EU AI Acts skyldigheter för AI inom autonoma fordon, trafikstyrning, luftfart, järnväg och kritisk infrastruktur. Omfattar Annex I (NLF) och Annex III kategori 2.
Varför transport är ett prioriterat sektor enligt EU AI Act
EU AI Act (förordning (EU) 2024/1689) tilldelar sina mest krävande skyldigheter till domäner där AI-fel får direkta konsekvenser för den fysiska säkerheten, kontinuiteten i samhällsviktiga tjänster och den allmänna säkerheten. Transport och kritisk infrastruktur intar en central position i denna arkitektur av två oberoende rättsliga skäl: den genomgripande driftsättningen av AI som säkerhetskomponenter i reglerade transportprodukter (vilket utlöser Art. 6(1) via Annex I), och det uttryckliga listandet av AI för hantering av kritisk infrastruktur som högrisk enligt Annex III, punkt 2.
Transportsektorn utmärker sig också av tätheten och mognaden i sina befintliga regelverk. Fordonstypgodkännande enligt General Safety Regulation (EU) 2019/2144, luftfartscertifiering enligt EASA Basic Regulation (EU) 2018/1139, järnvägsinteroperabilitet och -säkerhet enligt ERA-förordning (EU) 2016/796 och säkerhetsdirektiv 2016/798, samt cybersäkerhet för kritisk infrastruktur enligt NIS2-direktivet (EU) 2022/2555 skapar alla befintliga rättsliga skyldigheter som adderas till — och i vissa fall strukturellt samverkar med — EU AI Act.
Den praktiska konsekvensen för transportorganisationer är att AI-efterlevnad inte kan hanteras som ett isolerat regelefterlevnadsarbete. Det måste integreras i befintliga program för typgodkännande, certifiering, säkerhetsledning och cybersäkerhet. Underlåtenhet att uppnå denna integration riskerar inte bara bristande efterlevnad av AI Act utan också bristande överensstämmelse med sektorsregler som har egna tillsynsmyndigheter och konsekvenser för marknadstillträdet.
Säkerhetskomponent-AI (Annex I) kontra kritisk infrastruktur-AI (Annex III, punkt 2)
EU AI Act skapar två separata högriskvägar som är relevanta för transport. Att förstå vilken väg som är tillämplig — och om båda gäller samtidigt — är det första analytiska steget i varje efterlevnadsprogram för transport-AI.
Annex I — Säkerhetskomponenter i NLF-reglerade produkter
Art. 6(1) i EU AI Act klassificerar som högrisk alla AI-system som är säkerhetskomponenter i en produkt som regleras enligt New Legislative Framework (NLF)-lagstiftning listad i Annex I. För transport är de centrala NLF-instrumenten:
- General Safety Regulation (EU) 2019/2144 — vägfordon (personbilar, lastbilar, motorcyklar, bussar)
- EASA Basic Regulation (EU) 2018/1139 — luftfartyg, motorer och tillhörande utrustning
- ERA:s järnvägslagstiftning — inklusive förordning (EU) 2016/796 (ERA-myndigheten), direktiv 2016/797 (interoperabilitet) och direktiv 2016/798 (järnvägssäkerhet)
- Maskinförordningen (EU) 2023/1230 — relevant för AI i automatiserad hamnutrustning, industrifordon och anläggningsmaskiner som verkar i transportinfrastruktursammanhang
Ett AI-system är en säkerhetskomponent i en transportprodukt om dess fel eller funktionsstörning kan äventyra personers hälsa eller säkerhet. För vägfordon omfattar detta autonoma nödbromsningssystem, filhållnings-AI, adaptiv farthållare på SAE L2 och däröver, samt alla automatiserade körsystem L3–L5. För luftfart omfattar detta AI i flygstyrningssystem, autopilotkomponenter och varningssystem för markprox. För järnväg omfattar detta AI i automatiskt tågskydd, AI-assisterad signalering och autonoma växlingsoperationer.
Klassificeringen enligt Art. 6(1) är kategorisk. Den kräver inte att AI-systemet självständigt uppvisar en betydande sannolikhet för skada — säkerhetskomponentbeteckningen är i sig tillräcklig. Det innebär att leverantörer av sådana system måste uppfylla kraven i kapitel III, avsnitt 2 (Art. 9–15) avseende riskhantering, datastyrning, teknisk dokumentation, automatisk loggning, transparens, mänsklig tillsyn samt noggrannhet och robusthet.
Annex III, punkt 2 — Hantering av kritisk infrastruktur
Separat från säkerhetskomponentvägen listar Annex III, punkt 2 uttryckligen som högrisk AI-system avsedda att användas som säkerhetskomponenter i förvaltning och drift av kritisk infrastruktur, specifikt:
- Kritisk vägtrafikinfrastruktur
- Kritisk vattentransportinfrastruktur
- Kritiska elnätskomponenter (som kritisk infrastruktur med transportekvivalenta riskprofiler)
AI-system som faller inom denna kategori inkluderar: motorvägsplattformar för trafikstyrning som använder AI för dynamisk hastighetskontroll och incidentdetektering, AI-baserade system för smart nätsstabilitet och lastbalansering där nätfel skulle påverka transportoperationer, samt AI-system som hanterar hamninfrastruktur på nivån för samhällsviktig tjänstedrift.
Skillnaden mellan punkt 2 och Annex I-vägen är att Annex III, punkt 2 gäller för operatörer av infrastruktur snarare än enbart för produkttillverkare. En offentlig myndighet eller privat koncessionsinnehavare som driver ett AI-styrt trafikledningscenter omfattas av punkt 2-skyldigheterna som driftsansvarig eller, om den har utvecklat AI-systemet självt, som leverantör.
Dubbel klassificering
Om ett AI-system både är en säkerhetskomponent i en NLF-reglerad produkt och driftsätts i hantering av kritisk infrastruktur (t.ex. ett AI-system integrerat i en plattform för smarta motorvägar som även kommunicerar med fordonssystem), gäller båda vägarna. De mer krävande skyldigheterna är styrande.
Leverantör kontra driftsansvarig i transportsammanhanget — fordonstillverkare kontra operatör
Fördelningen av skyldigheter mellan leverantörer (Art. 16) och driftsansvariga (Art. 26) är särskilt komplex inom transport, där leveranskedjan mellan AI-utvecklare, systemintegratör, fordonstillverkare, infrastrukturoperatör och slutanvändares flotta kan involvera flera juridiska enheter som var och en bär separata AI Act-ansvar.
Fordonstillverkare som leverantörer
En fordonstillverkare som integrerar ett AI-körsystem — oavsett om det utvecklats internt eller anskaffats från en Tier 1- eller Tier 2-leverantör — och placerar fordonet på EU-marknaden under sitt eget varumärke är leverantör av AI-systemet enligt Art. 16. Detta gäller även om AI-tekniken ursprungligen utvecklades av en tredje part, förutsatt att tillverkaren inte enbart har vidareförsålt ett oförändrat system under tredjepartens varumärke. Leverantörsskyldigheter inkluderar:
- Inrättande av ett kvalitetsledningssystem enligt Art. 17
- Upprättande och underhåll av teknisk dokumentation enligt Art. 11 och Annex IV, som täcker AI-systemets avsedda ändamål, design, träningsdata, valideringsresultat och plan för eftermarknadsövervakning
- Genomförande eller upphandling av överensstämmelsebedömning — vilken för säkerhetskomponenter i fordon måste samordnas med typgodkännandeförfarandet enligt GSR 2019/2144
- Registrering av AI-systemet i EU:s databas för högrisk-AI-system enligt Art. 49 innan marknadsplacering
- Tillhandahållande av bruksanvisningar till nedströms driftsansvariga (flotteoperatörer, uthyrningsföretag) som är tillräckliga för att möjliggöra laglydig driftsättning
Flotteoperatörer och koncessionsinnehavare som driftsansvariga
Ett företag som driver en flotta av autonoma fordon, en lokal myndighet som driftsätter ett AI-baserat trafikstyrningssystem eller en järnvägsinfrastrukturförvaltare som använder AI-assisterade underhållsverktyg är driftsansvarig enligt Art. 26. Skyldigheterna för driftsansvariga inkluderar:
- Användning av AI-systemet inom ramen för leverantörens bruksanvisningar — all operativ användning utanför detta omfång kan omklassificera den driftsansvarige till leverantör och utlösa det fullständiga leverantörsskyldighetspaket
- Implementering av åtgärder för mänsklig tillsyn enligt leverantörens specifikationer och anpassade till det operativa sammanhanget
- Underhåll av driftsloggar genererade av AI-systemet under minst sex månader, eller längre där tillämplig sektorslagstiftning (NIS2, nationell transportlagstiftning) kräver längre lagringstid
- Omgående rapportering av funktionsstörningar eller allvarliga incidenter till leverantören och, enligt Art. 73, till nationella behöriga myndigheter när säkerhet eller grundläggande rättigheter berörs
- Genomförande av konsekvensbedömningar avseende grundläggande rättigheter (FRIA) enligt Art. 27 när AI-systemet driftsätts av en offentlig myndighet eller i sammanhang som påverkar enskilda individer i stor skala
Samspel med sektorsregler — EASA, ERA och typgodkännande
Vägfordon — GSR 2019/2144 och typgodkännande
General Safety Regulation (EU) 2019/2144 föreskriver att specifika ADAS- och autonoma körtjänster inkluderas i nya fordonstyper och fastställer tekniska krav för deras prestanda. Fordonstypgodkännande — som genomförs av nationella typgodkännandemyndigheter (t.ex. KBA i Tyskland, DREAL i Frankrike, Rijksdienst voor het Wegverkeer i Nederländerna) — är den primära mekanismen för marknadstillträde för vägfordon.
EU AI Act undanröjer inte typgodkännandet. Art. 8(1) i AI Act specificerar att där sektorsspecifik lagstiftning ställer krav av likvärdig eller högre stringens, är processuell samordning möjlig, men AI Act-skyldigheter kvarstår. I praktiken måste överensstämmelsebedömningen för ett AI-körsystem adressera både de tekniska kraven enligt GSR (bedömda som en del av typgodkännandet) och AI Act-kraven (teknisk dokumentation, datastyrning, loggning, mänsklig tillsyn, eftermarknadsövervakning). Fordonstillverkare bör planera för en integrerad bedömning som täcker båda ramverken för att undvika dubbelarbete och eventuella luckor.
Luftfart — EASA och AI-färdplanen
EASA utövar certifieringsbehörighet över luftfartyg, motorer och delar enligt förordning (EU) 2018/1139. EASA:s AI-färdplan (publicerad i successiva utgåvor från 2020) tar upp AI-tillförlitlighet för luftburna AI-system och är den primära certifieringsreferensen för AI i flygsäkerhetskritiska tillämpningar.
EU AI Act gäller för markbaserad luftfarts-AI (trafikledning, underhållsdiagnostik, kabinhanteringssystem) som faller utanför EASA:s luftvärdighetsomfång. För luftburna AI-system som certifieras av EASA är samordning enligt Art. 8(1) möjlig, men överlappningen mellan EASA:s luftvärdighetskrav och AI Act-skyldigheter (särskilt avseende loggning och mänsklig tillsyn) måste analyseras system för system. EASA:s begrepp "AI-säkerhetsnivå" korresponderar inte direkt med EU AI Acts högriskklassificering eller krav på överensstämmelsebedömning.
Järnväg — ERA och säkerhetsledningssystem
ERA (Europeiska unionens järnvägsbyrå) ansvarar för järnvägsinteroperabilitet och det gemensamma säkerhetsramverket enligt direktiv 2016/797 och 2016/798. Järnvägsföretag och infrastrukturförvaltare är skyldiga att upprätthålla ett säkerhetsledningssystem (SMS) som täcker riskbedömning, olycksutredning och kontinuerlig förbättring.
EU AI Acts riskhanteringskrav enligt Art. 9 ligger nära ERA:s SMS-krav. Organisationer med ett moget SMS är väl positionerade för att integrera AI Acts riskhanteringsdokumentation i det befintliga ramverket. ERA och Europeiska kommissionen har signalerat en preferens för integrerade efterlevnadsansatser som undviker dubblering mellan SMS och AI Act-skyldigheter. AI-system som används i automatisk tågdrift, ETCS-komponenter (European Train Control System) med AI, eller prediktivt underhåll som ingår i säkerhetskritiska beslut är högrisk enligt Annex I (säkerhetskomponent i järnvägsfordon eller -infrastruktur).
Efterlevnads- och certifieringsmyndigheter
Efterlevnad av transport-AI involverar flera tillsynsorgan med delvis överlappande jurisdiktion, beroende på AI-systemets funktion och den produkt det är inbäddat i.
EASA är certifieringsmyndighet för AI i luftfartyg och luftfartsprodukter. Den kan genomföra utredningar av AI-systemfel som berör luftvärdighet, och dess beslut påverkar marknadstillträdet inom EU och bilaterala partnerjurisdiktioner.
ERA ansvarar för det gemensamma säkerhetsramverket för järnvägar. Järnvägssäkerhetscertifikat och driftstillstånd är beroende av SMS-överensstämmelse, som i allt högre grad sammanfaller med AI Act-efterlevnad för AI-aktiverade järnvägssystem.
Nationella typgodkännandemyndigheter för fordon — inklusive KBA (Tyskland), ANFIA-delegerade organ (Italien) och Rijksdienst voor het Wegverkeer (Nederländerna) — utfärdar och kan återkalla typgodkännanden för vägfordon. Bristande efterlevnad av AI Act-kraven för AI-säkerhetskomponenter kan utgöra grund för suspension eller återkallelse av typgodkännande.
NIS2:s nationella behöriga myndigheter — utsedda av varje medlemsstat, ofta en nationell cybersäkerhetsmyndighet såsom BSI (Tyskland), ANSSI (Frankrike) eller NCSC-NL (Nederländerna) — verkställer NIS2-skyldigheter för transportoperatörer av samhällsviktiga tjänster. NIS2-verkställighet kan resultera i bindande instruktioner, böter och i allvarliga fall suspension av verksamheten.
Nationella AI-tillsynsmyndigheter utsedda enligt Art. 70 i EU AI Act kommer att ha allmänna marknadsövervakningsbefogenheter, med samordningsmekanismer för sektorsspecifika myndigheter för att undvika jurisdiktionskonflikter.
Efterlevnadsprioriteringar för transportoperatörer och leverantörer
Steg 1: Inventering och klassificering av AI-system
Genomför en strukturerad inventering av alla AI-system under utveckling eller i drift inom transportprodukten eller den operativa portföljen. För varje system, fastställ om det är en säkerhetskomponent i en NLF-reglerad produkt (Art. 6(1)-vägen), ett AI-system för hantering av kritisk infrastruktur (Annex III, punkt 2), eller båda. Dokumentera klassificeringsgrunderna skriftligen. System som inte definitivt kan uteslutas från högriskklassificering bör behandlas som högrisk i avvaktan på definitiv rättslig analys.
Steg 2: Planering av vägen för överensstämmelsebedömning
För AI-system som är säkerhetskomponenter i fordon, luftfartyg eller järnvägsprodukter, identifiera det tillämpliga sektorscertifieringsförfarandet och kartlägg det mot AI Acts krav på överensstämmelsebedömning. Fastställ om ett anmält organ krävs (Art. 43(3)) eller om en självbedömning med teknisk revision av tredje part är tillräcklig. Samordna tidplanen för AI Acts överensstämmelsebedömning med typgodkännande- eller certifieringsprogrammet för att undvika förseningar i marknadstillträdet.
Steg 3: Teknisk dokumentation och datastyrning
Upprätta teknisk dokumentation enligt Annex IV för varje högrisk-AI-system. För transport-AI måste denna inkludera: det avsedda ändamålet med tillräcklig precision för att stödja klassificering enligt både AI Act och sektorsregler; härkomst för träningsdata, inklusive eventuell data från verklig körning, drift eller sensordata som använts; beskrivningar av simuleringsmiljöer för AI-system validerade genom virtuell testning; och planer för eftermarknadsövervakning i linje med sektorsspecifika rapporteringsskyldigheter.
Steg 4: NIS2-integration för operatörer av kritisk infrastruktur
Transportoperatörer av samhällsviktiga tjänster måste integrera AI Acts cybersäkerhetskrav enligt Art. 15 med NIS2:s skyldigheter för cybersäkerhetsriskhantering. Upprätta en gemensam process för säkerhetsriskbedömning som täcker båda ramverken. Säkerställ att AI-programvaruleverantörer — inklusive AI-modellutvecklare och dataleverantörer — omfattas av leveranskedjans säkerhetskrav i enlighet med NIS2 Art. 21(2)(d) och AI Act Art. 25 (skyldigheter avseende verktyg från tredje part).
Steg 5: Mänsklig tillsyn i operativa sammanhang
Utforma mekanismer för mänsklig tillsyn enligt Art. 14 som är operativt genomförbara i transportmiljöer. För autonoma körsystem, definiera de förhållanden under vilka en förare måste kunna ta kontroll (L3) eller en fjärroperatör måste kunna ingripa (L4). För AI inom flygtrafikledning, specificera de punkter i arbetsflödet där en flygledare måste granska och godkänna AI-genererade instruktioner. För järnvägens underhålls-AI, definiera eskaleringsprotokoll när systemet flaggar säkerhetskritiska avvikelser. Tillsynsmekanismer måste dokumenteras i den tekniska dokumentationen och återspeglas i bruksanvisningarna som tillhandahålls driftsansvariga.
Steg 6: Eftermarknadsövervakning och incidentrapportering
Upprätta eftermarknadsövervakningssystem som uppfyller både AI Acts krav enligt Art. 72 och sektorsspecifika säkerhetsrapporteringsskyldigheter (ERA:s olycksrapportering, EASA:s händelserapportering enligt förordning (EU) 376/2014, NIS2:s incidentavisering). Allvarliga incidenter som involverar högrisk-AI-system måste rapporteras till den nationella AI-tillsynsmyndigheten enligt Art. 73 inom 15 arbetsdagar från det att de blivit kända. Denna tidsfrist måste avstämmas mot NIS2:s krav på inledande avisering inom 24 timmar för betydande cybersäkerhetsincidenter, vilket kan gälla samma händelse om AI-felet kan hänföras till ett cybersäkerhetsintrång.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ja, i de flesta kommersiellt relevanta konfigurationer. Ett AI-system som utgör en säkerhetskomponent i ett vägfordon som typgodkänts enligt General Safety Regulation (EU) 2019/2144 klassificeras automatiskt som högrisk enligt Art. 6(1) i EU AI Act, läst tillsammans med Annex I (New Legislative Framework). Detta gäller från SAE-nivå 2+ förarassistanssystem som påverkar styrning, bromsning eller acceleration upp till L4- och L5-system för autonom körning. Klassificeringen är kategorisk och kräver inte en separat sannolikhetsbedömning avseende skaderisk. Både AI Acts överensstämmelsebedömning och typgodkännandeförfarandet enligt GSR 2019/2144 måste vara uppfyllda innan fordonet placeras på EU-marknaden.
Fördelningen beror på integreringens avtalsmässiga och tekniska struktur. Om tillverkaren bäddar in ett tredjeparts AI-system i fordonstypen utan modifiering och placerar det på marknaden under sitt eget namn, är tillverkaren leverantör enligt Art. 16 i EU AI Act och bär fullt leverantörsansvar, inklusive överensstämmelsebedömning, CE-märkning och registrering i EU:s AI-databas. Den ursprungliga utvecklaren av AI-systemet kan vara underleverantör men är inte automatiskt leverantör enligt AI Act. Om tillverkaren gör väsentliga modifieringar av AI-systemet innan marknadsplacering bekräftas leverantörsskyldigheter i sin helhet. Flottor eller uthyrningsföretag som därefter driftsätter fordonet med AI-systemet aktivt är driftsansvariga enligt Art. 26.
Nej. EASA-certifiering enligt Basic Regulation (EU) 2018/1139 och AI Acts överensstämmelsebedömning är separata rättsliga skyldigheter som gäller parallellt. EASA:s AI-färdplan och kommande vägledning om AI-tillförlitlighet för luftfart tar upp kraven på luftvärdighet och operativ säkerhet enligt luftfartslagstiftningen. EU AI Acts krav — däribland teknisk dokumentation enligt Annex IV, automatisk loggning enligt Art. 12 och mänsklig tillsyn enligt Art. 14 — är separata skyldigheter som måste uppfyllas oberoende. Art. 8(1) i AI Act erkänner sektorsspecifik lagstiftning och kan möjliggöra processuell samordning där EASA:s krav är likvärdiga, men eliminerar inte AI Act-skyldigheter för markbaserade AI-system eller kabinrelaterad AI som faller utanför EASA:s luftvärdighetsomfång.
Det beror på det operativa sammanhanget. AI-system som används för förvaltning och drift av kritisk vägtrafikinfrastruktur är uttryckligen listade som högrisk enligt Annex III, punkt 2 i EU AI Act. Ett system som styr trafikflödet på motorvägar, adaptiv signalstyrning för ett storstads vägnät eller dynamisk filanvisning vid en tunnelmynning uppfyller sannolikt tröskeln för 'kritisk vägtrafikinfrastruktur'. En fristående AI som optimerar signaltiming vid en enskild landsbygdskorsning med minimal trafikvolym och utan säkerhetskritiska beroenden kan falla utanför denna definition, men denna bedömning måste dokumenteras. Verksamhetsutövare bör tillämpa en försiktighetsmässig tolkning: om ett fel eller en felberäkning i AI-systemets utdata kan medföra en materiell risk för olyckor, trafikkaoskedjor eller fördröjning av utryckningsfordon i stor skala, är klassificering som högrisk det lämpliga grundantagandet.
Järnvägsoperatörer som kvalificerar sig som operatörer av samhällsviktiga tjänster enligt NIS2-direktivet (EU) 2022/2555 står inför en dubbel efterlevnadsskyldighet. Enligt NIS2 måste de implementera cybersäkerhetsriskhanteringsåtgärder, upprätthålla tidsfrister för incidentrapportering (betydande incidenter inom 24 timmar till nationell behörig myndighet, fullständig rapport inom 72 timmar) och säkerställa leveranskedjans säkerhet inklusive för AI-programvaruleverantörer. Enligt EU AI Act är AI-system inbäddade i säkerhetskritiska järnvägsoperationer — prediktiv underhålls-AI, AI-assisterad signalering, autonoma växlingssystem — högrisk enligt Art. 6(1) (som säkerhetskomponenter enligt ERA:s järnvägslagstiftning) eller Annex III, punkt 2. AI Acts cybersäkerhets- och robusthetskrav enligt Art. 15 måste uppfyllas på ett sätt som är förenligt med och kompletterande till NIS2-skyldigheterna. Ett integrerat riskhanteringssystem som hanterar båda ramverken är operativt att föredra och förenligt med ERA:s krav på säkerhetsledningssystem enligt direktiv 2016/798.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.