BEACON Guide

EU:s AI-förordning (AI Act), förklarad.

EU:s AI-förordning (AI Act, förordning (EU) 2024/1689) är världens första heltäckande AI-lag. Den trädde i kraft den 1 augusti 2024 och tillämpas stegvis — vissa AI-metoder förbjuds helt, strikta krav läggs på system med ”hög risk”, och transparens krävs närhelst människor interagerar med AI eller ser AI-genererat innehåll. Under 2026 flyttade ”Digital Omnibus on AI” flera tidsfrister, så här är den aktuella bilden: vad förordningen omfattar, vem som måste följa den och när, sanktionerna och vad den betyder för en vanlig webbplats.

Börja gratis Kör en gratis kontroll
Riskbaserad, inte generellFyra nivåer: förbjudna metoder, högrisksystem, begränsad risk (transparenskrav) och minimal risk — det mesta av all AI hamnar i den sista nivån utan några nya skyldigheter.
Stegvis tidslinjeFörbud och krav på AI-kunnighet sedan feb 2025; regler för AI för allmänna ändamål (GPAI) sedan aug 2025; transparenskrav från aug 2026; högriskkrav nu uppskjutna till dec 2027 / aug 2028.
Extraterritoriell räckviddDen gäller leverantörer och användare utanför EU närhelst AI-systemets utdata används i EU — precis som med GDPR behöver du inget EU-kontor för att omfattas.
Hårda förbudSocial poängsättning, manipulativa tekniker, oriktad skrapning av ansiktsbilder, känsloigenkänning på jobbet och i skolan (med snäva undantag) — förbjudna sedan februari 2025.
Transparens för webbplatserChatbottar måste upplysa om att de är AI; AI-genererat och manipulerat innehåll (deepfakes) måste märkas, med maskinläsbar märkning för syntetiska medier.
Böter i GDPR-klassUpp till 35 miljoner € eller 7% av den globala omsättningen för förbjudna metoder; upp till 15 miljoner € eller 3% för de flesta andra överträdelser; upp till 7,5 miljoner € eller 1% för vilseledande uppgifter.
De fyra risknivåerna i korthet
Oacceptabel risk
Förbjudet
Hög risk
Strikta krav + registrering
Begränsad risk
Transparenskrav
Minimal risk
Inga nya krav
Maximala böter
Förbjudna metoder€35M / 7%
De flesta andra överträdelser€15M / 3%
Vilseledande information€7.5M / 1%
av den globala årsomsättningen (det högsta beloppet)
Tidslinjen — uppdaterad efter Digital Omnibus 2026
1.8.2024Träder i kraft
2.2.2025Förbud + AI-kompetens
2.8.2025Regler för GPAI-modeller
2.8.2026Transparens + sanktionerIdag
2.12.2026Nya innehållsförbud
2.12.2027Hög risk — bilaga III
2.8.2028Hög risk — bilaga I

Vad AI-förordningen är (och inte är)

AI-förordningen är en produktsäkerhetsliknande reglering för AI-system som släpps ut på EU-marknaden eller vars utdata används i EU. Den reglerar inte ”AI” som teknik — den reglerar specifika användningar efter risk. Ju högre risk för hälsa, säkerhet eller grundläggande rättigheter, desto tyngre skyldigheter. Det mesta av vardags-AI (skräppostfilter, rekommendationswidgetar, stavningskontroller, AI-funktioner i produktivitetsverktyg) är minimal risk och får inga nya skyldigheter alls.

De fyra risknivåerna

Allt i förordningen bygger på denna klassificering:

  • Oacceptabel risk — helt förbjuden sedan den 2 februari 2025: social poängsättning, exploaterande eller manipulativa tekniker, oriktad skrapning av ansiktsbilder, känsloigenkänning på arbetsplatser och i skolor (snäva säkerhetsundantag), biometrisk kategorisering för att härleda känsliga attribut samt biometrisk fjärridentifiering i realtid på offentliga platser för brottsbekämpning (begränsade undantag). Från den 2 december 2026 förbjuder 2026 års ändring dessutom uttryckligen AI-system som genererar intima bilder utan samtycke eller CSAM.
  • Hög risk — tillåten men strikt reglerad: AI som används som säkerhetskomponent i reglerade produkter (bilaga I — maskiner, medicintekniska produkter, hissar…) eller i känsliga användningsområden (bilaga III — rekrytering och personalledning, betygsättning i utbildning, kreditvärdering, samhällsviktiga tjänster, brottsbekämpning, migration, rättsväsende). Kraven omfattar riskhantering, datastyrning, teknisk dokumentation, loggning, mänsklig tillsyn, tester av noggrannhet/robusthet och registrering i en EU-databas.
  • Begränsad risk — transparenskrav (artikel 50): berätta för människor när de interagerar med ett AI-system (chatbottar), märk AI-genererat eller manipulerat bild-/ljud-/videoinnehåll (deepfakes), märk syntetiskt innehåll på ett maskinläsbart sätt och upplys om AI-genererad text som publiceras för att informera allmänheten i frågor av allmänintresse.
  • Minimal risk — allt annat: inga nya skyldigheter, frivilliga uppförandekoder uppmuntras.

Tidslinjen 2026 — uppdaterad efter Digital Omnibus

Förordningen trädde i kraft den 1 augusti 2024 och skulle tillämpas nästan fullt ut den 2 augusti 2026. I november 2025 föreslog kommissionen ”Digital Omnibus on AI” för att förenkla och sprida ut detta; parlamentet ställde sig bakom den 16 juni 2026 och rådet gav sitt slutliga godkännande den 29 juni 2026. De viktigaste datumen nu:

  • 2 februari 2025 — förbuden mot metoder med oacceptabel risk och kraven på AI-kunnighet började gälla.
  • 2 augusti 2025 — skyldigheter för leverantörer av AI-modeller för allmänna ändamål (GPAI): teknisk dokumentation, upphovsrättspolicy, sammanfattningar av träningsdata; extra krav för modeller med systemrisk — samt EU:s AI-byrå och styrningsstrukturer.
  • 2 augusti 2026 — förordningen blir allmänt tillämplig: transparenskrav (artikel 50), sanktioner och de flesta återstående bestämmelser. Maskinläsbar märkning av syntetiskt innehåll får en övergångsperiod till den 2 december 2026 för system som redan fanns på marknaden före den 2 augusti 2026.
  • 2 december 2026 — nya förbud mot AI som genererar intima bilder utan samtycke och CSAM börjar gälla.
  • 2 december 2027 — högriskkrav för användningsområden i bilaga III (rekrytering, kreditvärdering, utbildning…) — uppskjutna 16 månader från det ursprungliga datumet i augusti 2026.
  • 2 augusti 2028 — högriskkrav för produktinbäddad AI enligt bilaga I (medicintekniska produkter, maskiner…) — uppskjutna ett år från augusti 2027. Nationella regulatoriska sandlådor ska finnas senast den 2 augusti 2027.

Vem som måste följa den

Skyldigheterna knyts till roller i värdekedjan: leverantörer (som utvecklar eller släpper ut ett AI-system på EU-marknaden under eget namn), användare (som använder ett AI-system yrkesmässigt) samt importörer och distributörer. Räckvidden är extraterritoriell — en SaaS från USA eller Storbritannien vars AI-utdata används i EU omfattas. Små och medelstora företag får vissa lättnader: förenklad dokumentation, prioriterad tillgång till sandlådor och böter som begränsas till det lägre av de två beloppen i stället för det högre.

Vad AI-förordningen betyder för din webbplats

För de flesta företag är de första verkliga kontaktpunkterna transparensreglerna som gäller från augusti 2026 — de handlar om vad besökare ser på din webbplats:

  • AI-chatbottar och assistenter på din webbplats måste göra klart att besökaren pratar med en maskin (om det inte är uppenbart av sammanhanget).
  • AI-genererade eller AI-manipulerade bilder, ljud och video (deepfakes) som du publicerar måste märkas synligt som artificiellt genererade eller manipulerade.
  • Syntetiska medier bör bära maskinläsbar märkning (t.ex. metadata/vattenmärkning) — märkningskravet för system från före aug 2026 gäller från den 2 december 2026.
  • AI-skriven text som publiceras för att informera allmänheten i frågor av allmänintresse måste anges som AI-genererad, om den inte gått igenom mänsklig redaktionell granskning med ansvarstagande.
  • Om du använder AI i rekrytering, kreditgivning eller andra användningsområden i bilaga III, planera för högriskregimen som gäller från den 2 december 2027.
  • AI-kunnighet: organisationer som använder AI yrkesmässigt bör vidta åtgärder så att personalen förstår de system de hanterar.

Sanktioner

Bötesstrukturen är medvetet GDPR-lik: upp till 35 miljoner € eller 7% av den globala årsomsättningen (beroende på vilket som är högst) för förbjudna metoder; upp till 15 miljoner € eller 3% för de flesta andra överträdelser, inklusive högrisk- och GPAI-krav; upp till 7,5 miljoner € eller 1% för att lämna felaktiga eller vilseledande uppgifter till myndigheter. För små och medelstora företag är varje tak det lägre av de två beloppen. Tillsynen delas mellan nationella marknadskontrollmyndigheter och, för GPAI-modeller, EU:s AI-byrå.

Hur Beacon passar in

Beacon skannar redan vad sökmotorer och AI-crawlers faktiskt ser på din webbplats — robots.txt-policyer, renderat innehåll, strukturerad data och upplysningar. Vi bygger vidare på den grunden med en AI Act-beredskapsskanning: en automatiserad kontroll av webbplatsens besökarvända transparenssignaler (chatbot-upplysning, märkning av AI-innehåll, maskinläsbar märkning och relaterad metadata) med en prioriterad åtgärdslista. Det blir ingen juridisk rådgivning — men den visar dig konkret vad din webbplats exponerar i dag och vad du ska åtgärda först.

FAQ

Gäller EU:s AI-förordning företag utanför EU?

Ja. Precis som GDPR har den extraterritoriell räckvidd: om du släpper ut ett AI-system på EU-marknaden eller systemets utdata används i EU omfattas du, oavsett var ditt företag är etablerat.

När börjar de viktigaste skyldigheterna faktiskt gälla?

Förbud och AI-kunnighet sedan den 2 februari 2025; krav på GPAI-modeller sedan den 2 augusti 2025; transparenskrav och sanktioner från den 2 augusti 2026. Efter 2026 års Digital Omnibus sköts högriskkraven upp till den 2 december 2027 (användningsområden i bilaga III) och den 2 augusti 2028 (produktinbäddad AI enligt bilaga I).

Måste jag märka AI-genererat innehåll på min webbplats?

Om du publicerar AI-genererade eller AI-manipulerade bilder, ljud eller video (deepfakes), ja — de måste märkas, och syntetiska medier bör bära maskinläsbar märkning. AI-chatbottar måste upplysa om att de är AI. AI-skriven text i frågor av allmänintresse måste anges, om inte en mänsklig redaktör tar ansvaret.

Är ChatGPT eller min AI-leverantör ansvarig i stället för mig?

Ansvaret delas efter roll. Modelleverantören (t.ex. OpenAI) bär GPAI-leverantörens skyldigheter; du, som användaren som lägger en chatbot på din webbplats eller publicerar AI-innehåll, bär transparenskraven gentemot dina besökare.

Är det förbjudet att använda AI för SEO eller innehållsmarknadsföring?

Nej. Att generera marknadsföringstexter med AI är minimal/begränsad risk — helt lagligt. Förordningen kräver bara transparens i specifika fall (deepfakes, text av allmänintresse, chatbottar) och förbjuder en kort lista skadliga metoder som inte har med normal marknadsföring att göra.

Vad bör en webbplatsägare göra just nu?

Inventera var AI berör din webbplats (chatbot, genererade bilder/texter), lägg till tydliga AI-upplysningar och märkningar, kontrollera din märkning av syntetiska medier och informera ditt team. Håll sedan ögonen på den 2 december 2027 om du använder AI i rekrytering eller andra områden i bilaga III.

Snabb självkoll: var står ni?

Sex påståenden — svara ärligt. Svaren stannar i din webbläsare.

Besökare informeras när de chattar med en AI (eller vi har ingen AI-chatt).
AI-genererade bilder, ljud eller video är synligt märkta (eller vi publicerar inga).
AI-skrivna artiklar av allmänintresse redovisas eller granskas av människor.
Vi har kontrollerat att ingen AI-användning är en förbjuden metod (art. 5).
Vi vet om någon AI-användning faller under bilaga III (hög risk).
Vårt team har fått grundläggande AI-utbildning.
0/6 besvaradeHämta din gratis beredskapsskanningGratiskontot i Beacon innehåller signal-skanningen och den interaktiva checklistan — inget kort.

Kontrollera vad din webbplats exponerar i dag — gratis

Kör Beacons gratis synlighetsskanning nu. AI Act-beredskapskontroller kommer snart till Beacon.

Börja gratis Kör en gratis kontroll