Uppdaterad 14 jul, 2026
Publicerad 15 jul, 2026

EU:s AI-lag: Vad förändras egentligen den 2 augusti 2026?

Den 2 augusti 2026 går EU:s AI-lag in i en ny fas – dock inte den som många organisationer har förberett sig för. Transparenskraven enligt artikel 50 träder i kraft, och den Europeiska AI-byrån och de nationella myndigheterna får fullständiga befogenheter att se till att reglerna efterlevs och att sanktionera överträdelser, även när det gäller modeller för allmän AI (GPAI). Det som inte sker vid detta datum, till följd av en lagändring som antogs i somras, är den omfattande införandet av skyldigheter för högrisk-AI som ursprungligen var planerat.

För de flesta organisationer handlar det här inte i första hand om OpenAI, Microsoft eller Google. Det handlar om hur just ert företag använder AI – och om ni kan visa att ni gör det på ett ansvarsfullt sätt.

Vad förändras just detta datum?

Det är värt att precisera vad den 2 augusti 2026 omfattar och inte omfattar, eftersom datumet har fått en annan innebörd sedan lagen först offentliggjordes:

  • Tillämpningen av GPAI träder i kraft – de materiella skyldigheterna för leverantörer av AI-modeller för allmänt bruk (artiklarna 51–55) har gällt sedan den 2 augusti 2025. Det som nu förändras är att AI-byrån kan utöva sina befogenheter när det gäller tillsyn och sanktioner gentemot dessa leverantörer, inklusive utredningar och administrativa böter.
  • Öppenhetskraven enligt artikel 50 träder i kraft. De omfattar mer än bara genererat innehåll: informationskrav när människor interagerar direkt med ett AI-system (till exempel chattbotar), märkning av AI-genererat eller manipulerat innehåll (inklusive deepfakes) samt informationskrav kring system för känsligenkänning och biometrisk kategorisering. Ett undantag: det specifika kravet på att AI-genererat innehåll från system som redan fanns på marknaden före detta datum ska förses med ett maskinläsbart vattenmärke skjuts upp till den 2 december 2026.
  • Högrisk-AI-system (bilaga III) omfattas inte längre av detta datum. EU:s ”Digital Omnibus”, som ändrar AI-lagen, godkändes slutgiltigt av rådet den 29 juni 2026. Därmed skjuts tidsfristen för efterlevnad av bestämmelserna för fristående högrisk-system – som omfattar områden som rekrytering, kreditbedömning, utbildning och samhällsviktiga tjänster – upp från den 2 augusti 2026 till den 2 december 2027. För högrisk-AI som är inbyggd i reglerade produkter (bilaga I), såsom medicintekniska produkter eller maskiner, flyttas tidsfristen till den 2 augusti 2028.
  • Ett nytt förbud mot att AI-system genererar intima bilder utan samtycke eller CSAM träder också i kraft den 2 december 2026, oavsett om en organisation klassas som högriskorganisation eller inte.

Den praktiska konsekvensen är att tidsfristen i bilaga III faktiskt har skjutits upp – kraven i sig har inte ändrats – och det är ett skäl att utnyttja den extra tiden väl, inte ett skäl att sluta förbereda sig. Klassificeringsarbetet (vilka system som räknas som högrisk, vilka uppgifter de hanterar) blir inte enklare av att man väntar, och tillämpningen av GPAI, skyldigheterna avseende öppenhet samt det nya förbudet mot innehåll som utgör en säkerhetsrisk gäller fortfarande fullt ut år 2026.

Vad detta innebär om du inte utvecklar AI-modeller

De flesta organisationer är inte leverantörer av GPAI. De är istället användare – de använder AI via vardagliga verktyg som Microsoft Copilot, ChatGPT, Google Gemini eller AI-funktioner som är inbyggda i befintliga affärsapplikationer. AI-lagen gäller fortfarande för er, men med en annan uppsättning skyldigheter: information, tillsyn och dokumentation av hur AI används snarare än hur den är uppbyggd.

I takt med att AI blir en integrerad del av vardagliga arbetsflöden förskjuts den praktiska utmaningen från ”bör vi använda AI?” till ”vet vi egentligen hur vi använder den?”. Det innebär att man måste ha konkreta svar på följande frågor:

  • Vilka AI-tjänster används inom organisationen?
  • Vilka företagsuppgifter behandlas av dessa tjänster?
  • Om känslig eller reglerad information delas med AI-modeller
  • Hur AI-genererat innehåll granskas innan det används
  • Om era AI-leverantörer uppfyller sina egna lagstadgade skyldigheter – och hur detta påverkar er organisations egen riskprofil

Ett krav gäller redan oavsett detta datum: enligt AI-lagen måste organisationer säkerställa att den personal som utvecklar eller använder AI-system har tillräckliga kunskaper om AI. Detta har gällt sedan februari 2025, och för många organisationer är det det första konkreta åtgärdssteget som fortfarande återstår att genomföra.

För många organisationer har införandet av AI gått snabbare än arbetet med AI-styrning. Tidsfristen den 2 augusti är inte så mycket en plötslig ny börda som en drivkraft – ett skäl att åtgärda en brist som förmodligen redan finns.

Säkerhetsaspekten

Efterlevnad av AI-lagen och AI-säkerhet är inte separata arbetsområden; de överlappar varandra i hög grad. Samma brister i insynen som medför efterlevnadsrisker medför också säkerhetsrisker:

  • Shadow AI – verktyg som medarbetarna använder utan IT-avdelningens vetskap och som ofta hanterar känslig information utanför alla styrningsramar
  • Identitets- och åtkomsthantering – vem som får koppla vilka data till vilken AI-tjänst, och under vilka villkor
  • Risker kopplade till tredje part och leverantörskedjan – dina AI-leverantörers efterlevnad blir en del av din egen riskexponering
  • Skydd av känslig information – att förhindra att konfidentiella eller reglerade uppgifter hamnar i en modells tränings- eller utdatapipeline

Befintliga säkerhetsåtgärder behöver inte uppfinnas på nytt, men de måste utvidgas så att de uttryckligen omfattar AI-baserade tjänster – eftersom de flesta inte utformades med tanke på användning av AI.

Hur NetNordic kan hjälpa till

Vi hjälper organisationer att utforma en AI-styrning som står i proportion till den faktiska risken, och inte bara är en formell efterlevnadsåtgärd på papperet:

  • Bedömningar av AI-beredskap och mognadsgrad
  • Styrning av AI och utformning av riktlinjer
  • Riskbedömningar av AI
  • Granskningar av säkerhetsarkitekturen
  • Säkerhetsgranskningar av Microsoft Copilot och Azure AI
  • Identitets- och åtkomsthantering
  • Säkerhetsövervakning och rådgivningstjänster

Organisationer som inför styrningsrutiner redan nu – innan tidsfristen tvingar fram en lösning – har bättre förutsättningar att med tillförsikt införa AI, uppfylla myndigheternas krav och upprätthålla förtroendet hos kunder och intressenter.

De flesta organisationer är redan medvetna om att de använder AI. Färre vet dock var den används, vilka uppgifter som behandlas eller hur detta skulle kunna dokumenteras. Det är just denna lucka som AI-styrning är avsedd att fylla.

Vill du veta hur din organisation ligger till?

Kontakta vårt team för ett samtal om er AI-riskexponering innan tidsfristen i augusti löper ut.

Källor

Författare

John-Helge Gantz

Rådgivare inom informationssäkerhet, NetNordic

Kontakta oss

Ring oss gärna direkt på vårt telefonnummer +46 8 555 068 00, skicka oss ett mail sales.se@netnordic.com, eller fyll i formuläret så återkommer vi till dig som snart som möjligt! Tack!

Senaste innehållet

VÃ¥rt nyhetsbrev

FÃ¥ de allra senaste nyheterna och uppdateringarna direkt till din inkorg.