Bästa tipsen om nya AI-reglerna

Använder ni AI på företaget? Då omfattas ni med största sannolikhet av EU:s nya AI-lagstiftning som börjar gälla nu. Patric Ridell, projektledare inom SIS, guidar till hur standarder och lednings- system kan hjälpa organisationen att navigera rätt. 

AI-system måste utvecklas och användas på ett ansvarsfullt och transparent sätt, och i linje med etiska principer. Det är grundtanken med EU:s AI-lagstiftning som trädde i kraft 2024. 

Nu börjar lagstiftningen rullas ut på allvar. 

Redan i februari i år trädde förbudet för så kallad oacceptabel AI i kraft. Andra regler implementeras stegvis, berättar Patric Ridell, projektledare för AI-standardiseringen inom SIS och en spindel i nätet för allt som
har med standarder och lagstiftning att göra.

– I augusti i år infördes kraven som gäller AI för allmänna ändamål. Och från augusti 2026 börjar kraven gälla för högrisk-AI-system, vilket är den mest omfattande delen – den stora bulken av AI-förordningen, säger han.

Vilka är de stora dragen i lagstiftningen?

– AI-förordningen ser på AI-system som en riskpyramid utifrån användningsområde, där man i botten har system som utgör ’minimal’ risk. Där finns majoriteten av AI-systemen. Nivå två är ’begränsad risk’, där måste man informera användare om att det till exempel är en chattbot och inte en människa man pratar med, eller att det är en genererad bild eller video man ser. Därefter kommer ’högrisk’, till exempel system för kritisk infrastruktur, medicinteknik, kreditbedömning eller rekrytering. Och högst upp har vi ’oacceptabel risk’, system som man inom EU anser är för riskfyllda för att få användas.

Är det glasklart vad ”oacceptabel AI” är?

– Förenklat kan man säga att oacceptabel AI är de system som anses utgöra ett allvarligt hot mot grundläggande rättigheter, säkerhet och demokrati. EU har slagit fast att system som till exempel realtidsövervakning i offentliga rum med biometrisk identifiering är för riskfyllda för att få användas. Men det är viktigt för organisationer att kartlägga vilken risknivå man befinner sig på – om det vi utvecklar har begränsad, hög eller oacceptabel risk? Kommer man fram till att det är hög risk behöver man kanske ta in experter som kan bedöma hur eller om vi kan fortsätta att utveckla.

Vilka företag och organisationer omfattas?

– I princip alla, men framför allt de som vill ta produkter och tjänster som baseras på AI till den europeiska marknaden. Högrisk-AI måste från 2026 CE-märkas för att få säljas, på samma sätt som gäller för till exempel medicintekniska produkter. Kraven omfattar bland annat dokumentation, mänsklig översyn, loggning och riskhantering.
Kommer SIS att erbjuda utbildningar som kan hjälpa organisationer att navigera rätt bland standarder och regler?

– Vi är på gång med det. Själva standarderna finns redan tillgängliga på SIS hemsida, men det kan vara en utmaning att hitta rätt utifrån behovet i varje enskild organisation. För att underlätta detta utvecklar vi just nu en utbildning med fokus på ISO 42001, som blir navet i AI-standardiseringen. Kursen ska ge vägledning och innehålla praktiska workshopmoment där deltagarna kan utgå från egna frågeställningar och hitta lösningar på hur de kan implementera ledningssystemet i sin verksamhet.

Det finns både internationella och europeiska standarder inom det här området – vad är skillnaden?

– ISO-standarder är globala och inte kopplade till lagstiftning, medan de europeiska standarder som nu tas fram kopplar direkt till AI-förordningen. De europeiska standarderna blir ett verktyg för lagefterlevnad – följer man standarden så följer man lagen. ISO-standarder kan användas strategiskt för att bygga förtroende, till exempel genom certifieringar enligt ledningsystemstandarden för AI, ISO 42001. Den är motsvarigheten till ISO 9001 för kvalitet och ISO 27001 för informationssäkerhet, men för AI-ledningssystem.

– En annan skillnad är att ISO 42001 är inriktat på organisationen medan EU:s AI-förordning tar sikte på produktsäkerhet. Därför kommer det framöver också att finnas ett europeiskt kvalitetsledningssystem för AI som har produkten som utgångspunkt.

Vilka tre saker tycker du att en organisation ska göra för att förbereda sig på den nya AI-lagstiftningen?

– Börja med en inventering och riskutvärdering – för att förstå var ni står och vilka delar av verksamheten som påverkas. Om man utvecklar högrisk-AI måste man som sagt förbereda sig för CE-märkning och de krav som gäller från augusti 2026. 

– Därefter bör man ta fram en AI-policy med tillhörande riktlinjer. Många medarbetare är osäkra på vad de får och inte får göra. Det måste vara tydligt. 

– Som tredje punkt vill jag lyfta vikten av att hantera riskerna utifrån de lagkrav som gäller för varje nivå, till exempel högrisknivån.

– Sedan får man inte glömma kompetensutveckling. Se till att höja kunskapen i organisationen kring både användning och lagkrav. Precis som med GDPR behöver alla ha en grundläggande förståelse för AI-lagstiftningen och de AI-verktyg som används inom organisationen.

Om vi tar mindre bolag – hur ska de tänka?

– Egentligen på liknande sätt, men den bästa vägen in i AI-världen för dem är förmodligen den internationella handbok som ISO tar fram nu och som riktar sig just till små och medelstora företag. Certifiering kan vara både tidskrävande och kostsamt, så handboken ska hjälpa mindre bolag att prioritera de viktigaste delarna och anpassa arbetet till sin egen kontext. Det blir ett mer praktiskt stöd än en full certifieringsprocess, som ofta är mer relevant för större företag.

Vilket stöd kan organisationen få av redan etablerade standarder?

– Börja med ledningssystemet 42001, det ger en struktur för hela organisationens arbete. Därefter
är riskhantering centralt, genom ISO 23894. En tredje viktig standard är ISO 42005

Konsekvensbedömning av AI-system, som hjälper ledningen att analysera hur AI påverkar organisa-
tionen. Har man begränsat med tid och resurser bör man absolut använda etablerade ISO-standarder. Det finns redan många färdiga ramverk – mellan 30 och 40 publicerade ISO-standarder för AI som är tillgängliga via SIS hemsida.

Varför är AI-standardisering bra för svenska företags innovation och konkurrenskraft?

– Om vi tar ett ungt svenskt bolag som exempel så är standarder ett enormt stöd. De ger tillgång till etablerade processer, rutiner och ramverk med kvalitetsstämpel, i stället för att ta in dyr extern kompetens eller bygga hemmasnickrade lösningar. Då frigörs tid och resurser för själva innovationsarbetet. Standarder fungerar också som stödväggar – de hjälper företag att hålla sig inom ramen för ansvar, etik och transparens. Det är faktorer som blir alltmer avgörande för konkurrens-
kraft, inte minst i Sverige och EU där de värdena står högt på agendan.

I dag deltar ett 20-tal organisationer i SIS kommitté för AI (SIS/TK 421) – från stora industriföretag till en juristbyrå, ett universitet och ett fackförbund.

Vilka är fördelarna med att delta i standardisering?

– Som deltagare får man tillgång till ett nätverk av experter från industri, akademi, myndigheter och civilsamhälle. Tack vare det får deltagarna förstahandsinformation om pågående standardiseringsarbete, trender och framtida utveckling. Det ger strategiska fördelar – man hinner anpassa sig innan kraven träder i kraft. Vill man kan man också vara med och påverka innehållet efter svenska förhållanden och sin organisations agenda. 

Till sist, nämn ett begrepp eller en trend inom AI som vi måste ha koll på?

– Vibe-coding – att chatta fram kod. Man beskriver för AI-tjänsten vad man vill ha – exempelvis en personlig hemsida – och så genereras en färdig kodad lösning på några sekunder. Det finns svenska bolag som blivit världsledande inom området. Det visar hur snabbt AI utvecklas, och varför det är avgörande att arbeta både ansvarsfullt och strategiskt.