Kapitel VI–VII: Konformitetsbedömning, CE‑märkning, AI Office och European AI Board (artiklarna 43–49, 64–68)

Översikt: Varför konformitetsbedömning och styrning för AI?

I den här modulen går vi igenom två huvudspår i AI‑förordningen (AI Act):

1. Kapitel VI – Konformitetsbedömning, CE‑märkning och anmälda organ (artiklarna 43–49)
2. Kapitel VII – Styrning på EU‑nivå med AI Office och European Artificial Intelligence Board (artiklarna 64–68)

Sedan AI‑förordningen antogs 2024 och började fasvis tillämpas från 2025/2026 har EU:

• infört ett riskbaserat system för AI, där högrisk‑AI måste genomgå konformitetsbedömning innan den släpps på marknaden,
• kopplat AI‑förordningen till det välkända systemet med CE‑märkning,
• skapat en ny struktur med AI Office i Kommissionen och ett European AI Board för att samordna nationella myndigheter.

I den här modulen fokuserar vi på praktiken: hur processen ser ut steg för steg, vad CE‑märket betyder i AI‑sammanhang, och hur AI Office och European AI Board påverkar vardagen för utvecklare, leverantörer och användare av AI‑system.

Lärandemål (kopplat till den här modulen)

Efter 15 minuter ska du kunna:

• beskriva huvuddragen i konformitetsbedömning för högrisk‑AI,
• förklara vad CE‑märkning innebär för AI‑system och när den krävs,
• skilja på rollen för AI Office, European AI Board och nationella tillsynsmyndigheter,
• förstå hur dessa aktörer samverkar för en enhetlig tillämpning av AI‑förordningen i EU.

Tips: Läs gärna den här modulen som en praktisk checklista – tänk dig att du är produktansvarig för ett högrisk‑AI‑system som ska CE‑märkas.

Steg 1: Vad är konformitetsbedömning enligt AI‑förordningen? (art. 43)

En konformitetsbedömning är den process där man visar att ett AI‑system uppfyller alla tillämpliga krav i AI‑förordningen innan det släpps ut på EU‑marknaden eller tas i bruk.

För högrisk‑AI‑system (definierade i bilaga III och vissa i annan sektorslagstiftning) innebär det bl.a. att man måste visa att kraven i artiklarna 8–15 (t.ex. riskhantering, datastyrning, transparens, mänsklig översyn, robusthet, cybersäkerhet) är uppfyllda.

Enligt artikel 43 gäller i huvudsak två huvudvarianter:

1. Intern kontroll (självbedömning) – leverantören gör hela konformitetsbedömningen själv.
2. Bedömning med anmält organ – ett oberoende, av medlemsstat utsett och av Kommissionen anmält organ granskar systemet.

Vilken väg som gäller beror på:

• vilken typ av högrisk‑AI det är (t.ex. säkerhetskomponent i medicinteknisk produkt eller fristående AI‑system),
• om leverantören använder harmoniserade standarder eller gemensamma specifikationer,
• om annan sektorslagstiftning (t.ex. medicinteknik, maskinförordningen) redan kräver ett anmält organ.

Nyckelidé: Konformitetsbedömning är inte en engångshändelse. För högrisk‑AI finns krav på kvalitetsledningssystem och uppföljning efter utsläppande på marknaden (post‑market monitoring). Varje större ändring av systemet kan kräva en ny bedömning.

Steg 2: Praktiskt exempel – Högrisk‑AI för kreditvärdering

Föreställ dig att du jobbar på ett fintech‑företag som utvecklar ett AI‑system för kreditvärdering av privatpersoner. Ett sådant system är typiskt ett högrisk‑AI‑system enligt bilaga III (tillgång till väsentliga privata tjänster).

Så här kan konformitetsbedömningen se ut i praktiken

1. Identifiera tillämpliga krav

Du kartlägger vilka artiklar som gäller (t.ex. 9 – riskhantering, 10 – datastyrning, 13 – transparens, 14 – mänsklig översyn).

1. Upprätta ett kvalitetsledningssystem

Företaget tar fram processer för:

• datahantering (inkl. bias‑kontroller),
• modellutveckling och validering,
• dokumentation och spårbarhet,
• hantering av incidenter och klagomål.

1. Teknisk dokumentation

Du sammanställer en teknisk fil (technical documentation) med:

• systembeskrivning och syfte,
• träningsdata (ursprung, kvalitet, representativitet),
• modellarkitektur och versioner,
• testresultat (noggrannhet, robusthet, fairness‑analyser),
• riskanalys och åtgärder.

1. Val av bedömningsväg (modul)

Om systemet inte omfattas av annan sektorslagstiftning som kräver anmält organ, och om ni följer harmoniserade standarder, kan ni ofta använda intern kontroll (självbedömning).

Om det är kopplat till t.ex. en finansprodukt som redan kräver tredjepartsbedömning, kan ett anmält organ behöva granskar systemet.

1. EU‑försäkran om överensstämmelse

När kraven är uppfyllda upprättar företaget en EU‑försäkran om överensstämmelse (art. 47) och bevarar den.

1. CE‑märkning

Därefter får AI‑systemet CE‑märkas innan det släpps ut på marknaden.

Visualisera processen som ett flödesschema:

Design & data → Riskanalys → Implementering av krav → Test & validering → Tekniskt underlag → (ev. anmält organ) → EU‑försäkran → CE‑märkning → Marknad & övervakning

Steg 3: Moduler och anmälda organ – hur bedömningen går till (art. 43–44)

AI‑förordningen ansluter till EU:s etablerade system med bedömningsmoduler (kända från t.ex. medicinteknik och maskiner). Den exakta moduluppsättningen specificeras i bilagor och kopplas ofta via sektorslagstiftning.

Två huvudscenarier

1. Modul baserad på intern kontroll

Leverantören:

• ser till att kvalitetsledningssystemet uppfyller kraven,
• dokumenterar hur alla AI‑krav är uppfyllda,
• genomför och dokumenterar tester,
• upprättar EU‑försäkran om överensstämmelse.

1. Modul med involvering av anmält organ (Notified Body)

Ett anmält organ är en oberoende tredje part som:

• utses av en medlemsstat,
• anmäls till EU‑kommissionen,
• listas i NANDO‑databasen (New Approach Notified and Designated Organisations).

Organet kan t.ex.:

• granska kvalitetsledningssystemet,
• göra dokumentationsgranskning,
• vid behov göra inspektioner och tester,
• utfärda ett certifikat om överensstämmelse.

Artikel 44 anger krav på anmälda organ, bl.a. om kompetens, oberoende, opartiskhet och hantering av intressekonflikter. Dessa krav har skärpts i takt med att AI‑förordningen har trätt i kraft, just för att AI‑bedömningar ofta kräver både teknisk och juridisk expertis.

Nyckelpoäng: Leverantören har alltid huvudansvaret för att AI‑systemet uppfyller kraven, även om ett anmält organ är inblandat.

Steg 4: Välj rätt bedömningsväg – tankeschema

Föreställ dig att du är compliance‑ansvarig på ett företag som utvecklar följande AI‑system. Fundera på om intern kontroll räcker eller om du troligen behöver ett anmält organ. Skriv gärna ner din motivering.

1. AI‑baserad medicinsk diagnosmjukvara som används för att upptäcka cancer i röntgenbilder och som är en del av en medicinteknisk produkt.
2. AI‑system för rekrytering som automatiskt rangordnar kandidater till jobb.
3. AI‑modul i en industrirobot som styr rörelser med hög kraft i närheten av människor (omfattas av maskinförordningen).

Reflektera:

• Vilka system är redan kopplade till sektorslagstiftning som brukar kräva anmält organ (t.ex. medicinteknik, maskiner)?
• Vilka är mer typiska fristående högrisk‑AI‑system, där intern kontroll är vanligare om harmoniserade standarder används?

> Tips: Jämför dina svar med hur det fungerar i dagens medicinteknik‑ och maskinområden – AI‑förordningen bygger vidare på den logiken.

Steg 5: EU‑försäkran om överensstämmelse och CE‑märkning (art. 47–49)

När konformitetsbedömningen är klar kommer två centrala steg:

1. EU‑försäkran om överensstämmelse (art. 47)

Leverantören upprättar ett formellt dokument där man:

• intygar att AI‑systemet uppfyller alla relevanta krav i AI‑förordningen,
• refererar till tillämpliga artiklar, bilagor, standarder och specifikationer,
• anger leverantörens identitet, AI‑systemets identifiering (modell, version),
• hänvisar till eventuellt certifikat från anmält organ.

Försäkran ska:

• undertecknas av en behörig person,
• sparas under en viss tid (normalt 10 år, i linje med annan produktlagstiftning),
• göras tillgänglig för tillsynsmyndigheter på begäran.

2. CE‑märkning (art. 48–49)

När kraven är uppfyllda får AI‑systemet CE‑märkas. CE‑märket:

• är en symbol som visar att produkten uppfyller alla tillämpliga EU‑regler (inkl. AI‑förordningen),
• ska fästas synligt, läsbart och outplånligt på produkten, dess förpackning eller i digital form (för rena mjukvaruprodukter),
• får kompletteras med identifiering av anmält organ om ett sådant varit inblandat.

Visualisera CE‑märket som en “passstämpel” in i EU‑marknaden: utan CE‑märkning får ett högrisk‑AI‑system normalt inte släppas ut på marknaden eller tas i bruk inom EU.

Viktigt: Om produkten redan har CE‑märkning enligt annan lagstiftning (t.ex. medicinteknik), ska samma CE‑märke nu också täcka kraven i AI‑förordningen – du får inte ha flera olika CE‑märken.

Steg 6: Snabbtest – CE‑märkning i AI‑kontext

Besvara frågan nedan för att testa din förståelse av CE‑märkning och EU‑försäkran om överensstämmelse.

Steg 7: AI Office – EU‑nivåns nav för AI‑tillsyn (art. 64)

AI Office är en särskild enhet i EU‑kommissionen som skapades i samband med AI‑förordningen och har fått en central roll sedan förordningen började tillämpas (från 2025/2026).

Enligt artikel 64 har AI Office bland annat följande uppgifter:

• Övervaka och säkerställa enhetlig tillämpning av AI‑förordningen i hela EU.
• Vara kontaktpunkt för leverantörer av generella AI‑modeller (GPAI), särskilt de med systemrisk.
• Utveckla gemensamma verktyg, riktlinjer och mallar för tillsynsmyndigheter (t.ex. för riskbedömning, testning av modeller).
• Samordna och ibland själv genomföra utredningar av särskilt riskfyllda AI‑system eller GPAI‑modeller.
• Främja internationellt samarbete kring AI‑reglering.

Skillnad mot nationella myndigheter:

• AI Office tillsynar inte enskilda företag i vardagen i varje medlemsstat – det gör de nationella tillsynsmyndigheterna.
• AI Office fungerar mer som en “meta‑myndighet”: sätter ramar, tar fram vägledning, koordinerar och kan ingripa i vissa gränsöverskridande eller särskilt allvarliga fall.

Praktisk betydelse för dig som utvecklare/leverantör:

• Riktlinjer, FAQ, tekniska specifikationer och mallar du använder i ditt compliance‑arbete kommer ofta från eller via AI Office.
• För stora GPAI‑modeller (särskilt de med systemrisk) kan AI Office vara en direkt motpart i dialogen om efterlevnad.

Steg 8: European Artificial Intelligence Board och nationella myndigheter (art. 65–68)

För att undvika 27 olika tolkningar av AI‑förordningen har EU inrättat European Artificial Intelligence Board (ofta kallat European AI Board).

European AI Board (art. 65–67)

Boarden består av:

• representanter för de nationella tillsynsmyndigheterna (en eller flera per medlemsstat),
• representanter från EU‑kommissionen (inkl. AI Office),
• ibland observatörer från andra EU‑organ.

Huvuduppgifter:

• Främja konvergens i hur reglerna tolkas och tillämpas.
• Ge riktlinjer, rekommendationer och bästa praxis till nationella myndigheter och till marknadsaktörer.
• Stödja samordning vid gränsöverskridande ärenden (liknande rollen som EDPB har för GDPR).
• Bidra till utveckling av harmoniserade standarder och gemensamma specifikationer.

Nationella tillsynsmyndigheter (art. 64.4, 68)

Varje medlemsstat ska utse en eller flera nationella behöriga myndigheter för AI‑förordningen, inklusive en nationell tillsynsmyndighet som fungerar som:

• huvudkontakt för företag i landet,
• ansvarig för tillsyn, inspektioner och sanktioner,
• deltagare i European AI Board.

I många länder samordnas detta med befintliga myndigheter (t.ex. dataskyddsmyndighet, produktmyndigheter, sektorsmyndigheter). Sedan 2025 har flera länder (inkl. Sverige) pågående processer för att tydligt definiera rollerna.

Nyckelidé: AI Office och European AI Board skapar ramen och samordningen, medan nationella myndigheter gör huvuddelen av den praktiska tillsynen mot enskilda företag.

Steg 9: Samspel mellan AI Office, Board och nationella myndigheter

Fundera på följande scenario och besvara frågorna för dig själv.

Scenario:

Ett svenskt företag använder en stor generativ AI‑modell från en leverantör i ett annat EU‑land. Modellen misstänks ha systemrisk och orsakar allvarliga incidenter i flera medlemsstater (t.ex. spridning av felaktig hälsoinformation via många tjänster).

1. Vilken roll har den svenska tillsynsmyndigheten?

• Vad gör den gentemot det svenska företaget?
• Hur kan den samarbeta med andra medlemsstater?

1. Vilken roll har European AI Board?

• Hur kan Boarden bidra till en gemensam tolkning av vad som är "systemrisk" i detta fall?
• Kan Boarden utfärda gemensamma rekommendationer om åtgärder?

1. Vilken roll har AI Office?

• Hur kan AI Office agera om leverantören av den generella AI‑modellen inte följer förordningen?
• Hur kan AI Office stödja de nationella myndigheterna tekniskt (t.ex. med testmiljöer eller referensmodeller)?

> Försök rita upp ett enkelt diagram på papper: AI Office i mitten, European AI Board som ett nätverk runt, och de nationella myndigheterna som noder kopplade både till Boarden och till företag i respektive land.

Steg 10: Repetition av nyckelbegrepp

Använd korten för att repetera de viktigaste begreppen från kapitlen VI–VII.