EU:s AI-förordning (AI Act) trädde i kraft den 1 augusti 2024 och är EU:s heltäckande lag om artificiell intelligens. Parallellt har ISO gett ut standarden ISO/IEC 42001 för ledningssystem för AI. Tillsammans bildar de ett par: lagen säger vad du måste göra, standarden visar hur.
Den här artikeln förklarar vad AI Act kräver, vad ISO 42001 innehåller och hur du använder standarden som stöd för att uppfylla lagens krav.
Vad är EU AI Act?
AI Act (Regulation (EU) 2024/1689) gäller direkt i alla EU-länder. Lagen riktar sig till alla som utvecklar, erbjuder eller använder AI-system inom EU.
Kärnan i lagen är en riskbaserad klassificering i fyra nivåer:
- Förbjuden risk – AI-system som manipulerar människor, utnyttjar sårbarheter eller poängsätter socialt beteende. Förbudet gäller sedan 2 februari 2025.
- Hög risk – AI-system inom områden som rekrytering, kreditbedömning, utbildning och samhällskritisk infrastruktur. Dessa system måste uppfylla krav på riskhantering, dokumentation, transparens och mänsklig tillsyn. Kraven gäller från 2 augusti 2026.
- Begränsad risk – AI-system som interagerar direkt med människor, till exempel chatbottar. Krav på transparens, alltså att användaren får veta att de kommunicerar med en AI.
- Minimal risk – Alla andra AI-system. Inga särskilda krav, men lagen uppmuntrar frivilliga uppförandekoder.
Brott mot reglerna om förbjudna AI-system kan ge böter på upp till 35 miljoner euro eller 7 % av den globala årsomsättningen.
Tidslinje
| Datum | Vad som gäller |
|---|---|
| 1 augusti 2024 | Lagen träder i kraft |
| 2 februari 2025 | Förbud mot AI-system med oacceptabel risk |
| 2 augusti 2025 | Krav på AI-modeller för generella ändamål (GPAI) |
| 2 augusti 2026 | Huvuddelen av lagen, inklusive krav på högrisk-AI |
| 2 augusti 2027 | Högrisk-klassificering via EU-harmoniserad produktlagstiftning |
Vad är ISO 42001?
ISO/IEC 42001:2023 är en certifieringsbar standard för ledningssystem för artificiell intelligens (AIMS). Den följer samma struktur som andra ISO-ledningssystemstandarder (ISO 9001, ISO 27001, ISO 14001) med klausulerna 4-10.
Det som gör ISO 42001 unik är de AI-specifika kraven:
- AI-riskbedömning (klausul 6.1.2) – Identifiera och analysera risker kopplade till era AI-system. Bedöm konsekvenser för organisationen, individer och samhället.
- AI-riskbehandling (klausul 6.1.3) – Välj åtgärder för att hantera riskerna. Jämför med kontrollerna i Annex A och ta ställning till vilka som gäller er, dokumenterat i ett tillämplighetsutlåtande (SoA).
- Konsekvensbedömning av AI-system (klausul 6.1.4) – Bedöm vilken påverkan era AI-system har på individer och samhället, inte bara på organisationen.
Annex A innehåller 9 kontrolldomäner med 38 kontroller som täcker allt från AI-policy och datahantering till tredjepartsrelationer:
- Policyer för AI (A.2)
- Intern organisation (A.3)
- Resurser för AI-system (A.4)
- Konsekvensbedömning (A.5)
- AI-systemets livscykel (A.6)
- Data för AI-system (A.7)
- Information till intressenter (A.8)
- Användning av AI-system (A.9)
- Tredjepartsrelationer (A.10)
Hur ISO 42001 stödjer AI Act-efterlevnad
AI Act anger vad som krävs, men lagen beskriver inte hur en organisation ska bygga sina interna processer. Det gör ISO 42001.
Kopplingen är konkret. AI Act kräver exempelvis att leverantörer av högrisk-AI-system ska ha ett riskhanteringssystem (artikel 9), teknisk dokumentation (artikel 11) och kvalitetsledning (artikel 17). ISO 42001 ger ramverket:
| AI Act-krav | ISO 42001-stöd |
|---|---|
| Riskhanteringssystem (art. 9) | AI-riskbedömning och riskbehandling (6.1.2, 6.1.3) |
| Konsekvensbedömning | Konsekvensbedömning av AI-system (6.1.4, A.5) |
| Teknisk dokumentation (art. 11) | Resursdokumentation och systemdokumentation (A.4, A.6.2.3, A.6.2.7) |
| Datakvalitet (art. 10) | Datakontroller och provenance (A.7) |
| Transparens (art. 13) | Information till intressenter (A.8) |
| Mänsklig tillsyn (art. 14) | Ansvarig användning av AI (A.9) |
| Kvalitetsledning (art. 17) | Hela ledningssystemet (klausul 4-10) |
En ISO 42001-certifiering är inte ett lagkrav. Men den ger er en bevisbar struktur som visar att ni arbetar systematiskt med AI-styrning. Vid en tillsyn kan det vara skillnaden mellan att visa ett fungerande system och att börja bygga ett.
Var börjar man?
Om ert företag använder AI-system, även inköpta, börja med dessa steg:
-
Gör en inventering. Vilka AI-system använder ni? Många organisationer har fler AI-system än de tror, från chatbottar och analysverktyg till AI-funktioner inbäddade i befintlig programvara.
-
Klassificera enligt AI Act. Bedöm vilken riskkategori varje system tillhör. System inom rekrytering, kreditbedömning, utbildning och liknande områden hamnar troligen i kategorin hög risk.
-
Starta riskbedömningen. Använd ISO 42001:s ramverk (klausul 6.1.2) för att bedöma risker och konsekvenser. Gå igenom Annex A-kontrollerna och ta ställning till vilka som gäller.
-
Dokumentera. AI Act kräver dokumentation. ISO 42001 specificerar exakt vad: policy, riskbedömningar, tillämplighetsutlåtande, systemdokumentation och händelseloggar.
-
Bygg styrning. Utse roller och ansvar (A.3.2), skapa en rapporteringsprocess för oro kring AI (A.3.3) och se till att ledningen tar ansvar.
Har ni redan ett ledningssystem, till exempel ISO 9001 eller ISO 27001, har ni en stor fördel. ISO 42001 följer samma grundstruktur, och mycket av arbetet med kontext, ledarskap, planering och förbättring överlappar.
GDPR gäller parallellt
IMY påpekar att GDPR gäller när personuppgifter behandlas i samband med utveckling eller användning av AI-system. AI Act ersätter inte dataskyddsförordningen. Använder ert AI-system personuppgifter behöver ni alltså uppfylla båda regelverken.
Sammanfattning
EU AI Act sätter spelreglerna. ISO 42001 ger er metoden att följa dem. Börja med en inventering av era AI-system, klassificera dem och gör en riskbedömning. Om ni redan jobbar med ISO-standarder har ni redan grunden.
AmpliFlow deltog i ISO:s arbetsgrupp för ISO/IEC 42001 och har byggt stöd för standarden, från riskanalys och tillämplighetsutlåtande till AI-funktioner som hjälper er i det dagliga arbetet. Läs mer om hur AmpliFlow stödjer ISO 42001 eller boka en demo.
