Varför AI-frågor dyker upp i due diligence
När EU-facing företag köper in eller investerar i AI- och SaaS-tjänster ställer de allt fler frågor om efterlevnad av Europaparlamentets och rådets förordning (EU) 2024/1689 (AI-förordningen). Frågorna kommer ofta via standardiserade frågeformulär som CAIQ (Consensus Assessments Initiative Questionnaire) och SIG (Standardized Information Gathering), eller via investor due diligence inför finansieringsrundor.
För en leverantör handlar det inte bara om att svara, utan om att svara källhänvisat – så att varje påstående kan härledas till en konkret grund i förordningen och i den egna dokumentationen. AI-förordningen är en EU-förordning som gäller direkt i Sverige; ingen separat svensk implementeringslag krävs.
Vilka AI Act-frågor köpare ställer
Typiska frågeområden som återkommer i AI- och säkerhetsformulär:
- Roll enligt förordningen: Är ni leverantör (provider) eller tillhandahållare (deployer, även kallad driftsättare) för respektive AI-system? Beakta att artikel 25 kan omklassificera en tillhandahållare till leverantör.
- Riskklassificering: Faller något system under högrisk enligt Bilaga III, eller berörs ni av förbuden i artikel 5?
- AI-kunnighet: Hur uppfyller ni artikel 4 (i kraft sedan 2 februari 2025)?
- Transparens: Hur hanterar ni artikel 50, som gäller från 2 augusti 2026, för exempelvis chatbots och AI-genererat innehåll?
- Högrisk-skyldigheter: Om Bilaga III aktualiseras – hur uppfyller ni dokumentations-, tillsyns- och övervakningskrav (jfr artikel 26)?
- Tidslinjer: Hur förhåller ni er till Bilaga III-tidpunkten 2 augusti 2026 och det föreslagna senareläggandet till 2 december 2027 (Digital Omnibus-förslag, ännu ej i kraft)?
Hur man svarar källhänvisat
Ett trovärdigt svar bör för varje fråga ange:
- Rättslig grund – vilken artikel eller bilaga frågan rör (t.ex. artikel 50, Bilaga III).
- Faktisk status – hur er organisation faktiskt förhåller sig till kravet.
- Bevis – var dokumentationen finns (t.ex. AI-inventering, bruksanvisningar, policyer).
Undvik vaga formuleringar. Att skriva att man är "fullt efterlevande" utan att ange grund och datum är svagt. Bättre är att precisera: artikel 4 är i kraft sedan 2 februari 2025 och uppfylls genom dokumenterad utbildning; artikel 50 förbereds inför ikraftträdandet 2 augusti 2026. Var noggrann med tidslinjer – 2 december 2027 ska alltid markeras som ett förslag (Digital Omnibus, ännu ej i kraft).
Varför källhänvisning lönar sig
Köpare och investerare värderar svar som går att verifiera. Felaktiga uppgifter kan dessutom få konsekvenser i andra sammanhang: enligt artikel 99 kan oriktig information till myndigheter medföra böter upp till 7,5 miljoner EUR eller 1 % av global årsomsättning. Även om ett kundformulär inte är en myndighetsrapport, är vanan att svara korrekt och spårbart en god grund för regelefterlevnad i stort.
Hur Modul 2 Leverantörsdokumentationspaket hjälper
PowerQuants Modul 2 (Leverantörsdokumentationspaket / Procurement Evidence Pack) är utformad för just denna situation: källhänvisade svar på AI-delen av kund- och investorfrågeformulär, exempelvis SIG och CAIQ. Paketet kopplar svaren till relevant grund i förordning (EU) 2024/1689 och till den egna dokumentationen.
Underlaget bygger lämpligen vidare på en AI-inventering och ett Artikel 4-register (PowerQuants Modul 1), så att roll- och riskklassificering finns på plats innan formulären besvaras. Allt levereras som dokumentation, inte juridisk rådgivning. Angivna SEK-priser är preliminära.
Inför inköp
- Säkerställ att ni har en aktuell AI-inventering och kan ange er roll (leverantör/tillhandahållare) per system.
- Förbered standardsvar med rättslig grund, faktisk status och bevis för återkommande CAIQ/SIG-frågor.
- Markera alltid 2 december 2027 som Digital Omnibus-förslag, ännu ej i kraft.
- Håll svaren spårbara och uppdaterade i takt med att artikel 50 (2 augusti 2026) närmar sig.
- Överväg ett källhänvisat dokumentationspaket (jfr PowerQuant Modul 2) för att svara konsekvent.
Denna text utgör allmän information och är inte juridisk rådgivning.