Vad är AI Act?

Introduktion

🎯 Lärandemål

• Förstå varför EU:s AI Act skapades och vad den syftar till att skydda
• Veta vem och vad som regleras, och vad som uttryckligen är utanför scope
• Förstå skillnaden mellan ett AI-system och en allmänändamålsmodell för AI (GPAI)

EU:s AI Act består av 113 artiklar, 13 bilagor och 180 icke-bindande skäl — allt utformat för att stärka den inre marknaden och stödja innovation, samtidigt som hälsa, säkerhet och grundläggande rättigheter skyddas. Förordningen är starkt inspirerad av produktsäkerhetsreglering.

Varför behöver vi den?

Européer har en del oro kring AI.

• Tre fjärdedelar av EU:s offentliganställda oroar sig för att AI ska manipulera val
• 80 % av norrmännen oroar sig för att inte kunna avgöra vad som är sant eller vad som kommer från AI

Globalt sett är det nu fler som är oroliga än entusiastiska, och den trenden syns särskilt tydligt i Sverige.

EU kan inte reglera förtroende. Men man kan reglera säkerhet och ställa strikta krav på de system som i sig bär på höga risker.

Innan AI Act ansåg mer än hälften av européerna att befintliga regler inte reglerade AI på ett effektivt sätt. Förordningen togs fram för att fylla luckorna som lämnades av befintliga produktsäkerhets- och plattformslagar, vilka inte var skrivna med AI-system i åtanke och inte hanterade AI-specifika risker på ett tillräckligt sätt.

Vem och vad regleras?

AI Act reglerar:

• Personer eller organisationer som använder AI i ett professionellt sammanhang
• De som utvecklar ett AI-system eller en allmänändamålsmodell för AI (GPAI)
• Både offentliga och privata organisationer, inklusive myndigheter
• Oavsett om betalning sker — om du gör ditt AI-system tillgängligt för andra i EU utan kostnad räknas du ändå som leverantör
• Oavsett om ditt AI-system fanns på marknaden innan AI Act trädde i kraft

Jurisdiktionsmässigt: om en organisation (offentlig eller privat) finns i EU, om resultatet av deras AI-system används i EU, eller om de berörda personerna befinner sig i EU.

Förordningen är ännu inte inkluderad i EFTA-avtalet och tillämpas därmed inte i Norge. Norge förväntas göra den till nationell lag. GDPR togs in i norsk lagstiftning inom en månad efter att den blev EU-lag.

Tidslinje

Vissa delar tillämpas redan, som förbudet mot oacceptabla AI-system, kravet på AI-kompetens och krav på allmänändamålsmodeller som lanserats på marknaden efter augusti 2025.

Återstående krav förhandlas fortfarande, men kommer sannolikt att börja tillämpas 2026, särskilt transparenskraven.

Vad regleras inte?

Om du använder ett AI-system för en “rent personlig icke-professionell aktivitet” — som en app som fotograferar innehållet i ditt kylskåp och ger dig enkla receptidéer — regleras du inte, eftersom du inte är en driftsansvarig. Det finns förmodligen ingen driftsansvarig i det fallet, bara du som användare och leverantören av systemet.

Om du använder Intric utgår vi från att du gör det i arbetet, och att din arbetsgivare är den driftsansvariga. Du bör inte använda Intric för personliga ändamål.

Några undantag som inte regleras av förordningen:

• AI som enbart används för forskning
• AI som utvecklas men ännu inte lanserats på marknaden eller används
• AI för nationellt försvar (det vill säga: vapen och militär)

För exempel på specifika AI-system som inte skulle regleras, se avsnittet om utanför scope i Riskklasser.

AI-system kontra allmänändamålsmodell för AI (GPAI)

AI Act var nästan klar innan ChatGPT lanserades — och kommissionen fick snabbt hitta ett sätt att inkorporera stora språkmodeller och andra typer av generativ AI. Förordningen var aldrig tänkt att klassificera typer av AI-teknik, men plötsligt fanns det en mycket tillgänglig och populär ny teknik som betedde sig annorlunda än nästan alla andra AI-system, eftersom den var avsedd att inte begränsas till en viss uppsättning beteenden eller utfall.

Förordningen valde att skilja mellan AI-system — som klassificeras utifrån oacceptabla eller höga risknivåer — och allmänändamålsmodeller för AI, eller GPAIs.

Ett AI-system är det bredaste begreppet. En GPAI syftar specifikt på en modell som är avsedd att vara allmänändamålsinriktad — att kompetent utföra ett brett spektrum av uppgifter oavsett hur modellen placeras på marknaden, och som kan integreras i en mängd olika system eller applikationer. I praktiken fångar GPAIs de flesta stora språkmodeller (som de som driver Intric), eftersom LLM:er är avsedda att ge användaren möjlighet att utföra ett brett utbud av uppgifter. GPAIs är de enda typer av specifika system som nämns i AI Act — i övrigt lyckades förordningen vara teknikagnostisk.

Ett allmänändamåls-AI-system är ett AI-system som bygger på en GPAI. Det här begreppet används inte så ofta i förordningen, men det definieras i inledningen.

Exempel:

• ChatGPT är en GPAI, och eftersom det är en GPAI är det också ett AI-system.
• En maskininlärningsalgoritm som används av skattemyndigheten för att avgöra om din deklaration kan godkännas automatiskt eller flaggas för mänsklig granskning, är ett AI-system. Det är inte en GPAI, eftersom algoritmen specifikt tränades och testades för att utföra en avgränsad uppgift.
• En AI-agent är ett AI-system. De flesta agenter är också GPAIs, på grund av sin avsedda autonominivå — det vill säga förmågan att kompetent utföra ett brett utbud av aktiviteter.

Viktiga lärdomar

• AI Act finns för att skydda hälsa, säkerhet och grundläggande rättigheter — inte för att klassificera alla AI-system
• Den gäller alla som använder AI i ett professionellt sammanhang, oavsett betalning eller om systemet fanns före förordningen
• Den tillämpas redan delvis, med fler krav som förväntas från 2026
• GPAIs (som modellerna som driver Intric) är den enda specifika typen av AI-teknik som pekas ut i förordningen; all annan reglering är teknikagnostisk

Testa dina kunskaper

4 frågor · 100 % rätt för att godkännas · Granska svar när du är klar

Starta quizet →