Sektorspecifika efterlevnadsguider för EU AI Act inom hälso- och sjukvård, HR, offentlig sektor, transport, försäkring, detaljhandel, små och medelstora företag samt utbildning.
Hur sektorn påverkar exponering mot EU AI Act
EU AI Act är horisontell lagstiftning — den gäller för AI-system som släpps ut på marknaden eller tas i drift inom varje sektor av ekonomin i Europeiska unionen. Den praktiska efterlevnadsbördan är dock inte enhetlig. Sektorn avgör vilka högriskkategorier i Annex III som är relevanta, vilka befintliga regleringsverk som skapar överlappande skyldigheter samt vilka nationella eller EU-nivå tillsynsmyndigheter som kommer att ha jurisdiktion över AI-driftsättningar.
Förordningen upprättar en riskbaserad nivåstruktur: förbjudna metoder enligt Art. 5, högrisk-AI enligt Art. 6 och Annex III, skyldigheter för allmänändamålsmodeller (GPAI) enligt Art. 51 till Art. 55, samt transparensskyldigheter enligt Art. 50. Alla sektorer omfattas av förbudet mot förbjudna metoder och transparensskiktet enligt Art. 50. Skyldigheterna avseende högrisk-AI i Annex III gäller selektivt, beroende på vilken AI organisationen driftsätter och för vilket ändamål.
Förståelsen av sektorsexponering börjar med att kartlägga operativa AI-användningsfall mot Annex III-kategorierna. Organisationer måste också bedöma huruvida driftsatt AI utgör en GPAI-modell enligt Art. 3(63), och huruvida några leverantörsrelationer skapar skyldigheter som GPAI-driftsättare eller leverantör.
Förståelse av Annex III per sektor
Annex III i EU AI Act definierar 8 kategorier av fristående högrisk-AI. Varje kategori kartläggs mot specifika branscher och AI-användningsfall.
Kategori 1 — Biometri (tvärsektoriell)
Art. 6 läst tillsammans med Annex III punkt 1 täcker AI-system för biometrisk identifiering och biometrisk kategorisering av fysiska personer. Fjärrbiometrisk identifiering i realtid på allmänt tillgängliga platser av brottsbekämpande myndigheter är förbjuden enligt Art. 5(1)(h), inte enbart högrisk. Biometrisk identifiering i efterhand samt biometriska kategoriseringssystem som används vid anställning, gränskontroll, brottsbekämpning (inom tillåtna gränser) och åtkomstkontroll kvarstår i högriskkategorin. Varje organisation som driftsätter ansiktsigenkänning, fingeravtrycksmatchning, röstigenkänning eller liknande system för konsekventa beslut omfattas.
Kategori 2 — Kritisk infrastruktur (transport, energi, vatten)
Annex III punkt 2 täcker AI som används som säkerhetskomponenter i hanteringen och driften av kritisk digital infrastruktur, vägtrafik, vattenförsörjning, gas, uppvärmning och elektricitet. Transportoperatörer, elnätsförvaltare, vattentjänstföretag och leverantörer av digital infrastruktur måste bedöma huruvida deras AI-system kvalificerar sig. Annex I i AI Act skär också in här: AI-säkerhetskomponenter inbyggda i Annex I-reglerade produkter (maskiner, fordon, civil luftfartsutrustning, järnvägssystem) är högrisk enligt Art. 6(1), inte Annex III.
Kategori 3 — Utbildning och yrkesutbildning
Annex III punkt 3 täcker AI som avgör tillträde till utbildningsinstitutioner, fördelar studenter till utbildningsvägar, bedömer prestationer vid examinationer eller prov, utvärderar inlärningsresultat som väsentligt påverkar framtida möjligheter samt övervakar studentbeteende under examinationer. EdTech-plattformar, universitet, yrkesutbildningsanordnare och examinationsorgan måste utvärdera sina AI-drivna verktyg mot dessa kriterier.
Kategori 4 — Sysselsättning och HR
Annex III punkt 4 täcker AI som används vid rekrytering och urval (CV-granskning, kandidatrankning, automatiserad intervjuanalys), beslut om befordran, uppsägning, arbetsfördelning för plattformsarbetare, övervakning av anställdas beteende och prestationsutvärdering. Denna kategori är bland de bredaste i räckvidd — i princip varje organisation som använder AI-stödda HR-processer måste utvärdera efterlevnaden. Skyldigheten gäller AI som används av arbetsgivare, bemanningsföretag och gigekonomiplattar.
Kategori 5 — Väsentliga privata och offentliga tjänster (finans, försäkring, hälsorelaterat, förmåner)
Annex III punkt 5 är den bredaste kategorin och omfattar AI som används vid kreditvärdighetsanalys och kreditscoring för fysiska personer, riskbedömning och prissättning inom försäkring, bedömning av rätt till offentliga förmåner och socialtjänst samt beslut om larmutryckning. Denna kategori berör direkt banker, försäkringsbolag, offentliga förvaltningar och socialtjänstleverantörer. Hälsorelaterad AI som beräknar poäng för individers försäkringsberättigande faller också in här, vilket skapar överlappning mellan finansiella tjänsters och hälso- och sjukvårdens skyldigheter.
Kategorierna 6, 7 och 8 — Brottsbekämpning, migration, rättsväsende
Annex III punkterna 6, 7 och 8 riktar sig mot offentliga myndigheters myndigheter och deras tekniklevereranter. AI inom brottsbekämpning (riskpoängsättning, prediktering av återfall, brottsförutsägelse, bevisutvärdering), AI för migration och gränskontroll (riskbedömning av asylansökningar, dokumentverifiering, ansökningshandläggning) samt AI för rättsväsende och demokratiska processer (juridiska forskningsverktyg, valrelaterad AI) är alla högrisk. Dessa kategorier berör primärt polismyndigheter, gränsmyndigheter, immigrationstribunaler, domstolar och deras kontrakterade AI-leverantörer.
Sektorsguider
Var och en av följande dedikerade guider kartlägger EU AI Act:s skyldigheter mot den specifika regleringskontexten, typiska AI-användningsfall och tillsynsstrukturen inom respektive sektor.
Hälso- och sjukvård och life science
AI inom hälso- och sjukvård verkar i skärningspunkten mellan EU AI Act och förordningen om medicintekniska produkter (MDR) och förordningen om medicintekniska produkter för in vitro-diagnostik (IVDR). AI-system som kvalificerar som medicintekniska produkter regleras primärt under MDR/IVDR men omfattas fortsatt av AI Act:s skyldigheter avseende grundläggande rättigheter och transparens. Annex III punkt 5 täcker AI som används för hälsorelaterad riskpoängsättning vid försäkring och rätt till offentliga förmåner. Kliniskt beslutsstöd, diagnostisk AI, verktyg för patienttriage och AI för läkemedelsupptäckt bär var och en specifika skyldigheter beroende på regulatorisk klassificering.
HR och rekrytering
Annex III punkt 4 placerar i princip alla AI-stödda HR-processer i högriskkategorin. CV-granskningsverktyg, psykometriska bedömningsplattformar, automatiserad videoanalys av intervjuer, prestationshanteringssystem och AI för schemaläggning av arbetsstyrka måste uppfylla leverantörers och driftsättares skyldigheter. Denna guide behandlar arbetsgivares skyldigheter som driftsättare enligt Art. 26, krav på datastyrning enligt Art. 10 och samspelet med GDPR:s begränsningar för profilering.
Offentlig sektor och rättsväsende
Offentliga myndigheter är samtidigt driftsättare av högrisk-AI och de aktörer som nationella behöriga myndigheter kommer att granska mest ingående. Annex III punkterna 5 till 8 täcker kollektivt en stor del av den offentliga sektorns AI: bestämning av rätt till förmåner, AI inom räddningstjänst, brottsbekämpningsverktyg, gränshanteringssystem och rättskipnings-AI. Denna guide behandlar de specifika skyldigheterna för offentliga driftsättare, transparensmandaten för automatiserade beslut som berör medborgare samt samspelet med GDPR och direktivet om brottsbekämpning.
Transport och kritisk infrastruktur
Transportoperatörer måste navigera såväl Annex III punkt 2 (säkerhetskomponenter i kritisk infrastruktur) som Annex I produktsäkerhetsreglering. AI i autonoma fordonssystem, järnvägstrafikstyrning, flygtrafikledning, hamnverksamhet och logistikroutning kan utlösa högriskklassificering via flera vägar. Denna guide behandlar samspelet med EASA:s regelverk, järnvägssäkerhetsdirektivet och anmälda organs roll vid bedömning av överensstämmelse.
Små och medelstora företag
Små och medelstora företag möter samma skyldigheter enligt EU AI Act som stora organisationer när de är leverantörer av högrisk-AI eller driftsättare som använder högrisk-AI. Förordningen innehåller dock proportionalitetsmekanismer. Denna guide förklarar möjligheter till förenklad teknisk dokumentation, tillgång till regulatoriska sandlådor enligt Art. 57 till Art. 63 samt hur ett minimalt men rättsligt tillräckligt efterlevnadsprogram kan struktureras. Den behandlar också hur små och medelstora företags exponering som driftsättare av tredjeparts-AI-verktyg ser ut.
Försäkring
AI inom försäkring omfattas av Annex III punkt 5(b) (riskbedömning och prissättning för liv- och sjukförsäkring för fysiska personer) och skär mot Solvens II:s krav på modellstyrning och användning av interna modeller. AI för prissättning inom motor-, hälso-, fastighets- och livförsäkring, teckningsbeslutsverktyg och automatiserade skaderegleringsystem kräver alla bedömning. Denna guide behandlar EIOPA:s och nationella försäkringstillsynsmyndigheters roller parallellt med AI Act:s NCA-struktur.
Detaljhandel och callcenters
Detaljhandel och kundtjänstverksamhet påverkas primärt av transparensskyldigheter enligt Art. 50 — krav på att uppge AI-genererat innehåll, identifiering av chattbotar och märkning av deepfakes — samt av anställningsrelaterad AI under Annex III punkt 4. System för känsloigenkänning som används i kundmöten regleras uttryckligen. Denna guide behandlar AI inom e-handel, rekommendationsmotorer, automatiserad kundtjänst och personalplanering i kontaktcenter.
Utbildning och EdTech
Annex III punkt 3 placerar utbildnings-AI i högriskkategorin när den avgör eller väsentligt påverkar tillträde till utbildningsvägar eller utvärderar prestationer. Denna guide behandlar skyldigheterna för EdTech-leverantörer, universitet, yrkesutbildningsorgan och offentliga examinationsmyndigheter. Den täcker adaptiva inlärningsplattformar, övervakningsprogramvara vid examinationer, automatiserad rättning av uppsatser och verktyg för riskprediktering av studenter.
Finanssektorn (banker)
Bankssektorns guide behandlar Annex III punkt 5(b) kreditscoring och kreditvärdighetsanalys, AI för bedrägeridetektering, algoritmiska handelssystem, AML/KYC-verktyg och robo-advisory-plattformar. Den undersöker hur EU AI Act:s skyldigheter läggs ovanpå DORA, MiFID II, CRR/CRD och EBA:s riktlinjer. Skärningspunkten mellan AI Act:s krav på modellstyrning och befintliga ramverk för modellriskhantering under EBA:s riktlinjer är ett centralt fokusområde.
Tvärsektoriella skyldigheter
Flera skyldigheter enligt EU AI Act gäller oavsett sektor. Varje organisation som verkar inom EU måste förstå dessa grundläggande krav.
Förbjudna metoder — Art. 5
Art. 5 fastställer absoluta förbud som trädde i kraft den 2 februari 2025. Dessa gäller för varje sektor utan undantag: subliminala manipulationstekniker som orsakar skada, utnyttjande av fysiska personers svagheter, social poängsättning av offentliga myndigheter, fjärrbiometrisk identifiering i realtid av brottsbekämpande myndigheter på offentliga platser (med förbehåll för snäva undantag), känsloigenkänning på arbetsplatser och utbildningsinstitutioner (utanför specificerade användningsområden), biometrisk kategorisering med hjälp av känsliga kännetecken samt prediktiv polisverksamhet som uteslutande baseras på profilering. Inga sektorsspecifika undantag åsidosätter dessa förbud.
Transparensskyldigheter — Art. 50
Art. 50 kräver att leverantörer och driftsättare av AI-system som interagerar med fysiska personer uppger AI-systemets karaktär. Detta gäller chattbotar, virtuella assistenter, automatiserade callcentersystem och alla AI-system som är utformade för att framstå som mänskliga. AI-genererat innehåll — syntetiska medier, deepfakes, text — måste märkas på ett maskinläsbart sätt. Dessa skyldigheter gäller för detaljhandel, finansiella tjänster, patientvända verktyg inom hälso- och sjukvård, offentliga medborgarservicetjänster och alla andra sektorer som driftsätter konversations- eller generativ AI.
Skyldigheter för GPAI-modeller — Art. 51 till Art. 55
Organisationer som driftsätter GPAI-modeller — stora språkmodeller, grundmodeller, multimodal AI — måste bedöma huruvida de är driftsättare av en tredjeparts GPAI-modell eller leverantörer av ett GPAI-integrerat system. GPAI-leverantörer bär skyldigheter enligt Art. 53 (transparens gentemot nedströmsleverantörer, upphovsrättspolicy, sammanfattning av träningsdata). GPAI-modeller med systemrisk bär ytterligare skyldigheter enligt Art. 55. Varje sektor som använder kommersiella grundmodells-API:er eller egenhanterade grundmodeller måste bedöma dessa skyldigheter.
Små och medelstora företag och proportionerliga skyldigheter
Små och medelstora företag utgör merparten av EU:s företag och en växande andel av AI-systemleverantörer och driftsättare. EU AI Act skapar inte ett generellt undantag för små och medelstora företag, men Art. 9(5), Art. 11 och Art. 16 kräver att leverantörsskyldigheter är proportionerliga i förhållande till organisationens storlek och kapacitet.
Ramverket för regulatoriska sandlådor (Art. 57 till Art. 63) är specifikt utformat för att ge små och medelstora företag och nystartade företag tillgång till övervakade utvecklingsmiljöer, minskad regulatorisk osäkerhet och direkt vägledning från nationella behöriga myndigheter. Deltagande garanterar inte godkänd efterlevnad, men ger en strukturerad väg till marknadsinträde för innovativa AI-produkter.
För små och medelstora företag som agerar som driftsättare av högrisk-AI som tillhandahålls av tredje part gäller Art. 26-skyldigheter — bedömning av användningsfall, implementering av mänsklig tillsyn, konsekvensbedömning avseende grundläggande rättigheter. Omfattningen av dokumentation och övervakning är proportionerlig, men de rättsliga skyldigheterna frångås inte.
Den dedikerade guiden för små och medelstora företag innehåller en efterlevnadsplan anpassad för mindre organisationer, med täckning av prioritering, minimal nödvändig dokumentation, leverantörsgranskning och förfaranden för sandlådetillgång.
Tillsyn
EU AI Act skapar en flerskiktad tillsynsstruktur med betydande sektorsspecifika dimensioner.
Nationella behöriga myndigheter
Varje EU-medlemsstat utser en eller flera nationella behöriga myndigheter (NCA) enligt Art. 70. De nationella behöriga myndigheterna ansvarar för att godkänna regulatoriska sandlådor, genomföra marknadsövervakning, ta emot data om övervakning efter utsläppande på marknaden från leverantörer, utreda misstänkta överträdelser och döma ut administrativa böter enligt Art. 99 till Art. 101. Maximala böter uppgår till 35 miljoner euro eller 7 % av den globala årsomsättningen för överträdelser av Art. 5:s förbjudna metoder.
Sektorsregulatorer som marknadsövervakande myndigheter
Art. 74(8) och Art. 74(9) möjliggör för sektorsregulatorer att agera som marknadsövervakande myndigheter för AI inom sina respektive områden. Europeiska bankmyndigheten (EBA), Europeiska försäkrings- och tjänstepensionsmyndigheten (EIOPA), Europeiska värdepappers- och marknadsmyndigheten (ESMA), Europeiska läkemedelsmyndigheten (EMA) och Europeiska unionens byrå för luftfartssäkerhet (EASA) har var och en roller i tillsynen av AI inom sina regleringsgränser. Detta skapar dubbel tillsynsexponering: en banks kreditscorings-AI kan granskas både av en nationell finansregulator som tillämpar Annex III-skyldigheter och av en nationell behörig myndighet som genomför marknadsövervakning enligt AI Act.
Europeiska AI-byrån
Europeiska AI-byrån, inrättad enligt Art. 64 till Art. 70, innehar direkt tillsynsbehörighet över GPAI-modelleverantörer. För organisationer som driftsätter GPAI-modeller med systemrisk är AI-byrån den primära regulatoriska motparten — inte den nationella behöriga myndigheten. Sektorsregulatorer har ingen direkt jurisdiktion över GPAI-modeller som sådana, även om nedströms-AI-system som integrerar GPAI förblir föremål för nationell och sektoriell tillsyn.
Tillsynstidslinje
Förbudet mot metoder enligt Art. 5 har gällt sedan 2 februari 2025. GPAI-skyldigheter enligt Art. 51 till Art. 55 trädde i kraft den 2 augusti 2025. Fullständiga skyldigheter för Annex III:s högrisk-AI-system — som täcker alla åtta kategorier och alla leverantörers och driftsättares skyldigheter — gäller från och med 2 december 2027 (förlängt från den ursprungliga deadline 2 augusti 2026 genom 2025 års Digital Omnibus-ändring). Organisationer i alla sektorer bör behandla perioden fram till december 2027 som ett aktivt efterlevnadsfönster, inte som en toleransperiod.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ja. EU AI Act tillämpas enhetligt inom hela EU, men den praktiska effekten varierar avsevärt beroende på sektor. Förordningens Annex III kartlägger högriskkategorier för AI direkt mot specifika branscher — AI inom sysselsättning riktar sig mot HR och bemanningsföretag, AI för kreditvärdighet riktar sig mot finans och försäkring, biometriska system riktar sig mot brottsbekämpning och gränskontroll. Verksamhetsutövare i hårt reglerade sektorer (hälso- och sjukvård, finans, transport) möter också AI Act ovanpå befintlig sektorsspecifik lagstiftning, vilket kan utlösa ytterligare skyldigheter eller kräva samordning mellan tillsynsmyndigheter.
Hälso- och sjukvård, finansiella tjänster och offentlig sektor bär de tyngsta kumulativa skyldigheterna. AI inom hälso- och sjukvård skär mot förordningen om medicintekniska produkter (MDR) och förordningen om medicintekniska produkter för in vitro-diagnostik (IVDR); AI inom finanssektorn skär mot DORA, MiFID II och Solvens II; AI inom offentlig sektor berör Annex III-kategorierna 5 till 8 (samhällsviktiga tjänster, brottsbekämpning, migration och rättsväsende). Var och en av dessa sektorer måste följa såväl EU AI Act:s ramverk som befintlig sektorsreglering, med vissa skyldigheter som gäller samtidigt.
Små och medelstora företag är inte undantagna, men förordningen innehåller proportionerliga åtgärder. Art. 9(5) kräver att riskhanteringssystem är proportionerliga i förhållande till leverantörens storlek och verksamhetens art. Art. 11 och Art. 16 möjliggör förenklad teknisk dokumentation för små och medelstora företag. Art. 57 till Art. 63 inrättar regulatoriska sandlådor som små och medelstora företag kan få tillgång till under nationella behöriga myndigheters tillsyn. Driftsättarnas skyldigheter enligt Art. 26 gäller också för små och medelstora företag som använder högrisk-AI, om än med lättare förfarandekrav än för leverantörer.
Art. 70 till Art. 77 i EU AI Act inrättar en flerskiktad tillsynsstruktur. Varje medlemsstat utser en nationell behörig myndighet (NCA) med ansvar för tillämpningen av AI Act. Där AI-system verkar inom reglerade sektorer — finansiella tjänster, hälso- och sjukvård, luftfart, järnväg — samordnar sektorsspecifika regulatorer (EBA, EIOPA, ESMA, EMA, EASA) med de nationella behöriga myndigheterna. Europeiska AI-byrån tillhandahåller central tillsyn för GPAI-modeller. Denna parallella struktur innebär att ett finansinstituts AI-system kan granskas av både en nationell behörig myndighet och en finanssektorsregulator som tillämpar olika men överlappande ramverk.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.