Bluewaves ← Alla anteckningar
Atta av Tjugosju
Bertrand 17 mars 2026

Atta av Tjugosju

12 min lästid

Atta. Det ar antalet EU-medlemsstater som har utsett en gemensam kontaktpunkt for tillampning av AI-forordningen. Av tjugosju. Tidsfristen for att gora det var den 2 augusti 2025. For sju manader sedan.

Inga boter. Inga overtradelseforfaranden. Inga offentliga uttalanden om oro fran kommissionen. Nitton medlemsstater har missat en rattsligt bindande tidsfrist med sju manader och ingenting har hant. Forordningen som kommer att palagga boter pa upp till 7 % av den globala omsattningen for foretag som inte foljer reglerna har inte producerat nagra konsekvenser for de regeringar som inte byggde tillsynsapparaten.

Detta ar ingen dysfunktion. Det ar sa EU-reglering faktiskt genomfors over tjugosju suverana implementeringar. Och om du driver ett foretag som verkar over granserna i EU ar forstaelsen av detta monster viktigare an forstaelsen av nagon enskild artikel i AI-forordningen.

Tidsfristen Som Ingen Holl

Artikel 70 i EU:s AI-forordning kravde att varje medlemsstat utsag nationella behoriga myndigheter — minst en anmalande myndighet och en marknadskontrollmyndighet — och meddelade dessa utsaganden till kommissionen senast den 2 augusti 2025. Samma artikel kravde att medlemsstaterna utsag en gemensam kontaktpunkt: en myndighet som fungerar som samordningsnav for all tillampning av AI-forordningen inom det landet.

Den gemensamma kontaktpunkten ar ingen byrakratisk formalitet. Det ar adressen dit klagomal kommer, dar gransoverskridande tillampning samordnas, dar den europeiska AI-namnden kommunicerar med nationella myndigheter. Utan den ar tillampningskedjan bruten pa nationell niva. En forordning utan tillsynsmyndighet ar ett forslag.

Per mars 2026, enligt briefingen fran Europaparlamentets utredningsavdelning publicerad den 18 mars 2026, har atta medlemsstater utsett sin gemensamma kontaktpunkt. Briefingen ar specifik. Siffran ar atta. Namnaren ar tjugosju. Klyftan ar nitton.

De Atta

De atta medlemsstater som har utsett tillsynsmyndigheter delar ett monster. De ar inte de rikaste. De ar inte de storsta. De ar de som tog ett institutionellt beslut tidigt och genomforde det.

Finland agerade forst. Den 22 december 2025 godkande republikens president lagandringar som gav tio befintliga marknadskontrollmyndigheter deras AI-forordningsmandat. Traficom — Finlands transport- och kommunikationsmyndighet — blev den gemensamma kontaktpunkten. Tillsynsbefogenheterna aktiverades den 1 januari 2026. Finland skapade ingen ny AI-myndighet. De aktiverade befintliga tillsynsmyndigheter med nya mandat. Latta operationer. Ingen ny byrakrati. Det finska tillvagagangssattet ar en modell for vad Artikel 70 avsag: anvand den institutionella infrastruktur du redan har.

Tyskland utsag Bundesnetzagentur — den federala natverksmyndigheten — som gemensam kontaktpunkt. Den tyska modellen ar komplex av nodvandighet: ett federalt system med sektorsspecifika marknadskontrollmyndigheter i sexton Lander. Bundesnetzagentur inrattade ocksa ett samordningscenter (KoKIVO) for att stodja andra behoriga myndigheter. Systemet ar tungt. Men det existerar. Det ar utsett, meddelat och operativt.

Spanien var tidigt ute. Den spanska myndigheten for tillsyn over artificiell intelligens (AESIA) grundades genom kungligt dekret 729/2023 — innan AI-forordningen ens publicerats i Officiella tidningen. AESIA har varit operativ sedan juni 2024. Spaniens regulatoriska sandlada, forvaltad av AESIA, har genomfort tva cykler och valt ut tolv AI-projekt for den tredje. Spanien byggde tillampningsinfrastrukturen innan forordningen kravde det.

Danmark antog sin nationella genomforandelag i maj 2025 och utsag sina myndigheter fore augustideadlinen. Det danska tillvagagangssattet speglar den finska pragmatismen: befintliga tillsynsorgan, nya mandat, minimal ny infrastruktur.

Italien utsag flera marknadskontrollmyndigheter med sektorsspecifika behorigheter. Den italienska modellen fordelar tillampningen over befintliga sektorsregulatorer — ett monster som avspeglar Italiens befintliga regulatoriska arkitektur snarare an att bygga parallell AI-specifik infrastruktur.

De resterande tre av de atta har utsett sina gemensamma kontaktpunkter genom varierande institutionella arrangemang. Den gemensamma namnaren ar inte den valda modellen. Det ar att en modell valdes, lagstiftades och meddelades till kommissionen inom den lagstadgade tidsramen — eller nara den.

De Nitton

De nitton som inte har utsett tillsynsmyndigheter ar ingen homogen grupp. Nagra har lagforslag under beredning. Nagra har identifierat myndigheter informellt men inte slutfort den formella utsagningen. Nagra har inte borjat.

Europaparlamentets briefing skiljer tre kategorier bland de efterslapande medlemsstaterna: de med lagforslag i parlamentarisk behandling, de med identifierade men inte formellt utsedda myndigheter, och de utan synliga framsteg. Fordelningen ar ungefar jamn mellan de tre kategorierna.

Orsakerna till fordrdjningen ar strukturella, inte tillfallliga. Flera monster aterger.

Institutionella revirstirder. I flera medlemsstater stannade utsagningsprocessen av for att befintliga tillsynsmyndigheter — dataskyddsmyndigheter, telekommunikationsregulatorer, konsumentskyddsbyraer, sektorstillsynsmyndigheter — tavlade om AI-forordningens mandat. AI-forordningens tillampningsomrade korsar varje befintligt regulatoriskt omrade. Att besluta vilken myndighet som “far” AI-forordningens tillampning ar ett politiskt beslut forklattt som ett administrativt. I lander med starka institutionella granser tar det beslutet tid. I nagra har det inte fattats.

Lagstiftningsflaskhalsar. Nagra medlemsstater kraver primar lagstiftning for att utse nya behoriga myndigheter eller utvidga befintliga mandat. Parlamentariska kalendrar, koalitionsforhandlingar och lagstiftningsprioriteringar har skjutit AI-forordningens genomforande langre ner i kon. Forordningen ar direkt tillamplig — den kraver ingen nationell implementering — men utsagoandet av tillsynsmyndigheter kraver nationell lagstiftningsatgard. Skillnaden spelar roll.

Resurstilldelning. Att utse en tillsynsmyndighet utan att finansiera den ar varre an att inte utse nagon alls. Flera medlemsstater har fordrdjt utsagningen medan de bestalade budgetar, bemanning och teknisk kapacitet. Artikel 70(8) kraver att medlemsstater sakerstailler att behoriga myndigheter har “tillrackliga finansiella och manskliga resurser” samt teknisk expertis. En utsagning utan resurser ar en utsagning pa papper — och kommissionen har signalerat att den kommer att bedoma resurstillrackligheten, inte bara utsagningsstatusen.

Politisk nedprioritering. I nagra medlemsstater ar genomforandet av AI-forordningen helt enkelt inte en politisk prioritet. Energipolitik, migration, finanspolitisk konsolidering, val — konkurrensen om politisk uppmarksamhet ar hard. En forordning som inte trader i full tillampning forran i augusti 2026 ar latt att skjuta upp nar den politiska kalendern ar fullsatt. Kalkylen andras nar tillampningen borjar. Vid den tidpunkten kan genomforandeklyftan vara strukturell.

Vad Klyftan Betyder for Foretag

For ett SMF som verkar gransoverskridande i EU skapar tillampningsberedskapsklyftan en specifik uppsattning forhallanden som maste forstas operativt, inte abstrakt.

Tillampningen kommer att vara ojamn. Nar AI-forordningens hogrisikbestammelser trader i kraft den 2 augusti 2026 — eller i december 2027 om Digital Omnibus antas — kommer foretag som verkar i Finland att mota en tillsynsmyndighet som varit operativ i manader eller ar. Foretag som verkar i en medlemsstat som inte utsett nagon myndighet kommer att mota ett regulatoriskt vakuum. Samma AI-system, distribuerat pa samma satt, kommer att existera i tva olika tillampningsverkligheter beroende pa medlemsstat.

Detta ar inte hypotetiskt. Det ar den upplevda verkligheten av varje EU-forordning. GDPR tradde i kraft den 25 maj 2018. Ar 2020 varierade tillampningen med en faktor femtio mellan de mest aktiva och minst aktiva dataskyddsmyndigheterna. Den irlandska DPC behandlade Facebook-klagomal i fyra ar innan den utfardade sitt forsta betydande botalagande. Den franska CNIL botfallde Google med 50 miljoner euro inom sju manader. Forordningen var identisk. Tillampningen var det inte.

AI-forordningen kommer att folja samma monster. Forordningen ar enhetlig. Tillampningen kommer att vara fragmenterad. Fragmenteringen foljer ungefar samma linjer: nordiska och vasteuropeiska myndigheter kommer att tillampa tidigare och hardare. Syd- och osteuropeiska myndigheter kommer att behova langre tid att bygga tillampningskapacitet. Monstret ar ingen overraskning. Det ar ett strukturellt drag hos hur tjugosju suverana rattssystem genomfor ett enda regulatoriskt ramverk.

Regulatorisk arbitrage ar en falla. Frestelsen ar att optimera for den svagaste tillsynsmyndigheten: distribuera ditt AI-system fran en medlemsstat som inte utsett nagon myndighet, verka pa marknader dar tillampningen ar langsam, och behandla beredskapsklyftan som ett compliance-lov.

Det ar fel slutsats av tre skal.

For det forsta Brysseleffekten. EU:s AI-forordning galler for varje AI-system som placeras pa EU-marknaden eller vars resultat anvands i EU — oavsett var leverantoren ar etablerad. Ett foretag som verkar fran en medlemsstat utan tillampning ar fortfarande exponerat for tillampning fran varje medlemsstat dar dess system anvands. Marknadskontrollmyndigheten i Finland kan utreda ett AI-system som distribuerats av ett foretag etablerat i en medlemsstat utan tillsynsmyndighet om det systemet paverkar finska anvandare.

For det andra hinner tillampningen ikapp. GDPRs tillampningsklyfta slots. Inte jamnt, inte snabbt, men den slots. Medlemsstater som behovde ar for att bygga tillampningskapacitet byggde den till slut. Boterna, nar de kom, hade retroaktiv effekt: overtradelser som agde rum under perioden med lag tillampning utreddes och bestraffades efter att kapaciteten byggts. Compliance-lovet har ett utgangsdatum. Du vet bara inte nar.

For det tredje reputationsdimensionen. For ett SMF som betjanar foretagskunder over hela Europa kommer fragan “uppfyller du AI-forordningen?” fran kunder innan den kommer fran tillsynsmyndigheter. En tysk tillverkare som utvarderar AI-leverantorer kommer att bedoma compliance-hullningen som ett upphandlingskriterium. Tillampningsklyftan i leverantorens hemmedlemsstat ar irrelevant for kundens due diligence-process. Kunden bryr sig om forordningen, inte om tillampningsgeografin.

Digital Omnibus-Komplikationen

Tillampningsberedskapsklyftan har skapat politiskt tryck att forskjuta compliance-deadline. Den 19 november 2025 publicerade Europeiska kommissionen Digital Omnibus — ett lagstiftningsforslag som bland annat skulle skjuta upp tillampningsdatumet for hogrisikrava for AI-system.

Forslaget har gatt snabbt. Den 13 mars 2026 antog radet sin standpunkt: fasta tillampningsdatum den 2 december 2027 for fristaende hogrisik-AI-system och den 2 augusti 2028 for hogrisik-AI-system inbaddade i produkter. Den 18 mars 2026 antog Europaparlamentets IMCO- och LIBE-utskott sin gemensamma betankande — 101 roster for, 9 emot, 8 nedlagda — med samma december 2027-datum for bilaga III hogrisksystem och augusti 2028 for bilaga I-system.

Parlamentets och radets standpunkter ar samstammiga i karnfragan: uppskjutning. Trilogforhandlingar foljer. Om Digital Omnibus antas flyttas tidsfristen den 2 augusti 2026 for hogrisikbestammelserna till december 2027.

Men — och detta ar den kritiska punkten som de flesta kommentatorer missar — Digital Omnibus har inte antagits. Per dagens datum, den 17 mars 2026, forblir den 2 augusti 2026 den lagstadgade tidsfristen. Bestammelserna om forbjudna metoder har gallt sedan den 2 februari 2025. AI-kunskapskravet enligt Artikel 4 har gallt sedan den 2 februari 2025. GPAI-modellbestammelserna har gallt sedan den 2 augusti 2025. Och kravet att utse nationella behoriga myndigheter — just det krav som bara atta medlemsstater uppfyllt — har gallt sedan den 2 augusti 2025.

Att planera for uppskjutningen ar rationellt. Att forlita sig pa uppskjutningen ar dumdristigt. Digital Omnibus maste passera trilogen, publiceras i Officiella tidningen och trada i kraft. Tills dess ar den 2 augusti 2026 lag. Ett foretag som skjuter upp compliance-forberedelserna for att uppskjutningen “troligen” kommer att antas satser. Oddsen kan gynna uppskjutningen. Men nedsidan av att ha fel ar operativ: brastom for att efterleva en tidsfrist som alla antog skulle flytta men inte gjorde det.

Sandladeklyftan

Artikel 57 i AI-forordningen kravde att varje medlemsstat inrattade minst en regulatorisk AI-sandlada, operativ senast den 2 augusti 2026. Sandladekravet foljer tillsynsmyndighetsklyftan: landerna som utsag myndigheter tidigt ar samma lander med operativa eller nastan operativa sandlador. Landerna utan tillsynsmyndigheter har i allmanhet inte heller nagra sandlador.

Spaniens sandlada har drivits sedan 2022. Finlands regulatoriska stodinfrastruktur ar operativ. Tysklands Bundesnetzagentur lanserade sin AI Service Desk. Nederlanderna har ett sandladeforslag i samordning mellan Myndigheten for konsumenter och marknader och den nederlandska dataskyddsmyndigheten.

For resten ar sandladetidsfristen den 2 augusti 2026 — samma dag som de bestammelser de ar tankta att hjalpa foretag forbereda sig for trader i kraft. En sandlada som oppnar pa tillampningsdagen ar en sandlada som anlandler for sent for att tjena sitt syfte. Den regulatoriska sandladan utformades som en for-tillampningsmekanism: en plats dar foretag utvecklar AI-system under regulatorisk tillsyn innan de fullstandiga efterlevnadskraven galler. Att oppna sandladan pa tillampningsdagen ar som att bygga traaningsanlaggningen pa matchdagen.

Sandladeklyftan forvarrar tillampningsklyftan. Medlemsstater utan tillsynsmyndigheter saknar ocksa den institutionella infrastrukturen for att driva sandlador. Den behoriga myndighet som driver sandladan ar samma behoriga myndighet som tillamppar forordningen. Om myndigheten inte existerar, existerar inte heller sandladan.

For ett SMF i en medlemsstat utan tillsynsmyndighet och utan sandlada ar den praktiska verkligheten: du forbereder dig for en forordning utan nagot institutionellt stod fran din nationella regering. Ingen vagledning fran en nationell behorig myndighet. Ingen sandlada for att testa din compliance-arkitektur. Ingen gemensam kontaktpunkt for att besvara fragor. Du ar ensam med forordningstexten och de kommersiella radgivningstjanster du har rad med.

Detta ar inte acceptabelt. Men det ar det faktiska laget. Artikeln andras inte for att genomforandet ar sent. Efterlevnadskravet mildras inte for att regeringen missade sin egen tidsfrist.

Vad ett Foretag Bor Gora

Tillampningsberedskapsklyftan andrar inte efterlevnadskravet. Den andrar compliance-strategin.

Bygg for den striktaste tillsynsmyndigheten. Om du verkar pa europeiska marknader bor din compliance-arkitektur uppfylla standarden hos den mest kompetenta, mest aktiva tillsynsmyndigheten. Idag betyder det Finland, Spanien och Tyskland. Ett system som ar compliant i Finland ar compliant overallt. Ett system som bara ar compliant i en medlemsstat utan tillsynsmyndighet ar ett system som kommer att misslyckas vid sitt forsta gransoverskridande regulatoriska mote.

Vanta inte pa din nationella myndighet. Om din medlemsstat inte har utsett en tillsynsmyndighet, vanta inte. Forordningen galler oavsett. De tekniska kraven — riskhantering enligt Artikel 9, datastyrning enligt Artikel 10, teknisk dokumentation enligt Artikel 11, loggning enligt Artikel 12, mansklig tillsyn enligt Artikel 14 — ar definierade i sjalva forordningen. De ar inte beroende av nationell vagledning. Nationell vagledning hjalper. Det ar inget forhandsvillkor.

Anvand tillgangliga sandlador over granserna. Artikel 57 tillater medlemsstater att inratta sandlador gemensamt. Flera sandladeprogram accepterar ansakningar fran foretag etablerade i andra medlemsstater. Spaniens AESIA-sandlada har sarskilt behandlat ansakningar fran icke-spanska EU-foretag. Om din medlemsstat inte erbjuder en sandlada, ansok till en som gor det. Compliance-dokumentationen som produceras i en spansk sandlada har varde infor en tysk tillsynsmyndighet.

Overvaka Digital Omnibus. Trilogprocessen kommer att avgora om den 2 augusti 2026 eller den 2 december 2027 ar det operativa datumet for hogrisikbestammelserna. Folj lagstiftningens framsteg. Forbered dig for augusti. Justera om december bekraftas. Anta ingenting.

Dokumentera din compliance-insats nu. Oavsett tillampningsdatum har handlingen att forbereda sig — genomfora riskbedomningar, dokumentera datastyrning, bygga teknisk dokumentation — varde aven om tidsfristen flyttas. Dokumentationen i sig ar en tilgang. Den visar god vilja i compliance-arbetet. I ett tillampningslandskap dar tillsynsmyndigheter har begrransade resurser och maste prioritera utredningar ar ett foretag med dokumenterad compliance-arkitektur en lagre tillampningsprioritet an ett foretag utan nagonting.

Monstret

EU:s AI-forordning kommer att folja samma genomforandebuge som varje stor EU-forordning fore den. Forordningen publiceras. Tidsfristen passerar. Nagra medlemsstater ar redo. De flesta ar det inte. Tillampningen borjar ojamnt. Klyftan sluts over tva till fem ar. Foretagen som forberedde sig for forordningen som skriven — inte for forordningen som tillampad — ar complianta nar tillampningen anlandler. Foretagen som optimerade for klyftan ar exponerade nar den sluts.

GDPR foljde denna bage. Betaltjanstedirektivet foljde denna bage. Forordningen om medicintekniska produkter foljde denna bage. Varje gang overraskade monstret foretag som antog att genomforandeklyftan var ett permanent drag snarare an ett tillfalligt.

Atta av tjugosju. Siffran ar en ogonblicksbild av ett regulatoriskt system mitt i sin utrollning. Systemet ar inte trasigt. Det ar langsamt, ojamnt och forutsagbart. Forordningen kommer att tillampas. Den enda fragan ar nar — och om ditt foretag kommer att vara redo innan tillsynsmyndigheten ar det.

Nerdrakningen stannade inte for att nitton regeringar var sena. Det gor den aldrig.

Skriven av
Bertrand
Kreativ Teknolog

En seriell entreprenör med en doktorsexamen i AI och tjugofem år av systembyggande tvärs Europa. Han skapar kod som han surfar: läser mönster, hittar flödet, gör det svåra se enkelt ut.

← Alla anteckningar