EU AI Act 2026 — guide för svenska företag + checklist

EU AI Act är EU:s första AI-lag. För de flesta svenska SMB betyder den ingen revolution. Cirka 95 procent av era AI-system hamnar i kategorin "minimal risk" med få eller inga krav. Den 7 maj 2026 nådde EU dessutom en provisorisk överenskommelse om att försena delar av lagen. Den här guiden visar vad som gäller idag, vad som troligen skjuts upp, och de fem konkreta stegen ni ska ta nu.

Vad är EU AI Act i 60 sekunder?

EU AI Act är förordning (EU) 2024/1689, den första heltäckande AI-regleringen i världen. Lagen trädde i kraft 1 augusti 2024 och klassificerar AI-system i fyra risk-kategorier med olika krav. Alla företag som använder AI inom EU berörs, även icke-EU-bolag som säljer till EU-marknaden.

Lagen bygger på en enkel princip: ju högre risk för människors säkerhet och rättigheter, desto strängare krav. Förordningen tar inspiration från GDPR i sin struktur men har en bredare ambition. Den reglerar inte bara dataskydd utan hela kedjan från AI-system till slutanvändare.

För svenska SMB innebär detta att ni behöver klassificera era AI-system, förstå vilken kategori de tillhör, och vidta passande åtgärder. För de allra flesta är åtgärderna minimala. Hela lagtexten finns hos EUR-Lex på 23 EU-språk.

Jämfört med GDPR är EU AI Act mer specifik i sin riskbedömning. GDPR bygger på generella principer (laglighet, transparens, ändamål) och kräver att företag själva tolkar hur de tillämpas. EU AI Act listar i stället konkreta scenarier som är förbjudna, hög-risk eller transparenskrav. Det gör lagen lättare att förstå men också striktare när den gäller.

Vilka deadlines gäller och vad försenas just nu?

EU AI Act är uppbyggd i faser med flera deadlines mellan 2025 och 2028. Förbjudna AI-praktiker, GPAI-regler och AI-literacy-kravet gäller redan sedan 2025. Hög-risk AI har ursprungligen deadline 2 augusti 2026, men EU-kommissionens Digital Omnibus-förslag från 7 maj 2026 vill skjuta upp den till 2 december 2027.

Tidsplanen är uppbyggd i faser. Vissa delar gäller redan, andra är på väg, och en del kan komma att skjutas upp efter EU-kommissionens Digital Omnibus-förslag.

Redan i kraft:

• 2 februari 2025: förbjudna AI-praktiker (Artikel 5) gäller. Ingen försening föreslagen.
• 2 augusti 2025: krav på General-Purpose AI-modeller (OpenAI, Anthropic, Mistral och liknande) gäller.
• AI-literacy (Artikel 4): gäller sedan februari 2025. All personal som hanterar AI-system ska ha tillräcklig kunskap.

På väg, eventuellt försenat:

• 2 augusti 2026: ursprunglig deadline för hög-risk AI och nationella tillsynsmyndigheter.
• 7 maj 2026: EU Council, Parliament och Commission nådde provisorisk överenskommelse om att försena hög-risk-deadline till 2 december 2027.
• 2 augusti 2027: hög-risk AI inbäddad i reglerade produkter (kan förskjutas till 2 augusti 2028).

Den 7 maj-överenskommelsen är ännu inte formellt antagen. Den behöver godkännas av både Council och Parliament i sin slutgiltiga form. EU:s pressmeddelande bekräftar trilog-överenskommelsen men anger att antagandet förväntas före 2 augusti 2026.

Vad betyder detta praktiskt? Förbjudna praktiker, GPAI-regler och kravet på AI-literacy är oförändrade och gäller redan. Hög-risk-bestämmelserna skjuts troligen fram, men förbered er som om deadline står kvar tills annat meddelas officiellt.

Vilka är de fyra risk-kategorierna och hur skiljer de sig?

EU AI Act klassificerar AI-system i fyra kategorier baserat på risk för människor: förbjudet, hög-risk, begränsad risk, och minimal risk. Förbjudet stoppas helt, hög-risk kräver omfattande dokumentation och registrering, begränsad risk kräver transparens-disclaimer, och minimal risk har inga särskilda krav. Här är vad varje kategori innebär praktiskt för svenska SMB.

Förbjudna AI-system (Artikel 5)

Vissa praktiker är helt förbjudna sedan 2 februari 2025. Det handlar om åtta typer av AI som anses oacceptabla i ett demokratiskt samhälle, alla listade i Artikel 5 av lagen:

• Manipulativa AI-tekniker som utnyttjar psykologiska sårbarheter
• Sociala betygssystem (typ Kinas social credit)
• Realtids-biometrisk identifiering i offentliga rum (med få polisundantag)
• Känsloigenkänning på arbetsplatsen eller i utbildning
• Biometrisk kategorisering baserad på ras, religion eller politisk åsikt
• Prediktiv polisarbete baserat enbart på profilering
• Oselektiv skrapning av ansiktsbilder från internet för biometriska databaser
• AI-system som klassificerar personer baserat på vissa sociala drag

För svenska SMB är de mest relevanta förbjudna praktikerna manipulativa tekniker (säljpsykologi som utnyttjar sårbara personer) och känsloigenkänning på personal (övervakning av medarbetares humör genom kameror eller röstanalys). Använd dessa områden som tydlig "nej-zon" när ni utvärderar nya AI-leverantörer.

Hög-risk AI (Annex III)

Hög-risk-kategorin är där dokumentationskraven blir omfattande. Annex III i lagen listar åtta användningsområden som klassas som hög-risk:

• Biometri utöver det som är förbjudet
• Kritisk infrastruktur (energi, transport)
• Utbildning och yrkesträning
• Rekrytering och HR-beslut
• Kreditbedömning, försäkring och socialförsäkring
• Brottsbekämpning
• Migration, asyl och gränskontroll
• Demokratiska processer och rättssystemet

För svenska SMB är de två relevanta områdena rekryterings-AI (CV-screening, kandidatutvärdering) och kreditbedömning. Använder ni AI som filtrerar jobbansökningar eller bedömer en kunds betalningsförmåga? Då är ni i hög-risk-kategorin.

Kraven inkluderar registrering i EU-databas, teknisk dokumentation, riskhanteringssystem, mänsklig övervakning och kvalitetskontroll av träningsdata. Förbered budget och tid för detta som ett projekt på flera månader, inte en helg.

Begränsad risk: transparenskrav (Artikel 50)

Artikel 50 reglerar AI-system som måste vara transparenta gentemot användaren. Det handlar om tre typer:

• Chatbots och AI-agenter som pratar med människor. Personen ska informeras om att den interagerar med AI.
• Deepfakes (AI-genererat bild, video eller ljud). Tydlig märkning krävs.
• AI-genererat textinnehåll i offentligt intresse. Måste märkas, om inte en människa har granskat och tagit redaktionellt ansvar.

Detta är där de flesta Eteya-kunder hamnar. En AI-telefonist som tar restaurang-beställningar behöver berätta "Du pratar med en AI-assistent". En CRM-chattbot behöver samma disclaimer. Texten kan formuleras valfritt, men budskapet måste vara tydligt vid första interaktionen.

Minimal risk: inga särskilda krav

Den fjärde kategorin är alla andra AI-system. Här finns inga specifika krav från EU AI Act. Cirka 95 procent av AI-system i svenska SMB-företag hamnar här: process-automation, intern produktivitets-AI, AI-baserad rapportering och automatiserade workflows som inte interagerar direkt med kunder.

För dessa system är det "business as usual", men ni bör fortfarande dokumentera vilka system ni använder och i vilket syfte om en revisor eller myndighet skulle fråga.

Är ert AI-system hög-risk? Snabbtest för svenska SMB

Snabbtest för svenska SMB: gå igenom fem frågor i ordning för att avgöra ert AI-systems risk-kategori. Använder ni AI för rekrytering eller kreditbedömning hamnar ni i hög-risk. Chatbot eller AI-agent som pratar med kunder är begränsad risk. ChatGPT internt utan kundkontakt är minimal risk. Här är frågorna:

Fråga 1: Använder ni AI för beslut om människor?

Områden att kolla:

• Rekrytering (CV-screening, kandidat-ranking, intervju-analys)
• Kreditbedömning eller försäkringsbeslut
• Sjukvård (diagnos, behandlingsförslag)
• Utbildning (bedömning, antagning)
• Brottsbekämpning eller migration

Om JA: hög-risk. Börja förbered dokumentation och riskhanteringssystem.

Fråga 2: Manipulerar AI känslor eller psykologi?

Övervakar AI medarbetares humör på arbetsplats eller skola, eller utnyttjar psykologiska sårbarheter? Om JA: förbjudet enligt Artikel 5. Stoppa användningen omedelbart.

Fråga 3: Är det en chatbot, AI-agent eller media-generator?

Pratar AI-systemet direkt med människor, eller skapar det bild, video eller ljud som visas för människor? Om JA: begränsad risk. Lägg till transparens-disclaimer ("Du chattar med AI" eller liknande).

Fråga 4: GPAI-modell internt utan kundkontakt?

Använder ni ChatGPT, Claude, Gemini eller liknande internt för produktivitet, kodning, eller analys utan att slutkunden möter AI:n? Om JA: minimal risk för er som deployer. Provider-skyldigheterna ligger på modell-bolagen (OpenAI, Anthropic, Google).

Fråga 5: Inget av ovan?

Då är ert system minimal risk. Inga specifika EU AI Act-krav, men dokumentera ändå vilka system ni använder för intern översikt och eventuell framtida revision.

Sanktioner: vad kostar det att inte följa lagen?

Sanktionerna för EU AI Act-brott regleras i Artikel 99 och är substantiella. Förbjudna praktiker kostar upp till 35 miljoner EUR eller 7 procent av global omsättning, andra brott upp till 15 miljoner EUR eller 3 procent, och vilseledande information till myndighet upp till 7,5 miljoner EUR eller 1 procent.

• Brott mot förbjudna AI-praktiker (Artikel 5): upp till 35 miljoner EUR eller 7 procent av global årsomsättning. Det högre av de två.
• Brott mot andra skyldigheter (Artikel 16, 22, 23): upp till 15 miljoner EUR eller 3 procent av omsättningen.
• Vilseledande information till myndighet: upp till 7,5 miljoner EUR eller 1 procent.

För svenska SMB gäller dock ett viktigt undantag. Enligt Artikel 99(6) ska boten för små och medelstora företag (inklusive startups) sättas till det lägre av belopp och procent, inte det högre som för storbolag. Detta är medvetet för att inte krossa innovation hos mindre aktörer.

Konkret räkne-exempel: ett svenskt SMB med 50 miljoner kronor i omsättning som bryter mot förbjudna praktiker riskerar 7 procent av omsättningen (3,5 MSEK), inte 35 miljoner EUR. För andra brott är taket 3 procent av omsättningen (1,5 MSEK). Sanktionerna är fortfarande tunga, men proportionalitet för småbolag är inbyggd i lagen.

Tilläggas bör att marknadskontrollmyndigheten (i Sverige troligen PTS eller IMY beroende på fall) kan kräva åtgärder utöver böter: tvångsföreläggande att stoppa AI-systemet, krav på återkallelse, eller temporärt förbud att placera produkten på marknaden. För många SMB är det driftstoppet som blir den tunga kostnaden, inte botbeloppet.

Vem är svensk tillsynsmyndighet för EU AI Act?

Svensk tillsynsmyndighet för EU AI Act är inte formellt beslutat ännu per maj 2026. Sverige håller på att utforma sin nationella implementeringslag baserat på utredningen SOU 2025:101 från oktober 2025. PTS föreslås som primär samordnare, IMY får ansvar för förbjudna praktiker och biometri, och Finansinspektionen för finanssektor.

SOU 2025:101, utredningen som lämnades till regeringen 6 oktober 2025, föreslår följande uppdelning:

• PTS (Post- och telestyrelsen) som primär samordnare och marknadskontrollmyndighet
• IMY (Integritetsskyddsmyndigheten) för förbjudna praktiker, biometri, brottsbekämpning, och områden som överlappar med GDPR
• Finansinspektionen för finanssektor (kreditbedömning, försäkring)
• Övriga sektorsmyndigheter för specifika branscher (Läkemedelsverket, Transportstyrelsen, och liknande)

IMY har själva bekräftat att de förbereder rollen som tillsynsmyndighet inom sina ansvarsområden, men understryker att "det finns inga beslut än" om den slutgiltiga strukturen. PTS publicerar löpande vägledning på sin webbplats.

För svenska SMB är rekommendationen: håll koll på både IMY:s och PTS:s officiella kanaler för uppdateringar under sommaren 2026.

Vilka är de vanligaste missförstånden om EU AI Act?

Många svenska SMB tror EU AI Act är mer omfattande och strängare än den faktiskt är. Vi möter dagligen fyra missförstånd: att all AI-användning kräver EU-godkännande, att intern ChatGPT-användning måste rapporteras, att allt AI-genererat innehåll måste märkas, och att hög-risk-förseningen betyder att inget behöver göras. Alla fyra är fel.

Missförstånd 1: "All AI-användning kräver godkännande från EU"

Fel. Inget AI-system kräver formellt godkännande, inte ens hög-risk. Hög-risk-system kräver registrering i EU-databasen och dokumentation, men ingen myndighet "godkänner" systemet innan användning. Ansvaret för korrekt klassificering och dokumentation ligger på er som företag.

Missförstånd 2: "Vi använder ChatGPT så vi måste rapportera till EU"

Fel. Att använda en GPAI-modell (ChatGPT, Claude, Gemini) internt för produktivitet räknas som minimal risk för er som deployer. Det är OpenAI, Anthropic och Google som har provider-skyldigheterna att rapportera och dokumentera modellen.

Missförstånd 3: "Vi måste märka allt AI-genererat innehåll på webbplatsen"

Delvis fel. Artikel 50 kräver märkning av AI-genererat innehåll i offentligt intresse, men det finns ett tydligt undantag. Om en människa redigerar texten och tar redaktionellt ansvar krävs ingen särskild märkning. Marketing- och blogg-innehåll med redaktionell granskning är vanligtvis OK utan disclaimer.

Missförstånd 4: "Hög-risk-systemen försenas, alltså behöver vi inte göra något"

Fel. Förbjudna praktiker (Artikel 5) gäller redan sedan februari 2025. GPAI-regler (Artikel 53) gäller sedan augusti 2025. AI-literacy (Artikel 4) gäller sedan februari 2025. Bara hög-risk-bestämmelserna är på väg att försenas, och bara provisoriskt.

Vilka fem steg ska svenska SMB ta nu?

Svenska SMB ska ta fem konkreta steg för EU AI Act-compliance: inventera alla AI-system, klassificera dem efter risk-kategori, lägga in transparens-disclaimers på chatbots och AI-agenter, börja dokumentation om ni har hög-risk-system, och träna personalen i AI-literacy. Här är handlingsplanen baserad på rekommendationer från PwC, Deloitte och Vinge.

Steg 1: Inventera alla AI-system ni använder

Lista varje system: AI-agenter, chatbots, kundtjänst-automation, intern produktivitets-AI (Copilot, ChatGPT, Claude), prediktiv analys, marketing-AI. Inkludera även AI som är inbyggt i SaaS-verktyg ni redan använder (CRM, HR-system, accounting-program).

Steg 2: Klassificera varje system i en av de fyra kategorierna

Använd snabbtestet ovan eller vår gratis checklist (länk längre ner). Notera vilken artikel i lagen som styr ert specifika fall.

Steg 3: Lägg in transparens-disclaimers på chatbots och AI-agenter

För alla system som faller under begränsad risk: säkerställ att användare informeras om AI vid första kontakt. En enkel mening räcker. Exempel: "Du chattar med en AI-assistent. Behöver du nå en människa, skriv 'mänsklig agent'."

Steg 4: Om ni har hög-risk-system, börja dokumentation nu

Även om hög-risk-deadlinen troligen skjuts upp till december 2027, är dokumentations- och riskhanteringskraven omfattande. Att börja sex månader innan är minimum för att undvika stress.

Steg 5: Träna personalen i AI-literacy

Kravet om AI-literacy enligt Artikel 4 har gällt sedan 2 februari 2025. Det betyder att personal som använder AI-system ska ha tillräcklig kunskap för att förstå dess kapacitet och begränsningar. För SMB räcker det med basal utbildning: en internutbildning på en timme om grundläggande AI-koncept räcker långt.

Hur kan Eteya hjälpa er navigera EU AI Act?

Eteya har implementerat över 100 AI-system åt svenska SMB med compliance-fokus från dag ett: transparens där det krävs, dokumentation som standard, och arkitektur som är lätt att uppdatera när regler ändras. Vi hjälper er kartlägga era system, klassificera dem mot EU AI Act, och bygga rätt från början.

Behöver ni hjälp med kartläggning, klassificering, eller implementering? Boka ett kostnadsfritt 30-min strategimöte så går vi igenom era system tillsammans.

Vanliga frågor