Hoppa till huvudinnehåll

AI consulting that actually delivers.

Meny

Hem
Om oss
Tjänster
Våra case
[5]
Blogg
Kontakt

Kontakta oss

ETEYA©
Hör av dig
Kopiera email
Öppna mailklient
Boka samtal
kontakt@eteya.ai
kopierad

Sweden (SE)

Sociala medier

IntegritetspolicyIntegritetspolicy
VillkorVillkor
11 MIN LÄSNINGAI-AGENTER

AI-agenter och EU AI Act: vad gäller 2026?

Är din AI-agent reglerad av EU AI Act? De flesta hamnar i begränsad risk med transparenskrav, inte högrisk. Så avgör du nivån och vad lagen kräver av dig.

Filip ThaiAVFILIP THAI
En mörk obsidianformad AI-agent omsluten av koncentriska lime-gröna ringar som antyder ett regelverk runt tekniken, mot djup svart bakgrund

Marknaden är kluven i två läger som sällan möts. Det ena förklarar EU AI Act i detalj men nämner aldrig ordet AI-agent. Det andra hyllar AI-agenternas affärsnytta men hoppar över regelverket helt. Den här guiden kopplar ihop dem: räknas din AI-agent som ett reglerat AI-system, vilken risknivå hamnar den i, och vad kräver lagen av dig konkret?

Den korta nyheten är lugnande för de flesta svenska företag. En kundvänd AI-agent är nästan aldrig högrisk. Men det finns plikter du behöver känna till, och ett par fällor när agenten börjar agera på egen hand.

Är AI-agenter reglerade av EU AI Act?

Ja, men inte som en egen kategori. EU AI Act har ingen särskild paragraf för AI-agenter. De bedöms efter samma regler som vilket annat AI-system som helst: utifrån vad de används till och vilken risk användningen medför. Det är användningen som avgör allt, inte tekniken i sig.

Det här är inte en tolkning från vår sida. EU-kommissionens egen vägledning slår fast att AI-agenter inte är en egen kategori under förordningen, och att definitionen av ett AI-system räcker för att täcka dem. Kommissionens AI Act Service Desk skriver rakt ut att reglerna för AI-system och GPAI-modeller också gäller AI-agenter. Kommissionen kallar själv sin hållning preliminär, eftersom tekniken rör sig fort.

Konsekvensen är viktig: samma agent kan vara nästan oreglerad i ett sammanhang och tungt reglerad i ett annat. En agent som föreslår påfyllningsbeställningar i ett lager är en sak. En agent som sållar jobbansökningar är en helt annan, trots att tekniken bakom kan vara identisk.

EU AI Act är förordning (EU) 2024/1689. Den trädde i kraft 1 augusti 2024 och gäller direkt i Sverige, utan att riksdagen behöver omsätta den i svensk lag. För grunderna i hur en AI-agent faktiskt fungerar har vi en fördjupande guide till AI-agenter för svenska företag.

Vilken risknivå hamnar en AI-agent i?

De flesta AI-agenter som svenska företag använder hamnar i begränsad risk, alltså transparensnivån, inte i högrisk. En kundtjänstagent, en bokningsagent eller en intern assistent är begränsad risk. Högrisk blir det först när agenten används i ett av lagens särskilt utpekade känsliga områden.

Förordningen delar in AI i fyra nivåer: förbjuden, hög risk, begränsad risk och minimal risk. För en AI-agent är de två mittersta de intressanta.

Var de vanliga agenterna landar

En agent som pratar med kunder hamnar i begränsad risk. Då gäller transparenskravet i Artikel 50, men inte de tunga högrisk-skyldigheterna. En agent som bara jobbar i bakgrunden mot interna system, utan att påverka beslut om människor, ligger ofta i minimal risk och är i praktiken oreglerad.

Högrisk är reserverat för områdena i lagens Annex III. Dit hör bland annat rekrytering, kreditbedömning, utbildning och hälsa. En agent som screenar jobbansökningar eller poängsätter låntagare är högrisk. En agent som svarar på frågor om öppettider är det inte.

Själva metoden för att klassificera steg för steg, med roller och undantag, går vi igenom i vår guide till riskklassificering enligt EU AI Act. Här räcker det att veta var en agent normalt landar, och att avgöra om din hör till de känsliga områdena eller inte.

Vad kräver lagen av en kundvänd AI-agent?

Den viktigaste plikten är transparens. Artikel 50 kräver att en AI-agent som pratar direkt med människor är byggd så att personen förstår att det är en AI den möter. Det ska framgå senast vid första interaktionen, om det inte redan är uppenbart för en vanligt uppmärksam person.

I praktiken är det en kort rad: "Du chattar med vår AI-assistent." Kravet riktar sig mot den som bygger agenten, och den närmare regeln om att informationen ska vara tydlig och komma i tid finns i Artikel 50. Transparenskraven börjar tillämpas 2 augusti 2026.

Det här är den plikt som faktiskt träffar de flesta agenter, och den är billig att uppfylla. Vi bygger in upplysningen från start hos våra kunder. Den kostar ingenting, och den är ändå ett krav du inte kommer runt.

När blir en AI-agent högrisk, och vad gäller då?

En AI-agent blir högrisk när den används i ett av Annex III-områdena och faktiskt påverkar beslut om människor. Då gäller långt tyngre krav, med mänsklig tillsyn i centrum. Det handlar om en liten andel av alla agenter, men träffar du området är skillnaden stor.

Det finns ett undantag som ofta missas. Även inom ett känsligt område slipper en agent högrisk-stämpeln om den bara utför en snäv, förberedande eller kompletterande uppgift och inte ersätter den mänskliga bedömningen. En agent som bara strukturerar inkomna ansökningar inför en mänsklig granskning kan falla utanför. Men det finns en hård gräns: agenten räknas alltid som högrisk om den profilerar fysiska personer, oavsett hur liten uppgiften ser ut. Regeln står i Artikel 6.

Vad mänsklig tillsyn betyder i praktiken

Är agenten högrisk kräver Artikel 14 att den byggs så att en människa effektivt kan övervaka den under hela driften. Personen ska förstå vad agenten kan och inte kan, kunna tolka vad den gör, säga nej till ett förslag, och stoppa agenten med en stoppfunktion. Autonomi är tillåtet, men aldrig utan en hand på spaken.

För de tyngsta fallen, som biometrisk fjärridentifiering, skärps kravet ytterligare: inget beslut får fattas utifrån agentens utpekande om det inte bekräftats separat av minst två personer.

Är ni leverantör eller användare av agenten?

Det avgör vilka skyldigheter ni har. Köper ni en färdig AI-agent och använder den i verksamheten är ni oftast användare, eller tillhandahållare, med lättare krav. Bygger ni en egen, eller sätter ert eget namn på en, kan ni räknas som leverantör med fullt ansvar för att den följer lagen.

Gränsen är praktisk. Använder du en standardtjänst som du inte ändrar i är du användare. Beställer du en agent som byggs runt era processer, eller bygger den själv, glider du mot leverantörsrollen. Hela rolluppdelningen med vad som följer av varje roll finns i riskklassificerings-guiden. Poängen för en agent är att avgöra vilken sida du står på innan du skriver under något.

Vem ansvarar när en autonom agent fattar fel beslut?

Ansvaret ligger kvar hos företaget, inte hos agenten. Lagen utgår från att en människa kan förstå, övervaka och vid behov stoppa agenten, och att det går att se i efterhand vad den gjorde och varför. Autonomi tar inte bort ansvaret. Den höjer kraven på spårbarhet.

Det här är frågan ingen annan svensk guide tar tag i, och den är värd att stanna vid.

Beslutsstöd eller självständigt beslut?

Den viktigaste gränsen går mellan en agent som föreslår och en agent som agerar. En agent som tar fram ett underlag som en människa sedan godkänner håller dig i den lättare delen av regelverket. En agent som fattar och verkställer beslut om en person på egen hand drar in tyngre krav, både Artikel 14 om tillsyn om det är högrisk, och dataskyddsreglerna.

Fattar agenten helt automatiserade beslut om en person kan GDPR ge personen rätt till mänsklig inblandning. Hur dataskydd och AI hänger ihop går vi igenom i guiden om AI och GDPR.

Spårbarhet är ditt skydd

Det som låter dig svara för agenten är loggen. För högrisk-agenter är automatisk loggning ett uttryckligt krav. För övriga är det inte tvingande, men det är det enda som gör att du kan rekonstruera vad som hände den dag någon ifrågasätter ett beslut. Praktiskt bygger vi agenter med två saker på plats: en tydlig gräns för vad de får göra själva, och en logg över varje åtgärd de tar.

Vad gäller 2026, och vad håller på att ändras?

Tre saker har redan hänt. De förbjudna AI-metoderna gäller sedan 2 februari 2025, och reglerna för generella AI-modeller sedan 2 augusti 2025. Transparenskraven och de flesta högrisk-reglerna gäller från 2 augusti 2026. Men ett färskt förslag kan skjuta upp en del av dem.

I november 2025 la kommissionen fram ett förändringspaket kallat Digital Omnibus, och i maj 2026 nåddes en politisk överenskommelse mellan rådet och parlamentet. Den skulle skjuta upp högrisk-reglerna för fristående system i Annex III-områdena från 2 augusti 2026 till 2 december 2027. Europaparlamentet bekräftar uppgörelsen.

Läs det rätt: överenskommelsen är ännu inte antagen och publicerad i EU:s officiella tidning. Tills den är det gäller de ursprungliga datumen formellt. Men riktningen är tydlig, och den ger högrisk-systemen mer tid, inte mindre.

Bryter du mot reglerna kan böterna bli kännbara: upp till 35 miljoner EUR eller 7 procent av den globala omsättningen för förbjudna metoder, och upp till 15 miljoner EUR eller 3 procent för brott mot övriga krav, enligt Artikel 99. I Sverige föreslår en statlig utredning, SOU 2025:101, att Post- och telestyrelsen blir huvudansvarig tillsynsmyndighet. Förslaget är på remiss och ännu inte beslutad lag. Hela tidslinjen, sanktionerna och den svenska tillsynen går vi igenom i guiden till EU AI Act för svenska företag.

Hur förbereder ni era AI-agenter?

Börja med en enkel självskattning. Vad gör agenten, vem påverkar den, och hur självständigt agerar den? För de flesta agenter landar du i några få konkreta åtgärder, inte i ett stort regelverksarbete.

Fem frågor räcker långt:

  1. Är det ett AI-system? För en agent är svaret nästan alltid ja.
  2. Vilket område? Vardaglig drift, eller ett känsligt Annex III-område som rekrytering eller kredit?
  3. Leverantör eller användare? Bygger ni den, eller använder ni en färdig?
  4. Pratar den med människor? Då lägger ni in upplysningen om att det är en AI.
  5. Påverkar den beslut om människor? Då behövs mänsklig tillsyn och en logg.

Ett exempel

Säg att ni har en AI-agent som svarar kunder i chatten och bokar in möten. Kör frågorna: det är ett AI-system, den jobbar i vardaglig kundtjänst och inte i något Annex III-område, ni använder en färdig tjänst, den pratar med kunder, och den påverkar inga beslut om människor i lagens mening. Resultat: begränsad risk, en enda konkret åtgärd att göra, nämligen upplysningen om att det är en AI, plus en logg som god praxis.

Byt nu ut mötesbokningen mot att agenten gallrar jobbansökningar, så ändras bilden helt. Rekrytering är ett Annex III-område, agenten påverkar beslut om människor, och profilering gör den högrisk oavsett hur snäv uppgiften ser ut. Samma teknik, helt annan regelbörda. Det är därför du alltid börjar med användningen, inte med själva agenten.

Den som vill ha en bredare checklista för hela verksamheten hittar den i EU AI Act-guiden. Men för en enskild agent är det här tillräckligt för att veta var ni står.

Regelverket är yngre än tekniken, och det rör på sig. Digital Omnibus är beviset. Men grundlogiken är stabil: vet vad agenten gör, var ärlig om att den är en AI, och se till att en människa kan ta över. Gör du det är du redo oavsett vilket datum som till slut gäller.

Vanliga frågor

Ja, lagen gäller oavsett företagets storlek. Som användare av en färdig agent har du lättare krav än den som bygger den, men transparensplikten och ansvaret för hur du använder agenten gäller dig. Mindre företag har vissa lättnader i dokumentationen, men inte i grundkraven.

Ja, om det inte redan är uppenbart. Artikel 50 kräver att en kundvänd AI-agent är byggd så att personen förstår att det är en AI, senast vid första kontakten. En kort rad räcker, till exempel "Du chattar med vår AI-assistent". Kravet börjar gälla 2 augusti 2026.

Det beror på beslutet. Fattar agenten ett helt automatiserat beslut med rättslig eller liknande väsentlig effekt på en person ger GDPR rätt till mänsklig inblandning. Bygg agenten så att en människa kan gå in och granska, och spara loggar över vad den gjort.

Liten i regelhänseende. Båda omfattas av samma transparenskrav när de pratar med människor. Skillnaden är praktisk: en AI-agent agerar mer självständigt, vilket höjer kraven på tillsyn och spårbarhet. Vad som skiljer dem tekniskt går vi igenom i [guiden om AI-agent mot chatbot](/sv/blogg/ai-agenter/ai-agent-vs-chatbot).

Upp till 35 miljoner EUR eller 7 procent av global omsättning för förbjudna metoder, och upp till 15 miljoner EUR eller 3 procent för brott mot övriga krav, enligt Artikel 99. För en vanlig kundvänd agent är den praktiska risken låg om transparens och tillsyn finns på plats.

För högrisk-agenter är automatisk loggning ett uttryckligt krav. För övriga agenter är det inte tvingande enligt lag, men det är det som låter dig svara för vad agenten gjort den dag ett beslut ifrågasätts. Spara loggarna så länge ni behöver för uppföljning och ansvar.

FÖRFATTARE
Filip Thai
Filip ThaiGrundare & VD

AI-konsult med fokus på automation och AI-agenter för svenska SMB. Bygger lösningar som faktiskt levererar mätbar besparing.

LinkedIn
LinkedIn
RELATERAT
Redo att sätta
 AI i arbete?
© 2026 Eteya Consulting AB