EU:s AI-förordning: vad små och medelstora företag faktiskt måste göra

EU:s AI-förordning (AI Act) trädde i kraft stegvis. Förbudet mot vissa "oacceptabla" användningar gäller sedan februari 2025, och reglerna för generella AI-modeller (GPAI) blev verksamma i augusti 2025, enligt EU-kommissionen. Det är alltså inte en kommande lag att bevaka. Den gäller redan.

Samtidigt är bilden rörig: under våren 2026 diskuterar rådet och parlamentet justeringar av delar av regelverket, det som jurister kallat "AI Act reloaded". Att lagen finslipas medan den införs gör planeringen svårare, inte lättare.

Böterna är inte symboliska. Enligt förordningens artikel 99 kan överträdelser av de förbjudna användningarna ge upp till 35 miljoner euro eller 7 % av global omsättning. GPAI-leverantörer riskerar upp till 15 miljoner euro eller 3 %, och felaktig information upp till 7,5 miljoner euro eller 1 %. Små och medelstora företag får lägre bötesnivåer. Men "lägre" är inte detsamma som "försumbart".

De flesta mindre företag bygger inte egna AI-modeller. Ni använder dem, i CRM, supportverktyg och Office. Då är frågan inte "är vi en högrisk-AI-leverantör" utan "vet vi ens vilka AI-funktioner som redan är påslagna hos oss, och vilken data de rör?". Det är där de flesta faller: inte på illvilja, utan på avsaknad av överblick.

• Inventera. Kartlägg vilka AI-verktyg och -funktioner som faktiskt används i verksamheten, och vilken data de behandlar.
• Sätt enkla regler. Vad får matas in i vilka verktyg? Skriv det i klarspråk, inte paragrafprosa.
• Koppla ihop med GDPR. AI-efterlevnad och dataskydd är samma fråga sedd från två håll.

Vi hjälper företag med just detta inom Konsult & Projekt: policyer som folk faktiskt kan följa. Osäkra på var ni står? Boka en konsultation.