Bluewaves ← Alla anteckningar
Nedräkningen till augusti
Bertrand 24 februari 2026

Nedräkningen till augusti

11 min lästid

Den 2 augusti 2026. Det är datumet då EU:s AI-förordnings bestämmelser för AI-system med hög risk träder i full kraft. Inte bestämmelserna om GPAI-modeller och styrningsregler — de gällde från den 2 augusti 2025. Inte de förbjudna metoderna — de trädde i kraft i februari 2025. Högriskbestämmelserna. De med tänder.

Fem månader från idag.

Det här är inte ytterligare en artikel om “vad EU:s AI-förordning innebär för ditt företag”. Marknaden har producerat tusentals sådana. De är abstrakta, heltäckande och operativt oanvändbara — utformade för att visa författarens förtrogenhet med förordningen, inte för att hjälpa ett företag förbereda sig för efterlevnad.

Det här är en specifik, artikel-för-artikel-genomgång av vad ett företag som driftsätter AI-system behöver ha på plats senast den 2 augusti 2026. Den är skriven för företag med 50 till 500 anställda som har driftsatt eller håller på att driftsätta AI-system som kan falla under högriskklassificering. Den utgår från att du inte har börjat förbereda dig. Fem månader räcker — om du börjar nu.

Är ditt system högrisk?

Artikel 6 definierar AI-system med hög risk i två kategorier:

Kategori 1 (Artikel 6(1)): AI-system som är säkerhetskomponenter i produkter, eller som i sig är produkter, som omfattas av EU:s harmoniseringslagstiftning i bilaga I. Det inkluderar maskiner, medicintekniska produkter, leksaker, radioutrustning, civil luftfart, fordon, marin utrustning, järnvägssystem och annat. Om ditt AI-system är inbyggt i eller fungerar som en säkerhetskomponent i en produkt som omfattas av dessa direktiv är det högrisk per automatik.

Kategori 2 (Artikel 6(2) och bilaga III): AI-system som används inom specifika högriskområden listade i bilaga III. De åtta områdena är:

  1. Biometrisk identifiering och kategorisering. System för biometrisk fjärridentifiering, känsloigenkänning, biometrisk kategorisering.
  2. Förvaltning och drift av kritisk infrastruktur. AI-system som används som säkerhetskomponenter i hanteringen av vägtrafik, vatten-, gas-, värme- och elförsörjning.
  3. Utbildning och yrkesutbildning. AI-system som avgör tillgång till utbildning, utvärderar läranderesultat, övervakar förbjudet beteende under prov.
  4. Anställning, personalledning och tillgång till egenföretagande. AI-system för rekryteringsscreening, riktning av jobbannonser, anställningsbeslut, uppgiftsfördelning, övervakning och utvärdering av anställdas prestationer, och beslut om befordran eller uppsägning.
  5. Tillgång till väsentliga privata och offentliga tjänster. Kreditbedömning, försäkringsprissättning, bedömning av rätt till sociala förmåner, utskick av räddningstjänst.
  6. Brottsbekämpning. Individuella riskbedömningar, lögndetektion, bevisvärdering, profilering.
  7. Migration, asyl och gränskontroll. Riskbedömningar, dokumentverifiering, handläggning av ansökningar.
  8. Rättskipning och demokratiska processer. AI-system som assisterar vid juridisk forskning, ärendeanalys eller straffmätning.

För ett EU-baserat litet eller medelstort företag med 50–500 anställda är de vanligaste högriskklassificeringarna: anställning (varje AI-verktyg som används vid rekrytering, prestationsutvärdering eller personalhantering) och väsentliga tjänster (varje AI-verktyg som används vid kreditbeslut, försäkringsbedömningar eller förmånsberättigande).

Klassificeringen handlar inte om modellen. Den handlar om användningsfallet. Samma språkmodell som genererar marknadsföringstexter (minimal risk) blir högrisk när den utvärderar jobbansökningar. Modellen förändrades inte. Användningsfallet förändrades. Skyldigheterna följer.

Undantaget i artikel 6(3): AI-system som listas i bilaga III kan undantas från högriskklassificering om de inte utgör “en betydande risk för skada” på hälsa, säkerhet eller grundläggande rättigheter. Företaget måste dokumentera varför undantaget gäller. Vid tveksamhet, klassificera som högrisk. Kostnaden för överklassificering är efterlevnad. Kostnaden för underklassificering är tillsyn.

De fem kraven — artikel för artikel

Om ditt system är högrisk gäller fem uppsättningar av krav. Här är de, med specifika operationella åtgärder för vart och ett.

Krav 1: Riskhanteringssystem (Artikel 9)

Du behöver ett dokumenterat riskhanteringssystem som identifierar, analyserar, utvärderar och begränsar riskerna med ditt AI-system. Det här är inte en engångsbedömning av risker. Det är en “kontinuerlig iterativ process” som löper genom hela systemets livscykel.

Vad det här innebär i praktiken:

Före den 2 augusti: Dokumentera de kända riskerna med ditt AI-system. Inte generiska AI-risker. Ditt specifika systems risker. Vad händer när det ger fel svar? Vem påverkas? Hur allvarligt? Vilka felkategorier är mest sannolika? (Modellkortet — som jag har skrivit om — är din primära källa för risker på modellnivå.)

Skapa ett riskregister som kopplar varje identifierad risk till en begränsningsåtgärd. Begränsningen måste vara specifik: “Vi genomför manuell granskning av alla automatiserade beslut som påverkar enskildas anställning” är en begränsning. “Vi övervakar systemet avseende risker” är det inte.

Upprätta en process för att uppdatera riskregistret när systemet förändras, när användningsfallet utvidgas eller när en ny risk identifieras i produktion. Processen måste specificera vem som ansvarar, hur ofta registret granskas och vad som utlöser en ad hoc-granskning.

Uppskattad arbetsinsats: 2–3 veckors dedikerat arbete för en typisk driftsättning hos ett litet eller medelstort företag. En person, deltid, med domänexpertis inom AI-systemets tillämpningsområde.

Krav 2: Datastyrning (Artikel 10)

Tränings-, validerings- och testdatauppsättningar måste uppfylla kvalitetskriterier specificerade i förordningen. Data måste vara “relevanta, tillräckligt representativa och i möjligaste mån fria från fel och fullständiga.” Du måste dokumentera datans egenskaper, dess källa, datainsamlingsprocessen och eventuella förbehandlingsoperationer.

Vad det här innebär i praktiken:

Om du finjusterade modellen: Dokumentera finjusteringsdatauppsättningen. Vilken data användes? Var kom den ifrån? Vilka kvalitetskontroller tillämpades? Fanns skyddade egenskaper (ålder, kön, etnicitet, funktionsvariation) i data? I så fall, hur hanterades de? Fanns kända snedvridningar i data? I så fall, vilka begränsningsåtgärder tillämpades?

Om du använder en förtränad modell via API: Modellleverantörens modellkort och datadokumentation bidrar till det här kravet, men du ansvarar fortfarande för den data ditt system behandlar. Dokumentera den data som kommer in i ditt system: kunddata, operativ data, dokumenten i din RAG-pipeline. Samma kvalitetskriterier gäller.

Om du saknar den här dokumentationen: Börja bygga den nu. Arbetsinsatsen är retrospektiv dokumentation av beslut som redan fattats. Det är omständligt. Det är inte komplext. En praktikant med en mall och tillgång till datateamet kan producera 80 % av den nödvändiga dokumentationen på två veckor.

Uppskattad arbetsinsats: 1–2 veckor för ett system som använder en förtränad modell via API. 3–4 veckor för ett system med anpassad finjustering.

Krav 3: Teknisk dokumentation (Artikel 11 och bilaga IV)

Du måste ta fram teknisk dokumentation innan systemet släpps på marknaden eller tas i bruk. Bilaga IV specificerar innehållet i detalj:

  • Allmän beskrivning av AI-systemet och dess avsedda ändamål
  • Detaljerad beskrivning av AI-systemets element och dess utvecklingsprocess
  • Detaljerad information om övervakning, funktion och kontroll av systemet
  • Beskrivning av riskhanteringssystemet
  • Beskrivning av ändringar som gjorts i systemet under dess livscykel
  • En lista över tillämpade harmoniserade standarder
  • En beskrivning av åtgärder som vidtagits för att säkerställa att systemet uppfyller relevanta krav

Vad det här innebär i praktiken:

Det här är en dokumentationsövning. Systemet existerar redan (eller håller på att byggas). Den tekniska dokumentationen beskriver vad som existerar. Nyckelprincipen: skriv den så att en kompetent teknisk granskare kan förstå vad systemet gör, hur det gör det, vilka risker det medför och vilka kontroller som finns på plats.

Dokumentet behöver inte vara vackert. Det behöver vara korrekt, fullständigt och underhållet. Ett levande dokument som uppdateras när systemet ändras är kompatibelt. Ett polerat dokument som var korrekt för sex månader sedan och inte har uppdaterats är det inte.

Uppskattad arbetsinsats: 3–4 veckor för den initiala dokumentationen. Löpande underhåll: 2–4 timmar per månad.

Krav 4: Registerföring och loggning (Artikel 12)

AI-systemet måste automatiskt logga händelser som är relevanta för att identifiera risker och underlätta övervakning efter marknadslansering. Loggar måste inkludera: perioden för varje användning, referensdatabasen mot vilken indata kontrollerades, indata för vilka sökningen ledde till en träff, och identifieringen av de fysiska personer som deltog i verifieringen av resultaten.

Vad det här innebär i praktiken:

Ditt AI-system måste producera granskningsspår. Varje beslut systemet fattar (eller rekommenderar) måste loggas med tillräcklig detalj för att kunna rekonstruera beslutet i efterhand. Loggen måste inkludera: indata, utdata, tidsstämpel och identiteten på eventuell mänsklig granskare.

För ett litet eller medelstort företag som driftsätter ett AI-verktyg för kundtjänst eller HR-screening innebär det att implementera strukturerad loggning i applikationslagret. Ingenjörsinsatsen är blygsam — de flesta moderna ramverk för AI-driftsättning stödjer strukturerad loggning. Lagringskostnaden är proportionell mot volymen: ett system som behandlar 500 beslut per dag genererar cirka 15 MB strukturerade loggar per månad vid måttlig detaljnivå.

Uppskattad arbetsinsats: 1–2 veckors ingenjörsarbete för implementering. Minimal löpande kostnad.

Krav 5: Mänsklig tillsyn (Artikel 14)

Jag har skrivit en fullständig artikel om det här (“Misstaget som kostade 500 000 euro”). Sammanfattningen: systemet måste vara utformat för att effektivt övervakas av fysiska personer. Tillsynen måste vara meningsfull — oberoende bedömning, praktisk befogenhet att åsidosätta, tillräcklig tid och påvisad variation i utfall.

Vad det här innebär i praktiken:

Bygg granskningsgränssnittet. Designa arbetsflödet. Utbilda granskarna. Övervaka åsidosättandefrekvenserna. Allt detta måste vara på plats före den 2 augusti.

Uppskattad arbetsinsats: 3–5 veckor för gränssnittsutveckling, arbetsflödesdesign och granskarutbildning.

Bedömningen av överensstämmelse

Artiklarna 16–22 definierar skyldigheterna för leverantörer av AI-system med hög risk — de krav ett företag måste uppfylla för att visa att dess högrisk-AI-system uppfyller kraven.

För de flesta driftsättningar hos små och medelstora företag (de som inte omfattas av specifik EU-harmoniseringslagstiftning i bilaga I) är bedömningen av överensstämmelse en intern bedömning enligt artikel 43(2). Du behöver ingen extern revisor. Du behöver inget anmält organ. Du bedömer din egen efterlevnad baserat på kraven i artiklarna 8–15, dokumenterar bedömningen och utfärdar en EU-försäkran om överensstämmelse (artikel 47).

Det här är viktigt: för de flesta användningsfall hos små och medelstora företag är överensstämmelse själv-bedömd. Förordningen litar på att den som driftsätter utvärderar sin egen efterlevnad — förutsatt att utvärderingen är dokumenterad, dokumentationen underhålls och systemet är föremål för övervakning efter marknadslansering.

Försäkran om överensstämmelse är ett ensidigt dokument som anger: det här AI-systemet, använt för det här ändamålet, uppfyller kraven i EU:s AI-förordning. Det refererar till den tekniska dokumentationen, riskhanteringssystemet och kvalitetsledningssystemet.

Försäkran måste sparas i tio år efter det att AI-systemet släppts på marknaden.

Registreringskravet

Artikel 49 kräver att AI-system med hög risk registreras i EU:s databas för fristående AI-system med hög risk (inrättad enligt artikel 71) innan de släpps på marknaden eller tas i bruk.

Registreringen är elektronisk, via en portal som förvaltas av AI-byrån. Den information som krävs är: namn på och kontaktuppgifter till leverantören, en beskrivning av det avsedda ändamålet, AI-systemets status (på marknaden, tillbakadragen, återkallad), en beskrivning av hur systemet tillhandahålls, och EU-försäkran om överensstämmelse.

Registrering är inte en grindvaktsmekanism. Det är en transparensmekanism. Databasen är offentlig. Att registrera ditt system visar avsikt att efterleva. Att inte registrera ett operativt högrisk-system är i sig ett brott.

Tidsplanen

Fem månader. Här är en realistisk tidslinje för ett litet eller medelstort företag som inte har börjat förbereda sig:

Månad 1–2 (mars–april 2026): Riskklassificering. Avgör om dina AI-system är högrisk enligt artikel 6 och bilaga III. Inventera alla AI-system i bruk inom företaget — inklusive verktyg som adopterats av enskilda team utan central IT-tillsyn. Påbörja riskhanteringsdokumentationen (artikel 9) och datastyrningsdokumentationen (artikel 10) för varje system som klassificeras som högrisk.

Månad 3 (maj 2026): Teknisk dokumentation. Ta fram den tekniska dokumentationen enligt bilaga IV för varje högrisk-system. Implementera strukturerad loggning (artikel 12) om det inte redan finns. Påbörja utvecklingen av gränssnittet och arbetsflödet för mänsklig tillsyn (artikel 14).

Månad 4 (juni 2026): Implementering av mänsklig tillsyn. Slutför granskningsgränssnittet, utbilda granskare, upprätta arbetsflödet. Påbörja den interna bedömningen av överensstämmelse. Identifiera brister och åtgärda.

Månad 5 (juli 2026): Slutförande av bedömning av överensstämmelse. Utfärda EU-försäkran om överensstämmelse. Registrera högrisk-system i EU:s databas. Upprätta processen för övervakning efter marknadslansering. Dokumentera allt.

2 augusti 2026: Fullständiga bestämmelser i kraft. Dina system är kompatibla, registrerade och övervakade — eller så är de det inte, och du verkar i strid med förordningen.

Kvalitetsledningssystemet

Artikel 17 kräver att leverantörer av AI-system med hög risk implementerar ett kvalitetsledningssystem. Det här kravet förbises ofta i nedräkningsartiklar för att det låter generiskt. Det är det inte.

Kvalitetsledningssystemet måste inkludera: policyer och förfaranden för genomförandet av AI-förordningens krav, tekniker och förfaranden för design, designkontroll och designverifiering av högrisk-AI-systemet, tekniker och förfaranden för dess utveckling, kvalitetskontroll och kvalitetssäkring, undersöknings-, test- och valideringsförfaranden som ska genomföras före, under och efter utvecklingen av systemet, samt datahanteringsförfaranden.

För ett litet eller medelstort företag behöver kvalitetsledningssystemet inte vara ISO 9001-certifierat. Det behöver vara dokumenterat, implementerat och underhållet. Ett praktiskt kvalitetsledningssystem för en AI-driftsättning hos ett litet eller medelstort företag är ett 10–15-sidigt dokument som specificerar: vem som ansvarar för vad, hur ändringar i systemet kontrolleras, hur systemet testas före uppdateringar, hur incidenter efter marknadslansering rapporteras och utreds, och hur dokumentationen hålls aktuell.

Dokumentet tar cirka en vecka att producera. Det måste existera före den 2 augusti. Det måste efterlevas efter den 2 augusti. Gapet mellan att ha dokumentet och att följa dokumentet är det gap som tillsynsåtgärder riktar in sig på.

Sanktionsramverket

Artikel 99 definierar sanktionerna för bristande efterlevnad:

  • Brott mot förbjudna AI-metoder (artikel 5): upp till 35 miljoner euro eller 7 % av global årsomsättning.
  • Brott mot högrisk-krav (artiklarna 8–15): upp till 15 miljoner euro eller 3 % av global årsomsättning.
  • Att lämna felaktig information till tillsynsmyndigheter: upp till 7,5 miljoner euro eller 1 % av global årsomsättning.

För små och medelstora företag föreskriver förordningen proportionella sanktioner — böter beräknas relativt företagets storlek och överträdelsens allvar. Men “proportionellt” är inte “försumbart”. 3 % av omsättningen för ett företag med 10 miljoner euro i årsomsättning är 300 000 euro. För många små och medelstora företag är det existentiellt.

Förordningen föreskriver även icke-finansiella åtgärder: förelägganden att dra tillbaka AI-system från marknaden, förelägganden att modifiera AI-system, och offentliga uttalanden som identifierar företag och system som inte uppfyller kraven.

Positionen

Fem månader är tillräckligt med tid för att uppnå efterlevnad. Fem månader är inte tillräckligt med tid för att tveka, bilda en arbetsgrupp, upphandla en konsultinsats, och sedan uppnå efterlevnad.

Förordningen är specifik. Kraven är uppräkningsbara. Bedömningen av överensstämmelse är intern. Registreringen är elektronisk. Inget av det här kräver en armé av jurister eller en sexsiffrig konsultbudget.

Vad det kräver är ett beslut: vi ska uppnå efterlevnad senast den 2 augusti. Det beslutet, fattat idag, ger dig fem månader av strukturerat arbete. Det beslutet, fattat i juni, ger dig fem veckor av panik.

EU:s AI-förordning är inte tvetydig om vad den kräver. Den är bara tvetydig om huruvida du kommer att ta den på allvar innan tidsfristen infaller.

Fem månader. Nedräkningen pågår.

Skriven av
Bertrand
Kreativ Teknolog

En seriell entreprenör med en doktorsexamen i AI och tjugofem år av systembyggande tvärs Europa. Han skapar kod som han surfar: läser mönster, hittar flödet, gör det svåra se enkelt ut.

← Alla anteckningar