EU:s AI-förordning (AI Act, förordning (EU) 2024/1689) är världens första heltäckande AI-lag. Den trädde i kraft den 1 augusti 2024 och tillämpas stegvis — vissa AI-metoder förbjuds helt, strikta krav läggs på system med ”hög risk”, och transparens krävs närhelst människor interagerar med AI eller ser AI-genererat innehåll. Under 2026 flyttade ”Digital Omnibus on AI” flera tidsfrister, så här är den aktuella bilden: vad förordningen omfattar, vem som måste följa den och när, sanktionerna och vad den betyder för en vanlig webbplats.
AI-förordningen är en produktsäkerhetsliknande reglering för AI-system som släpps ut på EU-marknaden eller vars utdata används i EU. Den reglerar inte ”AI” som teknik — den reglerar specifika användningar efter risk. Ju högre risk för hälsa, säkerhet eller grundläggande rättigheter, desto tyngre skyldigheter. Det mesta av vardags-AI (skräppostfilter, rekommendationswidgetar, stavningskontroller, AI-funktioner i produktivitetsverktyg) är minimal risk och får inga nya skyldigheter alls.
Allt i förordningen bygger på denna klassificering:
Förordningen trädde i kraft den 1 augusti 2024 och skulle tillämpas nästan fullt ut den 2 augusti 2026. I november 2025 föreslog kommissionen ”Digital Omnibus on AI” för att förenkla och sprida ut detta; parlamentet ställde sig bakom den 16 juni 2026 och rådet gav sitt slutliga godkännande den 29 juni 2026. De viktigaste datumen nu:
Skyldigheterna knyts till roller i värdekedjan: leverantörer (som utvecklar eller släpper ut ett AI-system på EU-marknaden under eget namn), användare (som använder ett AI-system yrkesmässigt) samt importörer och distributörer. Räckvidden är extraterritoriell — en SaaS från USA eller Storbritannien vars AI-utdata används i EU omfattas. Små och medelstora företag får vissa lättnader: förenklad dokumentation, prioriterad tillgång till sandlådor och böter som begränsas till det lägre av de två beloppen i stället för det högre.
För de flesta företag är de första verkliga kontaktpunkterna transparensreglerna som gäller från augusti 2026 — de handlar om vad besökare ser på din webbplats:
Bötesstrukturen är medvetet GDPR-lik: upp till 35 miljoner € eller 7% av den globala årsomsättningen (beroende på vilket som är högst) för förbjudna metoder; upp till 15 miljoner € eller 3% för de flesta andra överträdelser, inklusive högrisk- och GPAI-krav; upp till 7,5 miljoner € eller 1% för att lämna felaktiga eller vilseledande uppgifter till myndigheter. För små och medelstora företag är varje tak det lägre av de två beloppen. Tillsynen delas mellan nationella marknadskontrollmyndigheter och, för GPAI-modeller, EU:s AI-byrå.
Beacon skannar redan vad sökmotorer och AI-crawlers faktiskt ser på din webbplats — robots.txt-policyer, renderat innehåll, strukturerad data och upplysningar. Vi bygger vidare på den grunden med en AI Act-beredskapsskanning: en automatiserad kontroll av webbplatsens besökarvända transparenssignaler (chatbot-upplysning, märkning av AI-innehåll, maskinläsbar märkning och relaterad metadata) med en prioriterad åtgärdslista. Det blir ingen juridisk rådgivning — men den visar dig konkret vad din webbplats exponerar i dag och vad du ska åtgärda först.
Ja. Precis som GDPR har den extraterritoriell räckvidd: om du släpper ut ett AI-system på EU-marknaden eller systemets utdata används i EU omfattas du, oavsett var ditt företag är etablerat.
Förbud och AI-kunnighet sedan den 2 februari 2025; krav på GPAI-modeller sedan den 2 augusti 2025; transparenskrav och sanktioner från den 2 augusti 2026. Efter 2026 års Digital Omnibus sköts högriskkraven upp till den 2 december 2027 (användningsområden i bilaga III) och den 2 augusti 2028 (produktinbäddad AI enligt bilaga I).
Om du publicerar AI-genererade eller AI-manipulerade bilder, ljud eller video (deepfakes), ja — de måste märkas, och syntetiska medier bör bära maskinläsbar märkning. AI-chatbottar måste upplysa om att de är AI. AI-skriven text i frågor av allmänintresse måste anges, om inte en mänsklig redaktör tar ansvaret.
Ansvaret delas efter roll. Modelleverantören (t.ex. OpenAI) bär GPAI-leverantörens skyldigheter; du, som användaren som lägger en chatbot på din webbplats eller publicerar AI-innehåll, bär transparenskraven gentemot dina besökare.
Nej. Att generera marknadsföringstexter med AI är minimal/begränsad risk — helt lagligt. Förordningen kräver bara transparens i specifika fall (deepfakes, text av allmänintresse, chatbottar) och förbjuder en kort lista skadliga metoder som inte har med normal marknadsföring att göra.
Inventera var AI berör din webbplats (chatbot, genererade bilder/texter), lägg till tydliga AI-upplysningar och märkningar, kontrollera din märkning av syntetiska medier och informera ditt team. Håll sedan ögonen på den 2 december 2027 om du använder AI i rekrytering eller andra områden i bilaga III.
Sex påståenden — svara ärligt. Svaren stannar i din webbläsare.
Kör Beacons gratis synlighetsskanning nu. AI Act-beredskapskontroller kommer snart till Beacon.