Retroillustration i 1950-talsstil där två granskare i kostym inspekterar en blå vintagerobot, en med förstoringsglas mot robotens kontrollpanel — en bild av tillsyn och granskning av AI — Sommaren 2026 får AI Act i Sverige något den saknat: namngivna myndigheter med mandat att granska och döma ut sanktionsavgifter.

TILLSYN // EU AI ACT // SVERIGE

VEM VAKTAR AI:N I SVERIGE?

Länge har AI Act mest varit en text på engelska och en avlägsen tidslinje. Det ändras nu. I juni 2026 gav regeringen fem myndigheter tillfälliga AI Act-uppdrag, och från 2 augusti 2026 ska den svenska kompletteringslagen börja gälla. Reglerna fick mer tid — men tillsynen får namn, kontaktvägar och mandat. Här är kartan över vem som granskar vad, vad det kan kosta, och vad din arbetsplats bör göra innan någon frågar.

Publicerad: 2026-06-28 // Uppdaterad: 2026-06-28 // Lästid: ca 7 min

Av AI på svenska // Publicerad: 2026-06-28

AVSÄNDARE OCH GRANSKNING

Vem står bakom innehållet?

Den här artikeln ingår i AI på svenska och är redaktionellt framtagen för chefer, jurister, dataskyddsombud, IT- och digitaliseringsansvariga samt verksamhetsutvecklare i både privat och offentlig sektor. Texten bygger på offentliga källor från regeringen, IMY, riksdagen och EU-kommissionen (se källistan nedan). Den är informativ och beskriver läget i juni 2026 — den ersätter inte juridisk rådgivning i enskilda ärenden, och delar av den svenska anpassningen är fortfarande förslag som kan ändras under riksdagsbehandlingen.

REDAKTIONELLT ANSVAR: AI PÅ SVENSKA

VARFÖR DET SPELAR ROLL

Skillnaden mellan en regel och en regel som granskas

En lag utan utpekad tillsynsmyndighet är i praktiken en rekommendation. Så har AI Act känts för många svenska arbetsplatser: en EU-förordning som visserligen gäller, men där ingen riktigt vetat vem som skulle knacka på dörren. Det är just den biten som faller på plats nu.

I juni 2026 gav regeringen PTS, IMY, Finansinspektionen, Läkemedelsverket och Swedac uppdrag som nationella behöriga myndigheter enligt AI-förordningen till och med den 31 december 2026. Parallellt föreslår SOU 2025:101 (öppnas i ny flik) en mer permanent svensk kompletteringslag som ska träda i kraft 2 augusti 2026 och reglera bland annat marknadskontroll, samordning och sanktionsavgifter.

Det betyder inte att alla krav börjar gälla samtidigt — flera av de tunga högriskkraven har tvärtom fått mer tid (mer om det längre ned). Men förmågan att kontrollera, begära in underlag och ställa frågor kommer på plats nu. Den som kan svara snabbt och ordnat har ett rejält övertag.

TILLSYNSKARTAN

Vem granskar vad?

Sverige går mot en uppdelad modell i stället för en enda AI-myndighet. Regeringens tillfälliga uppdrag pekar ut fem myndigheter för den första svenska tillsynsfasen. Utredningen föreslår samtidigt elva marknadskontrollmyndigheter i den mer permanenta modellen, där den som redan kan ett område — finans, vård, fordon, arbetsmiljö — också ska granska AI:n där. Så här ser huvuddragen ut:

Aktör	Föreslaget ansvar	Vad det betyder för dig
PTS (Post- och telestyrelsen)	Samordnande ansvar och gemensam kontaktpunkt mot EU i regeringens tillfälliga uppdrag.	Den myndighet som håller ihop tillsynen och är Sveriges ansikte utåt i EU-samarbetet.
IMY (Integritetsskyddsmyndigheten)	Nationell behörig myndighet med särskilt viktiga kontaktytor mot dataskydd, brottsbekämpning, kreditvärdering och integritetskänslig AI-användning.	Uppdraget gäller till och med 31 december 2026. IMY är ofta den praktiska knutpunkten där AI Act och GDPR möts.
FI, Läkemedelsverket och Swedac	Tillfälliga uppdrag inom sina sakområden, bland annat finansiella tjänster, medicinteknik/läkemedelsnära områden och ackreditering.	Använder ni AI i en reglerad bransch är det sannolikt att er vanliga sektorsmyndighet blir viktig även i AI Act-frågor.

Notera skillnaden: regeringens fem uppdrag är konkreta men tidsbegränsade, medan de elva marknadskontrollmyndigheterna hör till utredningens permanenta modell och kan justeras i lagstiftningsarbetet. Poängen för dig är ändå tydlig: det finns inte en dörr att hålla koll på, utan flera — och rätt dörr beror på vad ni använder AI till.

TIDSLINJEN

Vad gäller när — efter Omnibus-justeringen

En vanlig missuppfattning sommaren 2026 är att "allt börjar gälla den 2 augusti". Så är det inte. Efter den politiska överenskommelsen om AI Omnibus i maj 2026 ser den praktiska tidslinjen ut så här:

Gäller redan: förbuden mot vissa AI-användningar (sedan februari 2025) och kravet på AI-kompetens hos personal som arbetar med AI (sedan februari 2025). Reglerna för generella AI-modeller (GPAI) gäller sedan augusti 2025.
2 augusti 2026: den svenska kompletteringslagen och tillsynsmodellen föreslås träda i kraft. Tillsynsmyndigheterna får sitt mandat.
2 december 2026: transparenskrav för AI-genererat innehåll börjar tillämpas.
2 december 2027: kraven för fristående högrisksystem börjar gälla.
2 augusti 2028: kraven för produktinbyggda högrisksystem börjar gälla.

Med andra ord: de substantiella högriskkraven fick mer tid, men den svenska tillsynsapparaten kommer ändå på plats i augusti 2026. Andrummet är till för förberedelse — inte för att skjuta upp den.

SANKTIONER I KLARSPRÅK

Vad kan det kosta?

AI Act:s sanktioner är administrativa avgifter, inte straff. Den svenska utredningen avvisar uttryckligen straffrättsliga påföljder och förordar ett rent administrativt sanktionssystem. Taknivåerna i förordningen är:

Förbjuden AI-användning: upp till 35 miljoner euro eller 7 procent av den globala årsomsättningen — det högsta av de två.
Brott mot högriskkraven: upp till 15 miljoner euro eller 3 procent av årsomsättningen.
Felaktig eller vilseledande information till myndigheten: en lägre, men inte obetydlig, avgiftsnivå.

Maxbeloppen är skrivna för stora leverantörer. För en typisk svensk arbetsgivare är den realistiska risken en annan: att inte kunna redogöra för vilka AI-system som används, i vilket syfte och med vilken mänsklig kontroll. Det är den typen av oordning som drar till sig frågor — och som är enkel och billig att åtgärda i förväg.

NÄR AI PASSAR — OCH NÄR DET KRÄVS KONTROLL

Beslutsruta: är ert användningsfall högrisk?

De flesta vardagliga AI-verktyg — skrivstöd, mötessammanfattningar, intern kunskapssökning — är inte högrisk. Men gränsen går vid om AI:n påverkar människors rättigheter eller möjligheter. Använd den här grovsorteringen och låt en människa avgöra de oklara fallen:

Sannolikt lägre risk: AI som föreslår text, sammanfattar material eller söker i interna dokument, där en medarbetare alltid granskar och äger resultatet.
Kräver särskild kontroll (kan vara högrisk): AI som påverkar rekrytering, prestationsbedömning, kreditbeslut, tillgång till offentliga tjänster, bedömning av rätt till bistånd, vård eller utbildning, eller biometrisk identifiering.
Förbjudet: bland annat social poängsättning av individer och vissa former av biometrisk kategorisering och känsloavläsning på arbetsplatsen och i skolan.

Är ni osäkra: behandla systemet som om det vore högrisk tills någon med mandat har bedömt det. Det innebär ingen extra kostnad utöver att inventera, peka ut en ansvarig och säkra en mänsklig beslutspunkt — exakt det varje verksamhet ändå bör ha.

FYRA STEG NU

Förberedelsechecklista före 2 augusti

Inventera er AI-användning. Lista varje AI-verktyg som faktiskt används, inklusive det som personal kört igång på egen hand ("skugg-AI"). Sikta på en rad per verktyg: namn, syfte, ansvarig.
Riskklassa grovt. Markera de användningsfall där AI påverkar beslut om människor. Det är där dokumentations- och kontrollkraven blir hårdast.
Namnge den mänskliga kontrollpunkten. Varje AI-stöd ska ha en utpekad person som granskar, kan ändra och har sista ordet — och som vet att rollen finns.
Lägg in en datagräns. Bestäm vilka uppgifter som inte får matas in i verktyget (personuppgifter, sekretess, affärshemligheter) och skriv ned det där personalen ser det.

Den som vill gå djupare kan stämma av mot den fullständiga efterlevnadschecklistan och tidslinjen för vad som gäller när.

FÄRDIG PROMPT

Kom igång med inventeringen

Använd den här prompten som startpunkt för att strukturera er AI-inventering. Klistra in den i ert AI-verktyg, fyll i era egna verktyg, och låt en ansvarig granska resultatet innan det blir ett officiellt underlag. Datagräns: skriv inte in namn på enskilda medarbetare, kunder eller andra personuppgifter — håll det på verktygs- och processnivå.

Agera som metodstöd för en AI-inventering inför EU:s AI-förordning (AI Act). Jag ger dig en lista över AI-verktyg som används i vår verksamhet. För varje verktyg: skapa en rad med 1. Verktygets namn och syfte 2. Vilken avdelning som använder det 3. Vilken typ av data som matas in 4. Om det påverkar beslut om människor (ja/nej) och i så fall hur 5. Grov riskklass: låg / kräver kontroll / möjlig högrisk / förbjuden 6. Förslag på namngiven ansvarig roll 7. Förslag på mänsklig kontrollpunkt innan resultatet används Avsluta med de tre verktyg som bör granskas först och varför. Skriv på enkel svenska. Hitta inte på uppgifter jag inte gett dig — markera tydligt var jag behöver komplettera. Våra verktyg: [lista era AI-verktyg här]

VANLIGA MISSUPPFATTNINGAR

Tre myter som kostar tid

"Omnibus sköt upp allt till 2027, så vi kan vänta." Nej. Förbuden och AI-kompetenskravet gäller redan, transparenskraven kommer i december 2026, och den svenska tillsynsmodellen träder i kraft i augusti 2026. Det är högriskkraven som fick mer tid.

"AI Act gäller bara leverantörer, inte oss som använder verktygen." Fel. Förordningen lägger tydliga skyldigheter även på den som tar i bruk AI-system ("deployer") — särskilt vid högrisk och när AI påverkar människor.

"Vi har ingen högrisk-AI, alltså berör det inte oss." Även om inget av era system är högrisk gäller kravet på AI-kompetens, förbuden och — från december 2026 — märkning av AI-genererat innehåll. Och tillsynsmyndigheten kan ändå fråga vad ni använder.

FAQ

Vanliga frågor om AI Act-tillsynen i Sverige

Vilken myndighet utövar tillsyn över AI Act i Sverige?

Tillsynen är fördelad på flera myndigheter. Regeringen har gett PTS, IMY, Finansinspektionen, Läkemedelsverket och Swedac tillfälliga uppdrag som nationella behöriga myndigheter till och med 31 december 2026. PTS har samordnande ansvar och är gemensam kontaktpunkt mot EU. SOU 2025:101 föreslår dessutom en mer permanent och bredare modell med elva marknadskontrollmyndigheter.

Vad kan en överträdelse av AI Act kosta?

Sanktionerna i EU:s AI-förordning är administrativa, inte straffrättsliga. Användning av ett förbjudet AI-system kan ge sanktionsavgifter på upp till 35 miljoner euro eller 7 procent av den globala årsomsättningen. Brott mot kraven för högrisk-AI kan ge upp till 15 miljoner euro eller 3 procent. För de flesta svenska arbetsplatser är den realistiska risken inte maxbeloppen, utan att inte kunna visa vilka AI-system man använder och vem som ansvarar.

Börjar högriskreglerna gälla den 2 augusti 2026?

Inte alla. Efter den politiska överenskommelsen om AI Omnibus i maj 2026 är den praktiska tidslinjen: transparenskrav för AI-genererat innehåll från 2 december 2026, fristående högrisksystem från 2 december 2027 och produktinbyggda högrisksystem från 2 augusti 2028. Det som redan gäller är förbuden mot vissa AI-användningar och kravet på AI-kompetens hos personalen. Den svenska kompletteringslagen som pekar ut tillsynsmyndigheterna föreslås däremot träda i kraft 2 augusti 2026.

Vad bör en vanlig arbetsplats göra redan nu?

Tre saker går att göra utan budget: inventera vilka AI-verktyg som faktiskt används och varför, peka ut en ansvarig person per verktyg, och säkerställa att det finns en namngiven mänsklig kontrollpunkt innan ett AI-förslag blir ett beslut eller går ut till en kund eller medborgare. Det är samma underlag som en tillsynsmyndighet skulle fråga efter, och det räcker långt även om ert system inte är högrisk.

KÄLLOR

Källor och vidare läsning

KONTROLLERADE: 2026-06-28 // DELAR AV DEN SVENSKA ANPASSNINGEN ÄR FÖRSLAG. STÄM ALLTID AV MOT SENASTE MYNDIGHETSVÄGLEDNING INNAN BESLUT.

RELATERAT

Relaterade artiklar

BYGG VIDARE