Nyhet24 november 2025

Välkommen paus av EU-regler kring högrisk-AI – men företag behöver jobba på

EU-kommissionen föreslår ändringar i sin AI-förordning. Mest betydande nyheten är att starten för högriskreglerna skjuts upp tills harmoniserade standarder och stödverktyg finns på plats. Det är helt i linje med Svenskt Näringsliv som anser att reglerna måste vara praktiskt genomförbara innan de träder i kraft.

Digitala frågor — Pausen ger viktigt andrum – men är ingen pausknapp för näringslivet, enligt , skriver Adam Ask. ”De företag som redan nu kartlägger sina AI-system, stärker sin interna styrning och samordnar sina processer för regelefterlevnad står bäst rustade när klockan startar igen.” Foto: Igor Stevanovic

Syftet med EU:s AI-förordning om harmoniserade regler för artificiell intelligens, är att främja tillförlitlig AI i Europa. AI-akten införs stegvis, och redan i dag gäller regler för förbjuden AI-användning, och för generella AI-modeller. Det som återstår – och som är mest affärskritiskt – är reglerna för system som klassificeras som högrisk, enligt bilaga 1 och 3 (se faktaruta).

Den omfattar bland annat krav på riskhantering, dokumentation, datastyrning, loggning, robusthet och mänsklig tillsyn. Enligt nuvarande tidsplan skulle kraven i bilaga 3 börja gälla den 2 augusti 2026 respektive 2 augusti 2027 för bilaga 1, men nu skjuts alltså högriskreglerna upp.

Orsakerna till det är flera.

För det första är de harmoniserade standarderna försenade. Högriskreglerna i AI-förordningen ska konkretiseras genom standarder, och utan dem saknar företag ett praktiskt och rättssäkert sätt att visa efterlevnad.

För det andra vill EU-kommissionen undvika ett scenario där reglerna börjar gälla innan standarder, gemensamma specifikationer och tillsynsstrukturer finns på plats. Det skulle innebära höga kostnader, risk för olika nationella tolkningar och betydande svårigheter att uppfylla kraven i tid för företagen. Att införandet skjuts fram är därför ett sätt att undvika ett i praktiken ogenomförbart regelverk.

Kräver samordning

Men pausen löser bara det akuta kring när kraven ska börja gälla – inte hur regelverket i praktiken ska fungera tillsammans med andra EU-regler. Många företag behöver därför arbeta mer strategiskt med att samordna AI-förordningen med exempelvis dataskyddsförordningen, GDPR, Digital Services Act, DSA, cyberresiliensförordningen, CRA, och kommande svensk cybersäkerhetslag, NIS2-direktivet.

AI Office på EU-kommissionen har en central roll i att ta fram gemensamma mallar, vägledningar och praktiskt stöd för att harmonisera tillämpningen och minska administrativa bördor samt variationer mellan medlemsstater. Men där är vi inte än.

Vad kan företag göra nu?

För det första bör AI-system klassificeras tidigt, eftersom skillnaden mellan reglerna i bilaga 3 och i bilaga 1 styr hela planeringen – från investeringar till avtal.

För det andra bör företag redan nu bygga upp sin interna styrning: roller, dokumentation, loggning och riskprocesser som kan etableras oberoende av standardernas detaljer.

För det tredje är det klokt att samordna sina regelspår, så att GDPR, DSA, CRA, NIS2 och AI-förordningen hanteras i en gemensam regelefterlevnadsstruktur, inte som separata projekt.

Företag måste hänga i

Pausen ger viktigt andrum – men är ingen pausknapp för näringslivet. Tidslinjen är fortsatt rörlig. Förhandlingarna i Bryssel kan dra ut på tiden, standardiseringsarbetet är inte färdigt och överlappningarna med andra EU-regler består. Företag behöver därför planera för olika scenarier, inklusive att högriskkraven kan börja gälla tidigare än de förslagna datumen.

De företag som redan nu kartlägger sina AI-system, stärker sin interna styrning och samordnar sina processer för regelefterlevnad står bäst rustade när klockan startar igen – oavsett om det sker 2027, 2028 eller tidigare.

Text: Adam Ack