Bluewaves ← Alla anteckningar
Standarderna som ingen blev klar med
Bertrand 7 april 2026

Standarderna som ingen blev klar med

15 min lästid

EU:s AI-förordning kräver att företag följer harmoniserade standarder. De harmoniserade standarderna existerar inte.

Det är ingen förenkling. Det är situationen. Europeiska kommissionen bad CEN-CENELEC att skriva standarderna. CEN-CENELEC missade deadline. Sedan missade de den reviderade deadline. Standarderna förväntas nu till fjärde kvartalet 2026. Datumet för efterlevnad för AI-system med hög risk är 2 augusti 2026. Standarderna planeras att anlända efter provet.

Ett SMF kan inte bygga ett efterlevnadsprogram mot en standard som inte har skrivits. Men förordningen väntar inte på standardiseringsorganet. Artikel 9 kräver fortfarande ett riskhanteringssystem. Artikel 11 kräver fortfarande teknisk dokumentation. Artikel 13 kräver fortfarande transparens. Dessa artiklar är specifika. De säger vad du ska bygga. Standarderna skulle säga hur du ska visa det. “Vad” finns. “Hur” saknas.

Det är klyftan. Och den är bredare än vad de flesta företag inser.

Standardiseringsbegäran

I maj 2023 utfärdade Europeiska kommissionen en standardiseringsbegäran till de europeiska standardiseringsorganisationerna CEN och CENELEC. Begäran bad dem utveckla harmoniserade standarder som täcker kraven för leverantörer av AI-system med hög risk — de tekniska specifikationer som, när de publicerats i Europeiska unionens officiella tidning, skulle ge företag en presumtion om överensstämmelse med AI-förordningens krav.

Mekanismen är etablerad EU-regleringspraxis. Förordningen definierar kraven. Standardiseringsorganen översätter dessa krav till tekniska specifikationer. Företag som följer specifikationerna presumeras följa förordningen. Det är samma arkitektur som ligger till grund för maskinförordningen, förordningen om medicintekniska produkter och dussintals andra EU-ramverk för produktsäkerhet.

Den ursprungliga deadline för att leverera standarderna var 30 april 2025. CEN-CENELEC klarade den inte. Ordföranden för JTC 21 — den gemensamma tekniska kommittén som ansvarar för arbetet — angav i början av 2025 att standarderna troligen skulle vara klara i slutet av 2025. Den 23 juni 2025 reviderade kommissionen formellt deadline till 31 augusti 2025. CEN-CENELEC klarade inte heller den deadline.

Standardiseringsbegäran ändrades i juni 2025 för att anpassas till den slutliga texten av AI-förordningen. Arbetsprogrammet under JTC 21 omfattar cirka trettiofem arbetsobjekt fördelade på fem arbetsgrupper: grundläggande aspekter, operativa aspekter, tillförlitlighet, teknik och specifika tillämpningsområden. Trehundra experter från mer än tjugo länder deltar. Omfattningen är enorm. Tidsramen var det inte.

Vad som finns

Per mars 2026 har en standard gått ut på offentlig remiss. En.

prEN 18286 — Artificiell intelligens: Kvalitetsledningssystem för EU:s AI-förordnings regleringsändamål — blev den första harmoniserade standarden för AI-förordningen att gå ut på offentlig remiss den 30 oktober 2025. Remissen pågick till 27 december 2025. Nationella standardiseringsorgan lämnade kommentarer. CEN sammanställer nu svaren och löser kommentarer innan standarden kan antas.

prEN 18286 täcker artikel 17 i AI-förordningen: kravet på kvalitetsledningssystem. Den översätter artikel 17:s skyldigheter till konkreta styrnings-, dokumentations-, livscykel- och beviskontroller. Den säger till en leverantör hur kvalitetsledningssystemet som förordningen kräver ska struktureras. Den är specifik, detaljerad och operativt användbar.

Den är heller inte ännu en Europeisk Standard. Det är ett utkast. Det kan ändras. Det kan inte åberopas som harmoniserad standard förrän det är slutgiltigt och dess referens publiceras i den officiella tidningen. Presumtionen om överensstämmelse — den rättsliga fördel som gör harmoniserade standarder värdefulla — gäller inte förrän den publiceringen sker. Per idag ger prEN 18286 vägledning. Den ger inte rättssäkerhet.

Dess kompletterande standard, prEN 18228, täcker riskhantering under artikel 9. Den gick in i intern kommittéomröstning i mitten av 2025. Den har inte nått offentlig remiss. Riskhanteringsstandarden — utan tvekan den operativt mest kritiska standarden för alla företag som implementerar ett AI-system med hög risk — ligger månader efter kvalitetsledningssystemstandarden, som i sin tur är månader från slutförande.

Utöver dessa två spänner de återstående arbetsobjekten över datastyrning, bias, cybersäkerhet, robusthet, loggning, transparens, datorseende och naturlig språkbehandling. De flesta befinner sig i arbetsutkast eller tidigare stadier. Pipelinen är full. Resultatet är det inte.

Varför standarderna är försenade

Standardiseringsorgan är inte snabba. Det är avsiktligt, inte ett misslyckande. Harmoniserade standarders legitimitet beror på en konsensusprocess som inkluderar industri, akademi, civilsamhälle, tillsynsmyndigheter och standardiseringsexperter från hela Europa. Att skynda på den processen producerar standarder som saknar förankring, som missar specialfall, som sviker de företag de ska tjäna. Konsensusprocessen är långsam för att den är grundlig.

Men AI-förordningen skapade ett strukturellt tidsproblem som ingen processoptimering kan lösa. Förordningen publicerades i den officiella tidningen den 12 juli 2024. Högriskbestämmelserna träder i kraft den 2 augusti 2026. Standardiseringsbegäran utfärdades i maj 2023 — innan förordningen var slutgiltig. När den slutliga texten publicerades behövde begäran ändras för att anpassas till den faktiska lagen. Arbete som hade påbörjats mot en förordning i utkastform behövde revideras mot den slutliga texten. Klockan fortsatte ticka. Omfattningen expanderade.

Resultatet är en klyfta mellan den regulatoriska tidsplanen och standardiseringstidsplanen som var inbyggd i arkitekturen från början. Förordningen rör sig på en politisk tidsplan. Standarderna rör sig på en teknisk konsensustidsplan. De två tidsplanerna är strukturellt oförenliga.

CEN-CENELEC erkände problemet. I oktober 2025 antog de gemensamma tekniska styrelserna för CEN och CENELEC ett exceptionellt paket av åtgärder för att påskynda leveransen. Den mest betydande: att tillåta direkt publicering av standarder efter en positiv remissomröstning, med överhoppande av den separata formella omröstningen som normalt följer. Detta är extraordinärt. Den formella omröstningen är ett grundläggande steg i den europeiska standardiseringsprocessen. Att kringgå den är ett erkännande av att den normala processen inte kan leverera inom den regulatoriska tidsplanen.

Även med denna acceleration är målet för den första vågen av standarder fjärde kvartalet 2026 — efter efterlevnadsdatumet 2 augusti 2026. Accelerationsåtgärderna är utformade för att få standarder publicerade före slutet av 2026. De är inte utformade för att få standarder publicerade före augusti.

Klyftan i presumtionen om överensstämmelse

Att förstå varför detta spelar roll kräver att man förstår vad harmoniserade standarder gör i den europeiska regulatoriska arkitekturen.

Artikel 40 i AI-förordningen fastställer presumtionen om överensstämmelse: AI-system med hög risk som överensstämmer med harmoniserade standarder — eller delar av dem — vars referenser har publicerats i den officiella tidningen presumeras uppfylla de krav som täcks av dessa standarder. Det är inte efterlevnad by default. Det är en rättslig genväg. Om en harmoniserad standard täcker artikel 9:s riskhanteringskrav, och ditt system överensstämmer med den standarden, presumeras du ha uppfyllt artikel 9. En tillsynsmyndighet som ifrågasätter din efterlevnad måste motbevisa den presumtionen.

Utan den harmoniserade standarden finns ingen presumtion. Du måste fortfarande uppfylla artikel 9. Men du måste visa efterlevnad på dina egna villkor, med din egen metodik, utan stödet av en standard som en tillsynsmyndighet har förgodkänt. Bevisbördan är högre. Rättssäkerheten är lägre.

Det är den praktiska konsekvensen av standardiseringsklyftan. Lagen gäller. Kraven är tydliga. Men verktyget som gör efterlevnad påvisbar — den harmoniserade standarden — är inte tillgängligt. Företag måste efterleva utan den vägkarta som den regulatoriska arkitekturen var tänkt att tillhandahålla.

Analogin är arkitektonisk. Förordningen säger: bygg ett hus som uppfyller dessa strukturella krav. Den harmoniserade standarden är byggkoden som specificerar hur man uppfyller dessa krav — materialen, metoderna, måtten. Utan byggkoden måste du fortfarande bygga ett konstruktionsmässigt solitt hus. Men du måste bevisa att det är konstruktionsmässigt solitt utan hänvisning till den kod som inspektören utbildades att utvärdera mot. Du bygger mot krav, inte mot specifikationer. Kraven är desamma. Beviset är svårare.

Reservutgången med gemensamma specifikationer

AI-förordningen förutsåg detta problem. Artikel 41 ger kommissionen befogenhet att anta gemensamma specifikationer — genomförandeakter som fungerar som en alternativ efterlevnadsväg när harmoniserade standarder inte är tillgängliga.

Villkoren är explicita. Kommissionen kan anta gemensamma specifikationer när: den har begärt harmoniserade standarder och begäran inte har godtagits, standarderna inte levereras inom deadline, eller ingen hänvisning till harmoniserade standarder har publicerats i den officiella tidningen och ingen sådan hänvisning förväntas inom en rimlig tidsperiod.

Alla tre villkoren är uppfyllda. Begäran godtogs men deadline missades — två gånger. Ingen hänvisning har publicerats i den officiella tidningen. Ingen förväntas före 2 augusti 2026.

Kommissionen har den rättsliga befogenheten att anta gemensamma specifikationer idag. Den har inte gjort det. Orsaken är politisk, inte rättslig. Gemensamma specifikationer är genomförandeakter som kommissionen utarbetar — de kringgår den konsensusbaserade standardiseringsprocessen. Standardiseringsgemenskapen ser dem som ett intrång på sitt område. Industrigrupper föredrar standarder som utvecklats genom konsensus framför specifikationer som pålagts genom reglering. Kommissionen har historiskt varit ovillig att använda mekanismen för gemensamma specifikationer och har föredragit att vänta på harmoniserade standarder.

Resultatet: den primära efterlevnadsvägen (harmoniserade standarder) är inte tillgänglig. Reservvägen (gemensamma specifikationer) har inte aktiverats. Företag lämnas med förordningens text och vad de kan bygga från den.

Digital Omnibus och den rörliga deadline

Standardiseringsklyftan är en huvudsaklig drivkraft bakom Digital Omnibus — det lagförslag som kommissionen publicerade den 19 november 2025 för att ändra AI-förordningens tillämpningstidsplan.

Den politiska logiken är enkel. Förordningen kräver efterlevnad. Efterlevnad underlättas av harmoniserade standarder. De harmoniserade standarderna är inte klara. Alltså, skjut upp efterlevnadsdeadline tills standarderna är klara. Digital Omnibus föreslår att ersätta deadline 2 augusti 2026 för högriskbestämmelser med en mekanism kopplad till tillgängligheten av harmoniserade standarder — i praktiken att flytta det effektiva datumet till 2 december 2027 för fristående AI-system med hög risk (Bilaga III) och 2 augusti 2028 för AI-system inbäddade i produkter (Bilaga I).

Rådet antog sin position den 13 mars 2026. Europaparlamentets utskott IMCO och LIBE antog sitt gemensamma betänkande den 18 mars 2026 — 101 röster för, 9 emot, 8 nedlagda. Båda institutionerna stödjer uppskjutandet. Parlamentets plenarröstning var planerad till 26 mars. Trillogförhandlingar mellan parlamentet, rådet och kommissionen kommer att följa.

Det politiska momentumet är tydligt. Båda medlagstiftarna stödjer uppskjutandet. Trillogen kommer att förhandla detaljer, inte principen.

Men — och jag har gjort denna poäng förut och kommer att göra den igen — Digital Omnibus har inte antagits. Den har inte publicerats i den officiella tidningen. Den har inte trätt i kraft. Per 7 april 2026 är 2 augusti 2026 lagen. Att planera för december 2027 är rationellt. Att räkna med december 2027 är dumdristigt. Skillnaden mellan att planera och att räkna med är om du har börjat förbereda dig för augusti.

Ett företag som inte har påbörjat efterlevnadsarbete för att det förväntar sig att deadline flyttas satsar. Oddsen talar för uppskjutandet. Nackdelen med att ha fel är inte abstrakt — den är operativ. Det är brådskan att bygga ett riskhanteringssystem, teknisk dokumentation, loggningsinfrastruktur och mekanismer för mänsklig tillsyn under veckorna mellan en misslyckad trillog och 2 augusti. Sannolikheten är låg. Konsekvensen är katastrofal.

Vad ett företag kan göra idag

Frånvaron av harmoniserade standarder innebär inte frånvaron av krav. AI-förordningens materiella bestämmelser är fristående. De säger vad du ska bygga. Standarderna skulle ha tillhandahållit en konsensusmetodik för att bygga det. Utan standarderna måste du bygga metodiken själv — men destinationen är densamma.

Här är vad som finns och vad du kan göra med det.

Artikel 9 — Riskhantering. Förordningen specificerar kraven för ett riskhanteringssystem i detalj. Det måste vara en kontinuerlig iterativ process. Det måste identifiera och analysera kända och rimligen förutsebara risker. Det måste utvärdera de risker som uppstår när systemet används i enlighet med sitt avsedda ändamål och under förhållanden av rimligen förutsebart missbruk. Det måste anta lämpliga riskhanteringsåtgärder. Artikeln är preskriptiv. Du behöver inte prEN 18228 för att bygga ett riskhanteringssystem. Du behöver artikel 9, ditt systems tekniska dokumentation och någon med domänexpertis inom ditt AI-systems tillämpningsområde. Standarden kommer, när den anländer, att tillhandahålla en strukturerad metodik. Artikeln tillhandahåller de krav som den metodiken måste uppfylla.

Artikel 10 — Datastyrning. Tränings-, validerings- och testdataset måste uppfylla kvalitetskriterier: relevanta, tillräckligt representativa, fria från fel i den mån det är möjligt och fullständiga med avseende på det avsedda ändamålet. Artikeln specificerar datastyrningsmetoder — inklusive granskning av bias, identifiering av luckor och lämpliga åtgärder för att adressera dem. Dokumentera dina data. Dokumentera deras källor. Dokumentera dina kvalitetskontroller. Dokumentera hur du hanterade bias. Standarden kommer att tillhandahålla ett ramverk för att göra detta. Artikeln säger dig vad ramverket måste täcka.

Artikel 11 — Teknisk dokumentation. Bilaga IV listar innehållet i den tekniska dokumentationen i detalj. Allmän beskrivning, utvecklingsprocess, övervakning och kontroll, riskhanteringssystem, förändringar under livscykeln, tillämpade harmoniserade standarder och efterlevnadsåtgärder. Den sista punkten — tillämpade harmoniserade standarder — kommer att vara tom för tillfället. Bilaga IV tillmötesgår detta uttryckligen: när inga harmoniserade standarder har tillämpats måste dokumentationen inkludera “en lista över andra relevanta tillämpade standarder och tekniska specifikationer.” ISO/IEC 42001, ISO/IEC 23894, ISO/IEC 38507 — dessa är inte harmoniserade standarder under AI-förordningen, men de är relevanta tekniska specifikationer som visar en efterlevnadsmetodik. Använd dem. Dokumentera deras tillämpning. Den tekniska dokumentationen kräver inte harmoniserade standarder. Den kräver dokumentation av vilka standarder du faktiskt har tillämpat.

Artikel 12 — Loggning. Systemet måste automatiskt logga händelser. Artikeln specificerar vilka: användningsperiod, referensdatabaser, indata som producerade träffar, identifiering av personer involverade i verifieringen. Det är ett tekniskt krav. Det beror inte på en harmoniserad standard. Bygg loggningsinfrastrukturen. Standarden kommer inte att ändra vad du loggar. Den kan ändra hur du strukturerar och lagrar det. Bygg nu, förfina senare.

Artikel 13 — Transparens. Systemet måste vara utformat för att vara tillräckligt transparent för att möjliggöra för användare att tolka output och använda det på lämpligt sätt. Bruksanvisningar måste inkludera: leverantörens identitet, systemets egenskaper, kapaciteter och begränsningar, avsett ändamål, noggrannhetsnivå och relevanta noggrannhetsmått. Skriv bruksanvisningarna. Innehållet specificeras i artikeln. En harmoniserad standard kan specificera formatet. Innehållet är redan definierat.

Artikel 14 — Mänsklig tillsyn. Jag har skrivit utförligt om detta i “Misstaget på 500 000 euro.” Kravet är tydligt: fysiska personer måste kunna fullt ut förstå systemets kapaciteter och begränsningar, övervaka dess drift, kunna besluta att inte använda systemet eller bortse från dess output, och kunna ingripa eller avbryta systemet. Bygg tillsynsgränssnittet. Utbilda tillsynspersonerna. Standarden kommer inte att ändra kravet. Den kommer att tillhandahålla en metodik för att visa det.

prEN 18286 — Kvalitetsledningssystem. Standardutkastet är offentligt tillgängligt via nationella standardiseringsorgan. Det är inte slutgiltigt. Det kan ändras. Men det är den mest detaljerade vägledning som finns tillgänglig för efterlevnad av artikel 17. Läs det. Använd det som referens för att strukturera ditt kvalitetsledningssystem. När den slutliga standarden publiceras, anpassa dig till den. Kostnaden för att anpassa ett system byggt mot utkastet till den slutliga standarden är justering. Kostnaden för att inte bygga något medan du väntar på den slutliga standarden är att börja från noll.

ISO-bron

Frånvaron av AI-förordningsspecifika harmoniserade standarder innebär inte frånvaron av standarder. Det internationella standardiseringslandskapet erbjuder relevanta ramverk som, även om de inte ger presumtion om överensstämmelse under artikel 40, tillhandahåller strukturerade metoder för att adressera AI-förordningens krav.

ISO/IEC 42001 — Ledningssystem för Artificiell Intelligens — tillhandahåller en ledningssystemstandard för organisationer som använder eller tillhandahåller AI. Den täcker riskbedömning, styrning och livscykelhantering. Den motsvarar inte direkt AI-förordningens krav, men den adresserar samma strukturella frågor. Ett företag med ett ISO 42001-certifierat ledningssystem har ett ramverk som kan omsättas i efterlevnad av AI-förordningen genom anpassning, inte genom nyskapande.

ISO/IEC 23894 — Artificiell Intelligens: Vägledning för Riskhantering — tillhandahåller ett riskhanteringsramverk specifikt för AI-system. Den ansluter konceptuellt till artikel 9 men utvecklades oberoende av AI-förordningen. Ett företag som implementerar ISO 23894 har ett riskhanteringssystem som adresserar det mesta av vad artikel 9 kräver — med luckor som kan fyllas genom att läsa artikel 9 själv.

Dessa standarder är inte ersättningar för harmoniserade standarder. De ger inte presumtion om överensstämmelse. Men de ger något som de saknade harmoniserade standarderna inte kan ge: struktur. Ett riskhanteringssystem byggt på ISO 23894 och anpassat till artikel 9 är påvisbart mer robust än ett riskhanteringssystem byggt från grunden utan något metodologiskt ramverk. När en tillsynsmyndighet utvärderar efterlevnad i frånvaro av harmoniserade standarder, är företaget som tillämpade en erkänd internationell standard — och dokumenterade sin tillämpning — i en starkare position än företaget som inte tillämpade något.

Tillsynsverkligheten

Den praktiska frågan är vad som händer när tillsyn inleds utan harmoniserade standarder. Svaret beror på tillsynsmyndigheten.

Nationella behöriga myndigheter som har varit operativa i månader — Traficom i Finland, AESIA i Spanien, Bundesnetzagentur i Tyskland — har haft tid att utveckla tillsynsmetoder. Dessa myndigheter förstår standardiseringsklyftan. De vet att inget företag kan visa överensstämmelse med en standard som inte existerar. Deras tillsynsmetod kommer nödvändigtvis att ta hänsyn till frånvaron av harmoniserade standarder — genom att utvärdera efterlevnad mot förordningens krav snarare än mot tekniska specifikationer.

Detta är inte en licens för självbelåtenhet. Frånvaron av harmoniserade standarder minskar inte kraven. Den förändrar bevisramen. Ett företag måste fortfarande uppfylla artiklarna 9 till 15. Det måste fortfarande ha ett riskhanteringssystem, teknisk dokumentation, loggning, transparens och mänsklig tillsyn. Vad det inte kan ha är en harmoniserad standard att peka på som bevis. Beviset måste komma från substansen i vad företaget byggde, dokumenterade och implementerade.

De företag som kommer att klara sig bäst i en tillsynsmiljö utan harmoniserade standarder är de som gjorde arbetet. Inte de som väntade på standarden. Inte de som anlitade en konsultfirma för att producera en bristanalys. De som läste artikel 9, byggde ett riskhanteringssystem, dokumenterade det och underhöll det. De som läste artikel 11 och Bilaga IV, producerade den tekniska dokumentationen och höll den aktuell. De som behandlade förordningens text som specifikationen — för i frånvaro av harmoniserade standarder är den det.

Positionen

Standardiseringsklyftan är verklig, strukturell och kommer inte att stängas före 2 augusti 2026. Digital Omnibus kan flytta efterlevnadsdatumet till december 2027. De harmoniserade standarderna kan komma under fjärde kvartalet 2026. Båda kan hända. Inget av dem har hänt.

Klyftan rättfärdigar inte passivitet. Den rättfärdigar en annan typ av handling. Bygg mot förordningens text, inte mot en standard som inte existerar. Använd standardutkasten som vägledning, inte som efterlevnadsväg. Tillämpa internationella standarder där de adresserar samma frågor. Dokumentera allt — metodiken, de tillämpade standarderna, de identifierade luckorna, de fattade besluten.

De företag som framgångsrikt navigerar standardiseringsklyftan kommer att vara de som behandlade frånvaron av standarder som en byggbegränsning, inte en byggursäkt. Leonardo da Vinci arbetade utan CAD-program. Begränsningarna stoppade inte arbetet. De formade det.

Standarderna kommer att komma. Det gör de alltid. Frågan är om du byggde något värt att anpassa till dem — eller om du satt vid ritbordet och väntade på ritningar som aldrig kom.

Ritningarna är försenade. Byggandet är inte valfritt.

Skriven av
Bertrand
Kreativ Teknolog

En seriell entreprenör med en doktorsexamen i AI och tjugofem år av systembyggande tvärs Europa. Han skapar kod som han surfar: läser mönster, hittar flödet, gör det svåra se enkelt ut.

← Alla anteckningar