Regelverk & Efterlevnad

EU AI Act: böter på 35 miljoner euro och de flesta styrelser är inte redo

EU AI Act Fines Reach €35 Million, Most Boards Are Not Ready

EU AI Act gäller nu delvis, och bötesstrukturen är inte ett förhandlingsunderlag. Organisationer som har driftsatt förbjudna AI-system riskerar böter på upp till 35 miljoner euro eller 7 % av den globala årsomsättningen, beroende på vilket belopp som är högst. För högrisk-AI-system som inte uppfyller lagens tekniska krav och styrningskrav är taket 15 miljoner euro eller 3 % av den globala omsättningen. Det handlar inte om teoretiska maxbelopp reserverade för extremfall. Det är de tak som EU-kommissionen satte med avsikt att säkerställa att summorna är tillräckligt stora för att göra ont för alla företag av någon storlek.

AI Act trädde i kraft den 1 augusti 2024. De första förbuden mot AI-system med oacceptabel risk blev verkställbara från den 2 februari 2025. Kraven på högrisk-system börjar gälla från augusti 2026. Skyldigheterna för generella AI-modeller, inklusive transparens- och säkerhetskrav för de mest kapabla foundation-modellerna, gäller från augusti 2025. Implementeringstidsplanen är stegvis, men tillsynen är ingen avlägsen utsikt.

Vad lagen faktiskt reglerar

EU AI Act är ett riskbaserat regelverk. Alla AI-system regleras inte på samma sätt. Lagen delar in dem i fyra nivåer: oacceptabel risk, hög risk, begränsad risk och minimal risk. Kategorin oacceptabel risk är redan förbjuden. Den omfattar biometrisk realtidsövervakning på offentliga platser med snäva undantag för brottsbekämpning, statliga system för social poängsättning och AI utformad för att utnyttja psykologiska sårbarheter i syfte att påverka beteende.

Hög risk är där det mesta av företagens efterlevnadsarbete kring AI befinner sig. Lagen definierar högrisk-system som sådana som används vid rekryterings- och anställningsbeslut, kreditbedömning, utbildning och yrkesutbildning, tillgång till samhällsviktiga tjänster, brottsbekämpning, migrationshantering och rättskipning. AI som används för att hantera kritisk infrastruktur omfattas också. Alla organisationer som driftsätter AI i dessa kategorier måste genomföra konformitetsbedömningar, upprätthålla teknisk dokumentation, implementera mekanismer för mänsklig tillsyn och registrera systemet i EU:s AI-databas innan driftsättning. Registreringsskyldigheten är ny mark för de flesta juridiska team och compliance-funktioner.

Generella AI-modeller, vilket inkluderar de stora språkmodeller som europeiska företag integrerar i produkter och interna arbetsflöden i snabb takt, har egna skyldigheter enligt avdelning VIII i lagen. Leverantörer av modeller med systemisk risk, definierat av ett träningsgränssnitt på över 10^25 FLOP, måste genomföra adversarial testing, rapportera allvarliga incidenter till European AI Office och implementera cybersäkerhetsskydd. European AI Office ansvarar för tillsyn på modellnivå och är placerat inom EU-kommissionen.

Efterlevnadsgapet är ett styrelseproblem

AI Act lägger det juridiska ansvaret på styrelser, inte på IT-avdelningar. Artikel 26 ställer krav på dem som driftsätter högrisk-AI-system, de ska säkerställa mänsklig tillsyn, övervaka systemets prestanda och rapportera allvarliga incidenter. Det är styrningsskyldigheter. En styrelse som har delegerat alla beslut om AI-driftsättning till en teknisk funktion, utan dokumenterade tillsyns- och godkännandeprocesser, är exponerad oavsett om det underliggande systemet är tekniskt kompatibelt.

Det är det strukturella problemet som de flesta organisationer ännu inte har åtgärdat. Många europeiska företag har investerat i AI-verktyg, en del har publicerat AI-policyer, men den dokumentationsspår som tillsynsmyndigheter vill se vid en utredning, inklusive riskbedömningar genomförda före driftsättning, loggar över mänsklig tillsyn och rutiner för incidentrapportering, saknas i de flesta fall. Lagen accepterar inte goda avsikter som ersättning för dokumentation.

Efterlevnadsutmaningen förvärras av takten i AI-adoptionen. Juridiska team och riskfunktioner ombeds bedöma system som upphandlades och driftsattes innan lagen existerade, av verksamhetsgrenar som inte involverade dem i beslutet. Att arbeta bakåt genom ett AI-register för att identifiera vad som omfattas av högrisk-klassificeringen är tidskrävande och har, i många organisationer, inte ens påbörjats.

Extraterritoriell räckvidd: organisationer utanför EU är inte undantagna

AI Act gäller för leverantörer och driftsättare vars AI-system producerar utdata som används inom EU, oavsett var dessa organisationer är etablerade. Ett amerikanskt mjukvaruföretag som säljer ett AI-drivet rekryteringsverktyg till en tysk arbetsgivare omfattas av lagens högrisk-krav för det verktyget. Ett singaporianskt fintech-bolag som erbjuder AI-baserade kreditbeslut till EU-konsumenter är i scope. Den territoriella logiken är densamma som i GDPR: det avgörande är var effekten uppstår, inte var organisationen är registrerad.

Det berör nordiska företag med dotterbolag och partners utanför EU, och nordiska dotterbolag till moderbolag utanför EU. Efterlevnadsskyldigheten följer driftsättningen och användaren, inte bolagsstrukturen.

Tre åtgärder före augusti 2026

Börja med ett AI-register. Innan något efterlevnadsarbete är meningsfullt måste organisationer veta vilka AI-system de kör, vem som driftsatte dem, vilka beslut de påverkar och om något faller inom de högrisk-kategorier som definieras i bilaga III till lagen. Det är inte en teknisk övning. Den kräver underlag från HR, ekonomi, kundverksamhet och inköp vid sidan av IT.

Klassificera innan du bygger kontroller. Konformitetsbedömningsprocessen för högrisk-system skiljer sig från en vanlig IT-riskbedömning. Den kräver dokumentation av systemets avsedda syfte, de dataset som använts för träning, teknisk testning av noggrannhet och robusthet samt en utvärdering av bias. Organisationer som ännu inte har klassificerat sina AI-system kan inte slutföra konformitetsbedömningar och kan inte lagligen driftsätta dessa system i högrisk-sammanhang från och med augusti 2026.

Etablera ett arbetsflöde för incidentrapportering nu. Lagen kräver att driftsättare av högrisk-AI-system rapporterar allvarliga incidenter till relevant nationell marknadstillsynsmyndighet. I Sverige är MSB ledande tillsynsmyndighet för många sektorer inom relaterade regelverk. Att testa rapporteringskedjan innan en incident inträffar, snarare än att upptäcka att den inte existerar under en pågående incident, är det enskilt mest underutnyttjade förberedelsesteg som compliance-team har tillgång till i dag.

EU-kommissionens officiella efterlevnadsportal för AI Act och vägledningen från European AI Office är de auktoritativa utgångspunkterna. Checklistor från leverantörer och ramverk från konsulter ersätter inte lagen själv. Texten är offentlig, den är specifik och det är det dokument en tillsynsmyndighet kommer att använda.

Referenser

  1. EU AI Act Full Text (Regulation 2024/1689)
  2. European AI Office – AI Act Implementation
  3. European Commission: AI Act Entry Into Force
  4. ENISA: AI Cybersecurity Guidance
  5. MSB: AI and Information Security

This post is also available in: English

Per Häggdahl

Jobbar som CSO/CISO, har arbetat med leverans av säkra system till banker, riksbanker, börser och värdepapperscentraler i över 20 år.