) offentligrättsliga organ; (ii) privata enheter som tillhandahåller offentliga tjänster; och (iii) tillhandahållare som använder AI för kreditvärdighets­bedömning eller riskbedömning och prissättning inom liv- och hälsoförsäkring (bilaga III, punkt 5(b) och (c)). Bedömningen måste beskriva den process systemet stöder, perioden och frekvensen för användningen, de kategorier av fysiska personer och grupper som sannolikt berörs, de specifika skaderiskerna, de planerade åtgärderna för mänsklig tillsyn samt de åtgärder som ska vidtas om risker materialiseras — inklusive styrnings- och klagomålsarrangemang. Resultatet anmäls till marknadskontrollmyndigheten på AI-kontorets mall, och en GDPR-konsekvensbedömning enligt art. 35 GDPR kompletteras — inte ersätts — av FRIA.

3. Vilka administrativa bötesnivåer gäller enligt artikel 99 i AI-förordningen?

Artikel 99 fastställer tre tak, i varje fall det högre av ett fast belopp eller en procentandel av den totala globala årsomsättningen: (1) upp till 35 000 000 euro eller 7 % av den totala globala årsomsättningen för överträdelser av reglerna om förbjudna metoder i artikel 5; (2) upp till 15 000 000 euro eller 3 % för överträdelser av de flesta andra skyldigheter som är bindande för leverantör, importörer, distributörer, tillhandahållare, anmälda organ och befullmäktigade ombud (inklusive skyldigheter för tillhandahållare enligt art. 26); (3) upp till 7 500 000 euro eller 1 % för tillhandahållande av felaktig, ofullständig eller vilseledande information till anmälda organ eller nationella behöriga myndigheter. För små och medelstora företag, inklusive nystartade företag, tillämpas det lägre av det fasta beloppet eller procentandelen (art. 99(6)).

4. Hur förhåller sig NIS2-böter till AI-förordningens böter om båda tillämpas?

De är oberoende regelverk och kan kombineras. Enligt NIS2 artikel 34 riskerar väsentliga entiteter administrativa böter: väsentliga entiteter upp till minst 10 000 000 euro (eller, om högre, ett belopp motsvarande 2 % av den totala globala årsomsättningen under det föregående räkenskapsåret); viktiga entiteter upp till minst 7 000 000 euro (eller, om högre, 1,4 %). Dessa NIS2-tak är helt separata från AI-förordningens eget genomdrivande. AI-förordningens nivåer (art. 99) — 35 M€/7 %, 15 M€/3 %, 7,5 M€/1 % — tillämpas utöver dessa, för samma incident om den utlöser båda regelverken (t.ex. ett säkerhets­intrång i ett högrisk-rekryterings-AI-system som också omfattas av NIS2-rapportering). NIS2 inför också personligt ansvar för företagsledningen vid grov oaktsamhet i cyberstyrningen.

5. När börjar skyldigheterna för tillhandahållare faktiskt gälla?

Ramverksdatumet är 2 augusti 2026 — då kapitel III-skyldigheterna för högrisk-system (inklusive skyldigheter för tillhandahållare enligt art. 26 och FRIA enligt art. 27) ursprungligen var planerade att gälla. Den preliminära politiska överenskommelsen om Digital Omnibus från den 7 maj 2026 föreslår att tillämpligheten av fristående högrisk­krav enligt bilaga III skjuts upp till den 2 december 2027, och AI inbäddad i produkter med reglering enligt bilaga I (medicintekniska produkter, maskiner, fordon m.m.) till den 2 augusti 2028. Dessa ändringar får rättsverkan först när Omnibus formellt antagits och offentliggjorts i Europeiska unionens officiella tidning — till dess är den 2 augusti 2026 det bindande datumet. Förbuden i artikel 5 och AI-läskunnighetsskyldigheten i artikel 4 har gällt sedan den 2 februari 2025, och påföljdssystemet i kapitel XII har gällt sedan den 2 augusti 2025.

6. Gäller skyldigheterna för tillhandahållare utanför EU?

Ja, på två sätt. (i) Art. 2(1)(b) omfattar tillhandahållare som är etablerade eller belägna inom unionen. (ii) Art. 2(1)(c) utsträcker förordningen extraterritoriellt till leverantör och tillhandahållare som är etablerade eller belägna utanför unionen, om det resultat som produceras av AI-systemet används inom unionen. En norsk eller brittisk tillhandahållare som använder ett högrisk-rekryterings­system för att granska kandidater till ett EU-dotterbolag omfattas därmed, även om den tillhandahållare enheten befinner sig utanför EU.

7. Är vi tillhandahållare eller leverantör om vi finjusterar eller omprofilerar en leverantörs högriskmodell?

Artikel 25(1) omklassificerar en tillhandahållare (eller distributör eller importör) till ny leverantör av högrisk-AI-systemet i tre situationer: (a) att sätta sitt namn eller varumärke på ett högrisk-system som redan placerats på marknaden eller tagits i drift; (b) att göra en väsentlig ändring av ett högrisk-system på ett sådant sätt att det förblir högrisk enligt art. 6; eller (c) att ändra det avsedda ändamålet för ett icke-högrisk-AI-system så att det blir ett högrisk-system. När detta inträffar övergår den ursprungliga leverantörens skyldigheter till dig, och den ursprungliga leverantören måste samarbeta och dela den information som behövs för att uppfylla kraven (art. 25(2)). Finjustering av en grundmodell för ett HR-relaterat högrisk­ändamål är den klassiska fällan här.

8. Vad är en "väsentlig ändring" som innebär att vi övergår till leverantörsstatus?

Art. 3(23) definierar väsentlig ändring som en ändring av ett AI-system, efter att det placerats på marknaden eller tagits i drift, som inte förutsågs eller planerades i den ursprungliga konformitetsbedömningen av leverantören och som till följd därav påverkar systemets överensstämmelse med högrisk­kraven i kapitel III, avsnitt 2, eller som resulterar i en ändring av det avsedda ändamål för vilket AI-systemet har bedömts. Skäl 128 klargör att omskolning inom parametrar som förut­bestämts av leverantören inte är väsentlig. Väsentliga ändringar av träningsdatans fördelning, utdataklasser eller riskprofil är det i regel.

9. Vilka register över automatiska loggar måste vi föra, och hur länge?

Art. 26(6) kräver att tillhandahållare bevarar de loggar som automatiskt genereras av högrisk-AI-systemet, i den utsträckning dessa loggar befinner sig under deras kontroll, under en period som är lämplig för systemets avsedda ändamål och minst sex månader — om inte annan unionsrätt eller nationell rätt (framför allt GDPR) fastställer en annan period. Loggarna i sig definieras av art. 12: spårbarhet under systemets livscykel som möjliggör identifiering av situationer som kan resultera i en risk enligt art. 79(1) eller leda till en väsentlig ändring, och som underlättar marknadsövervakning efter utsläppandet enligt art. 72. För biometriska system enligt bilaga III, punkt 1, fastställer art. 12(3) explicit minimiinnehåll för loggar (användningsperiod, referensdatabas, indata, involverade personer vid verifiering).

10. Vilka bruksanvisningar bör vi förvänta oss av leverantören, och vad händer om de är otillräckliga?

Art. 13 kräver att leverantör förser varje högrisk-AI-system med bruksanvisningar som inkluderar leverantörens identitet och kontaktuppgifter; systemets egenskaper, kapacitet och prestandabegränsningar (inklusive avsett ändamål, noggrannhets-, robusthets- och cybersäkerhetsnivåer som avses i art. 15, förutsebar felanvändning, prestanda för personer/grupper, specifikationer för indata); förutbestämda ändringar; åtgärder för mänsklig tillsyn enligt art. 14; beräknings- och hårdvaruresurser, förväntad livslängd och underhåll; samt en beskrivning av mekanismen för logginsamling. Om bruksanvisningarna saknas, är ofullständiga eller inte möjliggör användning i enlighet med det avsedda ändamålet kan den tillhandahållaren inte åberopa efterlevnad av art. 26(1). I praktiken: vägra leverans, begär en korrigerad version och dokumentera begäran — detta blir bevis vid eventuella framtida tillsynsåtgärder.

11. Hur ser effektiv mänsklig tillsyn (art. 14) faktiskt ut på den tillhandahållarens sida?

Art. 14 lägger designskyldigheten på leverantören, men art. 26(2) lägger den operativa skyldigheten på den tillhandahållaren: att tilldela tillsyn till fysiska personer med nödvändig kompetens, utbildning, befogenhet och stöd. I praktiken innebär detta (i) namngivna personer per system med dokumenterade rollbeskrivningar; (ii) bevis på att de förstår systemets kapacitet och begränsningar och korrekt kan tolka resultaten (art. 14(4)(a)–(b)); (iii) befogenheten att besluta om att inte använda resultaten, att upphäva eller omvända dem och att stoppa systemet via en "stopp"-knapp eller liknande förfarande (art. 14(4)(d)–(e)); (iv) medvetenhet om automatiserings­bias (art. 14(4)(b)). För biometriska identifieringssystem enligt bilaga III punkt 1 kräver art. 14(5) dessutom verifiering av minst två fysiska personer med nödvändig kompetens innan någon åtgärd vidtas.

12. Är vi skyldiga att registrera något i EU:s databas?

Tillhandahållare som är offentliga myndigheter (och de som agerar på deras vägnar) för högrisk-system enligt bilaga III måste registrera sig själva och användningen av systemet i EU:s databas innan det tas i drift eller används (art. 49(3)–(4) och art. 71). Tillhandahållare inom den privata sektorn registrerar sig inte direkt — leverantören registrerar högrisk-AI-systemet i enlighet med art. 49(1) och leverantörens listning innehåller systemidentifieraren. Tillhandahållare bör behålla den av leverantören utfärdade registreringsreferensen i sitt AI-register som en del av bevisningen för att utsläppandet på marknaden var lagenligt.

13. Vilken bevisning måste vi kunna uppvisa vid en inspektion av en marknadskontrollmyndighet?

Art. 26(12) kräver att tillhandahållare samarbetar med behöriga myndigheter vid åtgärder avseende högrisk-AI-systemet. I praktiken kommer myndigheterna att begära: (i) AI-registret som mappar varje system till dess bilaga III-kategori, roll (tillhandahållare eller leverantör) och leverantörens EU-databas-ID; (ii) leverantörens CE-märkta konformitetsdeklaration och bruksanvisningar (art. 47, art. 13); (iii) FRIA-resultat och anmälningsmallen som skickats till marknadskontrollmyndigheten där art. 27 tillämpas; (iv) rolltilldelningar för mänsklig tillsyn, utbildningsprotokoll och incidentloggar; (v) automatiska loggar enligt art. 26(6); (vi) förklaringar enligt art. 86 som lämnats till berörda personer på begäran; (vii) arbetsplatsanmälningsprotokoll enligt art. 26(7); (viii) utbildningsprotokoll för AI-läskunnighet enligt art. 4.

14. Vad innebär "rätten till förklaring" enligt art. 86 för en tillhandahållare?

Art. 86 ger varje person som är föremål för ett beslut fattat av den tillhandahållaren på basis av resultaten från ett högrisk-AI-system enligt bilaga III (med undantag för punkt 2 — kritisk infrastruktur) och som ger upphov till rättsliga effekter eller på liknande sätt väsentligt påverkar dem på ett sätt de anser inverkar negativt på deras hälsa, säkerhet eller grundläggande rättigheter, rätten att från den tillhandahållaren erhålla tydliga och meningsfulla förklaringar av AI-systemets roll i beslutsfattandet och de viktigaste elementen i det fattade beslutet. Tillhandahållare bör i förväg ta fram en förklaringsmall per högrisk-system snarare än att improvisera under tidspress när en begäran inkommer, och bör anpassa den till eventuella parallella skyldigheter enligt GDPR art. 22.

15. Vi använder ett AI-system som kan vara en GPAI-modell (generell AI) finjusterad för HR. Vad förändras?

Om det system du driftsätter är ett högrisk-AI-system gäller dina skyldigheter enligt art. 26 oavsett vilken modellarkitektur som finns inuti det. Leverantörens GPAI-modellskyldigheter (kapitel V — teknisk dokumentation enligt art. 53, transparens gentemot nedströms leverantör, upphovsrättspolicy enligt art. 53(1)(c), och för systemrisk­modeller de ytterligare skyldigheterna i art. 55) ligger uppströms. Som tillhandahållare är den praktiska konsekvensen att din leverantör bör ge dig den art. 53-information du behöver för att integrera modellen i ett högrisk-system och för att uppfylla dina skyldigheter enligt art. 26 — inklusive begränsningar, utvärderingsresultat och begränsningar avseende avsett ändamål. Om leverantören vägrar eller inte kan tillhandahålla detta är det en värdekedjerisk som du måste dokumentera.

16. Hur skiljer sig en AI-förordningens konformitetsbedömning för system enligt bilaga III jämfört med bilaga I?

De flesta högrisk-system enligt bilaga III använder det interna konformitets­bedömningsförfarandet i bilaga VI (egenrevision av leverantören) — inklusive HR-tech-kategorin i bilaga III, punkt 4. Biometriska system enligt bilaga III, punkt 1, kan använda tredjepartsförfarandet i bilaga VII med ett anmält organ i angivna fall (art. 43(1)). Högrisk-system enligt bilaga I — AI inbäddad i produkter som redan regleras av unionsharmoniserings­lagstiftningen förtecknad i bilaga I, avsnitt A (medicintekniska produkter, maskiner, in vitro-diagnostik m.m.) — följer konformitets­bedömningen i den relevanta sektoriella förordningen, med integrering av AI-förordningens krav (art. 43(3)). Tillhandahållare genomför inte konformitets­bedömningen, men de verifierar att den har genomförts innan systemet används.

17. Vad ingår i den tekniska dokumentationen enligt bilaga IV, och behöver tillhandahållare ha en kopia?

Bilaga IV är leverantörens ansvar — den listar 9 obligatoriska punkter: (1) allmän beskrivning av AI-systemet; (2) detaljerad beskrivning av elementen och utvecklingsprocessen; (3) detaljerad information om övervakning, funktion och kontroll av AI-systemet; (4) beskrivning av lämpliga prestandamått; (5) detaljerad beskrivning av riskhanteringssystemet enligt art. 9; (6) beskrivning av relevanta förändringar under livscykeln; (7) förteckning över tillämpade harmoniserade standarder eller, om ej tillämpliga, en beskrivning av antagna lösningar; (8) en kopia av EU-konformitetsdeklarationen enligt art. 47; (9) detaljerad beskrivning av marknadsövervakning efter utsläppandet enligt art. 72. Tillhandahållare behöver inte ha en fullständig kopia av bilaga IV, men bör behålla bruksanvisningarna, konformitetsdeklarationen och leverantörens kontaktuppgifter — och bör kunna begära bevisning från bilaga IV från leverantören när myndigheter frågar.

18. Vad bör AI-leverantörsavtal innehålla för att hålla oss efterlevnadsskyldiga på den tillhandahållarens sida?

Som minimum: (i) en bindande utfästelse att systemet är ett högrisk-AI-system (där tillämpligt) som lagligen placerats på EU-marknaden enligt art. 16 med giltig CE-märkning och konformitetsdeklaration (art. 47); (ii) åtagande att tillhandahålla bruksanvisningar enligt art. 13 på ett unionsmedlemsspråk som är acceptabelt för den tillhandahållaren (art. 13(1)); (iii) samarbetsklausul enligt art. 25(4) som förpliktar leverantören att dela information och tillgång som är nödvändig för att den tillhandahållaren ska kunna uppfylla art. 26; (iv) anmälan om väsentliga ändringar och materiella förändringar innan de driftsätts; (v) samarbete vid incidentrapportering enligt art. 73; (vi) revisions- och loggtillgångsrättigheter i enlighet med art. 26(6); (vii) informationsflöde för marknadsövervakning efter utsläppandet enligt art. 72; (viii) GDPR-databehandlingstillägg när personuppgifter behandlas (art. 28 GDPR).

19. Gäller AI-läskunnighet enligt art. 4 hela organisationen eller bara tillsynspersonalen?

Art. 4 kräver att leverantör och tillhandahållare i möjligaste mån vidtar åtgärder för att säkerställa en tillräcklig nivå av AI-läskunnighet hos sin personal och andra personer som hanterar drift och användning av AI-system på deras vägnar, med hänsyn till deras tekniska kunskap, erfarenhet, utbildning och fortbildning samt det sammanhang där AI-systemen ska användas, och med beaktande av de personer eller grupper av personer för vilka AI-systemen ska användas. Skyldigheten har gällt sedan den 2 februari 2025 och är riskproportionerlig: tillsynspersonal för högrisk-system behöver djupare utbildning än tillfälliga användare av en chatbot. Det finns ingen föreskriven läroplan — bedömningen är om utbildningen är lämplig för rollen och sammanhanget. Dokumentera utbildningsprogrammet, de roller det täcker och bevisning att varje person har genomfört det.

20. Vilka incidentrapporterings­skyldigheter gäller för en tillhandahållare?

Art. 26(5) kräver att tillhandahållare utan onödigt dröjsmål informerar leverantören/distributören och den relevanta marknadskontrollmyndigheten samt avbryter användningen när de har skäl att anse att användning av högrisk-systemet i enlighet med bruksanvisningarna kan resultera i en risk enligt art. 79(1). Separat lägger art. 73 den primära skyldigheten att rapportera allvarliga incidenter på leverantören — men tillhandahållare måste utan onödigt dröjsmål informera leverantören efter att de fått kännedom om en allvarlig incident (art. 26(5) läst tillsammans med art. 73(1)). Allvarlig incident definieras i art. 3(49) och inkluderar incidenter som direkt eller indirekt leder till en persons dödsfall, allvarlig skada på en persons hälsa, en allvarlig och irreversibel störning av kritisk infrastruktur, kränkning av unionsrättsliga skyldigheter avseende grundläggande rättigheter eller allvarlig skada på egendom eller miljö.

21. Hur förhåller sig AI-förordningen till NIS2 för en HR-tech-tillhandahållare som behandlar "viktig" personaldata?

NIS2:s tillämpnings­område bestäms av sektor och storlek (bilagorna I och II), inte av AI-specifika kriterier. En HR-tech-leverantör eller intern HR-tech-funktion faller sällan direkt under NIS2 — men en modergrupp som klassificerats som väsentlig eller viktig entitet under NIS2 (t.ex. inom bank, energi, hälsa, digital infrastruktur, ICT-tjänstehantering) ärver NIS2-skyldigheter för hela sin IT-infrastruktur, inklusive AI-system inbäddade i HR-arbetsflöden. När båda tillämpas måste både AI-förordningens cybersäkerhetskrav på högrisk-system (art. 15) och NIS2 art. 21:s tekniska, operativa och organisatoriska åtgärder uppfyllas. Rapporteringsfristerna skiljer sig: AI-förordningens anmälan om allvarlig incident ska ske "utan onödigt dröjsmål" (art. 73) medan NIS2 kräver en tidig varning inom 24 timmar, en incidentanmälan inom 72 timmar och en slutrapport inom en månad (art. 23).

22. Vi är ett litet nordiskt SME. Finns det någon proportionalitet i AI-förordningen?

Ja, tre faktorer hjälper SME-företag: (i) art. 62 förpliktar medlems­staterna att ge SME-företag och nystartade företag prioriterad tillgång till AI-regulatoriska sandlådor och skräddarsydd medvetandehöjning och utbildning; (ii) art. 56(2)(e) instruerar uppförandekoder att beakta SME-företagens behov; (iii) art. 99(6) begränsar SME-böter till det lägre av procentandelen eller det fasta beloppet (det omvända från regeln "det högsta av" för stora företag). De materiella skyldigheterna för tillhandahållare enligt art. 26 skalas inte ned baserat på företagsstorlek — proportionaliteten ligger i hur skyldigheterna uppfylls (ett mindre företag kan dokumentera ett enklare tillsynsprogram, men det måste ändå finnas och vara granskningsbart).


PowerQuant M1 (AI-register + gap-analys + kontrollmemo för artikel 4) och M2 (upphandlings­bevisningspaket) omvandlar frågorna ovan till dokumenterad bevisning per system. Fast pris, leverans inom 5 dagar, källhänvisningar ner till AI-förordningens text.