SMF — Vägledning för efterlevnad av EU AI Act

Efterlevnad av EU AI Act för små och medelstora företag. SMF-specifika bestämmelser, tillgång till regulatoriska sandlådor, reducerade avgifter och praktisk vägledning för AI-driftsättare och AI-leverantörer.

EU AI Act och SMF — de goda nyheterna

EU AI Act (förordning (EU) 2024/1689) gäller för alla organisationer som tillhandahåller eller använder AI-system på EU-marknaden, oavsett storlek. Den regulatoriska verkligheten för de flesta små och medelstora företag är dock avsevärt mindre betungande än vad rubrikerna antyder, av ett grundläggande skäl: den stora majoriteten av SMF använder AI snarare än att bygga det.

Ett SMF som prenumererar på ett AI-förbättrat CRM-system, driftsätter en chatbot från en SaaS-leverantör eller använder molnbaserad programvara för efterfrågeprognostisering är, i EU AI Acts terminologi, en driftsättare — inte en leverantör. Driftsättarens skyldigheter är systematiskt lättare än leverantörens. Leverantörer bär den huvudsakliga bördan avseende överensstämmelsebedömning, teknisk dokumentation, CE-märkning och registrering. Driftsättare har ett mer avgränsat skyldighetspaket inriktat på korrekt användning, mänsklig tillsyn och incidentrapportering.

Utöver distinktionen driftsättare/leverantör innehåller EU AI Act ett specifikt paket med SMF-specifika bestämmelser som ger strukturellt stöd: prioriterad tillgång till regulatoriska sandlådor, reducerade avgifter för överensstämmelsebedömning och en särskild enda kontaktpunkt på nationell nivå. Dessa bestämmelser återspeglar lagstiftarens uttryckliga avsikt att förhindra att AI-förordningen blir ett oproportionerligt hinder för mindre marknadsaktörer.

Denna vägledning beskriver vad EU AI Act innebär i praktiken för ett SMF — oavsett om du använder tredjepartsverktyg för AI, driftsätter AI i kundorienterade sammanhang eller själv bygger och kommersialiserar en AI-produkt.

SMF-specifika bestämmelser i förordningen

EU AI Act innehåller fyra bestämmelser som specifikt gäller för SMF (företag som uppfyller tröskeln i kommissionens rekommendation 2003/361/EG: färre än 250 anställda och antingen en årlig omsättning som inte överstiger 50 miljoner euro eller en balansomslutning som inte överstiger 43 miljoner euro) samt för startups.

Art. 55 — Prioriterad tillgång till regulatoriska sandlådor

Art. 55 fastställer att regulatoriska AI-sandlådor — övervakade miljöer för att utveckla och testa AI innan tillhandahållandet på marknaden — ska vara tillgängliga med prioritet för SMF och startups. Tillgången är kostnadsfri eller förenad med reducerade avgifter, och deltagande organisationer får direkt vägledning från den behöriga myndigheten. Tillgång till sandlådan möjliggör identifiering av risker och regulatorisk dialog i ett skyddat sammanhang innan marknadstillträde, utan konsekvenserna av ett icke-överensstämmande marknadstillhandahållande. SMF som bygger AI-system bör betrakta deltagande i sandlådan som både ett efterlevnadsverktyg och en mekanism för att engagera sig direkt med tillsynsmyndigheten före produktlansering.

Art. 96 — Reducerade avgifter för överensstämmelsebedömning

När ett högrisk-AI-system kräver tredjepartsöverensstämmelsebedömning av ett anmält organ (tillämpligt på system som förtecknas i Annex III punkterna 1, 6 och 7 samt medicinteknisk AI-produkt enligt Art. 6(1)) kräver Art. 96 att medlemsstaterna fastställer reducerade avgifter för små företag. Mikroföretag — de med färre än 10 anställda och en årlig omsättning eller balansomslutning som inte överstiger 2 miljoner euro — har rätt till ännu större reduceringar. De exakta avgiftsscheman fastställs på medlemsstatsnivå och varierar beroende på jurisdiktion; den relevanta nationella AI-myndigheten eller Enterprise Europe Network kan tillhandahålla aktuella uppgifter.

Art. 85 — Enda kontaktpunkt

Art. 85 förpliktar nationella AI-tillsynsmyndigheter att inrätta en särskild enda kontaktpunkt för SMF. Detta innebär att ett SMF som söker vägledning om skyldigheter enligt AI-förordningen inte behöver navigera genom flera regulatoriska avdelningar eller samordna med fragmenterade myndigheter. Den enda kontaktpunkten tillhandahåller information, hänvisar frågor till rätt funktion och underlättar ansökningar om sandlåda. Denna bestämmelse minskar avsevärt den administrativa kostnaden för att förstå regulatoriska skyldigheter.

Art. 9(5) — Proportionerlig riskhantering

Art. 9(5) föreskriver att det riskhanteringssystem som krävs av leverantörer av högrisk-AI-system får genomföras proportionerligt, med beaktande av organisationens storlek och struktur. För ett SMF som agerar som leverantör av ett högrisk-AI-system innebär detta att alla materiella krav i riskhanteringssystemet måste uppfyllas, men att dokumentationsformat, processernas komplexitet och styrningsstrukturen kan anpassas till organisationens faktiska kapacitet — förutsatt att detta inte undergräver ramverkets skyddsmål.

Är du leverantör eller driftsättare? — Beslutsramverk för SMF

Den i särklass viktigaste preliminära fastställelsen för varje SMF som verkar inom EU AI Act är huruvida det agerar som leverantör eller driftsättare avseende varje AI-system det använder eller erbjuder.

Leverantör (Art. 3(3)): En organisation som utvecklar ett AI-system, eller låter ett AI-system utvecklas, och tillhandahåller det på marknaden eller tar det i drift under eget namn eller varumärke — oavsett om detta sker mot betalning eller kostnadsfritt. Detta inkluderar SMF som:

Bygger en programvaruprodukt som innehåller AI (inklusive AI-modeller som nås via API) och säljer eller licensierar den produkten till kunder;
Utvecklar en AI-modell eller AI-applikation internt och driftsätter den som en tjänst till slutanvändare utanför organisationen;
Väsentligt modifierar ett tredjepartsbaserat AI-system på ett sätt som förändrar dess avsedda ändamål.

Driftsättare (Art. 3(4)): En organisation som använder ett AI-system under eget ansvar för ett professionellt ändamål. Detta omfattar SMF som:

Prenumererar på SaaS-produkter med inbyggda AI-funktioner (AI-förbättrat CRM, ERP, redovisningsprogramvara);
Använder en tredjeparts chatbot eller konversations-AI på sin webbplats;
Tillgår moln-API:er för AI (bearbetning av naturligt språk, bildklassificering, rekommendationsmotorer) uteslutande för att automatisera interna arbetsflöden eller förbättra sina egna tjänster, utan att erbjuda AI-förmågan som en produktfunktion till tredje part;
Anskaffar HR-programvara, lagerprognossystem eller kundanalysverktyg från externa leverantörer.

Det kritiska gränsfallet: Ett SMF som integrerar ett externt AI-API i sin egen kundorienterade produkt och marknadsför denna förmåga som en funktion i sin produkt är en leverantör avseende den AI-funktionaliteten — inte enbart en driftsättare av det underliggande API:et. Den juridiska person som definierar det avsedda ändamålet, kontrollerar användarupplevelsen och tillhandahåller produkten på marknaden bär leverantörsskyldigheter enligt Art. 16, oavsett var AI-modellen har sitt ursprung.

Centrala driftsättarskyldigheter för SMF som använder tredjepartssystem för AI

För majoriteten av SMF — de som driftsätter tredjepartsverktyg för AI snarare än att bygga egna — gäller följande skyldigheter enligt Art. 26 och relaterade bestämmelser.

Använda AI-system i enlighet med leverantörens anvisningar

Driftsättare får använda högrisk-AI-system endast i enlighet med leverantörens bruksanvisningar som tillhandahållits enligt Art. 13. Att använda ett AI-system för ändamål utöver dess dokumenterade avsedda syfte, eller i konfigurationer som leverantören inte har validerat, överför en del av efterlevnadsansvaret till driftsättaren och kan undanröja systemets överensstämmelsebedömning.

Utse ansvarig för mänsklig tillsyn

Art. 26(1) kräver att driftsättare tilldelar en kvalificerad person inom organisationen ansvaret för AI-tillsyn. För de flesta SMF kommer detta att vara en namngiven person (inte nödvändigtvis en dedikerad AI-efterlevnadstjänsteman) som förstår systemets funktion, dess kända begränsningar och de omständigheter under vilka mänskligt ingripande krävs. Denna utsedda person bör dokumenteras.

Bevara driftloggar

När högrisk-AI-system automatiskt genererar loggar (Art. 12) måste driftsättare bevara dessa loggar under den lagstadgade perioden — i allmänhet sex månader enligt AI-förordningen, såvida inte sektorsspecifik lagstiftning kräver längre bevarandetid. Driftsättare måste kontrollera att leverantörsavtalet ger tillgång till loggar och bekräftar deras format och fullständighet.

Rapportera allvarliga incidenter till leverantören

Art. 26(5) kräver att driftsättare underrättar leverantören om allvarliga incidenter eller fel som upptäcks under användning. Om den driftsättande organisationen är ett offentligt organ sträcker sig notifieringsskyldigheterna till den nationella AI-tillsynsmyndigheten. För SMF-driftsättare i den privata sektorn är den primära kanalen direkt notifiering till leverantören, som därefter har egna skyldigheter att underrätta myndigheten enligt Art. 73.

Genomföra en konsekvensbedömning avseende grundläggande rättigheter när så är tillämpligt

Art. 27 kräver att offentliga organ som driftsätter högrisk-AI genomför en konsekvensbedömning avseende grundläggande rättigheter innan driftsättning. SMF i den privata sektorn som driftsätter högrisk-AI — särskilt inom HR, kreditbedömning eller kundorienterade beslutssammanhang — rekommenderas starkt att genomföra en likvärdig bedömning, eftersom detta påvisar aktsamhet och väsentligt minskar tillsynsrisken.

Granska leverantörsavtal

SMF-driftsättare måste säkerställa att deras avtal med AI-leverantörer inkluderar: dokumentation om överensstämmelse och bruksanvisningar; bekräftelse av EU-databasregistrering i tillämpliga fall; specifikation av loggningsfunktion och åtkomsträttigheter; leverantörens åtagande avseende incidentnotifiering och åtgärder; samt information om uppdaterings- eller modifieringsskyldigheter som kan påverka systemets överensstämmelsesstatus.

Om du bygger AI — SMF-leverantörens skyldigheter och stöd

SMF som utvecklar och kommersialiserar AI-system är leverantörer och bär fulla leverantörsskyldigheter enligt kapitel III för varje system som är högrisk. Omfattningen av dessa skyldigheter är väsentlig: kvalitetsledningssystem (Art. 17), teknisk dokumentation enligt Annex IV, datastyrning enligt Art. 10, loggning enligt Art. 12, transparenskrav enligt Art. 13, design för mänsklig tillsyn enligt Art. 14 samt normer för noggrannhet och robusthet enligt Art. 15. För Annex III-system som kräver bedömning av anmält organ följer överensstämmelsevägen Art. 43.

Den praktiska utgångspunkten för en SMF-leverantör är fastställandet av riskklassificering:

Omfattas AI-systemet av Art. 5 (förbjudna metoder)? I så fall måste utvecklingen upphöra eller fundamentalt omstruktureras innan någon marknadsaktivitet sker.
Kvalificerar systemet som högrisk enligt Art. 6(1) (säkerhetskomponent i en reglerad produkt) eller Annex III (förtecknade tillämpningsområden inklusive biometrisk identifiering, kritisk infrastruktur, utbildning, anställning, väsentliga tjänster, brottsbekämpning, migration, rättsväsendet)?
Kvalificerar systemet enbart som en AI-modell för allmänna ändamål som regleras av Art. 51–56, utan högriskklassificering?
Omfattas systemet enbart av transparensskyldigheterna i Art. 50 (känsloigenkänning, deepfake, chatbottar)?

För SMF vars system faller utanför kategorierna högrisk och förbjudna är efterlevnaden avsevärt lättare: transparensupplysningar enligt Art. 50, GDPR-anpassning och sektorsspecifika skyldigheter enligt tillämplig nationell eller EU-rättslig lagstiftning.

För SMF som utvecklar högrisk-AI är den regulatoriska sandlådan enligt Art. 55 det viktigaste tillgängliga verktyget. Deltagande i sandlådan möjliggör testning före marknadstillträde under regulatorisk tillsyn, tillhandahåller dokumenterade bevis på ärliga efterlevnadsansträngningar och kan identifiera korrigeringsåtgärder innan de blir tillsynsärenden. Ansökningar lämnas in till den nationella enda kontaktpunkten (Art. 85).

Praktiska steg för SMF:s efterlevnad

Steg 1 — Inventera alla AI-system som används eller är under utveckling. Lista varje AI-verktyg, SaaS-produkt, moln-API och internt utvecklad modell. Notera leverantören, funktionen och huruvida SMF agerar som leverantör eller driftsättare för varje system.

Steg 2 — Klassificera varje system efter riskkategori. Tillämpa ramverket Art. 5 / Art. 6 / Annex III / Art. 50 på varje system. Om klassificeringen är osäker, använd den enda kontaktpunkten enligt Art. 85 för vägledning.

Steg 3 — För driftsättarroller: granska leverantörsavtal. Kontrollera att varje AI-leverantör har tillhandahållit den dokumentation som krävs enligt Art. 13 och att avtalet adresserar loggning, incidentnotifiering och uppdateringsskyldigheter. Markera luckor för omförhandling.

Steg 4 — För leverantörsroller: inled överensstämmelsevägen. Fastställ om ditt högrisk-AI-system kräver självbedömning (Art. 43(2)) eller tredjepartsbedömning av ett anmält organ (Art. 43(1)). Ansök om tillgång till sandlådan enligt Art. 55 om systemet är under utveckling. Engagera det anmälda organet tidigt för att förstå tidplans- och avgiftsimplikationer, med beaktande av din rätt till SMF-avgiftsreduceringar enligt Art. 96.

Steg 5 — Genomför Art. 26 driftsättarskyldigheter för alla högrisk-AI-system. Utse tillsynsansvariga, dokumentera deras ansvar, verifiera förfaranden för loggbevarande och bekräfta kanaler för incidentnotifiering.

Steg 6 — Inrätta en granskningscykel för AI-förordningen. EU AI Act är ett levande ramverk. Utse en ansvarig person för att bevaka vägledning från EU:s AI-kontor, nationella myndigheters uppdateringar och ändringar av Annex III-klassificeringar. Schemalägg en årlig intern granskning av systeminventariet och efterlevnadsstatusen.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Är vi som SMF och använder OpenAI:s API i vår produkt att betrakta som leverantör enligt AI-förordningen?

Ja. Om ditt SMF integrerar en tredjepartsmodell för AI (inklusive via API) i en produkt eller tjänst som du tillhandahåller på marknaden eller tar i drift under ditt eget namn eller varumärke, klassificeras du som **leverantör** enligt **Art. 3(3)** i EU AI Act. Detta gäller oavsett om den underliggande modellen har utvecklats av ett annat företag. Leverantörsskyldigheter — däribland teknisk dokumentation, överensstämmelsebedömning, CE-märkning (för högrisksystem) och registrering — är ditt ansvar. Om den ursprunglige modellleverantören tillhandahåller dokumentation om överensstämmelse och bruksanvisningar utgör dessa dokument ett stöd för ditt efterlevnadsarbete, men ersätter det inte. Art. 55 och Art. 96 innehåller SMF-specifika stödmekanismer för att underlätta efterlevnadsbördan.

Måste en chatbot på vårt SMF:s webbplats uppfylla kraven i EU AI Act?

Det beror på två faktorer: chatbotens karaktär och vad den gör. För det första, om chatboten är ett **AI-drivet system för allmänna ändamål** som interagerar med användare, måste den uppfylla **transparensskyldigheten i Art. 50**: användarna måste informeras om att de interagerar med ett AI-system, såvida detta inte är uppenbart av sammanhanget. För det andra, om chatboten utför funktioner som kvalificerar som högrisk — exempelvis screening av arbetssökande, kreditvärdighetsbedömning eller beslut med rättsliga eller väsentliga personliga konsekvenser — gäller ytterligare skyldigheter för högrisk-AI. En enkel FAQ- eller produktnavigeringschatbot som använder en tredjeparts SaaS-leverantör (där du är driftsättare) utlöser i första hand transparenskravet i Art. 50 samt driftsättarens skyldigheter enligt Art. 26, särskilt korrekt användning i enlighet med anvisningarna och incidentnotifiering.

Vad är en regulatorisk AI-sandlåda och hur kan vårt startup få tillgång till en?

En **regulatorisk AI-sandlåda** är en övervakad testmiljö som inrättats av nationella AI-tillsynsmyndigheter, där AI-leverantörer — inklusive startups och SMF — kan utveckla, testa och validera AI-system innan de tillhandahålls på marknaden, med direkt regulatorisk vägledning. Sandlådor regleras av **Art. 57–63** i EU AI Act. **Art. 55 ger SMF och startups prioriterad tillgång**, och deltagandet är kostnadsfritt eller förenat med reducerade avgifter. Ansökningar görs direkt till den nationella myndighet som ansvarar för AI-förordningen i din medlemsstat. Inom en sandlåda kan myndigheten bevilja begränsade undantag från specifika krav för att möjliggöra genuin testning; en produkt som tillhandahålls på marknaden efter sandlådeperioden måste därefter uppfylla samtliga tillämpliga skyldigheter. Kontakta din nationella enda kontaktpunkt för SMF (**Art. 85**) för att få information om ansökningsförfaranden.

Måste vi registrera vårt AI-system i EU-databasen?

Registrering i **EU-databasen för högrisk-AI-system** enligt **Art. 49** krävs endast om ditt system klassificeras som **högrisk** enligt Art. 6 eller Annex III. Leverantörer av högrisk-AI-system måste registrera sig innan systemet tillhandahålls på marknaden; driftsättare som är offentliga organ måste också registrera sig innan användning. De flesta SMF som driftsätter tredje parts AI-system (som SaaS- eller API-konsumenter) är inte skyldiga att registrera sig — den skyldigheten vilar på leverantören. Om ditt SMF är leverantör av ett högrisk-AI-system är registrering obligatorisk oavsett företagets storlek, även om stödbestämmelserna i Art. 55 och 96 tillämpas för att minska relaterade kostnader och administrativ komplexitet. Databasen är offentligt tillgänglig och förvaltas av EU:s AI-kontor.

Vilka dokument bör vi begära från vår AI-leverantör innan vi driftsätter deras system?

Innan du driftsätter ett tredjepartssystem för AI, särskilt ett som kan vara högrisk, bör ditt SMF avtalsrättsligt kräva och erhålla: (1) **EU-försäkran om överensstämmelse** eller motsvarande dokumentation om överensstämmelse; (2) **bruksanvisningar** i enlighet med Art. 13, inklusive avsett ändamål, kända begränsningar och krav på mänsklig tillsyn; (3) bekräftelse på att systemet har **registrerats i EU-databasen** i tillämpliga fall; (4) information om systemets **loggningsfunktioner** och hur loggar kan nås eller hämtas; (5) leverantörens **förfaranden för incidentnotifiering** och deras skyldigheter att meddela dig om fel eller uppdateringar som påverkar efterlevnaden; samt (6) information om systemets **databehandlingsegenskaper** som är relevanta för dina skyldigheter enligt GDPR. Avsaknaden av dessa dokument från en leverantör som erbjuder ett AI-system inom ett känsligt område utgör en väsentlig efterlevnadsrisk.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.