norppa.io
Guider

Guide AI-förordningen · 11 min

EU:s AI-förordning: risknivåer, tidslinjen och vad tillhandahållare av AI i drift måste göra (artikel 26)

EU:s AI-förordning är världens första heltäckande lag för artificiell intelligens. Den klassar AI-system efter risk och lägger de flesta tunga skyldigheterna på högrisksystem, men den ålägger också konkreta skyldigheter på de organisationer som använder AI, inte bara dem som bygger den. Den är redan i kraft och tillämpas stegvis fram till 2027. Den här guiden förklarar risknivåerna, de viktiga datumen, skyldigheterna för den som tar AI i bruk enligt artikel 26, och vad det innebär när du upphandlar eller tar i bruk AI i din leveranskedja.

Viktigaste punkterna

  • AI-förordningen (förordning (EU) 2024/1689) klassar AI efter risk: förbjuden, hög risk, begränsad (transparens) och minimal.
  • Stegvisa datum: i kraft 1 augusti 2024; förbjudna metoder från 2 februari 2025; AI för allmänna ändamål från 2 augusti 2025; hög risk och de flesta skyldigheter från 2 augusti 2026.
  • Om du använder ett AI-system med hög risk är du en ”tillhandahållare i drift” med egna skyldigheter enligt artikel 26 (mänsklig tillsyn, övervakning, loggar med mera) även om leverantören bär merparten av skyldigheterna på byggsidan.

Vad AI-förordningen är

AI-förordningen (förordning (EU) 2024/1689) är en riskbaserad, produktliknande förordning för AI-system som släpps ut på EU-marknaden eller vars utdata används i EU. Eftersom den är en förordning gäller den direkt i alla medlemsstater. Den fördelar skyldigheter längs värdekedjan: främst till leverantörer (som utvecklar AI) och till dem som tar AI i bruk i egen regi, med lättare roller för importörer och distributörer.

I stället för att reglera ”AI” enhetligt sorterar den system i risknivåer och anpassar skyldigheterna därefter: en handfull metoder är helt förbjudna, en definierad uppsättning högriskanvändningar bär tunga krav, vissa system kräver bara transparens, och den stora majoriteten (AI med minimal risk) bär i princip inga.

Var skyldigheterna ligger

Förbjudna metoder (förbjudna), högrisksystem (de tunga skyldigheterna: t.ex. AI i anställning, kreditgivning, kritisk infrastruktur eller biometri) och system med begränsad risk som kräver transparens (t.ex. att tala om för användare att de interagerar med AI eller att innehåll är AI-genererat).

Minimal risk (de flesta AI)

Den stora majoriteten av AI-system (skräppostfilter, rekommendationsmotorer, de flesta produktivitetsverktyg) faller under minimal risk och bär inga särskilda skyldigheter enligt förordningen, utöver frivilliga koder och en allmän förväntan på AI-kompetens.

Tidslinjen

Förordningen tillämpas stegvis. De datum som styr planeringen:

1 aug 2024

Trädde i kraft. Klockan börjar ticka; skyldigheterna träder i kraft stegvis härifrån.

2 feb 2025

Förbjudna metoder gäller: AI med ”oacceptabel risk” (t.ex. social poängsättning, vissa manipulativa eller biometriska kategoriseringsanvändningar) är förbjuden. Även AI-kompetensskyldigheterna börjar.

2 aug 2025

Skyldigheterna för AI-modeller för allmänna ändamål (GPAI) börjar, liksom styrningsstrukturerna och de nationella behöriga myndigheterna.

2 aug 2026

Huvudhändelsen: skyldigheterna för högrisksystem (inklusive skyldigheterna i drift enligt artikel 26) gäller.

2 aug 2027

Förlängd frist för AI med hög risk som är en säkerhetskomponent i produkter som redan regleras av annan EU-rätt (bilaga I).

Vad den som tar AI i bruk måste göra (artikel 26)

Om du använder ett högrisk-AI-system i egen regi ålägger artikel 26 dig operativa skyldigheter. Sammanfattningsvis måste den som tar AI i bruk:

  • Använda systemet i enlighet med leverantörens bruksanvisning.
  • Tilldela den mänskliga tillsynen till kompetenta, utbildade och tillräckligt resurssatta personer som kan ingripa i eller åsidosätta driften.
  • Övervaka systemets drift samt avbryta användningen och informera leverantören och myndigheterna om det utgör en risk eller en allvarlig incident inträffar.
  • Bevara de automatiskt genererade loggarna en lämplig period: minst sex månader, om inte annan lag kräver längre.
  • Säkerställa att indata är relevanta och tillräckligt representativa för det avsedda ändamålet, i den mån du kontrollerar dem.
  • Informera arbetstagare och deras företrädare innan ett högrisksystem tas i bruk på arbetsplatsen, och informera personer som omfattas av dess beslut.
  • Genomföra en konsekvensbedömning avseende grundläggande rättigheter där så krävs (art. 27), och samarbeta med de behöriga myndigheterna.

Hur den passar med NIS2 och GDPR

AI-förordningen ersätter inte dina andra skyldigheter. Den läggs ovanpå. Ett AI-system som behandlar personuppgifter omfattas fortfarande av GDPR (och kan behöva en konsekvensbedömning avseende dataskydd vid sidan av AI-förordningens bedömning av grundläggande rättigheter). Ett AI-system som ingår i din väsentliga tjänsteverksamhet omfattas fortfarande av NIS2:s säkerhets- och rapporteringsskyldigheter. De tre överlappar i stället för att ersätta varandra.

För upphandling är just denna konvergens den praktiska poängen. När du tar in ett AI-system i din leveranskedja ärver du skyldigheter i drift (art. 26) och behöver känna till leverantörens efterlevnadsläge: överensstämmelse, bruksanvisning, loggning, systemets riskklass. Det är samma leverantörsgranskningsmuskel som NIS2 redan ber dig bygga, riktad mot AI.

Klassificeringen av AI-system (särskilt högriskgränsen och GPAI-reglerna) är detaljerad och fallspecifik, och genomförandeakter och standarder kommer fortfarande. Bekräfta ett visst systems klass och din roll med kvalificerad rådgivning och den officiella texten.

Vad det betyder för dig

Dina skyldigheter beror på din roll gentemot systemet:

En leverantör (du utvecklar eller väsentligt ändrar ett AI-system)

Du bär skyldigheterna på byggsidan: riskhantering, datastyrning, teknisk dokumentation, bedömning av överensstämmelse och CE-märkning för högrisksystem. I huvudsak från 2 augusti 2026.

Den som tar AI i bruk (du använder AI i egen regi)

Artikel 26 gäller för högrisksystem: mänsklig tillsyn, övervakning, loggar, information till arbetstagare och en bedömning av grundläggande rättigheter där så krävs. Bygg detta nu inför datumet 2 augusti 2026.

En importör eller distributör

Du får endast tillhandahålla högrisksystem som uppfyller kraven, måste verifiera leverantörens överensstämmelse och CE-märkning och måste agera när du får veta att ett system inte uppfyller kraven.

En köpare som upphandlar AI till sin leveranskedja

Du är vanligtvis den som tar AI i bruk. Kräv leverantörens bruksanvisning, riskklass, överensstämmelsestatus och loggningsförmåga, och behandla AI-leverantörer som en del av din NIS2-leverantörsgranskning.

Källor: Förordning (EU) 2024/1689 (AI-förordningen) och Europeiska kommissionens sidor om AI-förordningen. Datum, nivåer och roller följer den offentliggjorda förordningen; bekräfta ett visst systems klassificering med kvalificerad rådgivning.

Hur norppa.io hjälper

norppa.io gör inte ett AI-system förenligt med AI-förordningen (det är leverantörens och driftsanvändarens uppgift) men det ger dig insyn i AI-exponeringen i din leveranskedja, där driftsanvändarens granskning börjar. Skanningen lyfter fram slutpunkter för AI-tjänster, exponerade modell- och inferens-API:er och AI-relaterade gränssnitt (inklusive Model Context Protocol-slutpunkter) på dina leverantörers attackyta.

Självbedömningsformulär fångar det ingen extern skanning ser (vilka AI-system en leverantör tar i bruk, deras riskklass, överensstämmelsestatus och arrangemang för mänsklig tillsyn) och varje svar ställs bredvid den tekniska profilen i realtid, redo för din leverantörsakt. Det är samma löpande, bevisbaserade ansats som NIS2 förväntar sig, utvidgad till den AI dina leverantörer kör.

Se dina leverantörers AI-exponering

Se en exempelrapport för en leverantör (fynd, bevis och artikelmappning) på ungefär två minuter.

Visa exempelrapport
Se exempel-dashboarden

Relaterade guider

Så uppfyller du NIS2: en steg-för-steg-färdplan

Stegen till NIS2-efterlevnad i ordning: bekräfta omfattning, registrera dig, ledningens ansvar (art. 20), åtgärderna i art. 21.2, leveranskedjesäkerhet, incidentrapportering (art. 23) och löpande, styrkt säkring.

Vem omfattas av NIS2? Väsentliga och viktiga aktörer, sektorer och storlekströsklar

Avgör om NIS2 gäller dig: de två nivåerna, sektorerna i bilaga I/II, storlekströsklarna, storleksoberoende undantag och hur leveranskedjan drar in dig även utan utpekning.

NIS2 och leveranskedjekravet: vad det innebär i praktiken

NIS2 kräver att viktiga och betydande aktörer bedömer cyberriskerna i sina leveranskedjor. Leverantörstierning, fjärdepartsrisk, Art. 23-anmälan och vad revisorer letar efter.

Leverantörens cyberriskbedömning: vad automatiserad NIS2-övervakning kontrollerar

Alla kontrollkategorier förklaras: ransomware, dark web-läckor, TLS/DNSSEC, cookie-säkerhet, CVE/EPSS, sanktioner, MX-svartlistor och SAQ. Fyndens livscykel och NIS2-artikelmappning.

NIS2 Art. 21(2): säkerhetschecklista för leverantörer

Checklista för inköps- och säkerhetsteam: vad man ska fråga, vilka bevis man ska samla in och hur man reagerar när en leverantör brister. Inkluderar förslag på styrkande dokument.

NIS2-leverantörsenkät (SAQ): vad du ska fråga, hur du poängsätter och en gratis mall

Vad du ska fråga leverantörer enligt art. 21.2 d, hur du poängsätter svar och hanterar brister, varför självdeklaration behöver verifieras, plus en gratis enkätmall.

NIS2-incidentrapportering: 24- och 72-timmarsfristerna förklarade

Vad som är en betydande incident, tidslinjen i artikel 23 (24-timmars tidig varning, 72-timmars anmälan, slutrapport på en månad) och när en leverantörs incident blir din skyldighet.

NIS2 och ledningens ansvar: vad styrelse och ledning måste veta

Vad NIS2 förväntar sig av ledningsorganet: godkännande- och tillsynsplikt, personligt ansvar (art. 20), utbildning, styrelse-KPI:er och sanktionerna enligt art. 34.

ISO 27001 och NIS2: vad ditt LIS redan täcker, och luckorna det inte gör

Om du har ISO 27001: vad som förs över till NIS2 och inte (lagstadgad incidentrapportering, ledningens ansvar, registrering och kontinuerlig leveranskedjesäkring) och hur du täpper till luckan.

NIS2 vs DORA: hur de skiljer sig, var de överlappar och vilken som gäller dig

Hur de två EU-regelverken skiljer sig och överlappar, varför DORA är lex specialis för finansiella enheter, vilken som gäller dig, och vad båda innebär för tredjepartsrisk.

GDPR vs NIS2: överlapp, skillnader och när en incident utlöser båda

Hur GDPR och NIS2 skiljer sig och överlappar, när en incident utlöser båda (GDPR art. 33 72 h till tillsynsmyndigheten vs NIS2 art. 23 24 h/72 h/en månad till CSIRT), art. 35-samarbetet och förbudet mot dubbel sanktion, och vad båda innebär för leverantörsgranskning.

EU:s cyberresiliensförordning (CRA): omfattning, tidslinje och vad den betyder för din leveranskedja

Vad CRA kräver, dess stegvisa datum (i kraft 2024, rapportering sep 2026, full efterlevnad dec 2027), vem som omfattas och varför ren SaaS ofta inte gör det, hur den kompletterar NIS2 och vad den betyder för upphandling och leverantörsgranskning.