EU reglerar AI - är ditt företag redo att möta AI-förordningens krav?

Många företag behöver anpassa sin verksamhet för att säkerställa efterlevnad av EU:s förordning om artificiell intelligens.

Inom Europeiska unionen (EU) har det pågått ett flerårigt arbete för att skapa en gemensam lagstiftning som reglerar användningen av artificiell intelligens (AI). Resultatet av detta arbete är EU-förordningen om artificiell intelligens (AI-förordningen), som trädde i kraft den 1 augusti 2024 och utgör världens första heltäckande AI-lagstiftning.

Förordningen inför harmoniserade regler för användning av AI-system inom unionen. Syftet med regleringen är att förbättra den inre marknaden och främja pålitlig och människocentrerad AI-användning. Den syftar också till att skydda människors hälsa, säkerhet och grundläggande rättigheter, motverka skadliga effekter av AI-system och stödja innovation. Förordningen ställer tydliga krav och skyldigheter på utvecklare och användare av AI-system, vilket är viktigt för företag att känna till.

Tidslinjen

Resan mot AI-förordningen började den 19 februari 2020 när EU-kommissionen i Vitboken om artificiell intelligens uttryckte sin ambition att föreslå ett rättsligt ramverk för AI. Den 21 april 2021 presenterade EU-kommissionen officiellt sitt förslag till AI-förordningen, som godkändes av Europaparlamentet och ministerrådet den 8 december 2023. Slutligen antogs AI-förordningen av EU den 21 maj 2024 och trädde i kraft den 1 augusti 2024.

De flesta av AI-förordningens regler börjar gälla 24 månader efter ikraftträdandet, det vill säga den 2 augusti 2026. Vissa regler blir dock tillämpliga vid ett tidigare eller senare datum. Bland de regler som blir tillämpliga tidigare finns förbud mot vissa typer av AI-system som började gälla den 2 februari 2025. För AI-system som innebär hög risk ges utvecklare och användare mer tid att uppfylla kraven enligt förordningen.

Sedan ikraftträdandet har EU-kommissionen publicerat riktlinjer kopplade till AI-förordningen. Bland annat släpptes riktlinjer den 4 februari 2025 om artificiell intelligens som är förbjuden enligt förordningen. Vidare släpptes riktlinjer om definitionen av begreppet AI-system som används i förordningen den 6 februari 2025. Riktlinjerna ger juridiska förklaringar och praktiska exempel för att underlätta efterlevnaden av förordningen och säkerställa en enhetlig tillämpning.

Risk-klassificering

AI-förordningen bygger på en riskbaserad metod som innebär en strukturerad uppdelning av olika typer av AI-system. Reglernas art och omfattning anpassas efter de risker som AI-systemen kan generera. Vissa AI-system förbjuds helt, medan andra tillåts med undantag för vissa restriktioner och krav (till exempel att vara föremål för tillsyn hos ansvarig tillsynsmyndighet).

Förordningen delar upp AI-system i följande fyra risk-kategorier:

• AI-system med oacceptabel risk: Dessa AI-system anses utgöra ett tydligt hot mot grundläggande rättigheter och är därför förbjudna. Exempelvis kan det röra sig om AI-system som möjliggör ”social poängsättning” eller manipulerar mänskligt beteende på ett skadligt sätt.
• AI-system med hög risk: Dessa AI-system utgör en risk för säkerhet, hälsa eller grundläggande mänskliga rättigheter. Strikta krav måste uppfyllas, vilket bland annat inkluderar loggning av verksamhet, riskreducerande system och mänsklig tillsyn. Exempel på sådana AI-system är de som används för rekrytering eller bedömning av låneansökningar.
• AI-system med specifik transparensrisk: Dessa AI-system är avsedda att interagera med fysiska personer. Förordningen ställer därför krav på information och transparens för att användare tydligt ska informeras om att de interagerar med ett AI-system. Denna kategori inkluderar bland annat AI-baserade chattbottar.
• AI-system med minimal risk: Dessa AI-system utgör den största delen av AI-system och medför få eller inga krav enligt förordningen på grund av deras minimala risk för människors hälsa, säkerhet och grundläggande rättigheter. Företag kan dock frivilligt välja att upprätta uppförandekoder.

Sanktioner

Bristande regelefterlevnad av AI-förordningen kan leda till betydande sanktioner för företag. Nationella behöriga myndigheter i varje medlemsstat kommer att övervaka regelefterlevnaden av AI-förordningen.

Ett företag som bryter mot reglerna om förbjuden AI-användning genom att släppa ut förbjudna AI-system på marknaden kan åläggas administrativa sanktionsavgifter på upp till 35 miljoner euro eller 7 procent av företagets totala globala årsomsättning under föregående räkenskapsår, beroende på vilket belopp som är högst.

Vid bristande efterlevnad av andra krav enligt förordningen kan företag åläggas betydande sanktionsavgifter, upp till 15 miljoner euro eller 3 procent av företagets totala globala årsomsättning under det föregående räkenskapsåret, beroende på vilket belopp som är högst.

Även tillhandahållande av oriktig, ofullständig eller vilseledande information till nationella behöriga myndigheter kan medföra sanktionsavgifter på upp till 7,5 miljoner euro eller 1 procent av företagets totala globala årsomsättning för det föregående räkenskapsåret, beroende på vilket belopp som är högst.

Påverkan på verksamheter

AI-förordningen kommer att ha en betydande inverkan på hur verksamheter opererar inom EU. Företag som använder eller utvecklar AI-system måste nu anpassa sina processer och rutiner för att säkerställa att de uppfyller de nya reglerna. Detta innebär att företag måste genomföra omfattande riskbedömningar och implementera robusta system för övervakning, dokumentation och rapportering. För att undvika betydande kostnader är det avgörande att verksamheten är anpassad efter förordningens krav.

Att navigera den komplexa juridiska terrängen som AI-förordningen innebär kan vara en utmaning för företag. Med vår expertis på EY Law kan vi erbjuda skräddarsydd rådgivning och stöd genom hela anpassningsprocessen, från initial bedömning av era nuvarande eller framtida AI-system till juridisk support vid implementering av nödvändiga förändringar för att säkerställa fullständig regelefterlevnad.

Vi kan hjälpa ert företag med bland annat följande:

• Riskbedömningar: Vi genomför grundliga riskbedömningar av era AI-system för att identifiera risk-klassificering och säkerställa att systemen uppfyller förordningens krav.
• Efterlevnad och rapportering: Vi hjälper till med kontinuerlig regelefterlevnad och uppfyllande av rapporteringskraven.
• Policys: Vi utvecklar, utvärderar och implementerar omfattande och robusta policys för etisk och laglig AI, anpassade efter er affärsmodell, samt identifierar nödvändiga roller, ansvarsområden och processer.
• Juridisk rådgivning: Vårt team av juridiska experter ger råd för hur ni bäst kan anpassa er verksamhet till den nya lagstiftningen samt vägledning om hur förordningen och AI-system förhåller sig till parallell lagstiftning om cybersäkerhet, data, dataskydd och mer.
• Utbildning och support: Vi erbjuder utbildningsprogram och löpande support för att säkerställa att alla i er organisation är uppdaterade om de senaste kraven och bästa praxis.

Sammanfattning

AI-förordningen etablerar en enhetlig rättslig ram för utsläppande på marknaden, ibruktagande och användning av AI-system inom unionen. Genom ett riskbaserat angreppssätt säkerställs en hög skyddsnivå för allmänintressen i samhället samtidigt som utveckling av AI främjas. Förordningen skapar ett nytt rättsligt landskap där företag kan behöva anpassa sin verksamhet för att förstå och säkerställa efterlevnad av de nya reglerna.

Med stöd från EY Law kan ni vara trygga i att er användning av AI är både rättsligt och etiskt försvarbar, samt att er verksamhet är anpassad för att dra nytta av de möjligheter AI-teknologin erbjuder. Om ni har frågor eller behöver stöd rörande AI-förordningen, tveka inte att kontakta oss.

Författare

• Anna Byström - Partner, Digital Law & Legal Operations, Corporate and Commercial Law - 073 441 71 59
• Johanna Hedlöf - Senior Manager, Financial Regulations and Digital Law - 072 396 08 16
• Elina Elfstrand - Associate, Digital Law, Corporate and Commercial Law - 072 963 41 68
• Ellen Fahlander - Associate, Digital Law, Corporate and Commercial Law - 070 450 69 56