AI-förordningen för internationella företag

Gäller AI-förordningen för ditt företag?

Om du undrar om EU:s AI-förordning påverkar ditt företag utanför Europa är svaret troligtvis ja — åtminstone om du distribuerar eller säljer AI-system till kunder eller användare i Europeiska unionen.

Artikel 2 i AI-förordningen definierar territoriell tillämpning: Förordningen gäller alla högrisk-AI-system som släpps ut på EU-marknaden, oavsett var leverantören är baserad. "Släppt ut på EU-marknaden" innebär att systemet görs tillgängligt för användning — oavsett om det är genom direkt försäljning, molntjänster, SaaS, mobilappar eller integration i produkter som säljs i EU.

Detta innebär att amerikanska teknikföretag, kinesiska AI-leverantörer, indiska SaaS-plattformar och andra icke-EU-enheter som placerar högrisk-AI i Europa måste följa förordningen. Förordningen bryr sig inte om var ditt företag är baserat — den bryr sig om huruvida ditt AI-system används i EU.

Även begränsade pilotprojekt eller betadistributioner till EU-användare kan utlösa förordningen. Om du testar ett högrisk-AI-system med EU-kunder — även en liten grupp — är du föremål för AI-förordningens krav.

Vem räknas som leverantör, användare eller importör?

AI-förordningen definierar roller baserat på funktion, inte nationalitet. Det är väsentligt att förstå vilka roll(er) ditt företag har eftersom olika skyldigheter gäller för varje roll.

Leverantör (Artikel 3)

En leverantör är varje enhet som utvecklar eller låter utveckla AI-system och placerar dem på EU-marknaden eller sätter dem i drift. Om ditt företag utvecklar, licensierar eller anpassar ett AI-system och gör det tillgängligt för EU-användare — även som molntjänst — är du en leverantör. Detta är huvudrollen som bär den största compliance-bördan: systemklassificering, teknisk dokumentation, riskhantering, överensstämmelsebedömning, CE-märkning (vid högrisk) och inblandning av anmäld organ.

Användare (Artikel 27)

En användare är en person som använder ett AI-system för sina egna ändamål. Om du är ett EU-företag som använder ett AI-system från en icke-EU-leverantör är du en användare. Användare har lättare skyldigheter: att använda systemet i enlighet med leverantörens instruktioner, övervakning för anomalier, loggning (vid högrisk) och rapportering av incidenter till leverantören och myndigheterna. Du kan läsa mer i vår dedikerade guide till Artikel 27.

Importör (Artikel 4)

En importör är en icke-EU-enhet som importerar ett AI-system till EU-marknaden och placerar det under sitt namn eller varumärke. Om du tillverkar AI-system utanför EU och säljer dem till EU-återförsäljare eller företag under ditt varumärke är du en importör. Importörer måste säkerställa att systemet uppfyller förordningen innan det placeras på marknaden och måste samarbeta med myndigheterna.

Distributör (Artikel 4)

En distributör gör ett AI-system tillgängligt på EU-marknaden utan att ändra det (t.ex. en återförsäljare eller integratör). Distributörer måste verifiera att systemet har CE-märkning (om det är obligatoriskt) och måste ha procedurer för att hantera bristande överensstämmelse.

Viktiga skyldigheter för internationella företag

Om ditt företag är leverantör av högrisk-AI-system för EU-marknaden ställs betydande krav. Här är de viktigaste.

1. CE-märkning och överensstämmelsebedömning

Högrisk-AI-system måste bära en CE-märkning och en försäkran om överensstämmelse (DoC) innan de placeras på EU-marknaden. Leverantören måste bevisa att systemet uppfyller alla krav i Artikel 8–15 (obligatoriska funktioner som dokumentation, riskhantering, datastyrning och övervakning). För de flesta högrisk-kategorier behöver du inblandning av ett anmält organ — en oberoende bedömningsorganisation utsedd av EU-myndigheter.

2. Utse en godkänd representant i EU (Artikel 22)

Icke-EU-leverantörer måste utse en EU-baserad representant som agerar å deras vägnar för tillsynsfrågor. Denna representant måste vara etablerad i EU och kan vara en juridisk person (dotter, distributör eller agent). Representanten agerar som kontaktpunkt för myndigheter och är ansvarig för att säkerställa efterlevnad. Detta är ett strikt krav utan undantag — du kan inte placera högrisk-AI på EU-marknaden utan detta.

3. Teknisk dokumentation på engelska eller nationella språk

Din tekniska dokumentation enligt Annex IV måste vara skriven på engelska eller det officiella språket i det EU-land där systemet distribueras. Dokumentationen måste täcka systemdesign, träningsdata, testresultat, riskhantering och procedurer för övervakning efter utsläppande på marknaden. Dokumenten måste sparas under hela systemets livscykel och göras tillgängliga för myndigheterna på begäran.

4. Övervakning efter utsläppande på marknaden och incidentrapportering

Du måste kontinuerligt övervaka ditt AI-systems prestanda i den verkliga världen. Om du upptäcker risker, bias, prestanda försämring eller säkerhetsproblem måste du dokumentera dem (Artikel 72). Allvarliga incidenter — som orsakar skada, dödsfall eller betydande skada — måste rapporteras till relevanta EU-myndigheter inom 15 dagar (Artikel 73). Icke-EU-leverantörer kämpar ofta med detta eftersom de saknar direkt insyn i hur deras system används över olika EU-marknader.

Tidsplan och tillsyn: När efterlevnad blir obligatorisk

AI-förordningens allmänna tillämpningsdatum är 2 augusti 2026. Efter det datumet måste alla högrisk-AI-system som placeras på EU-marknaden helt uppfylla alla krav. Vissa krav började dock tillämpas tidigare: förbudet mot högrisk-praxis trädde i kraft omedelbar vid publicering (december 2023), och regler för högrisk-system enligt Artikel 8–15 började tillämpas 10 juni 2024.

Böter och straff för bristande efterlevnad

EU tar brott mot AI-förordningen på allvar. Ekonomiska straff är betydande:

• Upp till 35 miljoner euro (eller 7 % av global årlig omsättning) för att tillhandahålla icke-överensstämmande högrisk-AI-system eller att undanhålla obligatorisk dokumentation
• Upp till 15 miljoner euro (eller 3 % av omsättningen) för överträdelser som otillräcklig riskhantering, datastyrning eller övervakning efter utsläppande på marknaden
• Administrativa böter upp till 10 miljoner euro (eller 2 % av omsättningen) för mindre överträdelser som saknade incidentrapporter eller problem med teknisk dokumentation

Med tanke på omfattningen av straffen bör internationella företag prioritera efterlevnad nu, även om slutdatumet är 2 augusti 2026. Tidiga åtgärder minskar risken och visar god vilja till tillsynsmyndigheter.

Vem tillämpar förordningen?

Varje EU-medlemsstat har en marknadstillsynsmyndighet (vanligtvis en nationell handels-, konsumentskydds- eller standardmyndighet) som är ansvarig för att testa AI-system och utreda överträdelser. Dessa myndigheter kan genomföra revisioner, begära dokumentation och utfärda böter. På EU-nivå samordnar Europakommissionen tillsynen och publicerar vägledning. Icke-EU-leverantörer är inte undantagna — myndigheter övervakar aktivt icke-överensstämmande system från internationella leverantörer och vidtar åtgärder när överträdelser upptäcks.

Steg-för-steg: Hur man uppnår efterlevnad från utanför EU

Om ditt företag tillhandahåller högrisk-AI-system till EU, följ dessa steg för att säkerställa efterlevnad.

1. Klassificera ditt AI-system. Först måste du fastställa om ditt system är högrisk enligt Annex III i förordningen. Högrisk-kategorier inkluderar system som används för brottsbekämpning, kritisk infrastruktur, sysselsättning, utbildning, kreditbedömning och biometrisk identifiering. Använd vårt kostnadsfria klassificeringsverktyg för AI-förordningen eller konsultera en compliance-expert för att vara säker på din kategori.
2. Kartlägg dina skyldigheter. När du vet ditt systems riskkategori identifierar du de specifika krav som gäller (Artikel 8–15). Du måste etablera ett riskhanteringssystem (Artikel 9), styrning för tränings- och testdata (Artikel 10), ett kvalitetsledningssystem (Artikel 17) och procedurer för mänsklig övervakning (Artikel 14).
3. Utse en EU-baserad godkänd representant. Välj en pålitlig EU-juridisk person — ofta ett dotter, distributör eller specialiserat compliance-företag — för att representera ditt företag. Upprättar ett formellt representationsavtal som specificerar deras ansvar. Representantens kontaktuppgifter måste finnas i din försäkran om överensstämmelse och vara tillgängliga för myndigheter.
4. Bygg eller granska dina system. Om ditt system redan existerar, genomför en grundlig granskning mot Artikel 8–15 krav. Om det är under utveckling integrerar du efterlevnad genom designprocessen. Säkerställ robust riskhantering, högkvalitets tränings- och testdata samt spårbarhet. Detta är det mest tidskrävande steget.
5. Förbered teknisk dokumentation (Annex IV). Sammanställ omfattande dokumentation som täcker systemsyfte, utvecklingsprocess, träningsdataegenskaper, test- och valideringsresultat, kända begränsningar, prestandamätningar och procedurer för övervakning efter utsläppande på marknaden. Dokumentationen måste vara på engelska eller ett relevant EU-språk. Vårt Annex IV-dokumentationsverktyg guidar dig genom detta systematiskt.
6. Engagera ett anmält organ (för de flesta högrisk-kategorier). Skicka ditt system och din dokumentation till ett anmält organ för tredjepartsöverenstämmelsebedömning. Efter godkännande erhåller du organets bedömningsrapport och kan sedan utfärda din egen försäkran om överensstämmelse och applicera CE-märkningen på ditt system.

Hur EU Compliance AI kan hjälpa

Efterlevnad är komplex, tidskrävande och dyr om det görs fel. Internationella företag saknar ofta expertis för att navigera EU:s AI-förordning, speciellt processer för teknisk dokumentation och överensstämmelsebedömning. EU Compliance AI förenklar detta:

Våra verktyg och guider stödjer varje steg: Vårt kostnadsfria klassificeringsverktyg hjälper dig förstå om ditt system är högrisk. Vår Annex IV-dokumentationsgenerator guidar dig genom tekniska dokumentationskrav systematiskt och översätter regler till praktiska frågor. Våra guider om riskhantering, datastyrning och skyldigheter för Artikel 27-användare ger detaljerad, handlingsbar vägledning. Och vårt tidsplanverktyg håller dig medveten om kommande deadlines så att du aldrig blir överrumplad.