Stockholm wants clear AI rules for city services.

Finansdepartementet har remitterat betänkandet Anpassningar till AI-förordningen – Säker användning, effektiv kontroll och stöd för innovation (SOU 2025:101) till bland annat Stockholms stad för yttrande. Betänkandet innehåller en omfattande genomlysning av vilka lagändringar, organisatoriska lösningar och nationella strukturer som krävs för att Sverige ska kunna tillämpa AI-förordningen fullt ut från augusti 2026. Utredningen föreslår en ny kompletterande lag och förordning samt ett nationellt system för marknadskontroll och tillsyn över AI-system. [R1 PM Anpassningar till AI-förordningen - Säker användning, effektiv kontroll och stöd för innovation (SOU 2025_101).pdf] PM Rotel I (Dnr KS 2025/1447) Anpassningar till AI-förordningen – Säker användning, effektiv kontroll och stöd för innovation (SOU 2025:101) Remiss från Finansdepartementet Remisstid den 23 februari 2026 Förslag till beslut Borgarrådsberedningen föreslår att kommunstyrelsen beslutar följande. Remissen besvaras med hänvisning till vad som sägs i stadens promemoria. Föredragande borgarrådet Karin Wanngård Sammanfattning av ärendet Finansdepartementet har remitterat betänkandet Anpassningar till AI-förordningen – Säker användning, effektiv kontroll och stöd för innovation (SOU 2025:101) till bland annat Stockholms stad för yttrande. Betänkandet innehåller en omfattande genomlysning av vilka lagändringar, organisatoriska lösningar och nationella strukturer som krävs för att Sverige ska kunna tillämpa AI-förordningen fullt ut från augusti 2026. Utredningen föreslår en ny kompletterande lag och förordning samt ett nationellt system för marknadskontroll och tillsyn över AI-system. Beredning Ärendet har remitterats till stadsledningskontoret. Stadsledningskontoret ser positivt på utredningens genomlysning av hur AI- förordningen bör genomföras nationellt och på förslagen om tydligare ansvarsfördelning och samverkan mellan berörda myndigheter. Föredragande borgarrådets synpunkter Jag anser att betänkandet ger en tydlig bild av vilka anpassningar som krävs för att EU:s AI-förordning ska kunna tillämpas i Sverige. Det är viktigt att genomförandet präglas av ordning, rättssäkerhet och god samordning. Utredningens förslag om ansvar och tillsyn är i huvudsak väl avvägda. Att Post- och telestyrelsen föreslås få ett samordnande ansvar kan bidra till ökad tydlighet. 1 (6) Samtidigt är det angeläget att konsekvenserna för kommuner som Stockholms stad uppmärksammas bättre. Kommuner bedriver verksamhet inom flera områden som enligt AI-förordningen kan klassas som högrisk, bland annat utbildning, omsorg och samhällskritisk infrastruktur. För kommuner som använder AI inom flera sådana områden finns en risk för en splittrad tillsyn med flera olika myndigheter inblandade. Det kan göra regelverket svårare att hantera i praktiken och ställa höga krav på intern samordning. Det är rimligt att sektorsmyndigheter ansvarar för tillsyn inom sina respektive områden. De har bäst kunskap om hur AI påverkar verksamheten. Samtidigt behandlar betänkandet i begränsad utsträckning hur kommuner faktiskt använder AI- system med hög risk och hur kommunernas erfarenheter kan tas till vara i genomförandet. Jag ser positivt på förslagen om regulatoriska sandlådor och testning under verkliga förhållanden. För att främja innovation fullt ut bör även kommunernas roll tydliggöras, både som användare och som utvecklingspartner. I övrigt hänvisar jag till stadsledningskontorets tjänsteutlåtande som svar på remissen. Stockholm den 28 januari 2026 Karin Wanngård Bilaga Remiss - Anpassningar till AI-förordningen – Säker användning, effektiv kontroll och stöd för innovation (SOU 2025:101). Dnr KS 2025/1447-1.1 Borgarrådsberedningen tillstyrker föredragande borgarrådets förslag. 2 (6) Ärendet Finansdepartementet har remitterat betänkandet Anpassningar till AI-förordningen – Säker användning, effektiv kontroll och stöd för innovation (SOU 2025:101) till bland annat Stockholms stad för yttrande. Regeringen tillsatte den 19 september 2024 utredningen om AI-förordningen med uppdrag att analysera vilka nationella anpassningar som krävs med anledning av EU:s nya förordning om artificiell intelligens (EU 2024/1689). Utredningen överlämnade i oktober 2025 sitt betänkande Anpassningar till AI-förordningen – Säker användning, effektiv kontroll och stöd för innovation (SOU 2025:101). Betänkandet innehåller en omfattande genomlysning av vilka lagändringar, organisatoriska lösningar och nationella strukturer som krävs för att Sverige ska kunna tillämpa AI-förordningen fullt ut från augusti 2026. Utredningen föreslår en ny kompletterande lag och förordning samt ett nationellt system för marknadskontroll och tillsyn över AI-system. Ett centralt förslag är att Post- och telestyrelsen (PTS) ska ges ett övergripande myndighetsansvar för AI-förordningens genomförande, med särskilt ansvar för samordning, vägledning och informationsinsatser. Vidare föreslås att Integritetsskyddsmyndigheten och Finansinspektionen delar ansvaret för vissa delar av marknadskontrollen, särskilt rörande högrisk-AI och förbjudna användningsområden. Betänkandet omfattar även förslag om anmälande myndigheter, sanktioner och ingripanden, sekretessbestämmelser samt nationell registrering av AI-system inom kritisk infrastruktur. En viktig del av innehållet avser innovation och utveckling. Utredningen föreslår att Sverige ska inrätta minst en regulatorisk sandlåda för AI, där företag och offentliga aktörer kan utveckla, testa och validera AI-system under kontrollerade former. Förslagen omfattar även bestämmelser för testning av högrisk-AI utanför sandlådor, liksom regler om sekretess och tystnadsplikt kopplat till dessa verksamheter. Betänkandet behandlar därutöver Sveriges deltagande i EU:s gemensamma styrning, bland annat genom AI-byrån och AI-styrelsen, för att stärka nationell kompetens och säkerställa enhetlig tillämpning av regelverket. Utredningens förslag syftar till att säkerställa att Sverige uppfyller kraven i EU:s AI- förordning och att regelverket får ett ändamålsenligt och effektivt genomslag vid nationell tillämpning. Dessa nya uppdrag medför ökade och delvis nya arbetsuppgifter för myndigheterna, vilket enligt utredningen leder till ett utökat finansieringsbehov som initialt bör hanteras genom ökade anslag. Utredningen bedömer samtidigt att förslagen varken förväntas medföra ökade kostnader för kommuner och regioner eller påverka det kommunala självstyret. Remissammanställningen Ärendet har remitterats till stadsledningskontoret. 3 (6) Stadsledningskontoret Stadsledningskontorets tjänsteutlåtande daterat den 17 december 2025 har i huvudsak följande lydelse. Stadsledningskontoret ser positivt på utredningens genomlysning av hur AI- förordningen bör genomföras nationellt och på förslagen om tydligare ansvarsfördelning och samverkan mellan berörda myndigheter. Post- och telestyrelsen föreslås i utredningen bli huvudmyndighet och ska, tillsammans med övriga marknadskontrollmyndigheter, samverka med sektorsmyndigheterna. Stadsledningskontoret har inga invändningar mot de föreslagna tillsynsmyndigheterna eller den ansvarsfördelning som föreslås i betänkandet. Stadsledningskontoret bedömer däremot att den föreslagna ansvarsfördelningen riskerar att skapa en komplex tillsynsstruktur för kommuner något som ej är tillräckligt belyst i ärendet. Kommuner arbetar till stor del inom områden som kan omfattas av hög risk enligt AI- förordningen, till exempel utbildning, omsorg och samhällskritisk infrastruktur. Stadsledningskontoret instämmer i att det är respektive sektorsmyndighet som bäst kan bedöma hur AI bör användas inom sitt område. Stadsledningskontoret tillstyrker därför att dessa myndigheter, med stöd av AI-expertis från marknadskontrollmyndigheter, får ansvar för tillsynen och för att AI-frågor införlivas i befintliga regelverk på ett sätt som tar hänsyn till kommunernas uppdrag och förutsättningar. Samtidigt konstaterar stadsledningskontoret att betänkandet inte tar upp kommuners användning av AI-system med hög risk, trots att kommunal verksamhet i stor utsträckning bedrivs inom de områden som enligt AI-förordningen klassificeras som högrisk. Stadsledningskontoret saknar även en beskrivning av hur kommuner och regioner ska bidra i processen med sin kunskap om invånarnas behov och om de kommunala verksamheternas förutsättningar. Ställningstaganden Stadsledningskontoret ser positivt på utredningens genomlysning av hur AI- förordningen bör genomföras nationellt och på förslagen om tydligare ansvarsfördelning och samverkan mellan berörda myndigheter. AI-förordningen behandlar all användning av AI-system. Nedan beskrivna perspektiv har direkt konsekvens för staden. Kapitel 6 marknadskontroller Det första perspektivet är produktlagstiftningen, det som kallas marknadskontroll i betänkandet. AI‑förordningen bygger på ett omfattande ramverk där en myndighet 4 (6) samordnar tillsyn, inspektioner och sanktioner medan det exekutiva ansvaret fördelas på en mängd myndigheter med lämplig sakkompetens. Förslag på tillsynsmyndigheter, deras befogenheter och sanktioner samt samverkan dem emellan utgör en stor del av betänkandet. Marknadskontrollmekanismen förväntas träffa primärt utvecklare och operatörer av AI-system men även kommuner exempelvis i fall där tekniken tillhandahålls av kommunen till invånare. Utredningen pekar ut Post- och telestyrelsen som huvudmyndighet, med uppgift att tillsammans med övriga marknadskontrollmyndigheter samverka med sektorsmyndigheterna. Stadsledningskontoret har inga synpunkter på vilka statliga myndigheter som föreslås få tillsynsansvar enligt utredningen. Däremot måste det framhållas att den föreslagna tillsynsstrukturen för kommunal verksamhet behöver analyseras mer ingående. För kommuner som använder AI-system inom flera högriskområden kan detta innebära tillsyn från flera olika myndigheter. Stadsledningskontoret bedömer att en sådan ordning riskerar att skapa en komplex tillsynsstruktur med otydlig ansvarsfördelning. Det ställer också ökade krav på samordning, intern styrning och kompetens på kommunal nivå. Stadsledningskontoret önskar framföra att dessa konsekvenser inte har analyserats tillräckligt i betänkandet. Kapitel 10.8 Befogenheter och ingripanden Det andra perspektivet som direkt påverkar det kommunala ansvaret handlar om användning av tekniken. De krav som ställs på ett AI-system är direkt relaterade till risken för negativa konsekvenser på individers fri- och rättigheter. AI-förordningen är riskbaserad och delar in AI‑system i förbjudna, hög‑risk, begränsad risk och minimirisk, med särskilda utvecklings‑ och driftskrav för hög‑risk‑system. Detta träffar direkt kommuner som bedriver huvuddelen av sin verksamhet inom potentiella högrisk-områden som utbildning, omsorg och samhällskritisk infrastruktur. Stadsledningskontoret delar betänkandes uppfattning att möjligheter och begränsningar med tekniken i sektorsspecifika tillämpningar avgörs bäst inom respektive fackområde. Stadsledningskontoret tillstyrker därför att sektorsmyndigheter, med stöd av AI-expertis från marknadskontrollmyndigheter, har ansvaret för tillsynen och att AI-aspekter integreras i befintliga regelverk på ett sätt som tar hänsyn till kommunernas uppdrag och förutsättningar. Stadsledningskontoret noterar att betänkandet inte berör kommuners användning av AI-system med hög risk. De stödmaterial som Myndigheten för digital förvaltning (DIGG) och Integritetsskyddsmyndigheten (IMY) tagit fram är bra men ger inte avsedd riktning för kommuner och regioner. Stadsledningskontoret saknar en beskrivning av hur kommuner och regioner medverkar i processen med kunskap om invånarnas behov och kommunala verksamheters förutsättningar. Kapitel 12 Regulatoriska sandlådor för AI och testning under verkliga förhållanden Det tredje perspektivet handlar om innovationspotentialen. Även om AI som koncept funnits i 70 år och vissa typer av system är tekniskt mogna så är de breda 5 (6) tillämpningarna som diskuteras idag präglade av teknisk, juridisk och affärsmässig osäkerhet. För att osäkerheten inte ska hämma utveckling och innovation finns i kapitel tolv förslag på inrättande av regulatoriska sandlådor och andra testbäddar för att möjliggöra teknologisk innovation under kontrollerade former. Det finns också förtydliganden av hur tekniken ska testas i verkliga förhållanden. Den huvudsakliga målgruppen för sandlådorna är små och medelstora företag. Stadsledningskontoret delar betänkandes uppfattning att detta är betydelsefulla initiativ. Stadsledningskontoret saknar dock en beskrivning i betänkandet av kommunernas roll i innovationssystemet. Kommuner är en stor marknadsaktör med unik kunskap om invånares behov. I likhet med små och medelstora företag behöver kommuner vägledning i regulatoriska osäkerheter och tillgång till trygga miljöer för att utveckla och testa innovativa lösningar tillsammans med andra aktörer. 6 (6) --- [Remiss - Anpassningar till AI-förordningen - Säker användning, effektiv kontroll och stöd för innovation (SOU 2025:101).pdf] Anpassningar till AI-förordningen Säker användning, effektiv kontroll och stöd för innovation Betänkande av Utredningen om AI-förordningen Stockholm 2025 SOU 2025:101 SOU och Ds finns på regeringen.se under Rättsliga dokument. Svara på remiss – hur och varför Statsrådsberedningen, SB PM 2021:1. Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser. Layout: Kommittéservice, Regeringskansliet Omslag: Elanders Sverige AB Tryck och remisshantering: Elanders Sverige AB, Stockholm 2025 ISBN 978-91-525-1369-9 (tryck) ISBN 978-91-525-1370-5 (pdf) ISSN 0375-250X Till statsrådet Erik Slottner Regeringen beslutade den 19 september 2024 att tillkalla en särskild utredare med uppdrag att se över behovet av nationella anpassningar till följd av Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelli- gens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens). Till särskild utredare förordnades från och med den 19 september 2024 advokaten Helena Rosén Andersson. Som sakkunniga i utredningen förordnades från och med den 1 november 2024 de rättssakkunniga Ann-Sofie Winqvist, Dante Olason Hallberg och Jenny Kylås, kanslirådet Elisabeth White och departementsrådet Thomas Lindblom. Elisabeth White entledigades från sitt uppdrag från och med den 27 januari 2025. Departements- sekreteraren Miriam Ben Hadj Ali förordnades som sakkunnig från och med den 4 mars 2025. Som experter i utredningen förordnades från och med den 1 november 2024 rättsliga experten Abir Tasci, Polismyndigheten, stabsanalytikern Carin Sundhage, Integritets- skyddsmyndigheten, strategen David Magård, Bolagsverket, verks- juristen Fatima Daoudi Hildestrand, Tullverket, stabsrådgivaren Jan Bergdahl, Post- och telestyrelsen, juristen Jeanna Åkerman, Myndigheten för digital förvaltning, verksjuristen Johan Vadengren, Arbetsförmedlingen, samordnaren Klas Malmén, Finansinspek- tionen, biträdande konsumentombudsmannen tillika enhetschefen Kristofer Johannesson, Konsumentverket, verksjuristen Linus Wann- Hansson, Försäkringskassan, seniora verksjuristen Maria Sertcanli, Säkerhetspolisen, enhetschefen Markus Milerup, Domstolsverket, förbundsjuristen Olof Widgren, Sveriges Kommuner och Regioner, sektionschefen Rebecca Filis, Skatteverket, experten Tarik Qureshi, Diskrimineringsombudsmannen, utredaren Ulrika Söderman Wramsby, Socialstyrelsen, och handläggaren Åsa Rudström, Vinnova. Maria Sertcanli entledigades från sitt uppdrag från och med den 27 januari 2025. Samma dag förordnades chefsjuristen Anette Arveståhl, Styrelsen för ackreditering och teknisk kontroll, och seniora verksjuristen Charlotte Pehrsson, Säkerhetspolisen, som experter i utredningen. Hovrättsassessorerna Sara Pettersson och Robin Tropp Román har varit anställda som sekreterare i utredningen på heltid från och med den 7 oktober 2024 respektive 14 oktober 2024. Advokaten Michael Spira har varit anställd som sekreterare i utredningen på halvtid från och med den 7 oktober 2024. Departementssekreter- aren Miriam Ben Hadj Ali har varit anställd som sekreterare i ut- redningen mellan den 7 oktober 2024 och den 31 december 2024. Utredningen, som har antagit namnet Utredningen om AI-för- ordningen, överlämnar nu sitt betänkande Anpassningar till AI-för- ordningen – Säker användning, effektiv kontroll och stöd för innova- tion (SOU 2025:101). Med detta är arbetet slutfört. Stockholm i oktober 2025 Helena Rosén Andersson Sara Pettersson Robin Tropp Román Michael Spira Innehåll Förkortningar ..................................................................... 21 Sammanfattning ................................................................ 27 Summary .......................................................................... 39 1 Författningsförslag ..................................................... 51 1.1 Förslag till lag med kompletterande bestämmelser till EU:s förordning om artificiell intelligens ........................ 51 1.2 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) ................................................ 62 1.3 Förslag till lag om ändring i lagen (2011:791) om ackreditering och teknisk kontroll .................................. 67 1.4 Förslag till förordning med kompletterande bestämmelser till EU:s förordning om artificiell intelligens ................................................................................. 69 2 Uppdraget och dess genomförande .............................. 81 2.1 Utredningens uppdrag ............................................................ 81 2.2 Utgångspunkter ...................................................................... 83 2.3 Utredningens genomförande ................................................. 83 2.4 Betänkandets disposition ........................................................ 85 5 Innehåll SOU 2025:101 3 Gällande rätt ............................................................. 87 3.1 Inledning ................................................................................. 87 3.2 Unionsrättslig produktreglering och marknadskontroll ...... 88 3.2.1 Den fria rörligheten inom EU för varor ................ 88 3.2.2 Grundläggande begrepp i rättsakter enligt den nya lagstiftningsramen ........................... 91 3.2.3 Rättsakter av betydelse för AI-förordningen ........ 94 3.3 Marknadskontroll i Sverige .................................................... 96 3.3.1 Begreppet marknadskontroll .................................. 96 3.3.2 Organisering av marknadskontroll i Sverige ......... 97 3.3.3 Nationell reglering om marknadskontroll ............. 98 3.4 EU:s digitala decennium och närliggande rättsakter ............ 99 3.4.1 Inledning .................................................................. 99 3.4.2 Digital integritet .................................................... 100 3.4.3 Tillgång till data ..................................................... 101 3.4.4 Cybersäkerhet ....................................................... 103 3.4.5 Digitala tjänster ..................................................... 106 3.4.6 Några ytterligare rättsakter .................................. 106 4 AI-förordningen ....................................................... 109 4.1 Inledning ............................................................................... 109 4.1.1 Ökad användning av AI ........................................ 109 4.1.2 En europeisk strategi för AI ................................. 110 4.1.3 AI-förordningen – den första rättsliga ramen för användning av AI ............................................ 111 4.2 Syfte och tillämpningsområde ............................................. 111 4.2.1 Syfte ....................................................................... 111 4.2.2 Tillämpningsområde ............................................. 112 4.3 Definitioner av AI-system, AI-system för allmänna ändamål och AI-modell för allmänna ändamål ................... 114 4.3.1 AI-system .............................................................. 114 4.3.2 AI-system för allmänna ändamål och AI-modell för allmänna ändamål ................... 115 4.4 Olika krav för olika risknivåer ............................................. 116 4.4.1 Inledning ................................................................ 116 6 SOU 2025:101 Innehåll 4.4.2 Förbjudna AI-användningsområden .................... 116 4.4.3 AI-system med hög risk ........................................ 120 4.4.4 Transparensskyldigheter ....................................... 123 4.4.5 Minimal eller ingen risk ......................................... 124 4.5 Skyldigheter för leverantörer, tillhandahållare och andra parter .................................................................... 124 4.5.1 Skyldigheter för leverantörer av AI-system med hög risk .......................................................... 124 4.5.2 Skyldigheter för tillhandahållare av AI-system med hög risk ........................................................... 125 4.5.3 Skyldigheter för importörer och distributörer av AI-system med hög risk ...... 127 4.5.4 Ansvaret längs AI-värdekedjan ............................. 129 4.6 Standarder, bedömning av överensstämmelse, intyg och registrering ..................................................................... 130 4.6.1 Standarder .............................................................. 130 4.6.2 Gemensamma specifikationer ............................... 130 4.6.3 Förfaranden för bedömning av överensstämmelse .................................................. 131 4.6.4 EU-försäkran och CE-märkning .......................... 132 4.6.5 Registrering i EU-databasen ................................. 133 4.7 Särskilda bestämmelser om AI-modeller för allmänna ändamål ............................................................ 133 4.7.1 Skyldigheter för leverantörer av AI-modeller för allmänna ändamål................... 133 4.7.2 Skyldigheter för leverantörer av AI-modeller för allmänna ändamål med systemrisk .................. 134 4.8 Regulatoriska sandlådor för AI och testning under verkliga förhållanden............................................................. 135 4.9 Tillsyn .................................................................................... 136 4.9.1 Tillsynsansvar ......................................................... 136 4.9.2 Nationell tillsyn ..................................................... 136 4.9.3 Tillsyn och styrning på EU-nivå ........................... 138 4.10 Rättsmedel ............................................................................. 139 4.10.1 Klagomål till marknadskontrollmyndigheten ...... 139 7 Innehåll SOU 2025:101 4.10.2 Rätt till förklaring av individuellt beslutsfattande ...................................................... 139 4.11 Sanktioner och andra efterlevnadsåtgärder ......................... 140 5 Behovet av kompletterande regelverk ......................... 141 5.1 Inledning ............................................................................... 141 5.2 En ny lag och en ny förordning ska komplettera AI-förordningen ....................................... 142 5.2.1 En ny lag och en ny förordning ........................... 142 5.2.2 Ord och uttryck .................................................... 143 5.2.3 Hänvisningar till AI-förordningen ...................... 145 5.3 Behovet av sekretesskydd m.m. ........................................... 146 5.3.1 Handlingsoffentlighet och sekretess ................... 146 5.3.2 Konfidentialitet enligt AI-förordningen ............. 147 5.3.3 Offentlighet och sekretess i ljuset av utredningens uppdrag ........................... 149 6 Marknadskontrollmyndigheter ................................... 151 6.1 Inledning ............................................................................... 151 6.2 En marknadskontrollmyndighets uppdrag enligt AI-förordningen ......................................................... 152 6.2.1 Rollen som nationell behörig myndighet ............ 152 6.2.2 Marknadskontrollmyndighetens uppgifter ......... 153 6.2.3 Jurisdiktion och samarbetet med AI-byrån ......... 155 6.3 Övergripande perspektiv vid val av myndigheter ............... 156 6.3.1 Inledning ................................................................ 156 6.3.2 Principer för ekonomisk styrning ........................ 158 6.3.3 Synpunkter från vissa berörda aktörer ................. 160 6.3.4 Andra medlemsstaters förslag .............................. 162 6.3.5 Något kort om att kontrollera AI-system........... 164 6.4 Utredningens utgångspunkter ............................................. 167 6.4.1 Flera marknadskontrollmyndigheter behövs ...... 167 6.4.2 En begränsning av antalet marknadskontrollmyndigheter............................. 174 8 SOU 2025:101 Innehåll 6.4.3 Myndigheter som är lämpliga att överväga i en hybridmodell .............................. 177 6.4.4 Marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen ............ 203 6.4.5 Reglering av ansvar ................................................ 221 6.5 Ansvarsfördelning: bilaga III ............................................... 225 6.5.1 Ansvar för punkterna 1, 6, 7 och 8 i bilaga III ..... 225 6.5.2 Ansvar för punkten 2 i bilaga III .......................... 231 6.5.3 Ansvar för punkten 3 i bilaga III .......................... 243 6.5.4 Ansvar för punkten 4 i bilaga III .......................... 249 6.5.5 Ansvar för punkten 5 a i bilaga III ....................... 254 6.5.6 Ansvar för punkten 5 b i bilaga III ....................... 260 6.5.7 Ansvar för punkten 5 c i bilaga III ....................... 268 6.5.8 Ansvar för punkten 5 d i bilaga III ....................... 271 6.6 Ansvarsfördelning: bilaga IA ............................................... 276 6.6.1 Områdena i bilaga I ............................................... 276 6.6.2 Myndigheter med koppling till områdena ........... 277 6.6.3 Synpunkter från myndigheter inom bilaga IA ..... 280 6.6.4 Överväganden och förslag..................................... 282 6.7 Ansvarsfördelning: artikel 5 ................................................. 286 6.7.1 De förbjudna AI-användningsområdena ............. 286 6.7.2 Myndigheter med koppling till områdena ........... 287 6.7.3 Överväganden och förslag..................................... 293 6.8 Ansvarsfördelning: artikel 50 ............................................... 298 6.8.1 Transparensskyldigheterna ................................... 298 6.8.2 Myndigheter med koppling till områdena ........... 298 6.8.3 Överväganden och förslag..................................... 299 6.9 Ansvarsfördelning: artikel 4 ................................................. 302 6.9.1 AI-kunnighet ......................................................... 302 6.9.2 Överväganden och förslag..................................... 303 6.10 Sammanställning av utredningens förslag ........................... 304 9 Innehåll SOU 2025:101 7 Anmälande myndigheter och anmälda organ ............... 307 7.1 Inledning ............................................................................... 307 7.2 En anmälande myndighets uppdrag enligt AI-förordningen ......................................................... 308 7.3 Kort om bedömning av överensstämmelse och anmälda organ ................................................................ 309 7.4 Kort om ackreditering .......................................................... 310 7.5 Överväganden och förslag.................................................... 311 7.5.1 Myndigheter som bör övervägas .......................... 311 7.5.2 Myndigheter som bör vara anmälande myndigheter enligt AI-förordningen ................... 315 7.5.3 Reglering av ansvar ................................................ 316 7.5.4 Bedömning och övervakning av anmälda organ genom ackreditering ................................... 320 7.5.5 Anmält organ enligt artikel 43.1 tredje stycket ... 322 7.5.6 Föreskrifter ............................................................ 324 8 Artikel 77 i AI-förordningen ...................................... 327 8.1 Inledning ............................................................................... 327 8.2 Unionsrättens skydd av grundläggande rättigheter ............ 328 8.2.1 Stadgan ................................................................... 328 8.3 Bilaga III till AI-förordningen ............................................. 330 8.4 Något om andra medlemsstaters förteckningar ................. 330 8.5 Myndigheter som avses i artikel 77.1 .................................. 331 8.5.1 Behovet av nationell reglering .............................. 331 8.5.2 Tolkningen av artikel 77.1 .................................... 333 8.5.3 Regeringen bör anmäla och offentliggöra myndigheterna ......................... 335 8.5.4 Ytterligare myndigheter som kan avses ............... 341 8.6 Befogenheter för myndigheterna ........................................ 346 8.6.1 Befogenheter enligt AI-förordningen.................. 346 8.6.2 Behovet av nationell reglering .............................. 346 8.7 Offentlighet och sekretess ................................................... 348 10 SOU 2025:101 Innehåll 9 Samordning, samverkan och vissa sekretessfrågor ....... 349 9.1 Inledning................................................................................ 349 9.2 Samordning och samverkan enligt AI-förordningen .......... 350 9.2.1 Samordning enligt AI-förordningen .................... 350 9.2.2 Samverkan enligt AI-förordningen ...................... 351 9.3 Kort om befintliga nationella regelverk ............................... 352 9.3.1 Förvaltningslagen .................................................. 352 9.3.2 Myndighetsförordningen ...................................... 353 9.3.3 Förordningen om marknadskontroll av varor och annan närliggande tillsyn .................. 354 9.4 Samverkan mellan nationella behöriga myndigheter .......... 355 9.4.1 Samordning och samverkan mellan marknadskontrollmyndigheterna behöver regleras särskilt ........................................ 355 9.4.2 Befintliga regelverk är tillräckliga för anmälande myndigheter .................................. 359 9.5 Den samordnande marknadskontrollmyndighetens uppgifter ................................................................................ 360 9.5.1 Ansvar att leda en samordningsfunktion ............. 360 9.5.2 Ansvar att samordna överlappande marknadskontrollärenden ..................................... 363 9.5.3 Ansvar att stödja andra myndigheter med AI- expertis ................................................................... 366 9.5.4 Ansvar för vägledning ........................................... 372 9.5.5 Ansvar för rapporteringskravet i artikel 99.11 ..... 374 9.6 Föreskriftsrätt ....................................................................... 376 9.6.1 Föreskrifter om incidentrapportering .................. 377 9.6.2 Verkställighetsföreskrifter .................................... 379 9.7 Uppgifter för andra marknadskontrollmyndigheter .......... 380 9.7.1 Rapporteringsskyldigheter .................................... 380 9.7.2 Myndigheter som bör ingå i marknadskontrollrådet .......................................... 383 9.8 Samverkan med myndigheter som inte är nationella behöriga myndigheter ........................................................... 384 11 Innehåll SOU 2025:101 9.8.1 Samverkan med myndigheter som avses i artikel 77.1 ............................................................. 384 9.8.2 Samverkan med andra myndigheter ..................... 385 9.9 Offentlighet och sekretess ................................................... 386 9.9.1 Inledning ................................................................ 386 9.9.2 Sekretess för de nationella behöriga myndigheternas verksamhet ................................. 387 9.9.3 Sekretessbrytande bestämmelser .......................... 392 9.9.4 Överföring av sekretess m.m. ............................... 396 9.9.5 Tystnadsplikt för privata aktörer ......................... 400 9.9.6 Sekretess för incidentrapportering ....................... 403 10 Befogenheter och ingripanden ................................... 415 10.1 Inledning ............................................................................... 415 10.2 Marknadskontrollmyndigheternas befogenheter ............... 417 10.2.1 Befogenheter enligt artikel 14.4 i EU:s marknadskontrollförordning .................... 417 10.2.2 Befogenheter enligt AI-förordningen.................. 424 10.2.3 Hjälp av Polismyndigheten .................................. 427 10.2.4 Avgifter för marknadskontroll enligt EU:s marknadskontrollförordning ...................... 431 10.3 Sanktioner och andra efterlevnadsåtgärder enligt AI-förordningen ......................................................... 433 10.4 Allmänt om sanktioner och andra ingripanden .................. 434 10.4.1 Straffrättsliga sanktioner ...................................... 435 10.4.2 Administrativa sanktioner och andra ingripanden ........................................... 436 10.4.3 Dubbelprövningsförbudet .................................... 438 10.5 Det bör inte införas straffrättsliga sanktioner .................... 440 10.6 Allmänna överväganden om ingripanden ............................ 443 10.6.1 Generella krav vid beslut om sanktioner och andra ingripanden ........................................... 443 10.6.2 En helhetsbedömning ska göras ........................... 446 10.7 Överväganden om vilka möjligheter till ingripanden som bör finnas ............................................ 447 12 SOU 2025:101 Innehåll 10.7.1 Det bör finnas alternativa ingripandemöjligheter till sanktionsavgifter ........ 447 10.7.2 Förelägganden ........................................................ 450 10.7.3 Anmärkning och sanktionsavgift ......................... 457 10.7.4 Frågor om myndighet eller domstol ska pröva beslut om anmärkning och sanktionsavgift ......... 472 10.7.5 Inga lägsta nivåer för sanktionsavgifter................ 479 10.7.6 Korrigerande åtgärder ........................................... 481 10.8 Ingripanden mot det allmänna ............................................. 483 10.8.1 Ingripanden mot myndigheter .............................. 483 10.8.2 Undantag för dömande verksamhet ..................... 501 10.9 Hinder mot att ta ut en sanktionsavgift .............................. 502 10.10 Verkställighet ........................................................................ 503 10.11 Betalning, indrivning och preskription m.m. ...................... 507 11 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur ............................. 511 11.1 Inledning................................................................................ 511 11.2 EU-databasen och nationell registrering för kritisk infrastruktur ........................................................ 512 11.2.1 EU-databasen ......................................................... 512 11.2.2 Nationell registrering ............................................ 513 11.3 Kort om AI-förordningens bestämmelser i förhållande till frågor om nationell säkerhet ........................................... 513 11.3.1 EU-fördraget och EUF-fördraget ........................ 514 11.3.2 Nationell säkerhet i AI-förordningen .................. 515 11.3.3 Sveriges säkerhet enligt säkerhetsskyddslagen .... 517 11.3.4 Totalförsvaret och försvarssekretess .................... 518 11.4 Registrering i andra unionsrättsakter .................................. 518 11.4.1 Förteckning enligt NIS 2-direktivet .................... 518 11.4.2 Förteckning enligt CER-direktivet ...................... 521 11.5 Nationellt genomförande ..................................................... 522 11.5.1 Närmare bestämmelser behövs i svensk rätt ........ 522 11.5.2 Myndighet med ansvar för registreringen ............ 523 13 Innehåll SOU 2025:101 11.5.3 En anmälningsskyldighet för vissa aktörer .......... 526 11.5.4 Uppgifter som är säkerhetsskyddsklassificerade undantas ................................................................. 530 11.6 Offentlighet och sekretess ................................................... 531 12 Regulatoriska sandlådor för AI och testning under verkliga förhållanden ................................................ 533 12.1 Inledning ............................................................................... 533 12.2 Regulatoriska sandlådor för AI enligt AI-förordningen .... 534 12.2.1 Inledning ................................................................ 534 12.2.2 Regulatoriska sandlådor för AI ............................ 534 12.2.3 Närmare arrangemang och funktionssätt för regulatoriska sandlådor för AI ....................... 539 12.2.4 Ytterligare behandling av personuppgifter för utveckling av vissa AI-system i den regulatoriska sandlådan för AI ............................. 541 12.3 Regulatoriska testverksamheter internationellt och i Sverige .......................................................................... 544 12.3.1 Inledning ................................................................ 544 12.3.2 Ett internationellt perspektiv enligt OECD:s rapport ................................................... 545 12.3.3 Regulatoriska testverksamheter i Sverige ............ 546 12.4 Regulatoriska sandlådor i andra rättsakter .......................... 551 12.4.1 EU:s förordning om ett interoperabelt Europa .. 551 12.4.2 EU:s förordning om nettonollindustri ................ 552 12.4.3 EU:s cyberresiliensförordning ............................. 553 12.5 Förutsättningar för att inrätta regulatoriska sandlådor för AI ................................................................... 554 12.5.1 Rättsliga förutsättning för inrättandet av regulatoriska sandlådor för AI ......................... 554 12.5.2 Övriga förutsättningar för inrättandet av regulatoriska sandlådor för AI ......................... 555 12.6 Närmare om inrättandet av minst en regulatorisk sandlåda för AI ..................................................................... 562 12.6.1 Minst en regulatorisk sandlåda för AI i Sverige .. 562 14 SOU 2025:101 Innehåll 12.6.2 Allmänt om inrättande och drift av regulatoriska sandlådor för AI ......................... 567 12.6.3 Övergripande ansvarsfördelning .......................... 573 12.6.4 En inrättande myndighets övergripande ansvar .. 576 12.6.5 Andra nationella behöriga myndigheters ansvar i sandlådeprojekt ........................................ 583 12.6.6 Gemensamt ansvar för antagande av specifika sandlådeprojekt .................................. 587 12.6.7 Alternativ som utredningen har övervägt för inrättandet ........................................................ 587 12.6.8 Fördjupad samverkan med myndigheter som avses i artikel 57.10 ........................................ 590 12.6.9 Myndighet som ska vara en inrättande myndighet ............................................ 598 12.6.10 Samordning av regulatoriska sandlådor för AI .... 604 12.6.11 Avgifter för regulatoriska sandlådor för AI ......... 609 12.6.12 Om utredningens förslag och behovet av fortsatt översyn ................................................. 612 12.6.13 Övriga frågor om regulatoriska sandlådor ........... 612 12.7 Testning av AI-system med hög risk under verkliga förhållanden utanför regulatoriska sandlådor för AI .......... 614 12.7.1 Inledning ................................................................ 614 12.7.2 Förutsättningar för testning av AI-system med hög risk under verkliga förhållanden ............ 616 12.7.3 Ansvarsfördelning ................................................. 617 12.7.4 Marknadskontrollmyndigheternas befogenheter .. 619 12.7.5 Avgifter för testning under verkliga förhållanden ............................................. 621 12.7.6 Tyst godkännande ................................................. 624 12.8 Offentlighet och sekretess ................................................... 625 12.8.1 Sekretess och regulatoriska sandlådor för AI ...... 625 12.8.2 Sekretess till skydd för enskild ............................. 627 12.8.3 Sekretess till skydd för det allmänna .................... 634 12.8.4 Tystnadsplikt ......................................................... 641 12.8.5 Sekretess och testning under verkliga förhållanden ............................................. 643 12.8.6 Avslutande anmärkningar om offentlighet och sekretess .......................................................... 646 15 Innehåll SOU 2025:101 13 Stöd för tillämpning och efterlevnadskontroll .............. 647 13.1 Inledning ............................................................................... 647 13.2 Styrning på unionsnivå ......................................................... 648 13.2.1 AI-byrån ................................................................ 648 13.2.2 AI-styrelsen ........................................................... 651 13.2.3 Rådgivande forum ................................................. 655 13.2.4 Vetenskaplig panel och tillgång till poolen av experter ............................................................. 656 13.3 Sveriges deltagande i stöd för tillämpning, tillsyn och samverkan på unionsnivå enligt andra unionsrättsakter .... 658 13.3.1 Inledning ................................................................ 658 13.3.2 Det europeiska marknadskontrollsamarbetet ..... 659 13.3.3 Den Europeiska dataskyddsstyrelsen .................. 660 13.3.4 Den europeiska nämnden för digitala tjänster .... 661 13.3.5 Den europeiska datainnovationsstyrelsen ........... 662 13.4 Sveriges deltagande i stöd för tillämpning och efterlevnadskontroll på unionsnivå enligt AI-förordningen ................................................................... 664 13.4.1 Sveriges politiska styrning inom AI-området ..... 664 13.4.2 Svensk forskning inom AI-området .................... 668 13.4.3 Sveriges befintliga deltagande i styrning på unionsnivå enligt AI-förordningen ................. 670 13.4.4 Ett aktivt och omfattande deltagande .................. 671 13.4.5 Underlättande av AI-byråns uppgifter ................ 673 13.4.6 Företrädaren i AI-styrelsen .................................. 677 13.4.7 Representanter i styrelsens undergrupper ........... 679 13.4.8 Oberoende experter för den vetenskapliga panelen ............................................ 683 13.4.9 Anlitande av experter i den vetenskapliga panelen ............................................ 686 13.4.10 Medlemmar för det rådgivande forumet .............. 687 13.5 Offentlighet och sekretess ................................................... 690 13.5.1 Arbetet som representant i AI-styrelsen ............. 690 13.5.2 Sekretessbrytande bestämmelse i förhållande till den vetenskapliga panelen ............................... 694 16 SOU 2025:101 Innehåll 14 Övriga nödvändiga åtgärder....................................... 697 14.1 Inledning................................................................................ 697 14.2 Bevarande av dokumentation ............................................... 698 14.2.1 Leverantörens skyldighet att bevara dokumentation ..................................... 698 14.2.2 Överväganden och förslag..................................... 698 14.3 Överklagande ........................................................................ 701 14.3.1 Inledning ................................................................ 701 14.3.2 Allmänt om överklaganden ................................... 702 14.3.3 Överklagande av en förvaltningsmyndighets beslut ...................................................................... 703 14.3.4 Överklagande av ett anmält organs beslut ........... 706 14.3.5 Partsställningen i domstol ..................................... 713 14.3.6 Prövningstillstånd i kammarrätt ........................... 714 14.4 Klagomål till marknadskontrollmyndigheterna .................. 715 14.5 Tillståndsprövning enligt artikel 26.10 ................................ 716 14.6 Behandling av personuppgifter ............................................ 718 14.6.1 Kort om dataskyddsregleringen ........................... 718 14.6.2 Utredningens bedömning ..................................... 721 15 Ikraftträdande ......................................................... 729 16 Konsekvensutredning ............................................... 731 16.1 Inledning................................................................................ 731 16.2 Utredningens uppdrag .......................................................... 732 16.3 Övergripande om utredningens förslag ............................... 734 16.4 Problem och förslag till lösningar ........................................ 735 16.4.1 Marknadskontrollmyndigheter ............................. 735 16.4.2 Anmälande myndigheter ....................................... 740 16.4.3 Samordning och samverkan inom systemet för marknadsövervakning och kontroll ................ 741 16.4.4 Befogenheter och ingripanden .............................. 743 16.4.5 Regulatoriska sandlådor för AI ............................ 746 17 Innehåll SOU 2025:101 16.5 Aktörer som berörs av förslagen ......................................... 750 16.6 Konsekvenser för marknadskontrollmyndigheter ............. 750 16.6.1 Konsekvensanalyser på annat håll ........................ 750 16.6.2 Utgångspunkt från ansvarsfördelningen ............. 751 16.6.3 Marknadskontroll av AI-system är något nytt.... 753 16.6.4 Finansiering ........................................................... 755 16.6.5 Bedömning ............................................................ 756 16.7 Konsekvenser för anmälande myndigheter ......................... 767 16.7.1 Utgångspunkt från ansvarsfördelningen ............. 767 16.7.2 Finansiering ........................................................... 769 16.7.3 Konsekvenser för Swedac ..................................... 770 16.8 Konsekvenser för företagen ................................................. 772 16.8.1 Ekonomiska konsekvenser ................................... 772 16.8.2 Andra relevanta konsekvenser .............................. 775 16.9 Konsekvenser för kommuner och regioner ........................ 782 16.9.1 Ekonomiska konsekvenser ................................... 782 16.9.2 Förslagens konsekvenser för det kommunala självstyret .......................................... 783 16.10 Konsekvenser för domstolarna ............................................ 783 16.11 Konsekvenser för andra myndigheter ................................. 784 16.11.1 Myndigheters medverkan i projekt i regulatoriska sandlådor för AI ........................... 784 16.11.2 Konsekvenser för Polismyndigheten ................... 785 16.12 Övriga konsekvenser ............................................................ 785 16.12.1 Förslagens överensstämmelse med EU-rätten .... 785 16.12.2 Förslagens konsekvenser för jämställdheten ....... 786 16.13 Åtgärder som vidtagits för proportionalitet ....................... 786 16.14 Ikraftträdande och informationsinsatser ............................ 787 1 6.15 Utvärdering av förslagens konsekvenser ............................. 787 18 SOU 2025:101 Innehåll 17 Författningskommentar ............................................ 789 17.1 Förslaget till lag med kompletterande bestämmelser till EU:s förordning om artificiell intelligens ...................... 789 17.2 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400) .............................................. 818 17.3 Förslaget till lag om ändring i lagen (2011:791) om ackreditering och teknisk kontroll ................................ 823 Bilagor Bilaga 1 Kommittédirektiv 2024:83 ........................................... 825 Bilaga 2 AI-förordningen ........................................................... 831 Bilaga 3 PM: Myndighetens roll i en regulatorisk sandlåda ...... 977 19 Förkortningar AI Artificiell intelligens AI-förordningen Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelli- gens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt dir- ektiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens) AI-kommissionens Bilaga 2 till slutbetänkande av AI-kom- färdplan för Sverige missionen, AI-kommissionens Färdplan för Sverige (SOU 2025:12) CER-direktivet Europaparlamentets och rådets direktiv (EU) 2022/2557 av den 14 december 2022 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG Digg Myndigheten för digital förvaltning DO Diskrimineringsombudsmannen e-IDAS-förordningen Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG 21 Förkortningar SOU 2025:101 EDPB Europeiska dataskyddsstyrelsen Energimyndigheten Statens energimyndighet EU-domstolen Europeiska unionens domstol EU-fördraget Fördraget om Europeiska unionen EUF-fördraget Fördraget om Europeiska unionens funktionssätt Europakonventionen Den europeiska konventionen den 4 nov- ember 1950 angående skydd för de mänsk- liga rättigheterna och de grundläggande fri- heterna EU:s brottsdata- Europaparlamentets och rådets direktiv direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhin- dra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upp- hävande av rådets rambeslut 2008/977/RIF EU:s cyberresiliens- Europaparlamentets och rådets förordning förordning (EU) 2024/2847 av den 23 oktober 2024 om övergripande cybersäkerhetskrav för produkter med digitala element och om än- dring av förordningarna (EU) nr 168/2013 och (EU) 2019/1020 och direktiv (EU) 2020/1828 (cyberresiliensförordningen) EU:s cybersäker- Europaparlamentets och rådets förordning hetsakt (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäker- hetsbyrå) och om cybersäkerhetscertifier- ing av informations- och kommunikations- teknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) 22 SOU 2025:101 Förkortningar EU:s dataförordning Europaparlamentets och rådets förordning (EU) 2023/2854 om harmoniserade regler för skälig åtkomst till och användning av data och om ändring av förordning (EU) 2017/2394 och direktiv (EU) 2020/1828 (dataförordningen) EU:s dataförvaltnings- Europaparlamentets och rådets förordning förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataför- valtningsakten) EU:s dataskydds- Europaparlamentets och rådets förordning förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) EU:s förordning om Europaparlamentets och rådets förordning ackreditering (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och marknadskon- troll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93 EU:s förordning om Europaparlamentets och rådets förordning ett interoperabelt (EU) 2024/903 av den 13 mars 2024 om Europa åtgärder för en hög nivå av interoperabilitet inom den offentliga sektorn i hela unionen (förordningen om ett interoperabelt Europa) EU:s förordning om Europaparlamentets och rådets förordning digitala tjänster (EU) 2022/2065 av den 19 oktober 2022 om en inre marknad för digitala tjänster och om ändring av direktiv 2000/31/EG (förordningen om digitala tjänster) 23 Förkortningar SOU 2025:101 EU:s marknads- Europaparlamentets och rådets förordning kontrollförordning (EU) 2019/1020 av den 20 juni 2019 om marknadskontroll och överensstämmelse för produkter och om ändring av direk- tiv 2004/42/EG och förordningarna (EG) nr 765/2008 och (EU) nr 305/2011 EU:s förordningar om MDR- och IVDR-förordningarna medicintekniska produkter FL Förvaltningslagen (2017:900) IMY Integritetsskyddsmyndigheten IVDR-förordningen Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitro- diagnostik och om upphävande av direk- tiv 98/79/EG och kommissionens beslut 2010/227/EU IVO Inspektionen för vård och omsorg JK Justitiekanslern JO Riksdagens ombudsmän, Justitieombuds- mannen Kommissionen Europeiska kommissionen Kompletterings- Förslag till förordning med kompletterande förordningen bestämmelser till EU:s förordning om arti- ficiell intelligens Kompletteringslagen Förslag till lag med kompletterande be- stämmelser till EU:s förordning om arti- ficiell intelligens 24 SOU 2025:101 Förkortningar MDR-förordningen Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/ 2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG MSB Myndigheten för samhällsskydd och beredskap NIS-direktivet Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen NIS 2-direktivet Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cyber- säkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och dir- ektiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direk- tivet) OSF Offentlighets- och sekretessförordningen (2009:641) OSL Offentlighets- och sekretesslagen (2009:400) PTS Post- och telestyrelsen RISE Research institutes of Sweden AB SDG-förordningen Europaparlamentets och rådets förordning (EU) 2018/1724 av den 2 oktober 2018 om inrättande av en gemensam digital in- gång för tillhandahållande av information, förfaranden samt hjälp- och problemlös- ningstjänster och om ändring av förordning (EU) nr 1024/2012 25 Förkortningar SOU 2025:101 Stadgan Europeiska unionens stadga om de grund- läggande rättigheterna (2010/C 83/02) Swedac Styrelsen för ackreditering och teknisk kontroll Tillgänglighets- Europaparlamentets och rådets direktiv direktivet (EU) 2019/882 av den 17 april 2019 om tillgänglighetskrav för produkter och tjänster 26 Sammanfattning Uppdraget AI-förordningen trädde i kraft den 1 augusti 2024. De flesta bestäm- melserna börjar dock tillämpas först den 2 augusti 2026. Utredningen ska enligt kommittédirektivet (dir. 2024:83) se över behovet av nationella anpassningar till följd av AI-förordningen. Syftet med utredningen är att lämna förslag på nationella behöriga myndigheter enligt AI-förordningen, lämna förslag på vad som be- hövs för att uppfylla kravet på sanktioner vid överträdelser av förord- ningen och analysera vad som behövs för inrättandet av en eller flera regulatoriska sandlådor för AI samt föreslå i vilken utsträckning Sverige bör medverka i AI-förordningens föreslagna implementerings- stöd och innovationsfrämjande åtgärder. Utredningen ska även lämna de författningsförslag och förslag på övriga åtgärder som är nödvän- diga för att uppfylla kraven i AI-förordningen. Gällande rätt och AI-förordningen AI-förordningen brukar sägas vara den första heltäckande lagstift- ningen om AI. Förordningen är en del av EU:s digitala strategi, det digitala decenniet. Det finns inte sedan tidigare någon särskild lag- stiftning om AI-system även om det redan finns teknikneutral lag- stiftning som omfattar vissa av de förfaranden som AI-förordningen reglerar. AI-förordningen sträcker sig över i princip samtliga av samhällets sektorer och är tillämplig för både privata och offentliga aktörer. AI- förordningen bygger på en riskbaserad metod där AI-system delas in i olika risknivåer. Metoden innebär att reglernas art och innehåll anpassas efter omfattningen av de risker som AI-systemen kan inne- bära. AI-förordningen ställer krav på ett system för marknadsöver- 27 Sammanfattning SOU 2025:101 vakning, marknadskontroll, styrning och kontroll av efterlevnad på nationell nivå och EU-nivå. Efterlevnaden av förordningen ska säker- ställas genom sanktioner och andra efterlevnadsåtgärder. Förord- ningen innehåller även bestämmelser om innovationsfrämjande åt- gärder. Behovet av kompletterande regelverk Utredningen föreslår att de svenska bestämmelser som behöver komplettera AI-förordningen ska samlas i en ny lag och en ny för- ordning. I betänkandet benämns de föreslagna författningarna för kompletteringslagen och kompletteringsförordningen. Vidare föreslår utredningen att ord och uttryck i kompletterings- lagen och kompletteringsförordningen ska ha samma betydelse som i AI-förordningen. Utredningen föreslår att hänvisningarna till AI- förordningen i bestämmelser om sanktionsavgift och anmärkning ska vara statiska, dvs. avse förordningen i den ursprungliga lydelsen. Övriga hänvisningar ska vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen. Utredningen gör vidare bedömningen att det behövs komplett- erande bestämmelser om sekretess, tystnadsplikt, uppgiftsskyldighet och sekretessbrytande bestämmelser. Nationella behöriga myndigheter och systemet för marknadsövervakning och kontroll Marknadskontrollmyndigheter Utredningen har kommit fram till att ansvarsfördelningen för mark- nadskontroll ska göras med utgångspunkt från att ansvaret behöver centraliseras samtidigt som sektorsspecifik kunskap behöver säker- ställas vad gäller vissa produkter och områden. Utredningen föreslår därför ett system för marknadskontroll som består av flera marknadskontrollmyndigheter och där PTS ska vara marknadskontrollmyndighet med huvudsakligt ansvar för AI-förord- ningen. Utredningen föreslår dessutom att PTS, IMY och Finansinspek- tionen ska få ett delat ansvar för marknadskontroll över AI-system 28 SOU 2025:101 Sammanfattning med hög risk som avses i bilaga III till AI-förordningen. Utredningen föreslår också att nio befintliga marknadskontrollmyndigheter ska få ansvar för marknadskontroll över AI-system med hög risk som är relaterade till den harmoniserade unionslagstiftningen i bilaga IA till AI-förordningen. Utredningen föreslår vidare att IMY ska vara huvudsakligt ansvarig för marknadskontroll över de förbjudna AI- användningsområdena i artikel 5. För området i artikel 5 föreslås även PTS och Finansinspektionen få ett visst ansvar. Utredningen föreslår dessutom att PTS och IMY ska dela på ansvaret för transparenskraven i artikel 50. Anmälande myndigheter och anmälda organ Utredningen föreslår att Swedac och Läkemedelsverket ska vara an- mälande myndigheter enligt AI-förordningen. Swedac föreslås ansvara för anmälda organ inom alla områden. Detta med undantag för an- mälda organ för AI-system med hög risk som är relaterade till pro- dukter som omfattas av EU:s förordningar om medicintekniska pro- dukter, för vilka Läkemedelsverket föreslås ansvara. Utredningen föreslår vidare att IMY ska vara den myndighet som ska fungera som anmält organ enligt artikel 43.1 tredje stycket i AI-förordningen. Artikel 77 i AI-förordningen AI-förordningen innehåller vissa bestämmelser som omfattar natio- nella offentliga myndigheter eller organ som utövar tillsyn över eller kontrollerar efterlevnaden av skyldigheter enligt unionsrätt om skydd av grundläggande rättigheter. Varje medlemsstat skulle senast den 2 november 2024 ha identifierat de offentliga myndig- heterna eller organen som avses i artikel 77.1 i AI-förordningen. Samtidigt skulle en förteckning över dessa ha gjorts och ha anmälts till kommissionen och de andra medlemsstaterna. Det har Sverige gjort. Förteckningen ska hållas uppdaterad. Utredningen föreslår att DO, IMY, JK, JO och Säkerhets- och integritetsskyddsnämnden ska vara upptagna i förteckningen och att Sverige anmäler den med dessa myndigheter uppdaterade förteck- ningen till kommissionen. 29 Sammanfattning SOU 2025:101 Utredningen bedömer att det är svårt att tolka vilka myndigheter och organ som avses i artikeln och bedömer att regeringen bör ta hjälp av myndigheter som kan avses att bedöma om de är sådana myndig- heter. Utredningen bedömer vidare att regeringen bör följa diskus- sionerna på EU-nivå och de andra medlemsstaternas förteckningar för att uppdatera förteckningen på rätt sätt. Samordning och samverkan Utredningen bedömer att det finns ett stort behov av samordning och samverkan inom AI-förordningen samt att marknadskontroll- myndigheternas samordning och samverkan i vissa avseenden bör regleras särskilt. Mot den bakgrunden föreslår utredningen att en myndighet, PTS i egenskap av marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen, ska vara samordnande marknadskontrollmyndighet och att den myndigheten också ska vara gemensam kontaktpunkt. Utredningen föreslår att den samordnande marknadskontroll- myndigheten ska ges ett flertal uppgifter. Utredningen föreslår där- för att PTS ska leda en samordningsfunktion där marknadskontroll- myndigheterna ska samverka och utbyta information. Vidare föreslår utredningen att PTS ska samordna ett marknadskontrolluppdrag, om ett enskilt marknadskontrollärende berör flera marknadskontroll- myndigheters ansvarsområden. Att utöva marknadskontroll över AI-system kan förväntas bli komplicerat. Mot den bakgrunden föreslår utredningen att PTS i komplicerade ärenden ska stödja vissa av marknadskontrollmyndig- heterna med expertkunskap. AI-förordningen innehåller vissa bestämmelser om medvetande- höjande åtgärder samt åtgärder som bl.a. syftar till att underlätta för företag. Näringslivet efterfrågar dessutom vägledning om AI-förord- ningen. Utredningen föreslår därför att PTS ska ansvara för den huvudsakliga kontakten med allmänheten, ansvara för åtgärderna i artikel 62.1 b–d i AI-förordningen och för att lämna generell vägled- ning om AI-förordningen. Utredningen föreslår vidare att PTS ska ansvara för rapporterings- kraven i artikel 99.11 i AI-förordningen samt att PTS ska få med- dela vissa föreskrifter. Även IMY och Finansinspektionen föreslås 30 SOU 2025:101 Sammanfattning ansvara för vissa rapporteringskrav. Utredningen bedömer därtill att IMY och Finansinspektionen bör ingå i marknadskontrollrådet. Utredningen bedömer att det i övrigt inte behövs kompletterande bestämmelser i nationell rätt för att uppfylla behovet av samordning och samverkan. Befogenheter och ingripanden Utredningen föreslår vissa kompletterande bestämmelser om be- fogenheter för marknadskontrollmyndigheterna, enligt artikel 14.4 i EU:s marknadskontrollförordning samt enligt AI-förordningen. AI-förordningen anger att medlemsstaterna ska fastställa bestäm- melser om sanktioner och andra efterlevnadsåtgärder. Utredningen föreslår att de nationella behöriga myndigheterna ska ha möjlighet att besluta om anmärkning och sanktionsavgift samt om förelägg- anden med eller utan vite. I vissa undantagsfall föreslår utredningen att allmän förvaltningsdomstol ska pröva frågor om sanktionsavgifter som första instans. Varje medlemsstat ska fastställa regler om i vilken utsträckning sanktionsavgifter får påföras offentliga myndigheter och organ som är inrättade i medlemsstaten. Utredningens föreslår att an- märkning och sanktionsavgift samt föreläggande med eller utan vite ska kunna påföras även myndigheter. Undantag föreslås dock för domstolarna inom deras dömande verksamhet. Utredningen föreslår inga lägsta nivåer för sanktionsavgifter. Sanktionsavgifternas högsta nivåer framgår av AI-förordningen. För myndigheter föreslår utredningen de högsta belopp för sanktions- avgifter som framgår av kompletteringslagen. Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur AI-system med hög risk som avses i punkt 2 i bilaga III ska registreras på nationell nivå (artikel 49.5). Utredningen bedömer att närmare be- stämmelser om hur registreringen av sådana AI-system ska utformas behöver regleras nationellt. Utredningen föreslår att PTS, i egenskap av marknadskontrollmyndighet med ansvar för punkt 2 i bilaga III, ska ansvara för registreringen och att vissa operatörer ska ha en skyl- dighet att anmäla sig och sitt AI-system till PTS. 31 Sammanfattning SOU 2025:101 Utredningen föreslår vidare att PTS ska få meddela föreskrifter om vilka uppgifter som ska framgå av anmälan. Utredningen föreslår att uppgiftsskyldigheten inte ska gälla för uppgifter som är säkerhets- skyddsklassificerade enligt säkerhetsskyddslagen (2018:585). Offentlighet och sekretess inom systemet för marknadsövervakning och kontroll För att uppgifter som de nationella behöriga myndigheterna hanterar ska kunna omfattas av sekretess bedömer utredningen att det bör föras in en ny bestämmelse i OSF. Utredningen föreslår även en upp- giftsskyldighet som innebär att en marknadskontrollmyndighet ska lämna en uppgift till en annan marknadskontrollmyndighet om upp- giften behövs hos myndigheten i egenskap av samordnande marknads- kontrollmyndighet, gemensam kontaktpunkt eller för marknadskon- troll enligt AI-förordningen, kompletteringslagen eller föreskrifter som har meddelats med stöd av kompletteringslagen. Utredningen föreslår vidare två bestämmelser om tystnadsplikt för privata aktörer i kompletteringslagen och en ny bestämmelse till skydd för incidentrapportering i OSL och OSF. Utredningen bedömer att det finns ett tillräckligt sekretesskydd i OSL för uppgifter som ska registreras enligt artikel 49.5 i AI-för- ordningen. Innovationsfrämjande åtgärder I AI-förordningen regleras olika innovationsfrämjande åtgärder. Dessa innefattar regulatoriska sandlådor för AI (artiklarna 57–59) och testning av AI-system med hög risk under verkliga förhållanden utanför regulatoriska sandlådor för AI (artiklarna 60 och 61). Regulatoriska sandlådor för AI Medlemsstaterna ska säkerställa att deras behöriga myndigheter in- rättar minst en regulatorisk sandlåda för AI på nationell nivå. Den ska vara i drift senast den 2 augusti 2026. 32 SOU 2025:101 Sammanfattning Utredningen bedömer att Sverige på egen hand bör inrätta minst en regulatorisk sandlåda för AI och att det inte bör preciseras i för- fattning om en sandlåda ska vara horisontell eller vertikal. Inrättandet måste dock uppfylla de krav som följer av AI-förordningen. Utredningen föreslår ett system för inrättande av minst en regula- torisk sandlåda för AI som ska fungera såväl vertikalt som horison- tellt. Utredningen föreslår att en inrättande myndighet, PTS i egen- skap av marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen, ska inrätta sandlådan och att andra nationella be- höriga myndigheter med marknadskontrollansvar ska medverka i specifika sandlådeprojekt. Därutöver kan det bli aktuellt att invol- vera även andra myndigheter som avses i artikel 57.10 i AI-förord- ningen. Utredningen föreslår en lösning som ger en inrättande myndig- het ansvar för huvudsakliga delar av den regulatoriska sandlådan för AI och där andra nationella behöriga myndigheter tar ett gemensamt ansvar med en inrättande myndighet beträffande specifika sandlåde- projekt. Bestämmanderätten över verksamheten och vissa befogen- heter gäller för såväl den inrättande myndigheten som för andra natio- nella behöriga myndigheter. En inrättande myndighet ska också ha en informationsplikt i den mån sandlådeprojektet berör ansvarsom- rådet för en myndighet som avses i artikel 57.10 i AI-förordningen. Detta skapar en praktiskt möjlig regulatorisk sandlåda för AI som tar hänsyn till myndigheters självbestämmande och som samtidigt uppfyller kraven på att inrätta en sandlåda som är öppen för alla och som kan komma att fungera innovationsfrämjande. Det är möjligt att inrätta fler än en regulatorisk sandlåda för AI i Sverige. Sådana sandlådor bör enligt utredningen samordnas och det bör ske inom den samordningsroll som PTS föreslås få. För att kunna utföra denna uppgift föreslår utredningen att PTS ska få meddela före- skrifter om regulatoriska sandlådor för AI och ansvara för rapporter- ingskraven i artikel 57.16 i AI-förordningen. AI-förordningen ger vissa begränsade möjligheter att ta ut avgif- ter för verksamheten inom en regulatorisk sandlåda för AI. Utred- ningen föreslår att PTS i egenskap av inrättande myndighet ska få en sådan möjlighet och att PTS ska få meddela ytterligare föreskrifter om avgifterna. 33 Sammanfattning SOU 2025:101 Testning under verkliga förhållanden Utredningen bedömer att det inte krävs några särskilda tekniska eller rättsliga förutsättningar för att testning av AI-system med hög risk under verkliga förhållanden ska kunna utföras. Det behövs dock enligt AI-förordningen ett godkännande från en marknadskontrollmyndig- het för att testning ska få ske. Testning under verkliga förhållanden får ske av AI-system med hög risk som omfattas av bilaga III. Utredningen föreslår att den myndighet som regeringen bestämmer ska ansvara för godkännande av och säkerställa en säker utveckling av testning under verkliga för- hållanden utanför regulatoriska sandlådor för AI enligt artiklarna 60 och 61 i förordningen. Utredningen föreslår att dessa myndigheter ska vara PTS, IMY och Finansinspektionen enligt den ansvarsfördel- ning som gäller för marknadskontrollansvar i bilaga III till AI-förord- ningen. Dessa myndigheter föreslås också ha vissa särskilda befogen- heter. Utredningen föreslår att PTS, IMY och Finansinspektionen ska få möjlighet att ta ut avgifter för godkännande av testning under verk- liga förhållanden och för säkerställandet av en säker utveckling av testningen samt att myndigheterna ska få meddela ytterligare före- skrifter om avgifterna. Offentlighet och sekretess och innovationsfrämjande åtgärder Utredningen bedömer att det inte finns några sekretessbestämmelser som särskilt omfattar verksamheten som kommer att bedrivas i regu- latoriska sandlådor för AI. Utredningen föreslår därför att det ska införas nya bestämmelser i OSL om att sekretess gäller i sådan verk- samhet såväl beträffande vissa uppgifter i enskilds verksamhet som beträffande vissa uppgifter i myndigheters verksamhet. Utredningen föreslår även att det ska föras in en sekretessbrytande bestämmelse om att sekretess inte hindrar att en uppgift för utveck- ling, träning, testning och validering av ett AI-system i en regulatorisk sandlåda för AI lämnas till en enskild eller annan myndighet. Det föreslås gälla om det med hänsyn till omständigheterna inte är olämp- ligt att uppgiften lämnas ut. Därtill föreslår utredningen en bestäm- melse om tystnadsplikt för aktörer som inte omfattas av OSL. 34 SOU 2025:101 Sammanfattning Gällande testning under verkliga förhållanden föreslår utredningen nya bestämmelser om sekretess beträffande ansökan och korrespon- dens rörande ansökan och testningen för enskilda och myndigheter. Stöd för tillämpning och efterlevnadskontroll I AI-förordningen anges en styrningsram på unionsnivå till stöd för tillämpningen och efterlevnadskontrollen av AI-förordningen. Ett av utredningens uppdrag är att analysera och, vid behov, föreslå i vilken utsträckning Sverige bör delta i AI-förordningens föreslagna implementeringsstöd och innovationsfrämjande åtgärder samt på vilket sätt det ska ske. Styrningen på unionsnivå innefattar AI-byrån, AI-styrelsen, ett rådgivande forum och en vetenskaplig panel av oberoende experter. Utredningen bedömer att Sveriges deltagande i styrningen på unionsnivå bör vara aktivt och omfattande samt att regeringen bör ha det samordnande ansvaret att underlätta AI-byråns uppgifter. Vid behov bör regeringen begära stöd av de nationella behöriga myndig- heterna. Utredningen bedömer vidare att Sverige aktivt bör verka för och delta i utarbetandet av gemensamma förfarandekoder och upp- förandekoder inom EU. Utredningen bedömer att regeringen bör utse företrädaren som ska representera Sverige i AI-styrelsen och att det bör vara en repre- sentant för PTS som utses i denna roll. Utredningen bedömer vidare att regeringen bör utse representanter i styrelsens ständiga och till- fälliga undergrupper. Enligt utredningen bör regeringen vidare verka för att lämpliga experter från forskarsamhället i Sverige anmäler sitt intresse till att vara oberoende expert i den vetenskapliga panelen och för att kom- missionen utser svenska aktörer att vara medlemmar i det rådgivande forumet. Det kommer att vara möjligt att anlita experter i den vetenskap- liga panelen för att stödja verksamheten för efterlevnadskontroll enligt AI-förordningen. Utredningen bedömer att marknadskon- trollmyndigheterna bör göra det i den utsträckning som det är möjlig. Anlitandet av experter i den vetenskapliga panelen bedöms förutsätta finansiering till marknadskontrollmyndigheterna i syfte att de ska kunna anlita experter i den vetenskapliga panelen. 35 Sammanfattning SOU 2025:101 Utredningen föreslår en uppgiftsskyldighet som innebär att upp- gifter som behövs för att marknadskontrollmyndigheter enligt AI- förordningen ska kunna anlita experter i den vetenskapliga panelen ska lämnas till AI-byrån och den vetenskapliga panelen utan hinder av sekretess. Utredningen bedömer slutligen att befintliga bestämmelser i OSL säkerställer att uppgifter inom verksamheten som bedrivs i AI-styr- elsen inte används i strid med konfidentialitetskraven i artikel 78 i AI-förordningen samt att företrädaren i AI-styrelsen har tillräckliga befogenheter att underlätta enhetlighet och samordning mellan natio- nella behöriga myndigheter i Sverige när det gäller genomförandet av AI-förordningen. Övriga nödvändiga åtgärder AI-förordningen ställer krav på att leverantörer ska bevara viss dokumentation även efter det att leverantören försätts i konkurs eller upphör med sin verksamhet. Utredningen föreslår att doku- mentationen ska hållas tillgänglig för de nationella behöriga myndig- heterna och att leverantören eller dennes ombud ska anmäla till den myndighet som regeringen utser vem som ansvarar för bevarandet av dokumentationen och var den förvaras. Vidare föreslår utredningen att PTS ska vara den myndighet som anmälan ska göras till. Utredningen föreslår att beslut av en förvaltningsmyndighet eller ett anmält organ ska få överklagas till allmän förvaltningsdomstol, att en myndighet ska få överklaga en förvaltningsmyndighets eller ett anmält organs beslut, att förvaltningsmyndigheten eller det an- mälda organet ska vara motpart vid domstolen och att prövnings- tillstånd ska krävas vid överklagande till kammarrätten. Det finns möjligheter att lämna in klagomål till marknadskon- trollmyndigheterna. Sådana klagomål bedöms inte föranleda några kompletterande bestämmelser i nationell rätt. Det behöver finnas en tillståndsprocess i nationell rätt för att tillhandahållare av ett AI-system med hög risk för biometrisk fjärr- identifiering i efterhand på det sätt som närmare anges i artikel 26:10 i AI-förordningen ska få använda ett sådant system. Utredningen lämnar inte några förslag om en sådan tillståndsprocess. 36 SOU 2025:101 Sammanfattning Utredningen bedömer att bestämmelserna i AI-förordningen samt utredningens förslag kommer att innebära en utökad personuppgifts- behandling och att integritetsrisker aktualiseras som en följd av för- slagen. Det finns dock stöd för personuppgiftsbehandlingen i befintlig dataskyddsreglering. Utredningen bedömer att personuppgiftsbe- handlingen utgör ett godtagbart integritetsintrång och är proportio- nerlig med hänsyn till syftet med personuppgiftsbehandlingen. Ikraftträdande och övergångsbestämmelser Utredningen föreslår att kompletteringslagen, kompletteringsförord- ningen och övriga författningsändringar ska träda i kraft den 2 augusti 2026. Det krävs inte några övergångsbestämmelser. Utredningen anser dock att det finns skäl för regeringen att i vart fall tillfälligt utse marknadskontrollmyndigheter och anmälande myndigheter redan under den fortsatta beredningen av utredningens lagförslag. Konsekvenser Utredningens förslag syftar till att uppfylla kraven i AI-förordningen och bidra till ett ändamålsenligt och effektivt genomslag och tillämp- ning av förordningen. Förslagen bedöms vara förenliga med EU- rätten. Utredningens förslag berör framför allt de statliga myndigheter som enligt förslaget ska utses till marknadskontrollmyndigheter. De nya uppdragen kommer enligt utredningen att innebära utökade och delvis nya arbetsuppgifter för samtliga myndigheter och därmed ett ökat finansieringsbehov. Utredningen bedömer att finansieringen, åtminstone initialt, bör ske genom ökade anslag. Utredningens förslag om bestämmelser om ingripanden bedöms inte påverka marknadskontrollmyndigheternas kostnader i någon större utsträckning. Förslagen beträffande de anmälande myndigheterna förväntas leda till något ökade kostnader för dem. Kostnadsökningarna bedöms i vart fall initialt kunna hanteras inom befintligt ramanslag. Utredningen bedömer att förslagen kan medföra vissa ökade kostnader och administrativa bördor för enskilda företag som utgör operatörer enligt AI-förordningen. 37 Sammanfattning SOU 2025:101 Vidare bedömer utredningen att förslagen inte förväntas leda till ökade kostnader för kommuner och regioner eller att de inverkar på det kommunala självstyret. Utredningens förslag innebär att flera olika överklagbara beslut kan komma att fattas av de myndigheter som ska utöva marknads- kontroll och kontroll av efterlevnaden av AI-förordningen. Förslagen förväntas leda till något ökade kostnader för förvaltningsdomstolarna. Kostnadsökningarna bedöms inte vara större än att de kan hanteras inom befintliga ekonomiska ramar. Förslagen bedöms inte få några konsekvenser för jämställdheten mellan kvinnor och män. Analysen av vilka nationella bestämmelser som behövs för att komplettera AI-förordningen har försvårats av att AI-förordningen börjar tillämpas i etapper, att tillämpningen av AI-förordningen diskuteras löpande i AI-styrelsen och att kommissionen i flera av- seenden först efter det att utredningen har lämnat sina förslag ska anta genomförandeakter som ska förtydliga och komplettera förord- ningen. Mot den bakgrunden bedömer utredningen att bestämmel- serna bör utvärderas på ett lämpligt sätt, dock tidigast under 2029. 38 Summary Remit The AI Act entered into force on 1 August 2024. However, the majority of its provisions will not start to apply until 2 August 2026. Under the committee terms of reference (Dir. 2024:83), the In- quiry will review the need for national adaptations as a result of the AI Act. The aim of the Inquiry is to submit proposals for national competent authorities under the AI Act, submit proposals on how to meet the requirement for penalties in the event of violations of the Act, analyse what is needed for the establishment of one or more AI regulatory sandboxes and propose to what extent Sweden should participate in measures to support implementation and innovation that are proposed in the Act. The Inquiry will also submit proposals for legislative changes and other measures necessary to meet the requirements of the AI Act. Applicable law and the AI Act The AI Act is often described as the first comprehensive legislation on AI. It is part of the EU’s digital strategy, the Digital Decade. Previously, there was no specific legislation on AI systems, although there was technology-neutral legislation that included some of the procedures regulated by the AI Act. The AI Act covers virtually all sectors of society and applies to both private and public actors. It uses a risk-based approach in which AI systems are divided into different risk levels. This method means that the nature and content of the rules are adapted to the extent of the risks that AI systems may entail. The AI Act requires a system for market monitoring, market surveillance, governance and enforce- 39 Summary SOU 2025:101 ment at national and EU level. Compliance with the Act will be ensured through penalties and other enforcement measures. The Act also contains provisions on measures to support innovation. Need for supplementary regulatory frameworks The Inquiry proposes that the Swedish provisions that need to supple- ment the AI Act should be brought together in a new act and a new regulation. In the Inquiry’s report, the proposed statutes are referred to as the Supplementary Act and the Supplementary Ordinance. Furthermore, the Inquiry proposes that words and phrasing in the Supplementary Act and the Supplementary Ordinance have the same meanings as in the AI Act. The Inquiry proposes that refe- rences to the AI Act in provisions on administrative fines and repri- mands be static, i.e. refer to the Act in its original version. Other references will be dynamic, i.e. refer to the Act in the wording in force at any given time. The Inquiry also makes the assessment that supplementary pro- visions are needed on secrecy and professional confidentiality, obli- gations to provide information and provisions that overrides secrecy. National competent authorities and the market monitoring and surveillance system Market surveillance authorities The Inquiry has concluded that the division of responsibilities for market surveillance should be made on the basis that responsibility needs to be centralised, while sector-specific knowledge also needs to be ensured regarding certain products and fields. The Inquiry therefore proposes a market surveillance system con- sisting of several market surveillance authorities in which the Swedish Post and Telecom Authority (PTS) will be the market surveillance authority with primary responsibility for the AI Act. In addition, the Inquiry proposes that the PTS, the Swedish Authority for Privacy Protection (IMY) and the Swedish Financial Supervisory Authority (FI) be given joint responsibility for market surveillance of high-risk AI systems referred to in Annex III of the 40 SOU 2025:101 Summary AI Act. The Inquiry also proposes that nine existing market surveil- lance authorities be given responsibility for market surveillance of high-risk AI systems related to products covered by the Union harmonisation legislation listed in Section A of Annex I of the AI Act. Furthermore, the Inquiry proposes that the IMY be primarily responsible for market surveillance of the prohibited AI practices in Article 5. It is also proposed that the PTS and the FI be given a degree of responsibility for the area under Article 5. Lastly, the In- quiry proposes that the PTS and the IMY share responsibility for the transparency requirements in Article 50. Notifying authorities and notified bodies The Inquiry proposes that Swedac and the Medical Products Agency be notifying authorities under the AI Act. It is proposed that Swedac be responsible for notified bodies in all areas. This is with the excep- tion of notified bodies for high-risk AI systems related to products covered by EU Acts on medical devices, for which it is proposed that the Medical Products Agency be responsible. Furthermore, the Inquiry proposes that the IMY act as a notified body under the third paragraph of Article 43(1) of the AI Act. Article 77 of the AI Act The AI Act contains certain provisions covering national public authorities or bodies that supervise or enforce the respect of obliga- tions under Union law protecting fundamental rights. Each Member State had until 2 November 2024 to identify the national public authorities or bodies referred to in Article 77(1) of the AI Act. A list of such entities was required to have been compiled and notified to the European Commission and the other Member States in the same timeframe. Sweden has done this. The list must be kept up to date. The Inquiry proposes that the Equality Ombudsman, the IMY, the Office of the Chancellor of Justice, the Parliamentary Ombuds- men and the Swedish Commission on Security and Integrity Protec- tion be included in the list and that Sweden notify the European Commission of the updated list of these authorities. 41 Summary SOU 2025:101 The Inquiry considers it difficult to interpret which authorities and bodies are referred to in the Article and its assessment is that the Government should seek the assistance of public authorities that may be referred to so as to assess whether they are such authorities. The Inquiry also considers that the Government should follow discussions at EU level and the other Member States’ lists in order to update the list correctly. Coordination and collaboration The Inquiry makes the assessment that there is considerable need for coordination and collaboration in conjunction with the AI Act and that the coordination and collaboration of market surveillance authorities should be specifically regulated in certain respects. In light of this, the Inquiry proposes that the PTS, in its capacity as the market surveillance authority with primary responsibility for the AI Act, should be the coordinating market surveillance author- ity and that it should also be the single point of contact. The Inquiry proposes that the coordinating market surveillance authority be given several tasks. The Inquiry therefore proposes that the PTS lead a coordination function in which the market surveil- lance authorities collaborate and exchange information. Furthermore, the Inquiry proposes that the PTS coordinate a market surveillance assignment if an individual market surveillance case concerns the areas of responsibility of several market surveillance authorities. Exercising market surveillance over AI systems can be expected to be complicated. In light of this, the Inquiry proposes that the PTS support certain market surveillance authorities with expert knowledge in complex cases. The AI Act includes certain provisions on awareness-raising measures as well as facilitating measures for companies. The business sector has also requested guidance on the AI Act. The Inquiry there- fore proposes that the PTS be the primary point of contact with the public, be responsible for the measures in Article 62(1)(b)–(d) of the AI Act and for providing general guidance on the Act. The Inquiry also proposes that the PTS be responsible for the reporting requirements in Article 99(11) of the Act and that the PTS be allowed to issue certain regulations. It is also proposed that 42 SOU 2025:101 Summary the IMY and FI be responsible for certain reporting requirements. In addition, the Inquiry assesses that the IMY and the FI be included in the Market Surveillance Council. The Inquiry assesses that there is no other need for supplemen- tary provisions in national law to address the need for coordination and collaboration. Powers and enforcement measures The Inquiry proposes certain supplementary provisions on the powers of market surveillance authorities, under Article 14(4) of the EU Market Surveillance Act and under the AI Act. The AI Act requires the Member States to establish rules on penalties and other enforcement measures. The Inquiry proposes that the national competent authorities have the possibility to decide on reprimands and administrative fines, as well as injunctions with or without fines. In certain exceptional cases, the Inquiry proposes that the general administrative court consider issues of administra- tive fines in the first instance. Each Member State must introduce rules on the extent to which administrative fines may be imposed on public authorities and bodies established in that Member State. The Inquiry proposes that reprimands and administrative fines as well as injunctions with or without fines also be imposed on public authorities. However, exceptions are proposed for the courts in their judicial activities. The Inquiry does not propose a minimum level for administrative fines. The maximum level of administrative fines is set out in the AI Act. The Inquiry’s proposals for maximum amounts of administrative fines for public authorities are set out in the Supplementary Act. National registration of high-risk AI systems in the area of critical infrastructure High-risk AI systems referred to in point 2 of Annex III shall be registered at national level (Article 49(5)). The assessment of the Inquiry is that more detailed provisions on how the registration of such AI systems should be designed need to be regulated at national level. The Inquiry proposes that the PTS, in its capacity as the market 43 Summary SOU 2025:101 surveillance authority responsible for point 2 of Annex III, be re- sponsible for registration and that certain operators have an obliga- tion to register themselves and their AI systems with the PTS. The Inquiry also proposes that the PTS be allowed to issue regulations on the information that must be included in the notifi- cation. The Inquiry proposes that the obligation to provide informa- tion does not apply to information that is classified under the Protec- tive Security Act (2018:585). Public access and secrecy within the market monitoring and surveillance system In order for information handled by national competent authorities to be subject to secrecy, the Inquiry assesses that a new provision should be introduced in the Public Access to Information and Secrecy Ordinance (2009:641). The Inquiry also proposes a reporting obli- gation whereby a market surveillance authority must provide infor- mation to another market surveillance authority if it is needed by the authority in its capacity as a coordinating market surveillance authority, a single point of contact or for market surveillance under the AI Act, the Supplementary Act or regulations issued pursuant to the Supplementary Act. Furthermore, the Inquiry proposes two provisions on profes- sional confidentiality for private actors in the Supplementary Act and a new provision to protect incident reporting in the Public Access and Secrecy Act (2009:400) (OSL) and the Public Access to Infor- mation and Secrecy Ordinance. The assessment of the Inquiry is that there is sufficient secrecy protection in the OSL for data that must be registered under Article 49 (5) of the AI Act. Measures to support innovation The AI Act regulates various measures to support innovation. These include AI regulatory sandboxes (Articles 57–59) and testing of high- risk AI systems in real-world conditions outside AI regulatory sand- boxes (Articles 60 and 61). 44 SOU 2025:101 Summary AI regulatory sandboxes The Member States must ensure that their competent authorities establish at least one AI regulatory sandbox at national level. This must be in place by 2 August 2026. The assessment of the Inquiry is that Sweden should independ- ently establish at least one AI regulatory sandbox, and that it should not be specified in the statute whether a sandbox should be horizon- tal or vertical. However, the establishment of such a sandbox must comply with the requirements of the AI Act. The Inquiry proposes a system for the establishment of at least one AI regulatory sandbox that will work both vertically and horizon- tally. The Inquiry proposes that in its capacity as the market surveil- lance authority with primary responsibility for the AI Act, the PTS should establish the sandbox and that other national competent authorities with market surveillance responsibility should participate in specific sandbox projects. In addition, it may be necessary to also involve other authorities referred to in Article 57(10) of the AI Act. The Inquiry proposes a solution that gives an establishing author- ity responsibility for the main parts of the AI regulatory sandbox and where other national competent authorities takes joint respon- sibility with an establishing authority regarding specific sandbox projects. The power to decide on the activities and certain powers applies to both the establishing authority and other national compe- tent authorities. An establishing authority should also have a duty to provide information to the extent that a sandbox project concerns the remit of an authority referred to in Article 57(10) of the AI Act. This creates a practically feasible AI regulatory sandbox that takes into account the self-determination of authorities while meeting the requirements for establishing a sandbox that is open to all and can support innovation. It is possible to establish more than one AI regulatory sandbox in Sweden. In the Inquiry’s view, such sandboxes should be coordi- nated, and this should be done within the coordination role that the PTS is proposed to have. To be able to carry out this task, the Inquiry proposes that the PTS be allowed to issue regulations on AI regula- tory sandboxes and be responsible for the reporting requirements in Article 57(16) of the AI Act. 45 Summary SOU 2025:101 The AI Act provides for some limited possibilities to charge fees for the activities of an AI regulatory sandbox. The Inquiry proposes that in its capacity as the establishing authority, the PTS be given such an opportunity, and that the PTS be allowed to issue further regulations on such fees. Testing in real-world conditions The assessment of the Inquiry is that no special technical or legal prerequisites are required in order to conduct testing of high-risk AI systems in real-world conditions. However, under the AI Act, approval from a market surveillance authority is required for testing to take place. Testing in real-world conditions may be carried out on high-risk AI systems covered by Annex III. The Inquiry proposes that the authority determined by the Government be responsible for the approval of, and ensure the safe development of, testing in real-world conditions outside AI regulatory sandboxes under Articles 60 and 61 of the Act. The Inquiry proposes that these authorities be the PTS, the IMY and the FI in accordance with the division of responsibili- ties that apply to market surveillance responsibilities in Annex III to the AI Act. These authorities are also proposed to have certain powers. The inquiry proposes that the PTS, the IMY and the FI should be allowed to charge fees for the approval of the testing in real-world conditions and for ensuring the safe development of such testing, and that the authorities be allowed to issue further regulations on such fees. Public access and confidentiality, and measures to support innovation The assessment of the Inquiry is that there are no secrecy provisions that specifically cover activities that will be conducted in AI regula- tory sandboxes. The Inquiry therefore proposes that new provisions be introduced in the OSL stating that secrecy applies in such activities both with regard to certain information in the activities of individuals 46 SOU 2025:101 Summary and with regard to certain information in the activities of public authorities. The Inquiry also proposes that a provision that overrides secrecy be introduced stating that secrecy does not prevent information related to the development, training, testing and validation of an AI system in an AI regulatory sandbox from being disclosed to an indi- vidual or another authority. This is proposed to apply if it is not in- appropriate for such information to be disclosed in view of the cir- cumstances. In addition, the Inquiry proposes a provision on pro- fessional confidentiality for actors not covered by the OSL. Regarding testing in real-world conditions, the Inquiry proposes new provisions on the secrecy of applications and correspondence related to applications and testing for individuals and authorities. Support for application and enforcement activities The AI Act sets out a governance framework at EU level to support the application and enforcement activities of the AI Act. One of the Inquiry’s tasks is to analyse and, if necessary, propose to what extent Sweden should participate in the AI Act’s proposed imple- mentation support and measures that promote innovation, and in what way this should be done. Governance at EU level includes the AI Office, the AI Board, an advisory forum and a scientific panel of independent experts. The Inquiry considers that Sweden’s participation in governance at EU level should be active and extensive, and that the Government should have the coordinating responsibility to facilitate the tasks of the AI Office. Where necessary, the Government should request the support of the national competent authorities. It is also the assess- ment of the Inquiry that Sweden should actively promote and partici- pate in the development of codes of conduct and codes of practice within the EU. The Inquiry considers that the Government should appoint a representative to represent Sweden on the AI Board, and that the appointee should be a representative of the PTS. The Inquiry also considers that the Government should appoint representatives to the AI Board’s permanent and temporary sub-groups. 47 Summary SOU 2025:101 According to the Inquiry, the Government should work to en- sure that suitable experts from the Swedish research community register their interest in being independent experts on the scientific panel and that the European Commission appoints Swedish actors to be members of the advisory forum as well. It will be possible to engage the scientific panel. The Inquiry con- siders that market surveillance authorities should do so to the extent possible. Use of the scientific panel is considered to require funding to the market surveillance authorities in order for them to be able to use it. The Inquiry proposes an obligation to provide information where- by information needed for market surveillance authorities to be able to use experts on the scientific panel under the AI Act must be dis- closed to the AI Office and the panel without hindrance from secrecy. Finally, the assessment of the Inquiry is that existing provisions in the OSL ensure that tasks within the activities conducted by the AI Board are not used in violation of the confidentiality requirements in Article 78 of the AI Act, and that the representative on the AI Board has sufficient powers to facilitate consistency and coordina- tion between national competent authorities in Sweden with regard to the implementation of the AI Act. Other necessary measures The AI Act requires providers to retain certain documentation even after a provider is declared bankrupt or ceases its activity. The In- quiry proposes that such documentation be kept available to the national competent authorities and that providers or their autho- rised representatives be obliged to notify the authority designated by the Government that is responsible for holding documentation and where it is stored. Furthermore, the Inquiry proposes that the PTS be the authority to which such reports are made. The Inquiry proposes that it be possible to appeal decisions from an administrative authority and a notified body to the general admini- strative court, that it be possible for public authorities to appeal decisions from the administrative authorities and the notified bodies, that the administrative authority or the notified body be the opposing 48 SOU 2025:101 Summary party before the court, and that leave to appeal be required in the event of an appeal to the administrative court of appeal. There are possibilities to lodge complaints with market surveil- lance authorities. Such complaints are not considered to give rise to any additional provisions in national law. There needs to be an authorisation process in national law for deployers of high-risk AI systems for post-remote biometric identi- fication to be allowed to use such systems in the manner specified in Article 26(10) of the AI Act. The Inquiry has not made any pro- posals for such an authorisation process. The assessment of the Inquiry is that the provisions of the AI Act and the Inquiry’s proposals will entail expanded processing of personal data and that privacy risks will arise as a result of the pro- posals. However, the processing of personal data is sanctioned in existing data protection Acts. The assessment of the Inquiry is that the processing of personal data constitutes an acceptable invasion of privacy and is proportionate with regard to the purpose of the personal data processing. Entry into force and transitional provisions The Inquiry proposes that the Supplementary Act, the Supplemen- tary Ordinance and other proposed legislative amendments enter into force on 2 August 2026. No transitional arrangements are required. However, the inquiry considers that there are reasons for the Govern- ment to appoint market surveillance authorities and notifying authori- ties, at least on a temporary basis, already during the continued pre- paration of the Inquiry’s legislative proposals. Impact The aim of the Inquiry’s proposals is to meet the requirements of the AI Act and to contribute to the effective and efficient intro- duction and application of the Act. The proposals are considered to be compatible with EU law. The Inquiry’s proposals primarily concern the government agen- cies that would be appointed as market surveillance authorities under the proposals. It is the view of the Inquiry that the new assignments 49 Summary SOU 2025:101 will entail expanded and partly new tasks for all agencies and thus an increased need for funding. The assessment of the Inquiry is that funding, at least initially, should be provided through increased appropriations. The Inquiry’s proposals for penalty provisions are not expected to affect the costs of the market surveillance authorities to any great extent. The proposals concerning the notifying authorities are expected to lead to a slight increase in costs for them. In any case, it is estimated that the cost increases can be met within the existing framework appropriation. The assessment of the Inquiry is that the proposals may entail increased costs and administrative burdens for individual companies that are operators under the AI Act. Furthermore, the assessment of the Inquiry is that the proposals are not expected to lead to increased costs for municipalities and regions or affect municipal self-governance. The Inquiry’s proposals mean that several different appealable decisions may be made by the authorities responsible for market surveillance and enforcement of the AI Act. The proposals are ex- pected to result in slightly increased costs for the administrative courts. It is expected that these cost increases can be met within the existing financial frameworks. The proposals are not expected to have any impact on equality between women and men. The analysis of which national provisions are needed to supple- ment the AI Act has been complicated by the fact that the Act will be applied in stages, that the application of the Act is continuously discussed by the AI Board, and that the Commission in several respects will adopt implementing acts that will clarify and supple- ment the Act after the Inquiry has submitted its proposals. In light of this, the assessment of the Inquiry is that the provisions should be evaluated in an appropriate manner, but no earlier than in 2029. 50 1 Författningsförslag 1.1 Förslag till lag med kompletterande bestämmelser till EU:s förordning om artificiell intelligens Härigenom föreskrivs följande. 1 kap. Inledande bestämmelser Lagen kompletterar en EU-förordning 1 § Denna lag kompletterar Europaparlamentets och rådets förord- ning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelli- gens). Förordningen (EU) 2024/1689 benämns i denna lag AI-förord- ningen. Uttryck i lagen 2 § Ord och uttryck i denna lag har samma betydelse som i AI-för- ordningen. 51 Författningsförslag SOU 2025:101 2 kap. Marknadskontroll Bestämmelser om marknadskontroll 1 § Bestämmelser om marknadskontroll finns i Europaparlamentets och rådets förordning (EU) 2019/1020 av den 20 juni 2019 om mark- nadskontroll och överensstämmelse för produkter och om ändring av direktiv 2004/42/EG och förordningarna (EG) nr 765/2008 och (EU) nr 305/2011 samt i AI-förordningen. Marknadskontrollmyndigheter 2 § Den myndighet som regeringen bestämmer ska vara marknads- kontrollmyndighet enligt AI-förordningen. Det framgår av AI-förordningen att en marknadskontrollmyndig- het är nationell behörig myndighet enligt förordningen. 3 § Den myndighet som regeringen bestämmer ska vara samord- nande marknadskontrollmyndighet. Den samordnande marknadskontrollmyndigheten ska vara gemen- sam kontaktpunkt enligt artikel 70.2 i AI-förordningen. Regeringen bestämmer vilka uppgifter som den samordnande mark- nadskontrollmyndigheten i övrigt ska ha. Befogenheter 4 § Vid marknadskontroll enligt förordning (EU) 2019/1020 har marknadskontrollmyndigheten befogenhet 1. att enligt artikel 14.4 a–c kräva att operatörer ska tillhandahålla handlingar, specifikationer, data eller uppgifter, 2. att enligt artikel 14.4 d utföra oanmälda inspektioner på plats och fysiska kontroller av AI-system, 3. att enligt artikel 14.4 e få tillträde till lokaler, mark eller transport- medel, 4. att enligt artikel 14.4 f inleda undersökningar på eget initiativ, 5. att enligt artikel 14.4 g kräva att operatörer ska vidta lämpliga åtgärder för att få en bristande överensstämmelse att upphöra eller att eliminera en risk, 6. att enligt artikel 14.4 h själv vidta åtgärder, 52 SOU 2025:101 Författningsförslag 7. att enligt artikel 14.4 j införskaffa, inspektera och demontera varuprover, och 8. att enligt artikel 14.4 k kräva att innehåll på ett onlinegränssnitt ska avlägsnas, att en varning ska visas eller att åtkomsten ska begränsas. Marknadskontrollmyndigheten får införskaffa ett varuprov under dold identitet enligt artikel 14.4 j i förordning (EU) 2019/1020 endast om det är nödvändigt för att syftet med kontrollen ska uppnås. Myn- digheten ska underrätta operatören om att införskaffandet har skett under dold identitet, så snart det går utan att syftet med åtgärden går förlorat. Befogenheten enligt första stycket 8 gäller inte i fråga om databaser som omfattas av tryckfrihetsförordningens eller yttrandefrihetsgrund- lagens skydd. När ändrade förhållanden ger anledning till det, ska marknadskon- trollmyndigheten besluta att en sådan skyldighet som avses i första stycket 8 inte längre ska gälla. 5 § Det framgår av AI-förordningen att marknadskontrollmyndig- heten har befogenheter vid marknadskontroll enligt artiklarna 74.5, 74.12 och 74.13 i förordningen. 6 § En marknadskontrollmyndighet får bestämma att dess beslut en- ligt 4 eller 5 § ska gälla omedelbart. Hjälp av Polismyndigheten 7 § Polismyndigheten ska på begäran av en marknadskontrollmyn- dighet lämna den hjälp som behövs för att myndigheten ska kunna vid- ta åtgärder enligt 4 § om 1. det på grund av särskilda omständigheter kan befaras att åtgärden inte kan utföras utan att en polismans särskilda befogenheter enligt 10 § polislagen (1984:387) behöver tillgripas, eller 2. det annars finns synnerliga skäl. 53 Författningsförslag SOU 2025:101 Tystnadsplikt 8 § Den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i ett ärende om marknadskontroll enligt AI-förord- ningen får inte obehörigen röja eller utnyttja uppgift som han eller hon tagit del av i ett sådant ärende. I det allmännas verksamhet tillämpas offentlighets- och sekretess- lagen (2009:400). 3 kap. Anmälande myndigheter och anmälda organ Bestämmelser om anmälande myndigheter och anmälda organ 1 § Bestämmelser om anmälande myndigheter och anmälda organ finns i AI-förordningen och i lagen (2011:791) om ackreditering och teknisk kontroll. Det framgår av AI-förordningen att en anmälande myndighet är nationell behörig myndighet enligt förordningen. 2 § Den marknadskontrollmyndighet som avses i artikel 74.8 i AI- förordningen ska fungera som anmält organ enligt artikel 43.1 tredje stycket i förordningen. Tystnadsplikt 3 § Den som deltar i verksamhet som utförs av ett privat anmält organ i enlighet med AI-förordningen får inte obehörigen röja eller utnyttja det som han eller hon fått kännedom om under det att uppgifterna ut- fördes. I det allmännas verksamhet tillämpas offentlighets- och sekretess- lagen (2009:400). Föreskrifter 4 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om förfarandena för bedömning, utseende och anmälan av anmälda organ och för övervakning av dessa, beträffande 54 SOU 2025:101 Författningsförslag anmälda organ för AI-system med hög risk som avses i artikel 6.1 i AI- förordningen och som är relaterade till produkter som omfattas av – Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG, eller – Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitro-diagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU. 5 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om anmälda organs informationsskyldighet enligt artikel 45 i AI-förordningen, beträffande anmälda organ för AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är rela- terade till produkter som omfattas av förordning (EU) 2017/745 eller förordning (EU) 2017/746. 4 kap. Ingripanden Förelägganden 1 § En nationell behörig myndighet får besluta de förelägganden som behövs för att AI-förordningen, förordning (EU) 2019/1020, denna lag eller föreskrifter som har meddelats med stöd av AI-förordningen eller lagen ska följas. En nationell behörig myndighet får förena ett föreläggande med vite. Ett vitesföreläggande får även riktas mot en myndighet. 2 § En marknadskontrollmyndighet får när den fattar beslut enligt 1 § bestämma att beslutet ska gälla omedelbart. 3 § Ett föreläggande enligt 1 § ska inte beslutas mot en domstol inom ramen för dess dömande verksamhet. 55 Författningsförslag SOU 2025:101 Anmärkning och sanktionsavgift 4 § En anmärkning eller en sanktionsavgift får beslutas mot en opera- tör eller ett anmält organ vid överträdelser av AI-förordningen i dess ursprungliga lydelse när det gäller 1. förbudet mot de AI-användningsområden som avses i artikel 5, 2. leverantörers skyldigheter enligt artikel 16, 3. ombuds skyldigheter enligt artikel 22, 4. importörers skyldigheter enligt artikel 23, 5. distributörers skyldigheter enligt artikel 24, 6. tillhandahållares skyldigheter enligt artikel 26, 7. kraven och skyldigheterna för anmälda organ enligt artikel 31, 33.1, 33.3, 33.4 eller 34, eller 8. transparensskyldigheterna för leverantörer och tillhandahållare enligt artikel 50. En anmärkning eller en sanktionsavgift får även beslutas mot en operatör eller ett anmält organ för tillhandahållande av oriktig, ofull- ständig eller vilseledande information till ett anmält organ eller en natio- nell behörig myndighet som svar på en begäran. 5 § En anmärkning eller en sanktionsavgift enligt 4 § får beslutas mot en myndighet. En anmärkning eller en sanktionsavgift ska dock inte beslutas mot en domstol inom ramen för dess dömande verksamhet. 6 § Sanktionsavgiften för en myndighet ska bestämmas till högst – 20 000 000 kronor vid överträdelser som avses i 4 § första stycket 1, – 10 000 000 kronor vid överträdelser som avses i 4 § första stycket 2–8, och – 5 000 000 kronor vid överträdelser som avses i 4 § andra stycket. 7 § En nationell behörig myndighet får besluta om en anmärkning eller en sanktionsavgift. Fråga om en sanktionsavgift ska dock prövas av allmän förvaltnings- domstol efter ansökan av en marknadskontrollmyndighet om pröv- ningen av sanktionsavgiften samtidigt grundar sig i en överträdelse av 4 § och någon av bestämmelserna som anges i – 32 § första stycket lagen (2011:579) om leksakers säkerhet, 56 SOU 2025:101 Författningsförslag – 30 § första stycket lagen (2016:96) om fritidsbåtar och vatten- skotrar, – 16 § första stycket radioutrustningslagen (2016:392), – 9 § första stycket lagen (2018:125) med kompletterande bestäm- melser till EU:s förordning om personlig skyddsutrustning, eller – 9 § första stycket lagen (2018:1178) med kompletterande bestäm- melser till EU:s förordning om gasanordningar. I fråga om sanktionsavgift enligt andra stycket ska i övrigt 37 § andra stycket och 39–43 §§ produktsäkerhetslagen (2004:451) tillämpas. 8 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande med vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet. 9 § En sanktionsavgift får inte beslutas om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom två år från det att överträd- elsen ägde rum. Ett beslut om sanktionsavgift ska delges. 10 § En sanktionsavgift ska betalas till den myndighet som regeringen bestämmer inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. En sanktionsavgift tillfaller staten. 11 § En sanktionsavgift faller bort, om den inte har verkställts inom fem år från det att beslutet fick laga kraft. 5 kap. Regulatoriska sandlådor för AI och testning av AI-system med hög risk under verkliga förhållanden Ansvarsfördelning i regulatoriska sandlådor för AI 1 § Den myndighet som regeringen bestämmer ska inrätta och orga- nisera driften av en regulatorisk sandlåda för AI enligt artiklarna 57–59 i AI-förordningen (en inrättande myndighet). 57 Författningsförslag SOU 2025:101 2 § När ett projekt i en regulatorisk sandlåda för AI berör en nationell behörig myndighets ansvarsområde för marknadskontroll enligt AI- förordningen ska myndigheten medverka i verksamheten i sandlåde- projektet. 3 § En ansökan om att få delta i en regulatorisk sandlåda för AI ska lämnas in till en inrättande myndighet. Testning av AI-system med hög risk under verkliga förhållanden 4 § Den marknadskontrollmyndighet som regeringen bestämmer ska godkänna testning under verkliga förhållanden utanför regulatoriska sandlådor för AI och säkerställa en säker utveckling av testningen enligt artiklarna 60 och 61 i AI-förordningen. Marknadskontrollmyndigheten ska ha befogenhet att 1. enligt artikel 60.6 i AI-förordningen utföra oanmälda inspek- tioner på distans, 2. enligt artikel 60.6 i AI-förordningen utföra kontroller av utför- andet av testningen under verkliga förhållanden och tillhörande AI- system med hög risk, 3. enligt artikel 76.3 a i AI-förordningen tillfälligt avbryta eller av- sluta testningen under verkliga förhållanden, och 4. enligt artikel 76.3 b i AI-förordningen kräva att leverantören eller den potentiella leverantören och tillhandahållaren eller den potentiella tillhandahållaren ändrar någon aspekt av testningen under verkliga för- hållanden. Avgifter 5 § En inrättande myndighet får ta ut avgifter för sin verksamhet inom en regulatorisk sandlåda för AI. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om avgifter. 6 § Den marknadskontrollmyndighet som regeringen bestämmer får ta ut avgifter för testning under verkliga förhållanden utanför regula- toriska sandlådor för AI och för att säkerställa en säker utveckling av testningen enligt artiklarna 60 och 61 i AI-förordningen. 58 SOU 2025:101 Författningsförslag Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om avgifter. Tystnadsplikt 7 § Den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i verksamhet i en regulatorisk sandlåda för AI och som tar del av uppgift om enskilds personliga eller ekonomiska för- hållanden eller uppgift som hänför sig till en myndighets utveckling, träning, testning eller validering av ett AI-system i sådan verksamhet får inte obehörigen röja eller utnyttja dessa uppgifter. I det allmännas verksamhet tillämpas offentlighets- och sekretess- lagen (2009:400). Föreskrifter 8 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om regulatoriska sandlådor för AI. 6 kap. Nationell registrering av vissa AI-system med hög risk Ansvarig myndighet 1 § Den myndighet som regeringen bestämmer ska ansvara för att AI- system med hög risk som förtecknas i punkten 2 i bilaga III till AI- förordningen registreras i enlighet med artikel 49.5 i AI-förordningen. Anmälningsskyldighet 2 § Följande operatörer har en skyldighet att anmäla sig och sitt AI- system till den myndighet som avses i 1 §. – Leverantörer eller, i tillämpliga fall, ombud, av AI-system med hög risk som förtecknas i punkten 2 i bilaga III som avser att släppa ut eller ta i bruk ett sådant AI-system. – Leverantörer eller, i tillämpliga fall, ombud, som avser att släppa ut eller ta i bruk ett AI-system för vilket leverantören har fastställt 59 Författningsförslag SOU 2025:101 att det inte är ett AI-system med hög risk som förtecknas i punkten 2 i bilaga III enligt artikel 6.3 i AI-förordningen. – Leverantörer eller potentiella leverantörer av AI-system med hög risk som förtecknas i punkten 2 i bilaga III som avser att utföra testning under verkliga förhållanden i enlighet med artikel 60 i AI-förordning. – Tillhandahållare av AI-system med hög risk som förtecknas i punkten 2 i bilaga III, som är offentliga myndigheter, unionens insti- tutioner, byråer eller organ eller personer som agerar på deras vägnar, som avser att ta i bruk eller använda ett sådant AI-system. 3 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka uppgifter som ska framgå av anmälan enligt 2 §. 4 § Skyldighet att lämna uppgifter i anmälan enligt 2 § gäller inte för uppgifter som är säkerhetsskyddsklassificerade enligt säkerhetsskydds- lagen (2018:585). 7 kap. Övriga bestämmelser Bevarande av dokumentation 1 § Den dokumentation som avses i artikel 18.1 i AI-förordningen ska hållas tillgänglig för de nationella behöriga myndigheterna under den tid som anges i den bestämmelsen även om leverantören eller dennes ombud försätts i konkurs, går i likvidation eller upphör med sin verksamhet. Leverantören eller dennes ombud ska i sådana fall anmäla till den myndighet som regeringen bestämmer vem som ansvarar för bevar- andet av dokumentationen och var den förvaras. Överklagande 2 § Ett beslut av en förvaltningsmyndighet eller ett anmält organ enligt AI-förordningen, denna lag eller föreskrift som har meddelats i anslut- ning till denna lag får överklagas till allmän förvaltningsdomstol. En myndighet får överklaga en förvaltningsmyndighets eller ett an- mält organs beslut. 60 SOU 2025:101 Författningsförslag Förvaltningsmyndigheten eller det anmälda organet ska vid över- klagande vara motpart i domstolen. Prövningstillstånd krävs vid överklagande till kammarrätten. Övriga föreskrifter 3 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om incidentrapportering enligt artikel 73 i AI- förordningen. 4 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om verk- ställighet av denna lag. Denna lag träder i kraft den 2 augusti 2026. 61 Författningsförslag SOU 2025:101 1.2 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) dels att det ska införas sex nya paragrafer, 10 kap. 2 b §, 18 kap. 8 e §, 19 kap. 12 och 13 §§ och 40 kap. 9 och 10 §§, dels närmast före 10 kap. 2 b §, 19 kap. 12 § och 40 kap. 9 § nya rubriker av följande lydelse. Nuvarande lydelse Föreslagen lydelse 10 kap. Regulatoriska sandlådor för AI 2 b § Sekretess hindrar inte att en upp- gift lämnas till en enskild eller annan myndighet för utveckling, träning, testning och validering av ett AI- system i en regulatorisk sandlåda för AI enligt Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoni- serade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/ 2013, (EU) nr 168/ 2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828, om det med hän- syn till omständigheterna inte är olämpligt att uppgiften lämnas ut. 62 SOU 2025:101 Författningsförslag 18 kap. 8 e § Sekretess gäller för uppgift i en incidentrapport enligt artikel 73 i Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/ 2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 samt för uppgift om vilka åtgärder som en leverantör enligt artikel 3.3 i samma förord- ning har vidtagit till följd av inci- denten, om det inte står klart att uppgiften kan röjas utan att den rapporterande leverantörens fram- tida verksamhet skadas eller syftet med vidtagen åtgärd motverkas. För uppgift i en allmän handling gäller sekretessen i högst fyrtio år. 19 kap. Verksamhet inom regulatoriska sandlådor för AI och testning under verkliga förhållanden 12 § Sekretess gäller för uppgift som hänför sig till en myndighets utveck- ling, träning, testning eller valider- ing av ett AI-system i verksamhet som avses i artiklarna 57.5–8 och 58.4 i Europaparlamentets och rådets förordning (EU) 2024/1689 av 63 Författningsförslag SOU 2025:101 den 13 juni 2024 om harmoniser- ade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/ 2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828, om det kan antas att syftet med myndighetens fram- tida användning av AI-systemet motverkas eller att någon gynnas på myndighetens bekostnad om upp- giften röjs. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. 13 § Sekretess gäller för myndighets uppgift som hänför sig till testning under verkliga förhållanden enligt artiklarna 60 och 61 i Europaparla- mentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av för- ordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/ 2013, (EU) 2018/858, (EU) 2018/ 1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828, om det kan antas att syftet med myndig- hetens framtida användning av AI- systemet motverkas eller att någon gynnas på myndighetens bekostnad om uppgiften röjs. För uppgift i allmän handling gäller sekretessen i högst tjugo år. 64 SOU 2025:101 Författningsförslag 40 kap. Verksamhet inom regulatoriska sandlådor för AI och testning under verkliga förhållanden 9 § Sekretess gäller i verksamhet som avses i artiklarna 57.5–8 och 58.4 i Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/ 2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828, för uppgift om enskilds personliga eller ekonom- iska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. För uppgift i en allmän handling beträffande personliga förhållanden gäller sekretessen i högst sjuttio år. För uppgift i allmän handling be- träffande ekonomiska förhållanden gäller sekretessen i högst tjugo år. 10 § Sekretess gäller för uppgift om affärs- eller driftförhållanden som avser en operatör enligt artikel 3.8 i Europaparlamentets och rådets för- ordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) 65 Författningsförslag SOU 2025:101 nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/ 858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/ 90/EU, (EU) 2016/797 och (EU) 2020/1828 vid testning under verk- liga förhållanden enligt artiklarna 60 och 61 i samma förordning, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. För uppgift i allmän handling gäller sekretessen i högst tjugo år. Denna lag träder i kraft den 2 augusti 2026. 66 SOU 2025:101 Författningsförslag 1.3 Förslag till lag om ändring i lagen (2011:791) om ackreditering och teknisk kontroll Härigenom föreskrivs att 9 a § lagen (2011:791) om ackreditering och teknisk kontroll ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 9 a § Bestämmelserna i 7–9 §§ gäller inte organ för bedömning av över- ensstämmelse som utses och anmäls enligt Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicin- tekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upp- hävande av rådets direktiv 90/385/ EEG och 93/42/EEG och Europa- parlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitro-diagnostik och om upphäv- ande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU. Bestämmelser om dessa organ och myndigheter med ansvar för an- mälda organ finns i stället i dessa EU-förordningar. Bestämmelserna i 7–9 §§ gäller inte heller organ för bedömning av överensstämmelse som utses och an- mäls enligt Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoni- serade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/ 2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 beträffande organ för AI-system med hög risk som avses i artikel 6.1 i förordning (EU) 2024/1689 och som är relaterade till produkter som omfattas av förord- 67 Författningsförslag SOU 2025:101 ning (EU) 2017/745 eller förord- ning (EU) 2017/746. Bestämmelser om dessa organ och anmälande myndigheter finns i stället i förord- ning (EU) 2024/1689. Denna lag träder i kraft den 2 augusti 2026. 68 SOU 2025:101 Författningsförslag 1.4 Förslag till förordning med kompletterande bestämmelser till EU:s förordning om artificiell intelligens Härigenom föreskrivs följande. 1 kap. Inledande bestämmelser Förordningen kompletterar en EU-förordning 1 § Denna förordning innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens) och lagen (2026:000) med kom- pletterande bestämmelser till EU:s förordning om artificiell intelligens. Förordningen (EU) 2024/1689 benämns i denna förordning AI- förordningen. Uttryck i förordningen 2 § Ord och uttryck i denna förordning har samma betydelse som i AI-förordningen och i lagen (2026:000) med kompletterande bestäm- melser till EU:s förordning om artificiell intelligens. 2 kap. Marknadskontroll Bestämmelser om marknadskontroll 1 § Bestämmelser om marknadskontroll finns i Europaparlamentets och rådets förordning (EU) 2019/1020 av den 20 juni 2019 om mark- nadskontroll och överensstämmelse för produkter och om ändring av direktiv 2004/42/EG och förordningarna (EG) nr 765/2008 och (EU) nr 305/2011 samt i AI-förordningen. 69 Författningsförslag SOU 2025:101 Marknadskontrollmyndigheter Marknadskontrollmyndighet med huvudsakligt ansvar 2 § Post- och telestyrelsen är marknadskontrollmyndighet och ut- övar marknadskontroll enligt förordning (EU) 2019/1020 och AI- förordningen. Myndigheten ansvarar för alla frågor som rör mark- nadskontroll med undantag för de uppgifter som har getts till andra marknadskontrollmyndigheter enligt 3–13, 15 och 16 §§. Beträffande förbjudna AI-användningsområden ansvarar Post- och telestyrelsen dock endast i den utsträckning som framgår av 14 §. I Post- och telestyrelsens ansvar enligt första stycket ingår att an- svara för marknadskontroll över AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är relaterade till produkter som omfattas av Europaparlamentets och rådets direktiv 2014/53/EU av den 16 april 2014 om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av radioutrustning och om upp- hävande av direktiv 1999/5/EG, med undantag för Elsäkerhetsverkets ansvar enligt 5 §. Marknadskontrollmyndigheter med ansvar för AI-system med hög risk som avses i artikel 6.1 i AI-förordningen 3 § Arbetsmiljöverket är marknadskontrollmyndighet och utövar marknadskontroll enligt förordning (EU) 2019/1020 och AI-förord- ningen. Myndigheten ansvarar för marknadskontroll över AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är rela- terade till produkter som omfattas av – Europaparlamentets och rådets direktiv 2006/42/EG av den 17 maj 2006 om maskiner och om ändring av direktiv 95/16/EG, – Europaparlamentets och rådets direktiv 2014/34/EU av den 26 februari 2014 om harmonisering av medlemsstaternas lagstiftning om utrustning och säkerhetssystem som är avsedda för användning i explosionsfarliga omgivningar, utom när det gäller elektrisk utrustning, – Europaparlamentets och rådets direktiv 2014/68/EU av den 15 maj 2014 om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av tryckbärande anordningar, eller – Europaparlamentets och rådets förordning (EU) 2016/425 av den 9 mars 2016 om personlig skyddsutrustning och om upphävande 70 SOU 2025:101 Författningsförslag av rådets direktiv 89/686/EEG, när det gäller produkter som är avsedda för yrkesmässig användning, eller som kan antas komma att användas yrkesmässigt. 4 § Boverket är marknadskontrollmyndighet och utövar marknads- kontroll enligt förordning (EU) 2019/1020 och AI-förordningen. Myndigheten ansvarar för marknadskontroll över AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är relaterade till produkter som omfattas av – Europaparlamentets och rådets direktiv 2014/33/EU av den 26 februari 2014 om harmonisering av medlemsstaternas lagstiftning om hissar och säkerhetskomponenter till hissar, eller – Europaparlamentets och rådets förordning (EU) 2016/424 av den 9 mars 2016 om linbaneanläggningar och om upphävande av direktiv 2000/9/EG. 5 § Elsäkerhetsverket är marknadskontrollmyndighet och utövar marknadskontroll enligt förordning (EU) 2019/1020 och AI-förord- ningen. Myndigheten ansvarar för marknadskontroll över AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är rela- terade till produkter som omfattas av – Europaparlamentets och rådets direktiv 2009/48/EG av den 18 juni 2009 om leksakers säkerhet, när det gäller produkternas elek- triska egenskaper utom strålning, – Europaparlamentets och rådets direktiv 2014/53/EU av den 16 april 2014 om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av radioutrustning och om upphäv- ande av direktiv 1999/5/EG, i fråga om produkternas egenskaper när det gäller elsäkerhet, – Europaparlamentets och rådets direktiv 2014/34/EU av den 26 februari 2014 om harmonisering av medlemsstaternas lagstiftning om utrustning och säkerhetssystem som är avsedda för användning i explosionsfarliga omgivningar, i fråga om elektrisk utrustning, eller – Europaparlamentets och rådets förordning (EU) 2016/426 av den 9 mars 2016 om anordningar för förbränning av gasformiga bränslen och om upphävande av direktiv 2009/142/EG, i fråga om gasrelaterade risker som orsakas av faror av elektriskt eller elektromagnetiskt ur- sprung. 71 Författningsförslag SOU 2025:101 6 § Kemikalieinspektionen är marknadskontrollmyndighet och ut- övar marknadskontroll enligt förordning (EU) 2019/1020 och AI-för- ordningen. Myndigheten ansvarar för marknadskontroll över AI- system med hög risk som avses i artikel 6.1 i AI-förordningen och som är relaterade till produkter som omfattas av Europaparlamentets och rådets direktiv 2009/48/EG av den 18 juni 2009 om leksakers säkerhet, när det gäller produkternas brännbarhet och kemiska egenskaper. 7 § Konsumentverket är marknadskontrollmyndighet och utövar marknadskontroll enligt förordning (EU) 2019/1020 och AI-förord- ningen. Myndigheten ansvarar för marknadskontroll över AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är rela- terade till produkter som omfattas av – Europaparlamentets och rådets direktiv 2009/48/EG av den 18 juni 2009 om leksakers säkerhet, i den utsträckning inte Kemikalie- inspektionen eller Elsäkerhetsverket utövar marknadskontroll, eller – Europaparlamentets och rådets förordning (EU) 2016/425 av den 9 mars 2016 om personlig skyddsutrustning och om upphävande av rådets direktiv 89/686/EEG, när det gäller produkter som är avsedda för privat bruk, eller som kan antas komma att användas för privat bruk i inte obetydlig omfattning. 8 § Läkemedelsverket är marknadskontrollmyndighet och utövar marknadskontroll enligt förordning (EU) 2019/1020 och AI-förord- ningen. Myndigheten ansvarar för marknadskontroll över AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är rela- terade till produkter som omfattas av – Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG, eller – Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitro-diagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2 010/227/EU. 72 SOU 2025:101 Författningsförslag 9 § Myndigheten för samhällsskydd och beredskap är marknads- kontrollmyndighet och utövar marknadskontroll enligt förordning (EU) 2019/1020 och AI-förordningen. Myndigheten ansvarar för marknadskontroll över AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är relaterade till produkter som omfattas av Europaparlamentets och rådets förordning (EU) 2016/426 av den 9 mars 2016 om anordningar för förbränning av gasformiga bränslen och om upphävande av direktiv 2009/142/EG, i den utsträckning inte Elsäkerhetsverket utövar marknadskontroll. 10 § Transportstyrelsen är marknadskontrollmyndighet och utövar marknadskontroll enligt förordning (EU) 2019/1020 och AI-förord- ningen. Myndigheten ansvarar för marknadskontroll över AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är rela- terade till produkter som omfattas av Europaparlamentets och rådets direktiv 2013/53/EU av den 20 november 2013 om fritidsbåtar och vattenskotrar och om upphävande av direktiv 94/25/EG. Marknadskontrollmyndigheter med ansvar för AI-system med hög risk som avses i artikel 6.2 i AI-förordningen 11 § Integritetsskyddsmyndigheten är marknadskontrollmyndighet och utövar marknadskontroll enligt förordning (EU) 2019/1020 och AI-förordningen. Myndigheten ansvarar för marknadskontroll över AI-system med hög risk som avses i artikel 6.2 i AI-förordningen och som används inom områdena som förtecknas i – punkterna 1, 6, 7 och 8 i bilaga III till AI-förordningen, och – punkten 5 b i bilaga III till AI-förordningen, med undantag för de områden som omfattas av Finansinspektionens ansvar enligt 12 §. 12 § Finansinspektionen är marknadskontrollmyndighet och utövar marknadskontroll enligt förordning (EU) 2019/1020 och AI-förord- ningen. Myndigheten ansvarar för marknadskontroll över AI-system med hög risk som avses i artikel 6.2 i AI-förordningen och som an- vänds inom områdena som förtecknas i – punkten 5 b i bilaga III till AI-förordningen, inom myndighetens område för tillsyn, regelgivning, tillståndsprövning och registrering som rör finansiella marknader och finansiella företag, och – punkten 5 c i bilaga III till AI-förordningen. 73 Författningsförslag SOU 2025:101 13 § Finansinspektionen ansvarar för att rapportera information till Europeiska centralbanken enligt artikel 74.7 andra stycket i AI- förordningen. Marknadskontrollmyndighet med ansvar över förbjudna AI-användningsområden i artikel 5 i AI-förordningen 14 § Integritetsskyddsmyndigheten ansvarar för marknadskontroll över förbjudna AI-användningsområden som avses i artikel 5 i AI- förordningen förutom för de uppgifter som har getts till andra mark- nadskontrollmyndigheter enligt andra och tredje stycket. Post- och telestyrelsen ansvarar för marknadskontroll över för- bjudna AI-användningsområden som avses i artikel 5 i AI-förord- ningen beträffande AI-system som används inom områdena som för- tecknas i punkterna 2–4, 5 a och d i bilaga III till AI-förordningen. Finansinspektionen ansvarar för marknadskontroll över förbjudna AI-användningsområden som avses i artikel 5 i AI-förordningen be- träffande AI-system som används inom områdena som förtecknas i – punkten 5 b i bilaga III till AI-förordningen, inom myndighetens område för tillsyn, regelgivning, tillståndsprövning och registrering som rör finansiella marknader och finansiella företag, och – punkten 5 c i bilaga III till AI-förordningen. 15 § Integritetsskyddsmyndigheten ansvarar för att lämna in årliga rapporter till Europeiska kommissionen enligt artikel 5.6 i AI-förord- ningen. Marknadskontrollmyndighet med ansvar över transparenskrav i artikel 50.3 i AI-förordningen 16 § Integritetsskyddsmyndigheten ansvarar för marknadskontroll över transparensskyldigheter för tillhandahållare av vissa AI-system som avses i artikel 50.3 i AI-förordningen. 74 SOU 2025:101 Författningsförslag Samordnande marknadskontrollmyndighet och gemensam kontaktpunkt Ansvarig myndighet 17 § Post- och telestyrelsen är samordnande marknadskontrollmyn- dighet enligt lagen (2026:000) med kompletterande bestämmelser till EU:s förordning om artificiell intelligens. Post- och telestyrelsen är gemensam kontaktpunkt enligt artikel 70.2 i AI-förordningen. Den samordnande marknadskontrollmyndighetens uppgifter 18 § Post- och telestyrelsen ska leda en samordningsfunktion där samtliga marknadskontrollmyndigheter enligt 2–16 §§ ingår. Inom ramen för samordningsfunktionen ska marknadskontrollmyndighet- erna samverka och utbyta information. 19 § Post- och telestyrelsen ska samordna ett marknadskontroll- uppdrag, om ett enskilt marknadskontrollärende berör flera marknads- kontrollmyndigheters ansvarsområden. En marknadskontrollmyndighet som inleder ett marknadskontroll- ärende ska lämna en uppgift till Post- och telestyrelsen om att ärendet inleds, uppgift om vad ärendet rör och om ärendet bedöms beröra eller kan komma att beröra andra myndigheters ansvarsområde. Uppgift om att ärendet avslutas ska även lämnas till Post- och telestyrelsen när marknadskontrollärendet avslutas. 20 § Post- och telestyrelsen ska – stödja marknadskontrollmyndigheterna enligt 3–10 §§ med expertkunskap om AI-system i komplicerade ärenden, – ansvara för den huvudsakliga kontakten med allmänheten gäll- ande AI-förordningen, åtgärderna som avses i artikel 62.1 b–d i AI-för- ordningen och för att lämna generell vägledning om AI-förordningen, samt – ansvara för rapporteringskraven i artikel 99.11 och artikel 57.16 i AI-förordningen. 75 Författningsförslag SOU 2025:101 Uppgiftsskyldighet 21 § En marknadskontrollmyndighet ska lämna en uppgift till en annan marknadskontrollmyndighet om uppgiften behövs hos den myndigheten i egenskap av samordnande marknadskontrollmyndig- het, gemensam kontaktpunkt eller för marknadskontroll enligt AI- förordningen, lagen (2026:000) med kompletterande bestämmelser till EU:s förordning om artificiell intelligens eller föreskrifter som har meddelats i anslutning till den lagen. 22 § Uppgifter som behövs för att marknadskontrollmyndigheter enligt AI-förordningen ska kunna anlita experter i den vetenskapliga panelen enligt artikel 69 i AI-förordningen ska lämnas till AI-byrån och den vetenskapliga panelen utan hinder av sekretess. 3 kap. Anmälande myndigheter och anmälda organ Bestämmelser om anmälande myndigheter och anmälda organ 1 § Läkemedelsverket ansvarar för att utse och anmäla organ för AI- system med hög risk som avses i artikel 6.1 i AI-förordningen och som är relaterade till produkter som omfattas av förordning (EU) 2017/745 eller förordning (EU) 2017/746. Bestämmelser om anmälande myndigheter och anmälda organ finns även i lagen (2011:791) om ackreditering och teknisk kontroll. 2 § Integritetsskyddsmyndigheten är den marknadskontrollmyn- dighet som avses i artikel 74.8 i AI-förordningen och som ska fungera som anmält organ enligt artikel 43.1 tredje stycket i förordningen. Föreskrifter 3 § Läkemedelsverket får meddela föreskrifter om förfarandena för bedömning, utseende och anmälan av anmälda organ och för över- vakning av dessa, beträffande anmälda organ för AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är relaterade till produkter som omfattas av förordning (EU) 2017/745 eller för- ordning (EU) 2017/746. 76 SOU 2025:101 Författningsförslag 4 § Läkemedelsverket får meddela föreskrifter om anmälda organs informationsskyldighet enligt artikel 45 i AI-förordningen, beträffande anmälda organ för AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är relaterade till produkter som omfattas av förordning (EU) 2017/745 eller förordning (EU) 2017/746. 4 kap. Ingripanden 1 § En sanktionsavgift enligt lagen (2026:000) med kompletterande bestämmelser till EU:s förordning om artificiell intelligens ska betalas till Kammarkollegiet. 5 kap. Regulatoriska sandlådor för AI och testning av AI-system med hög risk under verkliga förhållanden Ansvarsfördelning i regulatoriska sandlådor för AI 1 § Post- och telestyrelsen är en inrättande myndighet enligt lagen (2026:000) med kompletterande bestämmelser till EU:s förordning om artificiell intelligens. 2 § En inrättande myndighet ska organisera och leda verksamheten som bedrivs i en regulatorisk sandlåda för AI. Myndigheten ska inhämta synpunkter och uppgifter från myndig- het som avses i 4 § om den myndighetens möjlighet att medverka i ett specifikt sandlådeprojekt. 3 § En inrättande myndighet ska ge prioriterad tillgång till en regula- torisk sandlåda för AI enligt artikel 62.1 a i AI-förordningen. 4 § En nationell behörig myndighet ska medverka i en regulatorisk sandlåda för AI beträffande ett specifikt sandlådeprojekt, i den mån sandlådeprojektet omfattar utveckling, träning, testning och validering av ett innovativt AI-system som kan komma att omfattas av myndig- hetens ansvarsområde för marknadskontroll enligt 2 kap. 2–12 samt 14 och 16 §§. 5 § En inrättande myndighet och en myndighet som avses i 4 § ska i samråd med varandra godkänna specifika sandlådeprojekt och med- 77 Författningsförslag SOU 2025:101 verka vid upprättandet av en sandlådeplan i en regulatorisk sandlåda för AI. 6 § En inrättande myndighet ska ansvara för genomförande av de uppgifter som avses i artiklarna 57.4–11, 57.15 och 58.4 i AI-förord- ningen. Om ett specifikt sandlådeprojekt omfattar utveckling, träning, test- ning och validering av ett innovativt AI-system som kan komma att omfattas av en annan myndighets ansvarsområde för marknadskontroll enligt 2 kap. 2–12 samt 14 och 16 §§ ansvarar den inrättande myndig- heten och den andra myndigheten gemensamt för uppgifterna som av- ses i artiklarna 57.5–8 och 58.4 i AI-förordningen. Fördjupad samverkan med vissa andra myndigheter 7 § En inrättande myndighet ska lämna uppgift till en myndighet vars ansvarsområde som kan avses i artikel 57.10 i AI-förordningen om att verksamheten i en regulatorisk sandlåda för AI kan komma att omfatta den myndighetens ansvarsområde. Uppgiften enligt första stycket ska lämnas så snart det finns anled- ning att anta att verksamheten kan komma att falla inom ansvarsom- rådet för en sådan myndighet. Myndigheten ska få tillfälle att yttra sig över verksamheten. 8 § En myndighet vars ansvarsområde som avses i artikel 57.10 i AI- förordningen omfattas vid genomförande av utveckling, träning, test- ning och validering av innovativa AI-system i en regulatorisk sandlåda för AI ska efter att ha informerats av en inrättande myndighet bedöma om AI-systemet berör myndighetens ansvarsområde och i sådana fall medverka i det specifika sandlådeprojektet. Testning av AI-system med hög risk under verkliga förhållanden 9 § Post- och telestyrelsen, Integritetsskyddsmyndigheten och Finansinspektionen ska godkänna testning under verkliga förhållanden utanför regulatoriska sandlådor för AI och säkerställa en säker utveck- ling av testningen enligt artiklarna 60 och 61 i AI-förordningen inom 78 SOU 2025:101 Författningsförslag sina respektive ansvarsområden för marknadskontroll enligt 2 kap. 2, 11 och 12 §§. Föreskrifter 10 § Post- och telestyrelsen får meddela föreskrifter om regulatoriska sandlådor för AI. 11 § Post- och telestyrelsen får meddela föreskrifter om avgifter för verksamheten i en regulatorisk sandlåda för AI och för testning under verkliga förhållanden utanför regulatoriska sandlådor för AI och för säkerställandet av en säker utveckling av testningen enligt artiklarna 60 och 61 i AI-förordningen. 12 § Integritetsskyddsmyndigheten och Finansinspektionen får med- dela föreskrifter om avgifter för testning under verkliga förhållanden utanför regulatoriska sandlådor för AI och för säkerställandet av en säker utveckling av testningen enligt artiklarna 60 och 61 i AI-förord- ningen. 6 kap. Nationell registrering av vissa AI-system med hög risk 1 § Post- och telestyrelsen ansvarar för att AI-system med hög risk som förtecknas i punkten 2 i bilaga III till AI-förordningen registreras i enlighet med artikel 49.5 i AI-förordningen. 2 § Post- och telestyrelsen får meddela föreskrifter om anmälnings- skyldigheten i 6 kap. 2 § lagen (2026:000) med kompletterande bestäm- melser till EU:s förordning om artificiell intelligens. 7 kap. Övriga bestämmelser Bevarande av dokumentation 1 § Anmälan enligt 7 kap. 1 § lagen (2026:000) med kompletterande bestämmelser till EU:s förordning om artificiell intelligens ska lämnas till Post- och telestyrelsen. 79 Författningsförslag SOU 2025:101 Övriga föreskrifter 2 § Post- och telestyrelsen får meddela föreskrifter om incident- rapportering enligt artikel 73 i AI-förordningen. Övriga marknads- kontrollmyndigheter ska få tillfälle att yttra sig innan föreskrifterna meddelas. 3 § Post- och telestyrelsen får meddela föreskrifter om verkställig- heten av AI-förordningen, lagen (2026:000) med kompletterande be- stämmelser till EU:s förordning om artificiell intelligens och denna förordning. Denna förordning träder i kraft den 2 augusti 2026. 80 2 Uppdraget och dess genomförande 2.1 Utredningens uppdrag Utredningen ska enligt kommittédirektivet (dir. 2024:83) se över behovet av nationella anpassningar till följd av AI-förordningen. Syftet med utredningen är att lämna förslag på nationella behöriga myndigheter enligt AI-förordningen, lämna förslag på vad som be- hövs för att uppfylla kravet på sanktioner vid överträdelser av för- ordningen och analysera vad som behövs för inrättandet av en eller flera regulatoriska sandlådor samt föreslå i vilken utsträckning Sverige bör medverka i AI-förordningens föreslagna implementeringsstöd och innovationsfrämjande åtgärder. Utredningen ska även lämna de för- fattningsförslag och förslag på övriga åtgärder som är nödvändiga för att uppfylla kraven i AI-förordningen. AI-förordningen ställer krav på ett system för marknadsöver- vakning, marknadskontroll, styrning och kontroll av efterlevnad på nationell nivå och EU-nivå. Efterlevnaden av förordningen ska säker- ställas genom beslut om sanktioner och genomförande av andra verk- ställighetsåtgärder. Vidare reglerar AI-förordningen AI-system genom att införa vissa krav och skyldigheter för relevanta marknadsaktörer som släpper ut dem på marknaden, tar dem i bruk eller använder dem i EU. För att säkerställa en rättslig ram för tillsyn och ett säkert och kontrollerat område för experiment, med säkerställande av ansvars- full innovation och integrering av ändamålsenliga skydds- och risk- begränsningsåtgärder, ställs krav på att medlemsstaterna ska inrätta åtminstone en regulatorisk sandlåda för AI på nationell nivå för att underlätta utveckling och testning av innovativa AI-system under strikt tillsyn innan dessa system släpps ut på marknaden eller på annat sätt tas i bruk. Utöver regulatoriska sandlådor för AI inkluderar för- 81 Uppdraget och dess genomförande SOU 2025:101 ordningen andra implementeringsstöd och innovationsfrämjande åtgärder. Utredningen ska mot denna bakgrund bl.a. • lämna förslag på hur systemet för marknadsövervakning, mark- nadskontroll, styrning och kontroll av efterlevnad ska utformas, • lämna förslag på vilken eller vilka befintliga myndigheter som bör utses till nationella behöriga myndigheter enligt AI-förordningen, • lämna förslag på vilken eller vilka befintliga myndigheter som bör utses till anmälande myndigheter enligt AI-förordningen, • lämna förslag på vilken befintlig myndighet som bör utses till den marknadskontrollmyndighet som ska vara gemensam kontakt- punkt enligt AI-förordningen, • analysera och vid behov föreslå vilken eller vilka ytterligare be- fintliga myndigheter som bör utses som ansvariga för att säker- ställa en fungerande marknadsövervakning, marknadskontroll, styrning och kontroll av efterlevnad enligt AI- förordningen, • analysera och vid behov lämna förslag på sådan nationell anpass- ning som krävs för att de föreslagna myndigheterna och andra be- rörda offentliga organ ska kunna utföra sina skyldigheter enligt AI-förordningen på ett effektivt och rättssäkert sätt, • analysera och lämna förslag på vad som behövs för att uppfylla kravet på sanktioner vid överträdelser av förordningen, • analysera och lämna förslag på vad som behövs för att kunna in- rätta en eller flera regulatoriska sandlådor i Sverige och ta ställ- ning till vilken eller vilka befintliga myndigheter eller andra aktörer som bör utses för att uppfylla de krav som föreslås, • analysera och vid behov föreslå i vilken utsträckning Sverige bör delta i AI-förordningens föreslagna implementeringsstöd och innovationsfrämjande åtgärder samt på vilket sätt det ska ske, och • kartlägga övriga behov av nationell anpassning till följd av AI- förordningen och föreslå hur sådana behov ska tillgodoses. Utredningen ska redovisa sitt uppdrag senast den 30 september 2025. 82 SOU 2025:101 Uppdraget och dess genomförande 2.2 Utgångspunkter Utredningen har som utgångspunkt använt ord, uttryck och defini- tioner som används i AI-förordningen i samma betydelse som avses där om inget annat anges. Utredningen har endast tolkat bestämmel- serna i AI-förordningen när det har behövts för att bedöma behovet av nationell anpassning till förordningen. I övrigt varken får eller bör utredningen uttolka EU-regleringen och har inte heller gjort det. Av det skälet har utredningen inte heller lämnat några exempel på tillämp- ning av AI-förordningen. AI-förordningen är ett samlat regelverk på ett område som inte tidigare har reglerats på det sättet. Förordningen berör i princip samt- liga sektorer i samhället och omfattar såväl privata som offentliga aktörer. För att utföra uppdraget har utgångspunkterna för utred- ningen därför behövt vara förhållandevis breda. Riksdagen har beslutat att målet för Sveriges digitaliseringspolitik är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. Regeringen har kompletterat denna målsättning med att i Sverige ska AI och framväxande tekniker användas och utvecklas för att driva samhällsnytta, hållbar utveckling, konkurrenskraft och innovation. Det har naturligtvis varit utredningens utgångspunkt att dessa målsättningar ska uppfyllas. 2.3 Utredningens genomförande Utredningen har hållit sju protokollförda sammanträden med sak- kunniga och experter. För att hämta in kunskap om och diskutera särskilda frågor har sekretariatet vid flera tillfällen haft enskilda möten med utredningens experter och deras kollegor. Detta gäller särskilt experter som arbetar på myndigheter som har haft uppdrag som bedömts relevanta för ut- redningen och myndigheter som särskilt har berörts av utredningens förslag. Utredningen har i samma syfte även vid ett stort antal tillfällen haft möten med andra aktörer som inte har medverkat som experter i ut- redningen. Utredningen har exempelvis deltagit på två möten med marknadskontrollrådet, deltagit i workshops i forskningsprojektet Kapacitetsförstärkning för en effektivare AI-reglering, hållit en hearing med medlemsorganisationer i Svenskt Näringsliv, inhämtat kunskap 83 Uppdraget och dess genomförande SOU 2025:101 från medlemsorganisationer i AI Sweden och haft möten med repre- sentanter från akademin. Utredningen har även haft möten med flera fackförbund och intresseorganisationer för att presentera utredning- ens uppdrag och inhämta synpunkter från flera perspektiv. För att utföra uppdraget har utredningen hållit sig uppdaterad om arbetet med anpassningen till AI-förordningar i vissa andra medlems- stater. Det har skett genom möten med representanter från Digitali- seringsstyrelsen i Danmark och representanter från Arbets- och näringsministeriet i Finland. Utredningen har även haft tillgång till underlag innehållande förslag till anpassning till AI-förordningen i Norge, Nederländerna och Tyskland. Utredningen har dessutom medverkat på ett undergruppsmöte till AI-styrelsen inom EU. En stor del av det kunskapsinhämtande arbetet har behövt ske via möten eftersom AI-området är nytt och i ständig förändring. Utredningen har tagit del av AI-kommissionens färdplan för Sverige (Förstärkt AI-förmåga i Sverige, dir. 2023:164) och beaktat färdplanens slutsatser i tillämpliga delar. Vidare har utredningen hållit sig informerad om arbetet i implementeringsrådet (dir. 2024:51) och resultatet av rådets utredning samt hållit sig uppdaterad om arbetet i flera närliggande utredningar inom det digitala decenniet. Utredningen har hållit möten och presenterat utredningens upp- drag och arbete för representanter från de myndigheter som omfattas av utredningens förslag samt gett de myndigheter som berörs av ut- redningens förslag tillfälle att inkomma med synpunkter på förslagen. Uppdraget har varit brett och omfattande sett till vilka olika delar som utredningen ska redovisa. Därtill har uppdraget berört i princip alla samhällets sektorer. Detta har gjort att utredningen har behövt arbeta med ständig kunskapsinhämtning under utredningens gång för att därefter analysera informationen och göra de bedömningarna och lämna de förslag som presenteras. Utredningen ser dessutom an- ledning att påtala att den, med hänsyn främst till den korta tid som har gällt för medlemsstaterna att anpassa nationell lagstiftning till AI- förordningen, har arbetat under en mycket snäv tidsram. Därtill har utredningen haft begränsade personella och ekonomiska resurser. Utredningen har därför behövt prioritera arbetet och göra vissa av- vägningar för att kunna uppfylla sitt uppdrag och lämna ett fullgott beredningsunderlag. Utredningen har begränsat sig till att föreslå bestämmelser i lag samt en förordning som kompletterar AI-förord- ningen. Utredningen har beträffande vissa andra svenska förordningar 84 SOU 2025:101 Uppdraget och dess genomförande endast gjort bedömningar att det kan eller bör göras ändringar i dessa. Dessutom har utredningen behövt begränsa arbetet till att exempel- vis i kapitel 12 endast föreslå bestämmelser om regulatoriska sand- lådor för AI, och har inte övervägt eller lämnat förslag till hur en regulatorisk sandlåda för AI ska samverka med andra potentiella regulatoriska sandlådor. Området som utredningen berör har varit i ständig förändring, bl.a. genom nya utredningar som har tillsatts, genomförandeakter som har beslutats av kommissionen och andra nyheter på AI-området som har aktualiserats. Föränderligheten inom området har påverkat utredningens arbete. Även andra regeringsuppdrag har påverkat ut- redningens arbete, exempelvis regeringens uppdrag till PTS och Digg att utreda en potentiell sammanslagning av myndigheterna. Föränder- ligheten under utredningens uppdrag har medfört att arbetet löpande har behövt anpassas och i vissa avseenden byta inriktning. Mot denna bakgrund och för att hinna uppdatera och slutföra betänkandet i alla delar inom utredningstiden har utredningen behövt begränsa den information som utredningen har beaktat till den information som har varit tillgänglig till och med den 31 juli 2025. Utredningen har löpande presenterat överväganden, bedömningar och förslag för sakkunnig- och expertgruppen. Det presenterade materialet har diskuterats under utredningens möten och sakkunniga och experter har även haft möjlighet att lämna skriftliga synpunkter på materialet. Under utredningstiden har olika uppfattningar från sakkunniga och experter avseende överväganden, bedömningar och förslag diskuterats och beaktats. Bedömningarna och förslagen i be- tänkandet är den särskilda utredarens och sakkunniga och experter har i huvudsak varit eniga i dessa. Sakkunniga får enligt 20 § kom- mittéförordningen (1998:1474) foga särskilda yttranden till ett be- tänkande. En sådan möjlighet har utredaren, enligt 21 § samma för- ordning, även gett experterna. Några särskilda yttranden har dock inte lämnats. 2.4 Betänkandets disposition I inledningen av betänkandet finns en förkortningslista. Utredningen använder sig konsekvent av de förkortningarna löpande i betänkandet i samtliga delar, med undantag för utredningens författningsförslag. 85 Uppdraget och dess genomförande SOU 2025:101 Betänkandet inleds i kapitel 3 med en kort genomgång av gäll- ande rätt som påverkar den nationella anpassningen till AI-förord- ningen. AI-förordningen beskrivs i allmänna ordalag i kapitel 4. Dessa kapitel är bakgrundskapitel och syftar till att skapa en förståelse för det material som utredningen har tagit till sig under utredningen. Ut- redningens analys med bedömningar och förslag finns i kapitel 5–15. I kapitel 5 redogör utredningen för behovet av kompletterande regelverk till AI-förordningen. Utredningens överväganden beträff- ande utseende av marknadskontrollmyndigheter enligt AI-förord- ningen finns i kapitel 6 och av anmälande myndigheter enligt AI- förordningen i kapitel 7. I kapitel 8 redogör utredningen för vissa frågor i förhållande till artikel 77 i AI-förordningen som berör natio- nella offentliga myndigheter eller organ som utövar tillsyn över eller kontrollerar efterlevnaden av skyldigheter enligt unionsrätt om skydd av grundläggande rättigheter, inbegripet rätten till icke-diskriminering. I kapitel 9 behandlar utredningen frågor om samordning och sam- verkan och vissa frågor om sekretess inom systemet för marknads- övervakning och kontroll. I kapitel 10 redogör utredningen för be- fogenheter och ingripanden. I kapitel 11 behandlar utredningen frågor om nationell registrering av vissa AI-system med hög risk. I kapitel 12 behandlar utredningen frågor om regulatoriska sandlådor för AI och testning under verkliga förhållanden. Utredningens bedömning avseende Sveriges roll i EU-arbetet i förhållande till AI-förordningen finns i kapitel 13 som handlar om stöd för tillämpning och efterlev- nadskontroll. I kapitel 14 gör utredningen vissa bedömningar och överväganden om övriga nödvändiga åtgärder. I kapitel 15 behandlar utredningen frågan om ikraftträdande av utredningens förslag. I kapi- tel 16 finns utredningens konsekvensutredning och i kapitel 17 finns utredningens författningskommentar. 86 3 Gällande rätt 3.1 Inledning AI-förordningen fastställer harmoniserade regler som är tillämpliga för utsläppande på marknaden, ibruktagande och användning av AI- system inom EU. Nuvarande svensk lagstiftning anger inte specifikt AI som del av ett rättsområde och det finns ingen rättslig definition av AI i svensk rätt. Det finns sedan tidigare inte heller någon svensk eller unions- rättslig lagstiftning som specifikt berör AI-system. Svensk och unionsrättslig lagstiftning är som utgångspunkt dock teknikneutral, innebärande att aktörer som utvecklar och använder AI-system be- höver förhålla sig till gällande rätt, t.ex. i frågor om upphovsrätt, offentlighet och sekretess samt om regler kring automatiserat besluts- fattande. Utredningen redogör inte närmare för sådan lagstiftning i detta kapitel. AI-förordningen är till viss del en rättighetslagstiftning och en rättsakt som syftar till att främja innovation. Huvudsakligen är AI- förordningen dock en produktsäkerhetslagstiftning som fastställer harmoniserade regler som är tillämpliga för utsläppande på mark- naden, ibruktagande och användning av AI-system i enlighet med den s.k. nya lagstiftningsramen.1 En grundläggande förståelse för hur det nuvarande systemet med reglering av produkter på den inre marknaden fungerar underlättar förståelsen av AI-förordningen. I avsnitt 3.2 redogör utredningen därför översiktligt för nuvarande system för produktreglering och marknadskontroll på den inre mark- 1 Begreppet den nya lagstiftningsramen är mer känt genom dess engelska beteckning New Legi- slative Framework (NLF), och baseras på EU:s förordning om ackreditering, EU:s marknads- kontrollförordning samt Europaparlamentets och rådets beslut nr 768/2008/EG av den 9 juli 2008 om en gemensam ram för saluföring av produkter och upphävande av rådets beslut 93/465/EEG. 87 Gällande rätt SOU 2025:101 naden. I avsnitt 3.3 beskriver utredningen därefter hur denna regler- ing har kompletterats i svensk rätt. AI-förordningen är vidare en rättsakt som har utvecklats som del av EU:s digitala decennium med digitala mål för 2030 (EU:s digitala decennium)2. Inom ramen för det digitala decenniet har ett flertal nya rättsakter utvecklats inom områden såsom data, cyber- säkerhet, digital integritet, digitala tjänster och AI. För att sätta AI- förordningen i sitt sammanhang innehåller avsnitt 3.4 en övergrip- ande beskrivning av några av dessa rättsakter. 3.2 Unionsrättslig produktreglering och marknadskontroll 3.2.1 Den fria rörligheten inom EU för varor EU:s tullunion och den inre marknaden EU är en tullunion. Medlemmarna i tullunionen har en gemensam handelspolitik och gemensamma regler och tullar för varor som kommer från länder utanför unionen. Tullunionen har en gemen- sam tullagstiftning och tulltaxa. Inom tullunionen finns inga tullar mellan länderna. EU-samarbetet är dock mer än bara en tullunion. En fri handel mellan EU:s medlemsstater och en gemensam mark- nad var en målsättning redan i Rom-fördraget från 1957. Den inre marknaden fullbordades 1993 och garanterar de fyra friheterna, fri rörlighet för varor, tjänster, personer och kapital. Syftet är att undan- röja hinder mellan länderna och att genom den fria rörligheten skapa förutsättningar för ekonomisk tillväxt och välfärd. Den inre mark- naden har således funnits i över 30 år och består för närvarande av EU-länderna samt EES-länderna Norge, Island och Liechtenstein. Principen om ömsesidigt erkännande Grundprinciperna för varors fria rörlighet framgår av artiklarna 34 och 35 i EUF-fördraget. Av artiklarna följer att medlemsstaterna är förhindrade att vidta åtgärder som hindrar handel med varor mellan 2 Europaparlamentet och rådets beslut (EU) 2022/2481 av den 14 december 2022 om inrätt- ande av policyprogrammet för det digitala decenniet 2030. 88 SOU 2025:101 Gällande rätt medlemsstaterna. Reglerna omfattar dels direkta förbud och restrik- tioner mot införsel av varor, dels åtgärder som mer indirekt hindrar varuhandeln. I artikel 36 i EUF-fördraget anges de undantagsfall där medlemsstaterna får inskränka den fria rörligheten för varor. Det finns en omfattande rättspraxis från EU-domstolen gällande varors fria rörlighet. Ett av de mest kända rättsfallen på området är EU-domstolens dom i målet Cassis de Dijon3, där EU-domstolen slog fast den s.k. principen om ömsesidigt erkännande. Utgångs- punkten enligt principen är att medlemsstaterna ömsesidigt ska godta varor som lagligen säljs och marknadsförs i en annan medlemsstat utan vidare kontroll och oavsett om varan uppfyller kraven i den mot- tagande medlemsstaten eller inte. Av detta följer att en medlemsstat är skyldig att acceptera de eventuella provningar eller kontroller som en produkt redan genomgått i en annan medlemsstat. Principen om ömsesidigt erkännande framgår numera även av EU:s förordning om ömsesidigt erkännande av varor4, som fastställer när- mare regler och förfaranden avseende medlemsstaternas tillämpning av principen om ömsesidigt erkännande. Harmonisering genom gemensamma krav Som komplement till principen om ömsesidigt erkännande har ett stort antal regler beslutats på EU-nivå med harmoniserade, dvs. gemensamma, krav på varor och tjänsters egenskaper. Tidigare antogs harmoniserade produktregler i huvudsak genom direktiv men under senare år har det blivit allt vanligare med harmoni- serade regler i EU-förordningar. När reglerna på ett visst område väl är harmoniserade är medlemsstaterna förhindrade att besluta om regler inom samma område. Rättsakter som innehåller produktregler har utformats enligt två olika metoder. Rättsakter enligt den s.k. gamla metoden innehåller detaljerade tekniska krav på produktegenskaper och ofta en ordning för produktgodkännande. Sedan mitten av 1980-talet används i de flesta fall i stället den nya metoden, eller den s.k. nya lagstiftnings- 3 Se EU-domstolens dom den 20 februari 1979 i mål nr 120/78, Rewe Zentral AG mot Bundes- monopolverwaltung für Branntwein, ECLI:EU:C:1979:42. 4 Europaparlamentets och rådets förordning (EU) 2019/515 av den 19 mars 2019 om ömse- sidigt erkännande av varor som är lagligen saluförda i en annan medlemsstat och om upp- hävande av förordning (EG) nr 764/2008. 89 Gällande rätt SOU 2025:101 ramen. Rättsakter enligt den nya lagstiftningsramen innehåller endast de grundläggande krav som en produkt ska uppfylla. De närmare tekniska detaljerna återfinns, till skillnad från tidigare, i standarder som utarbetats av europeiska standardiseringsorgan på uppdrag av kommissionen. Standarderna är inom de flesta sektorer frivilliga för tillverkaren att tillämpa men en produkt som uppfyller de krav som anges i standarden förutsätts också uppfylla rättsaktens krav. En tillverkare kan välja att inte tillämpa standarden utan i stället visa att produkten uppfyller gällande krav på annat sätt. Standarder uppdateras regelbundet för att motsvara den tekniska utvecklingsnivån i samhället. Detta innebär att den faktiska kravnivån på produkterna förändras över tid utan att lagstiftningens grund- läggande krav ändras. Efter det att harmoniserade standarder har reviderats och uppdaterats för att motsvara den tekniska utvecklings- nivån kan alltså produkter som tidigare har fått släppas ut på mark- naden bedömas inte längre uppfylla kraven för detta. Systemet för kontroll av produkter enligt den nya lagstiftnings- ramen bygger på att det är tillverkarens ansvar att en produkt som släpps ut på marknaden uppfyller gällande krav och är provad och märkt på ett korrekt sätt. Tillverkarens ansvar manifesteras genom att denne förser produkten med CE-märkning eller motsvarande och utfärdar en EU-försäkran om överensstämmelse. Genom märk- ningen intygar tillverkaren att produkten uppfyller samtliga krav som föreskrivs i den relevanta unionsrättsakten. Märkningen syftar till att underlätta myndigheternas kontroll av att produkterna upp- fyller gällande krav och får endast anbringas av tillverkaren eller dennes representant. Detta system ska förstås i förhållande till att det enligt tidigare modell ofta var obligatoriskt att produkter skulle kontrolleras av myndigheter innan de fick släppas ut på marknaden. I AI-förordningen används begreppet leverantör på ett liknande sätt som begreppet tillverkare används i andra unionsrättsakter. AI- förordningen uppställer därtill krav på andra kategorier av aktörer, s.k. operatörer (se artiklarna 2.1 och 74.1 a). 90 SOU 2025:101 Gällande rätt 3.2.2 Grundläggande begrepp i rättsakter enligt den nya lagstiftningsramen Bedömning av överensstämmelse Inom EU sker kontrollen av produkter numera genom ett förfarande för vilket det vedertagna EU-rättsliga begreppet bedömning av över- ensstämmelse används. Begreppet bedömning av överensstämmelse innebär enkelt uttryckt en prövning av att specificerade krav avseende en produkt är uppfyllda. Kraven kan avse olika aspekter, exempelvis säkerhet eller hälsa. Vilka krav som ska uppfyllas kan framgå av för- fattning, branschöverenskommelse eller standard. Bedömningen görs genom en särskild procedur innan en produkt släpps ut på marknaden. Proceduren ska garantera att produkten är säker vid tiden för dess utsläppande på marknaden. Bedömning av överensstämmelse görs även på andra områden än på produktområdet och kan gälla en tjänst, en process, ett system eller en person. För att bedöma om kraven uppfylls används olika procedurer, bl.a. provning, kontroll och certifiering. Att ett sådant förfarande har genomförts innebär alltså en bekräftelse på att pro- dukten, processen, systemet, personen eller tjänsten uppfyller kraven i t.ex. en standard. Bedömning av överensstämmelse hos en tredje part är en tjänst som en tillverkare (eller leverantör) köper på marknaden. I EU-lag- stiftningen krävs att den tredje parten är ett s.k. anmält organ. Anmälda organ När en produkt ska släppas ut på marknaden är tillverkaren (eller leverantören), som tidigare nämnts, ansvarig för att intyga att den uppfyller kraven i ett direktiv eller förordning som har utformats enligt den nya lagstiftningsramen. För vissa produkter krävs dock att en bedömning av överensstämmelse görs av en tredje part, ett anmält organ. Det är ett organ som har bedömts kompetent att ut- föra provning, kontroll eller certifiering enligt ett visst EU-direktiv eller en viss EU-förordning och som har anmälts till kommissionen för sådana uppgifter. De anmälda organen utses av respektive med- lemsstat genom anmälande myndigheter hos medlemsstaten. Anmälda organ utför sin verksamhet på uppdrag av de tillverkande företagen. 91 Gällande rätt SOU 2025:101 En tillverkare (eller leverantör) kan vända sig till valfritt anmält organ inom EU. Ett anmält organ kan vara en myndighet, ett företag eller en annan slags organisation. Anmälande myndighet Begreppet anmälande myndighet är inte definierat EU-rättsligt men förekommer i flera EU-rättsakter. I flera rättsakter beskrivs en an- mälande myndighet som ett nationellt organ med ansvar för att in- rätta eller fastställa och genomföra de förfaranden som krävs för bedömning och anmälan av organ för bedömning av överensstäm- melse och för övervakning av anmälda organ.5 Det är således den anmälande myndigheten som är ansvarig för att anmäla s.k. anmälda organ till kommissionen. EU-rättsakter är ofta utformade på ett sådant sätt att medlemsstaterna får bestämma att den bedömning och övervakning som den anmälande myndigheten ska ansvara för ska utföras av ett nationellt ackrediteringsorgan enligt definitionen i EU:s förordning om ackreditering. Ackreditering Med ackreditering avses ett formellt erkännande att ett organ är kompetent att utföra vissa specificerade tjänster, t.ex. provning och certifiering. Ackrediteringen meddelas av ett särskilt ackrediterings- organ efter genomförd utvärdering av ett organ. Ackreditering syftar till att bedöma och säkerställa att tillämpliga krav på organen uppfylls. Begreppet ackreditering definieras i artikel 2.10 i EU:s förordning om ackreditering. 5 Exempelvis Europaparlamentets och rådets förordning (EU) 2016/426 av den 9 mars 2016 om anordningar för förbränning av gasformiga bränslen och om upphävande av direktiv 2009/142/EG, Europaparlamentets och rådets förordning (EU) 2023/1542 av den 12 juli 2023 om batterier och förbrukade batterier, om ändring av direktiv 2008/98/EG och förordning (EU) 2019/1020 och om upphävande av direktiv 2006/66/EG samt Europaparlamentets och rådets förordning (EU) 2023/1230 av den 14 juni 2023 om maskiner och om upphävande av Europaparlamentets och rådets direktiv 2006/42/EG och rådets direktiv 73/361/EEG. 92 SOU 2025:101 Gällande rätt CE-märkning Sedan 1990-talet innehåller rättsakter enligt den nya lagstiftnings- ramen generella regler för CE-märkning av produkter. CE står här för Conformité Européenne, dvs. det franska begreppet för euro- peisk överensstämmelse. Inom de flesta områden är det tillverkaren eller dennes representant som genom CE-märkningen garanterar att alla grundläggande hälso- och säkerhetskrav enligt respektive direktiv eller förordning är uppfyllda. Märkningen är också en garanti för att produkten har genomgått föreskrivna förfaranden för bedöm- ning av överensstämmelse. Marknadskontroll Den nya lagstiftningsramen har inneburit att det tidigare systemet med förhandskontroller av produkter har ersatts med ett system där tillverkaren (eller leverantören) som huvudregel ansvarar för att pro- dukter uppfyller gällande krav. För att likväl säkerställa att produkter på den inre marknaden uppfyller gällande krav används marknads- kontroll, vilket är en kontroll av produkter först efter att dessa har släppts på marknaden. Begreppet marknadskontroll är unionsrättsligt och infördes i Sverige i samband med anslutningen till EES. Marknadskontroll definieras i artikel 3.3 i EU:s marknadskontrollförordning som den verksamhet som bedrivs och de åtgärder som vidtas av marknadskon- trollmyndigheterna för att säkerställa att produkterna överensstämmer med de krav som fastställs i relevant harmoniserad unionslagstiftning samt säkerställa skydd av det allmänintresse som omfattas av den lag- stiftningen. Marknadskontrollen utförs i regel genom stickprovsvisa under- sökningar av produkter på marknaden. Marknadskontroll omfattar inte kontroll i konstruktions- och tillverkningsskedet och inte heller återkommande kontroll eller besiktning för att kontrollera om en produkt i användning fortfarande uppfyller kraven i regelverket trots förslitningar. Marknadskontrollen har blivit särskilt viktig för att den inre marknaden ska kunna fungera. Harmoniserade rättsakter utformade enligt den nya lagstiftningsramen innehåller en skyldighet för med- lemsstaterna att bedriva marknadskontroll i en sådan omfattning att 93 Gällande rätt SOU 2025:101 produkter som inte uppfyller gällande krav upptäcks. Rättsakterna innehåller dock vanligen inte några mer preciserade regler om hur eller i vilken omfattning marknadskontroll ska bedrivas. Sedan 2010 är marknadskontroll reglerat på en sektorsövergrip- ande nivå, initialt genom EU:s förordning om ackreditering, som senare, beträffande avsnitten om marknadskontroll, ersatts av EU:s marknadskontrollförordning. Syftet med de gemensamma reglerna om marknadskontroll är att se till att kontroll bedrivs på ett likvärdigt sätt i samtliga medlemsstater och för samtliga reglerade produkt- områden. 3.2.3 Rättsakter av betydelse för AI-förordningen EU:s förordning om ackreditering EU:s förordning om ackreditering tillämpas fr.o.m. den 1 januari 2010. Den innehåller bestämmelser om ackreditering, marknads- kontroll, kontroll av produkter från tredjeländer och CE-märkning. Bestämmelserna om ackreditering och CE-märkning är fortfarande tillämpliga, medan bestämmelserna om marknadskontroll har upp- hävts och ersatts EU:s marknadskontrollförordning. EU:s förordning om ackreditering innehåller gemensamma krav för ackreditering inom EU (kapitel II). Förordningen föreskriver att varje medlemsstat ska utse ett enda nationellt ackrediteringsorgan som är icke vinstdrivande och oberoende (artikel 4). Ackrediterings- organen är ansvariga för att bedöma och säkerställa att organ för be- dömning av överensstämmelse, s.k. anmälda organ, är kompetenta att utföra sina uppgifter (artikel 5.1). De ska även utöva tillsyn över att anmälda organ som de har utfärdat ackrediteringsintyg för och vid behov begränsa eller återkalla ackrediteringsintyg (artiklarna 5.3 och 5.4). De nationella ackrediteringsorganen ska inte konkurrera med anmälda organ eller med andra nationella ackrediteringsorgan (artiklarna 6.1 och 6.2). EU:s förordning om ackreditering innehåller även gemensamma bestämmelser för hur CE-märkning ska ske inom EU (kapitel IV). CE-märkning definieras i förordningen som en märkning genom vilken tillverkaren visar att produkten överensstämmer med tillämp- liga krav som fastställs i harmoniserad unionslagstiftning med före- 94 SOU 2025:101 Gällande rätt skrifter om märkningen samt att produkten har genomgått före- skriven bedömning av överensstämmelse (artikel 2.20). Förordningen kompletteras i svensk rätt när det gäller ackredi- tering och CE-märkning, med lagen (2011:791) om ackreditering och teknisk kontroll och förordningen (2011:811) om ackreditering och teknisk kontroll. Utredningen beskriver dessa författningar närmare i kapitel 7. Förordningens förhållande till AI-förordningen AI-förordningen fastställer harmoniserade regler för AI-system på EU:s inre marknad i enlighet med den s.k. nya lagstiftningsramen. AI-förordningen innehåller bl.a. bestämmelser om anmälande myn- digheter och s.k. anmälda organ. I kapitel 7 tar utredningen upp hur dessa bestämmelser förhåller till EU:s förordning om ackreditering. EU:s marknadskontrollförordning EU:s marknadskontrollförordning tillämpas fr.o.m. den 16 juli 2021. Genom förordningen har artiklarna 15–29 i EU:s förordning om ackreditering ersatts. Syftet med EU:s marknadskontrollförordning är att göra reglerna för harmoniserade produktkrav tydligare och mer enhetliga samt att förbättra och förenkla systemet för marknadskon- troll av produkter. I skälen till EU:s marknadskontrollförordning framhålls att en kraftfull tillsyn av produkter är en förutsättning både för skyddet av allmänintressen och för att skapa förutsättningar för utveckling av en rättvis konkurrens på unionsmarknaden. Vidare anges att det därför behövs regler för att säkerställa tillsynen, oberoende av om produkterna släpps ut på marknaden på eller utanför internet och oberoende av om de tillverkas i EU eller inte. Mot denna bakgrund innehåller förordningen gemensamma bestämmelser om bl.a. natio- nell marknadskontroll, kontroll av produkter vid EU:s yttre gräns och gränsöverskridande samarbete. Bestämmelserna i EU:s marknadskontrollförordning utgör ett ramverk som kompletterar och stärker befintliga bestämmelser i harmoniserad unionslagstiftning på produktområdet. Förordningen gäller för produkter som omfattas av den harmoniserade unionslag- stiftning som förtecknas i bilaga I till förordningen, och tillämpas i 95 Gällande rätt SOU 2025:101 den mån det inte finns några särskilda bestämmelser med samma syfte i harmoniserad unionslagstiftning som på ett mer specifikt sätt reglerar särskilda aspekter av marknadskontroll och tillsyn (artikel 2.1). Bilaga I rymmer 70 förordningar och direktiv på pro- duktområdet som EU har beslutat. I kapitel 10 redogör utredningen ingående för ett flertal bestäm- melser i EU:s marknadskontrollförordning. EU:s marknadskontrollförordning kompletteras i svensk rätt genom förordningen (2014:1039) om marknadskontroll av varor och annan närliggande tillsyn. Därutöver finns regler om marknads- kontroll i produktsäkerhetslagen (2004:451) och produktsäkerhets- förordningen (2004:469) samt i sektorsspecifika författningar. Förordningens förhållande till AI-förordningen AI-förordningen fastställer harmoniserade regler för AI-system på EU:s inre marknad i enlighet med den nya lagstiftningsramen. Den nya lagstiftningsramen bygger på EU:s marknadskontrollförordning. EU:s marknadskontrollförordning är följaktligen central för bestäm- melserna i AI-förordningen i flera avseenden, vilket utredningen åter- kommer till i olika kapitel, bl.a. i kapitel 6 och 10. 3.3 Marknadskontroll i Sverige 3.3.1 Begreppet marknadskontroll I avsnitt 3.2.2 beskriver utredningen hur marknadskontroll definieras unionsrättsligt. I svensk rätt definieras marknadskontroll som den verksamhet som en statlig myndighet bedriver och de åtgärder som den vidtar för att se till att en vara som tillhandahålls på marknaden uppfyller gällande krav.6 Bestämmelser som rör marknadskontroll finns i ett stort antal svenska lagar, förordningar och myndighetsföreskrifter. Begreppet marknadskontroll används emellertid inte genomgående i de olika regelverken, utan i vissa fall återfinns bestämmelser om kontroll av produkter i stället under benämningen tillsyn. Det finns därför an- 6 2 § förordning (2014:1039) om marknadskontroll av varor och annan närliggande tillsyn. 96 SOU 2025:101 Gällande rätt ledning att här kort beröra hur begreppet marknadskontroll förhåller sig till begreppet tillsyn. Begreppet tillsyn förekommer i ett stort antal svenska författ- ningar. Någon enhetlig och vedertagen definition av begreppet finns inte i svensk rätt. I regeringens skrivelse 2009/10:79 En tydlig, rätts- säker och effektiv tillsyn föreslogs att tillsynsbegreppet främst bör an- vändas för verksamhet som avser självständig granskning för att kon- trollera om tillsynsobjekt uppfyller krav som följer av lagar och andra bindande föreskrifter och vid behov kan leda till beslut om åtgärder som syftar till att åstadkomma rättelse av den objektsansvarige.7 Finansutskottet i riksdagen välkomnade skrivelsen och ansåg att den kan utgöra ett stöd och en vägledning för det fortsatta arbetet med att se över sektorslagar och deras tillsynsbestämmelser. Utskottet be- dömde också att den kan vara en utgångspunkt när regler för tillsyn på nya områden utformas. Utskottet ansåg att tillsynen bör bli tyd- ligare och mer enhetlig och bygga på ett enhetligt tillsynsbegrepp. En fullständig enhetlighet för alla tillsynsområden bedömdes dock inte möjlig, bl.a. beroende på att internationella avtal och EU-rätten kan påverka tillsynens utformning. Utskottet föreslog att riksdagen skulle lägga skrivelsen till handlingarna. Riksdagen beslutade i en- lighet med finansutskottets förslag.8 Tillsyn kan avse vitt skilda verksamheter och riktas vanligtvis mot ett föremål, en anläggning, en verksamhet eller en typ av vara, s.k. tillsynsobjekt. Marknadskontroll kan beskrivas som en mer avgränsad form av tillsyn eftersom den enbart avser produkter som tillhanda- hålls på marknaden och riktar sig mot ekonomiska aktörer (som i AI- förordningens fall benämns operatörer, se artiklarna 2.1 och 74.1 a). 3.3.2 Organisering av marknadskontroll i Sverige Sverige har ett decentraliserat system för marknadskontroll och an- svaret för kontrollen är uppdelat mellan flera statliga myndigheter som har olika ansvarsområden enligt sektorsspecifika författningar. Därtill utövar Sveriges 290 kommuner kontroll av produktkrav på ett begränsat antal områden. 7 Skr. 2009/10:79, s 14. 8 2009/10:FiU12, rskr. 2009/10:210. 97 Gällande rätt SOU 2025:101 Uppdelningen av marknadskontrollansvaret utgår oftast från olika egenskaper eller risker hos produkterna snarare än själva produkt- slaget, t.ex. att en produkt är avsedd att användas på arbetsplatser respektive för privat bruk eller att den är brandfarlig. Det medför att flera myndigheter kan vara ansvariga för samma produktslag men för olika egenskaper hos produkten. Ett exempel med delat ansvar är lek- saker, för vilka Konsumentverket har huvudansvaret för marknads- kontrollen medan Kemikalieinspektionen utövar marknadskontroll när det gäller leksakers brännbarhet och kemiska egenskaper samt Elsäkerhetsverket när det gäller leksakers elektriska egenskaper utom strålning. Vid Swedac finns ett råd för marknadskontroll (marknadskontroll- rådet) och myndigheten är dessutom utsedd till centralt samordnings- kontor för marknadskontroll enligt artikel 10.3 i EU:s marknads- kontrollförordning. Marknadskontrollrådet är det nationella samordningsorganet för marknadskontroll i Sverige. Rådet består av 15 statliga marknads- kontrollmyndigheter9 samt Kommerskollegium och Tullverket. Marknadskontrollrådet fungerar framför allt som ett forum för informations- och erfarenhetsutbyte mellan myndigheter och ska bl.a. vara ett samordningsorgan i frågor om marknadskontroll. De statliga marknadskontrollmyndigheternas verksamhet har kartlagts och närmare beskrivits i betänkandena Marknadskontroll- myndigheter – befogenheter och sanktionsmöjligheter (SOU 2017:69) samt Enhetlig och effektiv marknadskontroll (SOU 2020:49). 3.3.3 Nationell reglering om marknadskontroll EU:s marknadskontrollförordning kompletteras i svensk rätt av förordningen om marknadskontroll av varor och annan närliggande tillsyn. Förordningen innehåller även andra bestämmelser om mark- nadskontroll och om underrättelse- och rådgivningsskyldighet i vissa fall. Därutöver finns regler om marknadskontroll i produkt- säkerhetslagen och produktsäkerhetsförordningen samt i sektors- specifika författningar. 9 Arbetsmiljöverket, Boverket, Elsäkerhetsverket, Energimyndigheten, IVO, Kemikalie- inspektionen, Konsumentverket, Läkemedelsverket, MSB, Naturvårdsverket, PTS, Strål- säkerhetsmyndigheten, Swedac, Transportstyrelsen och Folkhälsomyndigheten. 98 SOU 2025:101 Gällande rätt Produktsäkerhetslagen och produktsäkerhetsförordningen genom- för EU:s produktsäkerhetsdirektiv10, som numera har upphävts och ersatts av EU:s förordning om allmän produktsäkerhet11. Genom- förandet av EU:s förordning om allmän produktsäkerhet bereds för närvarande inom Regeringskansliet.12 Regeringen har den 30 januari 2025 beslutat att ge Konsument- verket, Elsäkerhetsverket, Kemikalieinspektionen, Läkemedelsverket, Arbetsmiljöverket, Boverket och MSB, i uppdrag att under 2025 och 2026, för produkter som omfattas av deras respektive ansvarsområde och i enlighet med vissa specifikationer, vara nationella behöriga marknadskontrollmyndigheter enligt EU-förordningen om allmän produktsäkerhet. Regeringen har även gett Swedac i uppdrag att under 2025 och 2026 vara centralt samordningskontor enligt artikel 23 i EU- förordningen om allmän produktsäkerhet samt Konsumentverket i uppdrag att under 2025 och 2026 bl.a. att vara nationell kontaktpunkt enligt artikel 25 i EU-förordningen om allmän produktsäkerhet.13 I kapitel 6 redogör utredningen för några sektorsspecifika författ- ningar. Övrig sektorslagstiftning inom marknadskontrollområdet har i stor utsträckning kartlagts och närmare beskrivits i SOU 2020:49. 3.4 EU:s digitala decennium och närliggande rättsakter 3.4.1 Inledning AI-förordningen har tillkommit som en följd av EU:s digitala decen- nium. Inom ramen för det digitala decenniet har det tagits fram en Europeisk förklaring om digitala rättigheter och principer för det digitala decenniet14. Ett flertal nya rättsakter har också utvecklats inom områden för bl.a. data, cybersäkerhet, digital integritet och 10 Europaparlamentets och rådets direktiv 2001/95/EG av den 3 december 2001 om allmän produktsäkerhet. 11 Europaparlamentets och rådets förordning (EU) 2023/988 av den 10 maj 2023 om allmän produktsäkerhet, ändring av Europaparlamentets och rådets förordning (EU) nr 1025/2012 och Europaparlamentets och rådets direktiv (EU) 2020/1828 och om upphävande av Europa- parlamentets och rådets direktiv 2001/95/EG och rådets direktiv 87/357/EEG. 12 Utredningen om kompletterande bestämmelser till EU-förordningen om allmän produkt- säkerhet (Fi 2024:F). 13 Regeringsbeslut, 2025-01-30, Fi2025/00202. 14 Europeisk förklaring om digitala rättigheter och principer för det digitala decenniet 2023/C 23/01. 99 Gällande rätt SOU 2025:101 digitala tjänster. I detta kapitel redogör utredningen övergripande för några sådana rättsakter. Rättsakterna som berörs i nedanstående avsnitt tas upp eftersom utredningen bedömer att de har viss relevans i förhållande till AI-för- ordningen. Sådana beröringspunkter tas upp i andra kapitel i betänk- andet, bl.a. i kapitel 6. Några av rättsakterna som behandlas i avsnittet tillkom innan policyprogrammet för det digitala decenniet utvecklades och vissa utgör endast närliggande rättsakter. 3.4.2 Digital integritet EU:s dataskyddsförordning EU:s dataskyddsförordning är tillämplig sedan den 25 maj 2018. Syftet med förordningen är bl.a. att skydda fysiska personers grund- läggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Förordningen innehåller en reglering av sådan be- handling av personuppgifter som helt eller delvis företas på auto- matisk väg samt annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Förordningen bygger på flera grundläggande principer som styr behandlingen av personuppgifter. För att behandling av personupp- gifter ska vara laglig måste den bl.a. stödja sig på en rättslig grund. Med personuppgifter avses i förordningen varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identi- fikationsnummer, en lokaliseringsuppgift eller onlineidentifikator eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet (artikel 4.1). I Sverige kompletteras EU:s dataskyddsförordning genom lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning och förordningen (2018:219) med kompletterande be- stämmelser till EU:s dataskyddsförordning. IMY är tillsynsmyndighet enligt EU:s dataskyddsförordning och lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.15 15 3 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning. 100 SOU 2025:101 Gällande rätt EU:s brottsdatadirektiv När det gäller behandling av personuppgifter inom brottsbekämp- ningen ska EU:s brottsdatadirektiv tillämpas i stället för EU:s data- skyddsförordning. Liksom EU:s dataskyddsförordning syftar EU:s brottsdatadirektiv bl.a. till att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till skydd av personuppgifter. Direktivet är tillämpligt på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, ut- reda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Direktivets begrepp personuppgifter har samma betydelse som i EU:s dataskyddsförordning (artikel 3.1). I Sverige har direktivet i huvudsak genomförts genom brottsdata- lagen (2018:1177). IMY är tillsynsmyndighet enligt brottsdatalagen.16 3.4.3 Tillgång till data EU:s dataförvaltningsförordning EU:s dataförvaltningsförordning är den första EU-förordningen som har sin grund i EU:s datastrategi17. Bestämmelserna i dataförvaltnings- förordningen tillämpas fr.o.m. den 24 september 2023. Syftet med förordningen är att förbättra villkoren för datadelning på den inre marknaden genom att skapa en harmoniserad ram för utbyte av data och föreskriva vissa grundläggande krav på dataförvaltning, med sär- skild omsorg om att underlätta samarbetet mellan medlemsstaterna. I förordningen finns villkor och ramar för vidareutnyttjande av skyddade data som innehas av offentliga myndigheter. Förordningens bestämmelser om tillgängliggörande av skyddade data för vidareut- nyttjande ger inte någon rätt till tillgång till sådana data, utan regel- verket handlar om hur information kan och ska tillhandahållas när data görs tillgängliga. Genom förordningen inrättades vidare en ram för anmälan av och tillsyn över tillhandahållandet av dataförmedlings- tjänster, en ram för frivillig registrering av enheter som samlar in och behandlar data som tillhandahålls för altruistiska ändamål och en ram för inrättandet av en europeisk datainnovationsstyrelse. 16 2 a § förordningen (2007:975) med instruktion för Integritetsskyddsmyndigheten. 17 COM (2020) 66, Meddelande från kommissionen till Europaparlamentet, rådet, Euro- peiska ekonomiska och sociala kommittén samt Regionkommittén – En EU-strategi för data. 101 Gällande rätt SOU 2025:101 I Sverige kompletteras EU:s dataförvaltningsförordning i huvud- sak genom lagen (2024:500) med kompletterande bestämmelser till EU:s dataförvaltningsförordning och förordningen (2024:502) med kompletterande bestämmelser till EU:s dataförvaltningsförordning. PTS är tillsynsmyndighet enligt lagen med kompletterande bestäm- melser till EU:s dataförvaltningsförordning.18 Digg är behörigt organ enligt artikel 7 i EU:s dataförvaltningsförordning och har en samord- nande roll i förhållande till andra behöriga organ.19 EU:s dataförordning EU:s dataförordning är tillämplig fr.o.m. den 12 september 2025. Syftet med förordningen är att skapa ett enhetligt och rättvist regel- verk inom EU för att underlätta och reglera tillgången till och an- vändningen av data. Genom att underlätta delning och användning av data mellan företag, offentliga organ och individer syftar EU:s dataförordning till att stimulera innovation, öka företagens kon- kurrenskraft och driva ekonomisk tillväxt inom EU. Den ska säker- ställa rättvisa och transparenta villkor för dataåtkomst och dataan- vändning, förhindra oskäliga avtalsvillkor och ge tydliga riktlinjer för datadelning. Genom förordningen får offentliga organ dessutom möjlighet att vid exceptionella behov begära ut data från företag och organisationer. Förordningen underlättar också byte av databehand- lingstjänster och främjar interoperabilitet mellan olika datasystem. Regeringen har tillsatt en utredning som ska ta fram kompletter- ande bestämmelser till förordningen. Uppdraget ska redovisas senast den 22 december 2025.20 Av vårändringsbudgeten för 2025 framgår att regeringen avser att utse PTS till behörig myndighet för EU:s dataförordning.21 18 3 § förordningen med kompletterande bestämmelser till EU:s dataförvaltningsförordning. 19 1 c § förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning. 20 Dir. 2024:97, kommittédirektiv Kompletterande bestämmelser till EU:s dataförordning, beslutat den 17 oktober 2024 samt dir. 2025:46, tilläggsdirektiv till Utredningen om komplett- erande bestämmelser till EU:s dataförordning, beslutad den 30 april 2025. 21 Prop. 2024/25:99, utgiftsområde 22, s. 51. 102 SOU 2025:101 Gällande rätt 3.4.4 Cybersäkerhet NIS-direktivet Den 6 juli 2016 antogs NIS-direktivet. Syftet med NIS-direktivet var att förbättra den inre marknadens funktion genom att fastställa åt- gärder för att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom EU. Direktivet gäller för leverantörer av samhällsviktiga tjänster inom sju särskilt utpekade sektorer: energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Vidare omfattas leverantörer av vissa digitala tjänster. Enligt direktivet ställs bl.a. krav på att leverantörerna ska vidta säkerhetsåtgärder för att hantera risker och incidenter i nätverk och informationssystem som de är beroende av för att kunna tillhanda- hålla tjänsterna. Direktivet har genomförts i svensk rätt genom lagen om informa- tionssäkerhet för samhällsviktiga och digitala tjänster (2018:1174) (NIS-lagen), och förordningen (2018:1175) om informationssäker- het för samhällsviktiga och digitala tjänster. Befintliga tillsynsmyn- digheter enligt NIS-lagen är Energimyndigheten, Transportstyrelsen, Finansinspektionen, IVO, Livsmedelsverket och PTS. MSB är där- utöver gemensam kontaktpunkt och bl.a. ansvarig för leda ett sam- arbetsforum. NIS-direktivet har numera ersatts av NIS 2-direktivet, se nedan. NIS 2-direktivet Europaparlamentet och rådet antog den 14 december 2022 NIS 2- direktivet. NIS 2-direktivet ersätter det tidigare NIS-direktivet. I direktivet fastställs åtgärder för att uppnå en hög gemensam cyber- säkerhetsnivå inom EU, i syfte att förbättra den inre marknadens funktion. NIS 2-direktivet innehåller skärpta krav på berörda aktörer jäm- fört med NIS-direktivet och omfattar betydligt fler sektorer. De till- kommande sektorerna är avloppsvatten, förvaltning av IKT-tjänster (mellan företag), offentlig förvaltning, rymden, post- och budtjänster, avfallshantering, tillverkning, produktion och distribution av kemi- 103 Gällande rätt SOU 2025:101 kalier, produktion, bearbetning och distribution av livsmedel, till- verkning, digitala leverantörer och forskning. Utredningen om genomförande av NIS 2- och CER-direktiven redovisade den 5 mars 2024 sitt delbetänkande Nya regler om cyber- säkerhet (SOU 2024:18). I betänkandet föreslås att antalet tillsyns- myndigheter på området ska utökas till totalt elva myndigheter, varav länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norr- bottens län samt Läkemedelsverket utgör nya myndigheter. Utred- ningens förslag har remitterats och en lagrådsremiss har beslutats den 12 juni 2025. I lagrådsremissen föreslås att NIS 2-direktivet i huvudsak införlivas genom en ny lag, cybersäkerhetslagen, och att den tidigare s.k. NIS-lagen upphävs. Den nya cybersäkerhetslagen föreslås träda i kraft den 15 januari 2026. Regeringen har den 27 februari 2025 gett MSB i uppdrag att vara gemensam kontaktpunkt, cyberkrishanteringsmyndighet, CSIRT- enhet (Computer Security Incident Response Team) enligt direk- tivet samt att representera Sverige i samarbetsgruppen enligt NIS 2-direktivet. I beslutet anges att uppdraget ska pågå under 2025.22 I betänkandet Samlade förmågor för ökad cybersäkerhet (SOU 2025:79) föreslås att dessa uppgifter ska överföras till Försvarets radioanstalt. CER-direktivet Europaparlamentet och rådet antog den 14 december 2022 CER- direktivet. Direktivets syfte är att stärka kritiska verksamhetsut- övares motståndskraft och förmåga att tillhandahålla samhällsviktiga tjänster på den inre marknaden. Enligt direktivet ska medlemsstaterna senast den 17 juli 2026 identifiera verksamhetsutövare som erbjuder samhällsviktiga tjänster inom sektorerna energi, transport, bankverksamhet, finansmarknads- infrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning, rymden samt produktion, bearbet- ning och distribution av livsmedel. Utredningen om genomförande av NIS 2- och CER-direktiven redovisade den 18 september 2024 slutbetänkandet Motståndskraft i samhällsviktiga tjänster (SOU 2024:64). Utredningen föreslår att CER-direktivet införlivas genom en ny lag, lagen om motståndskraft 22 Regeringsbeslut, 2025-02-27, Fö2025/00387. 104 SOU 2025:101 Gällande rätt hos kritiska verksamhetsutövare. Regelverket ska tillämpas på en- skilda och offentliga verksamhetsutövare som tillhandahåller en sam- hällsviktig tjänst. Utredningen om genomförande av NIS 2- och CER-direktiven föreslår i huvudsak att den tillsynsmyndighet som ska vara tillsyns- myndighet enligt den föreslagna cybersäkerhetslagen (NIS 2-direk- tivet) även ska vara tillsynsmyndighet enligt lagen om motstånds- kraft hos kritiska verksamhetsutövare. Utredningen föreslår även att MSB vara gemensam kontaktpunkt och leda ett samarbetsforum. Utredningens förslag har remitterats och förslaget bereds för när- varande inom Regeringskansliet. EU:s cyberresiliensförordning EU:s cyberresiliensförordning trädde i kraft den 10 december 2024 och ska i huvudsak tillämpas fr.o.m. den 11 december 2027. Syftet med förordningen är att skapa förutsättningar för utveckling av säkra produkter med digitala element genom att säkerställa att hård- och mjukvara släpps ut på marknaden med färre sårbarheter och att till- verkare ska ta större ansvar för produkters cybersäkerhet genom deras livscykel. Kraven i förordningen innebär att tillverkare ska ta cybersäker- het i beaktande i designen och utvecklingen av produkter med digi- tala element. Därtill ska tillverkare granska säkerhetsaspekter under utvecklingsprocessen, ha transparens gentemot konsumenter gällande cybersäkerhetsaspekter samt försäkra säkerhetssupport och uppdater- ingar på ett proportionerligt sätt under produktens livscykel. Regel- efterlevnad uppvisas genom en konformitetsbedömning och i vissa fall certifiering. Förordningen berör i några avseenden AI-förordningen. Bl.a. anges i artikel 52.14 att för produkter med digitala element som om- fattas av EU:s cyberresiliensförordning och som klassificeras som AI-system med hög risk enligt artikel 6 i AI-förordningen ska de marknadskontrollmyndigheter som utsetts enligt den förordningen vara de myndigheter som ansvarar för den marknadskontroll som föreskrivs i EU:s cyberresiliensförordning. 105 Gällande rätt SOU 2025:101 Regeringen har tillsatt en utredning som ska ta fram komplett- erande bestämmelser till förordningen senast den 15 december 2025.23 3.4.5 Digitala tjänster EU:s förordning om digitala tjänster EU:s förordning om digitala tjänster tillämpas i sin helhet fr.o.m. den 17 februari 2024. Det övergripande syftet med förordningen är att bidra till en korrekt fungerande inre marknad för förmedlings- tjänster genom att fastställa harmoniserade regler för en säker, förut- sebar och förtroendeskapande onlinemiljö som främjar innovation och i vilken de grundläggande rättigheterna i stadgan skyddas på ett effektivt sätt. I förordningen fastställs harmoniserade regler för tillhandahåll- andet av förmedlingstjänster på den inre marknaden. En förmedlings- tjänst kan exempelvis utgöra en infrastruktur för tredje parts inne- håll, vara eller tjänst, t.ex. ett meddelande, en uppladdad video, ett blogginlägg eller en vara som bjuds ut till försäljning. Förmedlings- tjänster som omfattas av förordningen är bl.a. vissa onlineplattformar samt mycket stora onlinesökmotorer. I Sverige kompletteras EU:s förordning om digitala tjänster genom lagen (2024:954) med kompletterande bestämmelser till EU:s för- ordning om digitala tjänster och förordningen (2024:958) med kom- pletterande bestämmelser till EU:s förordning om digitala tjänster. PTS, Konsumentverket och Mediemyndigheten är behöriga myn- digheter enligt EU:s förordning om digitala tjänster. PTS är även samordnare för digitala tjänster.24 3.4.6 Några ytterligare rättsakter Inom EU har en stor mängd rättsakter utvecklats som i olika avse- enden har anknytning till det digitala decenniet. Bl.a. har ett flertal ytterligare rättsakter utvecklats på dataområdet. Dessa är bl.a. EU:s förordning om ett interoperabelt Europa, SDG-förordningen, e- 23 Dir. 2024:119, beslut vid regeringssammanträde den 28 november 2024. 24 4–8 §§ förordningen med kompletterande bestämmelser till EU:s förordning om digitala tjänster. 106 SOU 2025:101 Gällande rätt IDAS-förordningen och EUDI-förordningen25. Inom ramen för EU:s datastrategi utvecklas även gemensamma europeiska data- områden inom 14 olika sektorer, bl.a. energi, finans och medier. Inom varje område kommer det att utvecklas regelverk och infra- struktur för att dela data. Ett av de första att utvecklas är det euro- peiska hälsodataområdet (EHDS).26 Inom cybersäkerhetsområdet finns därtill EU:s cybersäkerhets- akt, som bl.a. reglerar ett ramverk för cybersäkerhetscertifiering, samt DORA-förordningen27, som syftar till att stärka cybersäker- heten inom EU:s finanssektor. Inom området för digitala tjänster kan därtill EU:s förordning om digitala marknader28 nämnas. Förordningen utgör en förhands- reglering av stora plattformsleverantörer som har en s.k. grindvakts- roll på marknaden och av deras marknadsagerande. Inom området för digital inkludering är avslutningsvis tillgänglig- hetsdirektivet relevant. Tillgänglighetsdirektivet syftar till att säker- ställa att produkter och tjänster inom EU är tillgängliga för personer med funktionsnedsättningar. Direktivet ställer krav på tillgänglighet för bl.a. elektroniska kommunikationstjänster, e-handel, banktjänster och transporttjänster, och tillämpas fr.o.m. den 28 juni 2025. I bl.a. kapitel 6 redogör utredningen för några av rättsakterna. 25 Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet. 26 https://digital-strategy.ec.europa.eu/sv/policies/data-spaces (hämtad 2025-06-30). 27 Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011. 28 Europaparlamentets och rådets förordning (EU) 2022/1925 av den 14 september 2022 om öppna och rättvisa marknader inom den digitala sektorn och om ändring av direktiv (EU) 2019/1937 och (EU) 2020/1828. 107 4 AI-förordningen 4.1 Inledning 4.1.1 Ökad användning av AI AI har under de senaste decennierna utvecklats från att vara en futu- ristisk vision till att påverka våra liv i allt högre utsträckning. Den teknologiska utvecklingen under de senaste åren har lett till en expo- nentiell ökning av antalet AI-applikationer inom en rad olika sektorer, t.ex. hälso- och sjukvård, utbildning, finans och transport. AI har potential att medföra en betydande ekonomisk tillväxt och kan bidra till ökad produktivitet, innovation och skapandet av nya marknader och jobb.1 Det förutspås att investeringar i och användning av AI kan öka den globala ekonomiska tillväxten med 19,9 biljoner amerikanska dollar fram till 2030 och 2030 stå för 3,5 procent av global BNP.2 Det förutspås också att AI kan komma att skapa upp till 20 miljoner nya arbeten globalt fram till 2030.3 Digg har i en delrapport till reger- ingen uppskattat att det totala värdet av ett fullständigt införande av nuvarande AI-teknik i svensk offentlig förvaltning beräknas uppgå till 140 miljarder kronor, i form av högre produktivitet, ökade in- täkter och minskade utbetalningar.4 Det ökade beroendet av AI i samhället kan dock innebära flera risker. AI kan inkräkta på vår integritet och öka olovlig användning av vår data, utgöra ett hot mot demokratin genom ökad spridning av desinformation samt snedvrida konkurrensen när de aktörer som har mest insamlad data får tydliga konkurrensfördelar. Dessutom 1 Artificial Intelligence Index Report, Stanford University, 2024. 2 IDC, Artificial Intelligence Will Contribute $19.9 Trillion to the Global Economy through 2030 and Drive 3.5% of Global GDP in 2030, 17 september 2024, www.idc.com/getdoc.jsp?containerId=prUS52600524 (hämtad 2024-11-24). 3 Michael Chui m.fl., The economic potential of generative AI: The next productivity frontier, McKinsey & Company, 2023. 4 Främja den offentliga förvaltningens förmåga att använda AI, Delrapport i regeringsuppdraget I2019/01416/DF, I2019/01020/DF (delvis), s. 9. 109 AI-förordningen SOU 2025:101 kan användningen av AI utgöra en säkerhetsrisk om den är felkonstru- erad, medvetet missbrukas eller hackas.5 4.1.2 En europeisk strategi för AI I april 2018 presenterade kommissionen en europeisk AI-strategi genom sitt meddelande Artificial Intelligence for Europe. I doku- mentet beskrivs unionens visioner för AI och de åtgärder som kom- missionen ansåg nödvändiga för att uppnå denna vision. I meddelan- det betonas vikten av att investera i forskning och innovation gällande AI och säkerställa att AI-system är transparenta, etiska och respek- terar grundläggande rättigheter.6 Samtidigt ingicks en Samordnad Plan för AI (Coordinated Plan on AI) mellan kommissionen, unio- nens medlemsländer, Norge och Schweiz. Syftet med planen är bl.a. att främja investeringar samt implementera strategier och program för AI. I februari 2020 publicerade kommissionen en Vitbok om artifi- ciell intelligens. I vitboken föreslår kommissionen en ram för att främja utvecklingen av AI och användningen av AI-system i Europa, samtidigt som risker hanteras och AI-systemens säkerhet och på- litlighet säkerställs. I vitboken konstateras också att ett framtida regelverk för AI inom Europa kommer att skapa ett unikt ekosystem av förtroende vad gäller användningen av AI.7 I april 2021 presenterade kommissionen ett AI-paket som för- utom en revidering av den samordnade planen från 2018, innehöll kommissionens förslag till en förordning om harmoniserade regler för AI.8 5 www.europarl.europa.eu/topics/sv/article/20200918STO87404/artificiell-intelligens- mojligheter-och-risker (hämtad 2024-11-24). 6 Meddelande från kommissionen till Europaparlamentet, europeiska rådet, rådet, europeiska ekonomiska och sociala kommittén och regionkommittén, Artificiell intelligens för Europa, COM (2018) 237 final. 7 Vitbok, Om artificiell intelligens – en EU-strategi för spetskompetens och förtroende, COM (2020) 65 final. 8 Meddelande från kommissionen till Europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, Främjande av en europeisk strategi för artificiell intelligens, COM (2021) 205 final. 110 SOU 2025:101 AI-förordningen 4.1.3 AI-förordningen – den första rättsliga ramen för användning av AI Europaparlamentet och rådet beslutade den 13 juni 2024 att anta AI-förordningen. Förordningen trädde i kraft den 1 augusti 2024 och ska med vissa undantag tillämpas fullt ut från och med den 2 augusti 2026. Genom AI-förordningen fastställs harmoniserade regler för utsläppande på marknaden, ibruktagande och användning av AI-system inom unionen. I synnerhet fastställs – förbud mot vissa AI-användningsområden, – särskilda krav för AI-system med hög risk, – harmoniserade transparensregler för vissa AI-system, – harmoniserade regler för utsläppande på marknaden av AI- modeller för allmänna ändamål, – regler om marknadsövervakning, marknadskontroll, styrning och kontroll av efterlevnad, och – åtgärder till stöd för innovation med särskild inriktning på små och medelstora företag, inbegripet uppstartsföretag. De harmoniserade regler som fastställs genom AI-förordningen kommer att gälla i alla sektorer och påverkar inte befintlig unions- rätt inom dataskydd, konsumentskydd, grundläggande rättigheter, sysselsättning, skydd för arbetstagare och produktsäkerhet (skäl 9). 4.2 Syfte och tillämpningsområde 4.2.1 Syfte Syftet med AI-förordningen är att förbättra den inre marknadens funktion och att främja användningen av människocentrerad och tillförlitlig AI. Syftet är också att säkerställa en hög skyddsnivå för hälsa, säkerhet och grundläggande rättigheter som fastställs i stad- gan, mot de skadliga effekterna av användning av AI-system i unio- nen, och att stödja innovation (artikel 1). Genom AI-förordningen säkerställs samtidigt fri rörlighet över gränserna inom unionen för AI-baserade varor och tjänster och för- 111 AI-förordningen SOU 2025:101 hindras att medlemsstaterna inför begränsningar av utvecklingen, försäljningen och användningen av AI-system på den inre mark- naden (skäl 1). I skälen till AI-förordningen uttrycks att AI-system enkelt kan utnyttjas inom ett stort antal olika ekonomiska sektorer och i många delar av samhället. Olika nationella regelverk inom unionen riskerar att leda till fragmentisering av den inre marknaden och minska rätts- säkerheten vad gäller utveckling och användning av AI-system. En enhetlig och hög skyddsnivå inom hela unionen har därför ansetts vara nödvändig för att säkerställa tillförlitlig användning av AI (skäl 3). AI är också en teknik under snabb utveckling som bidrar till en mängd ekonomiska, miljömässiga och samhälleliga vinster för när- ingslivet och samhället i stort (skäl 4). Samtidigt kan användningen av AI ge upphov till vissa risker och skada allmänna intressen samt grundläggande rättigheter. Dessa skador kan vara fysiska, psykolo- giska, samhälleliga och ekonomiska (skäl 5). Enhetliga regler inom unionen främjar både utvecklingen, användningen och spridningen av AI på den inre marknaden, samtidigt som det ger en hög skydds- nivå för allmänintressen, såsom hälsa, säkerhet och skydd av grund- läggande rättigheter (skäl 8). 4.2.2 Tillämpningsområde Av artikel 2.1 framgår att AI-förordningen är tillämplig på följande kategorier av aktörer. – Leverantörer som släpper ut eller tar i bruk AI-system eller AI- modeller för allmänna ändamål (se avsnitt 4.3) på marknaden i unionen. Med leverantör ska förstås en fysisk eller juridisk person, en offentlig myndighet, en byrå eller ett annat organ som utveck- lar ett AI-system eller en AI-modell för allmänna ändamål. Med leverantör förstås också den som har ett AI-system eller en AI- modell för allmänna ändamål och släpper ut det på marknaden eller tar systemet i bruk i eget namn eller under eget varumärke (artikel 3.3). – Tillhandahållare av AI-system som har sin etableringsort eller befinner sig i unionen. Med tillhandahållare förstås en fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system 112 SOU 2025:101 AI-förordningen (artikel 3.4). Undantag gäller när AI-systemet används för per- sonlig icke-yrkesmässig verksamhet (artikel 2.10). – Leverantörer och tillhandahållare av AI-system med etablerings- ort eller som befinner sig i ett tredjeland, om utdata som produ- ceras av AI-systemet används i unionen. – Importörer och distributörer av AI-system. Med importör förstås en fysisk eller juridisk person som befinner sig eller är etablerad i unionen och som släpper ut ett AI-system på marknaden, som bär namnet på eller varumärket för en fysisk eller juridisk person som är etablerad i ett tredjeland (artikel 3.6). Med distributör för- stås en annan fysisk eller juridisk person i leveranskedjan än leve- rantören eller importören, som tillhandahåller ett AI-system inom unionen (artikel 3.7). – Produkttillverkare som på marknaden släpper ut eller tar i bruk ett AI-system med sin produkt i eget namn eller under eget varu- märke. – Ombud för leverantörer som inte är etablerade i unionen. Med ombud förstås en fysisk eller juridisk person som är etablerad eller befinner sig i unionen och som har fått och godtagit en skrift- lig fullmakt från en leverantör av ett AI-system eller en AI-modell för allmänna ändamål, för att för dennes räkning fullgöra de skyl- digheter och förfaranden som framgår av AI-förordningen (arti- kel 3.5). – Andra berörda personer som befinner sig i unionen. AI-förordningen syftar bl.a. till att stödja innovation och respek- tera forskningens frihet. Det har därför ansetts nödvändigt att från AI-förordningens tillämpningsområde undanta AI-system och AI- modeller, inbegripet deras utdata, som specifikt utvecklas och tas i bruk enbart i vetenskapligt forsknings- och utvecklingsarbete (skäl 25 och artikel 2.6). Från tillämpningsområdet har också undantagits AI- system som släpps ut på marknaden eller tas i bruk, inbegripet syste- mens utdata, uteslutande för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet (artikel 2.3). 113 AI-förordningen SOU 2025:101 AI-förordningen påverkar inte heller tillämpningen av EU:s data- skyddsförordning och annan unionsrätt9 vad gäller skyddet av per- sonuppgifter (se artikel 2.7) eller tillämpningen av bestämmelserna om ansvar för leverantörer av förmedlingstjänster i kapitel II i EU:s förordning om digitala tjänster (artikel 2.5) eller unionsrättsakter inom konsumentskydd och produktsäkerhet (artikel 2.9). 4.3 Definitioner av AI-system, AI-system för allmänna ändamål och AI-modell för allmänna ändamål 4.3.1 AI-system I artikel 3.1 definieras AI-system som: – ett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassnings- förmåga efter införande och – som, för uttryckliga eller underförstådda mål, drar slutsatser här- ledda från den indata det tar emot, om hur utdata såsom förut- sägelser, innehåll, rekommendationer eller beslut – som kan påverka fysiska eller virtuella miljöer ska genereras. I skäl 12 beskrivs att med varierande grad av autonomi förstås att systemet är oberoende av mänsklig kontroll i viss mån och har för- måga att fungera utan mänskligt ingripande. Begreppet anpassnings- förmåga avser AI-systemets förmåga till självlärande, vilket gör det möjligt för systemet att förändras under sin användning (skäl 12). Definitionen av AI-system omfattar både fristående system och system som används som komponent i en produkt, oavsett om syste- met är fysiskt integrerat i produkten, dvs. inbyggt eller tjänar produk- tens funktioner utan att vara integrerat i produkten, dvs. icke-inbyggt (skäl 12). 9 Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter och Euro- paparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av person- uppgifter och integritetsskydd inom sektorn för elektronisk kommunikation. 114 SOU 2025:101 AI-förordningen Kommissionen har den 6 februari 2025 publicerat riktlinjer om definitionen av AI-system enligt AI-förordningen. En svensk över- sättning av riktlinjerna publicerades den 29 juli 2025.10 4.3.2 AI-system för allmänna ändamål och AI-modell för allmänna ändamål Genom förordningen införs särskilda bestämmelser för leverantörer av AI-modeller för allmänna ändamål. AI-modell för allmänna ända- mål definieras som: – en AI-modell, även när en sådan AI-modell tränas med en stor mängd data med hjälp av självövervakning i stor skala, – som uppvisar betydande generalitet och på ett kompetent sätt kan utföra ett brett spektrum av distinkta uppgifter oavsett hur modellen släppts ut på marknaden, och – som kan integreras i en rad system eller tillämpningar i efterföl- jande led, – utom AI-modeller som används för forsknings-, utvecklings- eller prototypverksamhet innan de släpps ut på marknaden (arti- kel 3.63). I skälen anges att en AI-modells generalitet kan bestämmas utifrån ett antal parametrar. Modeller med minst en miljard parametrar som har tränats med en stor mängd data genom självövervakning i stor skala anses uppvisa betydande generalitet. Stora generativa AI-model- ler betraktas därför som ett typiskt exempel på en AI-modell för allmänna ändamål, eftersom de kan generera innehåll i form av text, ljud, bilder och video (skäl 98 och 99). Kommissionen har den 18 juli 2025 publicerat riktlinjer om skyl- digheterna för leverantörer av AI-modeller för allmänna ändamål. I dessa riktlinjer beskriver kommissionen hur definitionen av AI- modell för allmänna ändamål bör förstås.11 10 Kommissionens riktlinjer om definitionen av ett system för artificiell intelligens enligt för- ordning (EU) 2024/1689 (AI-förordningen), Bryssel den 29.7.2025, C(2025) 5053 final. 11 Commission guidelines on the scope of the obligations for general-purpose AI models established by Regulation (EU) 2024/1689 (AI Act), C(2025) 5045 final, s. 6 ff. 115 AI-förordningen SOU 2025:101 AI-modeller är vanligtvis integrerade i och utgör väsentliga kom- ponenter i AI-system. AI-modeller kräver dock tillägg av ytterligare komponenter, exempelvis ett användargränssnitt, för att bli ett AI- system. När en AI-modell för allmänna ändamål integreras i eller ingår i ett AI-system är det att betrakta som ett AI-system för allmänna ändamål när systemet, på grund av denna integrering, har förmåga att tjäna en rad olika ändamål. Ett AI-system för allmänna ändamål kan i sin tur användas direkt eller integreras i andra AI-system (skäl 97 och 100). AI-system för allmänna ändamål definieras i förordningen som ett AI-system som bygger på en AI-modell för allmänna ändamål och som har kapacitet att tjäna en rad olika ändamål, både för direkt användning och för integrering i andra AI-system (artikel 3.66). För leverantörer av AI-system för allmänna ändamål tillämpas vissa transparensskyldigheter enligt artikel 50 (se avsnitt 4.4.4). 4.4 Olika krav för olika risknivåer 4.4.1 Inledning AI-förordningen bygger på en riskbaserad metod där AI-system delas in i olika risknivåer. Metoden innebär att reglernas art och innehåll anpassas efter omfattningen av de risker som AI-systemen kan innebära (skäl 26). 4.4.2 Förbjudna AI-användningsområden I AI-förordningen förbjuds vissa AI-användningsområden, där risken har bedömts som oacceptabel. Generellt avser det använd- ning av AI-system med målet eller följden att det mänskliga bete- endet väsentligt påverkas och som sannolikt kan medföra betydande skador. Det kan handla om användningen av AI för att undergräva och försämra människors autonomi, beslutsfattande och fria val, men även rätten till icke-diskriminering, dataskydd och personlig integritet. Denna typ av AI-system anses kunna medföra betydande negativa konsekvenser för den fysiska eller psykiska hälsan eller ekonomiska intressen och anses därför som farliga (skäl 28 och 29). 116 SOU 2025:101 AI-förordningen I artikel 5 preciseras mot denna bakgrund att följande användnings- områden för AI förbjuds. Subliminala, manipulerande eller vilseledande tekniker (arti- kel 5.1 a): Förbud gäller för AI-system som utnyttjar subliminala tekniker som människor inte är medvetna om, eller avsiktligt manipu- lerande eller vilseledande tekniker som syftar eller leder till en väsent- lig snedvridning av en persons eller en grupp av personers beteende genom att avsevärt försämra deras förmåga att fatta ett välgrundat beslut, vilket kan orsaka betydande skada. I skäl 29 anges att subli- minala tekniker avser ljud-, bild- och videostimuli som människor inte kan uppfatta eftersom de ligger utanför människans uppfattnings- förmåga. Utnyttjande av sårbarheter hos fysiska personer (artikel 5.1 b): Förbud gäller också för AI-system som utnyttjar en sårbarhet hos en fysisk person eller en specifik grupp av personer som härrör från ålder, funktionsnedsättning eller en specifik social eller ekonomisk situation12, med målet eller verkan att väsentligen påverka beteendet hos den personen eller en person som tillhör gruppen, på ett sätt som kan orsaka betydande skada. Social poängsättning (artikel 5.1 c): Förbud gäller för AI-system för utvärdering eller klassificering av fysiska personer eller grupper av personer under en viss tidsperiod på grundval av deras sociala bete- ende eller kända, uttydda eller förutsedda personliga eller personlig- hetsrelaterade egenskaper, med en social poängsättning. Förbudet förutsätter också att användningen leder till skadlig eller ogynnsam behandling som antingen saknar koppling till det sammanhang i vilken berörda data ursprungligen genererades eller samlades in eller som är omotiverad eller oproportionerlig i förhållande till personernas sociala beteende eller hur allvarligt beteendet är. Profilering (artikel 5.1 d): AI-förordningen anger att fysiska per- soner i enlighet med oskuldspresumtionen bör bedömas utifrån sitt faktiska beteende. Enligt förordningen bör därför aldrig fysiska per- soner bedömas utifrån ett AI-system som förutser beteende grundat på profilering, personlighetsdrag och andra egenskaper som natio- nalitet, födelseort, bostadsort m.m., utan rimlig misstanke om att personen är inblandad i brottslig verksamhet baserat på objektiva och kontrollerbara fakta (skäl 42). Enligt AI-förordningen förbjuds AI-system för riskbedömningar av fysiska personer i syfte att bedöma 12 I skäl 29 hänvisas såvitt avser dessa specifika grupper till tillgänglighetsdirektivet. 117 AI-förordningen SOU 2025:101 eller förutse sannolikheten för att en fysisk person begår ett brott, uteslutande grundat på profileringen av en fysisk person eller på en bedömning av deras personlighetsdrag och egenskaper. Förbudet är dock inte tillämpligt på AI-system som används för att stödja mänsk- lig bedömning av en persons inblandning i brottslig verksamhet, som redan är grundad på objektiva och verifierbara fakta med direkt an- knytning till brottslig verksamhet. Databaser för ansiktsigenkänning (artikel 5.1 e): Förbud gäller för AI-system som skapar eller utvidgar databaser för ansiktsigenkän- ning genom oriktad skrapning av ansiktsbilder från internet eller över- vakningskameror. I skäl 43 anges att metoden med oriktad skrap- ning anses öka känslan av att det förekommer massövervakning och kan resultera i grova kränkningar av grundläggande rättigheter, bl.a. rätten till integritet. Uttyda en fysisk persons känslor på arbetsplatsen eller vid utbildnings- institutioner (artikel 5.1 f): I AI-förordningen förbjuds användning av AI-system för att uttyda en fysisk persons känslor på arbetsplatsen eller vid utbildningsinstitutioner, såvida inte AI-systemets använd- ning är avsett att införas eller släppas ut på marknaden av medicinska skäl eller säkerhetsskäl. I skäl 44 anges att AI-system som identifi- erar eller uttyder fysiska personers känslor eller avsikter utifrån bio- metriska uppgifter kan leda till resultat som är diskriminerande och inkräkta på personernas rättigheter och friheter. Eftersom det anses föreligga en maktobalans vad gäller arbete och utbildning, i kombi- nation med dessa systems inkräktande karaktär, kan systemen leda till skadlig och ogynnsam behandling av vissa fysiska personer eller grupper av fysiska personer. Biometrisk kategorisering av fysiska personer (artikel 5.1 g): AI- system för biometrisk kategorisering som kategoriserar fysiska per- soner individuellt på grundval av deras biometriska uppgifter för att härleda eller dra slutsatser om en persons ras, politiska åsikter, med- lemskap i fackförening, religiösa eller filosofiska övertygelse, sexual- liv eller sexuella läggning. System för biometrisk kategorisering defini- eras i artikel 3.40 som AI-system för hänförande av fysiska personer till särskilda kategorier baserat på deras biometriska uppgifter, om det inte utgör en extrafunktion till en annan kommersiell tjänst och är strikt nödvändigt av objektiva tekniska skäl. I skäl 16 anges att begreppet biometrisk kategorisering bör definieras som att fysiska 118 SOU 2025:101 AI-förordningen personer hänförs till särskilda kategorier på grundval av deras biome- triska uppgifter. Biometrisk fjärridentifiering i realtid (artikel 5.1 h): Användning av system för biometrisk fjärridentifiering i realtid av fysiska per- soner på allmänt tillgängliga platser för brottsbekämpande ändamål anses inkräkta på berörda personers rättigheter och friheter. Använd- ningen kan påverka privatlivet och riskerar att skapa en känsla av konstant övervakning och kan således indirekt avskräcka från ut- övande av mötesfrihet och andra grundläggande rättigheter (skäl 32). Förbud gäller därför för AI-system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål. System för biometrisk fjärridentifiering definieras som AI-system vars syfte är att identifiera fysiska personer utan deras aktiva medverkan, genom att jämföra en persons biometriska uppgifter med biometriska uppgifter i en referensdatabas (artikel 3.41). Artikel 5 lämnar dock utrymme för medlemsstaterna att i nationell rätt lagstifta om att det för vissa syften och under vissa förutsättningar är tillåtet att göra undantag från förbudet. Användning av AI-system för biometrisk fjärridentifiering i realtid får endast ske om det är absolut nödvändigt och för något av de i artikeln särskilt angivna syftena. För att använd- ningen ska vara tillåten krävs också att den som utgångspunkt före- gås av en tillståndsprövning.13 Kommissionen har den 4 februari 2025 publicerat riktlinjer för tolkningen av de förbjudna AI-användningsområdena i artikel 5. En svensk översättning av riktlinjerna publicerades den 29 juli 2025.14 13 I promemorian Ds 2024:11 Förbättrade möjligheter för polisen att använda kamerabevakning lämnas förslag om för vilka syften Polismyndigheten och Säkerhetspolisen ska få använda system för biometrisk fjärridentifiering i realtid för brottsbekämpande ändamål som inte rör nationell säkerhet. Förslagen är dock inte sådana att de kan läggas till grund för lagstiftning. Promemorian Ds 2025:7 Polisens användning av AI för ansiktsigenkänning i realtid har tagits fram som innehåller förslag på bestämmelser som krävs i nationell rätt för att utnyttja undan- taget i AI-förordningen. Förslaget har remissbehandlats under våren 2025. 14 Kommissionens riktlinjer om de förbjudna användningsområden för artificiell intelligens som fastställs i förordning (EU) 2024/1689 (AI-förordningen), Bryssel den 29.7.2025, C(2025) 5052 final. 119 AI-förordningen SOU 2025:101 4.4.3 AI-system med hög risk Klassificeringsregler för AI-system med hög risk Av artikel 6.1 i AI-förordningen följer att AI-system som utgör säkerhetskomponenter i produkter eller system eller som i sig själva utgör produkter eller system, vilka omfattas av EU:s produktsäker- hetslagstiftning enligt bilaga I, klassificeras som AI-system med hög risk. Detta förutsatt att den berörda produkten omfattas av krav på att genomgå en bedömning av överensstämmelse av tredje part för att produkten ska få släppas ut på marknaden. Den typ av produkter som omfattas inkluderar bl.a. maskiner, leksaker, hissar och säker- hetskomponenter till hissar, radioutrustning, motorfordon, två- och trehjuliga fordon, jordbruks- och skogsbruksfordon och medicin- tekniska produkter. I avsnitt 6.6 redogör utredningen närmare för rättsakterna som framgår av bilaga IA till AI-förordningen. Det följer också av artikel 6.1 att AI-system som används inom vissa specifika områden enligt bilaga III till förordningen klassificeras som AI-system med hög risk. Områdena som framgår av bilaga III till AI-förordningen är följande. 1. System för biometrisk fjärridentifiering, AI-system för biometrisk kategorisering och AI-system för känsloigenkänning. 2. Kritisk infrastruktur. 3. Utbildning och yrkesutbildning. 4. Anställning, arbetsledning och tillgång till egenföretagande. 5. Tillgång till och åtnjutande av väsentliga privata tjänster och väsentliga offentliga tjänster och förmåner. 6. Brottsbekämpning, i den mån användningen är tillåten enligt relevant unionsrätt eller nationell rätt. 7. Migration, asyl och gränskontrollförvaltning, i den mån använd- ningen är tillåten enligt relevant unionsrätt eller nationell rätt. 8. Rättskipning och demokratiska processer. Områdena innefattar även ytterligare definierade områden som framgår av underpunkter. I avsnitt 6.5 redogör utredningen när- mare för högriskområdena i bilaga III till AI-förordningen. 120 SOU 2025:101 AI-förordningen Krav på AI-system med hög risk I syfte att begränsa riskerna med AI-system med hög risk som släpps ut på marknaden eller tas i bruk, och för att säkerställa hög tillförlit- lighet, gäller vissa obligatoriska krav för AI-system med hög risk i AI-förordningen, med beaktande av AI-systemets avsedda ändamål och det sammanhang i vilket det används. De åtgärder som kommer att behöva antas av leverantörerna för att uppfylla de obligatoriska kraven bör ta hänsyn till den allmänt erkända senaste utvecklingen när det gäller AI och vara proportionella samt effektiva för att uppnå målen i AI-förordningen (skäl 64). AI-system med hög risk omfattas av obligatoriska krav som reg- leras i artiklarna 8–15. Dessa krav avser själva AI-systemet, särskilt vad gäller utvecklingen och utformningen av dessa system. De obliga- toriska kraven ska skiljas från de skyldigheter som gäller särskilt för leverantörer, tillhandahållare, importörer respektive distributörer av AI-system med hög risk. Bestämmelserna innehåller sammanfatt- ningsvis följande. Allmänna skyldigheter (artikel 8): AI-system med hög risk ska uppfylla kraven enligt artiklarna 8–15. Riskhanteringssystem (artikel 9): För AI-system med hög risk ska det finnas ett system för riskbedömning och riskreducering. Det finns också krav på regelbunden och systematisk övervakning och upp- datering. Data och dataförvaltning (artikel 10): AI-system som använder teknik som inbegriper träning av s.k. AI-modeller med data ska utvecklas på grundval av tränings-, validerings- och testdataset som uppfyller vissa uppställda kvalitetskriterier. Teknisk dokumentation (artikel 11): Det ska finnas teknisk doku- mentation för ett AI-system med hög risk, vilken ska upprättas innan systemet har släppts ut på marknaden eller tas i bruk. Den tekniska dokumentationen ska upprättas på ett sådant sätt att det framgår att AI-systemet med hög risk är förenligt med de obligatoriska kraven. Loggning (artikel 12): AI-system med hög risk ska tekniskt möjlig- göra automatisk registrering av händelser (loggar) under hela syste- mets livstid. Transparens och tillhandahållande av information (artikel 13): Transparenskrav gäller för AI-system med hög risk. Detta innebär att systemen måste vara utformade och utvecklade på ett sätt som 121 AI-förordningen SOU 2025:101 säkerställer att deras funktioner och syften är transparenta för till- handahållare. Mänsklig kontroll (artikel 14): AI-system med hög risk behöver utformas och utvecklas på ett sätt som möjliggör effektiv mänsklig övervakning. Riktighet, robusthet och cybersäkerhet (artikel 15): AI-system ska vara säkra och pålitliga. Det ställs därför krav på att AI-system med hög risk utformas och utvecklas på ett sådant sätt att de uppnår en lämplig nivå avseende riktighet, robusthet och cybersäkerhet. Undantag för vissa AI-system Av artikel 6.3 följer att AI-system som faller inom något av de om- råden som anges i bilaga III till AI-förordningen inte ska betraktas som AI-system med hög risk om det inte utgör en betydande risk för skada på fysiska personers hälsa, säkerhet eller grundläggande rättigheter, inbegripet att det inte materiellt påverkar resultatet av beslutsfattande. Detta undantag ska vara tillämpligt om något av följande villkor som anges i artikel 6.3 andra stycket är uppfyllt. – AI-systemet är avsett att utföra en snäv processuell uppgift, – AI-systemet är avsett att förbättra resultatet av tidigare slutförd mänsklig verksamhet, – AI-systemet är avsett att upptäcka beslutsmönster eller avvikel- ser från tidigare beslutsmönster och är inte avsett att ersätta eller påverka tidigare slutförd mänsklig bedömning, utan ordentlig mänsklig granskning, eller – AI-systemet är avsett att utföra en förberedande uppgift för en bedömning som är relevant för de användningsfall som förtecknas i bilaga III. De AI-system som avses i bilaga III till AI-förordningen ska enligt artikel 6.3 tredje stycket dock alltid anses vara AI-system med hög risk om det utför profilering av fysiska personer. Om ett AI-system som avses i bilaga III till AI-förordningen inte är att betrakta som ett AI-system med hög risk kommer de obliga- toriska kraven i artiklarna 8–15 inte att gälla för det systemet. Det 122 SOU 2025:101 AI-förordningen utesluter dock inte att AI-systemet fortfarande kan omfattas av de transparensskyldigheter som anges i artikel 50 (se avsnitt 4.4.4). 4.4.4 Transparensskyldigheter I skälen till AI-förordningen betonas att vissa AI-system som är av- sedda att interagera med fysiska personer eller generera innehåll kan utgöra särskilda risker för identitetsmissbruk eller vilseledning. En rad olika AI-system kan också generera stora mängder syntetiskt innehåll som bli allt svårare för människor att skilja från mänskligt genererat och autentiskt innehåll. Dessa systems breda tillgänglighet och ökande kapacitet anses ha en betydande inverkan på integriteten och förtroendet för informationsekosystemet, vilket medför nya risker för felaktig information och manipulering i stor skala, bedrä- geri, identitetsmissbruk och vilseledande av konsumenter. AI-system som används för att generera eller manipulera bilder eller ljud- eller videoinnehåll som på ett märkbart sätt liknar befintliga personer, föremål, platser, enheter eller händelser, kan också felaktigt framstå som autentiska eller sanningsenliga (skäl 132–134). Därför anger förordningen att användning av sådana system ska omfattas av sär- skilda transparensskyldigheter, utan att det påverkar kraven eller skyldigheterna för AI-system med hög risk. I det följande beskrivs de transparensskyldigheter som leverantörer och tillhandahållare av vissa AI-system måste följa enligt AI-förordningen. Transparensskyldigheterna innefattar att leverantörer ska säker- ställa att AI-system som är avsedda att interagera direkt med fysiska personer utformas och utvecklas på ett sådant sätt att de berörda fysiska personerna – med undantag för när det är uppenbart – infor- meras om att de interagerar med ett AI-system (artikel 50.1) och i vissa särskilda avseenden säkerställa att AI-systemets utdata är märkta (artikel 50.2). Tillhandahållare av system för känsloigenkänning eller för bio- metrisk kategorisering ska informera de fysiska personer som expo- neras för systemet om systemets drift, och ska behandla personupp- gifter i enlighet med EU:s dataskyddsförordning och annan unionsrätt vad gäller skyddet av personuppgifter. Undantag gäller för viss användning av AI-system för biometrisk kategorisering och känslo- igenkänning inom området för brottsbekämpning (artikel 50.3). 123 AI-förordningen SOU 2025:101 Tillhandahållare av ett AI-system som genererar eller manipulerar bild-, ljud- eller videoinnehåll som utgör en deepfake ska upplysa om att innehållet har genererats artificiellt eller manipulerats (artikel 50.4). En liknande upplysningsskyldighet ska enligt artikel 50.4 gälla för tillhandahållare av AI-system som genererar eller manipulerar text som offentliggörs i syfte att informera allmänheten om frågor av allmänt intresse. Informationen som har beskrivits ovan ska lämnas till de berörda fysiska personerna på ett tydligt och urskiljbart sätt senast vid tid- punkten för den första interaktionen eller exponeringen (artikel 50.5). 4.4.5 Minimal eller ingen risk AI-förordningen reglerar inte alla AI-system som släpps på markna- den, tas i bruk eller används inom EU. AI-system som till exempel skulle anses utgöra minimal eller ingen risk är inte föremål för speci- fika krav eller begränsningar enligt AI-förordningen, utifrån att dessa system kan bedömas ha en låg sannolikhet att orsaka skada mot män- niskors hälsa, säkerhet eller kränka grundläggande rättigheter. Även om det inte föreligger några obligatoriska krav eller skyldig- heter enligt AI-förordningen för dessa AI-system, uppmuntras leve- rantörer, tillhandahållare och andra parter att följa frivilliga uppför- andekoder för att säkerställa att AI-system är etiska och ansvarsfulla (artikel 95). 4.5 Skyldigheter för leverantörer, tillhandahållare och andra parter 4.5.1 Skyldigheter för leverantörer av AI-system med hög risk Utöver skyldigheten att säkerställa att AI-system med hög risk upp- fyller de obligatoriska kraven enligt artiklarna 8–15, ska leverantörer enligt artikel 16 också iaktta följande skyldigheter. Kvalitetsstyrningssystem (artikel 17): Leverantörer ska inrätta ett kvalitetsstyrningssystem för att säkerställa efterlevnad av AI-förord- ningen. Bevarande av dokumentation (artikel 18): Leverantörer ska förvara viss dokumentation under en period om tio år efter det att ett AI- 124 SOU 2025:101 AI-förordningen system med hög risk har släppts ut på marknaden eller tagits i bruk. Dokumentationen ska kunna tillhandahållas de nationella behöriga myndigheterna. Automatiskt genererade loggar (artikel 19): Leverantörer ska även spara de loggar som avses i artikel 12.1 som genereras automatiskt av AI-system med hög risk, i den mån loggarna står under dennes kontroll. Bedömning av överensstämmelse (artikel 43): Leverantören ska säkerställa att AI-system med hög risk genomgår det relevanta för- farandet för bedömning av överensstämmelse med AI-förordningens krav i enlighet med artikeln, innan det släpps ut på marknaden eller tas i bruk. EU-försäkran (artikel 47): Leverantören ska utarbeta en EU-för- säkran om överensstämmelse med AI-förordningen för AI-systemet med hög risk (se avsnitt 4.6.4). Registrering i EU-databasen (artikel 49): Leverantörer ska för vissa AI-system med hög risk registrera sig själva och systemet i den EU- databas som avses i artikel 71. Korrigerande åtgärder och informationsplikt (artikel 20): Leveran- törer av AI-system med hög risk som anser eller har skäl att tro att ett system med hög risk inte uppfyller kraven i AI-förordningen, ska omedelbart vidta korrigerande åtgärder för att systemet ska överensstämma med kraven. Alternativt behöver leverantören dra tillbaka, inaktivera eller återkalla AI-systemet. Leverantörer åläggs samtidigt en informationsplikt. Samarbete med behöriga myndigheter (artikel 21): Leverantörer ska enligt artikel 16 på motiverad begäran av en nationell behörig myndighet visa att AI-systemet med hög risk uppfyller de obligato- riska kraven i artiklarna 8–15. 4.5.2 Skyldigheter för tillhandahållare av AI- system med hög risk Av artiklarna 26 och 27 framgår följande skyldigheter som gäller för tillhandahållare av AI-system med hög risk. Tekniska och organisatoriska åtgärder (artikel 26.1): Tillhanda- hållare av AI-system med hög risk ska vidta lämpliga tekniska och organisatoriska åtgärder i syfte att säkerställa att systemen används 125 AI-förordningen SOU 2025:101 i enlighet med de bruksanvisningar som leverantörerna är skyldiga att tillhandahålla med systemen. Kompetens, utbildning och auktoritet (artikel 26.2): Tillhandahållare ska även tilldela fysiska personer som har nödvändig kompetens, utbildning och auktoritet samt nödvändigt stöd uppgiften att utöva mänsklig kontroll. Kontroll över indata (artikel 26.4): Om tillhandahållaren utövar kontroll över indata ska tillhandahållaren också säkerställa att denna indata är relevant och tillräckligt representativ i förhållande till det avsedda ändamålet med AI-systemet med hög risk. Övervaka driften (artikel 26.5): Tillhandahållare ska övervaka driften av AI-systemet med hög risk utifrån den bruksanvisning som leverantören är skyldig att tillhandahålla med systemet. De loggar som genereras automatiskt av AI-system med hög risk ska tillhanda- hållaren spara i den utsträckning som sådana loggar står under dennes kontroll. Automatiskt genererade loggar (artikel 26.6): Tillhandahållare ska spara de loggar som genereras automatiskt av AI-systemet med hög risk, i den mån sådana loggar står under deras kontroll. Det ska ske under en period lämplig för det avsedda ändamålet med AI-systemet med hög risk. Automatiskt genererade loggar ska dock alltid sparas i minst sex månader, om inte annat föreskrivs i tillämplig unionsrätt eller nationell rätt, särskilt unionsrätten om skydd av personuppgifter. Information till arbetstagarrepresentanter (artikel 26.7): Tillhanda- hållare som är arbetsgivare ska innan AI-systemet tas i bruk informera arbetstagarrepresentanterna och de berörda arbetstagarna om att de kommer att vara föremål för användning av ett AI-system med hög risk. Fullgöra registreringsskyldigheter (artikel 26.8): Tillhandahållare av AI-system med hög risk som är offentliga myndigheter eller unionens institutioner, organ eller byråer ska fullgöra de registreringsskyldig- heter som avses i artikel 49. Fullgöra konsekvensbedömning (artikel 26.9): I tillämpliga fall ska tillhandahållare av AI-system med hög risk använda den information som tillhandahålls enligt artikel 13 i AI-förordningen för att fullgöra sin skyldighet att genomföra en konsekvensbedömning avseende data- skydd enligt artikel 35 i EU:s dataskyddsförordning eller artikel 27 i EU:s brottsdatadirektiv. 126 SOU 2025:101 AI-förordningen Begäran om tillstånd (artikel 26.10): Inom ramen för en utredning för målinriktad sökning av en person som misstänks ha begått ett brott eller som har dömts för att ha begått ett brott ska tillhanda- hållaren av ett AI-system med hög risk för biometrisk fjärridentifi- ering i efterhand, utan att det påverkar tillämpningen av EU:s brotts- datadirektiv, på förhand eller utan oskäligt dröjsmål och senast inom 48 timmar, av en rättslig myndighet eller en administrativ myndighet vars beslut är bindande och föremål för rättslig prövning begära till- stånd för användning av det systemet, utom när det används för den inledande identifieringen av en potentiell misstänkt på grundval av objektiva och verifierbara fakta med direkt anknytning till brottet. Varje användning ska begränsas till vad som är absolut nödvändigt för att utreda ett specifikt brott. Informationskrav (artikel 26.11): Tillhandahållare av AI-system med hög risk som omfattas av de områden som förtecknas i bilaga III, och som fattar beslut eller hjälper till att fatta beslut som rör fysiska personer, ska informera dessa fysiska personer om att de är föremål för användning av ett AI-system med hög risk. Konsekvensbedömning av grundläggande rättigheter (artikel 27): För AI-system med hög risk som omfattas av de områden som för- tecknas i bilaga III ska, under vissa angivna förutsättningar, även en konsekvensbedömning göras för den inverkan på grundläggande rättigheter som användningen av systemen kan ge upphov till. Bedöm- ningen ska bestå av ett visst antal moment vilka anges i artikel 27.1 a–f. När en sådan bedömning har gjorts ska tillhandahållaren underrätta den berörda marknadskontrollmyndigheten om resultatet. Denna skyldighet gäller dock endast för den första användningen av AI- systemet med hög risk. 4.5.3 Skyldigheter för importörer och distributörer av AI-system med hög risk I artiklarna 23 och 24 anges de skyldigheter som gäller för importörer och distributörer av AI-system med hög risk. Importörer ska i huvudsak kontrollera att AI-system med hög risk överensstämmer med AI-förordningen före systemen släpps ut på marknaden. Av artikel 23.1 följer att importören ska kontrollera följande. 127 AI-förordningen SOU 2025:101 – Att det tillämpliga förfarandet för bedömning av överensstämmelse enligt artikel 43 har utförts av leverantören av AI-systemet med hög risk. – Att leverantören har upprättat den tekniska dokumentationen i enlighet med artikel 11 och bilaga IV. – Att systemet har CE-märkning och en bruksanvisning samt åtföljs av en EU-försäkran enligt artikel 47. – Att leverantören har utsett ett ombud enligt artikel 22.1. Om importören har tillräckliga skäl att tro att ett AI-system med hög risk inte överensstämmer med AI-förordningen, är förfalskat eller åtföljd av förfalskad dokumentation får importören inte släppa ut systemet på marknaden före det att systemet är förenligt med kraven. Importörer behöver också ange sitt namn, firmanamn eller regi- strerade varumärke och en kontaktadress på systemet och förpack- ningen eller i den åtföljande dokumentationen. Av artikel 24.1 följer att distributörer av AI-system med hög risk ska kontrollera att systemen är försedda med erforderlig CE-märk- ning, att de åtföljs av en kopia av en EU-försäkran om överensstäm- melse (se avsnitt 4.6.4) och har en bruksanvisning. Distributören ska också kontrollera, om tillämpligt, att leverantören och importören har angett sitt namn och firmanamn eller varumärke med mera enligt artikel 16 b respektive artikel 23.3. Om en distributör anser eller har skäl att tro att ett AI-system med hög risk inte överensstämmer med de obligatoriska kraven för dessa system enligt artiklarna 8–15, får distributören inte tillhanda- hålla systemet på marknaden förrän systemet är förenligt med dessa krav. Om AI-systemet med hög risk utgör en risk enligt artikel 79.1 ska distributören även informera leverantören eller importören av systemet om detta. Distributörer ska vidta korrigerande åtgärder om de anser eller har skäl att tro att ett AI-system med hög risk inte överensstämmer med de obligatoriska kraven i artiklarna 8–15 för att systemet ska överensstämma med dessa krav. Alternativt ska distributören dra till- baka eller återkalla systemet eller säkerställa att leverantören, impor- tören eller annan berörd operatör vidtar korrigerande åtgärder. 128 SOU 2025:101 AI-förordningen Importörer och distributörer ska också, så länge de har ansvar för ett AI-system med hög risk, säkerställa att lagrings- eller tran- sportförhållanden inte äventyrar systemets överensstämmelse med de obligatoriska kraven i artiklarna 8–15. 4.5.4 Ansvaret längs AI-värdekedjan AI-värdekedjan omfattar alla aktörer som är involverade i utveck- lingen, distributionen och användningen av AI-system. Varje aktör i denna kedja har specifika roller och ansvar för att säkerställa att AI-system uppfyller kraven enligt AI-förordningen. En aktörs ansvar för ett system med hög risk enligt AI-förordningen kan dock kan komma att ändras utifrån handhavandet av systemet. Av artikel 25.1 följer att distributörer, importörer, tillhandahållare och andra tredje parter ska betraktas som leverantörer av AI-system med hög risk, och ha de skyldigheter som leverantören har enligt artikel 16, om något av följande villkor är uppfyllda. a) De sätter sitt namn eller varumärke på ett AI-system med hög risk som redan släppts ut på marknaden eller tagits i bruk. Det lämnas ändå utrymme för att avtala om att skyldigheterna ska fördelas på annat sätt. b) De gör en väsentlig ändring av ett AI-system med hög risk som redan har släppts ut på marknaden eller redan har tagits i bruk på ett sådant sätt att det fortfarande är ett AI-system med hög risk. c) De ändrar det avsedda ändamålet för ett AI-system som inte har klassificerats som ett system med hög risk, och som redan har släppts ut på marknaden eller tagits i bruk, på ett sådant sätt att det berörda systemet blir ett AI-system med hög risk. Om någon av ovanstående omständigheter inträffar ska den ursprung- liga leverantören som först släppte ut AI-systemet på marknaden eller tog det i bruk inte längre betraktas som leverantör av det specifika systemet. Den ursprungliga leverantören ska dock i nära samarbeta med nya leverantörer, tillgängliggöra den nödvändiga informationen och tillhandahålla den rimligen förväntade tekniska åtkomsten samt annat stöd som krävs för att fullgöra skyldighet- erna enligt förordningen. 129 AI-förordningen SOU 2025:101 När det gäller AI-system med hög risk som utgör säkerhets- komponenter i produkter som omfattas av EU:s produktsäkerhets- lagstiftning som förtecknas i bilaga IA till AI-förordningen gäller att produkttillverkare kan klassificeras som leverantör av AI-syste- met med hög risk ifall någon av följande omständigheter föreligger. a) AI-systemet med hög risk släpps ut på marknaden med produk- ten under produkttillverkarens namn eller varumärke. b) AI-systemet med hög risk tas i bruk under produkttillverkarens namn eller varumärke efter det att produkten släppts ut på mark- naden. 4.6 Standarder, bedömning av överensstämmelse, intyg och registrering 4.6.1 Standarder Av skälen till AI-förordningen framgår att standardisering bör ha en nyckelroll för att förse leverantörer med tekniska lösningar för att säkerställa efterlevnaden av förordningen i linje med den senaste utvecklingen (skäl 121). AI-system med hög risk eller AI-modeller för allmänna ända- mål som är förenliga med harmoniserade standarder ska förutsättas överensstämma med de obligatoriska kraven i artiklarna 8–15 för AI-system med hög risk eller skyldigheterna för leverantörer av AI-modeller för allmänna ändamål enligt artiklarna 53–55, i den ut- sträckning som standarderna omfattar dessa krav eller skyldigheter (artikel 40). 4.6.2 Gemensamma specifikationer Kommissionen ges befogenhet att under vissa villkor, angivna i artikel 40, anta genomförandeakter i syfte att fastställa gemensamma specifikationer för de obligatoriska kraven i artiklarna 8–15 för AI- system med hög risk eller om tillämpligt, skyldigheterna för leveran- törer av AI-modeller för allmänna ändamål enligt artiklarna 53–55 (artikel 41). 130 SOU 2025:101 AI-förordningen AI-system med hög risk eller AI-modeller för allmänna ändamål som överensstämmer med dessa gemensamma specifikationer eller delar av dessa specifikationer, ska förutsättas överensstämma med de obligatoriska kraven för AI-system med hög risk eller skyldigheterna för AI-modeller för allmänna ändamål, i den omfattning som de ge- mensamma specifikationerna omfattar dessa krav eller skyldigheter (artikel 41.3). 4.6.3 Förfaranden för bedömning av överensstämmelse I syfte att säkerställa en hög nivå av tillförlitlighet för AI-system med hög risk ska systemen vara föremål för bedömning av överens- stämmelse före de släpps ut på marknaden eller tas i bruk (skäl 121). Olika förfaranden för bedömning av överensstämmelse gäller bero- ende på typen av AI-system med hög risk. I vissa fall uppställs krav på tredjepartsbedömning. Av skäl 125 framgår att tredjepartsbedöm- ning avser ett lämpligt förfarande för bedömning av överensstäm- melse för AI-system med hög risk som involverar anmälda organ. Bestämmelser om detta finns i artikel 43 och däri angivna hänvis- ningar och avser – intern kontroll eller tredjepartsbedömning för AI-system med hög risk som används för biometri enligt punkt 1 i bilaga III (artikel 43.1 första stycket), – intern kontroll för AI-system som avses i punkterna 2–8 i bi- laga III (artikel 43.2), – AI-system som utgör säkerhetskomponenter i produkter eller produkter som omfattas av unionens produktsäkerhetslagstift- ning enligt bilaga IA (artikel 43.3), och – tredjepartsbedömning av överensstämmelse för andra AI-system med hög risk. För andra AI-system med hög risk ska leverantören följa det för- farande för bedömning av överensstämmelse som anges i bilaga VII, vilket inkluderar bedömning av det anmälda organet. Detta i syfte att visa att systemet uppfyller de obligatoriska kraven i artiklarna 8–15. Det beskrivna förfarandet för bedömning av överensstämmelse gäller för sådana AI-system som utgör säkerhetskomponenter i pro- 131 AI-förordningen SOU 2025:101 dukter eller är en produkt som omfattas av unionens produktsäker- hetslagstiftning enligt bilaga IA till förordningen. Tredjepartsbedöm- ning av överensstämmelse för AI-system med hög risk enligt bi- laga VII kommer också gälla inom området biometri (punkten 1 i bilaga III), om harmoniserade standarder saknas, inte har tillämpats eller har offentliggjorts med en begränsning alternativt om gemen- samma specifikationer inte är tillgängliga eller har tillämpats. AI-system med hög risk som redan har varit föremål för ett för- farande för bedömning av överensstämmelse ska genomgå ett nytt förfarande för bedömning av överensstämmelse i fall av en väsentlig ändring. Detta gäller oavsett om det ändrade systemet är avsett att distribueras vidare eller fortsätter att användas av den nuvarande till- handahållaren (artikel 43.4). Om ett AI-system med hög risk som är föremål för tredjeparts- bedömning i enlighet med bilaga VII, uppfyller de obligatoriska kraven enligt artiklarna 8–15 ska det anmälda organet utfärda ett unionsintyg om bedömning av teknisk dokumentation (punkten 4.6 i bilaga VII). Intyget ska gälla under den tid som anges i dem och högst i fem år för AI-system som omfattas av unionens produktsäker- hetslagstiftning enligt bilaga I, och fyra år för AI-system som om- fattas av bilaga III (artikel 44). Efter en vederbörligen motiverad begäran kan varje marknads- kontrollmyndighet tillåta att specifika AI-system med hög risk släpps ut på marknaden eller tas i bruk inom en medlemsstats territorium, utan att systemen har genomgått en bedömning av överensstämmelse enligt artikel 43. Detta förutsätter att exceptionella skäl föreligger som rör allmän säkerhet eller skydd av människors liv och hälsa, miljöskydd eller skydd av viktiga industriella och infrastrukturella tillgångar. Tillståndet ska gälla under en begränsad period, medan de nödvändiga förfarandena för bedömning av överensstämmelse genomförs (artikel 46.1). Tillstånd ska endast utfärdas om marknads- kontrollmyndigheten konstaterar att AI-systemet med hög risk upp- fyller de obligatoriska kraven enligt artiklarna 8–15 (artikel 46.3). 4.6.4 EU-försäkran och CE-märkning I artikel 47 i AI-förordningen anges att leverantören är skyldig att upprätta en skriftlig maskinläsbar, fysisk eller elektroniskt under- 132 SOU 2025:101 AI-förordningen tecknad EU-försäkran om överensstämmelse för varje AI-system med hög risk. Den försäkran ska leverantören kunna uppvisa för de nationella behöriga myndigheterna i tio år efter det att systemet har släppts ut på marknaden eller tagits i bruk (artikel 47.1). I EU-för- säkran ska det anges om AI-systemet med hög risk uppfyller de obligatoriska kraven enligt artiklarna 8–15. Den information som anges i bilaga V till förordningen ska också finnas i EU-försäkran (artikel 47.2). Om ett AI-system med hög risk även omfattas av annan unionsrättslig lagstiftning som kräver en EU-försäkran ska leverantören upprätta en gemensam EU-försäkran om överensstäm- melse med all unionsrätt tillämplig på systemet (artikel 47.3). För AI-system med hög risk ska en CE-märkning anbringas och den ska vara synlig, läsbar och outplånlig. Om det inte är möjligt eller lämpligt med anledning av den aktuella typen av system, ska märkningen i stället anbringas på förpackningen eller den medföljande dokumentationen (artikel 48.3). CE-märkningen ska utformas i en- lighet med de principer för sådan märkning som fastställs i artikel 30 i EU:s förordning om ackreditering (artikel 48.1). 4.6.5 Registrering i EU-databasen En centraliserad EU-databas för AI-system med hög risk, som om- fattas av de områden som anges i bilaga III till förordningen, ska inrättas och underhållas av kommissionen i samarbete med medlems- staterna (artikel 71.1). Det är leverantören som med vissa undantag ska registrera sig själv och AI-systemet med hög risk enligt bilaga III i EU-databasen (artikel 49). I kapitel 11 redogör utredningen ingå- ende för bestämmelserna i EU-databasen. 4.7 Särskilda bestämmelser om AI-modeller för allmänna ändamål 4.7.1 Skyldigheter för leverantörer av AI-modeller för allmänna ändamål Enligt AI-förordningen har leverantörer av AI-modeller för allmänna ändamål en särskild roll och ett särskilt ansvar i AI-värdekedjan. Det anges att dessa AI-modeller kan utgöra grunden för en rad system i 133 AI-förordningen SOU 2025:101 efterföljande led. Leverantörer av AI-system i efterföljande led be- höver ha god kunskap om modellerna och deras kapacitet, för att kunna integrera modellerna i AI-systemen, och för att kunna full- göra sina skyldigheter enligt förordningen och annan unionsrätt. Av förordningen framgår att detta har ansetts motivera proportio- nella transparensskyldigheter för AI-modeller för allmänna ändamål (skäl 101). Leverantörer av sådana AI-modeller är mot den bakgrun- den skyldiga att iaktta vissa skyldigheter som följer av artikel 53. Skyldigheterna innefattar att utarbeta och uppdatera teknisk doku- mentation (artikel 53.1 a), utarbeta, uppdatera och tillgängliggöra information och dokumentation för leverantörer av AI-system (arti- kel 53.1 b), införa en policy om upphovsrätt och närstående rättig- heter (artikel 53.1 c) och utarbeta och göra en tillräckligt detaljerad sammanfattning av det innehåll som använts för träning av AI-model- len för allmänna ändamål (artikel 53.1 d). Skyldigheterna att utarbeta och uppdatera den tekniska dokumen- tationen och att utarbeta, uppdatera och tillgängliggöra information och dokumentation för leverantörer av AI-system, är inte tillämp- liga på leverantörer av AI-modeller som släpps ut med en kostnads- fri licens med öppen källkod som möjliggör åtkomst, användning, ändring och distribution av modellen (artikel 53.2). Om leverantören av AI-modellen för allmänna ändamål är etable- rad i ett tredje land, ska denne utse ett ombud etablerat i unionen före det att AI-modellen släpps ut inom unionen (artikel 54.1). Kommissionen har den 18 juli 2025 publicerat riktlinjer om skyl- digheterna för leverantörer av AI-modeller för allmänna ändamål.15 4.7.2 Skyldigheter för leverantörer av AI-modeller för allmänna ändamål med systemrisk En AI-modell för allmänna ändamål ska klassificeras som en AI- modell för allmänna ändamål med systemrisk om något av följande villkor är uppfyllt (artikel 51): a) Den har kapacitet med hög påverkansgrad som utvärderats på grundval av lämpliga tekniska verktyg och metoder, inbegripet indikatorer och riktmärken. 15 Commission guidelines on the scope of the obligations for general-purpose AI models established by Regulation (EU) 2024/1689 (AI Act), C(2025) 5045 final. 134 SOU 2025:101 AI-förordningen b) Den har, baserat på ett beslut av kommissionen, på eget initiativ eller efter en kvalificerad varning från den vetenskapliga panelen, kapacitet eller inverkan som motsvarar den som avses i led a med beaktande av kriterierna i bilaga XIII. Leverantörer av AI-modeller för allmänna ändamål med systemrisk ska, utöver skyldigheterna som anges i avsnitt 4.7.1, iaktta skyldig- heterna som anges i artikel 55. Leverantören ska enligt artikel 55 genomföra utvärderingar (artikel 55.1 a), bedöma och minska even- tuella systemrisker (artikel 55.1 b), bevaka, dokumentera och rappor- tera (artikel 55.1 c) och säkerställa lämplig nivå av cybersäkerhets- skydd (artikel 55.1 d). 4.8 Regulatoriska sandlådor för AI och testning under verkliga förhållanden Enligt artikel 57.1 i AI-förordningen ska de nationella behöriga myndigheterna inrätta minst en regulatorisk sandlåda för AI på natio- nell nivå. Regulatorisk sandlåda för AI definieras som en kontrol- lerad ram som inrättats av en behörig myndighet och som erbjuder leverantörer eller potentiella leverantörer av AI-system möjlighet att utveckla, träna, validera och testa, när så är lämpligt under verk- liga förhållanden, ett innovativt AI-system, enligt en specifik sand- lådeplan för en begränsad tid under regulatorisk tillsyn (artikel 3.55). I syfte att påskynda utvecklingen och utsläppandet på marknaden av AI-system med hög risk, införs också en möjlighet till testning av AI-system med hög risk under verkliga förhållanden, utan att delta i en regulatorisk sandlåda för AI (artikel 60). Testning under verk- liga förhållanden definieras som tillfällig testning av ett AI-system med avseende på dess avsedda ändamål under verkliga förhållanden utanför ett laboratorium eller en på annat sätt simulerad miljö i syfte att samla in tillförlitliga och robusta data och bedöma och kontrol- lera AI-systemets överensstämmelse med kraven i AI-förordningen, som inte innebär att AI-systemet släpps ut på marknaden eller tas i bruk i den mening som avses i AI-förordningen. Vidare förutsätts att villkoren i artiklarna 57 eller 60 är uppfyllda (artikel 3.57). 135 AI-förordningen SOU 2025:101 I kapitel 12 finns en närmare beskrivning av AI-förordningens bestämmelser om regulatoriska sandlådor för AI respektive testning av AI-system med hög risk under verkliga förhållanden. 4.9 Tillsyn 4.9.1 Tillsynsansvar Tillsyn och efterlevnadskontroll enligt AI-förordningen delas mellan kommissionen, AI-byrån (se avsnitt 4.9.3) och nationella myndig- heter. På nationell nivå ska varje medlemsstat som nationella behöriga myndigheter utse minst en anmälande myndighet och minst en mark- nadskontrollmyndighet att ansvara för tillsynen avseende tillämpningen och genomförandet av förordningen (artikel 70.1). En marknads- kontrollmyndighet ska också utses att fungera som gemensam kon- taktpunkt för förordningen (artikel 70.2). De nationella behöriga myndigheterna ska utöva sina befogenheter på ett oberoende, objek- tivt och opartiskt sätt för att säkerställa objektiviteten i sina aktivi- teter och uppgifter och för att säkerställa tillämpningen och genom- förandet av förordningen. På unionsnivå får kommissionen och AI-byrån befogenheter att utöva tillsyn och kontroll av efterlevnad samt befogenheter för att kunna övervaka och utreda leverantörer av AI-system för allmänna ändamål (artiklarna 88–93). Kommissionen och AI-byrån får också befogenhet att övervaka och utöva tillsyn över AI-systems efterlevnad om det bygger på en AI-modell för allmänna ändamål och modellen och systemet har utvecklats av samma leverantör (artikel 75.1). 4.9.2 Nationell tillsyn Anmälande myndigheter och anmälda organ Som nationell behörig myndighet ska varje medlemsstat inrätta eller utse minst en anmälande myndighet. En anmälande myndighet ska ansvara för inrättandet och genomförandet av de förfaranden som krävs för bedömning, utseende och anmälan av organ för bedömning av överensstämmelse och för övervakning av dessa (artiklarna 3.19 och 28.1). Medlemsstaterna får bestämma att den bedömning och övervakning som avses ska utföras av ett nationellt ackrediterings- 136 SOU 2025:101 AI-förordningen organ i den mening som avses i, och i enlighet med, EU:s förordning om ackreditering (artikel 28.2). En anmälande myndighet får endast anmäla de organ för bedöm- ning av överensstämmelse som uppfyller vissa angivna krav (arti- kel 30.1). Övervakningsskyldigheten består i att en anmälande myndighet ska kontrollera efterlevnaden av AI-förordningen vad gäller AI- system med hög risk i enlighet med de förfaranden för bedömning av överensstämmelse som följer av förordningen (se avsnitt 4.6.3). I syfte att en anmälande myndighet ska kunna utföra sin verksam- het avseende bedömning, utseende, anmälan och övervakning, ska anmälda organ tillhandahålla och på begäran lämna över all relevant dokumentation, inbegripet leverantörens dokumentation, till en an- mälande myndighet (artikel 34.3). Marknadskontrollmyndigheter, marknadskontroll och kontroll av efterlevnad En marknadskontrollmyndighet är en nationell myndighet som ut- för aktiviteter och vidtar åtgärder enligt EU:s marknadskontroll- förordning (artikel 3.26). Av artikel 74.1 följer också att EU:s mark- nadskontrollförordning ska tillämpas på AI-system som omfattas av AI-förordningen. Marknadskontrollmyndigheten ska vidare utöva tillsyn av testning under verkliga förhållanden (artikel 76.1). Marknadskontrollmyndigheter får dessutom en särskild roll vad gäller bedömning av risk för AI-system enligt artiklarna 79–83. I skälen anges att marknadskontrollmyndigheter kan vidta åtgärder med avseende på alla AI-system när de utgör en risk i enlighet med AI-förordningen (skäl 156). De förfaranden som avses i artiklarna 79–83 i AI-förordningen är dock inte tillämpliga på AI-system som är relaterade till produkter som omfattas av unionens produktsäkerhetslagstiftning enligt bilaga IA, om dessa rättsakter redan föreskriver förfaranden som säkerställer en likvärdig skyddsnivå och har samma syfte. I kapitel 6 beskriver utredningen bestämmelserna i AI-förord- ningen om marknadskontrollmyndigheten och dess ansvar närmare. 137 AI-förordningen SOU 2025:101 4.9.3 Tillsyn och styrning på EU-nivå Tillsyn, utredning, efterlevnadskontroll och övervakning av leverantörer av AI-modeller för allmänna ändamål I avsnittet beskrivs kommissionens och AI-byråns befogenheter vad gäller tillsyn, utredning, efterlevnadskontroll och övervakning av leverantörer av AI-modeller för allmänna ändamål enligt AI-för- ordningen. Kommissionen har exklusiv befogenhet att utöva tillsyn och kon- trollera efterlevnaden av de krav och skyldigheter som gäller för leve- rantörer av AI-modeller för allmänna ändamål enligt AI-förordningen. Genomförandet av dessa uppgifter anförtros AI-byrån (artikel 88.1). Bestämmelser om tillsyn, utredning, efterlevnadskontroll och över- vakning finns i artiklarna 89–93 och 75.1. Utredningen redogör inte vidare för bestämmelserna, eftersom de inte närmare berör utred- ningens uppdrag. Styrning på unionsnivå För att säkerställa en korrekt efterlevnad inrättas genom AI-förord- ningen flera styrande organ med följande roller och ansvar. AI-byrån (artiklarna 3.47 och 64): Av definitionen av AI-byrån framgår att det är kommissionens funktion för att bidra till genom- förandet, övervakningen och tillsynen av AI-system samt AI-modeller för allmänna ändamål. Genom AI-byrån ska kommissionen utveckla unionens sakkunskap och kapacitet på AI-området. Medlemsstaterna ska underlätta de uppgifter som anförtros AI-byrån. I avsnitt 13.2.1 redogör utredningen närmare för AI-byrån. Den europeiska styrelsen för artificiell intelligens (AI-styrelsen) (artiklarna 65 och 66): AI-styrelsens huvudsakliga uppgift består i att ge råd till och bistå kommissionen och medlemsstaterna för att underlätta en konsekvent och effektiv tillämpning av AI-förord- ningen. AI-styrelsen ska bestå av en företrädare per medlemsstat. I avsnitt 13.2.2 redogör utredningen närmare för AI-styrelsen. Rådgivande forum (artikel 67): Det rådgivande forumet ska till- handahålla teknisk expertis och ge råd till AI-styrelsen och kommis- sionen och bidra till deras uppgifter enligt AI-förordningen. Det rådgivande forumet ska bestå av medlemmar som representerar ett 138 SOU 2025:101 AI-förordningen balanserat urval av berörda parter, däribland branschen, uppstarts- företag, små och medelstora företag, det civila samhället, och den akademiska världen. Sammansättningen ska vara balanserad med avseende på kommersiella och icke-kommersiella intressen samt, inom kategorin kommersiella intressen, med avseende på små och medelstora företag och andra företag. Medlemmarna i det rådgivande forumet ska utses bland berörda parter med erkänd sakkunskap på AI-området. I avsnitt 13.2.3 redogör utredningen närmare för det rådgivande forumet. Vetenskaplig panel av oberoende experter (artiklarna 68 och 69): Kommissionen har genom en genomförandeakt fastställt bestäm- melser om inrättandet av en vetenskaplig panel av oberoende exper- ter.16 I avsnitt 13.2.4 redogör utredningen närmare för den veten- skapliga panelen. 4.10 Rättsmedel 4.10.1 Klagomål till marknadskontrollmyndigheten I skälen till AI-förordningen anförs att unionsrätten och nationell rätt redan föreskriver effektiva rättsmedel för fysiska och juridiska personer vars rättigheter och friheter påverkas negativt av AI-system. Utan att det påverkar sådana rättsmedel anges i förordningen att varje fysisk eller juridisk person som har skäl att anse att bestämmel- serna i AI-förordningen har överträtts får lämna in klagomål till den berörda marknadskontrollmyndigheten (artikel 85.1). 4.10.2 Rätt till förklaring av individuellt beslutsfattande Enligt AI-förordningen ska varje berörd person som är föremål för ett beslut som fattas av tillhandahållaren på grundval av utdata från ett AI-system med hög risk som omfattas av de områden vilka för- tecknas i bilaga III ha rätt att erhålla tydliga och meningsfulla för- klaringar av AI-systemets roll i beslutsförfarandet och de viktigaste delarna av det beslut som fattats. Detta förutsätter att beslutet har rättslig verkan eller på liknande sätt i betydande grad påverkar den 16 Kommissionens genomförandeförordning (EU) 2025/454 av den 7 mars 2025 om tillämp- ningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2024/1689 vad gäller inrättande av en vetenskaplig panel av oberoende experter på området artificiell intelligens. 139 AI-förordningen SOU 2025:101 personen på ett sätt som den anser ha en negativ inverkan på perso- nens hälsa, säkerhet eller grundläggande rättigheter (artikel 86.1). Undantag gäller för AI-system med hög risk som används inom kritisk infrastruktur (punkten 2 i bilaga III). 4.11 Sanktioner och andra efterlevnadsåtgärder Genom artikel 99 i AI-förordningen åläggs medlemsstaterna att fastställa bestämmelser om sanktioner och andra efterlevnadsåtgärder. Det kan innefatta varningar och icke-monetära åtgärder som ska tillämpas vid operatörers överträdelser av bestämmelserna i förord- ningen. Medlemsstaterna ska också vidta alla nödvändiga åtgärder för att se till att bestämmelserna tillämpas korrekt och effektivt. Sanktionerna ska vara effektiva, proportionella och avskräckande. De ska ta hänsyn till små och medelstora företags, inbegripet upp- startsföretags, intressen och deras ekonomiska bärkraft. Kommissionen har rätt att ålägga leverantörer av AI-modeller för allmänna ändamål med sanktionsavgifter (artikel 101). I kapitel 10 beskriver utredningen närmare bestämmelserna om sanktioner och andra efterlevnadsåtgärder i AI-förordningen. 140 5 Behovet av kompletterande regelverk 5.1 Inledning Utredningen har i uppdrag att kartlägga, analysera och föreslå natio- nella anpassningar till följd av AI-förordningen. I detta kapitel redo- gör utredningen på ett övergripande plan för hur en sådan anpassning bör ske för att uppfylla vissa av kraven i AI-förordningen och för att AI-förordningen ska kunna tillämpas på ett ändamålsenligt och rättssäkert sätt i Sverige. I avsnitt 5.2 redovisar utredningen sitt förslag till en lag och en förordning som kompletterar AI-förordningen samt hur ord och ut- tryck bör hanteras och hur hänvisningar till AI-förordningen bör ske. I avsnitt 5.3 redovisar utredningen vissa överväganden om be- hovet av bestämmelser om sekretess och närliggande frågor. Detta kapitel innehåller således vissa generella överväganden om behovet av författningsförslag. I de fall bestämmelser hänför sig till mer specifika områden inom AI-förordningen och dess påverkan på nationell rätt tas författningsförslagen upp i de kapitel där dessa om- råden berörs. Som tidigare nämnts i kapitel 2 har utredningen begränsat sig till att föreslå bestämmelser i lag samt en förordning som kompletterar AI-förordningen och lämnar inte några förslag om andra förordnings- ändringar. Utredningen gör dock i vissa fall bedömningar att bestäm- melser bör föras in i förordningar. 141 Behovet av kompletterande regelverk SOU 2025:101 5.2 En ny lag och en ny förordning ska komplettera AI-förordningen 5.2.1 En ny lag och en ny förordning Utredningens förslag: En ny lag och en ny förordning med be- stämmelser som kompletterar AI-förordningen ska införas. AI-förordningen ska benämnas AI-förordningen i den före- slagna lagen och förordningen. Enligt artikel 288 andra stycket i EUF-fördraget är EU-förordningar till alla delar bindande och direkt tillämpliga i medlemsstaterna. Det betyder att en förordning inte får införlivas i eller omvandlas i svensk rätt och att medlemsstaterna är förhindrade att närmare tolka bestäm- melserna vid införandet av nationell rätt. Medlemsstaterna får inte heller uttala sig om tillämpningen av en EU-förordning eller förtydliga innebörden av begrepp som förekom- mer i en sådan förordning. Tolkningen av en EU-förordning är för- behållen de myndigheter och domstolar som tillämpar förordningen i respektive medlemsstat. I sista hand är det EU-domstolen som genom sin praxisbildning har tolkningsrätt över en EU-förordning. Medlemsstaterna ska således endast införa kompletterande be- stämmelser i den mån EU-förordningen överlämnar något till med- lemsstaterna att reglera. Detta gäller vanligtvis processuella regler i enlighet med principen om nationell processuell autonomi. Medlems- staterna har även en skyldighet att se till att en EU-förordning kan tillämpas i praktiken och får ett effektivt genomslag i respektive med- lemsstat. I många fall förutsätter en EU-förordning därför att med- lemsstaterna inför nationella regler av verkställande karaktär. AI-förordningen överlämnar uttryckligen vissa frågor till med- lemsstaterna att reglera, t.ex. vilka myndigheter som ska utses till nationella behöriga myndigheter, att myndigheterna ska ges vissa befogenheter och hur sanktionssystemet ska utformas. Eftersom sådana frågor bl.a. rör myndighetsutövning mot enskilda ska den regleringen ske i lag. I vissa avseenden kan normgivningsmakten dock tillfalla regeringen. Regleringen ska då i dessa avseenden ske i förordning. Utredningen har övervägt alternativet att föra in bestämmelser som kompletterar AI-förordningen i redan befintlig lagstiftning. Be- 142 SOU 2025:101 Behovet av kompletterande regelverk fintlig lagstiftning som AI-förordningen berör finns t.ex. i sektors- lagarna som kompletterar eller implementerar de rättsakter som om- fattas av bilaga IA till AI-förordningen och i flera andra lagar som berör områdena i bilaga III, t.ex. rörelselagarna på det finansiella om- rådet. Utredningen bedömer dock att det finns en risk för att de kom- pletterande bestämmelserna till AI-förordningen då kan komma att tolkas olika och tillämpas olika utifrån sitt sammanhang. En sektors- övergripande författning är enligt utredningen ett mer överskådligt alternativ och på sikt mer förutsägbart och rättssäkert. Utredningen föreslår därför att kompletterande bestämmelser till AI-förordningen ska framgå i en och samma författning.1 För att förtydliga att bestämmelserna inte är heltäckande och endast utgör ett komplement till AI-förordningen bör lagen be- nämnas lagen med kompletterande bestämmelser till EU:s förord- ning om artificiell intelligens och förordningen benämnas förord- ningen med kompletterande bestämmelser till EU:s förordning om artificiell intelligens. I betänkandet benämns den föreslagna lagen för kompletteringslagen och den föreslagna förordningen för kom- pletteringsförordningen. Utredningen anser att kompletteringslagen och kompletterings- förordningen bör innehålla en inledande bestämmelse om att lagen respektive förordningen kompletterar AI-förordningen. I en inled- ande bestämmelse i kompletteringsförordningen bör det även framgå att förordningen kompletterar kompletteringslagen. AI-förordningen bör i kompletteringslagen och kompletteringsförordningen benämnas AI-förordningen. 5.2.2 Ord och uttryck Utredningens förslag: Ord och uttryck i kompletteringslagen och kompletteringsförordningen ska ha samma betydelse som i AI-förordningen. Artikel 3 i AI-förordningen innehåller definitioner. Eftersom förord- ningen inte får tolkas i något avseende bör ord och uttryck som an- vänds i kompletteringslagen och kompletteringsförordningen ha 1 Jfr dock kapitel 7 beträffande bestämmelser om anmälande myndigheter och anmälda organ och avsnitt 5.3.3 beträffande bestämmelser om offentlighet och sekretess. 143 Behovet av kompletterande regelverk SOU 2025:101 samma betydelse som i AI-förordningen. Utredningen föreslår av tydlighetsskäl att kompletteringslagen och kompletteringsförord- ningen ska innehålla en upplysningsbestämmelse om detta. I AI-förordningen definieras nationell behörig myndighet som en anmälande myndighet eller en marknadskontrollmyndighet (arti- kel 3.48). Utredningen har övervägt att av tydlighetsskäl i författ- ningsförslagen använda begreppen anmälande myndighet respektive marknadskontrollmyndighet genomgående i stället för att gemensamt benämna dem nationell behörig myndighet. Eftersom AI-förord- ningen använder nationell behörig myndighet som ett samlings- begrepp för anmälande myndighet och marknadskontrollmyndighet har utredningen emellertid kommit fram till att den i kompletterings- lagen och kompletteringsförordningen bör använda samma begrepp, dvs. nationell behörighet myndighet, som ett samlingsbegrepp för anmälande myndighet och marknadskontrollmyndighet. När utred- ningen reglerar både marknadskontrollmyndigheter och anmälande myndigheter tillsammans används alltså begreppet nationell behörig myndighet. När en bestämmelse endast avser en anmälande myndig- het eller en marknadskontrollmyndighet anges dessa dock specifikt. I artikel 99 i AI-förordningen finns bestämmelser om sanktioner och andra efterlevnadsåtgärder. Utredningen har valt att använda be- greppet ingripande beträffande såväl sanktionsavgifter som andra typer av ingripanden (se vidare i kapitel 10). Begreppet är mer vanligt förekommande i svensk rätt än vad begreppet andra efterlevnads- åtgärder är.2 2 Se exempelvis 4 kap. lagen (2024:1278) med kompletterande bestämmelser till EU:s förord- ning om digital operativ motståndskraft för finanssektorn, 3 kap. lagen (2019:1215) med kom- pletterande bestämmelser till EU:s förordning om värdepapperisering och Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag, s. 137 ff. 144 SOU 2025:101 Behovet av kompletterande regelverk 5.2.3 Hänvisningar till AI-förordningen Utredningens förslag: Hänvisningar till AI-förordningen i kom- pletteringslagen ska vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen. De hänvisningar till AI-för- ordningen som innehåller bestämmelser om när en anmärkning eller en sanktionsavgift får beslutas mot en operatör eller ett anmält organ ska vara statiska, dvs. avse förordningen i den ur- sprungliga lydelsen. Kompletteringslagen ska läsas tillsammans med AI-förordningen. För att undvika dubbelreglering är det lämpligt att i kompletterings- lagen hänvisa till AI-förordningen. Det finns två sätt att hänvisa till unionslagstiftning i nationell rätt, antingen genom statiska hänvis- ningar eller genom dynamiska hänvisningar. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En följd av denna hänvisningsteknik är att den nationella författningen normalt behöver ändras varje gång EU-bestämmelsen ändras. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. Gröna boken, Riktlinjer för författningsskrivning (Ds 2014:1), rekommenderar att hänvisningar till EU-förordningar, t.ex. vid in- förande av sanktionsbestämmelser, som utgångspunkt bör ske genom statisk hänvisningsteknik. I vissa fall kan det finnas skäl att använda en annan hänvisningsteknik. En upplysningsbestämmelse som inte tillför lagtexten något materiellt innehåll behöver inte innehålla en hänvisning som anger vilken lydelse av rättsakten som avses. Lagrådet har ifrågasatt om det är lämpligt att upprätthålla en så stark presum- tion för att hänvisningar ska vara statiska som riktlinjerna ger uttryck för eller om dessa behöver justeras eller kompletteras. Statiska hän- visningar kan, enligt Lagrådet, leda till oklarheter eller brister i lag- stiftningen om lagstiftaren inte uppdaterar en hänvisning och medföra behov av att ändra en lag endast för att en hänvisning ska uppdateras utan att några överväganden i sak aktualiseras. Lagrådet har vidare ut- talat att en konsekvensanalys bör göras vid valet av hänvisningsteknik och redovisas för var och en av de hänvisningar som görs. Särskilt bör det enligt Lagrådet belysas hur det nationella regelsystemet faktiskt ändras genom hänvisningen och hur ändringar av rättsakten kan 145 Behovet av kompletterande regelverk SOU 2025:101 komma att påverka den nationella regleringen.3 En dynamisk hän- visningsteknik har förordats av regeringen i flera lagstiftningsärenden.4 Kompletteringslagen innehåller bestämmelser om sanktionsav- gifter och anmärkning vid överträdelser av förordningen. Bestämmel- sen om beslut om en anmärkning eller en sanktionsavgift bör inne- hålla en statisk hänvisning till AI-förordningen, dvs. avse förord- ningen i den ursprungliga lydelsen, med hänsyn till behovet av för- utsägbarhet i fråga om när en sanktionsavgift kan bli följden av över- trädelser. Övriga bestämmelser i kompletteringslagen där det hänvisas till AI-förordningen har emellertid en sådan karaktär att eventuella ändringar i förordningen bör få omedelbart genomslag i regleringen. Dessa bestämmelser bör därför innehålla dynamiska hänvisningar till AI-förordningen. 5.3 Behovet av sekretesskydd m.m. Utredningens bedömning: Det behövs kompletterande bestäm- melser om sekretess, tystnadsplikt, uppgiftsskyldighet och sekre- tessbrytande bestämmelser. Förslag på nödvändiga ändringar och tillägg redogörs för i respektive kapitel där övervägandena aktuali- seras. 5.3.1 Handlingsoffentlighet och sekretess Var och en har rätt att ta del av allmänna handlingar. Med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller upp- fattas på annat sätt. En handling är allmän, om den förvaras hos en myndighet och enligt 2 kap. 9 eller 10 §§ tryckfrihetsförordningen är att anse som inkommen till eller upprättad hos en myndighet. En handling anses ha kommit in till en myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa. En upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt anses förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med 3 Prop. 2015/16:156, s. 34 (Lagrådets yttrande). 4 Prop. 2017/18:105, s. 24 f. och prop. 2022/23:71, s. 15 f. 146 SOU 2025:101 Behovet av kompletterande regelverk tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt. En handling anses ha upprättats hos en myndighet, när den har expedierats. En handling som inte har expedierats anses upprättad när det ärende som den hänför sig till har slutbehandlats hos myn- digheten eller, om handlingen inte hänför sig till ett visst ärende, när den har justerats av myndigheten eller färdigställts på annat sätt.5 2 kap. 2 § tryckfrihetsförordningen anger under vilka förutsätt- ningar rätten att ta del av allmänna handlingar får begränsas. Detta gäller om det krävs med hänsyn till rikets säkerhet eller dess förhåll- ande till en annan stat eller en mellanfolklig organisation, rikets cen- trala finanspolitik, penningpolitik eller valutapolitik, myndigheters verksamhet för inspektion, kontroll eller annan tillsyn, intresset av att förebygga eller beivra brott, det allmännas ekonomiska intresse, skyddet för enskildas personliga eller ekonomiska förhållanden, eller intresset av att bevara djur- eller växtart. Vidare anger bestämmelsen att en begränsning av rätten att ta del av allmänna handlingar ska anges noga i en bestämmelse i en särskild lag eller, om det anses lämpligare i ett visst fall, i en annan lag som den särskilda lagen hänvisar till samt att efter bemyndigande i en sådan bestämmelse får regeringen genom förordning meddela närmare föreskrifter om bestämmelsens tillämp- lighet. Bestämmelser om sekretess finns i OSL och viss specialreglering. Det finns också bestämmelser om tystnadsplikt för andra än offentliga organ i specialreglering. En sekretessbestämmelse brukar bestå av tre huvudsakliga rekvisit, dvs. förutsättningar för bestämmelsens tillämplighet. Det är rekvisit som anger föremålet för sekretessen, sekretessens räckvidd och sekretessens styrka. Därutöver finns det ofta skäl att göra överväganden om tidsbegränsning för handlings- sekretessen och i förekommande fall sekretessbrytande bestämmelser, uppgiftsskyldigheter och överföring av sekretess. 5.3.2 Konfidentialitet enligt AI-förordningen Enligt artikel 78 i AI-förordningen ska kommissionen, marknads- kontrollmyndigheterna och anmälda organ och alla andra fysiska eller juridiska personer som deltar i tillämpningen av AI-förord- 5 2 kap. 1, 3, 4, 6, 9 och 10 §§ tryckfrihetsförordningen. 147 Behovet av kompletterande regelverk SOU 2025:101 ningen, i enlighet med unionsrätten eller nationell rätt, respektera konfidentialiteten för den information och de data som de erhåller när de utför sina uppgifter och sin verksamhet på ett sådant sätt att de särskilt skyddar följande: a) Immateriella rättigheter och en fysisk eller juridisk persons kon- fidentiella affärsinformation eller företagshemligheter, inklusive källkod, utom i de fall som avses i artikel 5 i Europaparlamentets och rådets direktiv (EU) 2016/943 av den 8 juni 2016 om skydd mot att icke röjd know-how och företagsinformation (företags- hemligheter) olagligen anskaffas, utnyttjas och röjs. b) Ett effektivt genomförande av AI-förordningen, särskilt med avseende på inspektioner, utredningar eller revisioner. c) Offentliga och nationella säkerhetsintressen. d) Genomförandet av straffrättsliga eller administrativa förfaranden. e) Uppgifter som säkerhetsskyddsklassificerats enligt unionsrätten eller nationell rätt. De nationella behöriga myndigheterna bör utöva sina befogenheter på ett oberoende, objektivt och opartiskt sätt för att säkerställa prin- cipen om objektivitet i sin verksamhet och sina uppgifter och för att säkerställa tillämpningen och genomförandet av AI-förordningen. Personalen vid dessa myndigheter bör avhålla sig från varje handling som är oförenlig med deras uppdrag och bör omfattas av bestämmel- serna om konfidentialitet enligt AI-förordningen (skäl 154). För att säkerställa ett förtroendefullt och konstruktivt samarbete mellan behöriga myndigheter på unionsnivå och nationell nivå bör alla parter som är involverade i tillämpningen av AI-förordningen säkerställa konfidentiell behandling av information och data som de erhåller i utförandet av sina uppgifter, i enlighet med unionsrätten eller nationell rätt. De bör utföra sina uppgifter och bedriva sin verk- samhet på ett sådant sätt att de i synnerhet skyddar immateriella rättigheter, konfidentiell affärsinformation och företagshemligheter, det effektiva genomförandet av förordningen, allmänna och nation- ella säkerhetsintressen, integriteten i straffrättsliga och administrativa förfaranden samt integriteten hos säkerhetsskyddsklassificerade uppgifter (skäl 167). 148 SOU 2025:101 Behovet av kompletterande regelverk 5.3.3 Offentlighet och sekretess i ljuset av utredningens uppdrag I utredningens uppdrag ingår att föreslå övriga åtgärder som är nöd- vändiga för att uppfylla kraven i AI-förordningen. AI-förordningen innehåller flera bestämmelser som kommer att ställa krav på samverkan inom myndighetsstrukturen, vilket kan kräva att myndigheter kan dela uppgifter med varandra i vissa avseenden. AI-förordningen innehåller även bestämmelser om regulatoriska sand- lådor för AI och testning av AI-system med hög risk under verkliga förhållanden som är innovationsfrämjande åtgärder som kräver in- blandning av en eller flera myndigheter. Dessa institut kräver över- väganden om sekretess. Bestämmelsen i AI-förordningen om konfidentialitet föranleder mot bakgrund av handlingsoffentligheten frågor om det är nödvändigt att införa bestämmelser om sekretess och tystnadsplikt samt uppgifts- skyldighet beträffande vissa verksamheter i AI-förordningen. Utred- ningen redovisar sina överväganden om specifika bestämmelser om sekretess, tystnadsplikt och uppgiftsskyldighet i de kapitel där de frågorna aktualiseras. 149 6 Marknadskontrollmyndigheter 6.1 Inledning Syftet med AI-förordningen är att förbättra den inre marknadens funktion och främja användningen av människocentrerad och till- förlitlig AI. Syftet är också att säkerställa en hög skyddsnivå för hälsa, säkerhet och grundläggande rättigheter som fastställs i stad- gan mot de skadliga effekterna av användning av AI-system i unio- nen, och att stödja innovation. För att uppnå detta syfte fastställs i AI-förordningen bl.a. regler om marknadsövervakning, marknads- kontroll, styrning och kontroll av efterlevnad (artikel 1). I avsnitt 3.3.1 och 3.3.2 har utredningen närmare redogjort för begreppet marknads- kontroll och vilka myndigheter som i dagsläget utövar marknads- kontroll i Sverige. En del av utredningens uppdrag är att lämna förslag på vilken eller vilka befintliga myndigheter som bör utses till marknadskontroll- myndigheter enligt AI-förordningen. I detta kapitel lämnar utred- ningen sådana förslag. För att genomföra utredningens uppdrag beskrivs i avsnitt 6.2 först marknadskontrollmyndighetens uppdrag enligt AI-förordningen. Redogörelsen i avsnittet utgör en sammanfattning och utredningen redogör närmare om marknadskontrollmyndigheternas uppgifter i flera andra kapitel, bl.a. i kapitel 9–12. I avsnitt 6.3 tar utredningen upp några övergripande principer, synpunkter och perspektiv som utredningen beaktar i valet om det bör vara en eller flera marknads- kontrollmyndigheter. I avsnitt 6.4 gör utredningen sin analys. I avsnittet presenterar utredningen ett antal utgångspunkter vid valet av marknadskontroll- myndighet och lämnar några övergripande bedömningar om hur många myndigheter som bör involveras i marknadskontrollsystemet (se av- snitt 6.4.1 och 6.4.2), vilka myndigheter som på ett övergripande plan 151 Marknadskontrollmyndigheter SOU 2025:101 bör övervägas (se avsnitt 6.4.3) och gör bedömningen att en myndig- het bör utses till marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen (se avsnitt 6.4.4). I avsnitt 6.4.5 lämnar utredningen förslag om hur ansvarsfördelningen mellan ansvariga myndigheter bör regleras i författning. I avsnitt 6.5–6.9 gör utredningen en mer ingående analys beträf- fande ansvarsfördelningen för marknadskontroll inom AI-förord- ningen. I avsnitt 6.5 lämnar utredningen förslag om ansvarsfördel- ning mellan marknadskontrollmyndigheter för högriskområdena i bilaga III. I avsnitt 6.6 lämnar utredningen förslag om ansvarsfördel- ning för högriskområdena beträffande bilaga IA till AI-förordningen. I avsnitt 6.7 tar utredningen upp förslag om ansvarsfördelning för de förbjudna AI-användningsområdena i artikel 5. I avsnitt 6.8 pre- senteras förslag om ansvarsfördelning för transparensskyldigheterna i artikel 50. I avsnitt 6.9 lämnas avslutningsvis förslag om ansvar för området AI-kunnighet i artikel 4. Utredningen har också i uppdrag att lämna förslag om vilken be- fintlig myndighet som bör utses till den marknadskontrollmyndighet som ska vara gemensam kontaktpunkt enligt AI-förordningen. Den frågan har ett nära samband med frågorna som tas upp i detta kapi- tel och hanteras i avsnitt 9.4.1. Kapitel 9 berör frågor om samordning och samverkan och vissa sekretessfrågor inom systemet för mark- nadsövervakning och kontroll. I slutet av det här kapitlet, i avsnitt 6.10, finns en sammanställning över utredningens förslag. I kapitlet görs vissa hänvisningar till andra unionsrättsakter. Flera av dessa är definierade i utredningens förkortningslista och utred- ningen har översiktligt redogjort för flera av dem i avsnitt 3.4. 6.2 En marknadskontrollmyndighets uppdrag enligt AI-förordningen 6.2.1 Rollen som nationell behörig myndighet Enligt AI-förordningen är en nationell behörig myndighet en anmä- lande myndighet eller en marknadskontrollmyndighet (artikel 3.48). En marknadskontrollmyndighet är en nationell myndighet som utför aktiviteter och vidtar åtgärder enligt EU:s marknadskontrollförord- ning (artikel 3.26). 152 SOU 2025:101 Marknadskontrollmyndigheter Marknadskontroll omfattar enligt definitionen i artikel 3.3 i EU:s marknadskontrollförordning den verksamhet som bedrivs och de åtgärder som vidtas av marknadskontrollmyndigheterna för att säker- ställa att produkter överensstämmer med de krav som fastställs i relevant harmoniserad unionslagstiftning samt säkerställa skydd av det allmänintresse som omfattas av den lagstiftningen. Varje medlemsstat ska utse minst en marknadskontrollmyndighet som nationell behörig myndighet enligt AI-förordningen. Denna myndighet ska agera oberoende, objektivt och opartiskt för att säker- ställa att AI-förordningen tillämpas korrekt. Personalen vid myndig- heten ska undvika handlingar som strider mot deras uppdrag. Dessa aktiviteter och uppgifter kan utföras av en eller flera utsedda myndig- heter, beroende på medlemsstatens organisatoriska behov (arti- kel 70.1). AI-förordningen uppställer vissa ytterligare krav på de nationella behöriga myndigheterna. Medlemsstaterna ska säkerställa att deras nationella behöriga myndigheter har tillräckliga tekniska och ekono- miska resurser samt personalresurser, och infrastruktur för att kunna fullgöra sina uppgifter på ett ändamålsenligt sätt. Myndigheterna ska ha ett tillräckligt antal anställda till ständigt förfogande, vars kompe- tens och sakkunskap ska inbegripa en ingående förståelse av AI-teknik, data och databehandling, skydd av personuppgifter, cybersäkerhet, grundläggande rättigheter, hälso- och säkerhetsrisker och kunskap om befintliga standarder och rättsliga krav. Medlemsstaterna ska år- ligen bedöma och vid behov uppdatera dessa kompetens- och resurs- krav (artikel 70.3). De nationella behöriga myndigheterna ska vidare vidta åtgärder för att säkerställa en lämplig nivå av cybersäkerhet (artikel 70.4) och följa konfidentialitetskrav (artikel 70.5). 6.2.2 Marknadskontrollmyndighetens uppgifter Marknadskontrollmyndigheten har flera uppgifter inom AI-förord- ningen och omfattande befogenheter för att säkerställa att AI-system följer AI-förordningen. Myndigheten ska vid marknadskontrollen tillämpa EU:s marknadskontrollförordning och har i vissa situationer rätt till fjärråtkomst och åtkomst till de tränings-, validerings- och testdataset som används för utvecklingen av AI-system med hög 153 Marknadskontrollmyndigheter SOU 2025:101 risk. Marknadskontrollmyndigheten har i vissa situationer även rätt att få tillgång till källkoden för AI-systemet med hög risk (arti- kel 74.13, se även närmare i avsnitt 10.2.2). Marknadskontrollmyndigheten har en särskild roll när det gäller bedömning av risker för AI-system. Myndigheten ska utvärdera om AI-system utgör en risk för personers hälsa, säkerhet eller grundläg- gande rättigheter och kan kräva korrigerande åtgärder eller återkal- lande av system som inte uppfyller kraven i AI-förordningen. Särskild uppmärksamhet ska i vissa avseenden ges till AI-system som utgör en risk för sårbara grupper och om risker för grundläg- gande rättigheter identifieras ska marknadskontrollmyndigheten omedelbart informera och samarbeta med myndigheterna som avses i artikel 77.1 (se närmare om dessa i kapitel 8). Vid bedömning av risker finns särskilda förfaranden för att hantera AI-system som ut- gör en risk på nationell nivå, förfaranden för hantering av AI-system som av en leverantör har klassificerats som ett AI-system utan hög risk, unionsförfaranden för skyddsåtgärder, förfaranden för AI- system som uppfyller kraven i förordningen men som ändå utgör en risk samt förfaranden vid formell bristande överensstämmelse (artiklarna 79–83). Marknadskontrollmyndigheten ska vidare ta emot rapporter om allvarliga incidenter från leverantörer av AI-system med hög risk och vidta åtgärder med anledning av dessa. Myndigheten ska i samband med detta och i vissa andra situationer informera och samarbeta med myndigheterna som avses i artikel 77.1 (artikel 73.7). Under vissa exceptionella omständigheter kan marknadskontroll- myndigheten besluta om tillstånd för undantag från förfarandena för bedömning av överensstämmelse (artikel 46). Fysiska och juridiska personer kan lämna klagomål till myndig- heten och dessa klagomål ska hanteras enligt fastställda förfaranden (artikel 85, se även avsnitt 14.4). Myndigheten har också ansvar för att informera kommissionen och andra medlemsstater om risker och åtgärder. Den ska också lämna rapporter enligt flera olika artiklar (se närmare i bl.a. kapitel 9). Marknadskontrollmyndigheten ska i egenskap av nationell behö- rig myndighet även ansvara för vissa åtgärder till stöd för innovation, bl.a. regulatoriska sandlådor för AI (artikel 57, se även kapitel 12.2). Vid testning av AI-system med hög risk under verkliga förhållanden 154 SOU 2025:101 Marknadskontrollmyndigheter ska marknadskontrollmyndigheten också godkänna testningen och utöva kontroll över den (artikel 60 och 76, se även avsnitt 12.7). 6.2.3 Jurisdiktion och samarbetet med AI-byrån Marknadskontrollmyndigheten är ansvarig för marknadskontroll över AI-system inom sitt nationella territorium, med undantag för AI-system som faller utanför AI-förordningens tillämpningsområde enligt artikel 2 i förordningen. AI-system ska särskiljas från AI-modeller för allmänna ändamål (se definitioner i artikel 3.1 och 3.63). Kommissionen har exklusiv befogenhet att utöva tillsyn och kontroll av efterlevnaden av skyldig- heterna för leverantörer av AI-modeller för allmänna ändamål, genom AI-byrån (artikel 88). Ett AI-system är ett AI-system för allmänna ändamål om det bygger på en AI-modell för allmänna ändamål och har kapacitet att tjäna en rad olika ändamål, både för direkt användning och för inte- grering i andra AI-system (artikel 3.66). Om ett AI-system bygger på en AI-modell för allmänna ändamål och både modellen och syste- met har utvecklats av samma leverantör, ska AI-byrån övervaka och utöva tillsyn över AI-systemets efterlevnad. AI-byrån har då samma befogenheter som en marknadskontrollmyndighet enligt AI-förord- ningen och EU:s marknadskontrollförordning (artikel 75.1). I andra fall är den nationella marknadskontrollmyndigheten alltså ansvarig för marknadskontroll av alla AI-system som omfattas av AI-förord- ningen, inklusive AI-system för allmänna ändamål. Marknadskontrollmyndigheten ska i vissa situationer samarbeta med AI-byrån. Om en marknadskontrollmyndighet har skäl att tro att ett AI-system för allmänna ändamål, som kan användas direkt av tillhandahållare för minst ett ändamål som klassificeras som AI- system med hög risk, inte uppfyller kraven i AI-förordningen, ska den samarbeta med AI-byrån för att utföra bedömningar av överens- stämmelse och informera AI-styrelsen och andra marknadskontroll- myndigheter om detta. Om en marknadskontrollmyndighet inte kan slutföra sina utredningar av AI-system med hög risk på grund av att den inte fått tillgång till viss information om AI-modellen för allmänna ändamål, trots att den har vidtagit alla lämpliga åtgärder 155 Marknadskontrollmyndigheter SOU 2025:101 för att få informationen, får den vidare lämna en motiverad begäran till AI-byrån och AI-byrån ska då vidta vissa åtgärder (artikel 75). 6.3 Övergripande perspektiv vid val av myndigheter 6.3.1 Inledning AI-förordningen är en horisontell rättsakt som träffar de flesta om- rådena i samhället. Många produkter som ett AI-system kan komma att utgöra en del av är redan i dagsläget föremål för marknadskontroll. Områdena som omfattas av AI-förordningen är därutöver föremål för tillsyn hos en stor mängd olika myndigheter. En initial fråga som utredningen behöver ta ställning till är därför om uppdraget att utöva marknadskontroll enligt AI-förordningen bör ges till en eller flera myndigheter. Om marknadskontrolluppdraget ska fördelas mellan flera myndigheter behöver utredningen också ta ställning till hur en sådan fördelning bör göras. Inom marknadskontrollområdet är det inte ovanligt att flera myn- digheter har uppdrag att utöva marknadskontroll enligt samma unionsrättsakt. Exempelvis har både PTS och Elsäkerhetsverket i uppdrag att utöva marknadskontroll enligt radioutrustningslagen (2016:392), som implementerar EU:s radioutrustningsdirektiv1. Marknadskontroll enligt lagen (2011:579) om leksakers säkerhet, vilken implementerar EU:s leksaksdirektiv2, utövas av Konsument- verket, Kemikalieinspektionen och Elsäkerhetsverket. Marknads- kontrollmyndigheterna är i dessa fall skyldiga att samordna sina åtgärder om kontrollen avser samma produkt eller om åtgärderna riktar sig mot samma ekonomiska aktör. I promemorian om kompletterande bestämmelser till EU-för- ordningen om batterier3 föreslås att fyra marknadskontrollmyndig- heter ska ansvara för att utöva marknadskontroll enligt EU:s för- 1 Europaparlamentets och rådets direktiv 2014/53/EU av den 16 april 2014 om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av radioutrustning och om upphävande av direktiv 1999/5/EG. 2 Europaparlamentets och rådets direktiv 2009/48/EG av den 18 juni 2009 om leksakers säkerhet. 3 Europaparlamentets och rådets förordning (EU) 2023/1542 av den 12 juli 2023 om batterier och förbrukade batterier, om ändring av direktiv 2008/98/EG och förordning (EU) 2019/1020 och om upphävande av direktiv 2006/66/EG. 156 SOU 2025:101 Marknadskontrollmyndigheter ordning om batterier; Kemikalieinspektionen, Elsäkerhetsverket, Energimyndigheten och Konsumentverket.4 Även när det gäller annan tillsyn än marknadskontroll är det inte ovanligt att flera myndigheter har ett delat ansvar inom samma EU- rättsakt. I dagsläget utövar exempelvis sex olika myndigheter tillsyn enligt lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-lagen), som implementerar NIS-direktivet och som nyligen ersatts av NIS 2-direktivet. Utredningen om genom- förande av NIS 2- och CER-direktiven har i delbetänkandet Nya regler om cybersäkerhet (SOU 2024:18) föreslagit att antalet tillsyns- myndigheter på området ska utökas till totalt elva myndigheter, varav fyra av dessa är länsstyrelser. I den fortsatta beredningen av utred- ningens förslag har regeringen uttalat att den delar utredningens upp- fattning om att det bör finnas flera tillsynsmyndigheter.5 I de fall där flera myndigheter har ett delat uppdrag att utöva tillsyn eller kontroller brukar det vanligtvis framgå tydligt av för- fattning hur ansvarsfördelningen mellan myndigheterna ska vara. Följaktligen ansvarar myndigheterna för att kontrollera olika saker. En utmaning med en ansvarsfördelning inom AI-förordningen är dock att den omfattar många olika befintliga sektorer och tillsyns- områden. En ytterligare svårighet är att det kan vara svårt att fast- ställa i vilken del av en produkt som ett fel uppstår, i detta fall om det uppstår i AI-systemet eller i en annan del av produkten. Med hänsyn till AI-förordningens breda tillämpningsområde behöver utredningen beakta allmänna principer och överväganden för ekonomisk styrning vid överväganden om vilken eller vilka myn- digheter som ska utöva marknadskontroll enligt AI-förordningen. En annan viktig aspekt som behöver vägas in är myndigheters, näringslivets och andra aktörers behov av förutsebarhet och trans- parens. Utredningen behöver också beakta vad det närmare innebär att kontrollera AI-system och vilken sakkunskap som kan förväntas krävas hos en ansvarig myndighet i fråga om AI-teknik m.m. samt vilka myndigheter som kan förväntas bygga upp en sådan kunskap. Utredningar tar upp några sådana övergripande principer, synpunkter och perspektiv som utredningen beaktar i valet om det bör vara en eller flera marknadskontrollmyndigheter i avsnitt 6.3.2–6.3.5. 4 Promemorian Kompletterande bestämmelser till EU-förordningen om batterier, KN2024/02313. 5 Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag, s. 119. 157 Marknadskontrollmyndigheter SOU 2025:101 Mycket förenklat kan sägas att alternativen som utredningen har övervägt är 1) ett centraliserat system, 2) ett decentraliserat system eller 3) ett hybridalternativ. 6.3.2 Principer för ekonomisk styrning Av budgetlagen (2011:203) framgår att statens verksamhet ska efter- sträva hög effektivitet och iaktta god hushållning. Enligt myndighets- förordningen (2007:515) har varje myndighetsledning ett ansvar för att verksamheten bedrivs effektivt och att myndigheten hushåller väl med statens medel. Kravet på effektivitet innebär att statsförvalt- ningen utnyttjar skattemedel ändamålsenligt och att den inte använder mer resurser än vad som krävs för att uppnå avsedda resultat med tillräckligt god kvalitet.6 Varje myndighet har att sträva efter en hög effektivitet men bör samtidigt beakta statens samlade effektivitet. I budgetpropositionen för 2025 framgår att målet för den statliga förvaltningspolitiken ska vara en innovativ och samverkande statsför- valtning som är rättssäker och effektiv, har väl utvecklad kvalitet, service och tillgänglighet och som därigenom bidrar till Sveriges ut- veckling och ett effektivt EU-arbete.7 Målet har varit detsamma sedan 2010 och de uttalanden som ligger till grund för målet för statlig förvaltning, ekonomisk styrning och tillsyn återfinns i prop. 2009/10:175. Vad gäller den statliga förvalt- ningens organisation uttalas i propositionen bl.a. att specialiseringen och sektoriseringen inom förvaltningen inte får leda till fragmen- tering och bristande helhetssyn. För att motverka sådana tendenser bör förutsättningarna för statlig samordning och samverkan mellan myndigheter och sektorer förbättras på både nationell och regional nivå. Den statliga förvaltningen bör vara organiserad på ett sådant sätt att rättssäkerhet och effektivitet upprätthålls. Ansvars- och uppgiftsfördelningen mellan olika myndigheter bör vara tydlig. Myndigheter bör som regel inte ha överlappande uppgifter och roll- konflikter inom en enskild myndighet bör undvikas.8 I prop. 2009/10:175 uttalas beträffande tillsyn bl.a. att den offent- liga tillsynen spelar en viktig roll för att stärka regelefterlevnaden i hela samhället, både i offentlig och privat verksamhet. Tillsynen bi- 6 Prop. 2009/10:175, s. 29. 7 Prop. 2024/25:1 utgiftsområde 2, s. 10. 8 Prop. 2009/10:175, s. 72 ff. 158 SOU 2025:101 Marknadskontrollmyndigheter drar till att upprätthålla grundläggande värden i samhället, såsom rättssäkerhet, effektivitet och demokrati. Genom tillsynen ska med- borgare och företag kunna vara förvissade om att deras intressen tas tillvara. En väl fungerande tillsyn ökar tryggheten i samhället. Brister i tillsynen kan leda till ett minskat förtroende för demokratiska beslut. En alltför differentierad tillsyn medför därför risker ur ett demo- kratiskt perspektiv, eftersom tillsynen inom många områden är ett av de viktigaste instrumenten för att säkerställa att demokratiskt fattade beslut genomförs på ett avsett och likvärdigt sätt. Det finns därmed risker för rättssäkerheten om tillsyn inte fun- gerar som avsett. För tillsynsorganen kan det exempelvis uppstå en osäkerhet om i vilken utsträckning de är skyldiga att ingripa. Det finns även en risk för ovisshet för tillsynsobjekten om vilka krav som egent- ligen åligger dem i samband med tillsyn, en ovisshet som kan leda till onödiga konflikter i relationen till tillsynsorganen. En tydligare och mer enhetlig tillsyn är viktig för regelförenklingsarbetet och kan därmed bidra till att förbättra företagsklimatet i Sverige. Genom en mer likartad användning av begrepp och mer likartade regler kring tillsyn ges de många verksamhetsutövare som står under tillsyn uti- från flera olika lagar och av flera tillsynsmyndigheter bättre förut- sättningar att kunna följa gällande regler. En väl fungerande tillsyn behöver dessutom vara enhetlig i hela landet och ska inte riskera att snedvrida konkurrensen på marknaden.9 Marknadskontroll är en form av tillsyn och utredningen bedömer därför att vad som sägs i propositionen om tillsyn därför även kan tillämpas på granskning av produkters överensstämmelse enligt unionsrätten. I budgetpropositionen för 2025 uttalas vidare att statsförvaltningen ska bli effektivare och att varje skattekrona ska användas klokt och att statligt finansierad verksamhet ständigt ska vara föremål för om- prövning och prioritering. Detta anses viktigt inte minst då resurser behöver omfördelas för att hantera nya utmaningar i samhället. Det uttalas vidare att statsförvaltningen behöver bli mer ändamålsenligt organiserad och att antalet myndigheter bör minska. Regeringen vid- tar enligt propositionen flera åtgärder för att minska utgifterna för statsförvaltningen, bl.a. genom att anslagsnivån för flera myndigheter föreslås att minskas. Regeringen ser behov av att effektivisera förvalt- ningen av EU-medel och att säkerställa en tydlig ansvarsfördelning 9 Prop. 2009/10:175, s. 95 ff. 159 Marknadskontrollmyndigheter SOU 2025:101 mellan myndigheter som hanterar EU-medel.10 Finansutskottet har tillstyrkt regeringens förslag till riktlinjer för den ekonomiska poli- tiken och budgetpolitiken och riksdagen har bifallit utskottets för- slag till riksdagsbeslut.11 Det är mot bakgrund bl.a. av dessa förarbetsuttalanden och prin- ciper som utredningen gör sina överväganden. 6.3.3 Synpunkter från vissa berörda aktörer Utredningen har fört dialoger med representanter för akademin, intresseorganisationer, näringslivet, myndigheter och fackförbund. Vid dessa dialoger har sammantaget följande synpunkter av övergri- pande natur framförts (mer specifika synpunkter tas upp i avsnit- ten 6.5–6.8). Representanter för näringslivet har framfört att det å ena sidan är önskvärt att inte flera myndigheter än nödvändigt har ett tillsyns- och kontrolluppdrag. Å andra sidan bör den myndighet som utövar kontroll ha goda kunskaper om branschen och de produkter som tillhandahålls på marknaden. En annan aspekt som är viktig är att företagare ska kunna vända sig till de myndigheter som de redan i dagsläget behöver interagera med. Framför allt har näringslivet understrukit behovet av en enda, gemensam ingång, oavsett hur många myndigheter som involveras; en s.k. ”one-stop-shop”. Från en sådan ingång skulle företagen sedan kunna slussas vidare till rätt myndighet. Näringslivet har också efterfrågat tydlig vägledning och en mer serviceinriktad myndighetsutövning. Representanter från branscher som i dagsläget är föremål för marknadskontroll och tillsyn ser helst att det inte läggs nya marknads- kontrolluppdrag på ytterligare myndigheter. Bransch- och arbetsgivarorganisationen Almega har gett in en skrivelse till utredningen. Almega har i den framhållit att det mest centrala för tjänsteföretagen är att tillämpningen av AI-förordningen blir tydlig och förutsebar, så att företag inte får olika besked och varierande vägledning beroende på vart man vänder sig. För att det ska kunna ske bedömer Almega att det är rimligt att utgå från befint- liga myndighetsstrukturer snarare än att försöka skapa en ny ordning 10 Prop. 2024/25:1, 1 Finansplan, 1.2, s. 25. 11 Bet. 2024/25:FiU1, rskr. 2024/25:49. 160 SOU 2025:101 Marknadskontrollmyndigheter för marknadskontroll och tillsyn. Detta eftersom operatörer sanno- likt är mer benägna att fråga om hjälp från en redan befintlig myndig- het än från en helt ny sådan. Almega har också framhållit att en för- utsättning för att kunna ge tydlig vägledning också är rätt kompetens för uppdraget, och viss teknisk kunskap i sakfrågan. Vidare har organi- sationen bedömt att det behövs någon form av ”one-stop-shop” med branschkunnig vägledning och anställda för att företag snabbt ska få svar och anpassa sin AI-användning, eftersom behovet kan se olika ut beroende på vilken bransch man verkar i. Majoriteten av de representanter för akademin, fackförbund och intresseorganisationer som utredningen har träffat har inte närmare uttalat sig i fråga om antalet myndigheter. Representanter för fackför- bunden har dock fört fram att det är viktigt att den eller de myndig- heter som får ett ansvar ser på bestämmelserna i AI-förordningen uti- från ett rättighetsperspektiv. Liknande perspektiv har förmedlats från barnrättsorganisationer. Representanter för intresseorganisationer inom immaterialrättsområdet har framhållit att det är viktigt att en ansvarig myndighet också har kunskaper i immaterialrättsliga frågor. AI Sweden har inkommit med en skrivelse till utredningen. AI Sweden har i den betonat vikten av ett marknadskontrollsystem som effektivt balanserar säkerhet och förtroende med behovet av att främja innovation och nationell konkurrenskraft. Systemet måste vara tyd- ligt, förutsebart, effektivt och proportionerligt för att understödja en bred och ansvarsfull tillämpning av AI i hela samhället. I fråga om centralisering kontra sektorsspecifik kunskap har AI Sweden för- medlat att organisationen ser fördelar med båda angreppssätten. Även om en centraliserad AI-expertis stärker enhetlighet, är sektorsspecifik kunskap enligt organisationen avgörande för att förstå kontext och risker i tillämpningsområden som exempelvis kritisk infrastruktur. Ett effektivt system kräver enligt AI Sweden sannolikt en struktur som framgångsrikt kombinerar båda dessa dimensioner, eventuellt genom en hybridmodell, en “one-stop-shop”, eller nära myndighets- samverkan, för att undvika att bristande nyanser eller expertis hämmar AI-användningen i praktiken. Bland de marknadskontrollmyndigheter och övriga myndigheter som utredningen har haft kontakt med i fråga om en eller flera myn- digheter bör utses har olika alternativ förordats. Å ena sidan förordar en majoritet av de myndigheter som utred- ningen har haft kontakt med att ansvaret för marknadskontroll läggs 161 Marknadskontrollmyndigheter SOU 2025:101 på så få myndigheter som möjligt. Detta grundas i ett önskemål om att säkerställa en så enhetlig praxis som möjligt, att möjliggöra en sta- bil kunskapsuppbyggnad och kompetensförsörjning på området samt på farhågor gällande svårigheten att samordna sig i de fall där flera myndigheter har ett delat ansvar och att bedöma om myndigheten är behörig att besluta i s.k. gråzonsfrågor. Å andra sidan förordar några myndigheter en mer sektorsvis marknadskontroll och hänvisar till att AI-förordningen omfattar många olika sektorer och att de krav som ställs är både av övergri- pande och av detaljerad karaktär. Enligt dessa myndigheter borde den myndighet som utövar marknadskontroll eller tillsyn inom en sektor i övrigt därför vara bäst lämpad att även utöva kontroll avse- ende AI-system. Risken för en inkonsekvent tillämpning bör enligt dessa myndigheter i stället motverkas genom en tät samverkan mellan de olika myndigheterna, där en eller ett fåtal myndighet ges i uppdrag att ha ett mer huvudsakligt ansvar. 6.3.4 Andra medlemsstaters förslag Få medlemsstater har fattat beslut om myndighetsstrukturen inom AI-förordningen vid slutjusteringen av detta betänkande. Några för- slag finns dock tillgängliga. Flera medlemsstater har i sina förslag till nationella anpassningar till följd av AI-förordningen förordat en centralisering eller begränsning av antalet marknadskontrollmyndig- heter. I Italien har t.ex. lagts fram ett förslag som innebär att Italiens nationella cybersäkerhetsmyndighet (Agenzia per la Cybersicurezza Nazionale, ACN) ges ett huvudsakligt uppdrag att vara marknads- kontrollmyndighet enligt AI-förordningen. På Malta har föreslagits att två olika myndigheter ska vara marknadskontrollmyndigheter en- ligt AI-förordningen. I Spanien och Polen har förslagits att en ny central myndighet ska etableras med huvudansvaret för AI-förord- ningen.12 I Tyskland har lagts fram ett förslag som innebär att myn- digheten Bundesnetzagentur (The Federal Network Agency for Electricity, Gas, Telecommunications, Post and Railway, BNetzA) ges ett huvudsakligt ansvar för AI-förordningen, med undantag för rättsakterna i bilaga IA till AI-förordningen. 12 https://artificialintelligenceact.eu/national-implementation-plans/ (hämtad 2025-08-04). 162 SOU 2025:101 Marknadskontrollmyndigheter Samtidigt föreslås i flera andra länder en mer decentraliserad modell, där det t.ex. i Nederländerna har föreslagits att flera myndig- heter ska bli marknadskontrollmyndigheter, men där ett fåtal myndig- heter ska få en större roll. AI-styrelsen har i mars 2025 skickat ut en enkät till samtliga med- lemsstater med frågor om bl.a. hur respektive stat överväger att för- dela ansvaret inom AI-förordningen. Därefter har AI-styrelsen sammanställt en rapport över svaren. Övergripande visar rapporten att hanteringen bland medlemsstaterna är splittrad och att få vid tid- punkten för rapportens publicering har fattat några slutgiltiga beslut. Av 18 medlemsstater som har svarat på frågan om vilka myndigheter de överväger för rollen som gemensam kontaktpunkt har totalt sex länder svarat att de överväger myndigheter med ansvar för media, telekom, kommunikation eller transport (se närmare om rollen som gemensam kontaktpunkt i avsnitt 9.4.1). Vidare framkommer att två medlemsstater överväger digitaliseringsmyndigheter för den rollen och att två medlemsstater överväger att utse den nationella data- skyddsmyndigheten till gemensam kontaktpunkt.13 I Finland har regeringen lagt fram en proposition till en ny lag som ska komplettera AI-förordningen. I propositionen ingår ett förslag till myndighetsstruktur som utgår från en decentraliserad modell där totalt tio myndigheter föreslås vara marknadskontroll- myndigheter. För högriskområdena i bilaga III föreslås sju myndig- heter ansvara och för områdena i bilaga IA föreslås fem myndigheter ansvara. Dataombudsmannen föreslås ansvara för de förbjudna AI- användningsområdena i artikel 5 och Transport- och kommunika- tionsverket föreslås få ett huvudsakligt ansvar för transparenskraven i artikel 50. Transport- och kommunikationsverket föreslås också vara gemensam kontaktpunkt.14 I Norge har regeringen beslutat att Nasjonal kommunikasjons- myndighet (Nkom) ska vara koordinerande marknadskontroll- myndighet för AI-förordningen.15 Den norska regeringen har vidare lagt fram ett utkast till en ny lag som ska genomföra AI-förordningen. I utkastet föreslås att Nkom ska ha i uppdrag att vara nationell kon- 13 I övrigt har andra medlemsstater övervägt eller beslutat om att utse andra myndigheter, så som cybersäkerhetsmyndigheter eller konsumentmyndigheter och fem länder har svarat att de överväger eller har beslutat om att inrätta en helt ny myndighet. 14 https://www.eduskunta.fi/SV/vaski/HallituksenEsitys/Sidor/RP_46+2025.aspx#Saados Osa (hämtad 2025-08-04). 15 https://www.regjeringen.no/no/aktuelt/gjor-norge-klar-for-trygg-og-innovativ-ki- bruk/id3093081/ (hämtad 2025-08-04). 163 Marknadskontrollmyndigheter SOU 2025:101 taktpunkt gentemot allmänheten, andra medlemsstater och EU samt att säkerställa en enhetlig tillsyn av AI-förordningen över sektors- gränserna. Beträffande ansvarsfördelningen för högriskområdena i bilaga IA samt för finansområdet föreslår den norska regeringen att Norge ska följa huvudreglerna i artikel 74.3 och 74.6 (se närmare om dessa artiklar i avsnitt 6.6 och 6.5.6). Vidare föreslås beträffande hög- riskområdena som omnämns i artikel 74.8 (se närmare om den arti- keln i avsnitt 6.5.1) att Datatilsynet ska vara marknadskontrollmyn- dighet. För övriga delar av bilaga III har den norska regeringen angett att utgångspunkten är att Nkom ska utöva kontroll som koordine- rande marknadskontrollmyndighet, om inget annat beslutas.16 I Danmark antogs en lag med kompletterande bestämmelser till AI-förordningen den 8 maj 2025. Lagen syftar endast till att skapa ett ramverk för den danska tillsynen av de förbjudna AI-användnings- områdena i artikel 5. Avsikten är att ytterligare lagstiftning som ska genomföra de andra delarna av AI-förordningen, inklusive komplett- erande bestämmelser om AI-system med hög risk, ska antas senare. I lagen pekas Digitaliseringsstyrelsen, Datatilsynet och Domsstols- styrelsen ut som marknadskontrollmyndigheter med olika ansvar för de förbjudna AI-användningsområdena. Digitaliseringsstyrelsen pekas även ut som gemensam kontaktpunkt.17 Beträffande högriskområdena i övrigt överväger Danmark, enligt uppgifter till utredningen, ett del- vis decentraliserat system, i vilket Digitaliseringsstyrelsen kommer att ha ett huvudsakligt uppdrag. 6.3.5 Något kort om att kontrollera AI-system Marknadskontroll av AI-system är något nytt Att utöva marknadskontroll över AI-system är något nytt och än så länge är det få som har någon praktisk erfarenhet av området. Det finns dock flera rapporter och forskningsprojekt som berör området. Bl.a. har Kommerskollegium 2023 publicerat en artikel i ämnet.18 Kommerskollegium konstaterar i artikeln att marknadskontroll över 16 https://www.regjeringen.no/contentassets/e823dc21809c43f2b4ba9ff1e389e245/horingsn otat-utkast-til-ki-lov131652.pdf, s. 39–46 (hämtad 2025-08-04). 17 https://www.ft.dk/samling/20241/lovforslag/L154/som_vedtaget.htm och https://www.ft.dk/samling/20241/lovforslag/l154/20241_l154_fremsaettelsestale.htm (hämtad 2025-08-04). 18 Innovation, AI, Technical Regulation and Trade, Questioning the Invisible Hand in the Digital Economy, Kommerskollegium, 2023. 164 SOU 2025:101 Marknadskontrollmyndigheter mjukvarubaserade produkter inte kommer att likna den klassiska och nuvarande marknadskontrollen av produkter. Föränderligheten i mjukvarubaserade produkter gör bl.a. att det är betydligt mer utma- nande för såväl företag som myndigheter att följa, kontrollera och verifiera vad som händer med produkters egenskaper över tid. Det får till följd att det krävs större fokus på livscykelperspektivet i till- synen eftersom digitala produkter alltid kommer att ändras över tid. Vidare påverkas digitala produkter inte endast av den avsedda använd- ningen och förutsägbara risker, t.ex. fysiska och kemiska risker som ofta är fallet för icke-digitala, icke-uppkopplade varor. De påverkas också av faktorer som är svårare att förutse och därmed svårare att reglera, övervaka och utöva tillsyn över: frågor om exempelvis per- sonlig integritet, cybersäkerhet och motståndskraft. Forskare vid RISE som arbetar inom projektet CitCom.ai19, som är en av EU:s s.k.Testning and Experimental Facilities (TEF), har också publicerat ett antal artiklar som berör testning av AI-system. Slutsatserna i dessa artiklar berör inte marknadskontroll, men kan ändå tänkas ha betydelse för myndigheter som ska utöva marknads- kontroll inom området. Bl.a. har forskare inom projektet i en rapport publicerad 2024 analyserat en metod för testning av AI-system enligt AI-förord- ningens regelverk.20 I rapporten konstateras bl.a. att utmaningarna med AI-system är omfattande och mångfacetterade, särskilt när man strävar efter att utveckla testning enligt ramverk som AI-förord- ningen. Fältet utvecklas snabbt, med en avancerad utveckling inom många olika områden. Delområden inom AI, såsom maskininlärning, naturlig språkbehandling (NLP) och datorseende, lägger till kom- plexitetslager med det ökande antalet tillgängliga verktyg. Detta skapar enligt forskarna ett kaotiskt landskap som innebär att det krävs en systematisk metod för att utveckla en strukturerad lösning för testning av AI-system. I rapporten presenteras en detaljerad test- ningsmetod som forskarna bedömer ska kunna fungera inom olika områden och användningsfall. I en rapport publicerad 2025 har samma forskare gjort en kom- parativ studie mellan testning av AI-system och traditionell testning 19 https://www.ri.se/en/expertise-areas/projects/citcomai-ai-tef-scc (hämtad 2025-04-28). 20 From AI Act to Structured Testing of AI Systems, Nishat I Mowla, Kabir Fahria, RISE Report 2024:84. 165 Marknadskontrollmyndigheter SOU 2025:101 av mjukvara.21 I rapporten drar forskarna slutsatserna att testning av ett AI-system i flera avseenden avviker från traditionell testning av mjukvara och att testning av AI-system kräver AI-expertis på grund av de unika utmaningar som AI-system medför. Till skillnad från traditionell mjukvara, som är deterministisk och fungerar enligt fördefinierade regler och testfall, introducerar AI-system kontinu- erligt lärande, probabilistiska utdata och framväxande beteenden. Dessa egenskaper gör att AI-system inte kan testas effektivt med konventionella mjukvarutestningsmetoder. AI-system måste bl.a. utvärderas för rättvisa, förklarbarhet och robusthet, vilket innebär att testningen måste kunna hantera komplexa och dynamiska föränd- ringar i systemets beteende. För att göra detta krävs enligt rapporten en djup förståelse för datavetenskap, maskininlärningsarkitekturer och modellinterpretabilitet. En renodlad mjukvarutestningsorien- terad metod är otillräcklig eftersom AI-system kräver en djupare förståelse för deras lärandeprocesser och beslutsfattande mekanismer. AI-tester måste bl.a. kunna validera datakvalitet, genomföra både s.k. white box- och black box-testning samt utföra systemnivåtestning för att säkerställa att AI-system uppfyller regulatoriska krav. Representanter för flera AI-kunniga aktörer som utredningen har haft kontakt med har förmedlat liknande perspektiv som presenterats i rapporterna. Sammanfattningsvis har de redovisat uppfattningen att marknadskontroll och testning av AI-system är komplicerat och i många fall kommer sådan marknadskontroll och testning att avvika från den klassiska marknadskontrollen av produkter. Utredningen gör bedömningen att dessa perspektiv behöver vägas in som faktorer när det gäller vilka krav som kommer att behöva ställas på kompetens hos ansvariga myndigheter och kring behovet av anpassad systematik för marknadskontroll inom AI-området. Standarder eller specifikationer för överensstämmelse med AI-förordningen kommer att utvecklas Harmoniserade standarder och/eller gemensamma specifikationer kommer att utvecklas för att bedöma överensstämmelse med AI-för- ordningen (artiklarna 40 och 41). Harmoniserade standarder och 21 Testing AI in relation to Traditional Software Testing: A Comparative Overview, Kabir Fahria and Nishat Mowla, RISE Report 2025:40. 166 SOU 2025:101 Marknadskontrollmyndigheter gemensamma specifikationer syftar till att ge praktiska och tekniska lösningar för att uppfylla krav i bl.a. förordningar. AI-system med hög risk eller AI-modeller för allmänna ändamål som överensstämmer med harmoniserade standarder eller gemen- samma specifikationer ska förutsättas överensstämma med de krav som fastställs i AI-förordningen, i den utsträckning som standarderna eller specifikationerna omfattar specifika krav eller skyldigheter (arti- klarna 40.1 och 41.3). Arbetet med att ta fram harmoniserade standarder för AI-förord- ningen samordnas av den europeiska kommittén CEN-CLC/JTC 21 Artificial intelligence. Under Svenska institutet för standarder (SIS) finns en svensk kommitté som består av experter som arbetar med AI-standarder, SIS/TK 421. Inom SIS/TK 421 arbete ingår även den internationella AI-standardiseringen, som drivs genom ISO/IEC JTC 1/SC 42 Artificial intelligence.22 Harmoniserade standarder eller gemensamma specifikationer som ska utvecklas kommer alltså att beaktas när marknadskontrollmyndig- heterna ska kontrollera överensstämmelse med AI-förordningen. Att marknadskontrollmyndigheterna kommer att kunna beakta sådana standarder och specifikationer vid sin kontroll av efterlevnad bör i viss mån underlätta myndigheternas arbete. Sådana har vid slutjuste- ringen av betänkandet inte utvecklats och utredningen har förstått att det kan dröja innan sådana finns tillgängliga. 6.4 Utredningens utgångspunkter 6.4.1 Flera marknadskontrollmyndigheter behövs Utredningens bedömning: Flera marknadskontrollmyndigheter behöver utses. 22 https://www.sis.se/standardutveckling/tksidor/tk400499/sistk-421/ (hämtad 2025-05-15). 167 Marknadskontrollmyndigheter SOU 2025:101 Argument för och mot att en myndighet ansvarar för marknadskontroll Med en enda marknadskontrollmyndighet skapas förutsättningar för att bygga upp en samlad kompetens och kunskapsbas om AI- förordningen inom samtliga nödvändiga områden som berör förord- ningen. Operatörer kommer att ha en tydlig mottagare för frågor relaterade till rättsakten. Praxisutvecklingen avseende AI-förord- ningen kan komma att bli mer enhetlig om en myndighet handlägger samtliga ärenden som rör marknadskontroll. Detta skapar även mer förutsebara och rättssäkra förutsättningar för operatörer som dels kan förhålla sig till myndighetens tidigare bedömningar på området, dels kan vara trygga i att en enhetlig prövning kommer att göras vad gäller överensstämmelse med rättsakten. Med en marknadskontrollmyndighet blir det också enklare att samordna marknadskontrollerna i förhållande till övriga marknads- kontrollmyndigheter inom EU och i förhållande till den rapportering av marknadskontroll som ska göras. Detta bör även underlätta för utländska aktörer som vill etablera sig på den svenska marknaden. En stor nackdel med en enda ansvarig myndighet är emellertid att den myndighet som utövar marknadskontrollen riskerar att sakna expertkunskaper om de produkter och sektorer eller områden som den granskar. De myndigheter som redan utövar marknadskontroll över produkter eller tillsyn över områden som omfattas av AI-förord- ningen har redan etablerade kontakter inom den sektor som berörs. Därmed har de även god inblick i de mekanismer och förutsättningar som är av betydelse inom respektive område samt sakkunskaper inom den specifika sektorn. Om en sektorsmyndighet ansvarar för mark- nadskontroll enligt AI-förordningen kan det även medföra synergi- effekter i förhållande till annan närliggande tillsyn. Argument för och mot att flera myndigheter ansvarar för marknadskontroll En stor fördel med att flera myndigheter ansvarar för marknads- kontroll är att myndigheter med expertkunskaper inom specifika områden gemensamt kan säkerställa en lämplig helhetstillsyn av överensstämmelse med AI-förordningen. Detta innebär att en kon- trollerande myndighet har mer detaljerad kunskap och bättre förstå- 168 SOU 2025:101 Marknadskontrollmyndigheter else för de tekniska krav som gäller för en produkt som helhet. Det kan förväntas leda till mer välavvägda och balanserade bedöm- ningar. En expertmyndighet kan även förväntas vara insatt i övriga relevanta frågor inom ett visst område eller en viss sektor. Företagen kan i vissa fall även gynnas på så sätt att det inte blir flera olika till- synsmyndigheter som granskar deras verksamhet. Det finns dock vissa nackdelar med att flera myndigheter ansvarar för marknadskontroll. En nackdel är att det kan bli väldigt många olika marknadskontroll- myndigheter som företag, andra myndigheter och andra nationella och internationella aktörer behöver ha kännedom om. När ansvaret för kontroll av produkter är fördelat på flera olika marknadskontroll- myndigheter ökar risken för att flera myndigheter kontrollerar ett företags produkter och kontrollerar samma produkt men vid flera olika tillfällen eller utifrån olika aspekter. Det riskerar att bli följ- den om myndigheterna inte samordnar sin marknadskontroll. Att flera myndigheter granskar samma produkt kan dessutom leda till beslut från olika myndigheter. I besluten kan marknads- kontrollmyndigheterna komma att göra olika bedömningar vad gäller en produkts överensstämmelse med AI-förordningen. Det kan även leda till att flera myndigheter beslutar om åtgärder och sanktioner mot en operatör. Enhetliga bedömningar vad gäller överensstämmelse med AI-förordningen riskerar vidare att saknas eftersom den myndighet som utför kontroll huvudsakligen utgår från sitt expertområde. Olika myndigheter prioriterar och utför marknadskontroll i vari- erande utsträckning och det är därmed inte osannolikt att marknads- kontrollerna vad gäller AI-förordningen också kommer att variera därefter. När flera myndigheter utför kontroll riskerar det också att leda till en splittrad rapportering till regeringen och andra centrala sam- ordningsorgan. Att flera marknadskontrollmyndigheter utövar kon- troll avseende samma rättsakt kommer också att innebära en utmaning för att få till en begriplig rapportering till kommissionen. En svårig- het i en sådan rapport kommer bl.a. vara att definiera och avgränsa respektive myndighets ansvarsområde. Detta innebär även ökade svårigheter för myndigheter i andra medlemsstater att ta reda på till vilken myndighet de ska vända sig i ett specifikt ärende om marknads- 169 Marknadskontrollmyndigheter SOU 2025:101 kontroll. Det kräver även en djupgående samordning för ett effektivt agerande. Närmare om AI-förordningens konstruktion och riskområden I det ursprungliga utkastet till AI-förordningen från kommissionen var utgångspunkten att det skulle finnas en central nationell myndig- het i varje medlemsstat och kommissionen föreslog en separat roll som ”nationell tillsynsmyndighet”.23 Även EU-parlamentet hade en roll som ”nationell tillsynsmyndighet” i sitt utkast.24 Rådets utkast innehöll dock inte en sådan separat roll utan rådet föreslog en större flexibilitet.25 Den slutligt antagna AI-förordningen ligger i linje med rådets utkast och innehåller därför ingen roll som ”nationell tillsyns- myndighet”. AI-förordningen är vidare inte uppbyggd utifrån att det endast ska vara en marknadskontrollmyndighet. AI-förordningens utgångs- punkter är i stället nära kopplade till vissa befintliga unionsrättsakter om produktsäkerhet och vissa rättighetsbaserade unionsrättsakter så som EU:s dataskyddsförordning, med följden att det finns vissa bestämmelser i AI-förordningen som presumerar att flera myndig- heter ska ha roller enligt AI-förordningen (se artikel 74.3, 74.6 och 74.8). AI-förordningen bygger på en riskbaserad metod, vilket innebär att reglernas art och innehåll har anpassats med hänsyn till omfatt- ningen av de risker som AI-systemen kan innebära inom vissa använd- ningsområden. Marknadskontrollmyndigheten ska utöva kontroll över AI-system som förekommer inom ett antal användningsom- råden, dvs. riskområden. Användningsområdena återfinns inom de förbjudna AI-användningsområdena i artikel 5, högriskområdena i artikel 6 samt transparenskraven i artikel 50. I artikel 4 finns dess- utom krav på AI-kunnighet. Den oacceptabla risken inom de förbjudna användningsområdena specificeras inte till specifika sektorer utan till specifika användnings- områden. AI-system som omfattas av transparenskraven i artikel 50 23 Kommissionens förslag, artikel 59.2, https://eur-lex.europa.eu/legal- content/EN/TXT/?uri=celex:52021PC0206 (hämtad 2025-02-28). 24 https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_EN.pdf (hämtad 2025-02-28). 25 https://data.consilium.europa.eu/doc/document/ST-14954-2022-INIT/en/pdf (hämtad 2025-02-28). 170 SOU 2025:101 Marknadskontrollmyndigheter är inte heller baserade runt sektorer. Inom dessa områden är det enligt utredningen möjligt att framföra argumentet att endast en myndighet skulle kunna ansvara för marknadskontroll (se närmare i avsnitt 6.7 och 6.8). AI-system med hög risk enligt artikel 6 rör däremot mer specifika sektorer eller områden där flera befintliga marknadskontroll- och tillsynsmyndigheter i dagsläget redan agerar i mer eller mindre om- fattning. Om endast en marknadskontrollmyndighet skulle utses enligt AI-förordningen skulle det därför krävas en omfattande sam- verkan mellan denna enda marknadskontrollmyndighet och de myn- digheter som redan agerar inom sektorer som avses i bilaga I och bilaga III. Inom dessa områden är argumenten därför generellt star- kare för att flera myndigheter ska ansvara för marknadskontroll enligt AI-förordningen. Särskilt om bilaga III Områdena som omfattas av bilaga III är omfattande och sträcker sig över flera sektorer. De berör både privat och offentlig sektor. Områdena i punkterna 1 och 3–8 avser till stor del offentligt finansierad verksamhet och berör myndighetsutövning och med- borgares tillgång till och åtnjutande av offentliga tjänster och för- måner. Det är dock inte uteslutande så, utan områdena omfattar t.ex. också tillgång till och åtnjutande av vissa privata tjänster. Området biometri i punkten 1 kan antas förekomma inom en rad olika om- råden, både i privat och offentlig sektor. Området i punkten 4, anställ- ning, arbetsledning och tillgång till egenföretagande, omfattar också både privat och offentlig sektor. Området i punkten 8 b riktar sig vidare mot bl.a. politiska organisationer och andra intressesfärer som vill påverka resultaten av en demokratisk process. Området i punkten 2, kritisk infrastruktur, särskiljer sig från övriga områden i bilaga III då området kan förväntas kräva mer sektors- specifik teknisk kunskap. Området kan också beskrivas som ett om- råde där s.k. hårdvara eller ”semifysiska” produkter förekommer i större utsträckning än inom de andra områdena som omfattas av bilaga III. Det innebär att området i punkten 2 kan sägas ha vissa lik- heter med de högrisksystem som omfattas av bilaga I till AI-förord- ningen (se avsnittet nedan Särskilt om bilaga IA). 171 Marknadskontrollmyndigheter SOU 2025:101 Bilaga III inrymmer således flera olika områden. Som närmare framgår av avsnitt 6.5.1 innebär utformningen av artikel 74.8 i AI- förordningen att Sverige ska utse IMY till marknadskontrollmyn- dighet beträffande AI-system som omfattas av punkterna 6, 7 och 8 och till viss del punkten 1 i bilaga III. Vid överväganden om att peka ut endast en marknadskontrollmyndighet med ansvar för hela AI- förordningen skulle utredningen därför behöva föreslå IMY till den ansvariga myndigheten. Sett till den sektorsspecifika kunskap som ut- redningen bedömer krävs inom ett antal områden (se närmare i av- snitt 6.5) bedömer utredningen emellertid att det inte är ett lämpligt vägval. Representanter för IMY och andra aktörer som utredningen har haft kontakter med har också förmedlat att det inte är lämpligt. Utredningen bedömer därför att AI-förordningens konstruktion beträffande bilaga III innebär att det behöver utses flera marknads- kontrollmyndigheter. Särskilt om bilaga IA I bilaga I till AI-förordningen finns en lista med tolv befintliga unions- rättsakter inom produktsäkerhetsområdet, bl.a. om leksaker och maskiner. AI-system som är relaterade till produkter som omfattas av rättsakterna som tas upp i bilagan utgör under vissa omständig- heter AI-system med hög risk. Av artikel 6.1 framgår att ett AI-system ska betraktas som ett AI-system med hög risk om 1) AI-systemet är avsett att användas som en säkerhetskomponent i en produkt eller där själva AI-systemet är en produkt som omfattas av rättsakterna i bilaga I, och 2) det omfattas av krav på att genomgå en tredjeparts- bedömning av överensstämmelse för att produkten ska kunna släppas ut på marknaden eller tas i bruk enligt rättsakterna i bilaga I. Av artikel 74.3 i AI-förordningen framgår att för AI-system med hög risk som är relaterade till produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i bilaga IA ska marknads- kontrollmyndigheten vid tillämpning av AI-förordningen vara den myndighet som utsetts som ansvarig för marknadskontroll enligt de rättsakterna. Under lämpliga omständigheter får medlemsstaterna dock utse en annan berörd myndighet att fungera som marknads- kontrollmyndighet under förutsättning att den säkerställer samord- ning med de berörda sektorsspecifika marknadskontrollmyndigheter 172 SOU 2025:101 Marknadskontrollmyndigheter som är ansvariga för kontroll av efterlevnaden av unionens harmo- niseringslagstiftning som förtecknas i bilaga I. Artikel 74.3 innebär alltså att utgångspunkten i AI-förordningen är att befintliga mark- nadskontrollmyndigheter inom dessa sektorsspecifika områden även ska vara marknadskontrollmyndigheter över AI-system som är relate- rade till produkter på deras respektive område, samtidigt som artikeln öppnar för möjligheten att anpassa marknadskontrollen till nationella förhållanden genom att utse andra marknadskontrollmyndigheter. I skäl 46 i AI-förordningen anges vidare att syftet med detta är att säkerställa samstämmighet, att skapa flexibilitet samt att undvika onödig administrativ börda eller onödiga kostnader för leverantörer av en produkt som innehåller ett eller flera AI-system med hög risk som omfattas av kraven i AI-förordningen och i unionens harmoni- seringslagstiftning som förtecknas i bilaga IA. Ytterligare ett skäl till denna reglering kan antas vara att säkerställa att marknadskontroll- myndigheterna har den kompetens som krävs för att övervaka speci- fika sektorer, t.ex. medicinsk utrustning. I Sverige är tio olika myndigheter i dagsläget ansvariga för rätts- akterna i bilaga IA. Om en enda marknadskontrollmyndighet utses enligt AI-förordningen kommer den myndigheten att behöva förstå och – vid utövandet av marknadskontroll enligt AI-förordningen – i vissa fall även tillämpa de sektorsspecifika rättsakterna som tas upp i bilaga IA (se närmare i avsnitt 6.6.1). Alternativt kommer myndig- heten att behöva hantera en omfattande samordning med de myndig- heter som har sektorsansvar på dessa områden. Utredningen bedömer att det är ett mindre lämpligt alternativ. Utredningen bedömer därför att AI-förordningens konstruktion beträffande bilaga IA innebär att det behöver utses flera marknads- kontrollmyndigheter. Sammanfattning Det finns argument både för och mot att en myndighet respektive flera myndigheter ska ansvara för marknadskontroll enligt AI-för- ordningen. Sett till kraven på AI-teknisk kompetens m.m. som upp- ställs på de nationella behöriga myndigheterna enligt artikel 70.3 i AI-förordningen hade det förstås varit fördelaktigt att peka ut endast en marknadskontrollmyndighet som då skulle få möjlighet att bygga 173 Marknadskontrollmyndigheter SOU 2025:101 upp den samlade expertkunskap om AI-system som krävs enligt AI- förordningen. För att undvika ett alltför fragmenterat och överlap- pande marknadskontrollsystem hade en centralisering också varit fördelaktig. Utifrån AI-förordningens konstruktion och den sektorsspecifika kunskap som kommer att krävas avseende vissa användningsområden bedömer utredningen emellertid att det inte är möjligt att utse endast en myndighet till marknadskontrollmyndighet enligt AI-förordningen. Utredningen gör därför bedömningen att flera marknadskontroll- myndigheter behöver utses. 6.4.2 En begränsning av antalet marknadskontrollmyndigheter Utredningens bedömning: En begränsning av antalet marknads- kontrollmyndigheter enligt AI-förordningen bör eftersträvas. Om det inte finns starkt vägande skäl som talar för att en sektorsspe- cifik myndighet ska ansvara för ett visst område, bör marknads- kontrollansvaret samlas hos en marknadskontrollmyndighet med ett huvudsakligt ansvar för AI-förordningen. Systemet för mark- nadskontroll bör därmed utformas som en hybridmodell. Även om det behövs flera marknadskontrollmyndigheter bör en begränsning eftersträvas I Sverige finns i dagsläget 15 marknadskontrollmyndigheter som ingår i marknadskontrollrådet. Att så många myndigheter är ansvariga för marknadskontroll är en följd av att Sverige har en decentraliserad fördelning av marknadskontrollansvaret. Denna decentraliserade modell är bl.a. en konsekvens av att unionsrättsliga produktregler- ingar historiskt sett har utformats utifrån produkter som i någon mån har kunnat avgränsas sektorsvis. I Sveriges nationella strategi för marknadskontroll för 2022–2025 har lyfts fram att flera marknadskontrollmyndigheter anser att Sveriges decentraliserade organisering av marknadskontroll fungerar bra. Det framhålls att det finns expertkunskap på myndigheterna och att det är svårt att ändra systemet. Marknadskontrollmyndig- 174 SOU 2025:101 Marknadskontrollmyndigheter heterna påpekar dock att det decentraliserade marknadskontroll- systemet förutsätter en god samverkan mellan myndigheterna och att det ibland kan leda till att personer och företag blir hänvisade vidare till en annan myndighet. Några marknadskontrollmyndig- heter har i strategin pekat på att produktområden där flera myndig- heter delar ansvar för samma regelverk kan skapa otydligheter. Under coronapandemin visade det sig bl.a. att vissa ärenden skickades runt bland marknadskontrollmyndigheterna och att samverkansformer ibland saknades. Det förklaras dock bero på svårigheter att tolka gräns- dragningar mellan lagstiftningen och produktområdena snarare än strukturen med en decentraliserad organisering av marknadskontroll. Av strategin framgår vidare att externa aktörer har angett att det nu- varande marknadskontrollsystemet skapar många gråzoner och att det upplevs bli för många inblandade, vilket anses göra det lätt för en myndighet att säga att något inte är deras ansvar.26 Utredningen noterar att EU på senare år har antagit flera rättsakter som är horisontella, däribland AI-förordningen. En potentiell följd av Sveriges decentraliserade modell blir då att allt flera s.k. sektors- myndigheter behöver ha ett delat ansvar för marknadskontroll och tillsyn enligt samma rättsakt.27 Som framgår ovan och som närmare redogjorts för i avsnitt 6.3.2 kan det vara problematiskt. Utredningen har i avsnitt 6.4.1 kommit fram till att det behöver utses flera marknadskontrollmyndigheter enligt AI-förordningen. Tidigare utredningar rörande regleringen av marknadskontroll har föreslagit att en centraliserad organisering bör eftersträvas med endast ett fåtal marknadskontrollmyndigheter.28 Regeringen har emellertid efter remissbehandling valt att inte göra några förändringar av det decentraliserade systemet för marknadskontroll i Sverige. Samma överväganden som har lyfts fram i tidigare betänkanden gör sig dock enligt utredningen på ett övergripande plan gällande även i fråga om marknadskontroll enligt AI-förordningen. Detta särskilt med hän- syn till att AI-förordningen är en horisontell rättsakt. För att underlätta förutsebarheten för såväl marknadskontroll- myndigheter som de aktörer som omfattas av marknadskontrollen 26 Nationell strategi för marknadskontroll, 2022–2025, Utrikesdepartementet, s. 45 ff. 27 Se t.ex. förslagen om ansvariga myndigheter i promemorian Kompletterande bestämmelser till EU-förordningen om batterier, KN 2024/02313. 28 Se betänkandet Enhetlig och effektiv marknadskontroll (SOU 2020:49), s. 378 ff. och betänk- andet Marknadskontrollmyndigheter – befogenheter och sanktionsmöjligheter (SOU 2017:69), s. 269 f. Se även KN2024/02313, s. 59 f. 175 Marknadskontrollmyndigheter SOU 2025:101 och för att undvika en alltför fragmenterad ansvarsfördelning för marknadskontroll av AI-system finns det enligt utredningen därför skäl att i möjligaste mån begränsa antalet ansvariga myndigheter en- ligt AI-förordningen. En marknadskontrollmyndighet enligt AI-förordningen kommer att behöva ha bred kompetens och sakkunskap om AI för att effek- tivt kunna utöva marknadskontroll över AI-system. Utifrån de kon- takter som utredningen har haft med myndigheter, näringsliv, aka- demi m.fl. kan utredningen konstatera att väldigt få myndigheter i dagsläget har sådan kunskap. De myndigheter som utses till mark- nadskontrollmyndigheter enligt AI-förordningen kommer alltså att behöva bygga upp AI-kompetens. Av ekonomiska skäl finns det följaktligen incitament att begränsa antalet myndigheter. Med hänsyn till de krav som uppställs i AI-förordningen på marknadskontrollmyndigheterna avseende sakkunskap inom AI- teknik m.m. finns det även en risk för att myndigheter kommer att få svårt att rekrytera nödvändig kompetens. Det beror dels på att det i dagsläget finns begränsad kompetent arbetskraft inom området, både i Sverige och inom EU, dels på att det är stor konkurrens om denna arbetskraft. Konkurrensen om arbetskraften kommer också att öka under de kommande åren.29 Utmaningarna med rekrytering av kompetent arbetskraft ska där- för inte underskattas. Ett i vart fall delvis centraliserat system med- för dock synergieffekter nationellt, eftersom kompetensen kan samlas inom ett fåtal myndigheter. På det viset kan konkurrenssituationen mellan myndigheter också begränsas. Utredningen anser mot den bak- grunden att det finns skäl för att marknadskontrollansvaret i så stor utsträckning som möjligt samlas hos en huvudsaklig myndighet. För att skapa förutsebarhet och tydlighet på marknaden är det också viktigt att det finns en huvudsaklig myndighet som är ”ansiktet utåt” för AI-förordningen. En huvudsaklig myndighet kan också ta att övergripande ansvar i att ge vägledning och ansvara för medvet- andehöjande åtgärder i förhållande till andra myndigheter och mot marknaden. En huvudsaklig myndighet har också de praktiska förut- 29 World Economic Forum har i en rapport från 2025 bl.a. konstaterat att teknikrelaterade arbeten är de snabbast växande yrkena, inklusive ”big data”-specialister, fintech-ingenjörer, AI- och maskininlärningsspecialister samt mjukvaru- och applikationsutvecklare. Vidare fram- går att efterfrågan på teknikrelaterade färdigheter inom bl.a. AI, ”big data”, cybersäkerhet och teknologisk kunnighet förväntas vara de snabbast växande kompetenserna. Future of Jobs Report, 2025, Insights report, January 2025, World Economic Forum. 176 SOU 2025:101 Marknadskontrollmyndigheter sättningarna för att bygga upp en expertkunskap som kan användas för att stödja andra marknadskontrollmyndigheter i deras marknads- kontrollarbete (se närmare om detta i avsnitt 9.5). Utredningen har vidare noterat att det i många andra medlemsstater har lämnats för- slag som begränsar antalet myndigheter och där en myndighet har getts ett huvudsakligt uppdrag (se avsnitt 6.3.4). Sammantaget bedömer utredningen att en begränsning av antalet marknadskontrollmyndigheter enligt AI-förordningen bör efter- strävas. Utredningen bedömer vidare att marknadskontrollansvaret som utgångspunkt bör samlas hos en marknadskontrollmyndighet med ett huvudsakligt ansvar för AI-förordningen. Det bör gälla om det inte finns starkt vägande skäl som talar för att en sektorsspecifik myndighet ska ansvara för ett visst område. Utredningens uppfatt- ning är alltså att systemet för marknadskontroll ska utformas som en hybridmodell. 6.4.3 Myndigheter som är lämpliga att överväga i en hybridmodell Utredningens bedömning: Det finns några myndigheter som generellt sett är lämpliga att överväga för ett uppdrag som mark- nadskontrollmyndighet enligt AI-förordningen. Digg, Finansinspektionen, IMY, Konsumentverket, Läkeme- delsverket, MSB och PTS är de myndigheter som på en övergri- pande nivå kan förväntas kunna hantera ett större uppdrag som marknadskontrollmyndighet enligt AI-förordningen. I den mån det inom vissa områden är nödvändigt med sektorsspecifik kun- skap är övriga befintliga marknadskontrollmyndigheter, som ut- övar marknadskontroll enligt EU:s marknadskontrollförordning, också lämpliga att överväga. Av de nämnda myndigheterna är PTS eller IMY lämpligast att överväga för ett uppdrag som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. 177 Marknadskontrollmyndigheter SOU 2025:101 Inledning I detta avsnitt tar utredningen upp sina överväganden kring myndig- heter som utredningen bedömer är lämpliga att överväga för ett upp- drag som marknadskontrollmyndighet enligt AI-förordningen och vilka myndigheter som är lämpliga att överväga för ett uppdrag som marknadskontrollmyndighet med huvudsakligt ansvar för AI-för- ordningen. Utredningen inleder avsnittet med vissa utgångspunkter vid valet av marknadskontrollmyndigheter och går därefter över till att redo- göra för ett antal myndigheter som utredningen generellt sett bedömer är lämpliga att överväga som marknadskontrollmyndigheter. Med utgångpunkt i redogörelsen för vilka myndigheter som utredningen generellt sett bedömer är lämpliga att överväga som marknadskontrollmyndigheter analyserar utredningen därefter vilka myndigheter som är lämpliga att överväga för ett uppdrag som mark- nadskontrollmyndighet med huvudsakligt ansvar för AI-förord- ningen. I avsnitt 6.4.4 och 6.5–6.9 görs mer specifika analyser om ansvarsområden. Generella utgångspunkter vid valet av marknadskontrollmyndigheter En marknadskontrollmyndighet kommer att ha många olika upp- gifter enligt AI-förordningen och omfattande befogenheter för att säkerställa att AI-system följer AI-förordningen. En marknadskon- trollmyndighet ska i olika avseenden också samarbeta med andra myn- digheter och med andra organ på EU-nivå samt ansvara för vissa inno- vationsfrämjande åtgärder (se avsnitt 6.2). Vidare framgår av artikel 99 i AI-förordningen att en marknadskontrollmyndighet ska få fatta beslut om sanktioner och andra efterlevnadsåtgärder (se utredningens förslag om ingripanden i kapitel 10). Enligt AI-förordningen ska marknadskontrollmyndigheten utöva sina befogenheter på ett oberoende, objektivt och opartiskt sätt (artikel 70.1). Marknadskontrollmyndigheten ska därtill ha tillräck- liga tekniska och ekonomiska resurser samt personalresurser och infrastruktur för att kunna fullgöra sina uppgifter på ett ändamåls- enligt sätt. Detta innefattar att ha tillräckliga personalresurser till förfogande, vars kompetens och sakkunskap ska inbegripa en in- 178 SOU 2025:101 Marknadskontrollmyndigheter gående förståelse av AI-teknik, data och databehandling, skydd av personuppgifter, cybersäkerhet, grundläggande rättigheter, hälso- och säkerhetsrisker och kunskap om befintliga standarder och rätts- liga krav (artikel 70.3). Som närmare framgår av avsnitt 6.3.5 kan marknadskontroll av AI-system vidare förväntas bli komplicerat och i många fall avvika från hur den klassiska marknadskontrollen av produkter genomförs. I en rapport från 2024 beträffande genomförandet av AI-förord- ningen i Norge har det norska Direktoratet for forvaltning og øko- nomistyring (DFØ) – utifrån diskussioner med andra medlems- stater – konstaterat att expertis inom standardisering, erfarenhet av konkreta AI-riktlinjer, harmonisering och teknisk kompetens är avgörande faktorer vid överväganden om var en samordnande roll ska placeras. Riktlinjer och harmonisering betonas som viktiga fak- torer i den tidiga fasen av genomförandet av AI-förordningen.30 Utredningen kan mot denna bakgrund identifiera vissa kriterier som gör några myndigheter lämpligare än andra för att hantera de frågor som AI-förordningen kräver. Det är initialt viktigt att mark- nadskontrollmyndigheten är organiserad på ett sådant sätt att den har förutsättningar att utöva marknadskontroll på ett effektivt och oberoende sätt. Andra faktorer som är relevanta att beakta är att myn- digheten sedan tidigare har erfarenhet av tillsyn, marknadskontroll och av att besluta om sanktioner och andra ingripanden. Tidigare erfarenhet av arbete på EU-nivå är också relevant. Därtill är det cen- tralt att myndigheten sedan tidigare har i förordningen angiven sak- kunskap eller har goda förutsättningar att skaffa sig sådan sakkunskap. Det är också viktigt att myndigheten har resurser för att utöva upp- draget kostnadseffektivt och rättssäkert, även om resurserna inte behöver finnas sedan tidigare. Expertis inom standardisering, erfarenhet av konkreta AI-rikt- linjer, harmonisering och teknisk kompetens är också viktiga fak- torer att beakta, särskilt vid överväganden om vilken myndighet som ska utses till marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. För en sådan myndighet är det också relevant med erfarenhet av samordningsuppdrag, både nationellt och på EU- nivå (se närmare i kapitel 9 och 13). 30 Governance structure for the EU’s Artificial Intelligence Act, DFØ rapport 2024:9, s. 18. 179 Marknadskontrollmyndigheter SOU 2025:101 Myndigheter som generellt är lämpliga att överväga som marknadskontrollmyndigheter Baserat på de krav som AI-förordningen ställer upp på en marknads- kontrollmyndighet, övriga kriterier som utredningen har redovisat i avsnittet ovan samt kontakter som utredningen har haft med myn- digheter, akademi, näringsliv m.fl. bedömer utredningen att det finns ett antal svenska myndigheter som generellt sett bör övervägas för större uppdrag enligt AI-förordningen. De myndigheterna är Digg, Finansinspektionen, IMY, Konsu- mentverket, Läkemedelsverket, MSB och PTS. I den mån det inom vissa områden är nödvändigt med sektorsspecifik kunskap bör även övriga befintliga marknadskontrollmyndigheter, som utövar mark- nadskontroll enligt EU:s marknadskontrollförordning, övervägas. Utredningen går i det följande närmare igenom befintliga upp- drag och ansvarsområden för myndigheterna Digg, Finansinspek- tionen, IMY, Konsumentverket, Läkemedelsverket, MSB och PTS. Några av övriga befintliga marknadskontrollmyndigheters uppdrag och ansvarsområden berörs närmare i specifika avsnitt (se avsnitt 6.5 och 6.6). Utifrån kriterierna som utredningen har redovisat i avsnittet ovan tar utredningen utgångspunkt i följande frågeställningar vid dess överväganden om respektive myndighets lämplighet. • Ändamålseffektivitet: I vilken utsträckning säkerställer alterna- tivet förordningens syfte, dvs. harmonisering, marknadsöver- vakning och kontroll samt innovation? • Rolltydlighet: I vilken utsträckning är rollen som marknadskon- trollmyndighet enligt AI-förordningen förenlig med myndig- hetens nuvarande uppdrag? Kan rollen komma i konflikt med andra roller och uppgifter som myndigheten har? • Sakkunskap – sammansättning och tillgång: Vilken sakkunskap har de olika myndigheterna för närvarande, och vilken sakkun- skap kommer de att behöva för att utföra uppgifterna som mark- nadskontrollmyndighet enligt AI-förordningen? • Genomförbarhet och flexibilitet: Vilka förutsättningar måste finnas på plats för att myndigheten ska kunna utses till marknadskon- trollmyndighet enligt AI-förordningen och hur flexibelt är ett sådant förslag i förhållande till förändringar över tid? 180 SOU 2025:101 Marknadskontrollmyndigheter Frågeställningarna beaktas löpande i utredningens överväganden om respektive myndighet, i flera fall utan att det särskilt förtyd- ligas. Detta med anledning av att frågeställningarna delvis överlappar varandra. I avsnittet som specifikt berör myndigheter som är lämp- liga att överväga för ett uppdrag som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen framgår frågeställ- ningarna i vissa fall inom parentes för att förtydliga på vilket sätt utredningen bedömer att vissa delar är relevanta. Utredningen redogör för myndigheterna i bokstavsordning. Digg Digg är en myndighet som bildades 2018. Myndigheten hade vid års- skiftet 2024/2025 cirka 170 anställda.31 Digg har på ett övergripande plan i uppgift att samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig samt ansvara för den förvaltningsgemen- samma digitala infrastrukturen. Myndigheten ska också särskilt bistå regeringen med underlag för utvecklingen av digitaliseringen av den offentliga förvaltningen och samhället i övrigt.32 Inom det uppdraget har Digg bl.a. haft ett regeringsuppdrag att ta fram förslag till en nationell färdplan för EU:s digitala decennium med digitala mål för 2030 (det digitala decenniet).33 Digg har också till uppgift att delta i och främja nationellt och internationellt standardiseringsarbete inom sitt verksamhetsområde och att främja öppen och datadriven innovation. Även tillgänglig- görande och vidareutnyttjande av öppna data från den offentliga för- valtningen ligger inom myndighetens uppgifter liksom att ge vägled- ning till den offentliga förvaltningen i frågor om digitala investeringar och juridiska frågor inom ramen för den förvaltningsgemensamma digitaliseringen.34 Digg har under de senaste åren tilldelats flera uppgifter som har tillkommit som en del av det digitala decenniet. Myndigheten be- 31 Redovisning av uppdrag att lämna förslag på organisationsförändring, 2025-03-14, Finans- departementet, dnr Fi2024/02416, s. 13. 32 1–2 §§ förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning. 33 Nationell färdplan för det digitala decenniet, Regeringsuppdrag att ta fram förslag till natio- nell strategisk redovisning för det digitala decenniet, Fi2023/01494, 2023-08-15. Det digitala decenniet har sin grund i Europaparlamentet och rådets beslut (EU) 2022/2481 av den 14 decem- ber 2022 om inrättande av policyprogrammet för det digitala decenniet 2030. 34 6 § förordningen med instruktion för Myndigheten för digital förvaltning. 181 Marknadskontrollmyndigheter SOU 2025:101 sitter med anledning av detta goda kunskaper inom bl.a. digitalisering, data och databehandling samt erfarenhet av arbete på EU-nivå, in- klusive att ha ett samordningsansvar. Myndigheten har sedan den bildades haft ansvar för den offentliga förvaltningens tillgång till infrastruktur och tjänster för elektronisk identifiering och underskrift, samt att främja användningen av elek- tronisk identifiering och underskrift. Digg har ansvar för de svenska förbindelsepunkterna (noderna) för gränsöverskridande elektronisk identifiering enligt e-IDAS-förordningen samt rättsakter som har meddelats med stöd av förordningen. Vidare ska Digg uppfylla de samarbetsskyldigheter som gäller för Sverige som medlemsstat en- ligt artikel 12 i e-IDAS-förordningen och enligt rättsakter som har meddelats med stöd av den artikeln samt vara gemensam kontakt- punkt för samarbetet, företräda Sverige i övriga frågor som rör gräns- överskridande elektronisk identifiering enligt e-IDAS-förordningen och lämna stöd och information till myndigheter i sådana frågor. Digg är sedan 2019 nationell samordnare enligt SDG-förordningen, med uppgift att samordna och bistå myndigheter när de utför sina uppgifter enligt förordningen och även ansvara för kontakter med kommissionen i frågor som rör förordningen.35 Digg utvecklar också de svenska tekniska komponenterna och anslutningen för svenska myndigheter till det tekniska systemet för bevisutbyte och är tek- nisk kontaktpunkt för detta system. Inom både arbetet med e-IDAS-förordningen och SDG-förord- ningen samordnar Digg experter som deltar i kommissionens arbets- grupper från olika myndigheter och privata aktörer. Digg koordinerar också svenska synpunkter vid framtagande av genomförandeakter. Digg deltar aktivt i ett stort antal undergrupper enligt samtliga dessa unionsrättsakter. Myndigheten är också behörigt organ med samordningsansvar enligt artikel 7 i EU:s dataförvaltningsförordning och har en sam- ordnande roll i förhållande till andra behöriga organ.36 Digg är även nationellt kontaktorgan för EU:s ramprogram för ett digitalt Europa 2021–2027, och ska i anslutning till det arbetet främja, analysera och årligen redovisa det svenska deltagandet, och samordna det nationella informations- och rådgivningsarbetet om programmet. 35 2 § förordningen (2022:127) med kompletterande bestämmelser till EU:s förordning om en gemensam digital ingång. 36 1 c § förordningen med instruktion för Myndigheten för digital förvaltning. 182 SOU 2025:101 Marknadskontrollmyndigheter Från den 1 januari 2025 har Digg även en instruktionsenlig upp- gift att vara behörig myndighet och enda kontaktpunkt enligt arti- kel 17 i EU:s förordning om ett interoperabelt Europa.37 I den rollen deltar Digg bl.a. i arbete med att ta fram en genomförandeakt. Myndighetens generaldirektör har vidare en roll som Chief Infor- mation Officer för Sverige och myndigheten representerar sedan den 24 oktober 2024 även Sverige i undergruppen för Innovations- ekosystem för AI under AI-styrelsen. Digg ingår sedan 2023 tillsammans med PTS i en inofficiell arbets- grupp om AI-förordningen, European Working Group of Compe- tent Authorities on Artificial Intelligence. Gruppen finansieras av UNESCO, Enisa och DG Reform (TSI-projekt). Från årsskiftet 2025 har ett antal undergrupper också bildats, där PTS och Digg delar på deltagandet i undergrupperna.38 Digg är också en av Sveriges beredskapsmyndigheter inom sektorn försörjning av grunddata.39 Digg:s kärnverksamhet handlar om digitaliseringsfrågor. Myndig- heten har erfarenhet av nationellt arbete med frågor relaterade till AI, bl.a. genom att Digg inom ramen för ett regeringsuppdrag till- sammans med IMY har tagit fram vägledande riktlinjer för att främja användningen av generativ AI i offentlig förvaltning.40 Utöver att ta fram dessa riktlinjer har Digg ensam i uppdrag att genomföra kom- petenshöjande insatser om användningen av generativ AI. Arbetet med kompetenshöjande insatser inom AI-området är pågående. Myn- digheten har bl.a. publicerat flera utbildningsfilmer, hållit ett web- inarium om AI-användning och genomfört flera utbildningar om AI-regelverk för jurister under 2025. Digg har även haft ett reger- ingsuppdrag att, tillsammans med E-hälsomyndigheten och Social- styrelsen, erbjuda kompetenshöjande insatser till kommuner i hur de kan använda AI inom socialtjänsten.41 På digitaliseringsområdet har Digg fått i uppdrag av regeringen att utreda hur Sveriges digitala infrastruktur bör utvecklas och för- 37 1 d § förordningen med instruktion för Myndigheten för digital förvaltning. Se närmare om EU:s förordning om ett interoperabelt Europa i avsnitt 12.4.1. 38 Se bl.a. https://www.unesco.org/en/articles/designing-institutional-frameworks-ethical- governance-ai-netherlands-0 (hämtad 2025-04-22). 39 Tillsammans med Skatteverket, Bolagsverket och Lantmäteriet. 1 a § förordningen med instruktion för Myndigheten för digital förvaltning och bilaga 1 till förordningen (2022:524) om statliga myndigheters beredskap. 40 https://www.digg.se/ai-for-offentlig-forvaltning/riktlinjer-for-generativ-ai (hämtad 2025-02-14). 41 Regeringsbeslut, 2023-08-24, Fi2023/02301. 183 Marknadskontrollmyndigheter SOU 2025:101 valtas fram till och med 2030. Digg lämnade slutredovisningen av uppdraget i januari 2025. I förslagen tas bl.a. upp en etablering av en plattform för ett anslutnings- och innovationscenter, där det före- slås att ett AI-center och en data- och AI-sandlåda ska etableras.42 Rollerna som Digg har tilldelats enligt svensk rätt och unions- rättsakter är i flera fall i form av samordnande och vägledande roller. Med nuvarande resursfördelning inom myndigheten är dock utveck- ling, tillhandahållande av tekniska lösningar och digitala ramverk den större delen av myndighetens verksamhet.43 Digg har också ett tillsynsansvar enligt lagen (2018:1937) om tillgänglighet till digital offentlig service (DOS-lagen) som genomför EU:s webbtillgäng- lighetsdirektiv44, där tillsynsuppdraget innefattar att granska leve- rantörers eller operatörers överensstämmelse mot regelverket eller mot standard.45 Myndigheten har därigenom även erfarenhet av till- synsuppdrag. Digg är emellertid inte en marknadskontrollmyndighet inom ramen för nuvarande marknadskontrollsystem och myndig- heten har inte någon erfarenhet av att utöva marknadskontroll. Digg har i sitt budgetunderlag för 2026–2028 angett att myndig- hetens roll med nuvarande uppgifter, kompetens och erfarenhet inom digitalisering, med erfarenhet av innovation, tillsyn, samverkan och EU-regelverk, ger stöd för att myndigheten har förutsättningar för att ta sig an en roll som marknadskontrollmyndighet enligt AI-för- ordningen. Digg bedömer att myndigheten är relevant för ett uppdrag som 1) marknadskontrollmyndighet med ett nationellt samordnande upp- drag som gemensam kontaktpunkt, 2) som en innovationsstödjande myndighet för att bidra till ökad användning av AI genom bl.a. in- rättande av en regulatorisk sandlåda, och 3) nationell behörig myn- dighet för att aktivt delta i EU-arbetet och skapa tydlighet kring regelverket samt bevaka offentlig förvaltnings och näringslivets intressen. I arbetet ser Digg att flera myndigheter bör ges uppgifter som behöriga myndigheter, där en struktur för samordning behöver 42 Förslag till långsiktig utveckling och förvaltning av Ena, Slutredovisning av uppdrag till Digg att utreda hur Sveriges digitala infrastruktur bör utvecklas och förvaltas, 2025-01-31, Fi2024/01455, s. 32 ff. 43 Se https://www.digg.se/digitala-tjanster (hämtad 2025-04-22). 44 Europaparlamentets och rådets direktiv (EU) 2016/2102 av den 26 oktober 2016 om till- gänglighet avseende offentliga myndigheters webbplatser och mobila applikationer. 45 6 § förordningen (2018:1938) om tillgänglighet till digital offentlig service. 184 SOU 2025:101 Marknadskontrollmyndigheter etableras under Digg:s ledning.46 Myndigheten har även tidigare, i juni 2024, lämnat in ett liknande underlag till Regeringskansliet. Digg och PTS fick den 5 december 2024 i uppdrag av regeringen att lämna förslag på hur Digg:s uppgifter kan överföras till och in- ordnas i PTS.47 Myndigheterna har i en gemensam rapport redovisat att myndigheterna anser att det finns långsiktiga fördelar med en sammanslagning knutet till behovet av en kraftsamling för digitali- sering. Myndigheterna har också redovisat att den sammanslagna myndigheten skulle ha förmåga att ta ett tydligare helhetsansvar för AI vilket enligt myndigheterna skulle stärka Sveriges digitalisering och innovationskraft. Som en del i ett sådant helhetsansvar bedömer myndigheterna att den gemensamma myndigheten skulle kunna inneha rollen som marknadskontrollmyndighet och gemensam kon- taktpunkt enligt AI-förordningen. Myndigheten skulle också kunna omhänderta delar av AI-kommissionens färdplan för Sverige. Inne- hållet i rapporten har remitterats och remissvaren finns i Finans- departementets diarienummer Fi2025/00654. Digg har i kontakter med utredningen förklarat att myndigheten har kapacitet och ambition att ta sig an ett omfattande ansvar enligt AI-förordningen, både som egen myndighet och vid en eventuell sammanslagning med PTS. Finansinspektionen Finansinspektionen är en myndighet med erfarenhet av tillsyn inom finansområdet. Myndigheten hade 2024 cirka 650 anställda.48 Myn- digheten ansvarar bl.a. för tillsynen, regelgivningen, tillståndspröv- ningen och registreringen som rör finansiella marknader och finan- siella företag.49 Finansinspektionen är även behörig tillsyns- och kontrollmyndighet beträffande unionsrättsakter om finansiella tjäns- ter.50 Finansinspektionen är tillsynsmyndighet enligt säkerhetsskydds- regelverket och sektorsansvarig myndighet för beredskapssektorn finansiella tjänster. Finansinspektionen är även tillsynsmyndighet 46 Digg, Budgetunderlag, 2026–2028, 2025-02-28, diarienummer 2025-01316. 47 Redovisning av uppdrag att lämna förslag på organisationsförändring, 2025-03-14, Finans- departementet dnr Fi2024/02416. 48 Finansinspektionen, Årsredovisning 2024, dnr 25-4287, s. 10. 49 1 § förordningen (2023:910) med instruktion för Finansinspektionen. 50 1 kap. 4 § lagen (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag och 4–5 §§ förordningen med instruktion för Finansinspektionen. 185 Marknadskontrollmyndigheter SOU 2025:101 enligt NIS-lagen för sektorerna bankverksamhet och finansmark- nadsinfrastruktur, och föreslås i betänkandena SOU 2024:18 och Motståndskraft i samhällsviktiga tjänster (SOU 2024:64) få fortsatt ansvar för dessa områden enligt NIS 2- och CER-direktiven.51 Finansområdet är ett område som i stora delar styrs av EU- regleringar och Finansinspektionen har omfattande erfarenhet av arbete på EU-nivå. Myndigheten deltar aktivt i det internationella tillsynssamarbetet såväl globalt som inom EU. Sammanlagt deltar medarbetare på Finansinspektionen i omkring 140 olika internatio- nella styrelser, kommittéer, arbetsgrupper och andra former av sam- manslutningar. Finansinspektionen är en del av Europeiska systemet för finansiell tillsyn (ESFS). Det innebär att Finansinspektionen är medlem i Europeiska systemrisknämnden (ESRB) och de tre tillsyns- myndigheterna Europeiska bankmyndigheten (EBA), Europeiska försäkrings- och tjänstepensionsmyndigheten (Eiopa) och Europeiska värdepappers- och marknadsmyndigheten (Esma). Tillsynsmyndig- heterna utvecklar riktlinjer och rekommendationer samt förslag till tekniska standarder och tekniska råd, vilka så småningom blir bindande för svenska företag när de har godkänts av kommissionen. Finans- inspektionen deltar dessutom i flera organisationer på global nivå, där de globala organisationerna bl.a. har som syfte att utfärda icke- bindande standarder och rekommendationer.52 Finanssektorn är i hög grad digitaliserad och inom finanssektorn har olika AI-tekniker använts under lång tid. Finansinspektionen har mot den bakgrunden byggt upp en god kunskap kring digitali- sering, data och AI. Finansinspektionen har sedan 2017 ett innova- tionscenter som har i uppdrag att analysera innovationer och den digi- tala utvecklingen inom finanssektorn, och ska även bedöma riskerna med utvecklingen. Sektorns användning av AI är enligt myndigheten ett särskilt fokusområde för innovationscentret, och myndigheten har i december 2024 publicerat en rapport med en kartläggning över hur AI-användningen ser ut i den svenska finanssektorn. Slutsatserna i rapporten är att en mycket stor andel av företag under myndighetens tillsyn använder sig av AI-teknik samt att det utifrån enkätsvaren bedöms vara mycket sannolikt att finanssektorn kommer att använda 51 8 kap. 1 § säkerhetsskyddsförordningen (2021:955), bilaga 2 till förordningen om statliga myndigheters beredskap samt 17 § förordningen om informationssäkerhet för samhällsviktiga och digitala tjänster. 52 https://www.fi.se/sv/om-fi/verksamhet/fis-internationella-arbete/ (hämtad 2025-02-20). 186 SOU 2025:101 Marknadskontrollmyndigheter AI inom de utpekade högriskområdena när AI-förordningen börjar tillämpas.53 Myndigheten har dock inte erfarenhet av att utöva marknads- kontroll. Finansinspektionen representerar sedan den 27 februari 2025 Sverige i undergruppen för finansiella tjänster under AI-styrelsen. Finansinspektionen har i kontakter med utredningen förklarat att myndigheten har kapacitet och ambition att utöva marknads- kontroll över AI-system inom myndighetens ansvarsområden. IMY IMY hade 2024 drygt 150 anställda.54 Myndigheten hanterar frågor inom både privat och offentlig sektor och besitter, i egenskap av sin roll som Sverige dataskyddsmyndighet, goda kunskaper inom bl.a. data, databehandling och skydd av personuppgifter samt tillsyn av digitala system. IMY är enligt myndighetens instruktioner en myn- dighet med uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personupp- gifter och att underlätta det fria flödet av sådana uppgifter inom EU. Myndigheten ska också följa, analysera och beskriva utvecklingen på it-området när det gäller frågor som rör integritet och ny teknik.55 Myndigheten är tillsynsmyndighet bl.a. enligt EU:s dataskydds- förordning och EU:s brottsdatadirektiv.56 Myndigheten är också nationell tillsynsmyndighet för hantering av personuppgifter enligt bl.a. Schengenregelverket57. Även för rådsbeslutet för Europol58 och EU:s regler om tullinformationssystemet59 ansvarar myndigheten 53 Finansinspektionen, Rapport, AI-användningen i den svenska finanssektorn, 6 december 2024, dnr 24-18158. 54 Årsredovisning 2024, IMY, s. 55. 55 1 § förordningen (2007:975) med instruktion för Integritetsskyddsmyndigheten. 56 2 a § förordningen med instruktion för Integritetsskyddsmyndigheten. 57 Bl.a. Schengens informationssystem som är ett system som Schengenländerna använder för att utbyta information med varandra inom ramen för polissamarbete, straffrättsligt sam- arbete och migrationskontroll, https://www.imy.se/verksamhet/dataskydd/dataskydd-pa- eu-niva/eus-informationssystem/schengens-informationssystem/ (hämtad 2024-11-28). 58 Rådet beslut av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol) (2009/371/RIF). 59 Rådets förordning (EG) nr 515 /97 av den 13 mars 1997 om ömsesidigt bistånd mellan medlemsstaternas administrativa myndigheter och om samarbete mellan dessa och kom- missionen för att säkerställa en korrekt tillämpning av tull- och jordbrukslagstiftningen och 12 § förordningen om (2016:904) om tullinformationssystemet. 187 Marknadskontrollmyndigheter SOU 2025:101 för tillsyn.60 Myndigheten har inom rollen som tillsynsmyndighet även erfarenhet av att besluta om sanktioner. IMY har kompetens inom cyber- och informationssäkerhet, genom myndighetens uppdrag med bakgrund i artikel 32 i EU:s dataskyddsförordning. Myndigheten har en enhet med it- och in- formationssäkerhetsspecialister som arbetar i den operativa verk- samheten för att göra tekniskt komplexa granskningar av digitala system, bl.a. AI-system. IMY:s bedömningar av lämpliga tekniska och organisatoriska säkerhetsåtgärder utgår också från standarder. Myndigheten har dock inte erfarenhet av att utöva marknads- kontroll. I sin roll som dataskyddsmyndighet har IMY erfarenhet av arbete på EU-nivå. EDPB är ett oberoende europeiskt organ som ska se till att EU:s dataskyddsförordning och EU:s brottsdatadirektiv tillämpas enhetligt och säkerställer samarbete, inbegripet i fråga om verkställighet. EDPB utgörs av chefen för tillsynsmyndigheten från varje medlemsstat. EDPB har befogenhet att fatta beslut i frågor där nationella tillsynsmyndigheter inte kan komma överens, ge råd och vägledning om hur EU:s dataskyddsförordning ska tillämpas och god- känna EU-omfattande uppförandekoder och certifieringar. Arbets- uppgifterna i EDPB utförs av för närvarande tolv undergrupper. IMY deltar i dagsläget aktivt i samtliga undergrupper.61 EDPB har under 2025 även inrättat en särskild arbetsgrupp för AI-relaterade frågor.62 Enligt myndigheten läggs i relation till myndighetens storlek en om- fattande mängd tid på EU-samarbetet.63 IMY deltar även i gränsöverskridande tillsyn av digitala system, genom Coordinated Supervision Committee. Sedan den 24 oktober 2024 representerar IMY även Sverige i flera undergrupper till AI-styrelsen, innefattande undergruppen för för- bjudna områden, undergruppen för högrisksystem, undergruppen för brottsbekämpning och säkerhet och undergruppen för regula- toriska sandlådor för AI. IMY har därtill erfarenhet av nationellt arbete med frågor rela- terade till AI. IMY har tillsammans med Digg, inom ramen för ett regeringsuppdrag, tagit fram vägledande riktlinjer för att främja an- 60 https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/ (hämtad 2024-11-28). 61 https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/edbp/ (hämtad 2024-11-28). 62 https://www.imy.se/nyheter/edpb-bildar-ai-task-force/ (hämtad 2025-02-14). 63 Fördelning av tid beträffande arbete inom EDPB och annan internationell samverkan upp- gick under 2024 till totalt 4 procent. Årsredovisning 2024, IMY, s. 18. 188 SOU 2025:101 Marknadskontrollmyndigheter vändningen av generativ AI i offentlig förvaltning.64 IMY har även utvecklat en egen vägledning om EU:s dataskyddsförordning och AI.65 Vägledning är också ett av IMY:s kärnuppdrag, där myndig- heten historiskt sett lagt ungefär lika mycket resurser på tillsyn och klagomål som på vägledning.66 Myndigheten deltar även i ett myndighetsgemensamt pilotprojekt inom eSam som syftar till att skapa bättre kunskap och förståelse om vad AI-förordningens regulatoriska sandlådor kommer att kräva när förordningen ska börja tillämpas. I samarbetet har tre pilotprojekt genomförts och presenterats i delrapporter. Ett fjärde projekt kom- mer att genomföras under 2025.67 IMY har sedan 2022 även arbetat med flera projekt i en regulatorisk sandlåda om dataskydd för nya tekniska lösningar med utgångspunkt i behandling av personupp- gifter i enlighet med dataskyddsregleringen, där de genomförda pro- jekten har involverat användning av AI.68 IMY har offentligt lyft fram att myndigheten under en längre tid har bevakat och analyserat AI-förordningen, och att myndigheten gör tolkningen att den kommer att få flera nya uppdrag, t.ex. som marknadskontrollmyndighet för AI-system som utvecklas och an- vänds för brottsbekämpande ändamål och i den regulatoriska sand- lådan för AI. Myndigheten har vidare lyft fram att myndigheten har lång vana och stor erfarenhet av att ge vägledning om juridik och komplicerad teknik, samt att det kommer att finnas ett stort behov av vägledning från myndigheten, då AI-förordningen och EU:s data- skyddsförordning har starka beröringspunkter.69 IMY har i sitt budgetunderlag för 2026–2028, redovisat att myn- digheten bedömer att den kan få ansvar enligt AI-förordningen för regulatorisk sandlåda för AI, gemensam kontaktpunkt och som mark- nadskontrollmyndighet. Myndigheten lyfter i budgetunderlaget bl.a. fram att AI i praktiken berör alla delar av samhället och att myndig- heten därför ser att behovet av vägledning om AI-förordningen är 64 https://www.digg.se/ai-for-offentlig-forvaltning/riktlinjer-for-generativ-ai (hämtad 2025-02-14). 65 https://www.imy.se/verksamhet/dataskydd/innovationsportalen/vagledning-om-gdpr- och-ai/ (hämtad 2025-02-14). 66 Se bl.a. årsredovisning 2024, IMY, s. 18, fördelningen av tid på klagomål/tillsyn 34 procent samt vägledning 31 procent. 67 Delrapport AI-regulatorisk sandlåda – en första iteration (ES2024-14), juni 2024, andra iterationen (ES2024-18), december 2024 och tredje iterationen (ES2025-09), juni 2025. 68 https://www.imy.se/verksamhet/dataskydd/innovationsportalen/delta-i-var-regulatoriska- sandlada-om-dataskydd/ (hämtad 2025-02-14). 69 https://www.imy.se/om-oss/aktuellt-fran-oss/imy-och-ai/ (hämtad 2025-04-21). 189 Marknadskontrollmyndigheter SOU 2025:101 mycket omfattande redan nu, och att det kommer att öka kraftigt till 2026, både hos offentlig verksamhet och näringsliv.70 IMY har i kontakter med utredningen förklarat att myndigheten har kapacitet och ambition att ta sig an ett omfattande ansvar enligt AI-förordningen. Konsumentverket Konsumentverket är en förvaltningsmyndighet för konsumentfrågor med ett brett ansvarsområde. Konsumentverket hade under 2024 cirka 190 anställda.71 Myndigheten har enligt sina instruktioner ansvar för att utöva tillsyn, inklusive marknadskontroll, enligt de konsu- mentskyddande regler som omfattas av myndighetens ansvarsområde. Myndigheten ansvarar vidare för att tillgängliggöra information och vägledning om konsumenters rättigheter och skyldigheter samt annan information som ger konsumenter goda förutsättningar att ta till vara sina intressen om ingen annan myndighet har den uppgiften. Myn- digheten ska också stärka konsumenternas ställning på marknaden genom kontakter med privata aktörer och i det arbetet bl.a. tillhanda- hålla information om de konsumentskyddande regler som ligger inom myndighetens ansvarsområde, ingå branschöverenskommelser och genomföra insatser på standardiseringsområdet.72 Konsumentverket utövar tillsyn över att företag inte vilseleder konsumenter, bl.a. enligt marknadsföringslagen (2008:486). Myn- digheten är därtill marknadskontrollmyndighet inom flera områden som berör konsumenter, enligt produktsäkerhetslagen (2004:451), produktsäkerhetsförordningen (2004:469), lagen (2018:125) med kompletterande bestämmelser till EU:s förordning om personlig skyddsutrustning och lagen om leksakers säkerhet.73 Regeringen har dessutom i januari 2025 beslutat att ge Konsumentverket i uppdrag att beträffande EU-förordningen om allmän produktsäkerhet74, under 70 Budgetunderlag 2026–2028 för Integritetsskyddsmyndigheten, IMY-2025-3705, 2025-02-28. 71 Konsumentverket, Årsredovisning 2024, s. 59. 72 1 § förordningen (2009:607) med instruktion för Konsumentverket. 73 https://www.konsumentverket.se/om-oss/vad-gor-konsumentverket (hämtad 2025-02-20). 74 Europaparlamentets och rådets förordning (EU) 2023/988 av den 10 maj 2023 om allmän produktsäkerhet, ändring av Europaparlamentets och rådets förordning (EU) nr 1025/2012 och Europaparlamentets och rådets direktiv (EU) 2020/1828 och om upphävande av Europa- parlamentets och rådets direktiv 2001/95/EG och rådets direktiv 87/357/EEG. 190 SOU 2025:101 Marknadskontrollmyndigheter 2025 och 2026, vara marknadskontrollmyndighet samt nationell kontaktpunkt.75 Konsumentverket har även mångårig erfarenhet av internationella samarbeten och arbete på EU-nivå. Myndigheten arbetar med stan- dardisering på internationell nivå inom sina ansvarsområden och ingår i olika arbetsgrupper som biträder kommissionen, bl.a. i arbetet med allmän produktsäkerhet. Myndigheten arbetar därtill med vägledning till konsumenter och ingår bl.a. i ECC-nätverket som ger konsumen- ter hjälp när de handlar från andra länder inom EU.76 Myndigheten har även samverkansuppdrag, bl.a. genom att myn- digheten ska stödja och vara pådrivande i andra myndigheters arbete med integrering av konsumentaspekter i verksamheten och tillhanda- hållande av konsumentinformation.77 Läkemedelsverket Läkemedelsverket är en förvaltningsmyndighet för verksamhet som rör läkemedel och medicintekniska produkter. Myndigheten ansvarar även för tillsyn, inklusive marknadskontroll, av bl.a. medicintekniska produkter.78 Myndigheten hade 2024 cirka 980 anställda.79 Myndig- heten har även efter uppdrag från regeringen utrett myndighetens förutsättningar för att ges rollen som marknadskontrollmyndighet för elektroniska hälsodokumentationssystem och hälsoapplikationer samt att utreda förutsättningarna att tillhandahålla testmiljöer för elektroniska hälsodokumentationssystem. Båda dessa uppgifter be- skrivs i den nya EU-förordningen om ett europeiskt hälsodataområde, EHDS-förordningen.80 I myndighetens slutrapport konstaterar den att marknadskontrollansvar är något myndigheten redan har och att det finns synergieffekter med ett åtagande även enligt EHDS-förord- ningen, men att det svårligen kan uppskattas hur omfattande mark- 75 Förordningen förväntas ersätta produktsäkerhetslagen. Utöver Konsumentverket har även Elsäkerhetsverket, Kemikalieinspektionen, Läkemedelsverket, Arbetsmiljöverket, Boverket och MSB fått i uppdrag att vara marknadskontrollmyndigheter enligt förordningen. 76 https://www.konsumentverket.se/om-oss/vad-gor-konsumentverket (hämtad 2025-02-20). 77 6 § förordningen med instruktion för Konsumentverket. 78 1–2 §§ förordningen (2020:57) med instruktion för Läkemedelsverket. 79 Årsredovisning 2024, Läkemedelsverket, dnr 1.1.2–2025–001893, s. 108. 80 Europaparlamentet och rådets förordning (EU) 2025/327 av den 11 februari 2025 om det europeiska hälsodataområdet och om ändring av direktiv 2011/24/EU och förordning (EU) 2024/2847. Av artikel 43.7 i EHDS-förordningen framgår vidare att för AI-system med hög risk, där interoperabilitet med elektroniska hälsodokumentationssystem hävdas, ska de an- svariga myndigheterna för marknadskontroll vara de myndigheter som avses i AI-förordningen. 191 Marknadskontrollmyndigheter SOU 2025:101 nadskontrollverksamheten skulle bli. Myndigheten skulle också behöva anpassa sin verksamhet till den typ av marknadskontroll som avses i EHDS-förordningen.81 Myndigheten har bedömt att den har kapacitet att åta sig uppgifterna inom EHDS-förordningen. I SOU 2024:18 föreslås Läkemedelsverket även få ett ansvar som tillsynsmyndighet enligt NIS 2-direktivet för hälso- och sjukvårds- sektorn, med undantag för vårdgivare (som IVO föreslås ansvara för), tillverkning av medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik. I SOU 2024:64 föreslås myndig- heten även få ansvar som tillsynsmyndighet enligt CER-direktivet för del av hälso- och sjukvårdssektorn. I Läkemedelsverkets årsredovisning från 2024 konstaterade verket att digitaliseringen är ett viktigt spår i myndighetens arbete. För att möta behov om tillgång till skyddade och AI-anpassade process- miljöer med hög beräkningskapacitet driver Läkemedelsverket ett pilotprojekt under perioden 2023–2028 där myndigheten agerar huvudman för en AI-infrastruktur vilken kan nyttjas både internt och av andra statliga myndigheter inom hälsoområdet. Inom EU- samarbetet har Läkemedelsverket också varit huvudansvarig för det första regulatoriska dokumentet rörande AI inom det regulatoriska nätverket.82 Myndigheten har fortsatt sin satsning inom AI-kompetens och har i dagsläget en AI-enhet där myndigheten utvecklar AI-modeller, både smal AI för att använda i specifika syften och ett generativt AI-system för myndighetens bruk. Bl.a. har myndigheten tagit fram en smal AI-modell för bedömning av biverkningsrapporter, PhaVAI, och ett AI-system för att söka på produktinformation, PICROSS, samt en generativ AI-modell, Regulus. Dessutom koordinerar Läke- medelsverket ett EU-finansierat projekt i samarbete med Socialsty- relsen och E-hälsomyndigheten i vilket AI-stöd lämnas till svenska sjukvården. Sedan den 24 oktober 2024 representerar Läkemedelsverket även Sverige i undergruppen för regelverk för medicintekniska produkter (MDR)/Regelverk för prestandastudier (IVDR) under AI-styrelsen. 81 Uppdrag till Läkemedelsverket att förbereda inför EHDS – Slutrapport från Läkemedels- verket, 2025-02-06, dnr 1.1.8-2024-058495, s. 21 och 24 f. 82 Läkemedelsverkets årsredovisning 2024, s. 62. 192 SOU 2025:101 Marknadskontrollmyndigheter Läkemedelsverket har i kontakter med utredningen förklarat att myndigheten har kapacitet och ambition att utöva marknadskontroll över AI-system inom myndighetens ansvarsområden. MSB MSB är en myndighet vars huvudsakliga uppgift är ansvar för frågor om skydd mot olyckor, krisberedskap och civilt försvar, i den ut- sträckning inte någon annan myndighet har ansvaret. Ansvaret avser åtgärder före, under och efter en olycka, kris, krig eller krigsfara. Myndigheten har också uppgift som marknadskontrollmyndighet enligt förordningen (2006:311) om transport av farligt gods, för- ordningen (2010:1075) om brandfarliga och explosiva varor, miljö- tillsynsförordningen (2011:13) och förordningen (2018:1179) med kompletterande bestämmelser till EU:s förordning om gasanord- ningar.83 Myndigheten hade 2024 cirka 1 330 anställda.84 Myndigheten har bred erfarenhet av samordning och av att han- tera cybersäkerhetsfrågor. Myndigheten kan genom det arbetet även förväntas ha goda kunskaper om bl.a. digitalisering och data. MSB ska enligt myndighetens instruktioner bl.a. stödja och sam- ordna arbetet med samhällets informationssäkerhet. I detta ingår bl.a. att analysera och bedöma omvärldsutvecklingen inom området och att lämna råd och stöd i fråga om förebyggande arbetet till andra statliga myndigheter, kommuner och regioner samt företag och orga- nisationer. MSB ansvarar även för att Sverige har en nationell funk- tion med uppgift att stödja samhället i arbetet med att förebygga och hantera it-incidenter. I detta ingår att vara Sveriges kontaktpunkt gentemot motsvarande funktioner i andra länder och att utveckla samarbetet och informationsutbytet med dessa. Myndigheten är i dagsläget bl.a. nationell kontaktpunkt enligt NIS-direktivet.85 Vid implementeringen av NIS-direktivet konsta- terade regeringen bl.a. att MSB har den struktur och kompetens som krävs både för att samordna frågor om säkerhet i nätverks- och in- formationssystem och för att ansvara för kommunikation och gräns- 83 1 och 18 f §§ förordningen (2008:1002) med instruktion för Myndigheten för samhälls- skydd och beredskap. 84 Årsredovisning 2024, MSB, ISBN-nummer 978-91-7927-564-8, s. 8. 85 22 § förordningen om informationssäkerhet för samhällsviktiga och digitala tjänster. 193 Marknadskontrollmyndigheter SOU 2025:101 överskridande samarbete i anslutning till detta.86 Detta innebär att MSB i dag samverkar med gemensamma kontaktpunkter i andra medlemsstater och fullgör de uppgifter som följer av det första NIS- direktivet. Myndigheten företräder också Sverige i den samarbets- grupp som inrättades genom NIS-direktivet (NIS Cooperation Group). MSB leder även ett samarbetsforum där samtliga nationella tillsynsmyndigheter och Socialstyrelsen ingår samt en privat-offentlig samverkansgrupp där de reglerade sektorerna ingår. I SOU 2024:18 och SOU 2024:64 föreslås MSB fortsatt få ett övergripande samordningsansvar enligt NIS 2-direktivet och ett sam- ordningsansvar enligt CER-direktivet, där det bl.a. ingår att leda ett samarbetsforum för tillsynsmyndigheterna enligt de respektive direk- tiven. Regeringen har vidare i ett regeringsbeslut den 27 februari 2025 gett MSB i uppdrag att vara gemensam kontaktpunkt, cyberkris- hanteringsmyndighet, CSIRT-enhet och att representera Sverige i samarbetsgruppen enligt NIS 2-direktivet. I beslutet anges att upp- draget ska pågå under 2025.87 Utredningen om ett stärkt nationellt cybersäkerhetscenter har i betänkandet Samlade förmågor för ökad cybersäkerhet (SOU 2025:79) dock föreslagit att centrala delar av MSB:s verksamhet på informa- tions- och cybersäkerhetsområdet ska föras över till Försvarets radio- anstalt (FRA). Förslagen innebär bl.a. att MBS:s ansvar för att stödja och samordna arbetet med samhällets informations- och cybersäker- het och myndighetens uppgift att stödja samhället i arbetet med att förebygga och hantera it-incidenter ska flyttas till FRA. Utredningen föreslår även att FRA – i stället för MSB – ska utses till CSIRT-enhet, gemensam kontaktpunkt och cyberkrishanteringsmyndighet samt få ansvar för tillsynssamordning enligt NIS 2-direktivet. MSB föreslås dock även fortsättningsvis bedriva verksamhet inom samhällsviktiga kommunikationstjänster. Enligt SOU 2025:79 innebär förslagen att MSB får ett mer koncentrerat uppdrag vad gäller samordningen av frågor om skydd mot olyckor, krisberedskap och civilt försvar. MSB har i kontakter med utredningen förklarat att myndigheten har kapacitet att utöva marknadskontroll över AI-system inom myn- dighetens ansvarsområden. 86 Prop. 2017/18:205, s. 77. 87 Regeringsbeslut, 2025-02-27, Fö2025/00387. 194 SOU 2025:101 Marknadskontrollmyndigheter PTS PTS hade vid årsskiftet 2024/2025 465 anställda.88 Myndigheten har ett samlat ansvar inom postområdet och området för elektronisk kom- munikation. Begreppet elektronisk kommunikation innefattar tele- kommunikation, it och radio. Myndigheten ska enligt sina instruk- tioner verka för att målen inom politiken för informationssamhället uppnås. Myndigheten ska, inom ramen för sina uppgifter enligt lagen (2022:482) om elektronisk kommunikation (LEK), verka för att de mål som anges i lagen uppnås.89 Myndigheten har god kunskap och erfarenhet av digitaliserings- frågor genom befintliga uppdrag. Inom området för elektronisk kommunikation har myndigheten bl.a. till uppgift att främja till- gången till säkra och effektiva elektroniska kommunikationer, främja utbyggnaden av samt följa tillgången till bredband och mobiltäck- ning i alla delar av landet och följa utvecklingen när det gäller säker- het vid elektronisk kommunikation och uppkomsten av eventuella miljö- och hälsorisker. PTS har även bred erfarenhet av att vara tillsynsmyndighet. Myn- digheten är tillsynsmyndighet enligt LEK, lagen (2016:561) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering, lagen (2006:24) om nationella toppdomäner för Sverige på internet, lagen (2024:500) med kompletterande bestämmelser till EU:s dataförvaltningsförordning och lagen (2010:751) om betal- tjänster.90 PTS är även tillsynsmyndighet enligt säkerhetsskydds- regelverket samt beredskapsmyndighet och sektorsansvarig myn- dighet för beredskapssektorn elektroniska kommunikationer och post.91 PTS har erfarenhet och kunskap om cybersäkerhetsfrågor rela- terad till digital infrastruktur, genom att myndigheten är tillsyns- myndighet enligt NIS-lagen för sektorn digital infrastruktur.92 I SOU 2024:18 och SOU 2024:64 föreslås PTS även få fortsatt och utökat sektorsansvar som tillsynsmyndighet enligt NIS 2- och CER- 88 Redovisning av uppdrag att lämna förslag på organisationsförändring, 2025-03-14, Finans- departementet dnr Fi2024/02416, s. 10. 89 1 § förordningen (2007:951) med instruktion för Post- och telestyrelsen. 90 4 och 6 b §§ förordningen med instruktion för Post- och telestyrelsen. 91 8 kap. 1 § säkerhetsskyddsförordningen och bilaga 2 till förordningen om statliga myndig- heters beredskap. 92 17 § förordningen om informationssäkerhet för samhällsviktiga och digitala tjänster. 195 Marknadskontrollmyndigheter SOU 2025:101 direktiven för bl.a. sektorn digital infrastruktur. PTS ingår även i samverkansgruppen för det nationella cybersäkerhetscentret.93 Myndigheten har dessutom erfarenhet av marknadskontroll genom att myndigheten är marknadskontrollmyndighet enligt radio- utrustningslagen (2016:392).94 PTS har därutöver mångårig erfarenhet av internationella sam- arbeten och arbete på EU-nivå. Några av de europeiska forum och organisationer som myndigheten arbetar aktivt i är Body of European Regulators for Electronic Communications (Berec), European Regu- lators Group for Postal Services (ERGP) och Radio Spectrum Policy Group (RSPG).95 PTS ska enligt myndighetens instruktioner även delta i nationellt och internationellt standardiseringsarbete och delta i arbetet i internationella organ i frågor som rör internets förvaltning genom att vid behov företräda Sverige i dessa organ och genom att bereda ärenden med intressenter på nationell nivå.96 PTS har på senare år fått flera nya uppdrag som har ett bredare ansvarsområde, bl.a. inom ramen för det digitala decenniet. Som nämnts ovan har PTS bl.a. tilldelats rollen som tillsynsmyndighet enligt lagen med kompletterande bestämmelser till EU:s dataförvalt- ningsförordning. PTS ansvarar inom den förordningen för registre- ring och tillsyn av dataförmedlare och dataaltriusmorganisationer utifrån de krav som ställs i förordningen. PTS har även uppdrag inom frågor om digital inkludering. Myn- digheten är utsedd till marknadskontrollmyndighet enligt lagen (2023:254) om vissa produkters och tjänsters tillgänglighet. Utöver det ansvarar myndigheten för att koordinera all tillsyn enligt lagen samt utöva tillsyn över bank- och betaltjänster, elektroniska kom- munikationstjänster och e-handelstjänster. Lagen reglerar i huvud- sak krav på vissa produkter och tjänster i fråga om deras tillgäng- lighet, och utgör en implementering av tillgänglighetsdirektivet. Lagen trädde i kraft den 28 juni 2025. PTS är sedan 2024 även behörig myndighet och nationell sam- ordnare för digitala tjänster enligt EU:s förordning om digitala tjäns- ter.97 I EU:s förordning om digitala tjänster fastställs harmoniserade 93 4 § förordningen (2025:237) om det nationella cybersäkerhetscentret vid Försvarets radio- anstalt. 94 4 § förordningen med instruktion för Post- och telestyrelsen. 95 https://pts.se/om-oss/internationellt-arbete/ (hämtad 2025-02-17). 96 7 § förordningen med instruktion för Post- och telestyrelsen. 97 4 och 8 §§ förordningen (2024:958) med kompletterande bestämmelser till EU:s förord- ning om digitala tjänster. 196 SOU 2025:101 Marknadskontrollmyndigheter regler för tillhandahållandet av förmedlingstjänster på den inre mark- naden. PTS har också bevakat och analyserat AI-förordningen, bl.a. genom att myndigheten sedan 2023 tillsammans med Digg ingår i en inofficiell arbetsgrupp om AI-förordningen, European Working Group of Competent Authorities on Artificial Intelligence. Gruppen finansieras av UNESCO, Enisa och DG Reform (TSI-projekt). Från årsskiftet 2025 har ett antal undergrupper också bildats, där PTS och Digg delar på deltagandet i undergrupperna.98 PTS är även ord- förande i undergruppen ”AI Incident Analysis and Reporting”. PTS samverkar med UNESCO gällande kompetensutveckling kring AI- incidenter och AI-tillsyn. PTS ingår även i en undergrupp under AI-styrelsen som har fokus på överlappsfrågor mellan AI-förordningen och andra unionsregler- ingar (AI Act Interplay with other Union legislation). PTS har i sitt budgetunderlag för 2026–2028 angett att myndig- heten bedömer att den sannolikt kommer att tilldelas ansvar avse- ende AI-förordningen, då AI-förordningens tillämpningsområde rör flera områden där myndigheten i dag har uppgifter, t.ex. marknads- kontroll av radioutrustning, uppdrag relaterat till kritisk digital infra- struktur, tillgänglighet, tillsyn och samordning av digitala tjänster.99 Digg och PTS fick den 5 december 2024 i uppdrag av regeringen att lämna förslag på hur Digg:s uppgifter kan överföras till och in- ordnas i PTS. Myndigheterna har i en gemensam rapport redovisat att myndigheterna anser att det finns långsiktiga fördelar med en sammanslagning knutet till behovet av en kraftsamling för digitali- sering. Myndigheterna har också redovisat att den sammanslagna myndigheten skulle ha förmåga att ta ett tydligare helhetsansvar för AI vilket enligt myndigheterna skulle stärka Sveriges digitalisering och innovationskraft. Som en del i ett sådant helhetsansvar bedömer myndigheterna att den gemensamma myndigheten skulle kunna inneha rollen som marknadskontrollmyndighet och gemensam kon- taktpunkt enligt AI-förordningen. Myndigheten skulle också kunna omhänderta delar av AI-kommissionens färdplan för Sverige.100 98 Se bl.a. https://www.unesco.org/en/articles/designing-institutional-frameworks-ethical- governance-ai-netherlands-0 (hämtad 2025-04-22). 99 Budgetunderlag 2026–2028, PTS, 2025-02-20, PTS-VR-2024:3, s. 23 f. 100 Redovisning av uppdrag att lämna förslag på organisationsförändring, 2025-03-14, Finans- departementet dnr Fi2024/02416. 197 Marknadskontrollmyndigheter SOU 2025:101 Innehållet i rapporten har remitterats och remissvaren finns i Finans- departementets diarienummer Fi2025/00654. PTS har i kontakter med utredningen förklarat att myndigheten har kapacitet och ambition att ta sig an ett omfattande ansvar enligt AI-förordningen, både som egen myndighet och vid en eventuell sammanslagning med Digg. Myndigheter som är lämpliga att överväga för ett uppdrag som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen Baserat på redogörelsen av myndigheter i avsnittet ovan drar utred- ningen slutsatsen att vissa myndigheter är lämpligare än andra för ett uppdrag som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. Utredningen redogör närmare för sin analys i dessa avseenden nedan. PTS, IMY och Digg har breda ansvar med koppling till AI-förordningen Vid en internationell utblick har utredningen noterat att andra medlemsstater primärt tycks överväga att tilldela ett huvudsakligt ansvar för AI-förordningen till myndigheter som i svensk kontext – sett till nuvarande tillsynsuppdrag och ansvarsområden – mot- svarar PTS (telekommunikation och it), IMY (dataskyddsmyndighet) och Digg (digitaliseringsmyndighet). En liknande slutsats har dragits av DFØ (det norska direktoratet för förvaltning och ekonomistyr- ning) i en rapport om förslag till Norges implementering av AI- förordningen.101 Utifrån ett harmoniseringsperspektiv finns alltså skäl att titta närmare på dessa myndigheter (ändamålseffektivitet). PTS, IMY och Digg har också alla breda ansvar med tydliga kopp- lingar till frågor om digitalisering, cybersäkerhet och AI (rolltydlighet). Dessa tre myndigheter har erfarenhet av internationellt och EU- rättsligt samarbete, och myndigheterna har – utifrån sina nuvarande sakkunskaper – också goda förutsättningar att skaffa sig en djupare AI-teknisk kunskap. Samtliga myndigheter har därtill en teknisk kom- petens inom digitaliseringsområdet. IMY och Digg har erfarenhet av 101 DFØ rapport 2024:9, s. 26. 198 SOU 2025:101 Marknadskontrollmyndigheter att lämna konkreta AI-riktlinjer. Alla tre myndigheter har tillsyns- uppdrag, även om PTS och IMY är mer renodlade tillsynsmyndig- heter. PTS och IMY har erfarenhet av att fatta beslut om sanktioner, och PTS har dessutom erfarenhet av att vara marknadskontrollmyn- dighet (sakkunskap). Dessa tre myndigheter har även själva förmedlat till utredningen att de är villiga och kapabla att hantera ett uppdrag som marknads- kontrollmyndighet med huvudsakligt ansvar för AI-förordningen. Flera aktörer som utredningen har haft kontakt med har också för- medlat att dessa tre myndigheter är relevanta att överväga för ett större uppdrag enligt AI-förordningen. Även om Digg besitter goda sakkunskaper inom digitalisering och AI, är Digg:s huvudsakliga uppdrag – till skillnad från IMY och PTS – dock inte att vara tillsynsmyndighet. Digg har inte heller erfaren- het av marknadskontroll. Även om Digg:s vägledande roll har en stark koppling till AI-förordningens innovationsfrämjande delar så har myndigheten alltså begränsad koppling till marknadskontroll- myndighetens huvudsakliga uppdrag inom AI-förordningens system för marknadsövervakning och kontroll (ändamålseffektivitet, roll- tydlighet och sakkunskap). Utifrån att regeringen i dagsläget utreder om Digg:s uppgifter kan överföras till och inordnas i PTS är det också osäkert i vilken form som myndigheten Digg kommer att finnas framöver. Det innebär också en osäkerhet vad gäller att tilldela myndigheten ett eget ansvar (genomförbarhet och flexibilitet). PTS och Digg har gjort bedöm- ningen att det finns långsiktiga fördelar med en sammanslagning. Eftersom Digg:s nuvarande ansvarsområden primärt inte avser tillsyn eller marknadskontroll och Digg:s framtid som egen myn- digheten dessutom för närvarande är osäker bedömer utredningen att valet bör göras mellan PTS och IMY. Sammanfattningsvis bedömer utredningen utifrån samtliga aspekter som utredningen har beaktat att PTS och IMY är lämpliga myndig- heter att överväga för ett uppdrag som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. 199 Marknadskontrollmyndigheter SOU 2025:101 Finansinspektionen och Läkemedelsverket har god sakkunskap om AI, men är sektorsmyndigheter Finansinspektionen och Läkemedelsverket är stora myndigheter som utifrån sina ansvarsområden och erfarenheter kan förväntas ha god sakkunskap om bl.a. AI-teknik, databehandling, personuppgifts- hantering och cybersäkerhet. Läkemedelsverket bedöms också ha god kunskap om hälso- och säkerhetsrisker inom sitt ansvarsområde. Utifrån dessa kvalifikationer kan myndigheterna även förväntas ha goda förutsättningar att i övrigt bygga upp ytterligare specifik sak- kunskap som krävs om AI-förordningen, och för Finansinspektionens del även beträffande att utöva marknadskontroll (sakkunskap). Båda dessa myndigheter bedöms därför på ett övergripande plan som lämpliga för att utöva marknadskontroll enligt AI-förordningen. Finansinspektionen och Läkemedelsverket är dock tydliga sektors- myndigheter, varför deras ansvar inte bör utsträckas längre än till myndigheternas respektive ansvarsområden (rolltydlighet, genom- förbarhet och flexibilitet). Utredningen bedömer därför att Finansinspektionen och Läke- medelsverket är relevanta att överväga i den mån det behövs sektors- specifik kunskap (se närmare i avsnitt 6.5 och 6.6). Myndigheterna är emellertid inte aktuella att överväga för ett uppdrag som mark- nadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. Konsumentverket har ett brett uppdrag, men med ett annat fokus Konsumentverket är en stor myndighet som har bred erfarenhet av tillsyn och marknadskontroll samt erfarenhet av internationella samarbeten och arbete på EU-nivå (sakkunskap). Myndighetens ansvarsområde – om än brett – avser dock konsumentfrågor och AI-förordningens tillämpningsområde är bredare än så. Att tilldela Konsumentverket ett uppdrag enligt AI-förordningen som sträcker sig längre än konsumentområdet är därför inte naturligt (rolltydlighet). Konsumentverket har i kontakter med utredningen därtill förmedlat att myndigheten än så länge inte har sett särskilt mycket AI-teknik inom myndighetens tillsynsområden. Myndigheten kan därmed inte heller förväntas ha byggt upp en sådan sakkunskap om AI-system som t.ex. Finansinspektionen och Läkemedelsverket har behövt göra (ändamålseffektivitet). 200 SOU 2025:101 Marknadskontrollmyndigheter Utredningen bedömer därför att Konsumentverket är relevant att överväga endast i den mån det behövs sektorsspecifik kunskap med inriktning mot konsumentfrågor (se närmare i avsnitt 6.6). Myn- digheten är emellertid inte aktuell att överväga för ett uppdrag som marknadskontrollmyndighet med huvudsakligt ansvar för AI-för- ordningen. MSB har ett brett uppdrag, men med ett annat fokus MSB är en stor myndighet som utifrån myndighetens ansvarsområden och erfarenheter på ett övergripande plan kan förväntas ha god sak- kunskap om bl.a. AI-teknik, databehandling, cybersäkerhet, hälso- och säkerhetsrisker och kunskap om befintliga standarder och rätts- liga krav. Sett till MSB:s roll inom Sveriges civila försvar står det klart att myndigheten behöver ligga i framkant när det gäller denna typ av frågor (sakkunskap). Utredningen bedömer därför att MSB på ett övergripande plan är lämplig för att utöva marknadskontroll en- ligt AI-förordningen. MSB:s huvudsakliga uppgift är dock att ansvara för frågor om skydd mot olyckor, krisberedskap och civilt försvar. För närvarande pågår även ett arbete för att, som utredningen tolkar det, renodla myndighetens roll inom det civila försvaret. Myndigheten föreslås exempelvis byta namn till Myndigheten för civilt försvar i januari 2026.102 Även förslagen i SOU 2025:79 om att centrala delar av MSB:s verk- samhet på informations- och cybersäkerhetsområdet ska föras över till FRA talar i den riktningen. Sedan tidigare har regeringen också beslutat att flytta en del av ansvaret för nationellt cybersäkerhets- center från MSB till FRA.103 Utredningen bedömer sammantaget att MSB är relevant att över- väga i den mån det behövs sektorsspecifik kunskap (se närmare i av- snitt 6.6). Myndigheten är emellertid inte aktuell att överväga för ett uppdrag som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. Ett större ansvar som marknadskontrollmyndig- het enligt AI-förordningen skulle också kunna överskugga MSB:s viktiga arbete med det civila försvaret (rolltydlighet, ändamåleffekti- vitet). 102 Promemorian Myndigheten för civilt försvar – Ett nytt namn för MSB och vissa organisa- toriska förändringar, Försvarsdepartementet, Fö2024/01767. 103 4 a § förordningen (2007:937) med instruktion för Försvarets radioanstalt. 201 Marknadskontrollmyndigheter SOU 2025:101 Som framgår ovan har det i SOU 2025:79 lämnats förslag om att centrala delar av MSB:s verksamhet på informations- och cybersäker- hetsområdet ska föras över till FRA. Av det skälet ser utredningen anledning att nämna att FRA, trots myndighetens expertkunskap i frågor om cybersäkerhet, inte bedöms som aktuell att överväga som en marknadskontrollmyndighet enligt AI-förordningen. Detta av det skälet att FRA:s huvudsakliga uppdrag, dvs. att bedriva signal- spaning i försvarsunderrättelseverksamhet, ligger alltför långt ifrån ett uppdrag att vara marknadskontrollmyndighet. Något om övriga befintliga marknadskontrollmyndigheter Övriga svenska marknadskontrollmyndigheter som utövar mark- nadskontroll enligt EU:s marknadskontrollförordning är Arbets- miljöverket, Boverket, Elsäkerhetsverket, Energimyndigheten, Kemikalieinspektionen, Naturvårdsverket, Swedac, Transportsty- relsen och Folkhälsomyndigheten. Dessa myndigheter har på ett övergripande plan erfarenhet av att utöva marknadskontroll enligt EU:s marknadskontrollförordning, vilket en marknadskontroll- myndighet enligt AI-förordningen också ska göra. Utredningen bedömer att dessa myndigheter inte är aktuella att överväga för ett uppdrag som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. I syfte att i möjligaste mån begränsa antalet marknadskontrollmyndigheter – både generellt och enligt AI-förordningen – bedömer utredningen emellertid att dessa myndigheter är aktuella att överväga för uppdrag enligt AI- förordningen, i den mån det inom vissa områden är nödvändigt med sektorsspecifik kunskap (se närmare i avsnitt 6.6). Sammanfattande slutsatser Utredningen bedömer att det finns några myndigheter som generellt sett är lämpligare än andra för ett uppdrag som marknadskontroll- myndighet enligt AI-förordningen. Digg, Finansinspektionen, IMY, Konsumentverket, Läkemedelsverket, MSB och PTS är de svenska myndigheter som på en övergripande nivå kan förväntas kunna han- tera ett större uppdrag som marknadskontrollmyndighet enligt AI- förordningen. 202 SOU 2025:101 Marknadskontrollmyndigheter I den mån det inom vissa områden är nödvändigt med sektors- specifik kunskap bedömer utredningen vidare att övriga befintliga marknadskontrollmyndigheter som utövar marknadskontroll enligt EU:s marknadskontrollförordning är lämpliga att överväga. Den be- dömningen baseras främst på att utredningen anser att antalet mark- nadskontrollmyndigheter – både generellt och enligt AI-förordningen – behöver begränsas. Med beaktande av myndigheternas befintliga uppdrag och ansvars- områden bedömer utredningen att det primärt är PTS, IMY eller Digg som är aktuella att överväga för ett uppdrag som marknadskontroll- myndighet med huvudsakligt ansvar för AI-förordningen. Eftersom Digg:s huvudsakliga ansvarsområden inte avser tillsyn eller mark- nadskontroll och Digg:s framtid som egen myndighet i nuläget är osäker bedömer utredningen att valet mellan vilken myndighet som ska få uppdraget som marknadskontrollmyndighet med huvudsak- ligt ansvar för AI-förordningen bör göras mellan PTS och IMY. Närmare överväganden kring om uppdraget som marknadskon- trollmyndighet med huvudsakligt ansvar för AI-förordningen bör tilldelas IMY eller PTS görs i avsnitt 6.4.4. Närmare överväganden kring specifika ansvarsområden görs i avsnitt 6.5–6.9. 6.4.4 Marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen Utredningens bedömning: PTS bör ges ett uppdrag som mark- nadskontrollmyndighet med huvudsakligt ansvar för AI-förord- ningen. Det innebär att PTS bör ansvara för marknadskontrollen inom samtliga områden som omfattas av förordningen, om det inte finns starkt vägande skäl att tilldela ansvaret för ett visst om- råde till en annan myndighet. Inledning Utredningen har i avsnitt 6.4.2 gjort bedömningen att marknadskon- trollsystemet enligt AI-förordningen bör utformas som en hybrid- modell som innebär att det bör ske en samling av marknadskontroll- ansvaret till en marknadskontrollmyndighet med ett huvudsakligt 203 Marknadskontrollmyndigheter SOU 2025:101 ansvar för AI-förordningen. Det betyder att en myndighet bör ansvara för marknadskontrollen inom samtliga områden som omfattas av för- ordningen, om det inte finns starkt vägande skäl att tilldela ansvaret för ett visst område till en annan sektorsspecifik myndighet. Utred- ningen har vidare i avsnitt 6.4.3 kommit fram till att IMY eller PTS är de lämpligaste myndigheterna att överväga för ett uppdrag som marknadskontrollmyndighet med huvudsakligt ansvar för AI-för- ordningen. Nedan redovisar utredningen för och nackdelar med att utse respektive myndighet. Utredningen inleder med sina överväganden om att tilldela IMY uppdraget som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen och går sedan över till överväganden om att tilldela PTS ett huvudsakligt ansvar. Av- slutningsvis redogör utredningen för sina sammanfattande slutsatser. Utredningen beaktar vid analysen i detta avsnitt samma frågeställ- ningar som har tagits upp i avsnitt 6.4.3, dvs. ändamålseffektivitet, rolltydlighet, sakkunskap – sammansättning och tillgång samt genom- förbarhet och flexibilitet. Frågeställningarna tas upp i rubrikerna men beaktas också löpande i texterna utan att det särskilt nämns. Av tydlighetsskäl bör nämnas att utredningens förslag i detta avsnitt inte per automatik innebär att myndigheten också bör vara gemensam kontaktpunkt enligt artikel 70.2. I avsnitt 9.4.1 behandlar utredningen förslaget vad gäller gemensam kontaktpunkt. Överväganden om IMY som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen Det är det närmaste en centralisering av ansvaret som bedöms möjlig (ändamålseffektivitet) En myndighet med ett huvudsakligt ansvar för AI-förordningen skapar förutsebarhet och tydlighet på marknaden. Den kan ta ett övergripande ansvar för att ge vägledning och genomföra medvet- andehöjande åtgärder gentemot andra myndigheter och marknaden. Dessutom har en huvudsakligt ansvarig myndighet de praktiska förut- sättningarna för att bygga upp den djupa expertkunskap om AI som kommer att krävas. Flera aktörer, främst myndigheter, som utred- ningen har varit i kontakt med har förmedlat att ett uppdelat ansvar 204 SOU 2025:101 Marknadskontrollmyndigheter kan vara problematiskt, och har förordat att en centralisering i största möjliga grad bör eftersträvas. Det enda sättet att i praktiken utse en enda marknadskontroll- myndighet med huvudsakligt ansvar för AI-förordningen är enligt utredningen genom att ge det ansvaret till IMY. IMY kommer näm- ligen oavsett utredningens förslag i detta avsnitt att få ett omfattande uppdrag som marknadskontrollmyndighet enligt AI-förordningen. Som utredningen närmare redogör för i avsnitt 6.5 föreslår utred- ningen att IMY – oaktat analysen i detta avsnitt – ska ansvara för AI- system med hög risk inom punkterna 1 och 6–8 samt en del av 5 b i bilaga III. Beträffande punkterna 6–8 i bilaga III beror det på ut- formningen av artikel 74.8 som – förenklat uttryckt – direkt pekar ut IMY som ansvarig för dessa områden. Utredningen föreslår även att IMY ska få ett huvudsakligt ansvar för det förbjudna området i artikel 5 (se avsnitt 6.7). Ansvarsområdena utgör närmare hälften av alla ansvarsområden i AI-förordningen. Om IMY inte tilldelas upp- draget som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen kommer ansvaret därmed att bli mer uppdelat än om IMY får det uppdraget. Utifrån ett centraliseringsperspektiv finns det därför skäl att överväga IMY som marknadskontrollmyn- dighet med huvudsakligt ansvar för AI-förordningen. IMY kommer dessutom utifrån de aspekter som har redovisats i stycket ovan att behöva bygga upp en djup kompetens kring AI- system. Även kostnadseffektivitetsskäl talar därför för att överväga IMY som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. IMY:s uppdrag som dataskyddsmyndighet har en stark koppling till AI-förordningen (ändamålseffektivitet, sakkunskap) Utöver den praktiska aspekten finns det även andra goda skäl att ge IMY ett uppdrag som marknadskontrollmyndighet med huvudsak- ligt ansvar för AI-förordningen. IMY:s tillsynsuppdrag som data- skyddsmyndighet har en stark koppling till AI-förordningen. AI- system tränas på och hanterar data och data innehåller i väldigt många fall personuppgifter. Att så ofta är fallet har även kommissionen ut- 205 Marknadskontrollmyndigheter SOU 2025:101 talat i sina riktlinjer för tolkningen av artikel 5 i AI-förordningen.104 Flera användningsområden som tas upp i bilaga III och i artikel 5 har också uppenbar koppling till personuppgiftshantering. Aktörer som vill ta i bruk eller sätta ett AI-system på marknaden kan därmed ofta förväntas ha ett behov av att veta om systemet både uppfyller kraven enligt AI-förordningen och EU:s dataskyddsför- ordning. I AI-kommissionens färdplan för Sverige har också lyfts fram att aktörer på marknaden, inte minst små och medelstora före- tag, uppfattar EU-reglering på området, främst AI-förordningen och EU:s dataskyddsförordning som svårtolkad och komplex, och att detta ofta beskrivs som det kanske största hindret för innovation. AI-kommissionen tar i sammanhanget upp att åtgärder som minskar informations- och koordinationsproblemen mellan olika tillsynsmyn- digheter inom AI-området behövs samt att företagens kostnader för att följa reglerna också kan minskas genom att harmonisera regler- ingar där myndigheter har överlappande ansvarsområden, eller genom att förenkla och integrera relaterade regleringar.105 Vägledning i frågor om samspelet mellan AI-förordningen och EU:s dataskyddsförordning är alltså något som efterfrågas på mark- naden och IMY är den myndighet som har bäst möjligheter att be- svara frågor utifrån båda regleringarna. Utöver dessa två rättsakter finns det flera andra unionsrättsakter som företagare också behöver förstå; EU:s dataskyddsförordning lyfts dock i princip alltid fram i första hand. Att vägledning inom båda områdena är samstämmig och tydlig kan alltså vara en viktig innovationsfrämjande åtgärd. Mot- stridiga besked eller fördröjning av att flera myndigheter behöver samordna sig kan riskera att hämma AI-innovation. EDPB har därtill antagit ett ställningstagande beträffande data- skyddsmyndigheternas roll i AI-förordningen.106 Styrelsen anför att AI-förordningen och dataskyddsrättsakterna ska ses som rättsakter som kompletterar varandra och som är ömsesidigt tillämpbara samt att hantering av personuppgifter är en av kärnorna i AI-system på det sätt som definitionen i artikel 3.1 i AI-förordningen är formulerad. EDPB anger i sitt ställningstagande att medlemsstaterna bör överväga 104 Kommissionens riktlinjer om de förbjudna användningsområden för artificiell intelligens som fastställs i förordning (EU) 2024/1689 (AI-förordningen), Bryssel den 29.7.2025, C (2025) 5052 final. 105 AI-kommissionens färdplan för Sverige, s 18, 58, 59 och 86. 106 Statement 3/2024 on data protection authorities’ role in the Artificial Intelligence Act framework. 206 SOU 2025:101 Marknadskontrollmyndigheter att utse sina dataskyddsmyndigheter till marknadskontrollmyndig- het beträffande samtliga områden som listas i bilaga III, med undan- tag för finanssektorn. Vidare rekommenderar EDPB att dataskydds- myndigheten även ska utses till nationell kontaktpunkt, vilket enligt EDPB skulle skapa en enhetlig, konsekvent och effektiv hantering mellan olika sektorer. Frågor om AI är enligt företrädare för IMY också sådant som myndigheten redan i dagsläget behöver hantera inom sin tillsyns- roll inom dataskyddsområdet. Befintlig kompetens hos IMY kan därmed förväntas vara användbar även vid uppbyggnaden av myndig- hetens kompetens kring AI-system. Kompetensen kan även antas vara till fördel vid erfarenhetsutbyten mellan de två tillsynsområdena. Även om utredningen vill framhålla att ingen myndighet i dagsläget kommer att klara uppdraget som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen med befintliga resurser (se även konsekvensutredningen i kapitel 16), är det relevant att beakta att IMY är en myndighet som har många anställda jurister, vilket är en kompetens som kan antas behövas för att hantera frågor om över- ensstämmelse med AI-förordningen. Vid tillsyn och vägledning om AI-system arbetar myndigheten enligt uppgift redan nu i kompetens- överskridande team, där även tekniskt kunnig personal ingår, vilket sannolikt också kommer att behövas för att kontrollera AI-system enligt AI-förordningen. Myndigheten har under 2025 även rekryterat personal till myndighetens innovationshubb, som också kan antas vara av relevans för att hantera frågor om AI-förordningen. IMY är redo att ta sig an uppdraget (genomförbarhet och flexibilitet) IMY har offentligt och till utredningen förmedlat att myndigheten är villig och kapabel att hantera ett uppdrag som marknadskontroll- myndighet med huvudsakligt ansvar för AI-förordningen. Eftersom IMY tidigt kunde se att AI-förordningen uttryckligen pekar ut myn- digheten i flera avseenden (se artikel 74.8) har myndigheten redan börjat förbereda sig inför vad den rollen kan komma att innebära.107 I myndighetens årsredovisning för 2024 framgår bl.a. att myndig- heten har tillsatt en arbetsgrupp som analyserar och hanterar olika delar av AI-förordningen samt att myndigheten genomfört särskilda 107 https://www.imy.se/om-oss/aktuellt-fran-oss/imy-och-ai/ (hämtad 2025-04-21). 207 Marknadskontrollmyndigheter SOU 2025:101 utbildningsinsatser för chefer och medarbetare för att höja kun- skapen om AI och de nya krav som ställs i AI-förordningen.108 IMY arbetar i sin tillsynsroll också redan med att granska digitala system som mjukvaror, innefattande AI-system, som del av en produkt eller tjänst, och myndighetens granskning är produktoberoende och sektorsövergripande, på samma sätt som AI-förordningen. IMY har därtill erfarenhet av praktiskt regulatoriskt arbete kopplat till frågor om AI, dels genom projekten i myndighetens regulatoriska sandlåda för dataskydd, dels genom myndighetens deltagande i det myndighetsgemensamma pilotprojektet inom eSam som specifikt berör regulatoriska sandlådor enligt AI-förordningen. Flera aktörer från myndigheter och näringsliv som utredningen har varit i kontakt med har också förmedlat att IMY har fått ett ökat förtroende inom AI och innovation, bl.a. utifrån myndighetens engagemang i dessa sandlådor samt utifrån att myndigheten visat ett stort teknikintresse. IMY har alltså redan börjat förbereda sig för ett uppdrag som marknadskontrollmyndighet och är redo att ta sig an uppdraget som marknadskontrollmyndighet med huvudsakligt ansvar för AI- förordningen med hänsyn till det direkta utpekandet av myndig- heten i AI-förordningen, vilket enligt utredningen bör beaktas. I AI-kommissionens färdplan för Sverige konstateras att Sverige har halkat efter i utvecklingen på AI-området och att Sverige i glo- bala index rankas lågt, även inom EU. AI-kommissionen lyfter också fram att fördröjningar inom de europeiska ramverken kan få stora konsekvenser i en tid när utvecklingen av AI går svindlande snabbt. De aktörer som snabbast kan tillämpa den senaste tekniken får ett betydande försprång, medan de som halkar efter riskerar att förlora i konkurrenskraft. AI-kommissionen föreslår att regeringen bör uppdra åt lämplig myndighet att så snart som möjligt etablera en funktion för rådgivning och regulatorisk sandlåda för både privat och offentlig sektor i linje med AI-förordningens krav och att det är centralt att regeringen agerar för att undanröja den osäkerhet som i dag finns kring tillämpningen av AI-förordningen.109 Representanter för näringslivet som utredningen har haft kon- takt med har också förmedlat att uppdraget som huvudansvarig myndighet enligt AI-förordningen förmodligen kommer att kräva en enorm anpassningsförmåga och att det på marknaden finns en 108 Årsredovisning 2024, IMY, s. 53. 109 AI-kommissionens färdplan för Sverige, s. 58 och 87. 208 SOU 2025:101 Marknadskontrollmyndigheter stor oro för att Sveriges genomförande av AI-förordningen ska bli ut- draget. Utredningen kan därmed konstatera att ett snabbt genomförande av AI-förordningen är ett viktigt och starkt argument för att över- väga att ge IMY uppdraget som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. IMY är inte en befintlig marknadskontrollmyndighet (rolltydlighet) Det finns även argument som talar mot att ge IMY ett uppdrag som marknadskontrollmyndighet med huvudsakligt ansvar för AI-för- ordningen. IMY har omfattande erfarenhet av tillsyn, men EU:s dataskyddsförordning är främst en rättighetsreglering och IMY saknar erfarenhet av marknadskontroll och produktsäkerhetstillsyn. De myndigheter som ska utöva marknadskontroll över AI-system kommer visserligen att behöva titta på systemet utifrån ett rättighets- perspektiv, då risker för människors grundläggande rättigheter ut- gör en av grunderna till att vissa AI-system klassificeras som hög risk och förbjudna. Arbetet kommer samtidigt också att kräva expertis inom standardisering och mer klassiska produktsäkerhetsrisker, vilket myndigheten för närvarande har begränsad tillgång till. Om IMY ska vara marknadskontrollmyndighet med huvudsak- ligt ansvar för AI-förordningen måste den del av myndigheten som arbetar med AI-förordningen, och rimligen även ledningen, behöva inta ett tydligare tillverkar- och leverantörsperspektiv. Tillsynsobjekten enligt AI-förordningen kommer att finnas längs hela värdekedjan, men med särskilt fokus på tillverkar- och leverantörssidan. Även om IMY i sin roll som dataskyddsmyndighet utövar tillsyn över aktörer längs hela värdekedjan, kan myndigheten ändå inte sägas ha ett sådant fokus i dagsläget. Att bygga upp den nya kompetensen kring marknadskontroll och produkttillsyn kommer att vara utmanande, särskilt om IMY blir den enskilt största myndigheten enligt AI-förordningen. I det sammanhanget är det också relevant att nämna att IMY är en förhål- landevis liten myndighet med cirka 150 anställda, vilket innebär att det troligtvis finns begränsat antal anställda som kan förflyttas till nya uppdrag inom myndigheten. 209 Marknadskontrollmyndigheter SOU 2025:101 Uppdraget som dataskyddsmyndighet kan vara svårt att förena med uppdraget som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen (rolltydlighet) IMY kommer även att behöva balansera två något olika mål om myn- digheten får ett huvudsakligt ansvar för både EU:s dataskyddsför- ordning och AI-förordningen. Viktiga mål med AI-förordningen inkluderar bl.a. att främja innovation och konkurrens på lika villkor. Hänsyn som integritet och dataskydd måste därmed balanseras mot delvis andra överväganden än vad som är fallet vid en bedömning enligt kraven i EU:s dataskyddsförordning. Ett antal aktörer som utredningen har varit i kontakt med, främst från näringslivet, har framhållit att det kan ifrågasättas om dessa mål är möjliga att förena inom samma myndighet. I det sammanhanget bör dock nämnas att det i AI-förordningen uttryckligen framgår att IMY ska vara mark- nadskontrollmyndighet över AI-system med hög risk som före- kommer inom bilaga III, punkterna 6–8 och i viss utsträckning punkten 1. I dessa delar har EU-lagstiftaren uppenbarligen ansett att förhållandet mellan dataskydd och innovation inte är proble- matiskt. Dessa områden har emellertid främst en koppling till EU:s brottsdatadirektiv. En annan aspekt som behöver beaktas är att IMY i egenskap av dataskyddsmyndighet intar en mer självständig roll i förhållande till regeringen. Rollen som marknadskontrollmyndighet med huvud- sakligt ansvar för AI-förordningen kommer dock troligtvis inte att innebära en sådan självständig roll. Dataskyddsområdet är på EU- nivå också organisatoriskt frånkopplad från AI-förordningen. Denna typ av dualitet inom en myndighet är inte något unikt och kan san- nolikt lösas organisatoriskt inom myndigheten, men är potentiellt inte helt oproblematiskt. I sammanhanget bör också nämnas att DFØ i en rapport om förslag till Norges implementering av AI-förordningen dragit slut- satsen att det norska Datatilsynets roll som dataskyddsmyndighet, trots myndighetens omfattande och goda expertis, riskerar att utmana myndighetens legitimitet som en neutral marknadskontrollmyndig- het. Bl.a. med hänsyn till dessa aspekter kom DFØ till slutsatsen att Datatilsynet inte borde ges det huvudsakliga ansvaret för AI-förord- ningen i Norge.110 110 DFØ rapport 2024:9, s. 29 ff. 210 SOU 2025:101 Marknadskontrollmyndigheter Överväganden om PTS som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen PTS har lång erfarenhet av tillsyn och marknadskontroll (sakkunskap) PTS är en myndighet som har lång erfarenhet inom tillsyn och mark- nadskontroll av produkter samt arbete med denna typ av frågor på EU-nivå. Myndigheten besitter därigenom expertis inom produkt- relaterade frågor så som standardisering och harmonisering av rätts- liga krav. PTS är även en tekniskt kunnig myndighet. PTS stärks också av den roll och kompetens myndigheten har som del av Sveriges cybersäkerhetsarbete och totalförsvarsarbete, då AI används och sannolikt i allt större utsträckning kommer att användas i framtiden avseende cyberattacker och andra former av hybridattacker. I det sammanhanget finns även en koppling till det kommande ansvaret för cybersäkerhetsfrågor i produkter med digi- tala element som marknadskontrollmyndigheterna enligt AI-förord- ningen snart också kommer att behöva hantera, enligt EU:s cyber- resiliensförordning (se avsnitt 3.4.4). PTS kompetens inom tillsyn och marknadskontroll talar också för att myndigheten skulle ha goda förutsättningar för att hantera frågor om samordning och stöd till andra marknadskontrollmyndig- heter (se närmare i avsnitt 9.4 och 9.5), i synnerhet i frågor relaterade till säkerhetskomponenter i produkter som regleras av existerande produktsäkerhetslagstiftning enligt bilaga IA till AI-förordningen (se utredningens förslag beträffande PTS i avsnitt 6.5.2 och 6.6.2). Ett antal representanter för näringslivet har till utredningen också framhållit som positivt att PTS har haft ett nära samarbete med operatörer inom myndighetens tillsynsområden, vilket kan tala för att myndigheten skulle ha goda förutsättningar för att inta en större vägledande roll gentemot marknaden. PTS har redan ett brett ansvar inom det digitala decenniet (ändamålseffektivitet) PTS har i dag ansvar inom flera av det digitala decenniets regleringar, t.ex. enligt EU:s förordning om digitala tjänster, EU:s dataförvalt- ningsförordning, NIS 2- och CER-direktiven, e-IDAS-förordningen 211 Marknadskontrollmyndigheter SOU 2025:101 och EUDI-förordningen111. Under våren 2025 blev det även klart att regeringen avser att utse PTS till behörig myndighet för EU:s dataförordning.112 PTS är även samordnare för digitala tjänster och representant i dess nämnd på EU-nivå. PTS har dessutom den svenska stolen i Europeiska datainnovationsstyrelsen (EDIB) utifrån upp- gifterna i EU:s dataförvaltningsförordning (se närmare i kapitel 13). PTS ansvar inom området är alltså omfattande, även om det också finns andra svenska myndigheter med ansvar inom det digitala decenniet. Att tilldela PTS ett uppdrag som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen skulle alltså samla flera unionsrättsakter inom det digitala decenniet under samma hatt och bidra till tydlighet och synergier. AI-förordningen är också organisa- toriskt placerad inom PTS departement och generaldirektorat inom EU, vilket kan underlätta organisatoriskt samt skapa goda förutsätt- ningar för en större nationell påverkan på EU-nivå. PTS är redo att ta sig an uppdraget och många andra länder har föreslagit liknande myndigheter för ett huvudsakligt ansvar (ändamålseffektivitet) PTS har till utredningen förmedlat att myndigheten, både i nuvarande form och i en framtida sammanslagen myndighet med Digg, är beredd att ta en omfattande roll vad avser AI-förordningen. Myndigheten har förmedlat att den på sikt har en potential att bli det naturliga navet i Sverige vad avser regelefterlevnad och främjande inom digi- talisering, vilket även skulle kunna inkludera AI-förordningen. Flera andra medlemsstater överväger att besluta om eller har också beslutat att tilldela ett huvudsakligt ansvar för AI-förordningen till myndigheter som har ett liknande uppdrag som PTS. I Norge har regeringen beslutat att den norska motsvarigheten till PTS, Nkom ska tilldelas ett koordinerande ansvar för AI-för- ordningen.113 I Danmark har regeringen beslutat att ge Digitali- seringsstyrelsen – vars ansvarsområden till stor del motsvarar en 111 Europaparlamentets och rådets förordning (EU) 2024/1183 av den 11 april 2024 om änd- ring av förordning (EU) nr 910/2014 vad gäller inrättandet av ett europeiskt ramverk för digital identitet. 112 Prop. 2024/25:99, utgiftsområde 22, s. 51. 113 https://www.regjeringen.no/no/aktuelt/gjor-norge-klar-for-trygg-og-innovativ-ki- bruk/id3093081/ (hämtad 2025-04-23). 212 SOU 2025:101 Marknadskontrollmyndigheter sammanslagen myndighet mellan PTS och Digg – ett koordinerande uppdrag.114 I Finland har föreslagits att det finska Transport- och kommunikationsverket, som delvis motsvarar PTS, ska få rollen som gemensam kontaktpunkt, även om Finland i övrigt föreslår en relativt decentraliserad modell där deras datasskyddsmyndighet också föreslås få ett omfattande ansvar.115 I Tyskland har föreslagits att ett huvudsakligt ansvar för AI-förordningen ska tilldelas den tyska motsvarighet till PTS, BNetzA. Myndigheten har i och för sig ett bredare uppdrag än PTS och det kan också vara värt att nämna att Tyskland i dagsläget har 17 olika dataskyddsmyndigheter. Utifrån uppgifter som andra medlemsstater lämnat till AI-styrelsen i mars 2025 (se avsnitt 6.3.4) kan vidare, även om det är en splittrad bild, konstateras att många länder överväger eller redan har beslutat att tilldela ett huvudsakligt ansvar för AI-förordningen till myndig- heter som har ett liknande uppdrag som PTS. Att Sverige skapar ett liknande system som andra länder, inklusive de nordiska länderna, kan skapa förutsättningar för en större harmonisering på EU-nivå. Av harmoniseringsskäl finns det enligt utredningen därför starka skäl att överväga PTS som marknadskontrollmyndighet med huvudsak- ligt ansvar för AI-förordningen. Vid en sammanslagning med Digg finns ytterligare fördelar (sakkunskap, ändamålseffektivitet) Som utredningen har redovisat i avsnitt 6.4.3 har Digg och PTS fått i uppdrag av regeringen att lämna förslag på hur Digg:s uppgifter kan överföras till och inordnas i PTS. Myndigheterna har redovisat upp- draget och rapporten har remitterats. I rapporten lyfts det fram flera skäl till att en sammanslagning skulle vara fördelaktig. Ytterligare fördelar för PTS vid en sammanslagning med Digg beaktas därför också i detta avsnitt. Digg besitter bred expertis inom digitalisering, vilket framgår av utredningens genomgång av myndigheten i avsnitt 6.4.3. Myndig- heten har också erfarenhet av att arbeta med denna typ av frågor över sektorsgränserna (främst inom offentlig sektor), vilket kan vara en stor fördel vid ett större uppdrag att lämna vägledning kring AI-för- 114 https://digst.dk/tilsyn/ai-forordningen/ (hämtad 2025-04-23). 115 https://tem.fi/sv/projekt?tunnus=TEM050:00/2024 (hämtad 2025-04-03). 213 Marknadskontrollmyndigheter SOU 2025:101 ordningen ur ett innovationsperspektiv. Sådan vägledning är som tidigare har nämnts något som starkt efterfrågas av marknaden. Digg har även erfarenhet av rättslig vägledning vid innovation och utveckling av nya digitala lösningar, och myndighetens juristenhet arbetar aktivt med utvecklingsstöd och ingår i myndighetens agila utvecklingsteam. Vid en sammanslagning med PTS kan dessa erfaren- heter förväntas föras vidare in i den nya organisationen, vilket skulle utgöra ett bra komplement till PTS kompetenser. Digg har också ansvar för flera rättsakter under det digitala decen- niet, bl.a. EU:s förordning om ett interoperabelt Europa, e-IDAS- förordningen och SDG-förordningen. Digg är även nationellt kon- taktorgan för EU:s ramprogram för ett digitalt Europa 2021–2027. Vid en sammanslagning mellan PTS och Digg kommer PTS alltså att ha ett mycket omfattande ansvar enligt EU:s digitala decennium. Att även AI-förordningen, som utgör en del av området, skulle sam- las till PTS framstår utifrån dessa aspekter som fördelaktigt. PTS är redan i dag en stor myndighet med cirka 450 anställda. Till- sammans med Digg är myndigheten ännu större med sammanlagt över 600 anställda. Myndigheterna har därtill beräknat att de i slutet av 2025 kommer att ha sammanlagt 750 medarbetare, vilket också bör beaktas.116 Som utredningen har påpekat tidigare kommer i och för sig ingen myndighet att kunna hantera uppdraget som marknads- kontrollmyndighet med huvudsakligt ansvar för AI-förordningen utan ökade resurser och rekrytering av personal. En stor myndighet bör dock ha något större möjligheter att kunna ta vara på och even- tuellt omfördela befintlig kompetens inom myndigheten. En större myndighet – med ett brett ansvar inom digitaliseringsområdet – bör också ha förutsättningar för att kunna rekrytera eftertraktad personal. I en samlad digitaliseringsmyndighet finns därtill potential att – utöver AI-förordningen – lägga ytterligare uppdrag relaterat till AI ur ett större perspektiv, där t.ex. ett större samlat ansvar för hela Sveriges AI-utveckling skulle kunna ligga. PTS och Digg har själva framhållit detta i sin rapport, där myndigheterna bedömer att den sammanslagna myndigheten skulle ha förmåga att ta ett tydligare helhetsansvar för AI, som skulle stärka Sveriges digitalisering och innovationskraft. Utöver AI-förordningen föreslår myndigheterna att de också skulle kunna omhänderta delar av AI-kommissionens färdplan för Sverige. 116 Redovisning av uppdrag att lämna förslag på organisationsförändring, 2025-03-14, Finans- departementet dnr Fi2024/02416, s. 10 och 13. 214 SOU 2025:101 Marknadskontrollmyndigheter I sammanhanget kan också nämnas att bransch- och arbetsgivar- organisationen TechSverige samt ledamöter i regeringens digitali- seringsråd offentligt har förespråkat att PTS och Digg inom en ny digitaliseringsmyndighet bör ges ett huvudsakligt ansvar för AI-för- ordningen samt att myndigheterna därtill bör ha ett övergripande ansvar för AI och digital utveckling.117 PTS är en sektorsmyndighet inom post och elektronisk kommunikation (rolltydlighet, sakkunskap) Det finns även nackdelar med att tilldela PTS uppdraget som mark- nadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. PTS är i dagsläget till största del en sektorsmyndighet inom post och elektronisk kommunikation, där PTS huvudsakligen utövar till- syn inom denna sektor. Detta innebär att PTS saknar en bredare kompetens inom områden i AI-förordningen som är mer tjänste- och rättighetsbetonade, vilket t.ex. utgör en större del av ansvars- områdena i punkterna 3–5 i bilaga III. På senare år har PTS samtidigt fått ett ansvar inom frågor om icke-diskriminering, bl.a. genom dess ansvar för EU:s förordning om digitala tjänster och tillgänglighets- direktivet, vilket innebär att myndigheten numera kan sägas ha ett bredare ansvarsområde. PTS har även begränsad erfarenhet av praktiskt regulatoriskt arbete kopplat till frågor om AI. PTS har t.ex. inte deltagit i det myndig- hetsgemensamma pilotprojektet inom eSam som specifikt berör regulatoriska sandlådor enligt AI-förordningen. Myndigheten har inte heller medverkat i utformandet av några riktlinjer inom AI- området. Samtidigt kan nämnas att PTS på andra sätt har involverat sig i arbetet med AI-förordningen, bl.a. genom att myndigheter del- tar i den inofficiella arbetsgrupp om AI-förordningen (European Working Group of Competent Authorities on Artificial Intelligence), och där även ansvarar för ordförandeskapet i en av undergrupperna. PTS ingår även i en undergrupp under AI-styrelsen som har fokus på överlappsfrågor mellan AI-förordningen och andra unionsregleringar. 117 https://www.altinget.se/artikel/ge-nya-digitaliseringsmyndigheten-ai-ansvar (hämtad 2025-03-04) samt https://www.nyteknik.se/debatt/digitaliseringsradet-det-har-ar-viktigast- for-nya-myndigheten/4375990 (hämtad 2025-07-28). Se även TechSveriges remissvar avse- ende rapporten organisationsförändring av Post- och telestyrelsen och Myndigheten för digital förvaltning, dnr Fi2024/02416. 215 Marknadskontrollmyndigheter SOU 2025:101 Myndigheten har erfarenhet av marknadskontroll men mark- nadskontrolluppdraget utgör endast en begränsad del av verksam- heten. Det är i praktiken ett fåtal anställda inom myndigheten som arbetar med marknadskontroll och myndigheten genomförde totalt sett 23 marknadskontrollärenden under 2024 och 36 under 2023.118 Att marknadskontroll endast utgör en liten del av myndigheters verk- samhet är ett återkommande tema hos i princip samtliga svenska myn- digheter, men statistiken kan ändå jämföras med att t.ex. Konsument- verket hanterade 189 marknadskontrollärenden under 2024.119 Några av Digg:s uppgifter kan komma i konflikt med rollen som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen (rolltydlighet) Digg har i dagsläget till huvudsaklig uppgift att samordna och stödja den förvaltningsgemensamma digitaliseringen och ett ansvar för den förvaltningsgemensamma digitala infrastrukturen samt att bistå regeringen med underlag för utvecklingen av digitaliseringen av den offentliga förvaltningen och samhället i övrigt. Vid en sammanslag- ning mellan PTS och Digg är utgångpunkten enligt regeringens di- rektiv att de uppgifter som myndigheterna för närvarande har ska vara oförändrade. Om myndigheterna slås samman kommer alltså PTS att ha dessa ansvarsområden. Det finns enligt utredningen en potentiell konflikt för en myn- dighet att ha den typ av ansvar som Digg har samtidigt som myn- digheten ska vara ett starkt och trovärdigt marknadskontrollorgan inom samma område. Konflikten finns i såväl den stödjande och samordnande rollen som inom ansvaret för den förvaltningsgemen- samma digitala infrastrukturen. Digg ansvarar alltså för Sveriges förvaltningsgemensamma digi- tala infrastruktur, där användningen av AI sannolikt kommer att bli viktig framöver för att kunna leverera bra och kostnadseffektiva tjäns- ter. Digg har därmed en form av leverantörsroll inom detta område. En leverantörsroll i kombination med en stor roll som marknadskon- trollmyndighet skapar en viss spänning, särskilt eftersom AI-lösningar 118 Utöver PTS egna kontroller har även 28 ärenden (16 ärenden 2023), rörande import av sammanlagt 22 226 radioutrustningar (15 131 radioutrustningar 2023), hanterats i samarbete med Tullverket. Årsredovisning 2024, PTS, PTS-ER-2024:33, s. 55. 119 Årsredovisning 2024, Konsumentverket, s. 28. 216 SOU 2025:101 Marknadskontrollmyndigheter och system över tid kommer att utvecklas och kan förväntas utgöra en integrerad del av de gemensamma lösningarna. Att myndigheter som övervakar ett regelverk ofta även själva be- höver följa samma regelverk i sin egen verksamhet är dock inte ovan- ligt. Det finns också anledning att tro att alla offentliga verksamheter, inklusive marknadskontrollmyndigheter, i större utsträckning kom- mer att använda AI-lösningar framöver och därmed också behöva följa AI-förordningens skyldigheter för tillhandahållare av AI-system. AI-förordningens primära skyldighetssubjekt är dock leverantörerna av AI-system. Detta kan därför komma att påverka Digg, och i för- längningen PTS, i större utsträckning än andra myndigheter. Ett argument för en kombinerad tillsyns- och leverantörsroll är samtidigt att detta kan ge bättre kunskapsunderlag och tillgång till kompetens i rollen som marknadskontrollmyndighet. AI-förord- ningen är också uppbyggd utifrån att dessa två perspektiv i någon mån ska balanseras. Det kan också nämnas att Danmark har beslutat att tilldela huvud- ansvaret för AI-förordningen till Digitaliseringsstyrelsen, som del- vis har ett liknande tillsynsansvar som PTS, men som också levererar olika gemensamma it-lösningar och applikationer i Danmark.120 För- delarna med sådana kombinerade roller måste dock vägas mot nack- delarna med eventuell rollblandning och eventuell misstro från andra tillsynsobjekt. Att det kan finnas en konflikt i att ha båda dessa roller har även konstaterats i DFØ:s rapport beträffande Norges genom- förande av AI-förordningen, vid en genomgång av Norges digitali- seringsmyndighets eventuella ansvar enligt AI-förordningen.121 Inom den svenska myndighetsstrukturen brukar också tillsynsuppdrag ofta skiljas från vägledande och stödjande uppdrag, även om så inte alltid är fallet. Det är dock inte omöjligt att lösa nämnda intressekonflikter och PTS och Digg har gjort en egen analys i fråga om rollkoncentration inom en sammanslagen myndighet i sin rapport om redovisning av uppdrag att lämna förslag på organisationsförändring.122 120 https://digst.dk/tilsyn/ och https://digst.dk/it-loesninger/ (hämtad 2025-04-23). 121 DFØ rapport 2024:9, s. 35 f. 122 Redovisning av uppdrag att lämna förslag på organisationsförändring, 2025-03-14, Finans- departementet dnr Fi2024/02416, s. 27 f. 217 Marknadskontrollmyndigheter SOU 2025:101 Utmaningar som kan påverka genomförandet av AI-förordningen (genomförbarhet och flexibilitet) PTS och Digg har fått många nya uppdrag de senaste åren, och flera av dessa uppdrag är fortfarande i uppstartsfasen. Samtidigt som detta bidrar till en samordning av ansvar och uppgifter, kommer flera nya uppgifter på en gång också att utmana kompetensförsörjningen och kapaciteten för myndigheterna, både enskilt och inom en samman- slagen myndighet. Detta kan bli en utmaning, åtminstone på kort sikt. Som har redogjorts för ovan vid övervägandena kring en stor roll till IMY så har AI-kommissionens färdplan för Sverige och flera aktö- rer från bl.a. näringslivet förmedlat att det är mycket viktigt att genom- förandet av AI-förordningen går snabbt. Utredningen ser att det finns en risk att genomförandet av AI-förordningen kan komma att för- dröjas genom den potentiella sammanslagningen med Digg, samt utifrån att båda myndigheterna har så många nya uppdrag att hantera. Myndigheterna har i sin redovisning av uppdraget att lämna för- slag på organisationsförändring bedömt att en sammanslagning är förenad med en risk för verksamhetsmässig påverkan på kort och medellång sikt, särskilt beträffande Digg:s leveransförmåga. Myndig- heterna har bl.a. angett att sammanslagningen på kort sikt kommer att kräva tid och resurser från båda myndigheterna. Stödfunktionerna kommer att behöva hantera ytterligare arbetsuppgifter, detsamma gäller medarbetare inom kärnverksamheten som kommer att behöva involveras på olika sätt. Chefer kommer att behöva agera förändrings- ledare och lägga tid och kraft på arbetet med organisationsföränd- ringen. Hur mycket sammanslagningsprocessen kommer att påverka verksamheten bedöms enligt myndigheterna svårt att avgöra, men att en sammanslagning skulle få verksamhetsmässiga konsekvenser på kort sikt är sannolikt. Digg och PTS bedömer också att påverkan på verksamheten sannolikt kommer att bestå på medellång sikt. Kort- siktiga konsekvenser definieras i rapporten som initiala effekter som kan uppstå från och med nu till och med 2027. Konsekvenser på medellång sikt avser 2028–2030 medan lång sikt syftar på effekter som kan uppstå därefter och som kan bli mer varaktiga.123 Utred- ningen kan alltså konstatera att PTS och Digg ser risker för verk- samhetsmässiga konsekvenser t.o.m. 2030. 123 Redovisning av uppdrag att lämna förslag på organisationsförändring, 2025-03-14, Finans- departementet dnr Fi2024/02416, s. 21 ff. 218 SOU 2025:101 Marknadskontrollmyndigheter AI-förordningens bestämmelser har till viss del redan börjat gälla, och förordningen ska tillämpas i dess helhet från och med den 2 augusti 2026. Samtidigt ska den potentiellt nya organisationen mellan PTS och Digg vara på plats senast den 1 januari 2027. Om AI-förordningen är genomförd fullt ut först under 2027 är det pro- blematiskt för aktörer på marknaden som redan nu väntar på väg- ledning om AI-förordningen. Om de verksamhetsmässiga konse- kvenser som PTS och Digg beskriver i sin rapport också kommer att påverka genomförandet av AI-förordningen är det ytterligare problematiskt. Samtidigt är det också möjligt att en omorganisation kan göra att det redan från början tas ett större krafttag kring frågan om AI- förordningen, om regeringen signalerar till myndigheten att frågan bör ges särskild prioritet. PTS har förmedlat till utredningen att myndigheten inte bedömer att en sammanslagning med Digg skulle riskera att genomförandet av AI-förordningen fördröjs. PTS har i stället framhållit att det som är avgörande för snabbhet snarare är tidpunkt för beslut och tilldel- ning av medel från regeringen, vilket är samma utmaning för alla myn- digheter. PTS har vidare i utredningen framhållit att myndigheten – utifrån alla nya uppdrag som myndigheten tilldelats på sistone – har upparbetat en god kunskap kring hur myndigheten snabbt ska ställa om för att hantera nya uppdrag. Sammanfattande slutsatser Det finns goda skäl för att peka ut såväl IMY som PTS till en mark- nadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. Båda myndigheterna har en vilja och en ambition att ta sig an upp- draget vilket utgör en bra grund. Båda myndigheterna besitter också sakkunskaper som utredningen bedömer är relevanta för att kunna hantera ett större ansvar enligt AI-förordningen. IMY har i dagsläget större erfarenhet av regulatoriskt arbete kopplat till frågor om AI. Det är dock primärt utifrån ett dataskyddsperspek- tiv medan ett ansvar för AI-förordningen bl.a. omfattar att kontrollera överensstämmelse med aspekter som berör funktionalitet, prestanda, säkerhet, transparens och robusthet (artikel 8–15). Överensstämmelse med kraven kommer vidare att bedömas mot standarder eller speci- 219 Marknadskontrollmyndigheter SOU 2025:101 fikationer. IMY är inte en marknadskontrollmyndighet med erfaren- het av standardiseringsarbete. PTS däremot har lång erfarenhet av tillsyn och marknadskontroll som innefattar bedömning av överensstämmelse med tekniska krav och standardiseringsarbeten. PTS har dock i nuläget ingen erfaren- het av att granska AI-system utifrån sådana aspekter. Vid en uppskatt- ning av sakkunskaper bedömer utredningen att myndigheterna är relativt likvärdiga, men av olika anledningar. Ingen av myndigheterna har i dagsläget den samlade kompetens som kommer att krävas för uppdraget, men båda myndigheterna har goda förutsättningar för att bygga upp kompetensen. De starkaste skälen för att ge ett huvudsakligt ansvar för AI-för- ordningen till IMY är att den lösningen skapar en centralisering av AI-förordningen i största möjliga mån och med synergieffekter i förhållande till dataskyddsregelverket. Eftersom IMY oavsett upp- draget som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen kommer att få en stor roll inom AI-förord- ningen kan det även finnas kostnadseffektivitetsskäl som talar för att centralisera ansvaret till IMY. Att IMY får ett huvudsakligt ansvar för AI-förordningen kan också antas möjliggöra ett snabbt genom- förande av AI-förordningen, vilket många aktörer har framhållit som viktigt. Det finns dock en potentiell rollkonflikt i att vara dataskydds- myndighet och samtidigt vara marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. När det kommer till harmoniseringsaspekter så anser utredningen emellertid att PTS har ett övertag. Detta dels genom att myndig- heten redan har så många uppdrag inom det digitala decenniet, dels genom att myndigheter med liknande uppdrag i flera andra medlems- stater har tilldelats eller föreslås tilldelas ett huvudansvar för AI- förordningen, däribland i de övriga nordiska länderna. Endast två medlemsstater tycks överväga att utse sin dataskyddsmyndighet till en sådan roll. Att Sverige skapar ett liknande system som andra länder kan skapa förutsättningar för en större harmonisering på EU-nivå. Att många unionsrättsakter inom det digitala decenniet samlas hos PTS kan också skapa goda förutsättningar för en större nationell påverkan inom EU. Dessa argument väger tungt enligt utredningen. Tillsammans med Digg finns därtill ytterligare fördelar för PTS, där en sammanslagen myndighet skulle kunna ta ett tydligare helhets- ansvar för AI, som på sikt skulle kunna stärka Sveriges digitalisering 220 SOU 2025:101 Marknadskontrollmyndigheter och innovationskraft. PTS har även lämpliga erfarenheter för att kunna anta en samordnande roll inom AI-förordningen (se närmare i av- snitt 9.4.1 och 9.5). Även om utredningen ser risker med att PTS samtidigt tilldelas många nya uppgifter och att en sammanslagning kan innebära ett fördröjt genomförande av AI-förordningen, bedömer utredningen att argumenten för att föreslå PTS till marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen sammantaget väger över. Utredningen bedömer därför att PTS bör ges ett huvudsakligt ansvar för AI-förordningen. Det gäller oavsett om PTS och Digg slås samman till en myndighet eller inte. Uppdraget innebär att PTS bör ansvara för marknadskontrollen inom samtliga områden som omfattas av AI-förordningen, om det inte finns starkt vägande skäl att tilldela ansvaret för ett visst område till en annan myndighet. 6.4.5 Reglering av ansvar Utredningens förslag: Kompletteringslagen ska innehålla en be- stämmelse om att den myndighet som regeringen bestämmer ska vara marknadskontrollmyndighet enligt AI-förordningen. Kom- pletteringslagen ska även innehålla en bestämmelse som upplyser om att det framgår av AI-förordningen att en marknadskontroll- myndighet är nationell behörig myndighet enligt förordningen. Kompletteringsförordningen ska innehålla bestämmelser om vilket ansvar respektive marknadskontrollmyndighet har inom AI-förordningen. I kompletteringsförordningen ska PTS ges ett ansvar som mark- nadskontrollmyndighet med huvudsakligt ansvar för AI-förord- ningen. Andra marknadskontrollmyndigheters ansvarsområden ska särregleras i kompletteringsförordningen. För dessa andra myndigheter ska ansvarsfördelningen knytas till användnings- områdena i artikel 6 och i bilaga IA och bilaga III samt artikel 5 och 50. 221 Marknadskontrollmyndigheter SOU 2025:101 Reglering i kompletteringslagen Enligt 8 kap. 7 § regeringsformen ligger det inom regeringens kom- petens att besluta om uppgifter för statliga myndigheter under reger- ingen. Det bör enligt utredningen införas en upplysning i komplet- teringslagen om att regeringen bestämmer vilka myndigheter som är marknadskontrollmyndigheter enligt AI-förordningen. I kompletteringslagen bör även upplysas om att det framgår av AI-förordningen att en marknadskontrollmyndighet är nationell behörig myndighet enligt förordningen. Det bör anges för att tyd- liggöra att AI-förordningens bestämmelser som rör nationell behörig myndighet gäller för en myndighet som har utsetts till marknads- kontrollmyndighet. Reglering i kompletteringsförordningen I kompletteringsförordningen bör anges vilket ansvar respektive marknadskontrollmyndighet har inom AI-förordningen. Utred- ningen bedömer att det skapar tydlighet att i kompletteringsför- ordningen ge huvudansvaret till en myndighet. Det ger en signal till marknaden om att det finns en marknadskontrollmyndighet som är huvudsakligt ansvarig och det innebär att inget ansvarsområde riskerar att lämnas oreglerat. Ärenden som inte naturligt faller inom någon annan myndighets ansvarsområde hamnar då hos PTS, som utred- ningen föreslår ska utses som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. Denna ordning kan sägas utgöra en form av ”catch-all”-funktion. Enligt artikel 7 i AI-förordningen har kommissionen möjligheter att göra ändringar i bilaga III. I artikel 7.1 anges att kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 97 med avseende på att ändra bilaga III genom att lägga till eller ändra användningsfall för AI-system med hög risk om båda följande vill- kor är uppfyllda: a) AI-systemen är avsedda att användas inom något av de områden som förtecknas i bilaga III. b) AI-systemen utgör en risk för skada på hälsa och säkerhet, eller för negativ inverkan på grundläggande rättigheter, och denna risk är likvärdig med eller större än den risk för skada eller negativ in- 222 SOU 2025:101 Marknadskontrollmyndigheter verkan som förorsakas av de AI-system med hög risk som redan anges i bilaga III. Ovanstående innebär alltså att kommissionen kan lägga till nya ansvarsområden inom bilaga III. Att PTS ges ett övergripande ansvar som marknadskontrollmyndighet med huvudsakligt ansvar i kom- pletteringsförordningen innebär att PTS blir ansvarig för eventuellt tillkommande områden i AI-förordningen, om inte regeringen be- slutar något annat. Det är i nuläget svårt att förutse hur ofta som kommissionen kommer att göra ändringar i bilaga III. Enligt ut- redningen framstår det oavsett förändringsfrekvens som en bättre lagstiftningsteknik att utse en marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen att vara ansvarig för even- tuellt tillkommande ansvarsområden än att regeringen ska behöva besluta om en ny ansvarsfördelning varje gång som kommissionen gör ändringar i bilaga III. Som närmare framgår i avsnitt 6.5–6.8 bedömer utredningen att olika myndigheters ansvarsområden bör knytas till specifika artiklar och specifika punkter inom en viss artikel eller bilaga. Det innebär att olika myndigheter i vissa fall kommer att ansvara för att kontrol- lera AI-system som förekommer inom ett visst användningsområde (inom t.ex. bilaga III) eller som är relaterade till en specifik unions- rättsakt (beträffande rättsakterna i bilaga IA). Utredningen bedömer att en sådan lagteknisk reglering är nödvändig. Utredningen har även noterat att andra medlemsstater i sina förslag till genomförande av AI-förordningen tycks fördela ansvaret i likhet med denna metod. Utredningen föreslår därför att PTS i kompletteringsförordningen ska ges ett ansvar som marknadskontrollmyndighet med huvudsak- ligt ansvar för AI-förordningen, och att andra marknadskontroll- myndigheters ansvarsområden ska särregleras. För dessa andra myn- digheter ska ansvarsfördelningen knytas till användningsområdena i artikel 6 och i bilaga IA och bilaga III samt artikel 5 och 50 (se när- mare i avsnitt 6.5–6.8). Utredningens förslag i avsnitt 6.5–6.8 utgår från denna modell. För tydlighetens skull anger utredningen dock inom varje ansvars- område vilken myndighet som föreslås få ansvaret. Det gäller även i de fall som utredningen föreslår PTS som marknadskontrollansvarig för ett visst särskilt område. 223 Marknadskontrollmyndigheter SOU 2025:101 Ett annat alternativ som utredningen har övervägt Utredningen har i stället för den fördelning som utredningen före- slår ovan – dvs. att PTS ges ett ansvar som marknadskontrollmyn- dighet med huvudsakligt ansvar för AI-förordningen samtidigt som vissa myndigheter får ett visst specifikt ansvar kopplat till olika arti- klar – övervägt att fördela ansvaret för marknadskontrollen mellan olika myndigheter på ett mer övergripande sätt över hela AI-förord- ningen. Detta skulle kunna ske genom att beakta s.k. ”kluster” eller övergripande sektorer. Ett alternativ vid en sådan ansvarsfördelning som utredningen har noterat är att det inom EU utvecklas s.k. gemen- samma europeiska dataområden inom flera sektorer.124 Om det hade varit möjligt att skapa ett sammanhållet system fördelat på sådana sektorer skulle det kunna vara en fördel, t.ex. inom hälso- och sjuk- vårdssektorn (se närmare om detta även i avsnitt 6.5.5). Utredningen bedömer dock att en sådan ansvarsfördelning inte är möjlig att göra. Detta främst eftersom det i nuläget råder stor osäkerhet kring vilka användningsfall som faktiskt kommer att falla inom AI-förordningen.125 Det skulle dessutom inte vara möjligt utan att skapa ett mycket detaljerat nationellt regelverk kring ansvarsför- delningen, som oavsett noggrannhetsgrad ändå skulle riskera att skapa svåra gränsdragningsproblem. Utredningen har därtill noterat att andra medlemsstater i sina förslag till genomförande av AI-förord- ningen tycks fördela ansvaret i likhet med den metod som utred- ningen har valt. Utredningen bedömer därför att det lämpligaste alternativet är det som utredningen har föreslagit ovan, dvs. att en myndighet ges ett uppdrag som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen och att andra myndigheters ansvars- områden särregleras på så sätt att dessa myndigheters ansvarsområden knyts till användningsområdena i artikel 6 och i bilaga IA och bi- laga III samt artikel 5 och 50. I kapitel 9 lämnar utredningen flera förslag för att hantera frågor om samordning och samverkan mellan de ansvariga myndigheterna. 124 https://digital-strategy.ec.europa.eu/sv/policies/data-spaces (hämtad 2025-06-28). 125 Kommissionen ska ta fram riktlinjer för tolkningen av bl.a. högriskområdena i artikel 6 senast den 2 februari 2026 (artikel 6.5). 224 SOU 2025:101 Marknadskontrollmyndigheter 6.5 Ansvarsfördelning: bilaga III 6.5.1 Ansvar för punkterna 1, 6, 7 och 8 i bilaga III Utredningens förslag: IMY ska vara marknadskontrollmyndig- het med ansvar för att utöva marknadskontroll över AI-system med hög risk som avses i artikel 6.2 i AI-förordningen och som används inom de områden som förtecknas i punkterna 1, 6, 7 och 8 i bilaga III. Området biometri, punkten 1 Av punkten 1 i bilaga III framgår att AI-system med hög risk enligt artikel 6.2 är de AI-system som används inom biometri och omfattar, i den mån användningen är tillåten enligt relevant unionsrätt eller nationell rätt a) system för biometrisk fjärridentifiering. Detta omfattar inte de AI-system som är avsedda att användas för biometrisk verifiering och vars enda syfte är att bekräfta att en viss fysisk person är den person som han eller hon påstår sig vara, b) AI-system som är avsedda att användas för biometrisk kategori- sering enligt känsliga eller skyddade attribut eller egenskaper som grundar sig på inferens av dessa attribut eller egenskaper, och c) AI-system som är avsedda att användas för känsloigenkänning. Av skäl 54 i AI-förordningen framgår något om anledningen till att området tas upp i bilaga III. I skälen anges i huvudsak att det är lämp- ligt att klassificera flera kritiska användningsfall av biometriska system som användningsfall med hög risk eftersom biometriska uppgifter utgör en särskild kategori av personuppgifter. Området brottsbekämpning, punkten 6 Av punkten 6 i bilaga III framgår att AI-system med hög risk enligt artikel 6.2 är de AI-system som används inom brottsbekämpning, i den mån användningen är tillåten enligt relevant unionsrätt eller natio- nell rätt och de är avsedda att användas 225 Marknadskontrollmyndigheter SOU 2025:101 a) av brottsbekämpande myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer till stöd för brotts- bekämpande myndigheter eller för deras räkning för att bedöma risken för att en fysisk person ska falla offer för brott, b) som lögndetektorer eller liknande verktyg av brottsbekämpande myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer till stöd för brottsbekämpande myndigheter, c) av brottsbekämpande myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer till stöd för brotts- bekämpande myndigheter för att bedöma hur pass tillförlitlig bevisningen är i samband med utredning eller lagföring av brott, d) av brottsbekämpande myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer till stöd för brotts- bekämpande myndigheter för att bedöma risken för att en fysisk person begår eller på nytt begår ett brott, inte enbart på grundval av profilering av fysiska personer i enlighet med artikel 3.4 i EU:s brottsdatadirektiv eller för att bedöma fysiska personers eller gruppers personlighetsdrag och egenskaper eller tidigare brotts- liga beteende och e) AI-system som är avsedda att användas av brottsbekämpande myndigheter eller för deras räkning, eller av unionens institu- tioner, organ eller byråer till stöd för brottsbekämpande myndig- heter för profilering av fysiska personer enligt artikel 3.4 i EU:s brottsdatadirektiv vid upptäckt, utredning eller lagföring av brott. Av skäl 59 i AI-förordningen framgår något om anledningen till att området tas upp i bilaga III. I skälen anges i huvudsak att brotts- bekämpande myndigheters roll och ansvar kännetecknas, när de omfattar vissa typer av användning av AI-system, av en betydande grad av maktobalans och kan leda till övervakning, gripande eller frihetsberövande av en fysisk person, liksom annan negativ inverkan på grundläggande rättigheter som garanteras i stadgan samt att an- vändningen av AI-verktyg av brottsbekämpande myndigheter och andra relevanta myndigheter inte bör bli en faktor som bidrar till ojämlikhet, sociala klyftor eller utestängning. 226 SOU 2025:101 Marknadskontrollmyndigheter Området migration, asyl och gränskontrollförvaltning, punkten 7 Av punkten 7 i bilaga III framgår att AI-system med hög risk enligt artikel 6.2 är de AI-system som används i fråga om migration, asyl och gränskontrollförvaltning, i den mån användningen är tillåten enligt relevant unionsrätt eller nationell rätt och AI-system som är avsedda att användas a) som lögndetektorer eller liknande verktyg av behöriga offentliga myndigheter eller för deras räkning, eller av unionens institutioner, organ och byråer, b) av behöriga offentliga myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer för att bedöma en risk, inbegripet en säkerhetsrisk, en risk för irreguljär migration eller en hälsorisk som utgörs av en fysisk person som avser resa in på eller har rest in på en medlemsstats territorium, c) av behöriga offentliga myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer för att bistå behöriga offentliga myndigheter vid prövningen av ansökningar om asyl, visering eller uppehållstillstånd och för därmed sammanhängande klagomål om huruvida de fysiska personer som ansöker om status uppfyller kraven, inbegripet relaterade bedömningar av bevisens tillförlitlighet och d) av behöriga offentliga myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer, i samband med migra- tions-, asyl- eller gränskontrollförvaltning, i syfte att upptäcka, känna igen eller identifiera fysiska personer, med undantag för verifiering av resehandlingar. Av skäl 60 i AI-förordningen framgår något om anledningen till att området tas upp i bilaga III. I skälen anges i huvudsak att det anses särskilt viktigt att de AI-system som används i dessa sammanhang är tillförlitliga, icke-diskriminerande och transparenta för att garantera de påverkade personernas grundläggande rättigheter såsom rätten till fri rörlighet, icke-diskriminering och skydd av privatliv och personuppgifter. 227 Marknadskontrollmyndigheter SOU 2025:101 Området rättskipning och demokratiska processer, punkten 8 Av punkten 8 i bilaga III framgår att AI-system med hög risk enligt artikel 6.2 är de AI-system som används inom rättskipning och demo- kratiska processer då AI-system är avsedda att användas a) av en rättslig myndighet eller på dess vägnar för att hjälpa en rätts- lig myndighet att undersöka och tolka fakta och lagstiftning och att tillämpa lagen på konkreta fakta, eller som är avsedda att an- vändas på ett likande sätt i alternativa tvistlösningar och b) för att påverka resultatet av ett val eller en folkomröstning eller fysiska personers röstningsbeteende när dessa utövar sin rätt att rösta i val eller folkomröstningar. Det sistnämnda omfattar inte AI-system vars utdata fysiska personer inte är direkt exponerade för, såsom verktyg som används för att organisera, optimera eller strukturera politiska kampanjer ur administrativ eller logistisk synvinkel. Av skäl 61 och 62 i AI-förordningen framgår något om anledningen till att området tas upp i bilaga III. I skälen anges i huvudsak att vissa AI-system som är avsedda för rättsskipning och för att påverka resul- tatet av demokratiska processer bör klassificeras som AI-system med hög risk, mot bakgrund av deras potentiellt betydande inverkan på demokrati, rättsstatens principer, individuella friheter och rätten till ett effektivt rättsmedel och till en opartisk domstol. Överväganden och förslag IMY bör ansvara för punkterna 6, 7 och 8 i bilaga III Av artikel 74.8 i AI-förordningen framgår att för AI-system med hög risk som förtecknas i punkt 1 i bilaga III till AI-förordningen ska medlemsstaterna, i den mån systemet används för brottsbekäm- pande ändamål, gränsförvaltning och rättvisa och demokrati, och för AI-system med hög risk som förtecknas i punkterna 6, 7 och 8 i bilaga III till förordningen, till marknadskontrollmyndighet för tillämpning av AI-förordningen utse antingen de behöriga tillsyns- myndigheterna för dataskydd enligt EU:s dataskyddsförordning eller 228 SOU 2025:101 Marknadskontrollmyndigheter EU:s brottsdatadirektiv, eller någon annan myndighet som utsetts enligt vissa villkor som fastställs i EU:s brottsdatadirektiv (artikel 74.8). I Sverige är IMY utsedd till nationell tillsynsmyndighet enligt nyss angivna rättsakter. Utredningen tolkar syftet med skrivningen i arti- kel 74.8 så att AI-förordningen uttryckligen anger att Sverige ska utse IMY som marknadskontrollmyndighet över dessa områden. Sverige kan givetvis välja att utse en ny tillsynsmyndighet enligt EU:s data- skyddsförordning eller EU:s brottsdatadirektiv. I den situationen är det inte enbart IMY som utgör en sådan myndighet. Utredningen har dock inte i uppdrag att se över ansvarsfördelningen på dataskyddsom- rådet och utredningen lämnar inga sådana förslag. För punkterna 6, 7 och 8 i bilaga III gäller IMY:s utpekande således områdena i dess helhet. Detta innebär att IMY, som i dagsläget är en tillsynsmyndighet, redan genom utpekande i AI-förordningen ska utses till marknadskontrollmyndighet enligt AI-förordningen. Vid överväganden om ansvar för områdena i punkterna 6, 7 och 8 i bi- laga III saknas därför närmare skäl att överväga och redogöra för be- fintliga myndigheter med sektorsspecifik kunskap på området. Det finns inte heller skäl att överväga PTS som ansvarig för området (jfr avsnitt 6.4.4). En sådan ordning ligger dessutom i linje med flera andra medlems- staters preliminära förslag till myndighetsstruktur. Det gäller emeller- tid inte alla medlemsstaters myndighetsstruktur då t.ex. Tyskland och Italien inte verkar föreslå sina dataskyddsmyndigheter för dessa områden (se avsnitt 6.3.4). EDPB rekommenderar vidare att data- skyddsmyndigheterna utses som marknadskontrollmyndigheter för AI-system med hög risk som omnämns i artikel 74.8 i AI-förord- ningen.126 När det emellertid gäller ansvaret för punkten 8 b i bilaga III ser utredningen anledning att utveckla följande. PTS har påtalat att det bör vara PTS som har ansvaret för punk- ten 8 b. Skälet är att PTS anser sig ha en stark koppling till området genom myndighetens ansvar för EU:s förordning om digitala tjänster och eftersom kommissionen nyligen lanserat ett ”Elections Toolkit”127 under den förordningen vars syfte ligger nära AI-förordningen. PTS har lyft fram att den mest centrala risken i AI-system som är avsedda 126 Statement 3/2024 on data protection authorities’ role in the Artificial Intelligence Act framework. 127 https://digital-strategy.ec.europa.eu/en/library/dsa-elections-toolkit-digital-services- coordinators (hämtad 2025-06-26). 229 Marknadskontrollmyndigheter SOU 2025:101 att användas för att påverka resultatet av ett val eller en folkomröst- ning eller fysiska personers röstningsbeteende när dessa utövar sin rätt att rösta i val eller folkomröstningar inte är risker som involverar personuppgifter utan hur dessa system kan påverka utgången av val, urholka demokratier och dylikt. PTS har vidare framhållit att om PTS får ansvaret för ”Elections Toolkit” så kommer myndigheten att ut- veckla en kompetens kring AI-system som används för bl.a. identi- tetsstöld och annat vilseledande eller koordinerat oäkta beteende kopplat till bl.a. otillbörlig informationspåverkan från främmande makt. Då är det enligt PTS rimligt att myndigheten även får ansvar för marknadskontroll av AI-system inom området under punkten 8 b. Som framgår av avsnitt 6.4.4 föreslår utredningen att PTS ska utses till marknadskontrollmyndighet med huvudsakligt ansvar för AI- förordningen. Av den anledningen skulle det kunna övervägas om PTS bör ansvara för punkten 8 b i bilaga III. Eftersom PTS inte är en behörig myndighet enligt de rättsakter som räknas upp i artikel 74.8 i AI-förordningen, dvs. EU:s dataskyddsförordning och EU:s brottsdatadirektiv, har utredningen dock kommit fram till att det inte finns grund för att fördela ansvaret för punkten 8 b till PTS. Även beträffande den punkten gäller således direkt av AI-förordningen att det är IMY som ska fördelas ansvaret. Sammanfattningsvis föreslår utredningen att IMY ska utses till marknadskontrollmyndighet beträffande AI-system som omfattas av punkterna 6, 7 och 8 i bilaga III. IMY bör även ansvara för punkten 1 i bilaga III i dess helhet Beträffande området biometri, gäller utpekandet av IMY i artikel 74.8 enbart i den mån AI-systemet används för brottsbekämpande ändamål, gränsförvaltning och rättvisa och demokrati. Medlems- staterna har alltså möjlighet att utse andra myndigheter som ansvariga för området biometri när det gäller AI-system som används för andra ändamål än brottsbekämpande ändamål, gränsförvaltning och rätt- visa och demokrati. Sådana AI-system kan enligt utredningen tänkas sträcka sig över många olika sektorer och omfatta olika myndigheters nuvarande ansvarsområden. I kommissionens riktlinjer för det för- bjudna området i artikel 5 har kommissionen bl.a. redogjort för att system för känsloigenkänning (i kontexten av artikel 5.1 f) kan an- 230 SOU 2025:101 Marknadskontrollmyndigheter vändas för att analysera kundbeteenden, inom underhållningsbran- schen, inom medicin och hälso- och sjukvård, på utbildningsområdet, på sysselsättningsområdet och för många andra ändamål.128 Någon redogörelse för vilka sådana andra sektorer och myndigheter som i svensk kontext särskilt skulle beröras är enligt utredningen inte möj- lig att göra i dagsläget. Utredningen bedömer mot denna bakgrund att det finns starkt vägande skäl för att IMY ska ansvara för hela området biometri. Ut- redningen gör denna bedömning främst utifrån att IMY redan före- slås får ett omfattande ansvar inom området för biometri samt att biometriska uppgifter utgör en särskild kategori av personuppgifter, vilket är ett område som IMY redan är tillsynsmyndighet över. PTS har inte någon koppling till området biometri. Enligt utredningen finns det inte heller några andra myndigheter som har en lika stark koppling till biometriområdet som IMY. Det finns således starkt vägande skäl för att tilldela ansvaret för även resterande delar av om- rådet i punkten 1 till IMY i stället för PTS (jfr avsnitt 6.4.4). Utredningen föreslår därför att IMY ska ansvara för punkten 1 i bilaga III. 6.5.2 Ansvar för punkten 2 i bilaga III Utredningens förslag: PTS ska vara marknadskontrollmyndighet med ansvar för att utöva marknadskontroll över AI-system med hög risk som avses i artikel 6.2 i AI-förordningen och som används inom det område som förtecknas i punkten 2 i bilaga III. Området kritisk infrastruktur, punkten 2 Av punkten 2 i bilaga III framgår att AI-system med hög risk enligt artikel 6.2 är de AI-system som i vissa avseenden används inom kri- tisk infrastruktur. Av punkten 2 i bilaga III framgår närmare bestämt att AI-system med hög risk är de AI-system som är avsedda att an- vändas som säkerhetskomponenter i samband med förvaltning och 128 Kommissionens riktlinjer om de förbjudna användningsområden för artificiell intelligens som fastställs i förordning (EU) 2024/1689 (AI-förordningen), Bryssel den 29.7.2025, C (2025) 5052 final, s. 86. 231 Marknadskontrollmyndigheter SOU 2025:101 drift av kritisk digital infrastruktur, vägtrafik eller i samband med till- handahållande av vatten, gas, värme och el. AI-förordningen definierar en säkerhetskomponent som en kom- ponent som finns i en produkt eller i ett AI-system och som fyller en säkerhetsfunktion för den produkten eller det AI-systemet eller som, om den upphör att fungera eller fungerar felaktigt, medför fara för människors hälsa och säkerhet eller för egendom (artikel 3.14). Definitionen av kritisk infrastruktur i AI-förordningen är densamma som i CER-direktivet (artikel 3.62). Artikel 2.4 i CER-direktivet anger att kritisk infrastruktur är en tillgång, en anläggning, utrustning, ett nätverk eller ett system, eller en del av en tillgång, en anläggning, utrustning, ett nätverk eller ett system, som krävs för tillhandahål- landet av en samhällsviktig tjänst. Enligt artikel 2.5 i CER-direktivet utgör en samhällsviktig tjänst en tjänst som är avgörande för att upp- rätthålla viktiga samhällsfunktioner, ekonomisk verksamhet, folk- hälsa och allmän säkerhet eller miljön. Av skäl 55 i AI-förordningen framgår något om anledningen till att området kritisk infrastruktur tas upp i bilaga III. I skälen anges att [n]är det gäller förvaltning och drift av kritisk infrastruktur är det lämp- ligt att som AI-system med hög risk klassificera AI-system avsedda att användas som säkerhetskomponenter i förvaltningen och driften av kritisk digital infrastruktur enligt förteckningen i punkt 8 i bilagan till direktiv (EU) 2022/2557, vägtrafik och tillhandahållandet av vatten, gas, upp- värmning och el, eftersom funktionsavbrott eller funktionsstörning i sådana system kan medföra risk för personers liv och hälsa i stor skala och leda till märkbara störningar av det normala bedrivandet av social och ekonomisk verksamhet. Säkerhetskomponenter i kritisk infrastruk- tur, inbegripet kritisk digital infrastruktur, är system som används för att direkt skydda kritisk infrastrukturs fysiska integritet eller människors hälsa och säkerhet och egendom, men som inte är nödvändiga för att systemet ska fungera. Funktionsavbrott eller funktionsstörning i sådana komponenter kan direkt leda till risker för den kritiska infrastrukturens fysiska integritet och därmed till risker för människors hälsa och säker- het och egendom. Komponenter som är avsedda att användas enbart för cybersäkerhetsändamål bör inte betraktas som säkerhetskomponenter. Exempel på säkerhetskomponenter i sådan kritisk infrastruktur kan om- fatta system för övervakning av vattentryck eller styrsystem för brandlarm vid centrum för molntjänster. 232 SOU 2025:101 Marknadskontrollmyndigheter Myndigheter med koppling till området Området i punkten 2 rör alltså kritisk infrastruktur. Inom området agerar flera statliga myndigheter, kommuner och regioner samt aktiebolag oavsett om de är huvudsakligen kontrollerade av privata aktörer eller stat, kommun eller region. Statliga myndigheter med sektorsspecifik kunskap som utredningen bedömer har en koppling till området är huvudsakligen Affärsverket svenska kraftnät, Boverket, Digg, Elsäkerhetsverket, Energimarknadsinspektionen, Energimyn- digheten, Havs- och vattenmyndigheten, Livsmedelsverket, MSB, PTS, Strålsäkerhetsmyndigheten, Trafikverket och Transportsty- relsen. Av dessa är Energimyndigheten, Elsäkerhetsverket, MSB, PTS och Transportstyrelsen befintliga marknadskontrollmyndigheter. Utredningen redogör nedan för vissa myndigheter som utred- ningen bedömer har starkast koppling till området. Utredningen baserar urvalet utifrån att myndigheterna redan är befintliga mark- nadskontrollmyndigheter eller föreslås få ansvar som tillsynsmyn- digheter enligt NIS 2- och CER-direktiven (se närmare om kopp- lingen till dessa direktiv nedan). Inom delområdet kritisk digital infrastruktur är PTS relevant av flera skäl. Myndigheten har ett ansvar inom området för elektronisk kommunikation och bedriver tillsyn över tillhandahållare av betrodda tjänster, tillhandahållare av allmänna kommunikationsnät och all- mänt tillgängliga elektroniska kommunikationstjänster. PTS är även tillsynsmyndighet enligt NIS-lagen för sektorn digital infrastruktur, och föreslås i SOU 2024:18 och SOU 2024:64 få fortsatt sektors- ansvar som tillsynsmyndighet för bl.a. sektorn digital infrastruktur enligt NIS 2- och CER-direktiven. Enligt skäl 55 i AI-förordningen ska kritisk digital infrastruktur läsas enligt förteckningen i punkt 8 i bilagan till CER-direktivet. I punkten för digital infrastruktur inklu- deras bl.a. leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, tillhandahållare av betrodda tjänster, tillhanda- hållare av allmänna elektroniska kommunikationsnät och tillhanda- hållare av allmänt tillgängliga elektroniska kommunikationstjänster. PTS är även tillsynsmyndighet enligt säkerhetsskyddsregelverket samt beredskapsmyndighet och sektorsansvarig myndighet bl.a. för bered- skapssektorn elektroniska kommunikationer. Inom delområdet vägtrafik är Transportstyrelsen en relevant myn- dighet. Myndigheten har till huvuduppgift att svara för regelgivning, 233 Marknadskontrollmyndigheter SOU 2025:101 tillståndsprövning och tillsyn inom transportområdet. Transport- styrelsen utövar tillsyn inom vägtransportsystemet och myndigheten har särskilt ansvar för frågor om krav på infrastruktur och fordon, krav på infrastrukturförvaltare, trafikorganisatörer och trafikföretag, trafikregler, nyttjande av infrastruktur, anläggningar och service. Transportstyrelsen utövar marknadskontroll inom sitt ansvars- område.129 Transportstyrelsen är också tillsynsmyndighet enligt NIS- lagen för sektorn transport.130 I SOU 2024:18 och SOU 2024:64 föreslås Transportstyrelsen fortsatt få sektorsansvar som tillsyns- myndighet för sektorn transport enligt NIS 2- och CER-direktiven. Tranportstyrelsen är även tillsynsmyndighet enligt säkerhetsskydds- regelverket för enskilda verksamhetsutövare inom bl.a. området vägtrafik, samt en av beredskapsmyndigheterna inom beredskaps- sektorn transporter.131 Delområdet gas, värme och el har tydlig koppling till den över- gripande sektorn energi, som bl.a. inkluderar delsektorn elektricitet där två myndigheter i dagsläget har marknadskontrollansvar – Elsäker- hetsverket och Energimyndigheten. Värme och gas kan också räknas in som delsektorer under energi, där framför allt Energimyndigheten är närmast berörd myndighet. Inom området gas har även MSB ett visst marknadskontrollansvar. Elsäkerhetsverket är en förvaltningsmyndighet för tekniska säker- hetsfrågor inom elområdet. Myndigheten har till uppgift att före- bygga skador orsakade av elektricitet på person och egendom samt störningar på radiokommunikation och näringsverksamhet inom området elektromagnetisk kompatibilitet. Myndigheten ska svara för att bygga upp, upprätthålla och utveckla en god säkerhetsnivå för elektriska anläggningar och elektrisk utrustning. Elsäkerhets- verket är tillsynsmyndighet för elinstallationsföretag, elektriska anläggningar och elektrisk utrustning samt har till uppgift att utöva marknadskontroll inom sitt ansvarsområde.132 Energimyndigheten är en förvaltningsmyndighet för frågor om användning och tillförsel av energi. Myndigheten ska verka för att förena ekologisk hållbarhet, konkurrenskraft och försörjningstrygg- het i energisystem som är hållbara och kostnadseffektiva med en låg 129 1–3 och 11 b §§ förordningen (2008:1300) med instruktion för Transportstyrelsen. 130 17 § förordningen om informationssäkerhet för samhällsviktiga och digitala tjänster. 131 8 kap. 1 § säkerhetsskyddsförordningen och bilaga 1–2 till förordningen om statliga myn- digheters beredskap. 132 1, 2 och 3 a §§ förordningen (2007:1121) med instruktion för Elsäkerhetsverket. 234 SOU 2025:101 Marknadskontrollmyndigheter påverkan på hälsa, miljö och klimat. Energimyndigheten har ett om- fattande ansvar för energisektorn på EU-nivå. Myndigheten ansvarar för marknadskontroll enligt lagen (2008:112) om ekodesign, som implementerar EU:s ekodesigndirektiv133. För marknadskontroll en- ligt Ramförordningen om energimärkning134 och Däckmärknings- förordningen135 ansvarar också myndigheten.136 Energimyndigheten är behörig myndighet enligt EU:s förordning om försörjningstrygghet för gas137, EU:s förordning om riskberedskap inom elsektorn138 och EU:s förordning om sektorsspecifika regler för cybersäkerhet av gräns- överskridande elflöden (NCCS)139. Energimyndigheten är även till- synsmyndighet enligt NIS-lagen för sektorn energi.140 I SOU 2024:18 och SOU 2024:64 föreslås Energimyndigheten få fortsatt sektors- ansvar som tillsynsmyndighet för sektorn energi enligt NIS 2- och CER-direktiven, där sektorn inkluderar verksamhetsutövare inom delsektorerna elektricitet, fjärrvärme eller fjärrkyla, olja och vätgas. Energimyndigheten är även tillsynsmyndighet enligt säkerhetsskydds- regelverket för enskilda verksamhetsutövare inom områdena fjärr- värme-, naturgas-, olje- och drivmedelsförsörjning samt beredskaps- myndighet och sektorsansvarig myndighet för beredskapssektorn energiförsörjning.141 MSB är en myndighet vars huvudsakliga uppgift är ansvar för frågor om skydd mot olyckor, krisberedskap och civilt försvar, i den utsträckning inte någon annan myndighet har ansvaret. Myndig- heten har också uppgift som marknadskontrollmyndighet, bl.a. 133 Europaparlamentets och rådets direktiv 2009/125/EG av den 21 oktober 2009 om upp- rättande av en ram för att fastställa krav på ekodesign för energirelaterade produkter (Eko- designdirektivet). 134 Europaparlamentets och rådets förordning (EU) 2017/1369 av den 4 juli 2017 om fast- ställande av en ram för energimärkning och om upphävande av direktiv 2010/30/EU. 135 Europaparlamentets och rådets förordning (EU) 2020/740 av den 25 maj 2020 om märk- ning av däck med avseende på drivmedelseffektivitet och andra parametrar, om ändring av förordning (EU) 2017/1369 samt om upphävande av förordning (EG) nr 1222/2009. 136 1–3 §§ förordningen (2014:520) med instruktion för Statens energimyndighet och 3 a § förordningen (2016:187) om ekodesign. 137 Europaparlamentets och rådets förordning (EU) 2017/1938 av den 25 oktober 2017 om åtgärder för att säkerställa försörjningstryggheten för gas och om upphävande av förordning (EU) nr 994/2010. 138 Europaparlamentets och rådets förordning (EU) 2019/941 av den 5 juni 2019 om risk- beredskap inom elsektorn och om upphävande av direktiv 2005/89/EG. 139 Kommissionens delegerade förordning (EU) 2024/1366 av den 11 mars 2024 om komplet- tering av Europaparlamentets och rådets förordning (EU) 2019/943 genom inrättandet av en nätföreskrift om sektorsspecifika regler för cybersäkerhetsaspekter av gränsöverskridande elflöden. 140 17 § förordningen om informationssäkerhet för samhällsviktiga och digitala tjänster. 141 8 kap. 1 § säkerhetsskyddsförordning och bilaga 1–2 till förordningen om statliga myn- digheters beredskap. 235 Marknadskontrollmyndigheter SOU 2025:101 enligt EU:s förordning om gasanordningar.142 MSB är beredskaps- myndighet och sektorsansvarig myndighet för beredskapssektorn räddningstjänst och skydd av civilbefolkningen.143 MSB är i dagsläget nationell kontaktpunkt enligt NIS-direktivet.144 I SOU 2024:18 och SOU 2024:64 föreslås MSB fortsatt få ett övergripande samordnings- ansvar enligt NIS 2- och CER-direktiven, där det bl.a. ingår att leda ett samarbetsforum för tillsynsmyndigheterna enligt de respektive direktiven. I SOU 2025:79 föreslås dock att FRA ska få det över- gripande samordningsansvaret enligt NIS 2-direktivet. När det gäller delområdet tillhandahållande av vatten är det läns- styrelserna som har huvudansvaret för tillsyn.145 Kommunerna är an- svariga genom sina miljö- och hälsoskyddsnämnder för kontroll av dricksvatten. Länsstyrelserna får besluta om att inrätta vattenskydds- områden och bedriver tillsyn av vattenverksamhet, över kommunernas skyldighet att ordna vattentjänster, samt vattenskyddsområde. Läns- styrelserna kan också utarbeta en regional vattenförsörjningsplan.146 Tillsynsmyndighet med nationellt ansvar är Livsmedelsverket. Livsmedelsverket är en förvaltningsmyndighet för livsmedelsfrågor med uppgift att i konsumenternas intresse arbeta för säkra livsmedel, redlighet i livsmedelshanteringen och en hållbar livsmedelskonsum- tion. Utöver olika ansvarsområden kopplade till livsmedel ska myn- digheten enligt sina instruktioner ansvara för nationell samordning av dricksvattenfrågor, särskilt när det gäller anpassningar till klimat- förändringar, samt kris- och beredskapsplanering avseende dricks- vattenförsörjning. Myndigheten ska även leda en nationell vatten- katastrofgrupp som kan anlitas av berörda aktörer för att bistå vid samordning av operativa insatser och med expertstöd vid akuta situ- ationer relaterade till kommunalt dricksvatten.147 Livsmedelsverket är tillsynsmyndighet enligt NIS-lagen för sektorn leverans och distri- bution av dricksvatten.148 I SOU 2024:18 och SOU 2024:64 föreslås Livsmedelsverket även få sektorsansvar för områdena dricksvatten och avloppsvatten enligt NIS 2- och CER-direktiven. Myndigheten 142 1 och 18 f §§ förordningen med instruktion för Myndigheten för samhällsskydd och beredskap. 143 Bilaga 1–2 till förordningen om statliga myndigheters beredskap. 144 22 § förordningen om informationssäkerhet för samhällsviktiga och digitala tjänster. 145 Se bl.a. 2 kap. 2 § vattenförvaltningsförordningen (2004:660). 146 Ansvar för vatten – vem gör vad? – Havsmiljö och vattenmiljö – Miljöpåverkan – Havs- och vattenmyndigheten (hämtad 2025-08-11). 147 1–3 a §§ förordningen (2009:1426) med instruktion för Livsmedelsverket. 148 17 § förordningen om informationssäkerhet för samhällsviktiga och digitala tjänster. 236 SOU 2025:101 Marknadskontrollmyndigheter är även beredskapsmyndighet och sektorsansvarig myndighet för beredskapssektorn livsmedelsförsörjning och dricksvatten.149 Synpunkter från myndigheter inom området Utredningen har inhämtat synpunkter från de myndigheter som utredningen har bedömt som närmast berörda inom området. Detta är huvudsakligen baserat på att myndigheterna föreslås få ansvar en- ligt NIS 2- och CER-direktiven (se närmare nedan). Myndigheterna har haft olika uppfattningar om hur ansvaret bör fördelas. PTS har i kontakt med utredningen förordat att myndigheten tilldelas ansvar för hela området eller i vart fall för delområdet kri- tisk digital infrastruktur. MSB har i kontakt med utredningen förordat att ansvar för hela området ska centraliseras till PTS, särskilt utifrån PTS potentiellt stärkta roll som en framtida digitaliseringsmyndighet. Representanter för Transportstyrelsen har förmedlat till utred- ningen att myndigheten anser att det är nödvändigt att ha sakkunskap inom vägtrafikområdet för att bedöma AI-systemets påverkan på området och att ansvaret för delområdet vägtrafik därför bör för- delas till Transportstyrelsen. Representanter för Energimyndigheten har förmedlat till utred- ningen att myndigheten ser större fördelar med ett mer centraliserat ansvar, bl.a. eftersom en ansvarsfördelning på delsektornivå skulle innebära ett nytt område för Energimyndigheten som skulle kräva en helt ny kompetens för myndigheten och att det är tveksamt om upparbetade processer och rutiner kan användas. Representanter för Livsmedelsverket har till utredningen förmedlat att myndigheter ser för- och nackdelar med både ett centraliserat system och ett decentraliserat system, men att myndigheten troligen ser större fördelar med ett centraliserat system. Synpunkter från delar av näringslivet Utredningen har i fråga om ansvarsfördelning inom området för kritisk infrastruktur också inhämtat visst underlag från delar av när- ingslivet. Utredningen har i huvudsak ställt frågor om ifall ett centra- 149 Bilaga 1–2 till förordningen om statliga myndigheters beredskap. 237 Marknadskontrollmyndigheter SOU 2025:101 liserat alternativ är att föredra framför ett alternativ med en ansvars- fördelning som efterliknar ansvarsfördelningen inom sektorer enligt NIS 2- och CER-direktiven. Utredningen har bl.a. via en enkät som AI-Sweden har skickat ut till flera av sina samarbetspartners fått in underlag i frågan från åtta företag i olika storleksgrad, varav i vart fall fyra av dem agerar inom området för kritisk infrastruktur. Dessa åtta företag har förmedlat olika synpunkter om hur ansvarsfördelning inom området bör ske. Bland aktörer som verkar inom eller i anslutning till kritisk infra- struktur råder det delade meningar om hur tillsynen bör organiseras. Vissa förespråkar sektorsspecifika myndigheter, då ”specialister bör övervaka specialister”, särskilt i komplexa miljöer som trafik eller energisystem. Andra ser en samlad myndighet som mer effektiv, sär- skilt då AI-tillsyn kräver en djup teknisk kompetens och kan riskera att hamna lågt i prioritering hos sektorsmyndigheter. Det finns dock en bred enighet om behovet av samordning oavsett modell, och flera lyfter behovet av en ”one-stop-shop” för vägledning och kontakt. Överväganden och förslag Inledning Utifrån de kontakter som utredningen har haft med myndigheter, andra medlemsstater, näringsliv m.fl. gör utredningen bedömningen att det inom området för kritisk infrastruktur är nödvändigt att ansvarig marknadskontrollmyndighet har en viss sektorsspecifik kunskap. Den bedömningen baseras främst på att förståelse för området kräver en särskild teknisk kompetens och att det är nöd- vändigt för att förstå sektorsspecifika risker i kritisk infrastruktur. Utredningen har redogjort för vissa likheter mellan punkten 2 i bilaga III till AI-förordningen och rättsakterna i bilaga IA (se av- snitt 6.4.1). Utredningen anser att den typ av kunskap som behövs hos marknadskontrollmyndigheten inom området kritisk infrastruk- tur är delvis olik den som i övrigt behövs i bilaga III. Inom området för kritisk infrastruktur agerar dessutom flera be- fintliga marknadskontrollmyndigheter (till skillnad från andra områden i bilaga III). Utredningen bedömer därför att det som utgångspunkt finns starkt vägande skäl att inom detta område beakta sektorsspe- cifik kunskap. 238 SOU 2025:101 Marknadskontrollmyndigheter En fråga som utredningen har behövt ta ställning till är dock om det är tillräckligt att en eller ett fåtal s.k. sektorsmyndigheter ansvarar för området eller om ansvaret med hänsyn till specifik sakkunskap behöver fördelas till flera myndigheter inom tydligare s.k. delsektorer. Utredningen redogör för de olika alternativen nedan. Ett alternativ är att dela upp ansvaret utifrån delsektorer Inledningsvis kan utredningen konstatera att det inte är genomför- bart att beakta samtliga svenska myndigheters ansvarsområden vid en fördelning av ansvaret för punkten 2 i bilaga III. Som framgår av utredningens redogörelse av myndigheter med koppling till området är det helt enkelt för många myndigheter som är involverade i tillsyn m.m. inom området för kritisk infrastruktur. Som utredningen har redogjort för ovan är definitionen av kritisk infrastruktur i AI-förordningen dock densamma som definitionen i CER-direktivet (artikel 3.62 i AI-förordningen). I SOU 2024:64 föreslås att ansvaret för tillsyn enligt CER-direktivet ska delas upp inom flera delsektorer som har nära koppling till de områden som närmare definieras i punkten 2 i bilaga III. Enligt utredningen ligger det därför nära till hands att överväga att fördela ansvaret för punk- ten 2 i bilaga III på ett liknande sätt som har gjorts i SOU 2024:64. Andra länder, bl.a. Finland, verkar också ha gjort liknande överväg- anden. Med denna utgångspunkt är relevanta sektorsmyndigheter Energi- myndigheten, Livsmedelsverket, PTS och Transportstyrelsen. De myndigheter som föreslås få ansvar enligt CER-direktivet har redan i dagsläget ett tydligt och upparbetat sektorsansvar enligt bl.a. NIS- lagen, som beredskapsmyndigheter inom respektive område samt i några fall också enligt säkerhetsskyddslagen (2018:585). Dessa myn- digheter kan därmed antas ha god sakkunskap inom sitt område. Myndigheterna kan dessutom antas ha en god kännedom om vilka aktörer som agerar inom sitt ansvarsområde och därmed även goda förutsättningar att avgöra vilka aktörer som kommer att utgöra poten- tiella tillsynsobjekt även enligt AI-förordningen. Kontroll av efterlevnad samt identifiering av tillsynsobjekt enligt AI-förordningen kan visserligen i många fall antas kunna ske genom en kontroll mot registrerade högrisksystem i EU-databasen, eller 239 Marknadskontrollmyndigheter SOU 2025:101 i fallet för kritisk infrastruktur genom kontroll mot den nationella registrering som ska ske enligt artikel 49.5. Marknadskontrollmyndig- heterna kommer samtidigt ha ett ansvar för att kontrollera opera- törer som inte kommer att framgå där (se närmare i kapitel 11). Utredningen gör bedömningen att en befintlig tillsynsmyndighet inom respektive del av området för kritisk infrastruktur bör ha bäst förutsättningar att identifiera sådana operatörer. Enligt NIS-lagen och säkerhetsskyddslagen har verksamhetsutövarna som omfattas av regelverken nämligen en skyldighet att anmäla sig själva till sin tillsynsmyndighet.150 Enligt CER-direktivet har tillsynsmyndigheterna dessutom själva ett ansvar att kartlägga myndigheternas tillsynsobjekt inom respektive tillsynsområde.151 Det kommer inte nödvändigtvis finnas ett direkt samband mellan verksamhetsutövare enligt dessa regelverk och potentiella tillsynsobjekt enligt AI-förordningen och möjligheten att dela information inom myndigheten mellan olika till- synsområden kan vara begränsad, men tillgången till kunskap om vilka aktörer som generellt agerar inom tillsynsområdet bör underlätta marknadskontrollmyndigheternas uppgifter. En ansvarsfördelning med beaktande av sektorsspecifik kunskap inom delsektorer enligt nyssnämnda tillsynsregelverk skulle kunna se ut enligt följande. Tabell 6.1 Ansvarsfördelning baserat på delområden Delområde i punkten 2 i bilaga III Möjliga marknadskontrollmyndigheter Kritisk digital infrastruktur PTS Vägtrafik Transportstyrelsen Gas, värme och el Energimyndigheten Vatten Livsmedelsverket I dagsläget är PTS, Transportstyrelsen och Energimyndigheten mark- nadskontrollmyndigheter. Livsmedelsverket är inte en marknads- kontrollmyndighet. Av det skälet bedömer utredningen att det är mindre lämpligt att involvera Livsmedelsverket i marknadskontroll- systemet enligt AI-förordningen (se utredningens ställningstaganden 150 23 § lagen om informationssäkerhet för samhällsviktiga och digitala tjänster och 2 kap. 6 § säkerhetsskyddslagen. 151 Artikel 6.3 i CER-direktivet. 240 SOU 2025:101 Marknadskontrollmyndigheter i avsnitt 6.4.2 och 6.4.3). En ansvarsfördelning enligt ovan framstår därför som mindre lämplig. Ett annat alternativ som endast inkluderar befintliga marknads- kontrollmyndigheter skulle kunna vara att fördela delområdet till- handahållande av vatten till någon av PTS, Transportstyrelsen eller Energimyndigheten. Detta främst i syfte att begränsa antalet invol- verade myndigheter. Ingen av dessa myndigheter har dock i dagsläget någon koppling till vattenfrågor. Ett bättre alternativ är att tilldela ansvaret för hela området till endast en sektorsmyndighet Syftena med NIS 2- och CER-direktiven är inte desamma som AI- förordningen. Tillsynsansvaret som sektorsmyndigheterna tilldelas enligt NIS 2- och CER-direktiven och andra närliggande rättsområden som utredningen har redogjort för ovan är endast närliggande AI- förordningen. AI-förordningen har ett bredare tillämpningsområde än dessa andra regelverk och inom området i punkten 2 i bilaga III kommer även andra tillsynsmyndigheter än de som är aktuella för ansvar till följd av NIS 2- och CER-direktiven att ha överlappande eller närliggande ansvar, t.ex. Trafikverket och Energimarknads- inspektionen. I fråga om tillhandahållande av vatten har dessutom länsstyrelserna och kommunerna tillsynsansvar. Bl.a. mot denna bakgrund har aktörer som utredningen har haft kontakt med för- medlat olika åsikter om hur ansvaret bör fördelas, där vissa har för- ordat att området ska centraliseras till en myndighet. Bl.a. har PTS förordat att ett centraliserat system är bättre och föreslagit att myndigheten ensam ska ansvara för hela området, inne- bärande att myndigheten får antas bedöma att den kan hantera om- rådet i dess helhet. MSB, som i dagsläget har ett samordnande ansvar inom området kritisk infrastruktur enligt andra regelverk, har också bedömt att ansvaret ska centraliseras till PTS. Utredningen anser att det bör beaktas och ser också att det finns goda argument för ett sådant alternativ. Ett centraliserat system säkerställer en mer harmoniserad tillämpning av AI-förordningen, en uppbyggnad av dedikerad AI-expertis och kapacitet samt en enhetlig kontaktpunkt för näringslivet. Från näringslivets sida har också nämnts att den teknologiska utvecklingen går snabbare än traditionell infrastruktur- reglering och att det skulle kunna vara ett argument för att centrali- 241 Marknadskontrollmyndigheter SOU 2025:101 sera ansvaret inom området. Även representanter för Livsmedels- verket har framfört det perspektivet. Bland de svenska sektorsmyndigheter som agerar inom området (som utredningen har tillfrågat) har flertalet uppgett att ansvaret bör centraliseras. PTS är en sektorsmyndighet inom området. Myndigheten har visserligen inte något ansvar eller sakkunskap inom andra delsektorer men myndigheten ingår i de samarbetsforum som MSB leder och i fortsättningen föreslås leda inom området för kritisk infrastruktur enligt NIS 2- och CER-direktiven, vilket kan antas underlätta sam- verkan med övriga sektorsmyndigheter. Om bara en myndighet ansvarar för punkten 2 kan det även minska svåra gränsdragnings- frågor inom området. Att endast en myndighet ansvarar är också i linje med utredningens principiella utgångspunkter om att antalet marknadskontrollmyndigheter enligt AI-förordningen generellt bör begränsas (se avsnitt 6.4.2). Ett sådant förslag passar också väl ihop med utredningens förslag om att PTS ska vara marknadskontroll- myndighet med huvudsakligt ansvar för AI-förordningen (se av- snitt 6.4.4). Det säkerställer en mer harmoniserad tillämpning av AI-förordningen i stort. Utredningen föreslår därför att PTS ensam ska ansvara för området i punkten 2. Utredningen vill dock understryka att förslaget baseras på att PTS har sektorsspecifik kunskap inom området. Även om någon annan myndighet skulle tilldelas rollen som marknadskontroll- myndighet med huvudsakligt ansvar för AI-förordningen anser alltså utredningen att det finns starkt vägande skäl för att PTS ska ansvara för området kritisk infrastruktur (jfr avsnitt 6.4.4). Andra alternativ som utredningen har övervägt Ett annat alternativ som utredningen har övervägt är att MSB ensam ansvarar för området. MSB har som utredningen redan nämnt en bred kompetens inom kritisk infrastruktur och ett befintligt sam- ordningsansvar inom närliggande rättsakter. Som utredningen när- mare har redogjort för i avsnitt 6.4.3 bedömer också utredningen att MSB generellt är en lämplig myndighet för ansvar enligt AI- förordningen. Förslagen i SOU 2025:79 innebär visserligen att en del av MSB:s samordningsansvar inom området kan flyttas till FRA. 242 SOU 2025:101 Marknadskontrollmyndigheter Samtidigt föreslås i det betänkandet inte att FRA ska ansvara för samordningen kring CER-direktivet, innebärande att MSB ändå skulle kunna vara aktuell att överväga för uppdraget. Ytterligare ett alternativ skulle kunna vara att PTS och MSB delar på området, där PTS ansvarar för kritisk digital infrastruktur och MSB för resterande delar av punkten 2. Utredningen bedömer dock att argumenten som framförts ovan för att PTS ges ett samlat ansvar sammantaget är starkare. 6.5.3 Ansvar för punkten 3 i bilaga III Utredningens förslag: PTS ska vara marknadskontrollmyndighet med ansvar för att utöva marknadskontroll över AI-system med hög risk som avses i artikel 6.2 i AI-förordningen och som används inom det område som förtecknas i punkten 3 i bilaga III. Området utbildning och yrkesutbildning, punkten 3 Av punkten 3 i bilaga III framgår att AI-system med hög risk enligt artikel 6.2 är de AI-system som används inom utbildning och yrkes- utbildning då de är avsedda att användas a) för att fastställa tillgång eller antagning eller för att anvisa fysiska personer till institutioner för yrkesutbildning eller annan utbild- ning på alla nivåer, b) för att utvärdera läranderesultat, även när dessa resultat används för att styra fysiska personers lärandeprocess vid institutioner för yrkesutbildning eller annan utbildning på alla nivåer, c) för att bedöma den lämpliga utbildningsnivå som en person kom- mer att erhålla eller kommer att kunna få tillgång till, inom ramen för eller vid institutioner för yrkesutbildning eller annan utbild- ning på alla nivåer, och d) för att övervaka och upptäcka förbjudet beteende bland studerande under provtillfällen inom ramen för eller vid institutioner för yrkesutbildning eller annan utbildning på alla nivåer. 243 Marknadskontrollmyndigheter SOU 2025:101 Av skäl 56 i AI-förordningen framgår något om anledningen till att området tas upp i bilaga III. I skälen anges att [i]nförandet av AI-system inom utbildning är viktigt för att främja digi- tal utbildning av hög kvalitet och göra det möjligt för alla studerande och lärare att förvärva och dela de digitala färdigheter och kompetenser som krävs, inbegripet mediekunnighet, och kritiskt tänkande, för att aktivt delta i ekonomin, samhället och i demokratiska processer. AI- system som används för yrkesutbildning eller annan utbildning, i syn- nerhet när det gäller fastställandet av personers tillgång till eller antagning till institutioner för yrkesutbildning eller annan utbildning eller program på alla nivåer, för utvärdering av personers läranderesultat, för bedöm- ning av en persons lämpliga utbildningsnivå och för väsentlig påverkan av den utbildningsnivå som personer kommer att få eller kommer kunna få tillgång till, eller för övervakning och upptäckt av förbjudet beteende bland studerande under provtillfällen, bör klassificeras som AI-system med hög risk eftersom de kan avgöra en persons utbildnings- väg och yrkeskarriär och därmed påverka en persons försörjningsmöj- ligheter. När sådana system utformas och används på otillbörligt sätt kan de vara särskilt inkräktande och kan innebära en kränkning av rätten till utbildning liksom rätten att inte utsättas för diskriminering eller för en fortsättning på historiska diskrimineringsmönster mot till exempel kvinnor, vissa åldersgrupper, personer med funktionsnedsättning eller personer av vissa etniska ursprung eller av viss sexuell läggning. Myndigheter med koppling till området Området rör sammanfattningsvis sektorn utbildning. Området kan förväntas påverka utbildningsanordnare på alla nivåer, t.ex. universitet, högskolor, anordnare av yrkesutbildning, kommuner och privata aktörer som har förskole-, grundskole- och gymnasieverksamhet m.fl. Inom området utbildning förekommer flera svenska myndigheter som har olika ansvarsområden. Det finns i huvudsak fem myndig- heter som på olika sätt arbetar med frågor om förskolan, skolan och vuxenutbildningen. Det är Statens skolverk (Skolverket), Statens skolinspektion (Skolinspektionen), Specialpedagogiska skolmyndig- heten, Skolforskningsinstitutet och Sameskolstyrelsen.152 Även IVO, Myndigheten för yrkeshögskolan och Universitetskanslersämbetet har ansvar inom området. DO, som visserligen är en sektorsövergri- 152 https://www.skolverket.se/om-oss/var-verksamhet/det-har-gor-skolverket (hämtad 2025-02-11). 244 SOU 2025:101 Marknadskontrollmyndigheter pande myndighet, har vidare utbildningsområdet som ett av myndig- hetens mest centrala ansvarsområden.153 Skollagen (2010:800) omfattar hela skolväsendet, dvs. skolfor- merna förskola, förskoleklass, grundskola, anpassad grundskola, specialskola, sameskola, gymnasieskola, anpassad gymnasieskola och kommunal vuxenutbildning samt fritidshem som kompletterar vissa av dessa skolformer.154 Primärt ansvarig för tillsyn enligt skol- lagen är Skolinspektionen. Även kommuner har ett visst tillsynsansvar enligt skollagen, liksom IVO.155 Utöver ansvar enligt skollagen har Myndigheten för yrkeshögskolan och Universitetskanslersämbetet tillsynsansvar inom området utbildning. I Sverige saknas däremot en marknadskontrollmyndighet som har ett särskilt ansvar för pro- dukter kopplat till sektorn utbildning. Utredningen redogör nedan för de huvudsakliga tillsynsmyndig- heterna inom området. Skolinspektionen har ett brett tillsynsansvar inom området utbild- ning.156 Skolinspektionen har enligt sina instruktioner till uppgift att genom granskning av huvudmän och verksamheter verka för att alla barn och elever får tillgång till en likvärdig utbildning och annan verk- samhet av god kvalitet i en trygg miljö. Myndigheten ska bidra till goda förutsättningar för barnens utveckling och lärande samt för- bättrade kunskapsresultat för eleverna. Inom ramen för detta ska myndigheten främja en stärkt likvärdighet mellan skolor och mellan förskolor.157 IVO har ett begränsat tillsynsansvar på området innefattande att utöva tillsyn över elevhemsboenden vid Rh-anpassad utbildning, specialskolan och viss utbildning för elever med intellektuell funk- tionsnedsättning som bedrivs enligt avtal med staten.158 Myndig- hetens huvudsakliga uppgifter är i övrigt att svara för tillsyn och tillståndsprövning inom hälso- och sjukvård och därmed jämförlig verksamhet, socialtjänst samt verksamhet enligt lagen (1993:387) om stöd och service till vissa funktionshindrade och som en del av 153 Se bl.a. 2 kap. 5–8 §§, 3 kap. 15–20 §§ samt 4 kap. diskrimineringslagen (2008:567). 154 1 kap. 1 § skollagen. 155 26 kap. 3–5 §§ skollagen. 156 26 kap. 3 och 3 a §§ skollagen samt 2–4 a §§ förordningen (2011:556) med instruktion för Statens skolinspektion. 157 1 § förordningen med instruktion för Statens skolinspektion. 158 26 kap. 5 § skollagen. 245 Marknadskontrollmyndigheter SOU 2025:101 tillsynen pröva klagomål mot hälso- och sjukvården och dess personal enligt bestämmelserna i patientsäkerhetslagen (2010:659).159 Myndigheten för yrkeshögskolan har i uppgift att ha tillsyn över utbildningarna inom yrkeshögskolan, de utbildningar inom yrkes- högskolan som bedrivs som uppdragsutbildningar, de utbildningar som stöd lämnas för enligt förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar, de ut- bildningar som stöd lämnas för enligt förordningen (2024:107) om stöd för en nationell yrkesutbildning samt de utbildningar som stats- bidrag lämnas för enligt förordningen (2012:140) om statsbidrag för viss utbildning som rör tolkning och teckenspråk.160 Universitetskanslersämbetet är en myndighet som ansvarar för uppgifter i fråga om kvalitetssäkring, granskning av effektivitet, upp- följning, tillsyn och chefsutveckling beträffande universitet och högskolor som omfattas av högskolelagen (1992:1434), enskilda anordnare av utbildning som kan leda fram till en examen som får utfärdas enligt lagen (1993:792) om tillstånd att utfärda vissa examina, och enskilda anordnare av utbildning på högskolenivå som får stats- bidrag. Myndigheten har också uppgifter som rör andra utbildningar på eftergymnasial nivå enligt vad regeringen beslutar särskilt.161 Överväganden och förslag Ansvaret bör inte fördelas utifrån sektorsspecifik kunskap Om urvalet av marknadskontrollmyndighet enbart baseras på sek- torsspecifik kunskap inom svenska förvaltningsmyndigheter bedömer utredningen att Skolinspektionen är den lämpligaste myndigheten att överväga som ansvarig för marknadskontroll enligt punkten 3. Detta med hänsyn till Skolinspektionens breda ansvar för tillsyn inom skolområdet. Skolinspektionen är dock inte en befintlig marknads- kontrollmyndighet och saknar därmed erfarenhet av att utöva mark- nadskontroll. Myndigheten har också begränsad erfarenhet av arbete på EU-nivå och erfarenhet av tillsynsuppdrag som har sin grund i unionsrättsakter. Skolinspektionen är inte heller en myndighet som, utifrån dess uppdrag och instruktion, kan antas ha särskild sakkunskap 159 1 § förordningen (2013:176) med instruktion för Inspektionen för vård och omsorg. 160 4 § 1 förordningen (2011:1162) med instruktion för Myndigheten för yrkeshögskolan. 161 1 § förordningen (2012:810) med instruktion för Universitetskanslersämbetet. 246 SOU 2025:101 Marknadskontrollmyndigheter om AI-teknik, data, databehandling eller cybersäkerhet. Skolinspek- tionens tillsynsansvar omfattar därtill inte alla områden som omfattas av punkten 3 i bilaga III, vilket framgår av redogörelsen av myndig- heter med koppling till området. Utredningen har av tidsskäl inte inhämtat synpunkter i frågan från sektorsmyndigheter inom området. Vid de kontakter som ut- redningen har haft med andra myndigheter, näringsliv m.fl. har dock inte framförts några synpunkter om att sektorsmyndigheter inom utbildningsområdet bör ansvara för marknadskontroll enligt AI- förordningen. Det kan dock nämnas att utredningen har träffat re- presentanter för barnrättsorganisationerna BRIS, Unicef Sverige och Prinsparets stiftelse som har framhållit att det är viktigt att ansvariga myndigheter för AI-förordningen har kunskap om barnrättsfrågor, vilket lär vara särskilt relevant inom utbildningsområdet. Utöver argumenten ovan bedömer utredningen att antalet mark- nadskontrollmyndigheter i möjligaste mån bör begränsas (se avsnitt 6.4.2 och 6.4.3). Även om sektorsspecifik kunskap inom utbild- ningsområdet kommer att behövas vid marknadskontroll inom området bedömer utredningen sammantaget att det inte framstår som lämpligt att fördela ansvaret för punkten 3 i bilaga III utifrån sektorsspecifik kunskap. Ansvaret bör tilldelas PTS Utredningen bedömer att det inte finns starkt vägande skäl för att tilldela ansvaret för området i punkten 3 i bilaga III till en myndighet med sektorsspecifik kunskap. Ansvaret bör därför tilldelas PTS, i egenskap av marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen (se avsnitt 6.4.4). Vid behov av sektorsspecifik kunskap bör PTS i stället kunna begära bistånd från relevant sektors- myndighet enligt 8 § FL (se närmare i avsnitt 9.8.2). PTS har i kontakter med utredningen dessutom förklarat att myn- digheten har kapacitet och ambition att ta sig an ett omfattande ansvar enligt AI-förordningen, som innefattar området i punkten 3. Området har också viss koppling till PTS ansvarsområden inom frågor om icke-diskriminering. Vid en sammanslagning mellan PTS och Digg finns också ytter- ligare beröringspunkter. Digg har i kontakter med utredningen 247 Marknadskontrollmyndigheter SOU 2025:101 förklarat att myndigheten har erfarenhet av att arbete med utbild- ningssektorn inom ramen för sin roll som tillsynsmyndighet enligt DOS-lagen samt inom rollen som nationell samordnare enligt SDG- förordningen. Mer specifikt ansvarar Digg enligt SDG-förordningen för den svenska ingången till EU:s gemensamma digitala ingång för bevisutbyte. Genom denna ingång kommer bl.a. elever och studenter att kunna få en digital överföring av betyg och intyg mellan lärosäten och arbetsgivare inom EU. För närvarande ansluter olika lärosäten och utbildningsanordnare separat till ingången. I samband med detta arbete har Digg omfattande kontakter med bl.a. lärosäten.162 Digg har mot denna bakgrund förordat att Digg, eller PTS vid en samman- slagning mellan myndigheterna, ska tilldelas ansvaret för området. Utredningen föreslår sammantaget att PTS, i egenskap av mark- nadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen, ska ansvara för området i punkten 3. Det gäller oavsett om PTS och Digg slås samman till en myndighet eller inte. Ett annat alternativ som utredningen har övervägt Utredningen har som närmare framgår av avsnitt 6.4.4 övervägt IMY som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. Utredningen har därför även sett över lämp- ligheten i att tilldela ansvaret för punkten 3 till IMY. Argument som kan tala i den riktningen är följande. Ansvarsområden som redan av AI-förordningens utformning till- delas IMY (se avsnitt 6.5.1) kan förenklat sägas inbegripa ”offentlig sektor”. Området utbildning så som det definieras i punkten 3 i bilaga III berör i huvudsak offentligt finansierad verksamhet. Det är därmed en närliggande tanke att även tilldela ansvarsområdet ut- bildning till IMY. Inom användningsområdet är det dessutom ett rimligt antagande att AI-system i stor omfattning kommer att be- handla personuppgifter, som är ett område som IMY har bred er- farenhet av att hantera. IMY har vid kontakter med utredningen varit positivt inställd till att tilldelas ansvar för området eftersom myndigheter har vana vid området. Enligt myndigheten har IMY historiskt prioriterat att granska och vägleda skolor i fråga om digi- 162 https://www.digg.se/styrning-och-samordning/sdg---en-gemensam-digital-ingang-till- europa/forteckning-over-behoriga-myndigheter/larosaten (hämtad 2025-04-22). 248 SOU 2025:101 Marknadskontrollmyndigheter tala system eftersom skolor hanterar omfattande personuppgifts- behandling som dessutom i många fall rör barn, vilka är särskilt skyddsvärda enligt EU:s dataskyddsförordning. Av de skäl som utredningen närmare redogjort för i avsnittet ovan bedömer utredningen dock att PTS är den lämpligaste myn- digheten att ansvara för området. 6.5.4 Ansvar för punkten 4 i bilaga III Utredningens förslag: PTS ska vara marknadskontrollmyndighet med ansvar för att utöva marknadskontroll över AI-system med hög risk som avses i artikel 6.2 i AI-förordningen och som används inom det område som förtecknas i punkten 4 i bilaga III. Området anställning, arbetsledning och tillgång till egenföretagande, punkten 4 Av punkten 4 i bilaga III framgår att AI-system med hög risk är de AI-system som används i fråga om anställning, arbetsledning och tillgång till egenföretagande då de är avsedda att användas a) för rekrytering eller urval av fysiska personer, särskilt för att pub- licera riktade platsannonser, analysera och filtrera platsansök- ningar och utvärdera kandidater, och b) för att fatta beslut som påverkar villkoren för arbetsrelaterade förhållanden, befordringar och uppsägningar av arbetsrelaterade avtalsförhållanden, för uppgiftsfördelning på grundval av indivi- duellt beteende eller personlighetsdrag eller egenskaper eller för att övervaka och utvärdera personers prestationer och beteende inom ramen för sådana förhållanden. Av skäl 57 i AI-förordningen framgår något om anledningen till att området tas upp i bilaga III. I skälen anges att AI-system som används för anställning, arbetsledning och tillgång till egenföretagande, i synnerhet när det gäller rekrytering eller urval av personer, för beslutsfattande som påverkar villkoren för arbetsrelaterad befordran, eller uppsägning av arbetsrelaterade avtalsförhållanden, för fördelning av uppgifter på grundval av individuellt beteende eller per- 249 Marknadskontrollmyndigheter SOU 2025:101 sonlighetsdrag och egenskaper och för övervakning eller utvärdering av personer i arbetsrelaterade avtalsförhållanden, bör också klassificeras som AI-system med hög risk, eftersom dessa system märkbart kan påverka framtida karriärutsikter och försörjning för dessa personer samt arbetstagares rättigheter. Relevanta arbetsrelaterade avtalsförhål- landen bör på ett meningsfullt sätt innefatta arbetstagare och personer som tillhandahåller tjänster via plattformar enligt kommissionens arbets- program för 2021. Under hela rekryteringsförfarandet och vid utvär- dering, befordran eller bibehållande av personer i arbetsrelaterade avtals- förhållanden, kan sådana system reproducera historiska mönster av diskriminering, exempelvis mot kvinnor, vissa åldersgrupper, personer med funktionsnedsättning eller mot personer på grund av ras, etniskt ursprung eller sexuell läggning. AI-system som används för att övervaka sådana personers prestation och beteende kan också undergräva deras grundläggande rätt till dataskydd och personlig integritet. Myndigheter med koppling till området Området i punkten 4 kan sammanfattas som området för anställning, arbetsledning och tillgång till egenföretagande. Statliga myndigheter, kommuner och regioner, statliga, kommunala, regionala och privata bolag samt fackförbund, arbetsgivarorganisationer och andra liknande organ kan tänkas beröras av området. Beroende på hur ett offentligt eller privaträttsligt organ utformar sina system för personalhantering är det därtill möjligt att i princip alla aktörer som har anställda kan omfattas av området. Förvaltningsmyndigheter med sektorsspecifik kunskap som ut- redningen bedömer har en koppling till området är huvudsakligen Arbetsförmedlingen och Arbetsmiljöverket. DO, som visserligen är en sektorsövergripande myndighet, har vidare arbetslivet som ett av myndighetens centrala ansvarsområden.163 Några renodlade till- synsmyndigheter för anställning, arbetsledning och tillgång till egen- företagande finns dock inte på området. Arbetsförmedlingen är en förvaltningsmyndighet för arbetsmark- nadspolitiska frågor och ansvarar enligt sin instruktion för den arbets- marknadspolitiska verksamheten, utom i de delar där annat är särskilt föreskrivet. Arbetsförmedlingen ska bl.a. verka för att förbättra arbetsmarknadens funktionssätt, stödja kompetensförsörjningen på arbetsmarknaden samt, inom ramen för sitt verksamhetsområde, verka för att upprätthålla arbetslöshetsförsäkringens funktion som 163 Se bl.a. 2 kap. 1–4, 9–11 och 17 §§, 3 kap. 4–14 §§ samt 4 kap. diskrimineringslagen. 250 SOU 2025:101 Marknadskontrollmyndigheter omställningsförsäkring samt legitimiteten i de arbetsmarknadspoli- tiska ersättningssystemen.164 Arbetsförmedlingen företräder även Sverige inom EU genom att myndigheten för Sveriges del ska full- göra de uppgifter som den centrala arbetsmarknadsmyndigheten och de särskilda förmedlingarna har enligt EU:s förordning om arbets- kraftens fria rörlighet165, och fungera som nationellt samordnings- kontor och som Euresmedlem enligt EU:s förordning om ett euro- peiskt nätverk för arbetsförmedlingar (Eures).166 Arbetsförmedlingen ska vidare medverka i sådant informations- och erfarenhetsutbyte med andra medlemsstaters arbetsförmedlingar och med kommis- sionen som sker inom ramen för den öppna samordningsmetoden på sysselsättningsområdet.167 Arbetsmiljöverket ansvarar enligt sina instruktioner för frågor om arbetsmiljö, arbetstid och utstationering. Myndigheten ansvarar även för vissa frågor om marknadskontroll, vissa miljöfrågor, och vissa frågor som rör Europeiska arbetsmyndigheten och den myn- dighetens verksamhetsområde. Myndigheten ska också verka för goda förhållanden i arbetsmiljön och på arbetsmarknaden och främja samverkan mellan arbetsgivare och arbetstagare på arbetsmiljö- området. Myndigheten ska också arbeta för att regelverket inom dess verksamhetsområde följs.168 Arbetsmiljöverket är marknadskontrollmyndighet bl.a. med ansvar för att produkter överensstämmer med EU:s maskindirektiv169, som den 14 juni 2024 ersatts av EU:s maskinförordning170. Arbets- miljöverket har också ansvar för marknadskontroll i övrigt av sådana produkter enligt 3 kap. 8–10 §§ arbetsmiljölagen (1977:1160) som kan användas yrkesmässigt.171 164 1–6 §§ förordningen (2022:811) med instruktion för Arbetsförmedlingen. 165 Europaparlamentets och rådets förordning (EU) nr 492/2011 av den 5 april 2011 om arbetskraftens fria rörlighet inom unionen. 166 Europaparlamentets och rådets förordning (EU) 2016/589 av den 13 april 2016 om ett europeiskt nätverk för arbetsförmedlingar (Eures), om arbetstagares tillgång till rörlighets- tjänster och om ytterligare integration av arbetsmarknaderna samt om ändring av förord- ningarna (EU) nr 492/11 och (EU) nr 1296/2013. 167 10 § förordningen med instruktion för Arbetsförmedlingen. 168 1 och 1 a §§ förordningen med instruktion för Arbetsmiljöverket. 169 Europaparlamentets och rådets direktiv 2006/42/EG av den 17 maj 2006 om maskiner och om ändring av direktiv 95/16/EG och 2 § förordningen med instruktion för Arbetsmiljöverket. 170 Europaparlamentets och rådets förordning (EU) 2023/1230 av den 14 juni 2023 om maskiner och om upphävande av Europaparlamentets och rådets direktiv 2006/42/EG och rådets direktiv 73/361/EEG. 171 2 § förordningen med instruktion för Arbetsmiljöverket. 251 Marknadskontrollmyndigheter SOU 2025:101 Överväganden och förslag Ansvaret bör inte fördelas utifrån sektorsspecifik kunskap Arbetsmarknaden i Sverige styrs i stor omfattning av den s.k. svenska modellen. Det innebär att tillsyn inom området delvis fungerar på ett annat sätt än inom många andra områden som omfattas av bi- laga III. Om urvalet av marknadskontrollmyndighet enbart baseras på sektorsspecifik kunskap inom svenska förvaltningsmyndigheter skulle Arbetsmiljöverket möjligtvis vara den lämpligaste myndig- heten att överväga för området i punkten 4. Denna bedömning baseras främst på att Arbetsmiljöverket är tillsynsmyndighet inom området och dessutom är en befintlig marknadskontrollmyndighet. Arbets- miljöverkets huvudsakliga ansvarsområden ligger dock inom arbets- miljöområdet, med ett marknadskontrollansvar huvudsakligen kopplat till maskiner. Myndighetens koppling till området anställning, arbets- ledning och tillgång till egenföretagande så som det definieras i punk- ten 4 i bilaga III är således begränsad. Arbetsförmedlingen skulle potentiellt också kunna övervägas, ut- ifrån att myndigheten har ett brett ansvar inom området i punkten 4. Myndigheten har även viss erfarenhet av arbete på EU-nivå. Arbets- förmedlingen är dock varken en marknadskontrollmyndighet eller en tillsynsmyndighet. Arbetsförmedlingens uppdrag är inte heller så vidsträckt som användningsområdet i punkten 4 i bilaga III. Utredningen har träffat representanter för Arbetsmiljöverket bl.a. för att diskutera frågan om ansvar inom området i punkten 4 i bilaga III. Utredningen har även träffat representanter för fackför- bunden SACO, TCO och LO samt ett antal arbetsgivarorganisa- tioner. Representanter för Arbetsmiljöverket har förmedlat till ut- redningen att det framstår som lämpligare att någon annan central myndighet enligt AI-förordningen hanterar området. Fackförbunden har framhållit att det är viktigt att förstå att arbetsmarknadsområdet i stor omfattning handlar om rättighetsfrågor, och att det är viktigare att en ansvarig myndighet inom området har det perspektivet, snarare 252 SOU 2025:101 Marknadskontrollmyndigheter än ett rent produktperspektiv.172 Några arbetsgivarorganisationer samt andra myndigheter har samtidigt lyft fram att Arbetsmiljö- verket skulle kunna vara en relevant myndighet att överväga. De flesta aktörer som utredningen har haft kontakt med har dock inte framfört några synpunkter om att sektorsspecifik kunskap inom arbetsmarknaden är nödvändig för att kunna utöva marknadskontroll inom området. Att fördela ansvaret för punkten 4 i bilaga III utifrån sektors- specifik kunskap bedöms sammantaget inte som det lämpligaste alternativet. Ansvaret bör tilldelas PTS Utredningen bedömer att det inte finns starkt vägande skäl för att tilldela ansvaret för området i punkten 4 i bilaga III till en myndig- het med sektorsspecifik kunskap. Ansvaret bör därför tilldelas PTS, i egenskap av marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen (se avsnitt 6.4.4). Vid behov av sektorsspecifik kunskap bör PTS i stället kunna begära bistånd från relevant sektors- myndighet enligt 8 § FL (se närmare i avsnitt 9.8.2). PTS har i kontakter med utredningen dessutom förklarat att myn- digheten har kapacitet och ambition att ta sig an ett omfattande ansvar enligt AI-förordningen, som innefattar området i punkten 4 i bilaga III. Området har också viss koppling till PTS ansvarsområden inom frågor om icke-diskriminering. Utredningen föreslår sammantaget att PTS, i egenskap av mark- nadskontrollmyndighet med huvudsakligt ansvar för AI-förord- ningen, ska ansvara för området i punkten 4. Det gäller oavsett om PTS och Digg slås samman till en myndighet eller inte. 172 Fackförbunden har vidare framhållit att det är viktigt att en myndighet med ansvar för området i punkten 4 etablerar en tydlig struktur för avstämningar och samråd med arbets- marknadens parter vad gäller regelverkets utformning och tillämpning. Beträffande AI-för- ordningens tillämpning har fackförbunden även lyft fram att det i riktlinjer från ansvarig myndighet, i förarbeten eller liknande, bör tydliggöras att informationsskyldigheten i artikel 26.7 i AI-förordningen bör hanteras genom en hänvisning till informationsskyldigheten i 18–22 §§ i lagen (1976:580) om medbestämmande i arbetslivet. 253 Marknadskontrollmyndigheter SOU 2025:101 Ett annat alternativ som utredningen har övervägt Utredningen har som närmare framgår av avsnitt 6.4.4 övervägt IMY som marknadskontrollmyndighet med huvudsakligt ansvar för AI- förordningen. Utredningen har därför även sett över lämpligheten i att tilldela ansvaret för punkten 4 till IMY. I denna del gör sig i huvud- sak samma argument gällande som utredningen redogjort för beträf- fande punkten 3 i bilaga III. IMY har också haft samma inställning i denna punkt som beträffande punkten 3 (se avsnitt 6.5.3). IMY har därtill förmedlat att myndigheten har kunskap inom området anställ- ning, arbetsledning och tillgång till egenföretagande eftersom arbets- platser har omfattande personuppgiftsbehandling och många av IMY:s dataskyddsärenden rör arbetsgivare. Av de skäl som utredningen närmare har redogjort för i avsnittet ovan bedömer dock utredningen att PTS är den lämpligaste myndig- heten att ansvara för området. 6.5.5 Ansvar för punkten 5 a i bilaga III Utredningens förslag: PTS ska vara marknadskontrollmyndighet med ansvar för att utöva marknadskontroll över AI-system med hög risk som avses i artikel 6.2 i AI-förordningen och som används inom det område som förtecknas i punkten 5 a i bilaga III. Området väsentliga förmåner och tjänster i form av offentligt stöd, punkten 5 a Inom området 5 a i bilaga III är AI-system med hög risk de AI- system som används inom tillgång till och åtnjutande av väsentliga privata tjänster och väsentliga offentliga tjänster och förmåner då de är avsedda att – användas av offentliga myndigheter eller för offentliga myndig- heters räkning för att utvärdera fysiska personers rätt till väsent- liga förmåner och tjänster i form av offentligt stöd, inbegripet hälso- och sjukvårdstjänster, samt för att bevilja, minska, upphäva eller återkalla sådana förmåner och tjänster. 254 SOU 2025:101 Marknadskontrollmyndigheter Av skäl 58 i AI-förordningen framgår något om anledningen till att området tas upp i bilaga III. I skälen anges bl.a. att [e]tt annat område där användningen av AI-system förtjänar särskild vaksamhet är när det gäller tillgång till och åtnjutande av vissa väsentliga privata och offentliga tjänster och förmåner som är nödvändiga för att människor fullt ut ska kunna delta i samhället eller förbättra sin levnads- standard. I synnerhet är fysiska personer som ansöker om eller får viktiga offentliga bidragsförmåner och tjänster från offentliga myndigheter, nämligen hälso- och sjukvårdstjänster, sociala trygghetsförmåner, sociala tjänster som tillhandahåller skydd i fall som moderskap, sjukdom, arbets- olyckor, vårdbehov eller ålderdom och arbetslöshet samt socialbidrag och bostadsbidrag, vanligtvis beroende av dessa förmåner och tjänster och befinner sig i en utsatt situation i förhållande till de ansvariga myn- digheterna. Om AI-system används för att avgöra om sådana förmåner och tjänster ska beviljas, vägras, minskas, upphävas eller återkallas av myndigheterna, inbegripet huruvida mottagarna är legitimt berättigade till sådana förmåner eller tjänster, kan dessa system ha en betydande in- verkan på personers försörjning och kan inkräkta på deras grundläggande rättigheter, såsom rätten till socialt skydd, icke-diskriminering, mänsklig värdighet eller ett effektivt rättsmedel och bör där klassificeras som AI-system med hög risk. Denna förordning bör dock inte hämma ut- vecklingen och användningen av innovativa metoder inom offentlig förvaltning, som kan gagnas av en bredare användning av säkra AI- system som uppfyller kraven, förutsatt att dessa system inte medför hög risk för juridiska och fysiska personer. Myndigheter med koppling till området Området i punkten 5 a kan sammanfattas som området väsentliga förmåner och tjänster i form av offentligt stöd. Inom området kan såväl flera svenska förvaltningsmyndigheter som kommuner och regioner tänkas agera. Förvaltningsmyndigheter under regeringen med sektorsspecifik kunskap som utredningen bedömer har en kopp- ling till området är huvudsakligen Arbetsförmedlingen, Centrala studiestödsnämnden, Försäkringskassan, Inspektionen för arbets- löshetsförsäkringen, Inspektionen för socialförsäkringen, IVO, Pensionsmyndigheten, Skatteverket, Socialstyrelsen, Tandvårds- och läkemedelsförmånsverket och Utbetalningsmyndigheten. Ingen av dessa myndigheter kan dock sägas ha en koppling till hela området utan ansvaret är spritt. Nedan redogörs för de huvudsakliga tillsyns- myndigheterna inom området. 255 Marknadskontrollmyndigheter SOU 2025:101 Inspektionen för arbetslöshetsförsäkringen ansvarar för tillsyn över arbetslöshetsförsäkringen, arbetslöshetskassorna, Arbetsförmed- lingens handläggning av ärenden som har samband med arbetslös- hetsförsäkringen, samt Arbetsförmedlingens och Försäkringskassans handläggning av ärenden som rör åtgärder inom aktivitetsstödet, utvecklingsersättningen och etableringsersättningen.173 Inspektionen för socialförsäkringen har till uppgift att genom systemtillsyn och effektivitetsgranskning värna rättssäkerheten och effektiviteten inom socialförsäkringsområdet. Med systemtillsyn avses granskning av om tillsynsobjektets egna system för styrning och kontroll säkerställer en korrekt och enhetlig tillämpning av det regelverk som tillsynsobjektet ska tillämpa. Med effektivitetsgransk- ning avses granskning av om tillsynsobjektets verksamhet fungerar effektivt med utgångspunkt i det statliga åtagandet. Myndigheten ska utöva systemtillsyn över och utföra effektivitetsgranskning av den verksamhet som bedrivs av Försäkringskassan, Pensionsmyn- digheten, i de delar som inte står under Finansinspektionens tillsyn, och Skatteverket, i de delar som avser beslut om pensionsgrundande inkomst. Myndigheten får även utöva systemtillsyn över och utföra effektivitetsgranskning av verksamheter som gränsar till socialförsäk- ringsområdet. Detsamma gäller samverkansinsatser med anknytning till socialförsäkringsområdet.174 IVO:s huvudsakliga uppgifter är att svara för tillsyn och tillstånds- prövning inom hälso- och sjukvård och därmed jämförlig verksamhet, socialtjänst samt verksamhet enligt lagen om stöd och service till vissa funktionshindrade och som en del av tillsynen pröva klagomål mot hälso- och sjukvården och dess personal enligt bestämmelserna i patientsäkerhetslagen.175 IVO har vidare tillsynsansvar för de medicin- tekniska produkter som tillverkas inom hälso- och sjukvården samt tandvården och som endast får användas i den egna verksamheten, så kallade egentillverkade medicintekniska produkter.176 173 1 § förordningen (2007:906) med instruktion för Inspektionen för arbetslöshetsförsäkringen. 174 1–3 §§ förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen. 175 1 § förordningen med instruktion för Inspektionen för vård och omsorg. 176 2 kap. 2 § förordningen (2021:631) med kompletterande bestämmelser till EU:s förord- ningar om medicintekniska produkter. För andra medicintekniska produkter har Läkemedels- verket tillsynsansvar (se närmare i avsnitt 6.6.2). Läkemedelsverket har också ansvar för Nationella Medicinska Informationssystem (NMI) https://www.lakemedelsverket.se/sv/me dicinteknik/tillverka/nationella-medicinska-informationssystem#hmainbody1 (hämtad 2025-06-27). 256 SOU 2025:101 Marknadskontrollmyndigheter Överväganden och förslag Ansvaret bör inte fördelas utifrån sektorsspecifik kunskap Utredningen bedömer att det är svårt att peka ut en svensk förvalt- ningsmyndighet med sektorsspecifik kunskap som har störst kopp- ling till användningsområdet som omfattas av punkten 5 a i bilaga III. Området är vidsträckt och myndigheternas ansvar är delat. Om urvalet av marknadskontrollmyndighet enbart baseras på sektors- specifik kunskap inom svenska tillsynsmyndigheter bedömer utred- ningen att ansvaret i denna punkt behöver vara delat mellan i vart fall Inspektionen för arbetslöshetsförsäkringen, Inspektionen för socialförsäkringen och IVO.177 Dessa tillsynsmyndigheter är, för- utom IVO, dock inte befintliga marknadskontrollmyndigheter och saknar därmed erfarenhet av att utöva marknadskontroll. IVO:s marknadskontroll utgår inte heller från EU:s marknadskontrollför- ordning. Även om vissa av myndigheterna har erfarenhet av arbete på EU-nivå, saknar de i stor utsträckning erfarenhet av tillsynsupp- drag som har sin grund i unionsrättsakter. Myndigheterna är inte heller sådana myndigheter som, utifrån dess uppdrag och instruktion, kan antas ha särskild sakkunskap om AI-teknik, data, databehandling eller cybersäkerhet. Utredningen har av tidsskäl inte inhämtat synpunkter i frågan från närmast berörda sektorsmyndigheter inom området. Utred- ningen har gett IVO möjlighet att lämna synpunkter vid ett möte med utredningen. Utredningen har uppfattat att IVO inte bedömt det som nödvändigt. Läkemedelsverket, vars ansvarsområden inom medicinteknik har nära koppling till IVO:s ansvarsområden inom hälso- och sjukvården, har dock framhållit till utredningen att det generellt är viktigt att tillsyn inom det medicintekniska området och inom sjukvården hålls ihop.178 Representanter för fackförbundet Naturvetarna och för arbetgivarorganisationen Vårdföretagen har till utredningen framfört liknande synpunkter. Utredningen bedömer att dessa syn- punkter kan ha bäring på ansvarsfördelning inom området i punk- ten 5 a i bilaga III, även om det främst berör området för medicin- 177 I sammanhanget bör nämnas att Utredningen om en översyn av mindre myndigheters upp- gifter och organisering i betänkandet En effektivare organisering av mindre myndigheter – analys och förslag (SOU 2025:13) har föreslagit att Inspektionen för arbetslöshetsförsäkringen ska avvecklas och inordnas i Inspektionen för socialförsäkringen. 178 Se närmare i avsnitt 6.4.3 om Läkemedelsverket. 257 Marknadskontrollmyndigheter SOU 2025:101 tekniska produkter i bilaga IA (se avsnitt 6.6). Vid de kontakter som utredningen har haft med andra myndigheter, näringsliv m.m. har dock inte framförts några synpunkter om att sektorsmyndigheter som agerar inom området för punkten 5 a bör ansvara för marknads- kontroll enligt AI-förordningen. Utredningen kan visserligen se att det finns skäl som talar för att det kan vara lämpligt att särskilja ansvaret inom hälso- och sjukvårds- området. I sådant fall bedömer utredningen dock att det snarare framstår som aktuellt att överväga Läkemedelsverket än IVO. Detta utifrån att utredningen generellt bedömer Läkemedelsverket som en lämplig myndighet att överväga för ansvar inom AI-förordningen (se avsnitt 6.4.3) samt då utredningen också i övrigt föreslår att Läkemedelsverket ska få ett visst ansvar enligt AI-förordningen (se avsnitt 6.6.4). Att utsträcka Läkemedelsverkets ansvarsområde på ett sådant sätt skulle dock riskera att skapa svåra gränsdragnings- problem i förhållande till IVO:s befintliga ansvar som tillsynsmyn- dighet.179 Att fördela ansvaret för punkten 5 a i bilaga III utifrån sektorsspecifik kunskap bedöms sammantaget inte som det lämp- ligaste alternativet. Ansvaret bör tilldelas PTS Utredningen bedömer att det inte finns starkt vägande skäl för att tilldela ansvaret för området i punkten 5 a i bilaga III till en myndig- het med sektorsspecifik kunskap. Ansvaret bör därför tilldelas PTS, i egenskap av marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen (se avsnitt 6.4.4). Vid behov av sektorsspecifik kunskap bör PTS i stället kunna begära bistånd från relevant sektors- myndighet enligt 8 § FL (se närmare i avsnitt 9.8.2). PTS har i kontakter med utredningen dessutom förklarat att myn- digheten har kapacitet och ambition att ta sig an ett omfattande ansvar 179 I sammanhanget kan nämnas att Riksrevisionen i en rapport från 2024 har konstaterat brister i IVO:s tillsyn på det medicintekniska området och föreslagit att regeringen bör se över om till- synen av egentillverkade produkter bör flyttas från IVO till Läkemedelsverket. RiR 2024:23, s. 83. Läkemedelsverket föreslår vidare i en egen rapport att myndigheten bör ansvara även för vårdgivare som tar i bruk egentillverkade (IVO:s tillsynsområde) elektroniska hälsodokumen- tationssystem enligt EHDS-förordningen. Uppdrag till Läkemedelsverket att förbereda inför EHDS – Slutrapport från Läkemedelsverket, 2025-02-06, dnr 1.1.8-2024-058495, s. 26. Där- till kan nämnas att det av artikel 43.7 i EHDS-förordningen framgår att för AI-system med hög risk, där interoperabilitet med elektroniska hälsodokumentationssystem hävdas, ska de ansvariga myndigheterna för marknadskontroll i vissa fall vara de myndigheter som avses i AI-förordningen. 258 SOU 2025:101 Marknadskontrollmyndigheter enligt AI-förordningen, som innefattar området i punkten 5 a i bi- laga III. Området har också viss koppling till PTS ansvarsområden inom frågor om icke-diskriminering. Utredningen föreslår sammantaget att PTS, i egenskap av mark- nadskontrollmyndighet med huvudsakligt ansvar för AI-förord- ningen, ska ansvara för området i punkten 5 a. Det gäller oavsett om PTS och Digg slås samman till en myndighet eller inte. Ett annat alternativ som utredningen har övervägt Utredningen har som närmare framgår av avsnitt 6.4.4 övervägt IMY som marknadskontrollmyndighet med huvudsakligt ansvar för AI- förordningen. Utredningen har därför även tittat på lämpligheten i att tilldela ansvaret för punkten 5 a till IMY. I denna del gör sig i huvudsak samma argument gällande som utredningen redogjort för beträffande punkten 3 i bilaga III. IMY har också haft samma in- ställning i denna punkt som beträffande punkten 3 (se avsnitt 6.5.3). IMY har därtill framhållit att myndigheten ser stor överlappning mellan förmånsutbetalande offentliga aktörer som kan omfattas av området i punkten 5 a och de syften som faller in under punkten 6 i bilaga III (brottsbekämpning), som IMY föreslås ansvara för (se av- snitt 6.5.1). IMY baserar det på att myndigheten ser att framför allt kommunala och statliga aktörer som hanterar frågor om välfärds- systemet kommer att omfattas av området och att många av dessa aktörer även har i uppgift att leta efter fusk och felaktiga utbetal- ningar som en del av regeringens bekämpande av den organiserade brottsligheten och annan välfärdsbrottslighet. IMY ser därför en stor potentiell överlappning mellan området i punkten 5 a och bl.a. området i punkten 6 c (om att utvärdera bevisning), 6 d (om att be- döma risk för brott), och 6 e (om att profilera personer vid upptäckt, utredning eller lagföring av brott). I sammanhanget har IMY också lyft fram att definitionen av begreppen brottsbekämpande myndighet i artikel 3.45 a och brottsbekämpning i artikel 3.46 i AI-förordningen kan tolkas smalt, och görs så av vissa, men det kan också tolkas mycket brett, vilket görs av andra. Där har IMY lyft fram att reger- ingens vilja t.ex. uttrycks i strategin Motståndskraft och handlings- kraft – en nationell strategi mot organiserad brottslighet där regeringen bl.a. angett att kommunerna från och med den 1 juli 2023 fått ett lag- 259 Marknadskontrollmyndigheter SOU 2025:101 stadgat ansvar att arbeta brottsförebyggande och att arbetet mot väl- färdsbrott måste omfatta hela den offentliga sektorn.180 Utredningen bedömer att det är viktigt att brottsbekämpningen i Sveriges hålls samman, och förstår den problematik som IMY fram- håller. Av de skäl som utredningen närmare redogjort för i avsnittet ovan bedömer dock utredningen att PTS är den lämpligaste myndig- heten att ansvara för området. Frågor om överlapp i förhållande till det brottsbekämpande området bör i stället kunna hanteras inom det samverkans- och samordningssystem som utredningen föreslår i avsnitt 9.4.1 och 9.5. På samma sätt bör eventuella överlapp bl.a. i förhållande till Läkemedelsverkets föreslagna ansvar för AI-system i medicintekniska produkter (se avsnitt 6.6) också kunna hanteras inom det föreslagna samverkans- och samordningssystemet. 6.5.6 Ansvar för punkten 5 b i bilaga III Utredningens förslag: Finansinspektionen ska vara marknads- kontrollmyndighet med ansvar för att utöva marknadskontroll över AI-system som avses i artikel 6.2 i AI-förordningen och som används inom det område som förtecknas i punkten 5 b i bilaga III, inom myndighetens område för tillsyn, regelgivning, tillståndsprövning och registrering som rör finansiella marknader och finansiella företag. IMY ska vara marknadskontrollmyndighet med ansvar för att utöva marknadskontroll över AI-system som avses i artikel 6.2 i AI-förordningen och som används inom det område som för- tecknas i punkten 5 b i bilaga III, med undantag för de områden som omfattas av Finansinspektionens ansvar. Området värdering av kreditvärdighet och kreditbetyg, punkten 5 b Inom området 5 b i bilaga III är AI-system med hög risk de AI- system som används inom tillgång till och åtnjutande av väsentliga privata tjänster och väsentliga offentliga tjänster och förmåner då de är avsedda att 180 Skr. 2023/24:67, s. 20 och 21. 260 SOU 2025:101 Marknadskontrollmyndigheter – användas för att utvärdera fysiska personers kreditvärdighet eller fastställa deras kreditbetyg, med undantag för AI-system som används i syfte att upptäcka ekonomiska bedrägerier. Av skäl 58 i AI-förordningen framgår något om anledningen till att området tas upp i bilaga III. I skälen anges bl.a. att (…) [d]essutom bör AI-system som används för att utvärdera fysiska personers kreditbetyg eller kreditvärdighet klassificeras som AI-system med hög risk, eftersom de avgör de berörda personernas tillgång till eko- nomiska resurser eller väsentliga tjänster som bostad, el och telekom- munikationstjänster. AI-system som används för dessa ändamål kan medföra diskriminering av personer eller grupper och kan reproducera sådana historiska diskrimineringsmönster som det som baseras på ras- mässigt eller etniskt ursprung, kön, funktionsnedsättning, ålder eller sexuell läggning, eller skapa nya former av diskriminerande effekter. AI-system som föreskrivs i unionsrätten i syfte att upptäcka bedrägerier i samband med tillhandahållande av finansiella tjänster och för tillsyns- ändamål för att beräkna kreditinstituts och försäkringsföretags kapital- krav bör dock inte betraktas som AI-system med hög risk enligt denna förordning. Myndigheter med koppling till området Området i punkten 5 b kan sammanfattas som området värdering av kreditvärdighet och kreditbetyg. Förvaltningsmyndigheter med sektorsspecifik kunskap som utredningen bedömer har en koppling till området är huvudsakligen Finansinspektionen, Konsumentverket och IMY. Finansinspektionen ansvarar bl.a. för tillsynen, regelgivningen, tillståndsprövningen och registreringen som rör finansiella mark- nader och finansiella företag.181 Finansinspektionen är även behörig tillsyns- och kontrollmyndighet beträffande unionsrättsakter om finansiella tjänster.182 Konsumentverket är förvaltningsmyndighet för konsumentfrågor och har bl.a. ansvar för att utöva tillsyn, inklusive marknadskontroll, enligt de konsumentskyddande regler som ligger inom myndighetens 181 1 § förordningen med instruktion för Finansinspektionen. 182 1 kap. 4 § lagen (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag samt 4 och 5 §§ förordningen med instruktion för Finansinspektionen. 261 Marknadskontrollmyndigheter SOU 2025:101 ansvarsområde.183 Konsumentverket är även behörig myndighet en- ligt flera unionsrättsakter gällande finansiella tjänster.184 IMY är – av relevans i denna punkt - tillstånds- och tillsynsmyn- dighet enligt kreditupplysningslagen (1973:1173).185 Överväganden och förslag Inledning Av artikel 74.6 i AI-förordningen framgår att för AI-system med hög risk som släpps ut på marknaden, tas i bruk eller används av finansinstitut som regleras av unionsrätten om finansiella tjänster ska marknadskontrollmyndigheten vid tillämpning av AI-förord- ningen som utgångspunkt vara den berörda nationella myndighet som enligt den lagstiftningen ansvarar för den finansiella tillsynen över dessa institut. Detta i den mån som utsläppandet på marknaden, ibruktagandet eller användningen av AI-systemet står i direkt sam- band med tillhandahållandet av dessa finansiella tjänster. Genom undantag från artikel 74.6 får en annan berörd myndighet, under lämpliga omständigheter och under förutsättning att samordning säkerställs, av medlemsstaten identifieras som marknadskontroll- myndighet vid tillämpning av AI-förordningen (artikel 74.7). Kommissionen lämnade 2021 ett förslag till ett nytt EU-direktiv om konsumentkrediter. EU-direktivet beslutades 2023. Av 2023 års konsumentkreditdirektiv186 framgår att 2008 års konsumentkredit- direktiv187 endast delvis uppfyllt syftet, som var att säkerställa en hög nivå av konsumentskydd samt underlätta framväxten av en väl fun- gerande inre marknad för konsumentkrediter. Detta ansågs bero bl.a. på direktivets utformning och på externa faktorer. Syftet med 183 1 § förordningen med instruktion för Konsumentverket. 184 Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut och värdepappersföretag, om ändring av direktiv 2002/87/EG och om upphävande av direktiv 2006/48/EG och 2006/49/EG, Europaparlamentets och rådets direktiv 2008/48/EG av den 23 april 2008 om konsument- kreditavtal och om upphävande av rådets direktiv 87/102/EEG och Europaparlamentets och rådets direktiv 2014/17/ЕU av den 4 februari 2014 om konsumentkreditavtal som avser bostads- fastighet och om ändring av direktiven 2008/48/EG och 2013/36/EU och förordning (EU) nr 1093/2010. 185 2 a § förordningen med instruktion för Integritetsskyddsmyndigheten. 186 Europaparlamentet och rådets direktiv (EU) 2023/2225 av den 18 oktober 2023 om kon- sumentkreditavtal och om upphävande av direktiv 2008/48/EG. 187 Europaparlamentets och rådets direktiv 2008/48/EG av den 23 april 2008 om konsument- kreditavtal och om upphävande av rådets direktiv 87/102/EEG. 262 SOU 2025:101 Marknadskontrollmyndigheter det nya förslaget är därför att förbättra konsumentskyddet och där- med öka konsumenternas förtroende samt att främja en väl funge- rande inre marknad. Konsumentkreditutredningen som tillsattes för att analysera och föreslå vilka författningsändringar som behövs för att i svensk rätt genomföra 2023 års konsumentkreditdirektiv föreslog i delbetänkande Ett nytt konsumentkreditdirektiv (SOU 2024:69), bl.a. en ny konsu- mentkreditlag. Utredningen föreslog vidare att lagändringarna ska träda i kraft den 20 november 2026. 2023 års konsumentkreditdirektiv innehåller bestämmelser om tillsyn i artikel 37.1. Enligt artikeln ska medlemsstaterna säkerställa att kreditgivare och kreditförmedlare omfattas av tillsynsarrangemang som inrättas av en oberoende behörig myndighet. Även 2008 års konsumentkreditdirektiv innehöll krav på kontroll av kreditgivare och artikeln genomfördes i 55 § konsumentkreditlagen (2010:1846) som innehåller regler om tillsyn. Regleringen i 2023 års konsument- kreditdirektiv medför dock att kravet på tillsyn utökas så att tillsynen omfattar fler typer av företag. Vidare innehåller det nya direktivet flera näringsrättsliga bestämmelser. Finansinspektionens tillsynsområde är på väg att utökas och Konsumentverkets är på väg att minskas Konsumentverket utövar tillsyn över att konsumentkreditlagen följs.188 Tillsynen omfattar emellertid inte Sveriges Riksbank, verk- samhet som står under tillsyn av Finansinspektionen eller verksamhet hos Kronofogdemyndigheten. Det innebär att tillsynsansvaret för konsumentkreditmarknaden delas mellan Konsumentverket och Finansinspektionen. I förhållande till de näringsidkare vars huvudsakliga verksamhet är något annat än kreditgivning eller kreditförmedling, och som där- med enligt gällande rätt inte är tillståndspliktiga, omfattar Konsu- mentverkets tillsyn konsumentkreditlagen i dess helhet. Finansinspektionen utövar tillsyn över de företag som driver till- ståndspliktig verksamhet. Tillsynsansvaret omfattar företag med till- stånd att verka som kreditinstitut, betalningsinstitut, institut för elektroniska pengar, bostadskreditinstitut och konsumentkredit- 188 55 § konsumentkreditlagen. 263 Marknadskontrollmyndigheter SOU 2025:101 institut. Finansinspektionens tillsyn omfattar bl.a. att verksamheten bedrivs enligt den lag som verksamheten lyder under samt andra författningar som reglerar institutets verksamhet.189 Konsumentkreditutredningen har i SOU 2024:69 bedömt att Finansinspektionen på motsvarande sätt som tidigare bör utöva tillsynen över verksamhet med andra konsumentkrediter än bostads- krediter, som bedrivs med tillstånd enligt den föreslagna regleringen i lagen om verksamhet med bostadskrediter och vissa andra konsu- mentkrediter. Det utvidgade tillståndskravet kommer att medföra att vissa företag som tidigare stått under Konsumentverkets tillsyn i stället kommer att stå under Finansinspektionens tillsyn. Detta innebär att Finansinspektionen för dessa företag också ansvarar för tillsynen över andra lagar.190 Konsumentkreditutredningens förslag till ny reglering på konsumentkreditsområdet medför sammanfatt- ningsvis att Finansinspektionen kommer att bedriva tillsyn över finan- siella tjänster som kräver tillstånd och att Konsumentverket kommer att bedriva tillsyn över finansiella tjänster som tillhandahålls av mindre företag som inte kräver tillstånd. Området för tillståndsplikt utökas, vilket skulle medföra att Finansinspektionens tillsynsområde ökar och Konsumentverkets tillsynsområde minskar. Konsumentkredit- utredningens förslag bereds inom Regeringskansliet. Utredningen har i kontakter med Finansinspektionen och Konsu- mentverket diskuterat de praktiska effekterna av de föreslagna be- stämmelserna till följd av 2023 års konsumentkreditdirektiv. Finans- inspektionen har under våren 2025 genomfört en översyn av hur många aktörer som agerar inom de respektive områdena för Finans- inspektionens och Konsumentverkets tillsynsområden. Det samlade intrycket från representanter för myndigheterna är att Konsument- verkets ansvar som tillsynsmyndighet på dessa områden kommer att vara mycket begränsat efter att 2023 års konsumentkreditdirektiv är genomfört i svensk rätt. Skälet till detta är att fler områden på konsumentkreditområdet kommer att vara tillståndspliktiga, något som talar för att Finansinspektionen också ska utöva tillsyn över 189 Bl.a. reglerna om kreditprövning i konsumentkreditlagen, 13 kap. 2 § lagen (2004:297) om bank- och finansieringsrörelse, 8 kap. 1 § lagen (2010:751) om betaltjänster, 5 kap. 1 § lagen (2011:755) om elektroniska pengar, 5 kap. 2 § lagen (2016:1024) om verksamhet med bostads- krediter och 16 § lagen (2014:275) om viss verksamhet med konsumentkrediter. För en mer ingående redogörelse för uppdelningen, se SOU 2024:69, s. 360 f. 190 SOU 2024:69, s. 362. 264 SOU 2025:101 Marknadskontrollmyndigheter dessa områden såsom sker i övrig tillståndspliktig verksamhet på kreditområdet. IMY:s tillsyn inom kreditmarknaden IMY ger tillstånd och bedriver tillsyn över kreditupplysningsbolag som omfattas av kreditupplysningslagen.191 Tillstånds- och tillsyns- området omfattas av bilaga III, punkten 5 b. Enligt IMY:s årsredo- visning för 2024 omfattar ansvarsområdet endast en mycket liten del av myndighetens verksamhet, men området orsakar viss tillsyn och en del frågor och klagomål från allmänheten.192 Finansinspektionen bör vara ansvarig för delar av punkten 5 b Finansinspektionen är och kommer fortsatt vara den berörda natio- nella myndighet som ansvarar för den finansiella tillsynen över finans- institut som regleras av unionsrätten om finansiella tjänster. Ansvaret är dessutom av allt att döma på väg att utökas i och med genom- förandet av 2023 års konsumentkreditdirektiv. Finansinspektionen har i kontakter med utredningen gett uttryck för att ansvaret för marknadskontroll över AI-system med hög risk på finansområdet bör följa det ansvar myndigheten har för tillstånds- givning och övrig tillsyn, men att det kan komma att orsaka svårig- heter för myndigheten att ta ett ansvar även för områden som ligger utanför dess nuvarande ansvarsområde. Uppfattningen ligger också i linje med hur artikel 74.6 i AI-förordningen anger huvudregeln för ansvarsfördelningen. Även harmoniseringsskäl talar för att Finans- inspektionen ska utöva marknadskontroll över området för finansiella tjänster. Såväl Finansinspektionens erfarenhet och sakkunskap inom området för finansiella tjänster som förutsebarheten för marknads- aktörerna i det att marknadskontroll och tillsyn sker från samma myn- dighet som tidigare talar för att Finansinspektionen ska få ansvaret för marknadskontrollen över AI-system med hög risk på detta om- råde. Några skäl att frångå huvudregeln i artikel 74.6 har inte fram- kommit. Tvärtom finns det starkt vägande skäl för att tilldela ansvaret 191 3 och 15 §§ kreditupplysningslagen. 192 Årsredovisning, IMY, 2024, s. 18. 265 Marknadskontrollmyndigheter SOU 2025:101 för del av området i punkten 5 b till Finansinspektionen i stället för PTS (jfr avsnitt 6.4.4). Detta innebär att Finansinspektionen bör ansvara för marknads- kontroll beträffande AI-system med hög risk som är avsedda att användas för att utvärdera fysiska personers kreditvärdighet eller fastställa deras kreditbetyg, med undantag för AI-system som används i syfte att upptäcka ekonomiska bedrägerier, i fråga om området för tillsyn, regelgivning, tillståndsprövning och registrering som rör finan- siella marknader och finansiella företag. IMY bör vara ansvarig för resterande delar av punkten 5 b Representanter för IMY har uttryckt att det är lämpligt att myndig- heten får ansvaret för marknadskontroll över AI-system med hög risk inom det område myndigheten för närvarande bedriver tillstånds- givning och tillsyn. Uppfattningen följer den huvudregel som ställs upp i artikel 74.6 i AI-förordningen. Även IMY:s erfarenhet och sakkunskap inom området för kreditupplysning samt förutsebar- heten för marknadsaktörerna i det att marknadskontroll och tillsyn sker från samma myndighet som tidigare talar för att IMY ska få ansvaret för marknadskontrollen över AI-system med hög risk på detta område. Några tillräckligt starka skäl att frångå huvudregeln i artikel 74.6 har inte framkommit. Konsumentverkets ansvar för tillsyn inom finansiella tjänster kommer av allt att döma att begränsas till kreditgivning och kredit- förmedling som inte är tillståndspliktig. Som utredningen nämnt ovan kommer området för sådan tillsyn vara mycket begränsat, vilket också innebär att området för marknadskontroll över AI- system på området kommer vara mycket begränsat. Det förefaller enligt utredningen som en lämpligare ordning att Konsumentverket undantas från att utöva marknadskontroll för finansiella tjänster enligt AI-förordningen med hänsyn till områdets begränsade om- fattning. Utredningen bedömer att en begränsning av antalet marknads- kontrollmyndigheter bör eftersträvas (se avsnitt 6.4.2). Av det följer att antalet ansvariga marknadskontrollmyndigheter inom samma område också bör begränsas. I detta syfte gör utredningen bedöm- ningen att ansvaret för marknadskontroll inom området för finan- 266 SOU 2025:101 Marknadskontrollmyndigheter siella tjänster som inte omfattas av tillståndsplikt bör läggas på IMY eller Finansinspektionen, som alltså redan ansvarar för finansiella tjänster. Vid kontakter med representanter för Finansinspektionen är det myndighetens uppfattning att det skapar svårigheter i myndig- hetens verksamhet att utöka tillsynsområdet för finansiella tjänster utöver den verksamhet som kräver tillstånd. IMY kommer dock att behöva bygga upp en omfattande verksamhet till följd av ansvaret som myndigheten i andra delar föreslås få enligt AI-förordningen (se avsnitt 6.5.1 och 6.7.3). Myndigheten har som konstaterats kopp- ling till punkten 5 b. Det har inte PTS. Att då utsträcka IMY:s ansvar för AI-system inom finansiella tjänster som inte rör tillståndspliktig verksamhet förefaller vara det mest lämpliga. Det finns således starkt vägande skäl för att tilldela ansvaret för det resterande området i punkten 5 b till IMY i stället för PTS (jfr avsnitt 6.4.4). Slutsatser Marknadskontrollansvaret över AI-system som är avsedda att an- vändas för att utvärdera fysiska personers kreditvärdighet eller fast- ställa deras kreditbetyg, med undantag för AI-system som används i syfte att upptäcka ekonomiska bedrägerier, bör läggas på Finans- inspektionen inom de områden som myndigheten redan har och kommer att få tillstånds- och tillsynsansvar över. Av förordningen med instruktion för Finansinspektionen framgår att myndigheten ansvarar för tillsynen, regelgivningen, tillståndsprövningen och regi- streringen som rör finansiella marknader och finansiella företag.193 Myndighetens ansvarsområde bör därför regleras med en sådan av- gränsning. IMY bör få ansvar för resterande områden som faller in under punkten 5 b i bilaga III. Utredningen föreslår därför att Finansinspektionen ska ansvara för området i punkten 5 b i bilaga III, inom myndighetens område för tillsyn, regelgivning, tillståndsprövning och registrering som rör finansiella marknader och finansiella företag, och att IMY ska ansvara för resterande områden som faller in under punkten 5 b i bilaga III. 193 1 § första stycket 1 förordning med instruktion för Finansinspektionen. 267 Marknadskontrollmyndigheter SOU 2025:101 6.5.7 Ansvar för punkten 5 c i bilaga III Utredningens förslag: Finansinspektionen ska vara marknads- kontrollmyndighet med ansvar för att utöva marknadskontroll över AI-system som avses i artikel 6.2 i AI-förordningen och som används inom det område som förtecknas i punkten 5 c i bilaga III. Området beräkning av premier för liv- och sjukförsäkringar Inom området 5 c i bilaga III är AI-system med hög risk de AI- system som används inom tillgång till och åtnjutande av väsentliga privata tjänster och väsentliga offentliga tjänster och förmåner då de är avsedda att – användas för riskbedömning och prissättning i förhållande till fysiska personer när det gäller livförsäkring och sjukförsäkring. Av skäl 58 i AI-förordningen framgår något om anledningen till att området tas upp i bilaga III. I skälen anges bl.a. att (…) [v]idare kan AI-system som är avsedda att användas för riskbedöm- ning och prissättning när det gäller fysiska personer av sjuk- och livför- säkring också ha en betydande inverkan på människors försörjningsmöj- ligheter och kan, om de inte utformas, utvecklas och används på rätt sätt, inkräkta på deras grundläggande rättigheter och leda till allvarliga konsekvenser för människors liv och hälsa, inbegripet ekonomisk ute- stängning och diskriminering. Myndigheter med koppling till området Området i punkten 5 c kan sammanfattas som området beräkning av premier för liv- och sjukförsäkringar. Förvaltningsmyndigheter med sektorsspecifik kunskap som utredningen bedömer har en kopp- ling till området är huvudsakligen Finansinspektionen, till viss del även Konsumentverket. Finansinspektionen utövar, utöver vad som tidigare angetts, till- syn över försäkringsföretag, såväl liv- som skadeförsäkring. Konsumentverket utövar tillsyn enligt lagen (1994:1512) om avtals- villkor i konsumentförhållanden, som är en marknadsrättslig lag som är tillämplig på avtalsvillkor som vänder sig till konsumenter, 268 SOU 2025:101 Marknadskontrollmyndigheter däribland försäkringsvillkor. I förhållande till dessa villkor består dock Konsumentverkets, genom Konsumentombudsmannen, verk- samhet i att utöva marknadsrättslig tillsyn och har därför inte särskilt stark koppling till beräkning av premier för försäkringar i enskilda fall. Överväganden och förslag Konsumentverket bör inte vara aktuell som marknadskontrollmyndighet på området Av 3 § lagen om avtalsvillkor i konsumentförhållanden framgår att om ett avtalsvillkor med hänsyn till pris och övriga omständigheter är oskäligt mot konsumenten, får Patent- och marknadsdomstolen förbjuda näringsidkaren att i framtiden i liknande fall använda samma eller väsentligen samma villkor, om förbudet är motiverat från all- män synpunkt eller annars ligger i konsumenternas eller konkurren- ternas intresse. Talan förs – såvitt nu är av intresse – av Konsument- ombudsmannen.194 Bestämmelsen i 3 § är av marknadsrättslig karaktär. Som regeringen anförde i prop. 1994/95:17 föreligger det en väsentlig skillnad mellan att tillämpa civilrättsliga bestämmelser och föreskrifter av marknads- rättslig karaktär. Vid prövning av om ett avtalsvillkor är oskäligt enligt en civilrättslig bestämmelse är förhållandena i allmänhet individuella och utgången blir därför i hög grad beroende av omständigheterna i det enskilda fallet. När ett avtalsvillkors skälighet ska prövas med tillämpning av marknadsrättsliga regler handlar det om en allmän bedömning där enskilda förhållanden kommer i bakgrunden.195 Priset för försäkringar är föremål för individuell förhandling och avtalade mellan parterna. Vid sådana avtal som redan har slutits, kan oskäliga avtalsvillkor i stället angripas med civilrättsliga bestämmelser, främst 36 § avtalslagen, kompletterad med 11 § lagen om avtals- villkor i konsumentförhållanden.196 Detta innebär att Konsument- ombudsmannens verksamhet i förhållande till priset på försäkringar är av ren marknadsrättslig karaktär och inte civilrättslig karaktär. Punkten 5 c i bilaga III avser AI-system som är avsedda att an- vändas för riskbedömning och prissättning i förhållande till fysiska 194 9 § lagen om avtalsvillkor i konsumentförhållanden. 195 Prop. 1994/95:17, s. 63. 196 Unnersjö, A., 3 § lagen (1994:1512) om oskäliga avtalsvillkor i konsumentförhållanden, Karnov (JUNO) (hämtad 2025-02-26). 269 Marknadskontrollmyndigheter SOU 2025:101 personer när det gäller liv- och sjukförsäkring. Detta rör enligt ut- redningen individuella avtalsvillkor som Konsumentombudsmannen i regel inte har något marknadsrättsligt tillsynsansvar för. Slutsatsen är alltså att Konsumentverkets verksamhet inte ligger så nära området som punkten 5 c reglerar och utredningen gör därför be- dömningen att Konsumentverket inte är aktuell att föreslå som mark- nadskontrollmyndighet att utöva marknadskontroll över området. Finansinspektionen bör utses till marknadskontrollmyndighet på området Som utredningen har redogjort för i avsnitt 6.5.6 ansvarar Finans- inspektionen bl.a. för tillsynen, regelgivningen, tillståndsprövningen och registreringen som rör finansiella marknader och finansiella företag samt är behörig tillsyns- och kontrollmyndighet beträffande unionsrättsakter om finansiella tjänster. Finansinspektionen utövar även tillsyn över att den som i Sverige bedriver försäkringsdistribu- tion följer lagen (2018:1219) om försäkringsdistribution och andra författningar som reglerar försäkringsdistributörens verksamhet samt över försäkringsföretag enligt 17 kap. 2 § försäkringsrörelselagen (2010:2043). I dessa egenskaper utfärdar inspektionen föreskrifter och allmänna råd, förhandlar med näringsidkarna och deras organisa- tioner om standardavtal, handlägger klagomål från konsumenter, tar upp förhandlingar med enskilda näringsidkare om deras agerande på marknaden i olika hänseenden, genomför systematiska granskningar av avtalsvillkor och övervakar marknaden i övrigt. Finansinspektionen har således en lång och bred erfarenhet av tillsyn inom försäkringsmarknaden. Mot bakgrund av detta och Finansinspektionens uppgifter inom den finansiella marknaden talar övervägande skäl för att föreslå att Finansinspektionen ska utses till marknadskontrollmyndighet över området i punkten 5 c i bilaga III. Ett sådant förslag innebär att Finansinspektionen alltjämt ska utöva tillsyn, i detta avseende marknadskontroll, över området för liv- och sjukförsäkringar. Ett sådant förslag skapar förutsebarhet på försäk- ringsmarknaden i synnerhet och – givet att Finansinspektionen även föreslås utses till marknadskontrollmyndighet på områden inspek- tionen bedriver tillsyn i fråga om andra finansiella tjänster – på finans- marknaden i allmänhet och kan bidra till ett harmoniserat synsätt på tillsynen över försäkringsområdet. 270 SOU 2025:101 Marknadskontrollmyndigheter Utredningen anser alltså att det finns starkt vägande skäl att till- dela ansvaret för området i punkten 5 c till Finansinspektionen i stället för PTS (jfr avsnitt 6.4.4). Utredningen föreslår därför att Finansinspektionen ska ansvara för området i punkten 5 c. 6.5.8 Ansvar för punkten 5 d i bilaga III Utredningens förslag: PTS ska vara marknadskontrollmyndighet med ansvar för att utöva marknadskontroll över AI-system som avses i artikel 6.2 i AI-förordningen och som används inom det område som förtecknas i punkten 5 d i bilaga III. Området larmsamtal och prioritering av larmtjänster Inom området 5 d i bilaga III är AI-system med hög risk de AI- system som används inom tillgång till och åtnjutande av väsentliga privata tjänster och väsentliga offentliga tjänster och förmåner då de är avsedda att – utvärdera och klassificera nödsamtal från fysiska personer eller användas för att sända ut eller för att fastställa prioriteringsord- ningen för utsändning av larmtjänster, inbegripet polis, brandkår och ambulans, samt av patientsorteringssystem för akutsjukvård. Av skäl 58 i AI-förordningen framgår något om anledningen till att området tas upp i bilaga III. I skälen anges bl.a. att (…) [s]lutligen bör även AI-system som används för att utvärdera och klassificera nödsamtal från fysiska personer eller för att sända ut eller fastställa prioriteringsordning för utsändning av larmtjänster, inbegripet av polis, brandkår och sjukvård, samt av patientsorteringssystem för akutsjukvård klassificeras som AI-system med hög risk, eftersom dessa system fattar beslut i situationer som är mycket kritiska för personers liv, hälsa och egendom. 271 Marknadskontrollmyndigheter SOU 2025:101 Myndigheter med koppling till området Området i punkten 5 d kan sammanfattas som området larmsamtal och prioritering av larmtjänster. Området kan förväntas påverka bl.a. statliga myndigheter, kommuner och regioner som ansvarar för sam- hällets hjälpresurser, såsom polis, räddningstjänst och ambulans samt SOS Alarm Sverige AB (SOS Alarm), som ansvarar för det nationella nödnumret 112. Ansvarsfördelningen inom alarmeringskedjan i Sverige är kompli- cerad och involverar flera aktörer.197 Samtal till 112 tas emot av SOS Alarm, som ansvarar för 112-tjänsten på uppdrag av staten.198 SOS Alarm besvarar alla 112-anrop, bedömer om det är ett akut ärende, och om så är fallet vilket eller vilka hjälporgan som behövs. Hur den fortsatta hanteringen av ett ärende hanteras skiljer sig åt mellan olika kommuner och regioner.199 Kommunerna har det huvudsakliga ansvaret för räddningstjänsten enligt lagen (2003:778) om skydd mot olyckor, med undantag för vissa uppgifter som staten ansvarar för. Statliga myndigheter med ansvar inom räddningstjänstområdet inkluderar Kustbevakningen, MSB, Polismyndigheten, Sjöfartsverket, Strålsäkerhetsmyndigheten och Transportstyrelsen. Även länsstyrelserna har ett visst ansvar.200 Lagen om skydd mot olyckor gäller dock inte hälso- och sjukvård, som regleras av hälso- och sjukvårdslagen (2017:30). Inom det om- rådet ansvarar regionerna för bl.a. sjuktransporter, som inkluderar ambulanssjukvård. Socialstyrelsen ansvarar vidare för att meddela föreskrifter på området.201 På hälso- och sjukvårdsområdet är i övrigt IVO huvudsakligt ansvarig för tillsyn.202 197 För fördjupad information se bl.a. betänkandet En nationell alarmeringstjänst – för snabba, säkra och effektiva hjälpinsatser (SOU 2018:28) och Socialstyrelsens rapport Sveriges prehospitala akutsjukvård – nulägesbild, bedömning och utvecklingsförslag, februari 2023, artikelnummer 2023-2-8337. 198 SOS Alarm ägs till 50 procent av svenska staten och till 50 procent av Sveriges Kommuner och Regioner (SKR) genom SKR Företag AB. SOS Alarms uppdrag regleras till stora delar i alarmeringsavtalet mellan staten och bolaget. Mellan staten och SKR Företag AB finns ett ägar- avtal (konsortialavtal dvs. ett aktieägaravtal) avseende SOS Alarm AB, och mellan regeringen och SOS Alarm finns ett alarmeringsavtal som bl.a. reglerar den s.k. SOS-tjänsten som inne- fattar att svara på nödnumret 112. 199 Socialstyrelsens rapport Sveriges prehospitala akutsjukvård – nulägesbild, bedömning och utvecklingsförslag, februari 2023, artikelnummer 2023-2-8337, s. 17 ff. 200 Bl.a. kap. 4 och 5 i förordningen (2003:789) om skydd mot olyckor. 201 Bl.a. 2 kap. 1 och 7 kap. 6 §§ hälso- och sjukvårdslagen och SOSFS 2009:10 Socialstyrelsens föreskrifter om ambulanssjukvård m.m. 202 1 § förordningen med instruktion för Inspektionen för vård och omsorg. 272 SOU 2025:101 Marknadskontrollmyndigheter Sammanfattningsvis har flera myndigheter koppling till området. Utredningen bedömer att MSB är den statliga myndighet som har starkast koppling till området i punkten 5 d. MSB har huvudsakligen ansvar för frågor om skydd mot olyckor, krisberedskap och civilt försvar, i den utsträckning inte någon annan myndighet har ansvaret. Specifikt av relevans inom området i punk- ten 5 d i bilaga III är att myndigheten har i uppdrag att utöva tillsyn över och kontroll av att åtagandena i alarmeringsavtalet mellan staten och SOS Alarm uppfylls samt även har annat ansvar med koppling till området.203 MSB ansvarar också för tillsyn över kommunernas räddningstjänst enligt lagen om skydd mot olyckor.204 I enlighet med de föreskrifter som gäller för området skydd mot olyckor, ska MSB också samordna och utveckla verksamheten inom räddningstjänsten och när det gäller olycks- och skadeförebyggande åtgärder. Myn- digheten ska även samordna och utveckla systemet för varning och information till allmänheten enligt lagen (2023:407) om viktigt med- delande till allmänheten samt förvalta och utveckla systemet förutom- husvarning. Myndigheten ska vidare upprätthålla en beredskap för att besluta om och genomföra luftburna sjuktransporter med svenska nationella ambulansflyget.205 MSB är därutöver sektorsansvarig myn- dighet för beredskapssektorn räddningstjänst och skydd av civil- befolkningen, vars ansvarsområde omfattar bl.a. flyg- och sjörädd- ningstjänst, miljöräddningstjänst till sjöss, eftersökning av försvunna personer, fjällräddning, kommunal räddningstjänst, storskalig ut- rymning, inkvartering och varningssystem.206 Överväganden och förslag Ansvaret bör inte fördelas utifrån sektorsspecifik kunskap Om urvalet av marknadskontrollmyndighet enbart baseras på sektors- specifik kunskap inom svenska förvaltningsmyndigheter bedömer utredningen att MSB är den lämpligaste myndigheten att överväga som ansvarig för marknadskontroll enligt punkten 5 d. Detta med 203 18 d § förordningen med instruktion för Myndigheten för samhällsskydd och beredskap. 204 5 kap. 1 § lagen om skydd mot olyckor. 205 3, 7 b och 14 a §§ förordningen med instruktion för Myndigheten för samhällsskydd och beredskap. 206 https://www.msb.se/sv/om-msb/vart-uppdrag/beredskapssektorn-raddningstjanst-och- skydd-av-civilbefolkningen/ (hämtad 2025-02-20). 273 Marknadskontrollmyndigheter SOU 2025:101 hänsyn till att MSB är den myndighet som har störst tillsynsansvar inom området, dels genom tillsynsansvaret för alarmeringsavtalet mellan staten och SOS Alarm, dels genom tillsynsansvaret enligt lagen om skydd mot olyckor. MSB är visserligen inte den enda till- synsmyndigheten med ansvar inom området i punkten 5 d, där bl.a. vissa hälso- och sjukvårdsfrågor också aktualiseras. Oaktat detta be- dömer utredningen att MSB kan antas ha förutsättningar att hantera ansvaret för hela området. Utredningen har i avsnitt 6.4.3 också be- dömt att MSB på en övergripande nivå har förutsättningar att hantera ett uppdrag som marknadskontrollmyndighet enligt AI-förordningen. MSB har i kontakter med utredningen förmedlat att MSB i och för sig har kapacitet att hantera ansvarsområdet, men att myndig- heten bedömer att ansvaret för området i punkten 5 d bör fördelas och centraliseras till PTS. Andra aktörer som utredningen har varit i kontakt med har också förordat en generell centralisering av AI- förordningen, innefattande denna punkt. Sett till redogörelsen ovan bedömer utredningen att det inte fram- står som det lämpligaste alternativet att fördela ansvaret för punk- ten 5 a i bilaga III utifrån sektorsspecifik kunskap. Ansvaret bör tilldelas PTS Utredningen bedömer att det inte finns starkt vägande skäl för att tilldela ansvaret för området i punkten 5 d i bilaga III till en myndig- het med sektorsspecifik kunskap. Ansvaret bör därför tilldelas PTS, i egenskap av marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen (se avsnitt 6.4.4). Vid behov av sektorsspecifik kunskap bör PTS i stället kunna begära bistånd från relevant sektors- myndighet enligt 8 § FL (se närmare i avsnitt 9.8.2). PTS har också förordat att ansvaret för punkten 5 d tilldelas myn- digheten inom ramen för ett uppdrag som marknadskontrollmyn- dighet med huvudsakligt ansvar för AI-förordningen. Området har också viss koppling till PTS ansvarsområden inom elektronisk kom- munikation samt i frågor om icke-diskriminering. Utredningen föreslår därför att PTS, i egenskap av marknads- kontrollmyndighet med huvudsakligt ansvar för AI-förordningen, ska ansvara för området i punkten 5 d. Det gäller oavsett om PTS och Digg slås samman till en myndighet eller inte. 274 SOU 2025:101 Marknadskontrollmyndigheter Ett annat alternativ som utredningen har övervägt Utredningen har som närmare framgår av avsnitt 6.4.4 övervägt IMY som marknadskontrollmyndighet med huvudsakligt ansvar för AI- förordningen. Utredningen har därför även tittat på lämpligheten i att tilldela ansvaret för punkten 5 d till IMY. IMY har förordat att ansvaret för området tilldelas myndigheten, oaktat om myndigheter blir marknadskontrollmyndighet med huvud- sakligt ansvar för AI-förordningen eller ej, eftersom området har en stark koppling till IMY:s nuvarande tillsynsansvar och koppling till myndighetens andra föreslagna ansvarsområden enligt AI-förord- ningen. IMY har förmedlat att myndigheten bedömer att området primärt avser s.k. ”triage-system” och ”dispatch-frågor” och att myndig- heten redan i dagsläget ser att sådana frågor kommer upp inom myn- dighetens tillsynsuppdrag på dataskyddsområdet eftersom det före- kommer en stor personuppgiftshantering i sådana system. IMY har även lyft fram att myndigheten ser att området har koppling till flera av användningsområdena i bilaga III och artikel 5, särskilt frågor om s.k. profilering. Utredningen kan också konstatera att området i punkten 5 d har koppling till punkten 6 i bilaga III (brottsbekämpning) som utred- ningen föreslår att IMY ska ansvara för (se avsnitt 6.5.1), bl.a. genom att det är polisens regionledningscentral (RLC) som i dagsläget besva- rar 112-samtal. Området i punkten 5 d har också en potentiell kopp- ling till sådan profilering som är förbjuden enligt artikel 5.1 d, som utredningen också föreslår att IMY ska ansvara för (se avsnitt 6.7). Samtidigt kan området i punkten 5 d också tänkas överlappa om- rådet i punkten 5 a (väsentliga förmåner och tjänster i form av offent- ligt stöd), som bl.a. omfattar utvärderingar av fysiska personers rätt till hälso- och sjukvårdstjänster. Det området föreslår utredningen att PTS ska ansvara för (se avsnitt 6.5.5). Beröringspunkter kommer alltså troligen att finnas mellan flera användningsområden i AI-för- ordningen, oavsett vilken myndighet som får ett ansvar för punk- ten 5 d. Befintlig teknik och ansvarsfördelning inom alarmerings- kedjan kan också komma att utvecklas och förändras från hur det ser ut i nuläget. Utredningen bedömer som tidigare påpekats i avsnitt 6.5.5 att det är viktigt att brottsbekämpningen i Sveriges hålls samman, och 275 Marknadskontrollmyndigheter SOU 2025:101 förstår den problematik som IMY framhåller. Av de skäl som utred- ningen närmare har redogjort för i avsnittet ovan bedömer utred- ningen att PTS är den lämpligaste myndigheten att ansvara för om- rådet i punkten 5 d. IMY föreslås dock alltjämt ansvara för frågor om brottsbekämpning och förslaget i den här delen ändrar inte det ansvaret. Frågor om överlapp bl.a. i förhållande till det brottsbekäm- pande området bör i stället kunna hanteras inom det samverkans- och samordningssystem som utredningen föreslår i avsnitt 9.4.1 och 9.5. 6.6 Ansvarsfördelning: bilaga IA Utredningens förslag: Arbetsmiljöverket, Boverket, Elsäkerhets- verket, Kemikalieinspektionen, Konsumentverket, Läkemedels- verket, MSB, PTS och Transportstyrelsen ska vara marknadskon- trollmyndigheter med ansvar för att utöva marknadskontroll över AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är relaterade till produkter som omfattas av respektive myndighets nuvarande ansvarsområde inom rättsakterna som tas upp i bilaga IA till AI-förordningen. 6.6.1 Områdena i bilaga I AI-system som är relaterade till de rättsakter som tas upp i bilaga I till AI-förordningen utgör under vissa omständigheter AI-system med hög risk. Av artikel 6.1 framgår att ett AI-system ska betraktas som ett AI- system med hög risk om 1) AI-systemet är avsett att användas som en säkerhetskomponent i en produkt eller där själva AI-systemet är en produkt som omfattas av rättsakterna i bilaga I, samt 2) det omfattas av krav på att genomgå en tredjepartsbedöm- ning av överensstämmelse för att produkten ska kunna släppas ut på marknaden eller tas i bruk enligt rättsakterna i bilaga I. Det är dock endast rättsakterna i bilaga IA som omfattas av sy- stemet för marknadskontroll enligt AI-förordningen. Av artikel 2.2 framgår nämligen att endast ett fåtal bestämmelser i AI-förordningen är tillämpliga på AI-system som klassificeras som AI-system med 276 SOU 2025:101 Marknadskontrollmyndigheter hög risk enligt artikel 6.1 och som är relaterade till produkter som omfattas av rättsakterna som förtecknas i bilaga IB. Rättsakterna som omfattas av avsnitt B berör fordon och andra transportmedel, där den svenska ansvariga marknadskontrollmyndig- heten i dagsläget är Transportstyrelsen. Inom det området är det endast artiklarna 6.1, 102–109 (vissa slutbestämmelser), 112 (kom- missionens utvärdering och översyn) och, under vissa omständig- heter, artikel 57 (regulatoriska sandlådor för AI) som är tillämpliga. Slutbestämmelserna i artiklarna 102–109 reglerar i stället direkta änd- ringar av rättsakterna i bilaga IB på så sätt att det i dessa rättsakter förs in artiklar som reglerar att kraven som uppställs på AI-system med hög risk i avsnitt 2 i kapitel III i AI-förordningen ska beaktas vid antaganden av delegerade akter, genomförandeakter eller andra detaljerade bestämmelser avseende tekniska specifikationer och för- faranden för godkännanden i enlighet med de specifika förfaranden som regleras i respektive rättsakt. I praktiken innebär det att kraven som uppställs på AI-system med hög risk i avsnitt B kommer att hanteras separat inom ramen för dessa rättsakter och senare. 6.6.2 Myndigheter med koppling till områdena Av artikel 74.3 i AI-förordningen framgår att för AI-system med hög risk som är relaterade till produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i bilaga IA ska marknads- kontrollmyndigheten vid tillämpning av AI-förordningen vara den myndighet ansvarig för marknadskontroll som utsetts enligt de rätts- akterna. Under lämpliga omständigheter får medlemsstaterna dock utse en annan berörd myndighet att fungera som marknadskontroll- myndighet under förutsättning att den säkerställer samordning med de berörda sektorsspecifika marknadskontrollmyndigheter som är ansvariga för kontroll av efterlevnaden av unionens harmoniserings- lagstiftning som förtecknas i bilaga IA. Totalt är det nio svenska myndigheter som i dag har till uppgift att vara marknadskontrollmyndighet enligt de rättsakter som tas upp i bilaga IA. Nedan listas dessa myndigheter. 277 Marknadskontrollmyndigheter SOU 2025:101 Arbetsmiljöverket utövar marknadskontroll över att produkter överensstämmer med kraven i EU:s maskindirektiv207 och EU:s direktiv om tryckbärande anordningar208. Verket utövar även mark- nadskontroll över att produkter överensstämmer med kraven i EU:s förordning om personlig skyddsutrustning209 när det gäller produkter som är avsedda för yrkesmässig användning, eller som kan antas komma att användas yrkesmässigt.210 Vidare ansvarar verket för mark- nadskontroll enligt 2014 års ATEX-direktiv211, utom när det gäller elektrisk utrustning.212 Boverket är marknadskontrollmyndighet enligt EU:s hissdirek- tiv213. Beträffande EU:s linbaneförordning214 är Boverket också marknadskontrollmyndighet.215 Elsäkerhetsverket utövar marknadskontroll över att produkter överensstämmer med kraven i EU:s leksaksdirektiv216 när det gäller produkternas elektriska egenskaper utom strålning.217 Verket utövar även marknadskontroll över att produkter överensstämmer med kra- ven i EU:s radioutrustningsdirektiv218 samt 2014 års ATEX-direktiv, i fråga om produkternas egenskaper när det gäller elsäkerhet.219 El- säkerhetsverket utövar även marknadskontroll över att produkter överensstämmer med kraven i EU:s förordning om gasanordningar220, 207 Europaparlamentets och rådets direktiv 2006/42/EG av den 17 maj 2006 om maskiner och om ändring av direktiv 95/16/EG. 208 Europaparlamentets och rådets direktiv 2014/68/EU av den 15 maj 2014 om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av tryckbärande anordningar. 209 Europaparlamentets och rådets förordning (EU) 2016/425 av den 9 mars 2016 om personlig skyddsutrustning och om upphävande av rådets direktiv 89/686/EEG. 210 2 § förordningen med instruktion för Arbetsmiljöverket och 3 § förordningen (2018:127) med kompletterande bestämmelser till EU:s förordning om personlig skyddsutrustning. 211 Europaparlamentets och rådets direktiv 2014/34/EU av den 26 februari 2014 om harmoni- sering av medlemsstaternas lagstiftning om utrustning och skyddssystem som är avsedda för användning i potentiellt explosiva atmosfärer. 212 2 § förordningen med instruktion för Arbetsmiljöverket. 213 Europaparlamentets och rådets direktiv 2014/33/EU av den 26 februari 2014 om harmo- nisering av medlemsstaternas lagstiftning om hissar och säkerhetskomponenter till hissar. 214 Europaparlamentets och rådets förordning (EU) 2016/424 av den 9 mars 2016 om linbane- anläggningar och om upphävande av direktiv 2000/9/EG. 215 8 kap. 3 § plan- och byggförordningen (2011:338). 216 Europaparlamentets och rådets direktiv 2009/48/EG av den 18 juni 2009 om leksakers säkerhet. 217 17 § förordningen (2011:703) om leksakers säkerhet. 218 Europaparlamentets och rådets direktiv 2014/53/EU av den 16 april 2014 om harmoni- sering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av radioutrustning och om upphävande av direktiv 1999/5/EG. 219 40 § elsäkerhetsförordningen (2017:218) och 9 § radioutrustningsförordningen (2016:394). 220 Europaparlamentets och rådets förordning (EU) 2016/426 av den 9 mars 2016 om anord- ningar för förbränning av gasformiga bränslen och om upphävande av direktiv 2009/142/EG. 278 SOU 2025:101 Marknadskontrollmyndigheter där ansvaret omfattar gasrelaterade risker som orsakas av faror av elektriskt eller elektromagnetiskt ursprung.221 Kemikalieinspektionen utövar marknadskontroll över att produkter överensstämmer med kraven i EU:s leksaksdirektiv, när det gäller produkternas brännbarhet och kemiska egenskaper.222 Konsumentverket utövar marknadskontroll enligt EU:s leksaks- direktiv i den utsträckning inte Kemikalieinspektionen eller Elsäker- hetsverket utövar marknadskontroll.223 Konsumentverket utövar även marknadskontroll över att produkter överensstämmer med kraven i EU:s förordning om personlig skyddsutrustning när det gäller pro- dukter som är avsedda för privat bruk, eller som kan antas komma att användas för privat bruk i inte obetydlig omfattning.224 Läkemedelsverket utövar marknadskontroll över att produkter överensstämmer med kraven i EU:s förordningar om medicintek- niska produkter.225 För tillsyn över egentillverkade medicintekniska produkter inom hälso- och sjukvården som omfattas av EU:s för- ordningar om medicintekniska produkter ansvarar även IVO. IVO är dock inte ansvarig för marknadskontroll (i enlighet med EU:s marknadskontrollförordning) enligt dessa rättsakter.226 Detta efter- som produkter som tillverkas och används i den egna verksamheten inte görs tillgängliga på marknaden och därmed inte omfattas av EU:s marknadskontrollförordning.227 MSB utövar marknadskontroll över att produkter överensstämmer med kraven i EU:s förordning om gasanordningar, med undantag för det ansvar som Elsäkerhetsverket har inom ramen för samma förordning.228 PTS utövar marknadskontroll över att produkter överensstämmer med kraven i EU:s radioutrustningsdirektiv, med undantag för pro- dukternas egenskaper när det gäller elsäkerhet.229 221 3 § förordningen (2018:1179) med kompletterande bestämmelser till EU:s förordning om gasanordningar. 222 17 § förordningen om leksakers säkerhet. 223 17 § förordningen om leksakers säkerhet. 224 2 § förordningen med kompletterande bestämmelser till EU:s förordning om personlig skyddsutrustning. 225 5 kap. 6 § förordningen (2021:631) med kompletterande bestämmelser till EU:s förord- ningar om medicintekniska produkter. 226 5 kap. 1–2 och 6 §§ förordningen med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter. 227 SOU 2020:49, s. 277. 228 2 § förordningen med kompletterande bestämmelser till EU:s förordning om gasanordningar. 229 9 § radioutrustningsförordningen. 279 Marknadskontrollmyndigheter SOU 2025:101 Transportstyrelsen är marknadskontrollmyndighet och beträffande EU:s fritidsbåtsdirektiv230 utövar myndigheten marknadskontroll.231 Tabell 6.2 Ansvarsfördelning i bilaga IA Rättsakt i bilaga IA Marknadskontrollmyndighet 1. EU:s maskindirektiv Arbetsmiljöverket 2. EU:s leksaksdirektiv Elsäkerhetsverket Kemikalieinspektionen Konsumentverket 3. EU:s fritidsbåtsdirektiv Transportstyrelsen 4. EU:s hissdirektiv Boverket 5. 2014 års ATEX-direktiv Arbetsmiljöverket Elsäkerhetsverket 6. EU:s radioutrustningsdirektiv Elsäkerhetsverket PTS 7. EU:s direktiv om tryckbärande Arbetsmiljöverket anordningar 8. EU:s linbaneförordning Boverket 9. EU:s förordning om personlig Arbetsmiljöverket skyddsutrustning Konsumentverket 10. EU:s förordning om gasanordningar Elsäkerhetsverket MSB 11. MDR-förordningen Läkemedelsverket 12. IVDR-förordningen Läkemedelsverket 6.6.3 Synpunkter från myndigheter inom bilaga IA Utredningen har haft möten och kontakter med samtliga myndigheter som berörs av bilaga IA. Vid dessa möten har det inte framförts någon enhetlig uppfattning om hur ansvaret för bilaga IA bör hanteras. Re- presentanter för ett antal myndigheter har fört fram att de anser att ansvaret bör fördelas i enlighet med artikel 74.3. Representanter för ett antal andra myndigheter har dock uttryckt tveksamhet till ett sådant system. Utredningen närvarade i december 2024 vid ett sammanträde i marknadskontrollrådet, där frågan diskuterades. Flera representanter för marknadskontrollmyndigheter uttryckte då en tveksamhet in- för att ha ansvar för ett uppdelat regelverk och att myndigheternas 230 Europaparlamentets och rådets direktiv 2013/53/EU av den 20 november 2013 om fritids- båtar och vattenskotrar och om upphävande av direktiv 94/25/EG. 231 12 § förordningen (2016:98) om fritidsbåtar och vattenskotrar. 280 SOU 2025:101 Marknadskontrollmyndigheter respektive marknadskontroll i stort sett uteslutande handlar om hård- vara och inte mjukvara. Flera ledamöter uttryckte även en oro beträf- fande kompetensförsörjningen med hänsyn till kraven på myndig- heterna enligt AI-förordningen. Detta särskilt med hänsyn till att kraven riskerar att skapa konkurrens mellan marknadskontrollmyn- digheter om samma personal. Flera ledamöter uttryckte att de gärna skulle se en centralisering av AI-ansvaret till en myndighet. Utredningen har även närvarat vid en workshop tillsammans med ledamöterna i marknadskontrollrådet, IMY och RISE i februari 2025, där frågor relaterade till AI-förordningen också diskuterats. Vid workshopen framfördes bl.a. synpunkten att det finns ett gap mellan traditionell marknadskontroll och marknadskontroll över AI-system och att det generellt finns utmaningar relaterade till kompetenskrav och tillgängliga resurser. Deltagare från Läkemedelsverket och RISE framförde att det finns ett samspel mellan AI och produkter och att man måste kunna ett sakområde för att förstå AI-systemets påverkan på det. Ett exempel som togs upp på det sistnämnda var att man måste förstå hur en hjälm fungerar för att förstå hur ett AI-system kan på- verka dess säkerhet. Läkemedelsverket har till utredningen framfört att myndigheten bedömer att den bästa lösningen för medicintekniska produkter, med hänsyn till produktsäkerheten och effektiviteten i kontrollen, är att Läkemedelsverket även ska vara marknadskontrollmyndighet för området enligt AI-förordningen. En representant för Transportstyrelsen har uttryckt till utred- ningen att Transportstyrelsen anser sig vara den bäst lämpade myndig- heten att hantera marknadskontrollen över AI-system som före- kommer i produkter inom myndighetens ansvarsområde. MSB har förmedlat till utredningen att myndigheten är positivt inställd till att ansvara för AI i gasanordningar. Kemikalieinspektionen har framfört att myndigheten bedömer att det är lämpligast att Konsumentverket, i egenskap av huvud- ansvarig marknadskontrollmyndighet för leksaker, utses till mark- nadskontrollmyndighet för krav i AI-förordningen som ska tillämpas på AI-system i leksaker. Detta eftersom Kemikalieinspektionen be- dömer att ett AI-system, som utgör mjukvara, inte har brännbara och kemiska egenskaper. Övriga myndigheter som omfattas av området i bilaga IA har in- kommit med synpunkter till utredningen men inte redovisat någon 281 Marknadskontrollmyndigheter SOU 2025:101 tydlig ställning för eller mot att utses till ansvariga myndigheter en- ligt AI-förordningen. 6.6.4 Överväganden och förslag Närmare om AI-förordningens specialreglering av rättsakterna i bilaga IA Utifrån utformningen av artikel 74.3 i AI-förordningen finns en utgångspunkt för att befintliga marknadskontrollmyndigheter inom området i bilaga IA även ska vara marknadskontrollmyndigheter över AI-system med hög risk som är relaterade till produkter på dess respektive område. En anledning till denna reglering kan antas vara att säkerställa att marknadskontrollmyndigheterna har den kompe- tens som krävs för att övervaka specifika sektorer, så som medicinsk utrustning. I skäl 46 i AI-förordningen anges vidare att syftet med detta är att säkerställa samstämmighet, att skapa flexibilitet samt undvika onödig administrativ börda eller onödiga kostnader för leverantörer av en produkt som innehåller ett eller flera AI-system med hög risk som omfattas av kraven i AI-förordningen och i unionens harmoni- seringslagstiftning som förtecknas i bilaga IA. AI-förordningen är dessutom uppbyggd utifrån en sådan huvud- regel, genom att AI-förordningen föreskriver en specialreglering för AI-system med hög risk som relaterar till rättsakterna som tas upp i bilaga IA i flera delar. Avseende marknadskontrollmyndigheternas förfaranden för att hantera AI-system som utgör en risk föreskrivs i artikel 74.4 exem- pelvis att de förfaranden som avses i artiklarna 79–83 i AI-förordning inte är tillämpliga på AI-system som är relaterade till produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i bilaga IA om sådana rättsakter redan föreskriver förfaranden som säkerställer en likvärdig skyddsnivå och har samma syfte. I sådana fall ska dessa relevanta sektorsspecifika förfaranden tillämpas i stället. Kraven som uppställs på AI-system med hög risk i artiklarna 8–15 i AI-förordningen skiljer sig också åt beträffande AI-system som är relaterade till produkter som omfattas av rättsakterna i bilaga IA (se artiklarna 8.2, 11.2 och 25.3. Se även artikel 72.4 beträffande leve- rantörers övervakning efter utsläppande på marknaden). 282 SOU 2025:101 Marknadskontrollmyndigheter För AI-system som är relaterade till produkter som omfattas av rättsakterna i bilaga IA finns dessutom specialregleringar beträffande förfarandet för bedömning av överensstämmelse (se artiklarna 43.3, 44.2 och 46.7). I artikel 40.2 andra stycket, som avser harmoniserade standarder och standardiseringsprodukter, framgår att kommissionen när den utfärdar en begäran om standardisering till europeiska standardise- ringsorganisationer ska ange att standarderna måste vara tydliga, sam- stämmiga, inbegripet med de standarder som utvecklas i de olika sektorerna för produkter som omfattas av den befintliga unions- harmoniseringslagstiftning som förtecknas i bilaga I, och syfta till att säkerställa att AI-system med hög risk eller AI-modeller för all- männa ändamål som släpps ut på marknaden eller tas i bruk i unionen uppfyller relevanta krav eller skyldigheter i AI-förordningen. I artikel 96.1, som avser riktlinjer från kommissionen om genom- förandet av AI-förordningen, framgår avslutningsvis i punkten e att kommissionen ska utarbeta riktlinjer för det praktiska genomförandet av AI-förordningen, särskilt avseende detaljerad information om AI-förordningens förhållande till unionens harmoniseringslagstift- ning som förtecknas i bilaga I samt med annan relevant unionsrätt, inbegripet när det gäller enhetlighet i efterlevnaden av den. Specialregleringen av rättsakterna i bilaga IA försvårar möjligheten att begränsa antalet marknadskontrollmyndigheter Som utredningen har redovisat ovan är utformningen av AI-förord- ningen uppbyggd utifrån en specialreglering för AI-system med hög risk som relaterar till de rättsakter som tas upp i bilaga IA i flera delar. Om endast ett fåtal marknadskontrollmyndigheter – dvs. färre än de svenska myndigheter som i dagsläget är ansvariga för marknads- kontroll enligt rättsakterna i bilaga I – skulle utses enligt AI-förord- ningen kommer alltså den eller de myndigheterna antingen behöva sätta sig in i, och vid utövandet av marknadskontroll enligt AI-för- ordningen tillämpa de sektorsspecifika rättsakterna som förekommer inom de områden som tas upp bilaga IA, alternativt behöva hantera en omfattande samordning med de myndigheter som har sektors- ansvar på dessa områden. Utredningen bedömer att en sådan ordning innebär ett mindre lämpligt förfarande. Att en sådan ordning är mindre 283 Marknadskontrollmyndigheter SOU 2025:101 lämplig kan även antas ha varit utgångspunkten när EU kom överens om utformningen av bestämmelserna. I flera andra medlemsstater har också lagts fram förslag som följer huvudregeln i artikel 74.3, dvs. att befintliga marknadskontrollmyn- digheter inom området i bilaga IA även ska vara marknadskontroll- myndigheter över AI-system med hög risk som är relaterade till produkter på dess respektive område. Bl.a. har lagts fram sådana förslag i Finland, Norge och Nederländerna. Enligt uppgifter till utredningen överväger även Danmark ett sådant förslag. I Tyskland, där förslaget i alla andra avseenden är en enda central marknads- kontrollmyndighet enligt AI-förordningen, har också föreslagits en särreglering för sektorsmyndigheterna som omfattas av bilaga IA. I det tyska förslaget har som skäl i huvudsak anförts att dubbla strukturer annars skulle skapas till nackdel för näringslivet. Ansvarsfördelningen bör ske enligt huvudregeln i artikel 74.3 Utredningen har i avsnitt 6.4.2 gjort bedömningen att det generellt sett bör eftersträvas en begränsning av antalet marknadskontroll- myndigheter. Rättsakterna som omfattas av bilaga IA utgör sektors- lagstiftning där Sverige hittills har gjort bedömningen att det krävs sektorsspecifik kunskap, med följden att nio olika myndigheter är ansvariga för marknadskontroll över produkterna som omfattas av bilaga IA. Utifrån AI-förordningens utformning anser utredningen att det skulle riskera att bli komplicerat för någon annan myndighet än dessa befintliga myndigheter att vara marknadskontrollmyndighet inom området. Läkemedelsverket och Transportstyrelsen är dess- utom två sektorsmyndigheter som i dagsläget arbetar med många produkter som innehåller AI-komponenter, och dessa myndigheter har förmedlat att de bedömer att marknadskontrollansvaret bör följa produktansvaret. Trots utredningens generella ståndpunkt att antalet marknadskontrollmyndigheter bör begränsas, bedömer utredningen därför att det är lämpligast att befintliga marknadskontrollmyndig- heter inom området för bilaga IA utses till ansvariga för att utöva marknadskontroll över AI-system inom sitt respektive ansvarsområde i rättsakterna som omfattas av bilaga IA. Utredningen bedömer därmed att sektorsspecifik kunskap är nödvändig inom de områden som berörs av bilaga IA och att AI- 284 SOU 2025:101 Marknadskontrollmyndigheter förordningens utformning gör det för komplicerat att centralisera ansvaret. Enligt utredningen har det alltså inte framkommit sådana lämpliga omständigheter som motiverar att Sverige gör ett avsteg från den huvudregel som uppställs i artikel 74.3 i AI-förordningen (jfr artikel 74.3 andra stycket). Tvärtom finns det mot bakgrund av huvudregeln och behovet av sektorsspecifik kunskap starkt vägande skäl för att tilldela ansvaret för marknadskontrollen i enlighet med huvudregeln och inte till PTS (jfr avsnitt 6.4.4). Utredningen föreslår därför att ansvarsfördelningen beträffande bilaga IA ska följa huvudregeln i artikel 74.3. Detta bör regleras i kompletteringsförordningen genom att myndigheternas respektive ansvar fördelas på ett liknande sätt som gäller enligt nuvarande regler- ingar på området.232 Bl.a. för att underlätta för myndigheterna som berörs i detta av- snitt föreslår utredningen i avsnitt 9.5 ett system för samordning och samverkan som bl.a. innefattar att marknadskontrollmyndig- heterna som ansvarar för rättsakterna i bilaga IA ska kunna erbjudas AI-tekniskt stöd av PTS i komplicerade ärenden. Detta utvecklas närmare i det kapitlet. Andra alternativ som utredningen har övervägt Utredningen har som framgår i avsnittet ovan övervägt att centra- lisera ansvaret för området i bilaga IA i enlighet med utredningens generella utgångspunkter om att en begränsning av antalet marknads- kontrollmyndigheter bör eftersträvas (se avsnitt 6.4.2). Utredningen har dock bedömt att det inte framstår som lämpligt. Utredningen har även övervägt om det är möjligt att i vart fall undanta några av myndigheterna som har ansvar för rättsakterna inom bilaga IA. När det t.ex. gäller Kemikalieinspektionens ansvar för EU:s lek- saksdirektiv så är myndighetens ansvar begränsat. Som myndigheten själv har framhållit kan därför ifrågasättas nödvändigheten i att även utse den myndigheter enligt AI-förordningen. Särskilt bör det gälla eftersom Kemikalieinspektionen har bedömt att AI-system inte har brännbara och kemiska egenskaper. 232 Se bl.a. 17 § förordning om leksakers säkerhet vad gäller ansvarsfördelningen mellan Konsumentverket, Elsäkerhetsverket och Kemikalieinspektionen i lagen om leksakers säkerhet. 285 Marknadskontrollmyndigheter SOU 2025:101 Utredningen konstaterar dock att det är svårt att i nuläget be- döma hur AI-området kommer att utvecklas. Att göra en åtskillnad i ansvarsfördelning mellan AI-förordningen och grundrättsakterna i bilaga IA kan enligt utredningen riskera att skapa otydlighet i gräns- dragningarna mellan myndigheterna. Detta är särskilt relevant då flera AI-kunniga aktörer har förmedlat till utredningen att det i många fall kommer att vara svårt att skilja AI-systemet från produkten som sådan. Utredningen bedömer därför att det är lämpligare att föreslå en reglering som är helt i linje med nuvarande nationell ansvarsför- delning (med risk för att vissa myndigheters ansvar sällan kommer att aktualiseras). För att överväga en annan ansvarsfördelning bedömer utredningen att det hade behövts ta ett större helhetsgrepp till en översyn av be- fintlig ansvarsfördelning inom marknadskontrollen i Sverige, vilket inte är något som aktuell utredning lämnar förslag kring. 6.7 Ansvarsfördelning: artikel 5 Utredningens förslag: IMY ska vara huvudsakligt ansvarig mark- nadskontrollmyndighet för marknadskontroll över förbjudna AI- användningsområden som avses i artikel 5 i AI-förordningen. Finansinspektionen och PTS ska dock ansvara för marknads- kontroll över förbjudna AI-användningsområden som avses i artikel 5 beträffande AI-system som används inom respektive myndighets ansvarsområden som förtecknas i bilaga III till AI- förordningen. 6.7.1 De förbjudna AI-användningsområdena I avsnitt 4.4.2 har utredningen redogjort närmare för innehållet i artikel 5. I artikeln preciseras sammanfattningsvis att följande användningsområden för AI förbjuds. • Subliminala, manipulerande eller vilseledande tekniker (arti- kel 5.1 a). • Utnyttjande av sårbarheter hos fysiska personer (artikel 5.1 b). • Social poängsättning (artikel 5.1 c). 286 SOU 2025:101 Marknadskontrollmyndigheter • Profilering för att förutse att en person begår brott (artikel 5.1 d). • Databaser för ansiktsigenkänning (artikel 5.1 e). • Uttydande av en fysisk persons känslor på arbetsplatsen eller vid utbildningsinstitutioner (artikel 5.1 f). • Biometrisk kategorisering av fysiska personer (artikel 5.1 g). • Biometrisk fjärridentifiering i realtid (artikel 5.1 h). 6.7.2 Myndigheter med koppling till områdena De förbjudna AI-användningsområdena avser, till skillnad från AI- system med hög risk, inte några särskilda områden eller sektorer utan har – med vissa undantag – ett brett tillämpningsområde. Använd- ningsområdena som tas upp i artikel 5 kan däremot i olika utsträck- ning anses ha koppling till ett antal svenska myndigheters befintliga tillsynsuppdrag. Användningsområdena har även i flera avseenden koppling till högriskområdena som tas upp i bilaga III till AI-förord- ningen, samt i vissa fall även i förhållande till bilaga IA. Myndigheter som har starkast koppling till de förbjudna AI- användningsområden är enligt utredningen huvudsakligen IMY, Finansinspektionen, Konsumentverket, Mediemyndigheten och PTS. I viss mån även Läkemedelsverket och IVO. IMY har kopp- ling till alla områden medan de andra myndigheterna i någon mån har koppling främst till områdena i punkterna a–c och f. Detta ut- vecklas närmare nedan. Övergripande om tolkningen av artikel 5 Kommissionen har i februari 2025 gett ut riktlinjer för tolkningen av artikel 5 i AI-förordningen (riktlinjerna).233 Riktlinjerna är inte bindande utan syftar till att ge insikter i kommissionens tolkning av förbuden och för att säkerställa deras konsekventa, effektiva och enhetliga tillämpning (avsnitt 1 i riktlinjerna). 233 Kommissionens riktlinjer om de förbjudna användningsområden för artificiell intelligens som fastställs i förordning (EU) 2024/1689 (AI-förordningen), Bryssel den 29.7.2025, C (2025) 5052 final. 287 Marknadskontrollmyndigheter SOU 2025:101 I avsnitt 2.8 i riktlinjerna gör kommissionen generella uttalanden om artikel 5 i AI-förordningen och dess förhållande till andra unions- rättsakter. Där framgår att kommissionen bedömer att sambandet mellan AI-förordningen och unionens dataskyddslagstiftning utgör det mest relevanta sambandet mellan artikel 5 i AI-förordningen och andra unionsrättsakter, eftersom AI-system ofta behandlar personuppgifter. Särskilt om punkterna a och b I avsnitt 3.6 i riktlinjerna tar kommissionen särskilt upp kopplingen mellan artikel 5.1 a och b i AI-förordningen och annan unionslag- stiftning. Där nämns inledningsvis att förbuden i artikel 5.1 a och b i AI-förordningen nära överensstämmer med målen för EU:s konsu- mentskyddslagstiftning, särskilt EU:s direktiv om otillbörliga affärs- metoder234, eftersom både AI-förordningen och EU:s direktiv om otillbörliga affärsmetoder syftar till att proaktivt förhindra konsu- mentskador från AI-drivna affärsmetoder som är manipulativa, vilse- ledande eller aggressiva. Samtidigt tas upp att förbuden i artikel 5.1 a och b i AI-förordningen är bredare i omfattning, eftersom de inte bara skyddar konsumenter, utan alla fysiska personer och deras bete- ende i olika sammanhang utanför kommersiella miljöer. De skador som omfattas av AI-förordningen sägs också vara bredare än ekono- miska skador, även om AI-förordningen sätter en tröskel för bety- dande skada som inte finns i konsumentskyddslagstiftningen. Direktivet om otillbörliga affärsmetoder har genomförts i svensk rätt genom marknadsföringslagen och vissa ändringar i andra författ- ningar på det marknadsrättsliga området. Konsumentverket är till- synsmyndighet enligt marknadsföringslagen.235 Samspelet med unionslagstiftningen om icke-diskriminering tas också upp som relevant för förbudet i artikel 5.1 b i AI-förordningen. Förbuden i artikel 5.1 a och b i AI-förordningen sägs bl.a. vara kom- plementära till EU:s förordning om digitala tjänster. Som ett exempel 234 Europaparlamentets och rådets direktiv 2005/29/EG av den 11 maj 2005 om otillbörliga affärsmetoder som tillämpas av näringsidkare gentemot konsumenter på den inre marknaden och om ändring av rådets direktiv 84/450/EEG och Europaparlamentets och rådets direktiv 97/7/EG, 98/27/EG och 2002/65/EG samt Europaparlamentets och rådets förordning (EG) nr 2006/2004 (direktiv om otillbörliga affärsmetoder). 235 Prop. 2007/08:115, bet. 2007/08:CU21, rskr. 2007/08:22 och https://www.konsumentverket.se/marknadsratt-foretag/nar-marknadsforingen-bryter-mot- lagen-regler-for-foretag/ (hämtad 2025-02-19). 288 SOU 2025:101 Marknadskontrollmyndigheter på detta nämns att artikel 25.1 i EU:s förordning om digitala tjänster anger att leverantörer av onlineplattformar inte får utforma, organi- sera eller driva sina onlinegränssnitt på ett sätt som vilseleder eller manipulerar tjänstemottagare eller på ett sätt som på annat vis väsent- ligt snedvrider eller försämrar tjänstemottagarnas förmåga att fatta fria och välgrundade beslut. Sådana utformningar bör enligt rikt- linjerna förstås som ett exempel på manipulativa eller bedrägliga tekniker i den mening som avses i artikel 5.1 a i AI-förordningen. PTS, Konsumentverket och Mediemyndigheten är behöriga myn- dighet enligt EU:s förordning om digitala tjänster. PTS är även sam- ordnare för digitala tjänster enligt rättsakten.236 Förbudet i artikel 5.1 a i AI-förordningen sägs också stödja målen med EU:s direktiv om audiovisuella medietjänster237, genom att för- budet avser att förhindra skadliga AI-drivna annonser och andra AI- aktiverade manipulativa och exploaterande metoder, som kan vara skadliga inom mediesektorn. EU:s direktiv om audiovisuella medie- tjänster har i svensk rätt i huvudsak genomförts genom ändringar radio- och tv-lagen (2010:696), där bl.a. Mediemyndigheten, Konsu- mentverket och IMY har uppdrag att vara tillsynsmyndigheter.238 Förbuden i denna del bedöms i riktlinjerna även komplettera EU:s förordning om politisk reklam239, som innehåller harmoniserade regler, inklusive transparens- och relaterade due diligence-skyldig- heter, för tillhandahållande av politisk reklam och relaterade tjänster. I promemorian Kompletterande bestämmelser till EU:s förordning om politisk reklam (Ds 2024:27) föreslås att Mediemyndigheten ska övervaka efterlevnaden av EU:s förordning om politisk reklam, men att IMY ska övervaka efterlevnaden av vissa bestämmelser. I prome- morian föreslås även att PTS ska få ett samordningsansvar vad gäller leverantörer av förmedlingstjänster, i egenskap av sin roll som sam- ordnare för digitala tjänster enligt EU:s förordning om digitala tjäns- ter. Regeringen har den 26 juni 2025 gett Mediemyndigheten i upp- 236 4–8 §§ förordningen med kompletterande bestämmelser till EU:s förordning om digitala tjänster. 237 Europaparlamentets och rådets direktiv 2010/13/EU av den 10 mars 2010 om samordning av vissa bestämmelser som fastställs i medlemsstaternas lagar och andra författningar om till- handahållande av audiovisuella medietjänster (direktiv om audiovisuella medietjänster). 238 16 kap. radio- och tv-lagen. 239 Europaparlamentets och rådets förordning (EU) 2024/900 av den 13 mars 2024 om trans- parens och inriktning när det gäller politisk reklam. 289 Marknadskontrollmyndigheter SOU 2025:101 drag att vara behörig myndighet och nationell kontaktpunkt enligt förordningen. Uppdraget ska pågå under 2025.240 Förbudet mot skadliga exploaterande och bedrägliga AI-metoder enligt AI-förordningen bedöms i riktlinjerna också komplettera annan tillämplig unionslagstiftning som fastställer allmänna transparens- regler för reklam och konsumentskydd samt korrekt uppförande av operatörer.241 Förbuden i artikel 5.1 a och b bedöms också ha ett samband med unionslagstiftningen om dataskydd, eftersom tillgången till mer data och de ökade möjligheterna att behandla data med AI-system ökar risken för skadliga manipulativa, bedrägliga eller exploaterande metoder. Förbuden i artikel 5.1 a och b i AI-förordningen sägs också kom- plettera EU:s produktsäkerhetslagstiftning, t.ex. beträffande medicin- tekniska produkter, leksaker och maskiner, som spelar en avgörande roll för att säkerställa säkerheten för produkter som integrerar AI- system. Detta innebär enligt riktlinjerna efterlevnad av ex ante säker- hetskrav för reglerade produkter och deras proaktiva övervakning för att säkerställa att de inte utgör säkerhetsrisker som leder till fysiska och psykiska skador. Slutligen bedöms samspelet med straffrätten vara avgörande, eftersom förbuden i artikel 5.1 a och b i AI-förordningen syftar till att förhindra skadligt beteende som kan utgöra eller leda till brott, såsom bedrägeri, förfalskning, bedrägerier, tvång eller generering och spridning av olagligt innehåll, såsom terroristinnehåll, material med sexuella övergrepp på barn, hatpropaganda och sexuellt explicita deepfakes. Utredningen tolkar dessa uttalanden från kommissionen så att användningsområdena i punkterna a och b träffar brett och att det 240 Regeringsbeslut, 2025-06-26, Ku2024/01066 (delvis), Ku2025/00743. 241 Som exempel nämns i denna del Europaparlamentets och rådets direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella instrument och om ändring av direktiv 2002/92/EG och av direktiv, Europaparlamentets och rådets direktiv (EU) 2016/97 av den 20 januari 2016 om försäkringsdistribution, Europaparlamentets och rådets direktiv (EU) 2023/2225 av den 18 oktober 2023 om konsumentkreditavtal och om upphävande av direktiv 2008/48/EG, Europaparlamentets och rådets direktiv 2002/65/EG av den 23 september 2002 om distansförsäljning av finansiella tjänster till konsumenter och om ändring av rådets direk- tiv 90/619/EEG samt direktiven 97/7/EG och 98/27/EG, Europaparlamentets och rådets direktiv 2006/114/EG av den 12 december 2006 om vilseledande och jämförande reklam och Europa- parlamentets och rådets direktiv 2011/83/EU av den 25 oktober 2011 om konsumenträttig- heter och om ändring av rådets direktiv 93/13/EEG och Europaparlamentets och rådets direk- tiv 1999/44/EG och om upphävande av rådets direktiv 85/577/EEG och Europaparlamentets och rådets direktiv 97/7/EG. 290 SOU 2025:101 Marknadskontrollmyndigheter finns koppling till flera befintliga tillsynsmyndigheters ansvarsom- råden. Huvudsakligen är det dock IMY, Konsumentverket, Medie- myndigheten och PTS som har breda tillsynsansvar inom området enligt andra unionsrättsakter. Särskilt om punkten c I avsnitt 4.4 i riktlinjerna tar kommissionen upp kopplingen mellan artikel 5.1 c i AI-förordningen och annan unionslagstiftning. Där nämns inledningsvis att AI-aktiverade sociala poängsättnings- metoder av konsumenter i vissa fall också kan bryta mot EU:s direk- tiv om otillbörliga affärsmetoder, eftersom artikel 5 i det direktivet bl.a. förbjuder affärsmetoder om de strider mot god yrkessed och innebär, eller sannolikt kommer att innebära, avsevärd snedvridning av det ekonomiska beteendet i förhållande till produkten hos den genomsnittskonsument som affärsmetoden riktar sig till eller som nås av metoden, eller den genomsnittliga gruppmedlemmen om affärs- metoden riktar sig till en viss konsumentgrupp. Poängsättningsmeto- derna sägs också kunna vara vilseledande enligt artiklarna 6 och 7 i direktivet. Som nämndes ovan är Konsumentverket tillsynsmyndighet över marknadsföringslagen, som baseras på EU:s direktiv om otill- börliga affärsmetoder. Social poängsättning bedöms också, oavsett om det sker av offent- liga eller privata aktörer, kunna bryta mot unionens dataskydds- reglering, t.ex. när det gäller den rättsliga grunden för behandling, dataskyddsprinciperna och andra skyldigheter. När utvärderingen eller klassificeringen baseras på en av de grunder som skyddar mot diskriminering (t.ex. ålder, religion, ras eller etniskt ursprung, kön etc.) eller direkt eller indirekt leder till diskriminering av dessa grupper, kommer en sådan praxis enligt riktlinjerna också att omfattas av unionslagstiftningen om icke-diskriminering. 2023 års konsumentkreditdirektiv bedöms också vara relevant i relation till artikel 5.1 c, bl.a. eftersom artikel 18.3 i direktivet kräver att kreditprövningen ska utföras på grundval av relevant och korrekt information om konsumentens inkomster och utgifter och andra finansiella och ekonomiska förhållanden som är nödvändig och står i proportion till kreditens art, varaktighet, värde och risker för kon- sumenten. 291 Marknadskontrollmyndigheter SOU 2025:101 Slutligen tas upp att AI-system som används för utvärdering och klassificering av personer för att bekämpa penningtvätt och finan- siering av terrorism också behöver följa relevant unionslagstiftning om dessa frågor. I Sverige är Konsumentverket och Finansinspektionen befintliga tillsynsmyndigheter som förväntas få ansvar enligt 2023 års konsument- kreditdirektiv (se närmare om detta i avsnitt 6.5.6). Finansinspek- tionen har även tillsynsansvar för att förhindra att det finansiella systemet används för penningtvätt och finansiering av terrorism. Sammanfattningsvis tolkar utredningen uttalandena i riktlinjerna som att det huvudsakligen är IMY, Konsumentverket och Finans- inspektionen som har befintliga tillsynsuppdrag som har nära kopp- ling till området i punkten 5.1 c. Genom kopplingen till unions- lagstiftningen om icke-diskriminering kan därutöver PTS och Mediemyndigheten sägas ha en koppling, genom myndigheternas tillsynsuppdrag enligt EU:s förordning om digitala tjänster, och beträffande PTS även tillgänglighetsdirektivet. Särskilt om punkterna d–h I avsnitt 5.4, 6.4 och 8.4 i riktlinjerna tar kommissionen upp kopp- lingen mellan artikel 5.1 d, e och g i AI-förordningen och annan unionslagstiftning. I avsnitt 2.8 i riktlinjerna finns därtill generella uttalanden som har bäring på 5.1 d–h. Punkterna d–h, som utgör huvuddelen av artikel 5, har en stark koppling till användning av biometri och området brottsbekämpning i bilaga III. Utredningen har föreslagit att IMY ska utöva marknads- kontroll över AI-system med hög risk inom dessa områden i bilaga III (se avsnitt 6.5.1). I avsnitt 2.8 i riktlinjerna anges att flera aspekter av motsvarande dataskyddsregler har klargjorts av EU-domstolen och att EDPB har antagit en serie riktlinjer, t.ex. om begreppet ”profilering”, vilket bedöms som särskilt relevant för förbudet i artikel 5.1 d i AI-förord- ningen, eftersom det använder samma begrepp. I avsnitt 6.4 i riktlinjerna tas även EU:s dataskyddsförordning och EU:s brottsdatadirektiv upp som särskilt relevanta i förhållanden till artikel 5.1 e, bl.a. eftersom en riktad skrapning av internet eller ”CCTV-material” för att bygga upp eller utöka ansiktsigenkännings- 292 SOU 2025:101 Marknadskontrollmyndigheter databaser, kan vara olagliga utifrån avsaknad av rättslig grund enligt EU:s dataskyddsförordning och EU:s brottsdatadirektiv. Avseende förbudet i artikel 5.1 g i AI-förordningen tas särskilt upp att det finns ett samspel med artikel 9.1 i EU:s dataskyddsför- ordning och artikel 11.3 i EU:s brottsdatadirektiv. Beträffande artikel 5.1 f och g i AI-förordningen finns det inte något särskilt avsnitt i riktlinjerna som berör samspelet mellan AI-för- ordningen och annan unionslagstiftning. I det inledande avsnittet 2.8 nämns dock att området i punkten 5.1 f (uttydande av en fysisk persons känslor på arbetsplatsen eller vid utbildningsinstitutioner) kan komma att beröra EU:s förordningar om medicintekniska pro- dukter, för vilka Läkemedelsverket och IVO ansvarar för marknads- kontroll och tillsyn (se avsnitt 6.6.2). Området i punkterna d–g har alltså en stark koppling till data- skyddsregleringen samt högriskområdena biometri och brottsbekämp- ning. Utredningen gör utöver det tolkningen, utifrån innehållet i artikeln samt riktlinjerna i övrigt, att området i 5.1 f och h primärt också har koppling till dataskyddsregleringen samt högriskområdena biometri och brottsbekämpning. IMY är därmed den myndighet som har störst tillsynsansvar inom området enligt andra unionsrättsakter och därmed också starkast koppling till punkterna d–h. 6.7.3 Överväganden och förslag Inledning För att i större omfattning ta vara på synergieffekter mellan ett ansvar för artikel 5 i AI-förordningen och olika myndigheters be- fintliga tillsynsuppdrag bedömer utredningen att i vart fall IMY, Finansinspektionen, Konsumentverket, Mediemyndigheten och PTS skulle behöva tilldelas ett ansvar inom områdena i artikel 5. Även om alla dessa myndigheter, förutom Mediemyndigheten, i och för sig föreslås få ett ansvar för marknadskontroll enligt AI- förordningen i andra delar (se avsnitt 6.5 och 6.6) skulle en sådan ansvarsfördelning dock vara alltför fragmenterad. En uppdelning baserat på de olika punkterna i artikel 5 hade inte varit möjlig utan ansvaret hade i så fall behövt fördelas på något annat övergripande sätt. Utredningen bedömer att det inte är ett lämpligt tillvägagångs- sätt. Nedan presenterar utredningen andra mer lämpliga alternativ. 293 Marknadskontrollmyndigheter SOU 2025:101 Ansvaret för artikel 5 bör följa ansvarsfördelningen för högrisksystemen i bilaga III I kommissionens riktlinjer för tolkningen av artikel 5 anges att de AI-användningsområden som är förbjudna enligt artikel 5 i AI- förordningen bör beaktas i relation till de AI-system som klassificeras som hög risk enligt artikel 6 i AI-förordningen, särskilt de som anges i bilaga III. Detta beror på att användningen av AI-system som klas- sificeras som hög risk i vissa fall kan kvalificeras som en förbjuden användning om alla villkor enligt en eller flera av förbuden i artikel 5 är uppfyllda. Omvänt kommer de flesta AI-system som omfattas av ett undantag från ett förbud i artikel 5 att klassificeras som hög risk. Som exempel anges i riktlinjerna att ett känsloigenkänningssystem t.ex. kan klassificeras som ett AI-system med hög risk enligt artikel 6.2 och punkt 1 c i bilaga III om det inte uppfyller villkoren för förbudet i artikel 5.1 f. På samma sätt anges att vissa AI-baserade poängsystem, såsom de som används för kreditvärdering eller riskbedömning vid livförsäkring och sjukförsäkring, kommer att betraktas som ett AI- system med hög risk om de inte uppfyller villkoren för förbudet i artikel 5.1 c. Ett annat exempel som anges är AI-system som utvärderar fysiska personers rätt till väsentliga förmåner och tjänster i form av offent- ligt stöd, som klassificeras som hög risk enligt punkten 5 a i bilaga III. Om sådana system involverar oacceptabel social poängsättning och uppfyller villkoren i artikel 5.1 c, kommer systemets marknadsföring, driftsättning och användning att vara förbjuden inom unionen. I sådana fall anges att leverantörens riskbedömning och hantering samt efter- levnaden av de andra kraven för AI-system med hög risk (t.ex. data- förvaltning, transparens och mänsklig kontroll) bör bidra till att säker- ställa att det AI-system med hög risk som släpps ut på marknaden eller används är lagligt och inte utgör en förbjuden användning. Dess- utom anges skyldigheterna för tillhandahållare av AI-system med hög risk (artikel 26) och i vissa fall konsekvensbedömningen avseende grundläggande rättigheter (artikel 27) också bidra till detta. Utredningen kan utifrån redogörelsen i kommissionens riktlinjer konstatera att det finns en tydlig koppling mellan de användnings- områden som är förbjudna enligt artikel 5 och de AI-system som klassificeras som hög risk enligt artikel 6 i AI-förordningen, särskilt de som anges i bilaga III. Ett rimligt alternativ är därför att knyta 294 SOU 2025:101 Marknadskontrollmyndigheter ansvaret för artikel 5 till ansvarsfördelningen för AI-systemen med hög risk, i vart fall beträffande bilaga III. Utredningen har i avsnitt 6.5 och 6.6 föreslagit att totalt elva myndigheter ska utöva marknadskontroll över AI-system med hög risk, varav tre myndigheter ska ansvara för marknadskontroll över AI-system med hög risk enligt bilaga III. Att dela upp ansvaret för artikel 5 på alla elva myndigheter är inte rimligt. Särskilt eftersom högrisksystem som kan komma att omfattas av området i bilaga IA inte kan antas ha särskilt starkt samband med användningsområdena i artikel 5. Riskområdena som tas upp i bilaga III har dock stark koppling, i vart fall alla områden förutom punkten 2. Exemplen som tas upp av kommissionen beträffande sambandet mellan punkten 5.1 c och riskbedömning vid livförsäkring och sjukförsäkring (punkten 5 c i bilaga III) berör t.ex. utifrån utredningens förslag i avsnitt 6.5.7 Finansinspektionen. Utifrån ett helhetsperspektiv är det rimligare att samma myndig- het, i det fallet Finansinspektionen, har möjlighet att titta på ett AI-system utifrån både artikel 5 och 6. För operatörerna blir det också besvärligt att hantera att olika myndigheter ska granska deras AI-system beroende på var operatörerna befinner sig i den s.k. risk- baserade metoden. Utredningen bedömer därför att det finns starkt vägande skäl för att knyta ansvaret för artikel 5 till ansvarsfördelningen för AI- systemen med hög risk beträffande bilaga III. Det innebär att ut- redningen anser att Finansinspektionen, IMY och PTS ska ha ett visst ansvar för artikeln. Eftersom förbjudna AI-system dessutom kan förekomma inom fler användningsområden än de som listas i bilaga III innebär för- slaget dock att det också är nödvändigt att någon myndighet i övrigt tar ett övergripande ansvar för artikel 5. IMY bör ges ett huvudsakligt ansvar för artikeln Eftersom förbjudna AI-system kan förekomma inom fler använd- ningsområden än de som listas i bilaga III behöver någon eller några myndigheter ha ett övergripande ansvar för artikel 5. Utifrån utred- ningens överväganden i avsnitt 6.4.4 är utredningens utgångspunkt 295 Marknadskontrollmyndigheter SOU 2025:101 att ansvaret ska tilldelas PTS om det inte finns starkt vägande skäl att överväga någon annan myndighet. Utredningen har dock i avsnitt 6.5.1 föreslagit att IMY ska ansvara för områdena 1 och 6–8 i bilaga III. Dessa områden har som redo- gjorts för ovan stark koppling till punkterna d–h i artikel 5, vilket innebär att IMY utifrån myndighetens föreslagna ansvar inom bi- laga III i många fall kommer att ha ett ansvar för punkterna d–h i artikel 5. IMY:s ansvarsområden i bilaga III har även en tydlig kopp- ling till artikel 5.1 c. I AI-styrelsens undergrupp som behandlar de förbjudna områdena har kommissionen vidare uttalat att artikel 5.1 c och d kompletterar och överlappar varandra till viss del. IMY är följaktligen den myndighet som har starkast koppling till hela artikeln, både baserat på ansvarsfördelningen i bilaga III och baserat på dess nuvarande tillsynsuppdrag. I sammanhanget måste också beaktas att det i promemorian Polisens användning av AI för ansiktsigenkänning i realtid (Ds 2025:7) föreslagits att IMY ska vara marknadskontrollmyndighet i fråga om användning av AI- system för biometrisk fjärridentifiering i realtid på allmänt tillgäng- liga platser för brottsbekämpande ändamål enligt AI-förordningen, vilket alltså utgör området i artikel 5.1 h. För att i möjligaste mån begränsa antalet inblandade myndigheter inom området, finns det enligt utredningen därför starkt vägande skäl för att ge det huvudsakliga ansvaret för artikel 5 till IMY i stället för PTS (jfr avsnitt 6.4.4). Slutsatser Utredningen föreslår att IMY ska ges ett huvudsakligt marknads- kontrollansvar för artikel 5. De marknadskontrollmyndigheter som i övrigt ansvarar för marknadskontroll över AI-system med hög risk som omfattas av bilaga III (dvs. PTS och Finansinspektionen enligt utredningens förslag) bör dock ansvara för att kontrollera att opera- törer inom myndighetens ansvarsområden enligt bilaga III inte över- träder artikel 5. Utredningen föreslår alltså att PTS och Finansinspek- tionens ansvar ska regleras som ett undantag från IMY:s huvudsakliga ansvar för artikel 5. 296 SOU 2025:101 Marknadskontrollmyndigheter Andra alternativ som utredningen har övervägt Ett annat alternativ som utredningen har övervägt är att enbart ge en myndighet marknadskontrollansvar för hela området, dvs. inte beakta ansvaret för högriskområdena. IMY har förmedlat till utred- ningen att myndigheten i första hand förordar en sådan ordning. Det starkaste argumentet för ett sådant system är att ett utpekande av en ensam myndighet med ansvar för artikel 5 skulle utgöra en tyd- ligare centralisering av AI-förordningen i den delen. I så fall skulle det behöva bli IMY, eftersom IMY har absolut starkast koppling till artikeln. Som utredningen utvecklat ovan riskerar det dock att skapa svåra gränsdragningsfrågor i förhållande till PTS och Finans- inspektionens föreslagna ansvarsområden inom bilaga III. Ytterligare ett alternativ som utredningen har övervägt är att dela upp ansvaret inom artikel 5 mellan IMY och PTS. Detta är främst baserat på att PTS har förordat detta och framhållit att myndigheten anser sig ha starkare koppling till artikel 5.1 a och b än vad IMY har. Den bedömningen baseras på att PTS är nationell samordnare enligt EU:s förordning om digitala tjänster, och därigenom har ett samord- ningsuppdrag i förhållande till Konsumentverket och Mediemyn- digheten. Bedömningen baseras också på att PTS är samordnande myndighet och huvudsaklig tillsynsmyndighet enligt tillgänglig- hetsdirektivet. Båda dessa unionsrättsakter har stark koppling till artikel 5.1 a och b. Ett alternativ skulle därför vara att IMY ges ett huvudsakligt ansvar för artikel 5.1 c–h och PTS ett huvudsakligt ansvar för artikel 5.1 a och b. Utredningen bedömer dock att ett system enligt detta förslag riskerar att skapa ännu mer svåra gräns- dragningsfrågor inom artikeln och i förhållande till bilaga III. Ut- redningen bedömer därför att det förslag som utredningen presen- terat ovan är lämpligare. 297 Marknadskontrollmyndigheter SOU 2025:101 6.8 Ansvarsfördelning: artikel 50 Utredningens förslag: PTS ska vara marknadskontrollmyndighet med huvudsakligt ansvar för marknadskontroll över transparens- skyldigheter för leverantörer och tillhandahållare av vissa AI- system som avses i artikel 50 i AI-förordningen. IMY ska dock ansvara för marknadskontroll över transparens- skyldigheter för tillhandahållare av vissa AI-system som avses i artikel 50.3 i AI-förordningen. 6.8.1 Transparensskyldigheterna I avsnitt 4.4.4 har utredningen närmare redogjort för innehållet i artikel 50. I artikeln preciseras sammanfattningsvis följande. • Leverantörer ska i vissa fall informera människor om att de interagerar med ett AI-system (artikel 50.1). • Leverantörer ska i vissa fall märka AI-systemets utdata (arti- kel 50.2). • Tillhandahållare av AI-system för känsloigenkänning eller för biometrisk kategorisering ska i vissa fall informera människor som exponeras för systemet om systemets drift (artikel 50.3). • Tillhandahållare av AI-system som genererar s.k. ”deepfakes”, eller genererar eller manipulerar text för att informera allmän- heten om frågor av allmänt intresse, ska i vissa fall upplysa om att innehållet är artificiellt genererat eller manipulerat (arti- kel 50.4). • Informationen ska lämnas på ett tydligt och urskiljbart sätt senast vid den första interaktionen eller exponeringen, och ska uppfylla tillämpliga tillgänglighetskrav (artikel 50.5). 6.8.2 Myndigheter med koppling till områdena Transparenskraven avser, till skillnad från AI-system med hög risk men i likhet med de förbjudna AI-användningsområdena, inte några särskilda områden eller sektorer utan har generellt sett ett brett 298 SOU 2025:101 Marknadskontrollmyndigheter tillämpningsområde. Kraven som tas upp i artikel 50 kan däremot i olika utsträckning anses ha koppling till ett antal svenska myndig- heters tillsynsuppdrag. Enligt utredningen är det i stor utsträckning samma myndigheter som på ett övergripande plan kan sägas ha kopp- ling till artikel 5 (se avsnitt 6.7), dock primärt IMY, Konsument- verket, Mediemyndigheten och PTS. IMY har, precis som inom alla områden, en koppling genom sin roll som dataskyddsmyndighet, eftersom AI-system ofta behandlar personuppgifter och även eftersom EU:s dataskyddsförordning inne- håller bestämmelser om informationskrav. Primärt beträffande arti- kel 50.3 finns ett tydligt samband med IMY:s nuvarande tillsyns- uppdrag. Artikel 50.3 berör därtill system för känsloigenkänning eller för biometrisk kategorisering, vilket har ett direkt samband med högriskområdet biometri i bilaga III samt de förbjudna om- rådena i artikel 5.1 c–h i AI-förordningen. För dessa områden har utredningen redan föreslagit att IMY ska vara marknadskontroll- myndighet (se avsnitt 6.5.1 och 6.7). Artikel 50.1 och 2 samt 50.4 kan däremot sägas ha starkare kopp- ling till unionslagstiftning om icke-diskriminering och unionslag- stiftning som fastställer allmänna transparensregler för reklam och konsumentskydd samt korrekt uppförande av operatörer. Som ut- redningen redogjort för mer ingående i avsnitt 6.7 har i huvudsak Konsumentverket, Mediemyndigheten, PTS och, i viss mån, Finans- inspektionen ett tillsynsansvar enligt sådana unionsrättsakter. Särskilt beträffande artikel 50.4 kan därtill noteras att den punkten även berör mediaområdet generellt, dvs. ur ett större perspektiv än frågor om reklam. Inom mediaområdet är det Mediemyndigheten som har det huvudsakliga tillsynsansvaret.242 6.8.3 Överväganden och förslag Inledning För att i större omfattning ta vara på synergieffekter mellan ett ansvar för artikel 50 i AI-förordningen och med olika myndigheters befintliga tillsynsuppdrag bedömer utredningen att i vart fall IMY, Konsumentverket, Mediemyndigheten och PTS skulle behöva till- delas ett ansvar inom området i artikel 50. Även om alla dessa myn- 242 1 § förordningen (2023:844) med instruktion för Mediemyndigheten. 299 Marknadskontrollmyndigheter SOU 2025:101 digheter, förutom Mediemyndigheten, i och för sig föreslås få ett ansvar för marknadskontroll enligt AI-förordningen i andra delar (se avsnitt 6.5 och 6.6) skulle en sådan ansvarsfördelning vara allt- för fragmenterad. En uppdelning baserat på de olika styckena i artikel 50 hade inte varit möjlig utan ansvaret hade i så fall behövt fördelas på något annat övergripande sätt. Utredningen bedömer att det inte är ett lämpligt tillvägagångssätt. Nedan presenterar utredningen andra mer lämpliga alternativ. PTS bör ges ett huvudsakligt ansvar för artikeln Ett utpekande av en ensam myndighet med ansvar för artikel 50 skulle utgöra en centralisering av AI-förordningen i den delen. Artikel 50 är en bred artikel som hanterar frågor som enligt den riskbaserade metoden omfattas av s.k. begränsad risk. Specifik sak- kunskap eller sektorsspecifik kunskap bör inte göra sig lika starkt gällande inom detta område, till skillnad från högriskområdena och de förbjudna områdena. En stor del av AI-systemen som kommer att omfattas av transparenskraven kommer dessutom att falla utanför användningsområdena för högrisksystemen. Att ge en myndighet huvudansvaret för hela området ökar också möjligheten att skriva allmänt giltig vägledning och minskar risken för motstridiga besked. Utredningen bedömer därför att PTS, i egenskap av marknads- kontrollmyndighet med huvudsakligt ansvar för AI-förordningen, bör ges ett huvudsakligt ansvar för artikeln. PTS har till utredningen också förmedlat att myndigheten är beredd att ansvara för artikeln. Beträffande området i artikel 50.3 anser dock utredningen att det finns starkt vägande skäl för att i stället fördela ansvaret till IMY (jfr avsnitt 6.4.4). Det utvecklas i avsnittet nedan. IMY bör ansvara för området i artikel 50.3 PTS har en tydlig koppling till artikel 50 och är lämplig att ges ett huvudsakligt ansvar för artikeln. Artikel 50.3 har dock ett direkt och väldigt tydligt överlappnings- område med IMY:s föreslagna ansvarsområden inom biometri i bilaga III. Detta eftersom artikel 50.3 uteslutande handlar om skyl- digheter för tillhandahållare av ett system för känsloigenkänning 300 SOU 2025:101 Marknadskontrollmyndigheter eller ett system för biometrisk kategorisering, vilket är system som omfattas av punkten 1 b–c i bilaga III. Utredningen bedömer därför att det finns starkt vägande skäl för att tilldela ansvaret för artikel 50.3 till IMY i stället för PTS (jfr avsnitt 6.4.4). Annars kommer PTS och IMY att behöva kontrollera samma aktörer fast för olika saker, vilket inte framstår som ett effektivt system. Slutsatser Utredningen föreslår att PTS ska ges ett huvudsakligt ansvar för artikel 50, i egenskap av marknadskontrollmyndighet med huvud- sakligt ansvar för AI-förordningen, men att IMY ska ansvara för att kontrollera att tillhandahållare inte överträder artikel 50.3. Ett annat alternativ som utredningen har övervägt Som utredningen närmare har redogjort för i avsnitt 6.7.3 kan det finnas ett värde i att samma myndighet är ansvarig för att granska ett visst AI-system oavsett var man befinner sig i den riskbaserade metoden. Utredningen har därför även övervägt om ansvaret för arti- kel 50 – i likhet med förslaget för artikel 5 – bör knytas till ansvars- fördelningen beträffande AI-system med hög risk i bilaga III. Kraven som tas upp i artikel 50 har dock inte lika stark koppling till användningsområdena i bilaga III. Argumenten för att knyta ansvaret för artikel 50 till ansvarsfördelningen avseende högrisk- systemet gör sig därför inte lika starkt gällande avseende transparens- kraven. Om ansvaret för artikel 50 skulle knytas till ansvarsfördel- ningen för högrisksystemen behöver någon eller några myndigheter också ges ett huvudsakligt ansvar för artikeln, eftersom transparens- kraven kan aktualiseras inom betydligt fler användningsområden är de som listas i bilaga III. Utredningen bedömer sammantaget att argumenten är starkare för det system som utredningen har före- slagit ovan. 301 Marknadskontrollmyndigheter SOU 2025:101 6.9 Ansvarsfördelning: artikel 4 Utredningens förslag: PTS ska vara marknadskontrollmyndighet med ansvar för att utöva marknadskontroll över leverantörer och tillhandahållare som omfattas av artikel 4. 6.9.1 AI-kunnighet Artikel 4 i AI-förordningen berör frågan om AI-kunnighet. I arti- keln anges att leverantörer och tillhandahållare av AI-system ska vidta åtgärder för att i största möjliga mån säkerställa att deras per- sonal och andra personer som för deras räkning arbetar med drift och användning av AI-system har tillräcklig AI-kunnighet, med beaktande av deras tekniska kunskaper, erfarenhet och utbildning samt det sammanhang i vilket AI-systemen ska användas, och med hänsyn till de personer eller grupper av personer på vilka AI-systemen ska användas. I artikel 3.56 definieras AI-kunnighet som kompetens, kunskap och förståelse som gör det möjligt för leverantörer, tillhandahållare och berörda personer att, med hänsyn till deras respektive rättigheter och skyldigheter i samband med AI-förordningen, införa AI-system på ett välgrundat sätt samt bli medvetna om möjligheterna och ris- kerna med AI, och den potentiella skada den kan vålla. I skäl 20 till AI-förordningen berörs begreppet mer ingående. Där anges följande. För att dra största möjliga nytta av AI-system och samtidigt skydda grundläggande rättigheter, hälsa och säkerhet och möjliggöra demo- kratisk kontroll bör AI-kunnighet förse leverantörer, tillhandahållare och berörda personer med de begrepp som krävs för att fatta välgrundade beslut om AI-system. Dessa begrepp kan variera med avseende på det relevanta sammanhanget och kan inbegripa förståelse av den korrekta tillämpningen av tekniska delar under AI-systemets utvecklingsfas, de åtgärder som ska tillämpas under dess användning, lämpliga sätt att tolka AI-systemets utdata och, när det gäller berörda personer, den kunskap som krävs för att förstå hur beslut som fattas med hjälp av AI kommer att påverka dem. I samband med tillämpningen av denna förordning bör AI-kunnighet ge alla relevanta aktörer i AI-värdekedjan de insikter som krävs för att säkerställa lämplig efterlevnad och korrekt efterlevnads- kontroll. Dessutom kan ett brett genomförande av åtgärder för AI- kunnighet och införandet av lämpliga uppföljningsåtgärder bidra till att förbättra arbetsvillkoren och i slutändan upprätthålla konsolide- 302 SOU 2025:101 Marknadskontrollmyndigheter ringen av och innovationsbanan för tillförlitlig AI i unionen. Den europeiska styrelsen för artificiell intelligens (styrelsen) bör stödja kommissionen för att främja AI-kunnighet, allmänhetens medvetenhet om och förståelse av fördelar, risker, skyddsåtgärder, rättigheter och skyldigheter i samband med användningen av AI-system. I samarbete med berörda parter bör kommissionen och medlemsstaterna underlätta utarbetandet av frivilliga uppförandekoder för att öka AI-kunnigheten hos personer som arbetar med utveckling, drift och användning av AI. 6.9.2 Överväganden och förslag Artikel 4 är konstruerad på ett sådant sätt att den omfattar alla leve- rantörer och tillhandahållare av AI-system (dvs. av AI-system enligt definitionen i artikel 3.1). Det är följaktligen möjligt för en leverantör eller tillhandahållare att självständigt överträda kraven som uppställs i artikel 4.243 (Se även utredningens förslag beträffande ingripanden i kapitel 10). Ovanstående innebär att artikel 4 inte har en koppling till något användningsområde. Överväganden kring en uppdelning baserat på sektorsspecifik kunskap eller befintliga tillsynsuppdrag gör sig där- med inte gällande i denna del. Artikeln kan dock tänkas ha ett nära samröre med övriga bestämmelser i AI-förordningen, innebärande att det skulle ligga nära till hands att koppla det uppdelade ansvaret som utredningen föreslagit i övrigt för de olika riskområdena även till artikel 4. Det är t.ex. troligt att en leverantör eller tillhandahållare som bryter mot någon av bestämmelserna för AI-system med hög risk också samtidigt kan komma att bryta mot bestämmelsen i artikel 4. Enligt utredningen skulle en sådan uppdelning dock bli alltför fragmenterad. En stor del av uppdraget som ansvarig för artikel 4 lär rimligen vara att lämna vägledning om artikeln, vilket lämpligen görs av en central myndighet. Utredningen bedömer därför att det är lämpligast att ansvaret för artikel 4 tilldelas den marknadskontroll- myndighet som föreslås vara marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. Utifrån utredningens reso- nemang i tidigare avsnitt i detta kapitel är det PTS (se avsnitt 6.4.4). Utredningen föreslår därför att PTS, i egenskap av marknads- kontrollmyndighet med huvudsakligt ansvar för AI-förordningen, ska ansvara för området i artikel 4. 243 Kommissionen har bl.a. publicerat en Q&A om artikel 4 som förtydligar detta. https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers (hämtad 2025-06-28). 303 Marknadskontrollmyndigheter SOU 2025:101 6.10 Sammanställning av utredningens förslag Nedan följer en sammanställning av den ansvarsfördelning som ut- redningen har föreslagit i detta kapitel. Tabell 6.3 Marknadskontrollmyndighet med huvudsakligt ansvar Övergripande ansvar Föreslagen myndighet Avsnitt Marknadskontrollmyndighet med PTS 6.4.3–6.4.4 huvudsakligt ansvar för AI- förordningen Tabell 6.4 Ansvarsfördelning: bilaga III Områden i bilaga III Föreslagna myndigheter Avsnitt 1. Biometri IMY 6.5.1 2. Kritisk infrastruktur PTS 6.5.2 3. Utbildning och yrkesutbildning PTS 6.5.3 4. Anställning, arbetsledning PTS 6.5.4 och tillgång till egenföretagande 5 a. Bedömning av väsentliga PTS 6.5.5 förmåner och tjänster i form av offentligt stöd 5 b. Värdering av kreditvärdighet Finansinspektionen 6.5.6 och kreditbetyg IMY 5 c. Beräkning av premier Finansinspektionen 6.5.7 för liv- och sjukförsäkring 5 d. Larmsamtal och prioritering PTS 6.5.8 av larmtjänster m.m. 6. Brottsbekämpning IMY 6.5.1 7. Migration, asyl och IMY 6.5.1 gränskontrollförvaltning 8. Rättskipning och demokratiska IMY 6.5.1 processer 304 SOU 2025:101 Marknadskontrollmyndigheter Tabell 6.5 Ansvarsfördelning: bilaga IA Rättsakt i bilaga IA Föreslagna myndigheter Avsnitt 1. EU:s maskindirektiv Arbetsmiljöverket 6.6.4 2. EU:s leksaksdirektiv Elsäkerhetsverket 6.6.4 Kemikalieinspektionen Konsumentverket 3. EU:s fritidsbåtsdirektiv Transportstyrelsen 6.6.4 4. EU:s hissdirektiv Boverket 6.6.4 5. 2014 års ATEX-direktiv Arbetsmiljöverket 6.6.4 Elsäkerhetsverket 6. EU:s radioutrustningsdirektiv Elsäkerhetsverket 6.6.4 PTS 7. EU:s direktiv om tryckbärande Arbetsmiljöverket 6.6.4 anordningar 8. EU:s linbaneförordning Boverket 6.6.4 9. EU:s förordning om personlig Arbetsmiljöverket 6.6.4 skyddsutrustning Konsumentverket 10. EU:s förordning om gasanordningar Elsäkerhetsverket 6.6.4 MSB 11. MDR-förordningen Läkemedelsverket 6.6.4 12. IVDR-förordningen Läkemedelsverket 6.6.4 Tabell 6.6 Ansvarsfördelning: artikel 5, 50 och 4 Artikel Föreslagna myndigheter Avsnitt 1. Artikel 5 IMY (huvudansvar) 6.7 PTS Finansinspektionen 2. Artikel 50 PTS (huvudansvar) 6.8 IMY 3. Artikel 4 PTS 6.9 305 7 Anmälande myndigheter och anmälda organ 7.1 Inledning En del av utredningens uppdrag är att lämna förslag på vilken eller vilka befintliga myndigheter som bör utses till anmälande myndig- heter enligt AI-förordningen. I detta kapitel lämnar utredningen förslag om vilka myndigheter som ska utses till anmälande myndigheter, en bedömning om sättet för bedömning och övervakning av anmälda organ och förslag om vilken myndighet som ska fungera som anmält organ enligt arti- kel 43.1 tredje stycket i AI-förordningen. Utredningen lämnar även förslag om viss föreskriftsrätt. Utredningen inleder kapitlet med en redogörelse för anmälande myndigheters uppdrag enligt AI-förordningen (se avsnitt 7.2). Ut- redningen redogör därefter kort för vad som avses med bedömning av överensstämmelse och anmälda organ (se avsnitt 7.3) samt redo- gör för kort om ackreditering (se avsnitt 7.4). Därefter redogör utred- ningen för sina överväganden och förslag (se avsnitt 7.5). I avsnitt 7.5.1 gör utredningen bedömningar om vilka myndigheter som är relevanta att överväga som anmälande myndigheter. I av- snitt 7.5.2 gör utredningen en bedömning om vilka myndigheter som bör utses till anmälande myndigheter enligt AI-förordningen och i avsnitt 7.5.3 föreslår utredningen hur regleringen av ansvaret bör ske i författning. I avsnitt 7.5.4 gör utredningen överväganden om sättet för bedömning och övervakning av anmälda organ. I av- snitt 7.5.5 lämnar utredningen förslag om vilken myndighet som bör fungera som anmält organ enligt artikel 43.1 tredje stycket i AI- förordningen och i avsnitt 7.5.6 lämnar utredningen avslutningsvis förslag om föreskriftsrätt. 307 Anmälande myndigheter och anmälda organ SOU 2025:101 Förslagen som utredningen lämnar i detta kapitel föranleder även vissa frågor om offentlighet och sekretess samt om samordning och samverkan. Sådana frågor hanteras i kapitel 9, som berör frågor om samordning och samverkan och vissa sekretessfrågor inom systemet för marknadsövervakning och kontroll. 7.2 En anmälande myndighets uppdrag enligt AI-förordningen Enligt AI-förordningen är en anmälande myndighet den nationella myndighet som ansvarar för inrättandet och genomförandet av de förfaranden som krävs för bedömning, utseende och anmälan av anmälda organ och för övervakning av dessa (artikel 3.19). En an- mälande myndighet är i likhet med en marknadskontrollmyndighet en nationell behörig myndighet enligt AI-förordningen (artikel 3.48). Varje medlemsstat ska utse eller inrätta minst en anmälande myn- dighet med ansvar för att fastställa och genomföra de förfaranden som krävs för bedömning, utseende och anmälan av anmälda organ och för övervakning av dessa. Dessa förfaranden ska utvecklas i sam- arbete mellan de anmälande myndigheterna i alla medlemsstater (artikel 28.1). Medlemsstaterna får bestämma att den bedömning och övervakning som avses ska utföras av ett nationellt ackrediterings- organ i den mening som avses i, och i enlighet med, EU:s förordning om ackreditering (artikel 28.2). Enligt AI-förordningen ska anmälande myndigheter vara inrättade, organiserade och fungera på ett sådant sätt att det inte uppstår någon intressekonflikt med de anmälda organen och så att det garanteras att deras verksamhet är objektiv och opartisk (artikel 28.3). Det innebär att beslut som rör anmälan av anmälda organ fattas av annan behörig personal än den som har gjort bedömningen av dessa organ (arti- kel 28.4). Anmälande myndigheter får varken erbjuda eller utföra sådan verksamhet som utförs av anmälda organ eller erbjuda eller utföra konsulttjänster på kommersiell eller konkurrensmässig grund (artikel 28.5). Anmälande myndigheter ska förfoga över tillräckligt med personal med lämplig kompetens för att kunna utföra sina uppgifter. Kompe- tent personal ska, i tillämpliga fall, ha nödvändig sakkunskap med tanke på sin funktion, på områden som informationsteknik, AI och 308 SOU 2025:101 Anmälande myndigheter och anmälda organ juridik, inbegripen övervakning av grundläggande rättigheter (arti- kel 28.7). AI-förordningen anger även att anmälande myndigheter ska säkerställa att den information som de erhåller behandlas konfi- dentiellt, i enlighet med artikel 78 i AI-förordningen (artikel 28.6). I artikel 29 specificeras att anmälda organ ska lämna in en ansökan om anmälan till den anmälande myndigheten, krav på innehåll och bi- fogade dokument. För anmälda organ som utsetts enligt annan unions- harmoniseringslagstiftning får, beroende på vad som är lämpligt, alla dokument och intyg kopplade till dessa fall av utseende användas som stöd för deras utseendeförfarande utifrån AI-förordning (artikel 29.4). Av artikel 30 framgår att anmälande myndigheter endast får an- mäla de anmälda organ som uppfyller kraven i artikel 31 (artikel 30.1) och myndigheterna ska till kommissionen och övriga medlemsstater, med hjälp av det elektroniska anmälningsverktyg som har utvecklats och förvaltas av kommissionen, anmäla varje anmält organ som avses (artikel 30.2). I artikeln specificeras även innehållet för en sådan an- mälan (artikel 30.3) och kraven för när det berörda anmälda organet får bedriva verksamhet som anmält organ (artikel 30.4) samt den han- tering som gäller om invändningar görs från kommissionen eller övriga medlemsstater mot en anmälan om ett organ (artikel 30.5). 7.3 Kort om bedömning av överensstämmelse och anmälda organ Utredningen har i kapitel 3 översiktligt redogjort för systemet med bedömning av överensstämmelse. En tillverkare får bara släppa ut en produkt på den inre marknaden om den uppfyller alla tillämpliga krav inom EU. För vissa produkter krävs det att en bedömning av överens- stämmelse av en oberoende tredje part görs innan produkten kan säljas. Detta förfarande är tillämpligt på AI-system med hög risk enligt AI-förordningen. Det är tillverkaren/leverantören som ska göra be- dömningen av överensstämmelse. I vissa fall ska förfarandet för be- dömning av överensstämmelse enligt AI-förordningen grunda sig på intern kontroll och vissa fall ska den grunda sig på en bedömning som sker med deltagande av ett anmält organ, även kallat en tredjeparts- bedömning (se artikel 34.1, artikel 43 och bilaga VI och VII). Anmälda organ är i allmänhet fria att erbjuda sina tjänster för be- dömning av överensstämmelse till alla ekonomiska aktörer inom eller 309 Anmälande myndigheter och anmälda organ SOU 2025:101 utanför EU och får bedriva denna verksamhet på andra EU-länders eller tredjeländers territorium. I artikel 31 i AI-förordningen finns närmare bestämmelser om krav på anmälda organ. Tillverkarna/lever- antörerna är i allmänhet också fria att välja vilket anmält organ av dem som har utsetts till sådant för att genomföra förfarandet för bedömning av överensstämmelse. I artikel 43.1 tredje stycket i AI- förordningen finns dock ett undantag från detta (se närmare i av- snitt 7.5.5). De anmälda organen är oberoende organisationer och således inte statliga organ. Den kontroll som de utför sker genom prov- ning, kontroll och certifiering. En förteckning över alla anmälda organ som arbetar inom EU finns i kommissionens publika databas SMCS portal.1 7.4 Kort om ackreditering Utredningen har i kapitel 3 översiktligt redogjort för vad ackredi- tering är. Ackreditering är en kompetensprövning som görs enligt europeiska och internationella standarder. För att bli ackrediterad prövas kompetens, rutiner och metoder så att alla kvalitetskrav upp- fylls enligt en standard. Syftet med ackreditering är att kunna säker- ställa att certifiering, validering, verifiering, kalibrering, kontroll och provning görs med hög kvalitet och god säkerhet för liv, hälsa och miljö. Ackrediteringen innebär kontroller av att uppdragen utförs opartiskt, korrekt och grundas på internationellt erkända standarder.2 EU har antagit gemensamma regler för ackreditering genom EU:s förordning om ackreditering och Europaparlamentets och rådets be- slut nr 768/2008/EG av den 9 juli 2008 om en gemensam ram för saluföring av produkter. Vid införandet av EU:s förordning om ackreditering konstaterade kommissionen att ackreditering användes i samtliga medlemsstater, men att det inte hade reglerats på gemen- skapsnivå. Bristen på gemensamma bestämmelser hade enligt kommis- sionen lett till olika tillvägagångssätt och system inom gemenskapen, vilket fått till följd att olika medlemsstater har varit olika strikta vid ackreditering. Kommissionen konstaterade mot den bakgrunden att det var nödvändigt att utveckla en heltäckande ram för ackreditering 1 https://www.swedac.se/tjanster/anmalande-myndighet/anmalda-organ/ (hämtad 2025-07-07). 2 https://www.swedac.se/tjanster/ackreditering/ (hämtad 2025-05-08). 310 SOU 2025:101 Anmälande myndigheter och anmälda organ och att på gemenskapsnivå fastställa principer för hur ackrediteringen ska organiseras och genomföras.3 Enligt EU:s förordning om ackreditering ska varje medlemsstat utse ett enda nationellt ackrediteringsorgan. I Sverige är Swedac ut- sedd till nationellt ackrediteringsorgan. Av artikel 5 i EU:s förord- ning om ackreditering följer att ett nationellt ackrediteringsorgan på begäran av ett anmält organ ska utvärdera huruvida organet är kompetent att utföra specifik bedömning av överensstämmelse. Om organet har konstaterats vara kompetent, ska det nationella ackredi- teringsorganet utfärda ett ackrediteringsintyg om detta. När en med- lemsstat beslutar att inte använda ackreditering ska den förse kommis- sionen och övriga medlemsstater med de styrkande handlingar som krävs för att intyga kompetensen hos de anmälda organ som den ut- ser för genomförandet av relevant harmoniserad gemenskapslagstift- ning. Nationella ackrediteringsorgan ska utöva tillsyn över de anmälda organ som de har utfärdat ackrediteringsintyg för. Det finns i dagsläget knappt 1 300 ackrediterade verksamheter i Sverige. Sverige har i dag knappt 40 anmälda organ som är kompetens- bedömda genom ackreditering. Dessutom är två organ anmälda av Läkemedelsverket enligt regelverket för medicintekniska produkter och därmed inte ackrediterade. 7.5 Överväganden och förslag 7.5.1 Myndigheter som bör övervägas Utredningens bedömning: Två svenska myndigheter är relevanta att överväga som anmälande myndigheter enligt AI-förordningen. Dessa är Swedac och Läkemedelsverket. 3 Skäl 10 i EU:s förordning om ackreditering. 311 Anmälande myndigheter och anmälda organ SOU 2025:101 Myndigheter med koppling till området I Sverige finns sedan tidigare två anmälande myndigheter, Swedac och Läkemedelsverket.4 Swedac är anmälande myndighet i alla avse- enden förutom beträffande EU:s förordningar om medicintekniska produkter, där Läkemedelsverket är anmälande myndighet.5 I EU:s förordningar om medicintekniska produkter används dock inte be- greppet anmälande myndighet, i stället används begreppet myndighet med ansvar för anmälda organ. Nedan redogörs översiktligt för respek- tive myndighets nuvarande uppdrag. Swedac är en förvaltningsmyndighet som enligt myndighetens instruktioner ska verka för en effektiv och välfungerande kvalitets- infrastruktur i syfte att produkter och tjänster ska uppfylla krav på säkerhet och kvalitet. Myndigheten ansvarar särskilt för ackreditering, reglerad mätteknik, ädelmetallkontroll, samordning av marknads- kontroll, tillsyn av riksmätplatser, uppgifter som ska utföras av en GLP-myndighet (Good Laboratory Practice) enligt förordningen (1991:93) om införande av OECD:s principer om god laboratorie- sed, och notifiering av anmälda och utsedda organ till kommissionen.6 Swedac är även utsedd till centralt samordningskontor för marknads- kontroll enligt artikel 10.3 i EU:s marknadskontrollförordning och är ansvarig för ordförandeskap och sekretariat i marknadskontroll- rådet.7 Av särskild betydelse i detta kapitel är att Swedac är Sveriges nationella ackrediteringsorgan.8 Det är även av betydelse att Swedac enligt lagen om ackreditering och teknisk kontroll fattar beslut om att utse anmälda organ enligt harmoniserad unionslagstiftning och avtal som EU träffat med tredje land samt anmäler organen till kommissionen och de andra medlemsstaterna. Myndigheten utövar även tillsyn över de anmälda organen.9 4 Försvarets materielverk har också en liknande roll enligt EU:s cybersäkerhetsakt genom att myndigheten är nationell myndighet för cybersäkerhetscertifiering enligt lagen (2021:553) med kompletterande bestämmelser till EU:s cybersäkerhetsakt och i den rollen bl.a. ackrediterar anmälda organ enligt artikel 60.2 i EU:s cybersäkerhetsakt. Se 3–5 §§ förordning (2021:555) med kompletterande bestämmelser till EU:s cybersäkerhetsakt. 5 7–9 a §§ lagen (2011:791) om ackreditering och teknisk kontroll samt 2 § förordningen (2020:57) med instruktion för Läkemedelsverket. 6 1 § förordningen (2021:1252) med instruktion för Styrelsen för ackreditering och teknisk kontroll. 7 4 a och 5 §§ förordningen (2014:1039) om marknadskontroll av varor och annan närliggande tillsyn. 8 4 § lagen om ackreditering och teknisk kontroll. 9 7–9 och 18–19 §§ lagen om ackreditering och teknisk kontroll jämte 9 § förordningen med instruktion för Styrelsen för ackreditering och teknisk kontroll. 312 SOU 2025:101 Anmälande myndigheter och anmälda organ Läkemedelsverket är en förvaltningsmyndighet för verksamhet som rör läkemedel och medicintekniska produkter. Myndigheten ska en- ligt sina instruktioner verka för säkra och effektiva läkemedel av god kvalitet och för god läkemedelsanvändning samt för att medicin- tekniska produkter är säkra och lämpliga för sin användning. Av sär- skild betydelse i detta kapitel är att Läkemedelsverket bl.a. ansvarar för tillsyn, inklusive marknadskontroll, av medicintekniska produkter samt för att utse och övervaka anmälda organ för medicintekniska produkter.10 Myndighetens ansvar som anmälande myndighet fram- går av 2 kap. 4 § förordningen (2021:631) med kompletterande be- stämmelser till EU:s förordningar om medicintekniska produkter som anger att Läkemedelsverket är den myndighet med ansvar för anmälda organ som anges i artikel 35 i MDR-förordningen och artikel 31 i IVDR-förordningen. Swedac och Läkemedelsverket är relevanta att överväga som anmälande myndigheter enligt AI-förordningen Swedac har arbetat med frågor om ackreditering sedan 1989.11 Swedac besitter genom sina funktioner som anmälande myndighet, ackredi- teringsorgan, tillsynsmyndighet samt samordnare för marknadskon- trollen i Sverige bred erfarenhet och kunskap i frågor som görs gäll- ande även i AI-förordningen. Även Läkemedelsverket besitter genom sin funktion som anmäl- ande myndighet, tillsyns- och marknadskontrollmyndighet på om- rådet för medicintekniska produkter erfarenhet och kunskap inom den specifika sektorn. Verket har även god insikt i AI-system (se av- snitt 6.4.3). Utredningen bedömer sammantaget att det är aktuellt att överväga Swedac som anmälande myndighet enligt AI-förordningen. Tidigare var Swedac även anmälande myndighet på det medicintekniska om- rådet. När EU:s förordningar om medicintekniska produkter antogs upphörde dock möjligheten att anmäla organ genom ackreditering på det medicintekniska området. I samband därmed utsågs Läkemedels- verket till anmälande myndighet enligt EU:s förordningar om medi- cintekniska produkter. I förarbetena angav regeringen att Läkemedels- verket skulle ta över uppgifterna som anmälande myndighet från 10 1–2 §§ förordningen med instruktion för Läkemedelsverket. 11 https://www.swedac.se/om-swedac/swedac-kort-historik/ (hämtad 2025-06-02). 313 Anmälande myndigheter och anmälda organ SOU 2025:101 Swedac eftersom Läkemedelsverket är den myndighet som ansvarar för tillsynen av medicintekniska produkter och i övrigt har stor expertis på området.12 AI-system som är relaterade till EU:s förordningar om medicin- tekniska produkter är i vissa avseenden AI-system med hög risk (se artikel 6.1 och bilaga IA). Utredningen bedömer mot den bak- grunden att det även är aktuellt att överväga Läkemedelsverket som anmälande myndighet enligt AI-förordningen. Utredningen föreslår dessutom i avsnitt 6.6.4 att Läkemedelsverket ska utses till marknads- kontrollmyndighet med ansvar för marknadskontroll över AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är relaterade till produkter som omfattas av EU:s förordningar om medicintekniska produkter. Detta utgör ytterligare skäl för att över- väga Läkemedelsverket som anmälande myndighet enligt AI-förord- ningen. Andra myndigheter? Med hänsyn till de kriterier som AI-förordningen ställer upp på organisationen hos den anmälande myndigheten – särskilt i fråga om grundläggande fri- och rättigheter, personuppgiftsskydd, cyber- säkerhet och databehandling (se artikel 28.6 och 70.3) – är det möjligt att överväga även andra myndigheter än Swedac och Läkemedels- verket, t.ex. en myndighet som i andra avseenden får ett större ansvar enligt AI-förordningen. Utredningen har i kapitel 6 föreslagit att PTS ska utses till huvud- sakligt ansvarig marknadskontrollmyndighet enligt AI-förordningen. PTS skulle – utifrån perspektivet att samla kunskapen om AI-system och AI-förordningen på så få myndigheter som möjligt – även kunna övervägas som anmälande myndighet. Utifrån en liknande tanke skulle även andra myndigheter som utredningen föreslår som mark- nadskontrollmyndigheter i kapitel 6 kunna övervägas, t.ex. IMY. Antalet anmälande myndigheter har i Sverige dock hittills be- gränsats till två, och beträffande Swedac oaktat inom vilket område anmälningsförfarandet avser. Dessa två myndigheter har organisa- tion och kunskap om såväl anmälandeförfaranden som tillämpning av unionsrättslig reglering, vilket gör dem lämpliga att överväga. 12 Prop. 2016/17:197, s. 20 f. 314 SOU 2025:101 Anmälande myndigheter och anmälda organ IMY och PTS har inte varit anmälande myndighet tidigare, vilket talar mot att utse dem till anmälande myndigheter. Utredningen föreslår dessutom att bedömningen av om ett organ för bedömning av överensstämmelse uppfyller kraven för anmälan som huvudregel bör ske genom ackreditering (se avsnitt 7.5.4). Det förfarande för bedömning, utseende och anmälan som ska ske enligt AI-förordningen skiljer sig således inte nämnvärt från den uppgift Swedac redan utför på andra områden. Enligt utredningen talar förutse- barhetskäl och tidigare erfarenheter av att vara anmälande myndighet för att behålla det system som i nuläget gäller i Sverige. Utredningen bedömer därför att det endast är Swedac och Läkemedelsverket som är relevanta att överväga som anmälande myndigheter enligt AI-för- ordningen. 7.5.2 Myndigheter som bör vara anmälande myndigheter enligt AI-förordningen Utredningens bedömning: Swedac bör vara anmälande myndig- het enligt AI-förordningen och ansvara för att utse och anmäla alla anmälda organ, förutom anmälda organ som utses och anmäls av Läkemedelsverket. Läkemedelsverket bör vara anmälande myndighet enligt AI- förordningen med ansvar för att utse och anmäla anmälda organ för AI-system med hög risk som avses i artikel 6.1 i AI-förord- ningen och som är relaterade till produkter som omfattas av EU:s förordningar om medicintekniska produkter. Swedac bör vara anmälande myndighet Swedac är i dagsläget anmälande myndighet inom samtliga områden utom för det medicintekniska området. Swedac anmäler i dagsläget således i princip alla organ och det gäller oberoende av vilken sak- kunskap som krävs. Utredningen bedömer mot bakgrund av den er- farenhet och kunskap myndigheten besitter som anmälande myndig- het att Swedac har förutsättningar att vara anmälande myndighet även enligt AI-förordningen. AI-förordningen tillåter att bedöm- ning och övervakning av anmälda organ sker genom ackreditering. 315 Anmälande myndigheter och anmälda organ SOU 2025:101 Utredningen bedömer att detta sätt lämpar sig även enligt AI-för- ordningen (se avsnitt 7.5.4). Utredningen bedömer sammantaget att Swedac bör vara anmäl- ande myndighet enligt AI-förordningen och ansvara för att utse och anmäla alla anmälda organ, med undantag för anmälda organ som utses och anmäls av Läkemedelsverket. Läkemedelsverket bör också vara anmälande myndighet EU:s förordningar om medicintekniska produkter har undantagit möjligheten att bedöma och övervaka anmälda organ genom ackredi- tering. Swedac har i dag uteslutande anmälda organ som är bedömda och övervakas genom ackreditering. Läkemedelsverket ansvarar i dagsläget för uppgiften som anmälande myndighet i förhållande till EU:s förordningar om medicintekniska produkter. Det är troligt att Läkemedelsverkets uppdrag kommer att överlappa ansvaret att vara anmälande myndighet enligt AI-förordningen beträffande AI-system som relaterar till medicintekniska produkter. Det är därför lämpligt att Läkemedelsverket även ansvarar för att utse och anmäla organ som kontrollerar överensstämmelsen med AI-system inom samma område. Utredningen bedömer sammantaget att Läkemedelsverket bör vara anmälande myndighet enligt AI-förordningen med ansvar för att utse och anmäla organ för AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är relaterade till produkter som omfattas av EU:s förordningar om medicintekniska produkter. 7.5.3 Reglering av ansvar Utredningens förslag: Regleringen av vilka områden som är undantagna Swedacs ansvar som anmälande myndighet ska ske i lagen om ackreditering och teknisk kontroll genom att ett nytt stycke läggs till i 9 a §. I det nya stycket ska anges att bestämmelserna i 7–9 §§ inte heller gäller organ för bedömning av överensstämmelse som utses och anmäls enligt AI-förordningen beträffande organ för AI- system med hög risk som avses i artikel 6.1 i AI-förordningen 316 SOU 2025:101 Anmälande myndigheter och anmälda organ och som är relaterade till produkter som omfattas av EU:s för- ordningar om medicintekniska produkter. I bestämmelsen ska vidare anges att bestämmelser om dessa organ och anmälande myndigheter finns i AI-förordningen. Kompletteringslagen ska innehålla en upplysningsbestämmelse om att bestämmelser om anmälande myndigheter och anmälda organ finns i AI-förordningen och i lagen om ackreditering och teknisk kontroll samt att det framgår av AI-förordningen att en anmälande myndighet är nationell behörig myndighet enligt förordningen. Kompletteringsförordningen ska innehålla en bestämmelse om att Läkemedelsverket ansvarar för att utse och anmäla organ för AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är relaterade till produkter som omfattas av EU:s förord- ningar om medicintekniska produkter. I kompletteringsförord- ningen ska även upplysas om att bestämmelser om anmälande myndigheter och anmälda organ även finns i lagen om ackredi- tering och teknisk kontroll. Swedac har redan en generell befogenhet som anmälande myndighet Lagen om ackreditering och teknisk kontroll och tillhörande förord- ning (2011:811) om ackreditering och teknisk kontroll kompletterar EU:s förordning om ackreditering. Lagen tillämpas beträffande bl.a. organ som anmäls till kommissionen och de andra medlemsstaterna för uppgifter i samband med bedömning av överensstämmelse enligt harmoniserad unionslagstiftning (1 § andra stycket 1). Enligt lagen ansvarar Swedac också för ackreditering enligt EU:s förordning om ackreditering och för ackreditering i övrigt av organ för bedömning av överensstämmelse, som exempelvis anmälda organ. I 9 § förordningen med instruktion för Styrelsen för ackreditering och teknisk kontroll anges vidare att Swedac ansvarar för att utse, anmäla och utöva tillsyn över anmälda och utsedda organ. Det gäller organ som enligt 7–9 §§ lagen om ackreditering och teknisk kontroll, ska anmälas av Swedac för uppgifter om bedömning av överensstäm- melse enligt harmoniserad EU-lagstiftning och internationella över- enskommelser, med undantag för områden där någon annan myndig- 317 Anmälande myndigheter och anmälda organ SOU 2025:101 het särskilt ansvarar för uppgiften. Bestämmelserna reglerar en gene- rell befogenhet för Swedac att vara anmälande myndighet. Swedac använder sig i dagsläget av denna generella befogenhet inom flera om- råden som omfattas av harmoniserad unionslagstiftning utan någon ytterligare reglering. Denna generella befogenhet träffar även upp- draget att vara anmälande myndighet enligt AI-förordningen. Swedacs ansvar som anmälande myndighet enligt AI-förordningen behöver därför inte regleras ytterligare i författning. Utredningen bedömer att det upplysningsvis i kompletterings- lagen bör anges att bestämmelser om anmälande myndigheter och anmälda organ finns i AI-förordningen och i lagen om ackreditering och teknisk kontroll. Detta dels i syfte att upplysa om Swedacs ansvar, dels i syfte att upplysa om Läkemedelsverkets ansvar (se närmare nedan). I samma bestämmelse bör också upplysas om att det framgår av AI-förordningen att en anmälande myndighet är nationell behörig myndighet enligt förordningen. Detta i syfte att tydliggöra att AI-förordningens bestämmelser som rör nationell behörig myndighet, t.ex. bestämmelserna om ingripanden, också gäller för de anmälande myndigheterna. Utredningen föreslår i av- snitt 6.4.5 att samma upplysning ska göras beträffande marknads- kontrollmyndigheterna. Läkemedelsverkets ansvar bör regleras i lagen om ackreditering och teknisk kontroll samt i kompletteringsförordningen Swedacs befintliga befogenhet att anmäla organ begränsas i 9 a § lagen om ackreditering och teknisk kontroll. Regeln anger att be- stämmelserna i 7–9 §§ inte gäller anmälda organ som utses och anmäls enligt EU:s förordningar om medicintekniska produkter och att be- stämmelser om dessa organ och myndigheter med ansvar för anmälda organ i stället finns i dessa EU-förordningar. Av författningskommentaren till i 9 a § framgår att paragrafen tydliggör att förfarandet för att utse och anmäla organ enligt 7–9 §§ inte gäller för organ för bedömning av överensstämmelse som utses och anmäls enligt MDR-förordningen eller IVDR-förordningen. Vidare framgår av kommentaren att den myndighet som ska vara 318 SOU 2025:101 Anmälande myndigheter och anmälda organ myndighet med ansvar för anmälda organ utses i förordning.13 Läkemedelsverkets ansvar som anmälande myndighet framgår av 2 kap. 4 § förordningen med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter som anger att Läke- medelsverket är den myndighet med ansvar för anmälda organ som anges i artikel 35 i MDR-förordningen och artikel 31 i IVDR-förord- ningen.14 En liknande reglering bör enligt utredningen gälla även avseende AI-system med hög risk som är relaterad till produkter som omfattas av EU:s förordningar om medicintekniska produkter (jfr artikel 43.3). Utredningen föreslår därför att ett nytt stycke förs in i 9 a § lagen om ackreditering och teknisk kontroll som tydliggör detta. Det nya stycket bör i syfte att skapa ett enhetligt system innehållsmässigt efterlikna den befintliga utformningen av 9 a §. I syfte att efterlikna regleringen av Läkemedelsverkets befintliga ansvar som anmälande myndighet föreslår utredningen även att Läke- medelsverkets ansvar ska framgå av kompletteringsförordningen.15 Av tydlighetsskäl anser utredningen att det i samma bestämmelse i kompletteringsförordningen även bör anges att bestämmelser om an- mälande myndigheter och anmälda organ även finns i lagen om ackre- ditering och teknisk kontroll. Detta i syfte att undvika otydlighet om vilken myndighet som i övrigt är ansvarig som anmälande myndighet. En alternativ reglering som utredningen har övervägt Utredningens förslag till reglering av Swedacs och Läkemedels- verkets respektive uppdrag som anmälande myndighet kan framstå som otydlig och krånglig. Det hade möjligen varit mer förutsebart för operatörer m.fl. om de anmälande myndigheternas ansvar reglerades på ett liknande sätt som marknadskontrollmyndigheternas ansvar i kompletteringslagen och kompletteringsförordningen. Utredningen har övervägt en reglering som efterliknar den. En sådan reglering skulle kunna ske genom att det i kompletteringslagen förs in en be- stämmelse som anger att den myndighet som regeringen bestämmer 13 Prop. 2020/21:172, s. 448. Se även regeringens överväganden om att inte ange något om ansvarig myndighet i lagen (2021:600) med kompletterande bestämmelser till EU:s förord- ningar om medicintekniska produkter på s. 121 f. 14 Myndighetens ansvar framgår även av 2 § förordningen med instruktion för Läkemedelsverket. 15 Jfr regeringens överväganden i prop. 2020/21:172 s 121. 319 Anmälande myndigheter och anmälda organ SOU 2025:101 ska vara anmälande myndighet enligt AI-förordningen. Vidare genom att det i kompletteringsförordningen – utöver den bestämmelse som utredningen föreslår beträffande Läkemedelsverkets ansvar – även förs in en bestämmelse som anger Swedacs ansvarsområde. En sådan reglering blir dock otydlig i förhållande till bestämmelserna i 7–9 §§ lagen om ackreditering och teknisk kontroll. Detta eftersom bestäm- melserna redan ger Swedac en generell befogenhet som anmälande myndighet, dvs. regeringen behöver inte bestämma att Swedac ska vara en sådan myndighet i någon kompletteringsförfattning. Dessutom hade det vid en sådan reglering fortfarande behövt in- föras en undantagsbestämmelse i lagen om ackreditering och teknisk kontroll – likt den som utredningen nu föreslår i 9 a § – för att för- tydliga att Swedac inte är ansvarig för att anmäla alla organ som kon- trollerar överensstämmelsen hos AI-system enligt AI-förordningen (jfr 7 § lagen om ackreditering och teknisk kontroll). En sådan regler- ing avviker också från hur Läkemedelsverkets nuvarande ansvar som anmälande myndighet har reglerats. Utredningen bedömer därför sammantaget att det är lämpligast att reglera Swedacs och Läkemedelsverkets ansvar på ett sådant sätt som utredningen föreslår ovan. 7.5.4 Bedömning och övervakning av anmälda organ genom ackreditering Utredningens bedömning: Swedac bör bedöma och övervaka anmälda organ genom ackreditering. Läkemedelsverket bör inte bedöma och övervaka anmälda organ genom ackreditering. En sådan reglering följer av befintliga bestämmelserna i 7–9 a §§ lagen om ackreditering och teknisk kontroll. Någon ytterligare regler- ing behövs därför inte. Swedac bör använda ackreditering Av AI-förordningen framgår att medlemsstaterna får bestämma att den bedömning och övervakning som avses i artikel 28.1 ska utföras av ett nationellt ackrediteringsorgan i den mening som avses i, och i enlighet med, EU:s förordning om ackreditering. Utredningen be- 320 SOU 2025:101 Anmälande myndigheter och anmälda organ höver därför ta ställning till om Sverige ska använda sig av ackredi- tering. I Sverige är nuvarande huvudregel att bedömning och övervakning av anmälda organ sker av Swedac genom ackreditering för de områden där Swedac är anmälande myndighet. AI-förordningen är harmoni- serad med andra EU-rättsakter på produktsäkerhetsområdet (se bi- laga IA till AI-förordningen). Vid anmälningsförfaranden enligt samt- liga av dessa rättsakter, förutom beträffande EU:s förordningar om medicintekniska produkter, bedöms och övervakas anmälda organ genom ackreditering. Det har inte framkommit några skäl för att göra en annan bedömning beträffande AI-förordningen. Det ska i samman- hanget nämnas att bedömning genom ackreditering har använts under lång tid i Sverige och att regeringen i samband med att svensk lag an- passades till EU:s förordning om ackreditering konstaterade att det svenska systemet var tämligen väl anpassat till de krav som ställdes på ackreditering i förordningen.16 De regler som behövs för att ackreditera organ enligt AI-förord- ningen finns därtill redan på plats, vilket också talar för att använda ackreditering.17 Utredningen bedömer sammantaget att det är lämpligt att ackredi- tering används för att bedöma och övervaka anmälda organ, när an- mälan görs av Swedac. Det följer direkt av befintliga bestämmelserna i 7–9 §§ lagen om ackreditering och teknisk kontroll. Någon ytterlig- are reglering behövs därför inte. Det medicintekniska området bör undantas AI-system som är relaterade till EU:s förordningar om medicin- tekniska produkter är som tidigare nämnts i vissa avseenden AI- system med hög risk. Av 9 a § lagen om ackreditering och teknisk kontroll följer att förfarandet med ackreditering inte gäller beträff- ande EU:s förordningar om medicintekniska produkter. Läkemedels- 16 Prop. 2010/11:80, s. 51. 17 I Europaparlamentets och rådets beslut 768/2008/EG fastställs gemensamma principer och referensbestämmelser som kan användas för harmoniserad unionsslagstiftning. AI-förordningens bestämmelser om anmälande myndigheter, anmälda organ och förfaranden för bedömning av överensstämmelse (artiklarna 28–49) har mycket stora likheter med referensbestämmelserna i beslutet. De är också i princip identiska med bestämmelserna i EU:s marknadskontrollförord- ning. EU:s marknadskontrollförordningen kompletteras genom lagen om ackreditering och teknisk kontroll och den tillhörande förordningen samt genom de föreskrifter och allmänna råd som Swedac har utfärdat. 321 Anmälande myndigheter och anmälda organ SOU 2025:101 verket använder sig följaktligen inte av ackreditering i sin nuvarande roll som anmälande myndighet. Enligt utredningen är det lämpligt att Läkemedelsverkets bedömningar går till på ett liknande sätt även enligt AI-förordningen. Utredningen bedömer därför att ackreditering inte ska användas vid den anmälan enligt AI-förordningen som Läkemedelsverket ska ansvara för. Även detta följer direkt av befintliga bestämmelserna i 7–9 a §§ lagen om ackreditering och teknisk kontroll. Någon ytter- ligare reglering behövs därför inte. 7.5.5 Anmält organ enligt artikel 43.1 tredje stycket Utredningens förslag: Kompletteringslagen ska innehålla en be- stämmelse om att den marknadskontrollmyndighet som avses i artikel 74.8 i AI-förordningen ska fungera som anmält organ enligt artikel 43.1 tredje stycket i förordningen. Kompletteringsförordningen ska innehålla en bestämmelse om att IMY är den myndigheten. IMY ska fungera som anmält organ Artikel 43 i AI-förordningen innehåller bestämmelser om bedöm- ning av överensstämmelse. Artikel 43.1 reglerar valmöjligheter för en leverantör beträffande förfaranden för bedömning av överens- stämmelse när det gäller AI-system med hög risk som förtecknas i punkt 1 i bilaga III till AI-förordningen, dvs. AI-system med hög risk som används inom området biometri. Enligt artikel 43.1 tredje stycket gäller för det förfarande för bedömning av överensstämmelse som avses i bilaga VII (bedöm- ning av överensstämmelse grundad på en bedömning av kvalitets- styrningssystemet och en bedömning av den tekniska dokumenta- tionen) att leverantören får välja vilket av de anmälda organen som helst. Om AI-systemet med hög risk är avsett att tas i bruk av brotts- bekämpande myndigheter, migrationsmyndigheter eller asylmyndig- heter eller av EU:s institutioner, organ eller byråer ska dock den mark- 322 SOU 2025:101 Anmälande myndigheter och anmälda organ nadskontrollmyndighet som avses i – såvitt är av intresse – artikel 74.8 fungera som anmält organ.18 Artikel 74.8 innehåller en hänvisning till ”de behöriga tillsyns- myndigheterna för dataskydd” enligt EU:s dataskyddsförordning och EU:s brottsdatadirektiv. I Sverige är IMY den behöriga tillsyns- myndigheten i dessa regelverk, och utredningen har i avsnitt 6.5.1 föreslagit att IMY ska vara marknadskontrollmyndighet inom om- rådet som tas upp i artikeln. Detta får till följd att IMY även ska fungera som anmält organ. Bestämmelsen i artikel 43.1 tredje stycket anger uttryckligen att myndigheten ska fungera som anmält organ. Av bestämmelsens syfte och innehåll måste följa att IMY inte ska bedömas, utses, övervakas eller anmälas som anmält organ enligt det förfarande som anges i AI- förordningen eller andra rättsakter om anmälda organ. Enligt utred- ningens bedömning innebär detta även att IMY inte heller står under tillsyn av Swedac inom ramen för Swedacs roll som anmälande myn- dighet. Reglering av IMY:s roll som anmält organ Det går inte att utläsa direkt av AI-förordningen att det är just IMY som ska fungera som anmält organ. Det är upp till regeringen att besluta om uppgifter för förvaltningsmyndigheterna under reger- ingen. Utredningen har i avsnitt 6.4.5 föreslagit att kompletterings- lagen ska innehålla en bestämmelse som upplyser om att regeringen utser marknadskontrollmyndigheter enligt AI-förordningen. Det innefattar att utse den marknadskontrollmyndighet som avses i artikel 74.8. Av tydlighetsskäl bör det i kompletteringslagen även framgå att den marknadskontrollmyndighet som avses i artikel 74.8 i AI-förordningen ska fungera som anmält organ enligt artikel 43.1 tredje stycket i förordningen. Att det är IMY som är den myndighet som avses i artikel 74.8 och som ska fungera som anmält organ bör regleras i kompletteringsförordningen. Utredningen föreslår därför att kompletteringslagen ska innehålla en bestämmelse om att den marknadskontrollmyndighet som avses i artikel 74.8 i AI-förordningen ska fungera som anmält organ enligt 18 Artikel 74.9 som också omnämns i artikel 43.1 tredje stycket gäller situationer när EU:s institutioner, byråer eller organ omfattas av AI-förordningen. Denna artikel påverkar inte utredningens uppdrag. 323 Anmälande myndigheter och anmälda organ SOU 2025:101 artikel 43.1 tredje stycket i förordningen och att kompletterings- förordningen ska innehålla en bestämmelse som anger att IMY är den myndigheten. 7.5.6 Föreskrifter Utredningens bedömning: Swedacs föreskriftsrätt enligt förord- ningen om ackreditering och teknisk kontroll är tillräcklig för att Swedac ska kunna utföra sitt uppdrag som anmälande myndighet enligt AI-förordningen. Motsvarande föreskriftsrätt finns dock inte enligt nuvarande reglering för att Läkemedelsverket ska kunna utföra sitt uppdrag som anmälande myndighet enligt AI-förord- ningen. Utredningens förslag: Kompletteringslagen ska innehålla bestäm- melser om att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om – förfarandena för bedömning, utseende och anmälan av anmälda organ och för övervakning av dessa, samt – anmälda organs informationsskyldighet enligt artikel 45 i AI- förordningen, beträffande anmälda organ för AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är relaterade till produkter som omfattas av EU:s förordningar om medicintekniska pro- dukter. Kompletteringsförordningen ska innehålla bestämmelser om att Läkemedelsverket får meddela ovanstående föreskrifter. Läkemedelsverkets föreskriftsrätt Av artikel 28.1 i AI-förordningen framgår att varje medlemsstat ska utse eller inrätta minst en anmälande myndighet med ansvar för att fastställa och genomföra de förfaranden som krävs för bedömning, utseende och anmälan av organ för bedömning av överensstämmelse och för övervakning av dessa och att dessa förfaranden ska utvecklas i samarbete mellan de anmälande myndigheterna i alla medlemsstater. 324 SOU 2025:101 Anmälande myndigheter och anmälda organ Vid utvecklingen av dessa förfaranden kan finnas anledning att med- dela ytterligare föreskrifter kring förfarandet. Läkemedelsverket, som till skillnad från Swedac inte har någon generell föreskriftsrätt som anmälande myndighet (se avsnittet nedan), bör kunna meddela sådana föreskrifter. Det kan bl.a. behövas i fråga om hur förfarandet enligt AI-förordningen ska förhålla sig till befintligt förfarande för bedömning, utseende och anmälan enligt EU:s förordningar om medi- cintekniska produkter eller enligt föreskrifter som har meddelats med stöd av lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter. Av artikel 45 framgår vidare att anmälda organ har en informa- tionsskyldighet i förhållande till den anmälande myndigheten. An- mälda organ ska bl.a. informera den anmälande myndigheten om alla eventuella unionsintyg om bedömning av teknisk dokumentation, tillägg till dessa intyg och godkännanden av kvalitetsstyrningssystem som utfärdats i enlighet med kraven i bilaga VII (artikel 54.1 a) samt eventuella avslag, begränsningar, tillfälliga återkallelser eller tillbaka- draganden av ett unionsintyg om bedömning av teknisk dokumenta- tion eller av ett godkännande av kvalitetsstyrningssystem som ut- färdats i enlighet med kraven i bilaga VII (artikel 54.1 b). Hur det närmare ska gå till framgår inte av AI-förordningen. Det finns därför anledning att ge Läkemedelsverket som anmälande myndighet möjlig- het att meddela ytterligare föreskrifter om det. Det kan exempelvis behövas i fråga om hur informationsskyldigheten förhåller sig till befintliga skyldigheter för anmälda organ enligt EU:s förordningar om medicintekniska produkter och föreskrifter som har meddelats med stöd av lagen med kompletterande bestämmelser till EU:s för- ordningar om medicintekniska produkter. Beträffande EU:s förord- ningar om medicintekniska produkter gäller i dagsläget, enligt Läke- medelsverkets föreskrifter, att information om intyg ska lämnas till verket, men när databasen Eudamed blir obligatorisk att använda ska information om intyg lämnas där.19 Föreskrifter kan exempelvis be- höva meddelas för att tydliggöra hur dessa förfaranden förhåller sig till AI-förordningens reglering. Utredningen föreslår att sådan föreskriftsrätt bör regleras genom att kompletteringslagen ska innehålla bestämmelser som anger att regeringen eller den myndighet som regeringen bestämmer får med- 19 Se https://www.lakemedelsverket.se/sv/medicinteknik/tillverka/eudamed och https://www.lakemedelsverket.se/sv/medicinteknik/anmalda-organ (hämtad 2025-08-17). 325 Anmälande myndigheter och anmälda organ SOU 2025:101 dela föreskrifter om förfarandena för bedömning, utseende och anmälan av anmälda organ och för övervakning av dessa samt an- mälda organs informationsskyldighet enligt artikel 45 i AI-förord- ningen, beträffande anmälda organ för AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är relaterade till produkter som omfattas av EU:s förordningar om medicintekniska produkter. Utredningen föreslår även att kompletteringsförordningen ska innehålla bestämmelser som anger att Läkemedelsverket får med- dela ovanstående föreskrifter. Swedacs föreskriftsrätt Förordningen om ackreditering och teknisk kontroll kompletterar lagen om ackreditering och teknisk kontroll. Swedac får enligt 3 § i förordningen meddela föreskrifter om ackreditering enligt lagen om ackreditering och teknisk kontroll. Swedac får enligt 9 § också med- dela ytterligare föreskrifter i fråga om organ som ska anmälas enligt 9 § lagen om ackreditering och teknisk kontroll. Denna föreskrifts- rätt bör enligt utredningen omfatta en möjlighet att även meddela föreskrifter om förfarandena för bedömning, utseende och anmälan av anmälda organ och för övervakning av dessa samt anmälda organs informationsskyldighet enligt artikel 45 i AI-förordningen. Den bör även omfatta eventuella ytterligare nödvändiga verkställighetsföre- skrifter inom området till följd av AI-förordningen. Någon ytter- ligare föreskriftsrätt behövs därför inte för Swedac i fråga om AI- förordningen. 326 8 Artikel 77 i AI-förordningen 8.1 Inledning Av artikel 77.1 följer att nationella offentliga myndigheter eller organ som utövar tillsyn över eller kontrollerar efterlevnaden av skyldig- heter enligt unionsrätt om skydd av grundläggande rättigheter, in- begripet rätten till icke-diskriminering, i samband med användningen av AI-system med hög risk som avses i bilaga III, ska ha befogenhet att begära och få åtkomst till all dokumentation som skapas eller upprätthålls enligt förordningen på ett språk och i ett format som är lättillgängligt när åtkomst till sådan dokumentation är nödvändig för att effektivt fullgöra sina mandat inom ramen för deras jurisdik- tion. Av skäl 157 framgår att AI-förordningen inte påverkar behörig- heten, uppgifterna, befogenheterna och oberoendet för relevanta nationella offentliga myndigheter eller organ som övervakar tillämp- ningen av unionsrätten till skydd för grundläggande rättigheter, in- begripet jämställdhetsorgan och dataskyddsmyndigheter. De myndigheter som utövar tillsyn över eller kontrollerar efter- levnad av skyldigheter enligt unionsrätt om skydd av grundläggande rättigheter är således en del av systemet för marknadsövervakning enligt AI-förordningen. Det här kapitlet inleds med en kort redogörelse för unionsrättens skydd av grundläggande rättigheter (se avsnitt 8.2) och bilaga III till AI-förordningen (se avsnitt 8.3). Därefter följer ett avsnitt om andra medlemsstaters förteckningar över myndigheter (se avsnitt 8.4). I av- snitt 8.5–8.7 redovisar utredningen sina överväganden om myndig- heter som avses i artikel 77.1 och myndigheternas befogenheter samt offentlighet och sekretess. I kapitlet används endast begreppen ”nationella offentliga myndig- heter”, ”offentliga myndigheter” eller ”offentlig myndighet”, efter- 327 Artikel 77 i AI-förordningen SOU 2025:101 som utredningen inte har identifierat något organ i Sverige som omfattas av artikeln. 8.2 Unionsrättens skydd av grundläggande rättigheter 8.2.1 Stadgan De centrala värden som EU bygger på fastställs i artikel 2 i EU-för- draget. Värdena är respekt för människans värdighet, frihet, demo- krati, jämlikhet, rättsstaten och respekt för de mänskliga rättighet- erna, inklusive rättigheterna för personer som tillhör minoriteter. Medlemsstaterna har bl.a. utifrån dessa värden kommit överens om stadgan som fastställer alla de personliga, medborgerliga, politiska, ekonomiska och sociala rättigheter som människor i EU åtnjuter. Stadgan är rättsligt bindande när EU-rätten tillämpas. Stadgan kom- pletterar de nationella systemen, men ersätter dem inte. Stadgan är uppdelad i sju avdelningar; värdighet, friheter, jämlik- het, solidaritet, medborgarnas rättigheter, rättskipning och allmänna bestämmelser om tolkning och tillämpning av stadgan. Avdelning 1: Värdighet Avdelningen värdighet innehåller bestämmelser om människans värdighet, rätt till liv, rätt till integritet, förbud mot tortyr och omänsklig eller förnedrande bestraffning och behandling samt för- bud mot slaveri och tvångsarbete. Avdelning 2: Friheter Avdelningen friheter innehåller bestämmelser om människans rätt till frihet och säkerhet, respekt för privatlivet och familjelivet, skydd av personuppgifter, rätt att ingå äktenskap och rätt att bilda familj, tankefrihet, samvetsfrihet och religionsfrihet, yttrandefrihet och informationsfrihet, mötes- och föreningsfrihet, frihet för konsten och vetenskapen, rätt till utbildning, fritt yrkesval och rätt att arbeta, näringsfrihet, rätt till egendom, rätt till asyl samt skydd vid avlägs- nande, utvisning och utlämning. 328 SOU 2025:101 Artikel 77 i AI-förordningen Avdelning 3: Jämlikhet Avdelningen jämlikhet innehåller bestämmelser om likhet inför lagen, icke-diskriminering, kulturell, religiös och språklig mångfald, jäm- ställdhet mellan kvinnor och män, barnets rättigheter, äldres rättig- heter samt integrering av personer med funktionshinder. Avdelning 4: Solidaritet Avdelningen solidaritet innehåller bestämmelser om arbetstagares rätt till information och samråd inom företaget, förhandlingsrätt och rätt till kollektiva åtgärder, rätt till tillgång till arbetsförmedlingar, skydd mot uppsägning utan saklig grund, rättvisa arbetsförhållanden, förbud mot barnarbete och skydd av ungdomar i arbetslivet, familje- liv och yrkesliv, social trygghet och socialt stöd, hälsoskydd, tillgång till tjänster av allmänt ekonomiskt intresse, miljöskydd och konsu- mentskydd. Avdelning 5: Medborgarnas rättigheter Avdelningen medborgarnas rättigheter innehåller bestämmelser om rösträtt och valbarhet till Europaparlamentet, rösträtt och valbarhet i kommunala val, rätt till god förvaltning, rätt till tillgång till hand- lingar, Europeiska ombudsmannen, rätt att göra framställningar, rörelse- och uppehållsfrihet samt diplomatiskt och konsulärt skydd. Avdelning 6: Rättskipning Avdelningen rättskipning innehåller bestämmelser om rätt till effek- tivt rättsmedel och till en opartisk domstol, presumtion för oskuld och rätten till försvar, principerna om laglighet och proportionalitet i fråga om brott och straff samt rätt att inte bli dömd eller straffad två gånger för samma brott. 329 Artikel 77 i AI-förordningen SOU 2025:101 Avdelning 7: Allmänna bestämmelser om tolkning och tillämpning av stadgan Avdelningen innehåller bestämmelser om tillämpningsområdet och rättigheternas räckvidd och tolkning, skyddsnivå och förbud mot missbruk av rättigheter. 8.3 Bilaga III till AI-förordningen I avsnitt 6.5 har utredningen ingående redogjort för bilaga III till AI-förordningen. Här bedömer utredningen att det är tillräckligt att lista punkterna i bilagan. 1. Biometri 2. Kritisk infrastruktur 3. Utbildning och yrkesutbildning 4. Anställning, arbetsledning och tillgång till egenföretagande 5. Tillgång till och åtnjutande av väsentliga privata tjänster och väsentliga offentliga tjänster och förmåner 6. Brottsbekämpning 7. Migration, asyl och gränskontrollförvaltning 8. Rättskipning och demokratiska processer. 8.4 Något om andra medlemsstaters förteckningar Samtliga medlemsstater har en skyldighet att identifiera de offentliga myndigheter eller organ som avses i artikel 77.1 i AI-förordningen och offentliggöra en förteckning av dem samt anmäla förteckningen till kommissionen och de andra medlemsstaterna och hålla förteck- ningen uppdaterad (artikel 77.2). EU har publicerat en lista över med- lemsstaternas förteckningar. Den tillgängliga information som finns beträffande de anmälda myndigheterna är alltså kommissionens pub- licerade lista över anmälda myndigheter.1 1 https://digital-strategy.ec.europa.eu/en/policies/ai-act-governance-and-enforcement (hämtad 2025-06-04). 330 SOU 2025:101 Artikel 77 i AI-förordningen Av den publicerade listan framgår bl.a. att Lettland endast har anmält en myndighet, att flera länder har anmält två eller tre myndig- heter och att flera länder har anmält runt 20 och i förekommande fall över 20 myndigheter och organ. Det finns alltså en stor spridning av antalet myndigheter och organ som anses omfattas av artikel 77.1 i AI-förordningen. Det är svårt att dra några säkra slutsatser av en sådan spridning eftersom varje medlemsstats förvaltningsstruktur och myndigheters uppgifter är avgörande för vilken myndighet eller annat organ som medlemsstaten har anmält. Det går dock att skönja vissa gemensamma drag i förteckningarna. De flesta länder har anmält sina dataskyddsmyndigheter, diskriminerings- och jämställdhetsmyn- digheter, tillsynsmyndigheter över dömande instanser och tillsyns- myndigheter över statsförvaltningen. Förteckningen som utredningen har haft att tillgå innehåller inte alla medlemsstater. Den är hämtad den 4 juni 2025. Eventuella änd- ringar i listan efter det datumet har inte beaktats. 8.5 Myndigheter som avses i artikel 77.1 8.5.1 Behovet av nationell reglering Utredningens bedömning: Det saknas behov av kompletterande svensk lagstiftning i förhållande till artikel 77.1 i AI-förordningen. Den förutsebarhet som krävs för att det ska vara tydligt vilka myndigheter som får utöva befogenheter enligt artikel 77.1 i AI- förordningen bör i stället säkerställas genom offentliggörandet av den förteckning som ska upprättas enligt AI-förordningen. Det framgår direkt av AI-förordningen att en viss typ av myndig- het – beroende på dess uppgifter – är en sådan myndighet som avses i artikel 77.1. Det framgår även av artikel 77.1 i AI-förordningen att medlemsstaten ska anmäla myndigheter som avses i artikeln till kom- missionen. Det krävs således inte ett utnämnande eller ett bemyndig- ande från regeringen för att vara en sådan myndighet. Det handlar inte heller om någon ny uppgift för dessa myndigheter. Det är myndighet- ernas befintliga uppgifter som avgör om de är sådana myndigheter som avses i artikel 77.1 i AI-förordningen. Det är således tillräckligt att myndigheterna identifieras, att regeringen eller Regeringskansliet 331 Artikel 77 i AI-förordningen SOU 2025:101 upprättar en förteckning över myndigheterna, anmäler förteckningen till kommissionen, offentliggör förteckningen och håller den upp- daterad. För att göra detta krävs enligt utredningen inte någon svensk författningsreglering. Utredningen har övervägt om det bör finnas svensk reglering beträffande vilka myndigheter som omfattas av artikel 77.1 i AI- förordningen och har kommit fram till att det inte behövs. Skälen för detta är följande. Myndigheterna som avses i artikel 77.1 har vissa befogenheter beträffande på vilket sätt de kan begära information från aktörer inom AI-förordningen (se avsnitt 8.6). Bl.a. mot bakgrund av dessa befogenheter är det viktigt att det är tydligt och förutsebart vilka myndigheter som får använda sig av befogenheterna mot enskilda. Detta talar för att det ska framgå tydligt i författning vilka myndig- heterna är. Mot det talar att en EU-förordning varken ska eller får trans- formeras i nationell rätt. Om regeringen skulle bestämma vilka myndigheterna är eller på annat sätt ange dem i författning skulle det riskera att skapa otydlighet och begränsningar i förhållande till förordningen som inte är avsedda. Eftersom förordningen är direkt tillämplig medför det att om en annan än en anmäld myndighet om- fattas av artikeln så skulle den myndigheten ändå ha de befogenheter som framgår av AI-förordningen. En myndighets uppgifter kan dess- utom behöva ändras över tid och det kan därför finnas behov av ett regelverk som inte nödvändigtvis behöver uppdateras vid ändring av vilka myndigheter som omfattas av artikel 77.1. Utredningens uppfattning är därför att det inte behövs och inte heller är lämpligt att reglera i svensk författning vilka myndigheter som omfattas av artikel 77.1 i AI-förordningen. Den förutsebarhet som krävs för att det ska vara tydligt vilka myndigheter som får ut- öva befogenheter bör i stället säkerställas genom offentliggörandet av den förteckning som ska ske enligt AI-förordningen. Utredningen har övervägt alternativet att införa bestämmelser i kompletteringslagen som upplyser om att regeringen ska ange myn- digheter som avses i artikel 77.1 och att det ska framgå av komplett- eringsförordningen vilka myndigheterna är. Utredningen har dock kommit fram till att en sådan upplysningsbestämmelse inte behövs. Skälet för detta är att det framgår tydligt av förteckningen vilka myn- 332 SOU 2025:101 Artikel 77 i AI-förordningen digheter som får utöva befogenheter och att det därför inte behövs att regeringen också listar myndigheterna i förordning. 8.5.2 Tolkningen av artikel 77.1 Utredningens bedömning: Det är svårt att tolka vilka myndig- heter som avses i artikel 77.1 i AI-förordningen. Myndigheter bör tas upp i förteckningen med viss försiktighet samtidigt som ett brett skydd för grundläggande rättigheter säkerställs. När det gäller uppräkningen av myndigheter som avses i artikel 77.1 i AI-förordningen i den förteckning som enligt artikel 77.2 ska offentliggöras av medlemsstaterna gör utredningen följande bedöm- ning. Genomgången av andra medlemsstaters förteckningar ger en bild av att länderna har gjort olika tolkningar av artikel 77.1. Det är oklart för utredningen exakt hur artikeln ska tolkas. De som enligt artikeln omfattas av bestämmelserna är nationella offentliga myndigheter som utövar tillsyn över eller kontrollerar efterlevnaden av skyldigheter enligt unionsrätt om skydd av grundläggande rättigheter, inbegripet rätten till icke-diskriminering, i samband med användningen av AI- system med hög risk som avses i bilaga III. Artikeln tycks reglera en situation som rör missbruk eller funktionsfel i AI-system med hög risk som avses i bilaga III i AI-förordningen i de fall det resulterar i en kränkning av grundläggande rättigheter. De offentliga myndighet- erna ska antingen utöva tillsyn över skyldigheter enligt unionsrätt om skydd för grundläggande rättigheter eller kontrollera efterlevnaden över sådana skyldigheter. Myndigheter som utövar tillsyn över skyl- digheter har typiskt sett utredningsbefogenheter för att kontrollera att en viss lag följs. Myndigheter som kontrollerar efterlevnaden av en viss rättsakt har typiskt sett befogenhet att vidta verkställighets- åtgärder, exempelvis sanktioner. Det är utredningens uppfattning att svenska myndigheter ofta har båda dessa roller och uppgifter. Artikeln tycks sträcka sig över all unionsrätt som skyddar grund- läggande rättigheter, såväl under stadgan som i nationell lagstiftning som kompletterar sådan unionsrätt. En sådan tolkning av artikeln medför att en myndighet kan vara både en sådan myndighet som av- ses i artikel 77.1 och en marknadskontrollmyndighet. Den tolkningen 333 Artikel 77 i AI-förordningen SOU 2025:101 går i linje med att dataskyddsmyndigheten nämns såväl i artikel 74.8 som marknadskontrollmyndighet som i skäl 157 som en myndighet som skyddar grundläggande rättigheter. Marknadskontroll och till- syn och efterlevnad som avses i artikel 77.1 har också delvis olika skyddsvärden, där myndigheter som avses i artikel 77.1 ska skydda personers grundläggande rättigheter och marknadskontrollmyndig- heten ska kontrollera efterlevnad av AI-förordningen. Tolkningen av artikeln ska enligt uppgifter till utredningen också diskuteras inom en undergrupp till AI-styrelsen. Utredningen har inte någon kännedom om vad dessa diskussioner har resulterat i vid slutjusteringen av betänkandet. Utredningen har dock tagit del av ett underlag för tolkning från kommissionen som ska ligga till grund för diskussionerna. I underlaget framgår att kommissionen anser att myndigheter som typiskt sett avses i artikel 77.1 är dataskyddsmyn- digheter, konsumentskyddsmyndigheter, jämställdhets-/likabehand- lingsorgan, ombudsmannainstitutioner, barnskyddsmyndigheter, arbetsrättsmyndigheter, medietillsynsmyndigheter, myndigheter med ansvar för att säkerställa valintegritet och vissa nationella människo- rättsinstitut. Det går dock inte att dra några säkra slutsatser från detta tolk- ningsunderlag innan medlemsstaternas representanter har diskuterat det. En omständighet som talar mot en så vid tolkning är att myndig- heterna får utöva vissa befogenheter mot enskilda. Ytterligare en omständighet som talar mot en så vid tolkning är att marknads- kontrollmyndigheterna i flera avseenden enligt AI-förordningen ska underrätta och samarbeta med myndigheterna som avses i artikel 77.1. Utredningen anser att Sverige i ett inledande skede bör anmäla myndigheter till kommissionen med viss försiktighet samtidigt som det säkerställs ett brett skydd för grundläggande rättigheter. Visser- ligen är inte förteckningen avgörande för vilka myndigheter som är sådana som avses i artikel 77.1, men det saknas skäl att ta upp myn- digheter i förteckningen som sedermera visar sig inte ska vara upp- tagna i den. 334 SOU 2025:101 Artikel 77 i AI-förordningen 8.5.3 Regeringen bör anmäla och offentliggöra myndigheterna Utredningens bedömning: Regeringen bör ha ansvaret för att be- döma vilka myndigheter som avses i artikel 77.1 samt uppdatera och offentliggöra förteckningen över myndigheterna. De myndigheter som Sverige har fört upp i förteckningen bör alltjämt vara med i förteckningen. Dessutom bör regeringen uppdatera förteckningen och anmäla Säkerhets- och integritets- skyddsnämnden till kommissionen som en myndighet som avses i artikel 77.1 i AI-förordningen. Ansvaret för förteckningen bör åligga regeringen Som nämnts i avsnitt 8.5.1 följer det direkt av artikel 77.1 i AI-för- ordningen vilka myndigheter som avses i artikeln. Det kan vara en lämplig ordning att myndigheterna som anser sig omfattas av artikeln är de som avgör detta. En sådan lösning har regeringen förespråkat gällande behöriga myndigheter enligt SDG-förordningen där myndig- heterna ska avgöra om de är sådana som avses i artikel 3.4 i SDG-för- ordningen.2 Denna lösning har dock utmaningar eftersom det kräver att en myndighet faktiskt gör bedömningen om de omfattas. Samma utmaning finns beträffande myndigheter som avses i artikel 77.1 i AI- förordningen. Även om artikel 77.1 är direkt tillämplig bör regeringen genom Regeringskansliet ha ansvaret för att göra en bedömning av vilka myndigheter som avses i artikeln. Det följer av artikel 77.2 i AI-för- ordningen att varje medlemsstat ska offentliggöra en förteckning över de offentliga myndigheterna som avses i artikel 77.1. Regeringskansliet lämnade en förteckning till kommissionen i enlighet med AI-förord- ningen i oktober 2024. Även detta talar enligt utredningen för att regeringen genom Regeringskansliet bör ha ansvaret för bedömningen av myndigheterna samt att upprätta, anmäla och offentliggöra för- teckningen. Regeringen bör mot denna bakgrund ha ansvaret för att bedöma vilka myndigheter som avses i artikel 77.1 samt uppdatera och offent- liggöra förteckningen över myndigheterna. 2 Se prop. 2023/24:40, s. 8. 335 Artikel 77 i AI-förordningen SOU 2025:101 Myndigheter som bör tas upp i förteckningen Enligt AI-förordningen skulle varje medlemsstat senast den 2 novem- ber 2024 identifiera de offentliga myndigheter som utövar tillsyn över eller kontrollerar efterlevnad av skyldigheter enligt unionsrätt om skydd av grundläggande rättigheter och offentliggöra en förteckning av dem och anmäla förteckningen till kommissionen. Den 30 oktober 2024 anmälde Sverige DO, IMY, JK och JO till kommissionen. Sam- tidigt underrättade regeringen genom Regeringskansliet kommissionen om att den här utredningen var tillsatt. Utredningen redogör kort för dessa myndigheters tillsynsansvar nedan och bedömer om myndigheterna ska kvarstå på förteckningen som anmälts till kommissionen. Därefter redogör utredningen även för Säkerhets- och integritetsskyddsnämnden, som enligt utredningen bör tas upp i förteckningen. DO DO är en tillsynsmyndighet under regeringen som ska utöva tillsyn över diskrimineringslagen (2008:567) och därutöver verka för att diskriminering som har samband med kön, könsöverskridande iden- titet eller uttryck, etnisk tillhörighet, religion eller annan trosupp- fattning, funktionsnedsättning, sexuell läggning eller ålder inte före- kommer på några områden av samhällslivet.3 Tillsynsområdet sträcker sig enligt 2 kap. diskrimineringslagen i princip över alla områden som avses i bilaga III såvitt avser diskriminering på dessa områden. Beträf- fande tillsyn över offentlig verksamhet begränsas dock tillsynen en- ligt 2 kap. 17 § diskrimineringslagen på så sätt att tillsyn endast sker när den som helt eller delvis omfattas av lagen (1994:260) om offentlig anställning bistår allmänheten med upplysningar, vägledning, råd eller annan sådan hjälp, eller på annat sätt i anställningen har kontakter med allmänheten. Avdelning III i stadgan berör jämlikhet och inne- håller artiklar som berör DO:s tillsynsverksamhet. Inom bilaga III i AI-förordningen kan diskriminering i princip förekomma i alla AI- system. I skälen till AI-förordningen framgår att rätten att inte ut- sättas för diskriminering är viktig i förhållande till utbildning, anställ- ning, arbetsledning och tillgång till egenföretagande, tillgång till och åtnjutande av vissa väsentliga privata och offentliga tjänster och för- 3 4 kap. 1 § diskrimineringslagen och 1 § lagen (2008:568) om Diskrimineringsombudsmannen. 336 SOU 2025:101 Artikel 77 i AI-förordningen måner, på kreditmarknaden, sjuk- och livförsäkring och i samband med migration, asyl och gränskontrollförvaltning (skäl 56–60). DO:s uppgifter rör således tillsyn av grundläggande rättigheter, inbegripet rätten till icke-diskriminering. Det finns därför skäl att i förteckningen ange DO som en myn- dighet som avses i artikel 77.1. IMY IMY:s verksamhet har utredningen tidigare redogjort för i detalj (se avsnitt 6.4.3). Här kan det endast konstateras att IMY utövar tillsyn över dataskyddsområdet och att det av 1 § första stycket i förord- ningen (2007:975) med instruktion för Integritetsskyddsmyndig- heten följer att IMY:s uppgift är att arbeta för att människors grund- läggande fri- och rättigheter skyddas i samband med behandling av personuppgifter och att underlätta det fria flödet av sådana uppgifter inom EU. Stadgan identifierar personlig integritet som en grund- läggande rättighet i artikel 8. Flera punkter i bilaga III till AI-för- ordningen avser hantering av personuppgifter i olika syften, inte minst punkten 1 om biometri. Även AI-system som är avsedda att användas för profilering enligt punkterna 6 d och e aktualiserar IMY:s tillsyns- ansvar över grundläggande rättigheter. Mot denna bakgrund är IMY en sådan myndighet som avses i artikel 77.1 i AI-förordningen. Det finns därför skäl att i förteckningen ange IMY som en myn- dighet som avses i artikel 77.1. JK JK är regeringens högste ombudsman och utövar tillsyn över att de som utövar offentlig verksamhet efterlever lagar och andra författ- ningar samt i övrigt fullgör sina åligganden. Tillsynen avser statliga myndigheter samt anställda, uppdragstagare och andra som är knutna till sådana myndigheter, men även kommunala myndigheter och andra myndigheter som inte är statliga samt dess tjänstemän m.m. Även vissa andra faller inom tillsynsområdet. JK:s tillsynsansvar av- ser emellertid inte regeringen eller statsråd eller riksdagens myndig- heter.4 JK:s tillsyn fokuserar på rättssäkerhet, yttrandefrihet, offent- 4 Se 1–3 §§ lagen (1975:1339) om Justitiekanslerns tillsyn. 337 Artikel 77 i AI-förordningen SOU 2025:101 lighet och s.k. systemfel hos myndigheterna.5 Tillsynen omfattar grundläggande rättigheter enligt stadgan i flera avseenden och såvitt avser offentlig verksamhet kan JK:s tillsynsansvar i princip avse samt- liga punkter i bilaga III till AI-förordningen. Det finns därför skäl att i förteckningen ange JK som en myndig- het som avses i artikel 77.1. JO JO är riksdagens ombudsman. Riksdagen väljer enligt 13 kap. 6 § regeringsformen en eller flera justitieombudsmän, som ska utöva tillsyn över tillämpningen av lagar och andra föreskrifter i offentlig verksamhet i enlighet med den instruktion som riksdagen beslutar. Ombudsmännen har i den omfattning som anges i 14–16 §§ i lagen (2023:499) med instruktion för Riksdagens ombudsmän (JO) till- syn över att de som utövar offentlig verksamhet följer lagar och andra författningar samt i övrigt fullgör sina åligganden.6 Det främsta syftet med JO:s verksamhet är att främja rättssäkerheten. JO ska särskilt se till att myndigheter och domstolar följer regeringsformens bestäm- melser om opartiskhet och saklighet och att den offentliga verksam- heten inte gör intrång i medborgarnas grundläggande fri- och rättig- heter.7 Tillsynsverksamheten ska ske beträffande stora delar av stadgan och beträffande bilaga III till AI-förordningen kan sådan tillsyn som JO ansvarar för behövas beträffande i princip alla punkter såvitt det är offentlig verksamhet som avser att använda AI-systemen. JO är mot den bakgrunden en sådan myndighet som avses i artikel 77.1 i AI-förordningen. Det finns därför skäl att i förteckningen ange JO som en myndig- het som avses i artikel 77.1. 5 www.jk.se/tillsyn/ (hämtad 2025-02-18). 6 1 och 11 §§ lagen med instruktion för Riksdagens ombudsmän (JO). 7 www.jo.se/om-jo/uppgift-och-befogenheter/ (hämtad 2025-02-18). 338 SOU 2025:101 Artikel 77 i AI-förordningen Säkerhets- och integritetsskyddnämnden Säkerhets- och integritetsskyddsnämnden är en myndighet som enligt lagen (2007:980) om tillsyn över viss brottsbekämpande verk- samhet bl.a. ansvarar för att utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter samt brottsbekämpande myndigheters användning av andra tvångsmedel enligt lagen (2007:979) om åtgärder för att för- hindra vissa särskilt allvarliga brott i vissa avseenden. Nämnden ska även utöva tillsyn över den behandling av person- uppgifter som utförs av Polismyndigheten, Säkerhetspolisen och Eko- brottsmyndigheten enligt brottsdatalagen (2018:1177) och lagen (2018:1693) om polisens behandling av personuppgifter inom brotts- datalagens område i vissa syften samt lagen (2019:1182) om Säker- hetspolisens behandling av personuppgifter. Nämnden ska också utöva tillsyn över Polismyndighetens och Säkerhetspolisens tillämpning av lagen (2019:547) om förbud mot användning av vissa uppgifter för att utreda brott. Tillsynen ska särskilt syfta till att säkerställa att verksamheten bedrivs i enlighet med lag eller annan författning.8 Nämndens tillsynsuppdrag sträcker sig över områdena för person- lig integritet och brottsbekämpning. Stadgan reglerar att var och en har rätt till fysisk och mental integritet, rätt till frihet och säkerhet och rätt till skydd av personuppgifter (artiklarna 3, 6 och 8). Flera områden i bilaga III till AI-förordningen berör områden som Säker- hets- och integritetsskyddsnämnden utövar tillsyn över. I punkten 1 i bilaga III anger AI-förordningen att AI-system med hög risk är AI-system som används inom biometri och närmare bestämt i system för biometrisk fjärridentifiering, kategorisering och känsloigen- känning. Nämndens tillsynsområde kan även komma att träffas av punkten 6 i bilaga III som gäller AI-system med hög risk inom om- rådet för brottsbekämpning, närmare bestämt AI-system som är av- sedda att användas av brottsbekämpande myndigheter eller för deras räkning, eller av EU:s institutioner, organ eller byråer till stöd för brottsbekämpande myndigheter för att bedöma hur pass tillförlitlig bevisningen är i samband med utredning eller lagföring av brott (punkten 6 c). 8 1 § förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden jämte 1 § lagen om tillsyn över viss brottsbekämpande verksamhet. 339 Artikel 77 i AI-förordningen SOU 2025:101 Det finns även en koppling till artikel 3.4 i EU:s brottsdatadirektiv i punkterna 6 d och 6 e som berör profilering, dvs. varje form av automatiserad behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga aspekter rörande denna fysiska persons arbetsprestationer, ekonom- iska situation, hälsa, personliga preferenser, intressen, pålitlighet, be- teende, vistelseort eller förflyttningar. Även beträffande sådana AI- system kan Säkerhets- och integritetsskyddsnämnden ha intresse av att utöva tillsyn. Utredningens slutsats är att Säkerhets- och integritetsskydds- nämnden är en sådan myndighet som avses i artikel 77.1 i AI-förord- ningen. Det finns därför skäl att i förteckningen ange Säkerhets- och integritetsskyddsnämnden som en myndighet som avses i artikel 77.1. Förteckningen ger ett förhållandevis heltäckande skydd Utredningen delar således regeringens genom Regeringskansliets bedömning att de fyra myndigheterna som redan finns upptagna i förteckningen (DO, IMY, JK och JO) utgör sådana myndigheter som avses i artikel 77.1 i AI-förordningen. Regeringskansliet har inte tidigare anmält Säkerhets- och integri- tetsskyddsnämnden. Den myndigheten har dock ett viktigt tillsyns- ansvar för integritetsskydd beträffande brottsbekämpande myndig- heters hantering av personuppgifter. Detta utökar skyddet för grund- läggande rättigheter rörande AI-system med hög risk som avses i bilaga III. Myndigheternas tillsynsansvar skapar ett förhållandevis heltäck- ande skydd för grundläggande rättigheter på de områden som avses i bilaga III. 340 SOU 2025:101 Artikel 77 i AI-förordningen 8.5.4 Ytterligare myndigheter som kan avses Utredningens bedömning: Regeringen bör följa utvecklingen inom EU och hur andra medlemsstater uppdaterar sina förteck- ningar för att anmäla rätt myndigheter. Regeringen bör även ta hjälp av myndigheter som kan avses i artikeln med bedömningen av om myndigheten är en sådan som avses i artikel 77.1. Identifiering av myndigheter Utredningen har bedömt att fem myndigheter bör tas upp i förteck- ningen över myndigheter som avses i artikel 77.1 i AI-förordningen. Det kan dock vara så att ytterligare myndigheter bör tas upp i förteck- ningen. Regeringen genom Regeringskansliet bör mot den bak- grunden följa de diskussioner som sker beträffande tolkningen av artikeln på EU-nivå samt följa de andra medlemsstaternas uppdater- ingar för att vid behov kunna uppdatera förteckningen med de even- tuella ytterligare myndigheter som bör tas upp. Mot bakgrund av svårigheterna gällande tolkningen av artikeln bör ytterligare myndigheter inte tas upp i förteckningen i nuläget. Regeringen bör ta hjälp av andra potentiella myndigheter med be- dömningen av om de omfattas av artikel 77.1 och därefter ta ställning till om dessa bör tas upp i förteckningen. Detta kan ske genom att regeringen uppdrar åt de myndigheter som skulle kunna vara myn- digheter som avses i artikel 77.1 att göra den bedömningen. Utifrån stadgan, tillsynsområdet och hur andra medlemsstater har anmält myndigheter har utredningen även övervägt om nedan- stående myndigheter bör tas upp i förteckningen och anmälas till kommissionen. Det ska poängteras att uppräkningen inte är uttöm- mande och att det vid en vidsträckt tolkning av artikel 77.1 kan bli aktuellt att anmäla alla tillsynsmyndigheter som utredningen redo- gjort för i kapitel 6. 341 Artikel 77 i AI-förordningen SOU 2025:101 Möjliga ytterligare myndigheter Arbetsmiljöverket Arbetsmiljöverket är en tillsynsmyndighet under regeringen som ska utöva tillsyn över att arbetsmiljö- och arbetstidslagstiftningen följs och planera tillsynen främst med utgångspunkt i analyser av arbetsmiljörisk och risk för att aktörer medvetet bryter mot regel- verket.9 Enligt stadgan är det en grundläggande rättighet att ha rätt- visa arbetsförhållanden. Det framgår av artikel 31 i stadgan. Närmare bestämt gäller detta hälsosamma, säkra och värdiga arbetsförhåll- anden och rätt till en begränsning av den maximala arbetstiden samt till dygns- och veckovila och årlig betald semester. I bilaga III, punkten 4 b, framgår bl.a. att AI-system som är avsedda att användas för att fatta beslut som påverkar villkoren för arbetsrelaterade för- hållanden är högrisksystem. Sådana system skulle kunna falla inom Arbetsmiljöverkets tillsyn. Arbetsmiljöverket skulle mot denna bak- grund kunna vara en sådan myndighet som avses i artikel 77.1. Finansinspektionen Utredningen har redogjort för Finansinspektionens uppgifter i bl.a. avsnitt 6.4.3. I detta avseende konstaterar utredningen endast att Finansinspektionen har ett ansvar för tillsyn över vissa delar av det finansiella området som avser konsumentskydd. Konsumentskydd är en grundläggande rättighet enligt artikel 38 i stadgan. Finansinspek- tionens ansvar i dessa delar avser att vara behörig myndighet enligt EU:s förordning om konsumentskyddssamarbete10 i fråga om efter- levnaden av sådana regler som myndigheten har tillsyn över.11 Myn- digheten är även behörig myndighet och kontaktpunkt enligt EU:s konsumentkreditdirektiv.12 Finansinspektionens ansvar för tillsyn förekommer även enligt bilaga III, i nu aktuellt avseende, för finansi- ella tjänster som berör konsumenter. I avsnitt 6.4.3 och 6.5.6 har ut- 9 2 § 1 förordningen (2007:913) med instruktion för Arbetsmiljöverket. 10 Europaparlamentets och rådets förordning (EU) 2017/2394 av den 12 december 2017 om samarbete mellan de nationella myndigheter som har tillsynsansvar för konsumentskydds- lagstiftningen och om upphävande av förordning (EG) nr 2006/2004. 11 4 § 3 förordningen (2023:910) med instruktion för Finansinspektionen. 12 Europaparlamentets och rådets direktiv 2014/17/EU av den 4 februari 2014 om konsument- kreditavtal som avser bostadsfastighet och om ändring av direktiven 2008/48/EG och 2013/36/EU och förordning (EU) nr 1093/2010. 342 SOU 2025:101 Artikel 77 i AI-förordningen redningen redogjort närmare för Finansinspektionens tillsynsansvar inom dessa områden. Det ska dock poängteras att andra medlems- stater inte har anmält finansmyndigheter och att det inte framgår av kommissionens tolkningsunderlag att en sådan myndighet typiskt sett är en myndighet som skyddar grundläggande rättigheter. Detta kan bero på de grundläggande rättigheterna skyddar individer, medan Finansinspektionens ansvar för konsumentskydd snarare berör kon- sumenter på gruppnivå. Med hänsyn till Finansinspektionens upp- gifter beträffande konsumentskydd är det dock utredningens upp- fattning att myndigheten eventuellt skulle kunna vara en sådan myn- dighet som avses i artikel 77.1 i AI-förordningen. Inspektionen för socialförsäkringen Inspektionen för socialförsäkringen har till uppgift att genom system- tillsyn värna rättssäkerheten inom socialförsäkringsområdet. Med systemtillsyn avses granskning av om tillsynsobjektets egna system för styrning och kontroll säkerställer en korrekt och enhetlig tillämp- ning av det regelverk som tillsynsobjektet ska tillämpa.13 Stadgan an- ger i artikel 34 att EU erkänner och respekterar rätten till tillgång till social trygghet och sociala förmåner som garanterar skydd i sådana fall som moderskap, sjukdom, olyckor i arbetet, omsorgsbehov eller ålderdom samt vid arbetslöshet i enlighet med närmare bestämmelser i unionsrätten samt nationell lagstiftning och praxis. I punkten 5 a i bilaga III till AI-förordningen anges att AI-system som är avsedda att användas av offentliga myndigheter eller för offentliga myndig- heters räkning för att utvärdera fysiska personers rätt till väsentliga förmåner och tjänster i form av offentligt stöd, inbegripet hälso- och sjukvårdstjänster, samt för att bevilja, minska, upphäva eller återkalla sådana förmåner och tjänster är AI-system med hög risk. Använd- ningen av sådana system kan falla inom Inspektionen för socialför- säkringens systemtillsyn. Myndigheten skulle därmed kunna vara en sådan myndighet som avses i artikel 77.1 i AI-förordningen. 13 1 och 2 §§ förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen. 343 Artikel 77 i AI-förordningen SOU 2025:101 IVO IVO har som huvudsaklig uppgift att svara för tillsyn inom hälso- och sjukvård och därmed jämförlig verksamhet, socialtjänst samt verksamhet enligt lagen (1993:387) om stöd och service till vissa funktionshindrade samt som en del av tillsynen pröva klagomål mot hälso- och sjukvården och dess personal enligt bestämmelserna i patientsäkerhetslagen (2010:659).14 Syftet med tillsynen är att granska att befolkningen får vård och omsorg som är säker, har god kvalitet och bedrivs i enlighet med lagar och andra föreskrifter. Ett patient- och brukarperspektiv ska genomsyra tillsynen.15 Stadgan erkänner integrering av personer med funktionshinder och hälso- vård som grundläggande rättigheter enligt artiklarna 26 och 35. Dessa grundläggande rättigheter berör IVO:s tillsynsverksamhet. I punkten 5 a i bilaga III till AI-förordningen framgår bl.a. att AI- system som är avsedda att användas av offentliga myndigheter eller för offentliga myndigheters räkning för att utvärdera fysiska personers rätt till väsentliga förmåner och tjänster i form av offentligt stöd, inbegripet hälso- och sjukvårdstjänster är högrisksystem. IVO skulle således kunna vara en sådan myndighet som avses i artikel 77.1 i AI- förordningen. Myndigheten för yrkeshögskolan Rätten till utbildning och tillträde till yrkesutbildning är en grund- läggande rättighet enligt artikel 14 i stadgan. Av punkten 3 i bilaga III framgår att AI-system som används på vissa sätt inom utbildning och yrkesutbildning är högrisksystem. Myndigheten för yrkeshögskolan har i uppgift att utöva tillsyn över utbildningarna inom yrkeshög- skolan, de utbildningar inom yrkeshögskolan som bedrivs som upp- dragsutbildningar, de utbildningar som stöd lämnas för enligt för- ordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar, de utbildningar som stöd lämnas för enligt förordningen (2024:107) om stöd för en nationell yrkesutbild- ning och de utbildningar som statsbidrag lämnas för enligt förord- ningen (2012:140) om statsbidrag för viss utbildning som rör tolk- 14 1 § 1–2 förordningen (2013:176) med instruktion för Inspektionen för vård och omsorg. 15 2 § förordningen med instruktion för Inspektionen för vård och omsorg. 344 SOU 2025:101 Artikel 77 i AI-förordningen ning och teckenspråk.16 Myndigheten skulle således kunna vara en sådan myndighet som avses i artikel 77.1. Statens skolinspektion Statens skolinspektion (Skolinspektionen) har ett brett tillsyns- ansvar inom området utbildning. Skolinspektionen har enligt sina instruktioner till uppgift att genom granskning av huvudmän och verksamheter verka för att alla barn och elever får tillgång till en likvärdig utbildning och annan verksamhet av god kvalitet i en trygg miljö. Skollagen (2010:800) omfattar hela skolväsendet, dvs. skol- formerna förskola, förskoleklass, grundskola, anpassad grundskola, specialskola, sameskola, gymnasieskola, anpassad gymnasieskola och kommunal vuxenutbildning samt fritidshem som kompletterar vissa av dessa skolformer.17 Skolinspektionen ansvarar för tillsyn över skol- väsendet enligt 26 kap. 3 § skollagen. Rätten till utbildning är en grundläggande rättighet enligt artikel 14 i stadgan. Punkten 3 i bi- laga III till AI-förordningen anger att AI-system som är avsedda att användas på visst angivet sätt inom utbildningsväsendet är högrisk- system. Mot bakgrund av Skolinspektionens tillsynsuppdrag skulle myndigheten kunna vara en sådan myndighet som avses i artikel 77.1. Universitetskanslersämbetet Universitetskanslersämbetet är en myndighet som ansvarar för upp- gifter i fråga om kvalitetssäkring, granskning av effektivitet, upp- följning, tillsyn och chefsutveckling beträffande universitet och högskolor som omfattas av högskolelagen (1992:1434), enskilda anordnare av utbildning som kan leda fram till en examen som får ut- färdas enligt lagen (1993:792) om tillstånd att utfärda vissa examina och enskilda anordnare av utbildning på högskolenivå som får stats- bidrag. Myndigheten har också uppgifter som rör andra utbildningar på eftergymnasial nivå enligt vad regeringen beslutar särskilt.18 Rätten till utbildning och fortbildning framgår av artikel 14 i stadgan och är således en grundläggande rättighet. Av punkten 3 i bilaga III i AI- 16 4 § 1 förordningen (2011:1162) med instruktion för Myndigheten för yrkeshögskolan. 17 1 kap. 1 § skollagen. 18 1 § förordningen (2012:810) med instruktion för Universitetskanslersämbetet. 345 Artikel 77 i AI-förordningen SOU 2025:101 förordningen framgår att AI-system som används inom utbildning och yrkesutbildning i vissa särskilda avseenden är AI-system med hög risk. Detta gäller utbildning på alla nivåer, dvs. även universitet och högskola. Mot denna bakgrund skulle Universitetskanslers- ämbetet kunna vara en sådan myndighet som avses i artikel 77.1. 8.6 Befogenheter för myndigheterna 8.6.1 Befogenheter enligt AI-förordningen Myndigheter som avses i artikel 77.1 ska ha befogenhet att begära och få åtkomst till all dokumentation som skapas eller upprätthålls enligt AI-förordningen på ett språk och i ett format som är lättill- gängligt när åtkomst till sådan dokumentation är nödvändig för att effektivt fullgöra sina mandat inom ramen för deras jurisdiktion. Den berörda offentliga myndigheten ska informera marknadskontroll- myndigheten i den berörda medlemsstaten om en sådan begäran (artikel 77.1). Av skäl 157 framgår att AI-förordningen inte påverkar behörigheten, uppgifterna, befogenheterna och oberoendet för rele- vanta nationella offentliga myndigheter som övervakar tillämpningen av unionsrätten till skydd för grundläggande rättigheter, inbegripet jämställdhetsorgan och dataskyddsmyndigheter. Om den dokumentation som avses i punkt 1 är otillräcklig för att fastställa huruvida ett åsidosättande av skyldigheter enligt unions- rätt om skydd av grundläggande rättigheter har ägt rum, får den offentliga myndigheten lämna en motiverad begäran till marknads- kontrollmyndigheten om organisering av testning av AI-systemet med hög risk genom tekniska medel. Marknadskontrollmyndigheten ska organisera testningen i nära samarbete med den begärande offent- liga myndigheten inom rimlig tid efter begäran (artikel 77.3). 8.6.2 Behovet av nationell reglering Utredningens bedömning: Bestämmelsen i artikel 77.1 i AI- förordningen innehållande befogenheter är direkt tillämplig och kräver ingen svensk reglering. 346 SOU 2025:101 Artikel 77 i AI-förordningen Befogenheterna enligt artikel 77.1 följer direkt av AI-förordningen Artikel 77.1 i AI-förordningen har formulerats så att nationella offent- liga myndigheter som kontrollerar efterlevnaden av skyldigheter enligt unionsrätten om grundläggande rättigheter ska ha befogenhet att begära och få åtkomst till dokumentation som skapas eller upp- rätthålls enligt AI-förordningen på ett språk och i ett format som är lättillgängligt. Eftersom det följer av artikeln att myndigheterna ska ha befogenhet är det utredningens uppfattning att det följer direkt av AI-förordningen att myndigheten har befogenheten. En jämförelse kan göras med artikel 58 i EU:s dataskyddsförordning som anger att tillsynsmyndigheterna ska ha vissa befogenheter. I förarbetena konsta- terade regeringen i sammanhanget att EU:s dataskyddsförordning innehåller direkt tillämpliga bestämmelser om tillsynsmyndighetens befogenheter.19 I 6 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning anges i en upplysnings- bestämmelse att de befogenheter som tillsynsmyndigheten har enligt artikel 58.1, 58.2 och 58.3 i EU:s dataskyddsförordning gäller vid tillsyn över att bestämmelserna i den lagen och andra föreskrifter som kompletterar EU:s dataskyddsförordning följs. Även kommissionens uppfattning i tolkningsunderlaget som skickats ut i undergruppen för förbjudna områden är att bestämmel- serna om befogenheter för myndigheter som avses i artikel 77.1 i AI-förordningen inte kräver nationell reglering. Enligt utredningens bedömning följer således myndigheternas befogenheter direkt av AI-förordningen. Någon svensk anpassning behövs därför inte. Utredningen anser inte heller att det är nödvändigt med en upplysningsbestämmelse om befogenheterna. Utredningen anser vidare att befogenheten bör innebära att till- synsmyndigheten har möjlighet att begära uppgifterna från tillsyns- objektet. Detta ligger i linje med hur tillsyn i allmänhet går till. 19 Prop. 2017/18:105, s. 155. 347 Artikel 77 i AI-förordningen SOU 2025:101 8.7 Offentlighet och sekretess Utredningens bedömning: Bestämmelserna i OSL tillgodoser behovet av sekretess för uppgifter som hanteras inom ramen för tillsynsverksamheten hos de myndigheter som avses i artikel 77.1. Möjligheten för de myndigheter som avses i artikel 77.1 att utföra sina uppgifter enligt artikeln, är att uppgifterna begärs in inom ramen för myndigheternas roll som tillsynsmyndigheter. I OSL finns flera bestämmelser om tillsynssekretess. Beträffande DO, IMY, JK, JO och Säkerhets- och integritetsskyddsnämnden finns primära sekre- tessbestämmelser som omfattar deras tillsyn.20 Beträffande andra myndigheter som eventuellt bör tas upp i förteckningen finns bl.a. en bestämmelse om tillsynssekretess i 30 kap. 23 § OSL som ger sekretesskydd för statlig myndighets verksamhet beträffande tillsyn med avseende på produktion, handel, transportverksamhet eller näringslivet i övrigt. Denna tillsynssekretess omfattar exempelvis Konsumentverkets tillsyn. Med beaktande av utredningens lista över myndigheter som skulle kunna avses i artikel 77.1 i AI-förordningen kan även nämnas sekretess som gäller arbetarskydd m.m. i 28 kap. 14 och 15 §§ OSL och som är tillämpliga i vissa avseenden för Arbets- miljöverkets verksamhet. Skolinspektionen har sekretesskydd för ärenden enligt 6 kap. skollagen med stöd av 33 kap. 1 § 3 OSL. Det finns således flera sekretessbestämmelser som redan träffar tillsynen för aktuella och potentiella myndigheter. Om ytterligare myndigheter ska tas upp i förteckningen och offentliggöras bör dock regeringen genom Regeringskansliet inför det kontrollera att det finns sekretessbestämmelser som skyddar myndighetens tillsyns- verksamhet. I utredningen har det inte framkommit att någon tillsynsmyndig- het inte skulle ha ett fullgott sekretesskydd för sin tillsynsverksamhet. Utredningen lämnar inget förslag på en generell bestämmelse i detta avseende eftersom myndigheterna i princip ska utföra det tillsyns- arbete som de utför i dagsläget och eftersom det finns tillfredsställ- ande skydd för uppgifter beträffande de myndigheter som utred- ningen anser ska anges i förteckningen. 20 Beträffande DO i 33 kap. 1 § OSL, beträffande IMY och i vissa avseenden JK i 32 kap. 1 § OSL, beträffande JK och JO i 42 kap. 1 § OSL och beträffande Säkerhets- och integritetsskydds- nämnden i 42 kap. 5–8 §§ OSL. 348 9 Samordning, samverkan och vissa sekretessfrågor 9.1 Inledning En del av utredningens uppdrag är att lämna förslag på vilken befintlig myndighet som ska utses till gemensam kontaktpunkt enligt AI-för- ordningen. Utredningen ska också analysera och, vid behov, lämna förslag på vilken eller vilka ytterligare befintliga myndigheter som bör utses som ansvariga för att säkerställa en fungerande marknads- övervakning, marknadskontroll, styrning och kontroll av efterlevnad i enlighet med AI-förordningen samt en sådan nationell anpassning som krävs för att de föreslagna behöriga myndigheterna och andra berörda offentliga organ ska kunna utföra sina skyldigheter enligt AI-förordningen på ett effektivt och rättssäkert sätt. För förståelsen av övervägandena och förslagen i detta kapitel ser utredningen anledning att inledningsvis sammanfatta följande. I kapitel 6 och 7 har utredningen lämnat förslag på vilka myndigheter som bör utses till nationella behöriga myndigheter enligt AI-förord- ningen. Med en nationell behörig myndighet avses en marknadskon- trollmyndighet eller en anmälande myndighet. I kapitel 6 redovisar utredningen således vilka myndigheter som föreslås utgöra marknads- kontrollmyndigheter och i kapitel 7 redovisar utredningen vilka myn- digheter som föreslås utgöra anmälande myndigheter. I kapitel 8 redovisar utredningen vilka myndigheter som är sådana myndigheter som avses i artikel 77.1 i AI-förordningen. Detta kapitel inleds med en kort redogörelse av vilka krav på sam- ordning och samverkan som ställs enligt AI-förordningen (se av- snitt 9.2) samt en kort redogörelse för befintliga nationella regelverk (se avsnitt 9.3). Utredningen går i avsnitt 9.4–9.8 över till att redo- göra för hur samordning och samverkan närmare bör ske för att AI- förordningen ska kunna tillämpas på ett effektivt och rättssäkert 349 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 sätt. I avsnitt 9.4 tar utredningen upp frågor om samordning och samverkan mellan nationella behöriga myndigheter. I det avsnittet föreslår utredningen att en myndighet ska utses till samordnande marknadskontrollmyndighet och att den myndigheten också ska till- delas rollen som gemensam kontaktpunkt. I avsnitt 9.5 och 9.6 före- slår utredningen uppgifter som bör tilldelas den samordnande mark- nadskontrollmyndigheten. I avsnitt 9.7 föreslår utredningen uppgifter för andra marknadskontrollmyndigheter än den samordnande mark- nadskontrollmyndigheten. I avsnitt 9.8 bedömer utredningen hur samverkan med myndigheter som inte är nationella behöriga myndig- heter bör ske, däribland myndigheterna som avses i artikel 77.1 i AI- förordningen (se kapitel 8). I avsnitt 9.9 redovisar utredningen sina överväganden om ändringar i OSL och OSF till följd av förslagen som lämnas i det här kapitlet samt till följd av förslagen i kapitel 6 (mark- nadskontrollmyndigheter) och 7 (anmälande myndigheter och an- mälda organ). Redan här ser utredningen anledning att upplysa om att den i kapitel 12 redovisar sina överväganden i frågor om samordning och samverkan om regulatoriska sandlådor för AI. Övriga frågor om samordning och samverkan på EU-nivå behandlas i kapitel 13. Ut- redningens överväganden om sekretess i frågor som inte behandlas i det här aktuella kapitlet redovisas i kapitel 8 och 11–13. 9.2 Samordning och samverkan enligt AI-förordningen 9.2.1 Samordning enligt AI-förordningen AI-förordningen saknar krav på ett formaliserat samarbetsforum eller ett specificerat samordningsansvar för samverkan mellan de nationella behöriga myndigheterna. Detta till skillnad från andra liknande EU-förordningar som t.ex. EU:s förordning om digitala tjänster.12 Artikel 70.2 i AI-förordningen anger dock att medlemsstaterna ska utse en marknadskontrollmyndighet som ska fungera som gemensam kontaktpunkt. Det förtydligas i skäl 153 genom att ange att en gemen- sam kontaktpunkt ökar den organisatoriska effektiviteten från med- 1 Artikel 49.2 i EU:s förordning om digitala tjänster. 2 Artikel 13.3 i EU:s dataförvaltningsförordning. 350 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor lemsstaternas sida, bl.a. då den gemensamma kontaktpunkten ska ha kontakt med allmänheten och andra motparter på medlemsstats- nivå och unionsnivå. I artikel 74.10 i AI-förordningen framgår vidare att medlems- staterna ska underlätta samordning mellan marknadskontrollmyn- digheter som utses enligt förordningen och andra relevanta nationella myndigheter eller organ som utövar tillsyn över tillämpningen av unionens harmoniseringslagstiftning som förtecknas i bilaga I eller annan unionsrätt som kan vara relevant för de AI-system med hög risk som avses i bilaga III. Om en medlemsstat avviker från de utgångspunkter som AI-för- ordningen uppställer i fråga om valet av marknadskontrollmyndig- heter avseende bilaga I och i fråga om finansiella tjänster finns det ytterligare ett krav på samordning i AI-förordningen (artikel 74.3 och 74.7). Av artikel 65.4 c i AI-förordningen framgår även att medlems- staterna ska säkerställa att deras företrädare i AI-styrelsen har be- fogenhet att underlätta enhetlighet och samordning mellan natio- nella behöriga myndigheter i sina medlemsstater när det gäller genom- förandet av AI-förordningen, bl.a. genom insamling av relevanta uppgifter och relevant information för att de ska kunna fullgöra sina uppgifter i styrelsen. Det finns dock inte något krav i AI-förord- ningen på att medlemsstaternas företrädare i AI-styrelsen ska vara företrädare för en sådan marknadskontrollmyndighet som ska fungera som gemensam kontaktpunkt. 9.2.2 Samverkan enligt AI-förordningen När det gäller samverkan anges i artikel 70.8 i AI-förordningen att när de nationella behöriga myndigheterna avser att ge vägledning och rådgivning om ett AI-system på områden som omfattas av annan unionsrätt så ska samråd ske med de nationella behöriga myndig- heterna enligt den unionsrätten, när så är lämpligt. Vad gäller förfaranden för att hantera AI-system som en produkt på nationell nivå som utgör en risk enligt definitionen i artikel 3.19 i EU:s marknadskontrollförordning anges i AI-förordningen att om risker för grundläggande rättigheter identifieras ska marknads- kontrollsmyndigheten även omedelbart informera och till fullo sam- 351 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 arbeta med de berörda nationella offentliga myndigheter eller organ som avses i artikel 77.1 (artikel 79.2). I artikel 77.3 framgår därtill att marknadskontrollmyndigheterna, på motiverad begäran av de berörda nationella offentliga myndigheter eller organ som avses i artikel 77.1, i nära samarbete med dessa organ ska organisera en test- ning av ett AI-system med hög risk genom tekniska medel. Vidare anges i artikel 28 i AI-förordningen att förfarandena för de anmälande myndigheternas ansvar ska utvecklas i samarbete mellan de anmälande myndigheterna i alla medlemsstater. Kommissionen ska därtill för AI-system med hög risk säkerställa att lämplig samord- ning och ett lämpligt samarbete införs mellan de anmälda organen (artikel 38). 9.3 Kort om befintliga nationella regelverk 9.3.1 Förvaltningslagen Myndigheter har enligt 8 § FL en generell skyldighet att inom sitt verksamhetsområde samverka med andra myndigheter. Bestämmel- sen gäller i all verksamhet som en myndighet bedriver, dvs. vid såväl handläggning och beslutsfattande i enskilda ärenden, som vid s.k. faktiskt handlande. Bestämmelsen innebär en generell samverkans- skyldighet, som dock inte är obegränsad. En myndighet måste alltid prioritera sina egna huvuduppgifter och avgör själv om den kan av- sätta resurser för att hjälpa en annan myndighet. Syftet är att samverkan mellan myndigheter ska leda till att för- valtningen generellt blir så enhetlig och effektiv som möjligt. Be- stämmelsen utgör också ett led i regleringen av myndigheternas serviceskyldighet gentemot allmänheten och ger ett författnings- stöd för sådan samverkan mellan myndigheter som underlättar enskildas kontakter med dem. Avsikten är att den handläggande myndigheten själv ska ta kontakt med de myndigheter som behövs för att utredningen i ärendet ska bli tillräcklig, i den utsträckning som det är möjligt och lämpligt. En myndighet ska samverka till nytta för samhällsmedborgarna, både generellt och i enskilda fall genom att bistå med den särskilda sakkunskap och kompetens som den har i egenskap av expertmyndighet. En myndighet är skyldig att ställa upp och samverka om en annan myndighet ber om bistånd med 352 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor kunskap och erfarenheter, under förutsättning att den har resurser för detta. Bestämmelsen i 8 § FL kan dock inte användas som stöd för sam- verkansprojekt utanför myndighetens verksamhetsområde. Bestäm- melsen i 8 § FL innebär inte heller någon sådan uppgiftsskyldighet som enligt 10 kap. 28 § OSL bryter sekretessen mellan myndigheter. Myndigheten måste alltså försäkra sig om att informationsutbytet är förenligt med eventuellt tillämpliga bestämmelser om sekretess.3 Innan en samverkande myndighet lämnar uppgifter till en annan myndighet måste den också beakta de begränsningar som följer av t.ex. EU:s dataskyddsförordning. Det är möjligt för riksdagen (lag) eller regeringen (förordning) att föreskriva om undantag från begränsningen till myndighetens verksamhetsområde eller om krav på att samverkan i en viss situa- tion ska ske med andra än myndigheter. Sådana undantag kan därför finnas i lag eller i förordning för en myndighet. Formerna för samverkan kan vara av många olika slag och variera med hänsyn till ändamålet. Det är vanligt att myndigheter samråder och lämnar varandra upplysningar eller bistår med särskild sakkunskap genom informella kontakter per telefon eller vid möten. Det kan exempelvis också handla om att låna ut arkivhandlingar. En myndighet kan enligt 26 § FL inom ramen för sitt utredningsansvar också be- gära in ett yttrande från en annan myndighet, en s.k. remiss. Möjlig- heten att använda remiss för att se till att ett ärende blir tillräckligt utrett följer av myndighetens utredningsansvar enligt 23 § FL. Remittering kan ske för att få en annan myndighets synpunkter på befintligt material eller för att tillgodogöra sig den speciella sak- kunskap en annan myndighet har i sin egenskap av expertmyndighet inom ett visst område.4 9.3.2 Myndighetsförordningen För förvaltningsmyndigheter under regeringen finns det bestäm- melser om samverkan även i 6 § andra stycket myndighetsförord- ningen (2007:515). Enligt bestämmelsen ska en myndighet verka för att genom samarbete med myndigheter och andra ta till vara de 3 Prop. 2016/17:180, s. 71–73, 292 och 293. Se även JO 2006/07 s. 270. 4 Prop. 2016/17:180, s. 172 och 313. 353 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 fördelar som kan vinnas för enskilda samt för staten som helhet. Myndigheten ska tillhandahålla information om myndighetens verksamhet och följa sådana förhållanden utanför myndigheten som har betydelse för verksamheten. Inte heller 6 § andra stycket myndighetsförordningen innebär någon sådan uppgiftsskyldighet som enligt 10 kap. 28 § OSL bryter sekretessen mellan myndigheter. 9.3.3 Förordningen om marknadskontroll av varor och annan närliggande tillsyn I förordningen (2014:1039) om marknadskontroll av varor och annan närliggande tillsyn finns vissa bestämmelser om samordning och samverkan mellan marknadskontrollmyndigheter. Av 4 a–d §§ framgår att Swedac är centralt samordningskontor enligt artikel 10.3 i EU:s marknadskontrollförordning och i den rollen har ett visst sam- ordningsansvar. Av 5 § framgår att det vid Swedac finns ett råd för marknadskontroll (marknadskontrollrådet) och att Swedac ansvarar för ordförandeskapet och sekretariatsfunktionen i rådet. Av 7 § framgår att marknadskontrollrådet ska 1. fungera som ett nationellt samordningsorgan i frågor om mark- nadskontroll, 2. främja samverkan och effektivitet i kontrollen, 3. organisera kontinuerligt erfarenhetsutbyte, 4. ansvara för spridning av allmän information om marknadskontroll, 5. underlätta allmänhetens och näringslivets kontakter med mark- nadskontrollmyndigheterna, och 6. årligen utarbeta en handlingsplan för 1–5. I förordningen finns därtill vissa bestämmelser om informationsut- byte mellan myndigheter samt om uppgiftsskyldighet. I 13 a § anges att marknadskontrollmyndigheter ska lämna de uppgifter till varandra som behövs för att de ska kunna utföra sin marknadskontroll enligt EU:s marknadskontrollförordning. 354 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor 9.4 Samverkan mellan nationella behöriga myndigheter 9.4.1 Samordning och samverkan mellan marknadskontrollmyndigheterna behöver regleras särskilt Utredningens bedömning: Det finns ett stort behov av sam- ordning och samverkan mellan marknadskontrollmyndigheterna enligt AI-förordningen och mellan marknadskontrollmyndighet- erna enligt AI-förordningen och andra myndigheter. Marknads- kontrollmyndigheternas samordning och samverkan bör i vissa avseenden regleras särskilt. PTS bör utses till samordnande mark- nadskontrollmyndighet och gemensam kontaktpunkt. Utredningens förslag: Kompletteringslagen ska innehålla bestäm- melser om – att den myndighet som regeringen bestämmer ska vara samord- nande marknadskontrollmyndighet, – att den samordnande marknadskontrollmyndigheten ska vara gemensam kontaktpunkt enligt artikel 70.2 i AI-förordningen, och – att regeringen i övrigt får bestämma vilka uppgifter som den samordnande marknadskontrollmyndigheten ska ha. Kompletteringsförordningen ska innehålla en bestämmelse om att PTS är samordnande marknadskontrollmyndighet enligt komplet- teringslagen och gemensam kontaktpunkt enligt artikel 70.2 i AI-förordningen. Det finns ett stort behov av samordning och samverkan I kapitel 6 har utredningen lämnat förslag på vilka myndigheter som ska vara marknadskontrollmyndigheter enligt AI-förordningen. Ut- redningen föreslår sammanlagt elva myndigheter som marknadskon- trollmyndigheter. Av dem föreslås nio ansvara för högriskområdena i bilaga IA och tre ansvara för högriskområdena i bilaga III (PTS inom 355 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 båda bilagorna). Utredningen föreslår även att PTS ska ges i upp- drag att vara marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. Som närmare framgår av kapitel 6 kommer de föreslagna mark- nadskontrollmyndigheternas ansvarsområden i flera fall att överlappa varandra, även om utredningen har försökt lämna förslag som i möj- ligaste mån undviker överlappande ansvar. Det är också troligt att samma AI-system kan komma att användas inom flera olika använd- ningsområden, potentiellt både inom användningsområdena i bilaga III och i bilaga I. Marknadskontrollmyndigheterna kommer att be- höva samverka och samordna sig för att hantera sådana situationer. Marknadskontrollmyndigheterna kommer även att behöva sam- verka och samordna sig för att marknadskontrollen enligt AI-för- ordningen ska vara enhetlig. Det kommer bl.a. att vara viktigt för att undvika att aktörer på marknaden får olika besked eller varierande vägledning beroende på vart man vänder sig. För att uppnå högre enhetlighet kan samordning och samverkan också behövas avseende metodfrågor, tolkning av begrepp samt harmonisering av nivåer för sanktionsavgifter och andra efterlevnadsåtgärder. Samverkan kommer också vara viktigt för att samtliga marknads- kontrollmyndigheter ska uppfylla AI-förordningens krav på särskild AI-kompetens (artikel 70.3). Detta eftersom tillgången till denna typ av kompetens är begränsad både i Sverige och Europa. Därför behövs ett väl fungerande samarbete både inom landet och på EU-nivå. Sam- ordning och samverkan kommer också att vara viktigt för arbetet i AI-styrelsen och dess undergrupper (se närmare i kapitel 13). Som utredningen närmare har redogjort för i kapitel 6 kan mark- nadskontrollmyndigheterna i många situationer också antas behöva samverka med andra myndigheter som inte är nationella behöriga myndigheter. Detta då marknadskontrollmyndigheternas ansvars- områden också kommer att överlappa andra tillsynsmyndigheters ansvarsområden enligt andra regelverk. Detta bör bli särskilt relevant i förhållande till de s.k. sektorsmyndigheter som närmare berörs av användningsområdena i bilaga III (se avsnitt 6.5). Marknadskontroll- myndigheterna kommer även att behöva samverka med myndighet- erna som avses i artikel 77.1. Flera befintliga marknadskontrollmyndigheter har för utredningen uttryckt ett behov av kompetensutveckling inom AI och AI-förord- ningen och flera har efterfrågat en tydligare samverkan. Enligt utred- 356 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor ningen står det klart att en ökad samverkan bland involverande myn- digheter enligt AI-förordningen är nödvändig för att säkerställa sam- ordning och kunskapsdelning mellan myndigheter. En myndighet bör utses till samordnande marknadskontrollmyndighet För att hantera den omfattande samordning och samverkan som kommer att krävas bedömer utredningen att det är nödvändigt att någon eller några myndigheter ges ett huvudsakligt ansvar för att hantera samordningsfrågor. Utredningen bedömer att det lämp- ligen sker genom att en myndighet ges ett samordnande uppdrag. Ett sådant system efterliknar flera andra medlemsstaters hantering av samordning enligt AI-förordningen. Bl.a. framgår av det tyska förslaget till nationell anpassning att en myndighet ska ansvara för att koordinera samarbetet mellan de nationella behöriga myndighet- erna. Även i Norge och Danmark har en myndighet fått i uppdrag att vara koordinerande myndighet enligt AI-förordningen. Ett system med en samordnande myndighet efterliknar också hur frågor om samordning och samverkan hanteras enligt andra unionsrättsakter när det är flera myndigheter som ska ansvara för marknadskontroll eller tillsyn enligt samma rättsakt. Exempelvis kan nämnas att PTS i dagsläget är nationell samordnare för digitala tjänster enligt EU:s förordning om digitala tjänster samt samord- nande tillsynsmyndighet enligt tillgänglighetsdirektivet. I rollen som nationell samordnare för digitala tjänster ansvarar PTS vidare för att leda en samordningsfunktion där alla tillsynsmyndigheter ingår. Utredningen bedömer sammanfattningsvis att en samordnande marknadskontrollmyndighet bör utses som ska ha ett särskilt ansvar för samordning, vägledning och stöd inom marknadskontrollsystemet enligt AI-förordningen. Den samordnande marknadskontrollmyndigheten bör också vara gemensam kontaktpunkt Av AI-förordningen framgår att medlemsstaterna ska utse en mark- nadskontrollmyndighet som ska fungera som gemensam kontakt- punkt för AI-förordningen. Medlemsstaterna ska underrätta kom- 357 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 missionen om den gemensamma kontaktpunktens identitet och kommissionen ska göra en förteckning över gemensamma kontakt- punkter allmänt tillgänglig. Medlemsstaterna ska vidare göra infor- mation om hur nationella behöriga myndigheter och gemensamma kontaktpunkter kan kontaktas genom elektroniska kommunikations- medel allmänt tillgänglig senast den 2 augusti 2025. (artikel 70.2). Av skäl 153 framgår att kontaktpunkten ska inrättas för att öka den organisatoriska effektiviteten från medlemsstaternas sida och för att ansvara för kontakterna med allmänheten och andra motparter på medlemsstatsnivå och unionsnivå. Utredningen bedömer att den samordnande marknadskontroll- myndigheten också bör utses till gemensam kontaktpunkt enligt AI- förordningen. Det finns ett naturligt samband mellan båda dessa roller. När det gäller författningsregleringen gör utredningen följande överväganden. Uppdraget som gemensam kontaktpunkt enligt AI- förordningen bör inte regleras ytterligare i svensk rätt. Som närmare framgår i avsnitt 9.5 bedömer utredningen dock att den samordnande marknadskontrollmyndigheten bör tilldelas ett flertal uppgifter som inte uttryckligen följer av AI-förordningen, vilka utredningen be- dömer kommer att skapa ett bättre nationellt system. Utredningen gör därför bedömningen att i författning bör upp- draget som samordnande marknadskontrollmyndighet respektive gemensam kontaktpunkt regleras separerat. PTS bör vara den samordnande marknadskontrollmyndigheten och gemensam kontaktpunkt Utredningen har i kapitel 6 föreslagit att PTS ska vara marknads- kontrollmyndighet med huvudsakligt ansvar för AI-förordningen. Det föreslagna uppdraget innebär att PTS ska ansvara för marknads- kontrollen inom samtliga områden som omfattas av AI-förordningen, om det inte finns starkt vägande skäl att tilldela ansvaret för ett visst område till en annan myndighet. Som en följd av detta föreslår utred- ningen att PTS bl.a. ska ansvara för ett flertal olika högriskområden. Enligt utredningen är en naturligt följd av det ansvaret att myndig- heten även tilldelas rollen som samordnande marknadskontroll- myndighet. PTS är dessutom lämplig för uppdraget av det skälet att myndigheten redan i dagsläget har ansvar som samordnande myndig- 358 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor het enligt andra regelverk som har koppling till AI-förordningen, bl.a. EU:s förordning om digitala tjänster (se närmare i avsnitt 6.4.3). Utredningen bedömer därför att PTS bör vara den samordnande marknadskontrollmyndigheten och gemensam kontaktpunkt. Sammanfattande slutsatser och om reglering i författning Utredningen bedömer att marknadskontrollmyndigheternas sam- ordning och samverkan i vissa avseenden behöver regleras särskilt. Utredningen bedömer att PTS bör utses till samordnande marknads- kontrollmyndighet och gemensam kontaktpunkt. Enligt 8 kap. 7 § regeringsformen ligger det inom regeringens kompetens att besluta om uppgifter för statliga myndigheter under regeringen. Det bör enligt utredningen införas en bestämmelse i kompletteringslagen som anger att den myndighet som regeringen bestämmer ska vara samordnande marknadskontrollmyndighet och att den samordnande marknadskontrollmyndigheten också ska vara gemensam kontaktpunkt enligt artikel 70.2 i AI-förordningen. Utred- ningen föreslår vidare att kompletteringsförordningen ska innehålla en bestämmelse om att PTS är den myndigheten. I avsnitt 9.5 lämnar utredningen förslag om vilka uppgifter som PTS – i egenskap av samordnande marknadskontrollmyndigheten – ska ha. Dessa uppgifter bör framgå av kompletteringsförordningen. Av förutsebarhetsskäl föreslår utredningen att det i kompletterings- lagen ska upplysas om att regeringen får föreskriva vilka uppgifter som den samordnande marknadskontrollmyndigheten ska ha. 9.4.2 Befintliga regelverk är tillräckliga för anmälande myndigheter Utredningens bedömning: Befintliga regelverk är tillräckliga för att uppfylla behovet av samverkan mellan anmälande myndig- heter enligt AI-förordningen. I artikel 28.1 AI-förordningen anges att förfarandena för de anmäl- ande myndigheternas ansvar ska utvecklas i samarbete mellan de an- mälande myndigheterna i alla medlemsstater. 359 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 I kapitel 7 har utredningen föreslagit att två myndigheter ska utses till anmälande myndigheter, Swedac och Läkemedelsverket. Det är möjligt att dessa myndigheter ibland kommer att behöva samverka och samordna sig. Det är dock bara fråga om två myndigheter och de föreslås få tydligt åtskilda ansvarsområden som anmälande myndig- heter. Myndigheternas respektive ansvarsområden är dessutom redan i dagsläget etablerade i svensk kontext (se närmare i kapitel 7). Utredningen bedömer därför att befintliga regelverk bör vara till- räckliga för de anmälande myndigheternas behov av samordning och samverkan. 9.5 Den samordnande marknadskontrollmyndighetens uppgifter Utredningen bedömer att den samordnande marknadskontroll- myndigheten bör ges ett brett uppdrag som innehåller flera upp- gifter. Detta i syfte att skapa ett effektivt och enhetligt marknads- kontrollsystem, både bland marknadskontrollmyndigheterna och i förhållande till allmänheten. Utredningen tar i avsnitten nedan upp ett flertal av dessa förslag. Utredningen föreslår i andra delar av be- tänkandet ytterligare ansvarsområden för den samordnande mark- nadskontrollmyndigheten. Dessa tas upp i kapitel 12 som handlar om regulatoriska sandlådor för AI och testning under verkliga för- hållanden och i kapitel 13 som handlar om stöd för tillämpning och efterlevnadskontroll. 9.5.1 Ansvar att leda en samordningsfunktion Utredningens förslag: Kompletteringsförordningen ska inne- hålla en bestämmelse om att PTS ska leda en samordningsfunk- tion där samtliga marknadskontrollmyndigheter enligt AI-förord- ningen ingår. Inom ramen för samordningsfunktionen ska marknadskontroll- myndigheterna samverka och utbyta information. För en effektiv och enhetlig hantering av marknadskontroll enligt AI- förordningen behövs en omfattande samverkan och samordning. Ett 360 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor sätt att hantera detta skulle kunna vara att förlita sig på befintliga regelverk och forum för samverkan. Marknadskontrollrådet är t.ex. ett samverkansforum för marknadskontrollmyndigheter i Sverige. I avsnitt 3.3.2 och 9.3.3 redogör utredningen närmare för rådets funk- tion och organisation. Rådet fungerar som ett forum för samverkan för marknadskontroll, bl.a. för vissa frågor om ansvarsfördelning, rättstolkning och metodstöd. Rådet leds av Swedac, som också har ett särskilt ansvar som centralt samordningskontor enligt EU:s mark- nadskontrollförordning. I den rollen ansvarar Swedac bl.a. för den nationella strategin för marknadskontroll. AI-förordningen ska vara en del av den strategin. Det är därför lämpligt att frågor om mark- nadskontroll enligt AI-förordningen i någon mån hanteras inom marknadskontrollrådet. Marknadskontrollrådet är ett forum för marknadskontroll som sträcker sig vidare än den marknadskontroll som ska utövas enligt AI-förordningen. Som utredningen har uppfattat marknadskontroll- rådets verksamhet avser den främst samordnings- och samverkans- frågor av mer övergripande natur, och marknadskontrollrådet sam- manträder fyra till fem gånger per år. Myndigheterna i rådet arbetar löpande tillsammans med att genomföra årsplaner som bl.a. omfattar erfarenhetsutbyte, metodutveckling och informationsspridning. Myndigheterna i rådet har även kommit överens om att i rådets arbete utgå från den nationella strategin för marknadskontroll och därmed bidra till dess genomförande. Utredningen bedömer att den typ av samverkan och samordning som kommer att krävas bland marknadskontrollmyndigheterna enligt AI-förordningen delvis är av annan art än den som sker inom mark- nadskontrollrådet. Detta då samverkan och samordning inom AI- förordningen kommer att kräva ett mer frekvent och nära samarbete mellan myndigheterna än det som sker inom ramen för marknads- kontrollrådet. Utredningen drar denna slutsats efter att ha närvarat vid två sammanträden inom marknadskontrollrådet samt vid ett fler- tal tillfällen ha diskuterat marknadskontrollrådets funktion med olika representanter inom rådet. Inom ramen för utredningens arbete har vidare framkommit att flera marknadskontrollmyndigheter efterlyser tydligare strukturer för samarbete – både mellan varandra och med näringslivet. Detta visar på vikten av att ha ett forum där myndigheter kan dela erfaren- heter, utveckla metoder och föra en kontinuerlig dialog kring mark- 361 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 nadskontroll av AI. Det har vidare framkommit att majoriteten av marknadskontrollmyndigheterna i Sverige uttrycker behov av verktyg för spårbarhet och riskanalys samt teknisk infrastruktur för testning samt att myndigheterna ser behov av att utveckla gemensamma re- surser, exempelvis genom en nationell test- och tillsynsenhet för AI. I syfte att skapa de rätta förutsättningarna för en effektiv och enhetlig hantering av marknadskontroll enligt AI-förordningen be- dömer utredningen att det är nödvändigt att skapa en reglerad sam- ordningsfunktion där samtliga marknadskontrollmyndigheter enligt AI-förordningen ingår. För att skapa tydlighet och struktur bör sam- ordningsfunktionen ledas av den samordnande marknadskontroll- myndigheten. Det övergripande syftet med en sådan funktion bör vara en effektiv och enhetlig marknadskontroll inom AI-förord- ningen, där myndigheterna ska samverka och utbyta information. I samordningsfunktionen skulle t.ex. metodfrågor, tolkning av be- grepp samt harmonisering av nivåer för sanktionsavgifter och andra ingripanden kopplat till AI-förordningen kunna diskuteras. Frågor om att utveckla gemensamma resurser för testning m.m. skulle också kunna diskuteras. Samverkan mellan marknadskontrollmyndigheterna och näringslivet skulle också kunna ske genom samordningsfunktionen. Inom samordningsfunktionen bör även frågor om samordning och samverkan inom ramen för arbetet i AI-styrelsen och dess under- grupper kunna ske i viss utsträckning. T.ex. skulle andra myndig- heter som deltar i undergrupperna – som inte är marknadskontroll- myndigheter – kunna bjudas in att delta i samordningsfunktionen vid behov (se närmare i kapitel 13). En del av ovanstående frågor har beröringspunkter med det arbete som Swedac bedriver inom marknadskontrollrådet. Det bör därför nämnas att det också är viktigt att PTS och Swedac samverkar för att hitta de bästa formerna för samverkan som blir effektiv både i utfall av samverkan och i att utnyttja myndigheternas resurser effek- tivt tillsammans. Även om utredningen föreslår att samordningsfunktionen inom AI-förordningen ska ledas av PTS bör det vidare vara tydligt att myn- digheterna i samordningsfunktionen utifrån sina respektive ansvars- områden ska bidra till att uppnå syftet med en effektiv och enhetlig marknadskontroll. Varje myndighet arbetar självständigt och har egen 362 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor beslutanderätt och utredningen anser inte att formerna för hur sam- arbetet ska bedrivas närmare bör författningsregleras. En viss flexibilitet i forumet bör också underlätta samverkan, då det t.ex. är troligt att samverkan kommer att vara särskilt relevant mellan de myndigheter som ska ansvara för högriskområdena i bi- laga III och särskilt mellan IMY och PTS som föreslås ansvara för stora delar av AI-förordningen. Behov av samverkan kan antas vara mindre mellan myndigheterna som ansvarar för högriskområdena i bilaga IA. Utredningen föreslår sammantaget att PTS – i egenskap av sam- ordnande marknadskontrollmyndighet – ska leda en samordnings- funktion där samtliga marknadskontrollmyndigheter enligt AI-för- ordningen ingår. Det bör anges i kompletteringsförordningen. Där bör även anges att marknadskontrollmyndigheterna inom ramen för samordningsfunktionen ska samverka och utbyta information. 9.5.2 Ansvar att samordna överlappande marknadskontrollärenden Utredningens förslag: Kompletteringsförordningen ska innehålla bestämmelser om – att PTS ska samordna ett marknadskontrolluppdrag, om ett enskilt marknadskontrollsärende berör flera marknadskontroll- myndigheters ansvarsområden, och – att en marknadskontrollmyndighet som inleder ett marknads- kontrollärende ska lämna en uppgift till PTS om att ärendet inleds, uppgift om vad ärendet rör och om ärendet bedöms beröra eller kan komma att beröra andra myndigheters ansvars- område samt uppgift om att ärendet avslutas ska även lämnas till PTS när marknadskontrollärendet avslutas. PTS bör samordna överlappande marknadskontrollärenden I kapitel 6 föreslår utredningen att PTS ska ha ett författningsreglerat ansvar som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen och att andra myndigheters ansvar i författning ska 363 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 särregleras. Ett sådant system säkerställer att ingen marknadskontroll- myndighets ansvar riskerar att lämnas oreglerat (se avsnitt 6.4.5). Som närmare framgår av kapitel 6 kommer marknadskontroll- myndigheternas ansvarsområden dock att överlappa varandra, även om utredningen har strävat efter att lämna förslag som i möjligaste mån undviker ett sådant överlappande ansvar. Utredningen bedömer att det lämpligaste sättet för att hantera sådana situationer är att PTS – i egenskap av samordnande marknadskontrollmyndighet – ges ett ansvar för att samordna ett marknadskontrolluppdrag om ett enskilt marknadskontrollsärende berör flera marknadskontrollmyndigheters ansvarsområden. En sådan samordning bör kunna ske inom ramen för den samordningsfunktion som utredningen också föreslår att PTS ska leda. För att samordningsuppdraget ska kunna fungera i praktiken föreslår utredningen även att en marknadskontrollmyndighet som inleder ett marknadskontrollärende ska lämna en uppgift om det, uppgift om vad ärendet rör samt om ärendet bedöms beröra eller kan komma att beröra andra myndigheters ansvarsområde till den samordnande marknadskontrollmyndigheten. Uppgift om att ett ärende avslutas ska även lämnas till den samordnande marknadskon- trollmyndigheten när marknadskontrollärendet avslutas. Genom ett sådant förfarande bör kunna säkerställas att flera marknadskontroll- myndigheter oberoende av varandra inte kontrollerar samma AI- system. Det system som utredningen föreslår efterliknar PTS samord- ningsansvar enligt tillgänglighetsdirektivet. I förordningen (2023:676) om vissa produkters och tjänsters tillgänglighet har PTS nämligen fått i uppdrag att samordna ett tillsynsuppdrag om ett enskilt tillsyns- ärende kan komma att beröra flera tillsynsmyndigheters ansvarsom- råden. När en tillsynsmyndighet inleder ett tillsynsärende ska upp- gift om det samt uppgift om vad ärendet rör lämnas till PTS, och uppgift ska även lämnas till PTS när tillsynsärendet avslutas.5 Utredningen bedömer att ett liknande system bör fungera för samordning enligt AI-förordningen, även om det beträffande AI- förordningen är fler marknadskontrollmyndigheter som kommer 5 28 § förordningen om vissa produkters och tjänsters tillgänglighet. 364 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor att behöva samordna sig än enligt förordningen om vissa produkters och tjänsters tillgänglighet.6 Utredningen föreslår sammantaget att kompletteringsförord- ningen ska innehålla en bestämmelse om att PTS ska samordna ett marknadskontrolluppdrag, om ett enskilt marknadskontrollsärende berör flera marknadskontrollmyndigheters ansvarsområden. I bestäm- melsen bör vidare anges att en marknadskontrollmyndighet som in- leder ett marknadskontrollärende ska lämna en uppgift till PTS om att det inleds, uppgift om vad ärendet rör samt om ärendet bedöms beröra eller kan komma att beröra andra myndigheters ansvarsområde. Uppgift om att ärendet avslutas bör även lämnas till PTS när mark- nadskontrollärendet avslutas. Andra alternativ som utredningen har övervägt Ett alternativ till utredningens förslag ovan – dvs. till att PTS ska samordna ett marknadskontrolluppdrag, om ett enskilt marknads- kontrollsärende berör flera marknadskontrollmyndigheters ansvars- områden – är att marknadskontrollmyndigheterna gemensamt ska ansvara för att samordna sig. Ett sådant system har t.ex. föreslagits i promemorian om kompletterande bestämmelser till EU-förord- ningen om batterier.7 I den promemorian föreslås att fyra marknads- kontrollmyndigheter ska utses. Utredningen bedömer dock att ett liknande system inom mark- nadskontrollen enligt AI-förordningen riskerar att skapa osäkerhet om ansvar, särskilt med hänsyn till att det beträffande AI-förord- ningen föreslås bli fråga om elva och inte endast fyra myndigheter som beträffande EU-förordningen om batterier och att det blir tydligare om ansvaret läggs på den samordnande marknadskontroll- myndigheten. Även utredningens förslag, dvs. att PTS ska samordna ett mark- nadskontrolluppdrag, om ett enskilt marknadskontrollsärende berör flera marknadskontrollmyndigheters ansvarsområden, kan orsaka otydlighet kring ansvar om inte någon myndighet anser sig vara an- svarig, eller i fall där flera myndigheter anser sig ansvariga för att kon- 6 För tillsyn enligt den förordningen ansvarar fem olika myndigheter, PTS, Mediemyndig- heten, Myndigheten för tillgängliga medier, Konsumentverket och Transportstyrelsen. 7 Promemorian Kompletterande bestämmelser till EU-förordningen om batterier (KN2024/02313), s. 69. 365 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 trollera samma AI-system. Utredningen utgår dock från att invol- verade myndigheter kommer att ta sitt ansvar och samarbeta för att finna lämpliga lösningar när denna typ av situationer uppstår. Sådant samarbete förekommer redan i dagsläget mellan marknadskontroll- myndigheter som kontrollerar samma eller närliggande unionsrätts- akter, t.ex. i fråga om leksaker.8 Ytterligare ett alternativ skulle kunna vara att reglera en tydligare process för situationer där myndigheter inte kan enas om vilken myndighet som har ansvar för marknadskontrollen. Det skulle t.ex. kunna ske genom att införa en bestämmelse i kompletteringslagen om att en myndighet kan hänskjuta frågan till regeringen för bindande avgörande, om två eller fler marknadskontrollmyndigheter inte kan enas om vilken av dem som bör handlägga ett visst marknadskontroll- ärende. Utredningen bedömer dock att det inte är nödvändigt mot bakgrund av att involverade myndigheter förväntas ta sitt ansvar och samarbeta. I förtydligande syfte kan avslutningsvis nämnas att utredningen bedömer att det inom ramen för PTS förslagna ansvar att samordna överlappande ärenden, även ligger ett ansvar på PTS att underrätta andra marknadskontrollmyndigheter om PTS själv inleder ett ärende som myndigheten bedömer berör eller kan komma att beröra andra myndigheters ansvarsområden, t.ex. inom brottsbekämpning. Att så är fallet behöver enligt utredningen inte förtydligas ytterligare i för- fattning. Sammantaget anser utredningen att PTS bör ha ett ansvar att sam- ordna överlappande marknadskontrollärenden. För att utredningens förslag i denna del ska kunna genomföras i praktiken kommer myndigheterna att behöva kunna utbyta informa- tion med varandra. Utredningen återkommer till det i avsnitt 9.9.3. 9.5.3 Ansvar att stödja andra myndigheter med AI-expertis Utredningens förslag: Kompletteringsförordningen ska inne- hålla en bestämmelse om att PTS ska stödja marknadskontroll- myndigheterna med ansvar för AI-system med hög risk som om- fattas av bilaga IA till AI-förordningen med expertkunskap om AI-system i komplicerade ärenden. 8 Nationell strategi för marknadskontroll, 2022–2025, Utrikesdepartementet, s. 20 f. 366 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor Alla myndigheter kan inte förväntas bygga upp en djup AI-expertis Att utöva marknadskontroll över AI-system kan förväntas bli kompli- cerat. Det har utredningen närmare redogjort för i kapitel 6. Samt- liga myndigheter som föreslås få en roll som behörig myndighet enligt AI-förordningen kommer att behöva bygga upp en AI-teknisk kunskap. Det kommer antagligen de flesta svenska myndigheter att behöva. Det är dock inte realistiskt att förvänta sig att samtliga mark- nadskontrollmyndigheter ska kunna bygga upp den djupa AI-tekniska sakkunskap som kan krävas för att utöva marknadskontroll i vissa komplicerade ärenden. Denna ståndpunkt har förmedlats till utred- ningen av representanter från flera myndigheter vid ett flertal tillfällen, i huvudsak från myndigheter som har ett ansvar för rättsakterna i bilaga IA. Det kan i och för sig i många fall – på samma sätt som ofta sker inom annan marknadskontroll – förväntas vara ett upphandlat organ som genomför testning av AI-systemen för myndigheternas räkning, s.k. provning i laboratorium. Det utesluter dock inte att myndighet- erna ändå kommer att behöva bygga upp en egen kompetens om AI- system. Detta bl.a. för att myndigheterna ska kunna ställa rätt frågor och för att förstå innehållet i rapporter m.m. som sådana organ redo- visar till myndigheterna. I nuläget finns det dessutom begränsad till- gång till sådana organ för testning på marknaden, både i Sverige och i EU, och utvecklingen på området är oviss. Testning av ett utomstående organ kommer inte heller ske varje gång ett marknads- kontrollärende inleds. För att marknadskontrollen ska kunna utövas på ett effektivt och rättssäkert sätt bedömer därför utredningen att det är nödvändigt att någon eller några av de större myndigheterna får ett författnings- reglerat ansvar att bistå vissa andra myndigheter med särskild AI- kompetens. I Finland, Nederländerna och Tyskland har också föreslagits ett system där en större myndighet ska ansvara för att stödja övriga myn- digheter med särskild AI-expertis. 367 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 Ansvaret för stödet bör läggas på den samordnande marknadskontrollmyndigheten PTS föreslås få ett stort och huvudsakligt ansvar i systemet för mark- nadskontroll enligt AI-förordningen. Myndigheten kommer i den rollen att behöva bygga upp en bred och djup kompetens om AI- system. Det är därmed rimligt att PTS också får ett huvudsakligt ansvar att stödja andra myndigheter i komplicerade ärenden. Vad som är ett komplicerat ärende kommer att behöva avgöras från fall till fall. För att det ska vara praktiskt genomförbart behöver PTS dock kunna avsätta delar av sina resurser till det stödjande uppdraget. Hur stort uppdraget i praktiken kommer vara är svårt att veta i nu- läget men bör bli tydligare allt eftersom AI-förordningens bestäm- melser börjar tillämpas fullt ut. Att lägga ett ensamt ansvar för expertkunskap på den samord- nande marknadskontrollmyndigheten skapar dessutom ett tydligt mandat för den myndigheten att bygga upp en bred och djup expertis inom AI. Det skapar också förutsebarhet i marknadskontrollsystemet, både på marknaden och bland övriga myndigheter. Utredningen före- slår därför att den samordnande marknadskontrollmyndigheten ska ha till uppgift att stödja vissa myndigheter enligt AI-förordningen med expertkunskap om AI-system i komplicerade ärenden. Stödet bör ges till myndigheterna som omfattas av bilaga IA I kapitel 6 föreslår utredningen att elva myndigheter ska vara mark- nadskontrollmyndigheter. Nio myndigheter föreslås ansvara för hög- riskområdena i bilaga IA och tre myndigheter föreslås ansvara för högriskområdena i bilaga III (PTS inom båda bilagorna). Utredningen har övervägt om samtliga av dessa andra myndigheter ska erbjudas stöd i komplicerade ärenden. För högriskområdena i bilaga III föreslår utredningen att Finans- inspektionen, IMY och PTS ska ansvara för olika områden. IMY föreslås även ansvara för artikel 5 och vissa delar av artikel 50. IMY:s och Finansinspektionens ansvar enligt AI-förordningen förväntas i och med förslaget bli stort. I den egenskapen kommer dessa två myndigheter behöva bygga upp en omfattande kompetens om AI- system. IMY och Finansinspektionen utövar redan i dagsläget viss tillsyn över AI-system inom deras nuvarande uppdrag och de är dess- 368 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor utom myndigheter som utredningen generellt bedömer är lämpliga för att hantera ett större ansvar som marknadskontrollmyndighet enligt AI-förordningen (se avsnitt 6.4.3). Enligt utredningen är det därför rimligt att IMY och Finansinspektionen själva får bygga upp den AI-kompetens som kan krävas för att hantera de komplicerade ärenden som uppkommer inom deras respektive ansvarsområden, och avsätta resurser för det. I sammanhanget kan vidare nämnas att utredningen bedömer att de anmälande myndigheterna och IMY, när myndigheten ska fungera som anmält organ (se kapitel 7), också själva bör ansvara för och av- sätta resurser för att hantera dessa uppdrag. Myndigheterna som föreslås få ett ansvar enligt bilaga IA bör dock ha möjlighet att ta hjälp av en expertmyndighet i komplicerade ärenden. Majoriteten av dessa myndigheter har i dagsläget ingen eller endast begränsad erfarenhet av att utöva marknadskontroll eller tillsyn över AI-system. I dagsläget förekommer också i princip inga eller endast ett fåtal AI-system i de produkter som omfattas av rättsakt- erna i bilaga IA, frånsett det medicintekniska området. Flertalet representanter från de myndigheter som omfattas av området i bilaga IA har förmedlat till utredningen att de kommer att behöva någon form av hjälp för att hantera sådana system (se närmare i av- snitt 6.6). Utredningen bedömer därför att det är lämpligt att PTS – i egenskap av samordnande marknadskontrollmyndighet – får ett författningsreglerat ansvar att stödja myndigheterna med ansvar för AI-system med hög risk som omfattas av bilaga IA till AI-förord- ningen med expertkunskap om AI-system i komplicerade ärenden. Sammanfattning Utredningen föreslår att kompletteringsförordningen ska innehålla en bestämmelse om att PTS ska stödja marknadskontrollmyndig- heterna med ansvar för AI-system med hög risk som omfattas av bilaga IA till AI-förordningen med expertkunskap om AI-system i komplicerade ärenden. Utredningen vill dock förtydliga att PTS stödfunktion bör bestå i att lämna rådgivning och stöd. Den ansvariga marknadskontroll- myndigheten, dvs. i detta fall en myndighet som ansvarar för någon av rättsakterna i bilaga IA, är fortfarande ansvarig för ärendet. Den sam- 369 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 ordnande marknadskontrollmyndigheten, PTS, tar alltså inte över det ansvaret. Ett annat alternativ som utredningen har övervägt Ett antal myndigheter som utredningen har varit i kontakt med har förordat att det är bättre att inrätta ett kompetenscenter där flera myndigheter ingår och att ansvaret för att stödja andra marknads- kontrollmyndigheter i komplicerade ärenden därmed skulle vara delat. Det finns fördelar med ett sådant system, bl.a. då det skulle innebära att några av de stora myndigheterna som redan har hög AI-teknisk kompetens också skulle kunna hjälpa till, t.ex. Läke- medelsverket. Även andra myndigheter som föreslås få ett relativt stort ansvar för marknadskontroll över AI-system med hög risk, och därigenom kommer att behöva bygga upp en hög kompetens om AI, skulle kunna hjälpa till. Ett sådant system skulle potentiellt innebära att det finns mer resurser att tillgå, samt att det skulle finnas en större bredd av olika sektorspecifika kunskaper. Myndigheter som utredningen bedömer skulle kunna ingå i ett sådant kompetenscenter är Finansinspektionen, IMY, Läkemedels- verket och PTS (se närmare om dessa myndigheter i avsnitt 6.4.3). Dessa myndigheter besitter redan goda kunskaper om AI-teknik eller kommer att behöva bygga upp en sådan kompetens med hän- syn till att de förslag som utredningen lämnar i kapitel 6. Ett delat ansvar medför dock svårigheter i praktiken, där en ut- maning är att tydliggöra roller, ansvar och beslutsmandat. Även om en myndighet ges ett huvudsakligt ansvar, så finns det generellt sett inte några förutsättningar för en myndighet att styra andra myndig- heter, utan det behöver i så fall ske genom samverkan. En myndig- het behöver i ett sådant sammanhang alltså få ett huvudsakligt ansvar och det behöver tydligt regleras i vilken ordning och i vilken omfatt- ning de andra myndigheterna ska involveras. Flera av myndigheterna som skulle kunna involveras har därtill mer sektorsspecifik kunskap och kan potentiellt inte förväntas kunna hjälpa till i alla ärenden. Det kan leda till otydlighet för den myndighet som behöver hjälp, både i fråga till vilken myndighet som den i varje enskilt fall ska vända sig och vad den kan förvänta sig av denna myndighet. Även myndighet- 370 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor ernas beräkningar av budget blir i ett sådant kompetenscentersystem mer komplicerade. Ett exempel på svårigheterna med delat ansvar är Nationellt cybersäkerhetscenter, som Försvarets radioanstalt (FRA) nyligen har fått ett huvudansvar för, efter att centret tidigare styrdes under fördjupad samverkan mellan FRA, Försvarsmakten, MSB, Säkerhets- polisen, Försvarets materielverk, Polismyndigheten och PTS.9 Förändringen av cybersäkerhetscentrets ansvarsfördelning har sin grund i en utredning, där utredningen bl.a. har identifierat flera problem inom centrets styrning, ledning och organisation. Utred- ningen konstaterade bl.a. att det inom centret saknades tydliga mål och ansvarsfördelning, vilket har lett till motsägelsefulla prioriter- ingar bland de ansvariga myndigheterna. Brister i central styrning och ett ineffektivt delat ledningsansvar gjorde också beslutsproces- serna långsamma. Verksamheten bedömdes även ha blivit mindre efterfrågans- och målgruppsstyrd än vad den borde vara, eftersom tillgängliga resurser och personal bestämts av vad varje myndighet kunde erbjuda. Följden av detta konstaterades bl.a. vara att centret inte har kunnat leverera den information eller det stöd som regeringen eller målgrupperna efterfrågat. För att komma till rätta med dessa problem föreslog utredningen i nu relevanta delar att FRA ska få ett huvudansvar för att leda samordning, utveckling och genomförande av centrets verksamhet, samtidigt som de sju myndigheter som redan ingår i cybersäkerhetscentrets verksamhet även fortsatt föreslås ingå i den verksamheten.10 Nationellt cybersäkerhetscenter har ingen direkt koppling till AI-förordningens tillämpningsområde, och det kan noteras att frågor om nationell säkerhet faller utanför AI-förordningens tillämpnings- område (se artikel 2). Exemplet illustrerar dock utmaningar med att bygga ett samlat kompetenscenter. De förväntade fördelarna med att involvera flera myndigheter i en fördjupad samverkan bör enligt utredningen vara stora för att det ska bedömas som det bästa alterna- tivet. Utredningen bedömer i fråga om kompetensförsörjning inom AI-förordningen att så inte är fallet i nuläget. Enligt utredningen är det därför bättre att PTS får ett huvudansvar, och ett tydligt mandat att bygga upp en bred och djup expertis inom AI. PTS kan under 9 4 a § förordningen (2007:937) med instruktion för Försvarets radioanstalt. 10 Promemorian Ett nytt Nationellt cybersäkerhetscenter, Ändamålsenliga och effektiva former för ledning, organisering och styrning, Del 1, Fö2024/00785, s. 25 ff. och 37 ff. Se även förord- ningen (2025:237) om det nationella cybersäkerhetscentret vid Försvarets radioanstalt. 371 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 sådana omständigheter också själv ta ställning till om myndigheten framöver behöver involvera ytterligare myndigheter eller andra aktörer i sitt uppdrag. Visar det sig att ansvaret blir allt för betung- ande bör organisationen i stället kunna ses över vid en senare tid- punkt när tillämpningen av AI-förordningen närmare har utkristalli- serats. Utredningen föreslår alltså att PTS – i egenskap av samordnande marknadskontrollmyndighet – ska ansvara för att stödja marknads- kontrollmyndigheterna med ansvar för AI-system med hög risk enligt bilaga IA med expertkunskap om AI-system i komplicerade ärenden. För att utredningens förslag i denna del ska kunna genomföras i praktiken kommer myndigheterna att behöva utbyta information med varandra. Utredningen återkommer till det i avsnitt 9.9.3. 9.5.4 Ansvar för vägledning Utredningens förslag: Kompletteringsförordningen ska innehålla en bestämmelse om att PTS ska ansvara för den huvudsakliga kontakten med allmänheten gällande AI-förordningen, ansvara för åtgärderna i artikel 62.1 b–d i AI-förordningen och för att lämna generell vägledning om AI-förordningen. Huvudsaklig kontakt med allmänheten Den samordnande marknadskontrollmyndigheten bör ansvara för att ha den huvudsakliga kontakten med allmänheten gällande AI-för- ordningen. För att det ska kunna genomföras i praktiken bedömer utredningen att myndigheten behöver utgöra en sorts portal, eller en ”en-väg-in” för AI-förordningen för operatörer och allmänhet. Av artikel 62 i AI-förordningen framgår vidare att medlemsstat- erna ska vidta ett antal åtgärder för leverantörer och tillhandahållare, särskilt små och medelstora företag, inbegripet uppstartsföretag. I punkterna b–d framgår närmare att medlemsstaterna ska vidta följ- ande åtgärder. • Anordna särskilda medvetandehöjande åtgärder och utbildning om tillämpningen av AI-förordningen anpassat till behoven hos 372 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor små och medelstora företag, inbegripet uppstartsföretag, tillhanda- hållare och, när så är lämpligt, lokala offentliga myndigheter. • Använda befintliga särskilda kanaler och, när så är lämpligt, upp- rätta nya sådana för kommunikation med små och medelstora före- tag, inbegripet uppstartsföretag, tillhandahållare, andra innovatörer och, om lämpligt, lokala offentliga myndigheter, för att ge råd och svara på frågor om genomförandet av AI- förordningen, inbegripet när det gäller deltagande i regulatoriska sandlådor för AI. • Underlätta för små och medelstora företags, och andra berörda parters, deltagande i processen för standardiseringsutveckling. Enligt utredningen framstår det som lämpligt att ansvaret för dessa åtgärder läggs på den samordnande marknadskontrollmyndigheten. I praktiken skulle detta exempelvis kunna ske genom att myndig- heten ansvarar för en särskild kanal för kommunikation, t.ex. en hem- sida eller en applikation, där operatörer och andra aktörer kan hitta korrekta vägar i sina respektive ärenden, och i förekommande fall slussas vidare till den marknadskontrollmyndighet som är ansvarig för en fråga eller ärende. En lösning skulle kunna vara att ta inspira- tion av det nuvarande samarbetet genom verksamt.se11, använda den befintliga plattformen för marknadskontrollmyndigheter, marknads- kontroll.se, eller genom en utveckling av sin egen myndighets digitala plattformar. Vissa företrädare inom näringslivet har förespråkat att befintliga plattformar som utgångspunkt borde användas i stället för att utveckla nya. Medvetandehöjande åtgärder och utbildning skulle också kunna ske på en sådan kanal för kommunikation, såväl som involvering av små och medelstora företag och andra berörda parter i processen för standardiseringsutveckling. Dessa förslag utesluter inte att även andra nationella behöriga myndigheter kan genomföra medvetandehöjande åtgärder och ut- bildning eller involvera operatörer i processen för standardiserings- utveckling inom sitt eget ansvarsområde. Det utesluter givetvis inte heller att Swedac, i egenskap av centralt samordningskontor enligt EU:s marknadskontrollförordning och ansvarig för marknadskon- trollrådet, genomför liknande åtgärder. Tanken med förslagen är dock att det ska vara enkelt för marknaden att ha en huvudsaklig kanal att vända sig till för frågor och svar om AI-förordningen. Flertalet före- 11 https://verksamt.se/om-verksamt-se (hämtad 2025-03-05). 373 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 trädare inom näringslivet som utredningen har haft kontakt med har framhållit att det är viktigt att företag ska ha en tydlig portal eller ”väg in”, och flera har tagit upp plattformen verksamt.se som ett välfun- gerande exempel på en sådan kanal. Utredningen föreslår därför att kompletteringsförordningen ska innehålla en bestämmelse om att PTS ska ansvara för den huvudsak- liga kontakten med allmänheten gällande AI-förordningen och an- svara för åtgärderna i artikel 62.1 b–d i AI-förordningen.12 Huvudsakligt ansvar för vägledning Flera aktörer som utredningen har varit i kontakt med, särskilt företrädare inom näringslivet, har framhållit att marknaden efter- frågar tydlig vägledning kring AI-förordningen. Det efterfrågas särskilt av små och medelstora företag. Utredningen ser det därför som viktigt ur ett innovations- och konkurrenskraftsperspektiv att en myndighet ges ett tydligt uppdrag att lämna generell vägledning om AI-förordningen och att det upp- draget regleras i författning. I detta arbete bör den samordnande marknadskontrollmyndigheten, dvs. PTS som ska ha detta uppdrag att lämna generell vägledning om AI-förordningen, också involvera andra nationella behöriga myndigheter enligt AI-förordningen, bl.a. IMY och Finansinspektionen som utredningen i övrigt föreslår ska få ett stort ansvar inom AI-förordningen. Ansvaret utesluter givetvis inte att även andra behöriga myndigheter eller Swedac lämnar mer specialiserad vägledning på sitt eget ansvarsområde inom ramen för sin serviceskyldighet. Utredningen föreslår därför att kompletteringsförordningen även ska innehålla en bestämmelse om att PTS ska ansvara för att lämna generell vägledning om AI-förordningen. 9.5.5 Ansvar för rapporteringskravet i artikel 99.11 Utredningens förslag: Kompletteringsförordningen ska inne- hålla en bestämmelse om att PTS ska ansvara för rapporterings- kraven i artikel 99.11. 12 I avsnitt 12.6.4 lämnas förslag beträffande artikel 62.1 a. 374 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor Den samordnande marknadskontrollmyndigheten bör ansvara för rapporteringskraven i artikel 99.11 I artikel 99.11 anges att medlemsstaterna årligen ska underrätta kom- missionen om de administrativa sanktionsavgifter som de har utfärdat under det året och om eventuella relaterade rättstvister eller rättsliga förfaranden. Enligt utredningen framstår det som en lämplig upp- gift för den samordnande marknadskontrollmyndigheten att ansvara för att sammanställa ett samlat underlag att skicka in till kommis- sionen. Inhämtande av underlag för dessa rapporteringar bör kunna ske genom samverkan i den föreslagna samordningsfunktionen. Ett alter- nativ är att varje marknadskontrollmyndighet ska sammanställa sin egen statistik, vilket i så fall skulle resultera i elva olika rapporter. Enligt utredningen framstår det som lämpligare att Sverige skickar in en samlad rapport och att sammanställningen av den görs av den samordnande marknadskontrollmyndigheten genom att inhämta underlag i samordningsfunktionen. Utredningen föreslår därför att PTS – i egenskap av samordnande marknadskontrollmyndighet – ska ansvara för rapporteringskraven i artikel 99.11. Det bör anges i kompletteringsförordningen. Andra alternativ som utredningen har övervägt AI-förordningen innehåller ett flertal andra rapporteringsskyldig- heter i förhållande till kommissionen och utredningen har övervägt om den samordnande marknadskontrollmyndigheten ska ansvara även för dessa. Utredningen har dock kommit fram till att det är lämpligare att de rapporteringsskyldigheter till kommissionen som avses i artikel 5.613, 74.214 och 74.715 i AI-förordningen hanteras av 13 Artikel 5.6 reglerar en uppgiftsskyldighet om användningen av system för biometrisk fjärr- identifiering i realtid på allmänt tillgänglig plats för brottsbekämpande ändamål. 14 Artikel 74.2 reglerar att marknadskontrollmyndigheterna som en del av sina rapporterings- skyldigheter enligt artikel 34.4 i förordning (EU) 2019/1020 årligen ska rapportera till kommis- sionen och berörda nationella konkurrensmyndigheter all information som framkommit i sam- band med marknadskontrollen och som kan vara av potentiellt intresse för tillämpningen av EU:s konkurrenslagstiftning. De ska också årligen rapportera till kommissionen om använd- ning inom förbjudna användningsområden som ägt rum det året och om de åtgärder som vid- tagits. 15 Artikel 74.7 reglerar att nationella marknadskontrollmyndigheter som utövar tillsyn över reglerade kreditinstitut reglerade enligt direktiv 2013/36/EU och som deltar i den gemensamma 375 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 den marknadskontrollmyndighet som är ansvarig för området (se närmare i avsnitt 9.7.1). Rapporteringsskyldigheten har i dessa avse- enden nära koppling till respektive marknadskontrollmyndighets ansvarsområde. Att förflytta ansvaret för rapporteringsskyldigheten i dessa avseenden skulle sannolikt främst medföra ökad administra- tion mellan myndigheterna och ett onödigt utbyte av information. Utredningen bedömer därför att det inte är lämpligt att den samord- nande marknadskontrollmyndigheten ska ansvara för dessa rapport- eringar. Utredningen har även övervägt om den samordnande marknads- kontrollmyndigheten ska ansvara för rapporteringsskyldigheten i artikel 70.6. I artikeln anges att medlemsstaterna senast den 2 augusti 2025 och därefter vartannat år ska rapportera till kommissionen om statusen för de nationella behöriga myndigheternas ekonomiska re- surser och personalresurser, med en bedömning av deras tillräcklig- het. Sådana frågor skulle kunna diskuteras inom samordningsfunk- tionen. Enligt utredningen framstår det dock som en styrningsfråga som regeringen lämpligen ansvarar för. Utredningen bedömer därför att ansvaret för rapporteringen i artikel 70.6 inte bör ges till den sam- ordnande myndigheten. Sammanfattningsvis föreslår utredningen i detta avsnitt att den samordnande marknadskontrollmyndigheten endast ska ansvara för rapporteringskraven i artikel 99.11.16 I avsnitt 9.7.1 återkommer utredningen med förslag i fråga om marknadskontrollmyndigheternas rapportering i övrigt. 9.6 Föreskriftsrätt För att AI-förordningen, kompletteringslagen och kompletterings- förordningen ska kunna genomföras i praktiken kan det behövas ytterligare föreskrifter. Utredningen bedömer att den samordnande marknadskontrollmyndigheten bör ges rätt att meddela föreskrifter i vissa avseenden. Några av dessa tas upp nedan. tillsynsmekanism som inrättats genom förordning (EU) nr 1024/2013, utan dröjsmål till Euro- peiska centralbanken ska rapportera all information som identifierats i samband med deras marknadskontroll och som kan vara av potentiellt intresse för Europeiska centralbankens tillsynsuppgifter enligt den förordningen. 16 I avsnitt 12.6.10 lämnar utredningen förslag om att PTS i den rollen även ska ansvara för rapporteringskraven till följd av artikel 57.16. 376 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor 9.6.1 Föreskrifter om incidentrapportering Utredningens förslag: Kompletteringslagen ska innehålla en be- stämmelse om att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om incidentrapportering en- ligt artikel 73 i AI-förordningen. Kompletteringsförordningen ska innehålla en bestämmelse om att PTS får meddela föreskrifter om incidentrapportering enligt artikel 73 i AI-förordningen. Övriga marknadskontroll- myndigheter ska få tillfälle att yttra sig innan föreskrifterna med- delas. Om incidentrapportering enligt AI-förordningen Leverantörer av AI-system med hög risk som släpps ut på unions- marknaden ska rapportera alla allvarliga incidenter till marknads- kontrollmyndigheterna i de medlemsstater där incidenten inträffade (artikel 73.1). Alla allvarliga incidenter som identifieras under testning under verkliga förhållanden ska också rapporteras till den nationella marknadskontrollmyndigheten i enlighet med artikel 73 (artikel 60.7). En allvarlig incident är enligt artikel 3.49 en incident eller ett fel i ett AI-system som direkt eller indirekt orsakar något av följande: a) Dödsfall eller allvarlig skada på en persons hälsa. b) En allvarlig och oåterkallelig störning av förvaltningen eller driften av kritisk infrastruktur. c) Åsidosättande av skyldigheter enligt unionsrätten avsedda att skydda grundläggande rättigheter. d) Allvarlig skada på egendom eller på miljön. Leverantören ska rapportera allvarliga incidenter omedelbart eller inom vissa tidsramar beroende på incidentens natur och allvar (artikel 73.2–4). En preliminär rapport kan i vissa situationer lämnas in först, följd av en fullständig rapport (artikel 73.5). Efter rapporter- ingen ska leverantören utföra vissa utredningar och samarbeta med behöriga myndigheter, och i förekommande fall med det berörda 377 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 anmälda organet, utan att ändra AI-systemet på vissa sätt innan myndigheterna har underrättats (artikel 73.6). Efter att ha mottagit en underrättelse om en allvarlig incident, ska marknadskontrollmyndigheten informera relevanta nationella myn- digheter eller organ enligt artikel 77.1 (artikel 73.7). Marknadskon- trollmyndigheten ska vidta lämpliga åtgärder enligt artikel 19 i EU:s marknadskontrollförordning inom viss tid och ska följa de underrätt- elseförfaranden som föreskrivs i den förordningen (artikel 73.8). För AI-system med hög risk som avses i bilaga III och som om- fattas av likvärdiga rapporteringsskyldigheter enligt unionslagstift- ning, ska anmälan av allvarliga incidenter begränsas till dem som avses i artikel 3.49 c (artikel 73.9). För AI-system med hög risk som utgör säkerhetskomponenter i enheter, eller som själva är enheter, enligt MDR- och IVDR-förord- ningarna, ska anmälan av allvarliga incidenter göras till den nationella behöriga myndigheten som utsetts för detta ändamål av de medlems- stater där incidenten inträffade (artikel 73.10). Nationella behöriga myndigheter ska omedelbart underrätta kom- missionen om alla allvarliga incidenter enligt artikel 20 i EU:s mark- nadskontrollförordning (artikel 73.11). Kommissionen ska utarbeta särskild vägledning för att underlätta fullgörandet av de skyldigheter som anges i punkt 1 i artikel 73. Dessa riktlinjer ska utfärdas senast den 2 augusti 2025 och ska be- dömas regelbundet (artikel 73.7). Vid sammanställning av detta be- tänkande har sådana riktlinjer ännu inte publicerats av kommissionen. Den samordnande marknadskontrollmyndigheten bör kunna meddela föreskrifter om incidentrapporteringen Utredningen bedömer att det för närvarande framstår som oklart för leverantörerna till vilka myndigheter de ska ge in sina incident- rapporter och hur denna incidentrapportering ska genomföras i praktiken. Eftersom kommissionen ska utarbeta en särskild vägled- ning för att underlätta fullgörandet av de skyldigheter som anges i artikel 73.1 bedömer dock utredningen att det i nuläget inte bör in- föras några kompletterande bestämmelser om leverantörers eller potentiella leverantörers incidentrapportering enligt artikel 73, eller om marknadskontrollmyndigheternas rapporteringsskyldigheter med anledning av dessa enligt artikel 73.7 och 73.10 i AI-förordning. Be- 378 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor roende på hur kommissionens vägledning utformas bör det dock finnas en möjlighet att i nationell rätt närmare reglera hur incident- rapporteringen ska hanteras. Utredningen föreslår att det ska lösas genom att PTS – i egenskap av samordnande marknadskontrollmyn- dighet – ges rätt att meddela föreskrifter om incidentrapportering enligt artikel 73 i AI-förordningen. Innan föreskrifterna meddelas bör PTS ge övriga marknadskontrollmyndigheter tillfälle att yttra sig. Detta bör regleras på så sätt att kompletteringslagen ska innehålla en bestämmelse om att regeringen eller den myndighet som reger- ingen bestämmer får meddela föreskrifter om incidentrapportering enligt artikel 73 i AI-förordningen. Kompletteringsförordningen bör vidare innehålla en bestämmelse om att PTS får meddela sådana före- skrifter och att övriga marknadskontrollmyndigheter ska få tillfälle att yttra sig innan föreskrifterna meddelas. För hanteringen av incidentrapporteringen behövs också överväg- anden om offentlighet och sekretess. Sådana överväganden görs i avsnitt 9.9.6. 9.6.2 Verkställighetsföreskrifter Utredningens förslag: Kompletteringslagen ska innehålla en be- stämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela verkställighetsföreskrifter. Kompletteringsförordningen ska innehålla en bestämmelse om att PTS får meddela föreskrifter om verkställigheten av AI-förord- ningen, kompletteringslagen och kompletteringsförordningen. I 8 kap. 7 § regeringsformen finns de huvudsakliga bestämmelserna om det område där regeringen utan delegering får meddela före- skrifter, dvs. regeringens primärområde. Hit hör föreskrifter om verkställighet av lag samt föreskrifter som inte enligt grundlag ska meddelas av riksdagen, den s.k. restkompetensen. Med verkställighetsföreskrifter avses dels tillämpningsföreskrifter av administrativt slag, dels föreskrifter som kompletterar en lag utan att tillföra den något väsentligt nytt. I verkställighetsföreskrifter får det inte ingå sådant som kan uppfattas som en ny skyldighet för en- skilda eller som ett nytt ingrepp i enskildas personliga eller ekono- miska förhållanden. Regeringen får i enlighet med 8 kap. 11 § reger- 379 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 ingsformen delegera normgivningsmakten inom sitt primärområde till en myndighet under regeringen eller riksdagen.17 Det kan finnas ett behov att meddela verkställighetsföreskrifter för att flera av bestämmelserna i kompletteringslagen och komplet- teringsförordningen i praktiken ska kunna tillämpas. Utredningen bedömer därför att PTS – i egenskap av samordnande marknads- kontrollmyndighet – bör ges rätt att meddela sådana föreskrifter. Ett sådant generellt mandat efterliknar PTS möjligheter att lämna verkställighetsföreskrifter i förordningen om vissa produkters och tjänsters tillgänglighet.18 Utredningen föreslår därför att PTS ska få meddela föreskrifter om verkställigheten av AI-förordningen, kompletteringslagen och kompletteringsförordningen och att det ska anges i kompletterings- förordningen. Förslaget innebär alltså ett generellt mandat för PTS att meddela verkställighetsföreskrifter inom detta område. Upplys- ningsvis bör det även anges i kompletteringslagen att regeringen eller den myndighet som regeringen bestämmer kan meddela verkställig- hetsföreskrifter. 9.7 Uppgifter för andra marknadskontrollmyndigheter 9.7.1 Rapporteringsskyldigheter Rapporteringsskyldighet till Europeiska centralbanken Utredningens förslag: Kompletteringsförordningen ska innehålla en bestämmelse om att Finansinspektionen är ansvarig för rapport- ering till Europeiska centralbanken enligt artikel 74.7 andra stycket i AI-förordningen. Nationella marknadskontrollmyndigheter som utövar tillsyn över reglerade kreditinstitut reglerade enligt direktiv 2013/36/EU19 och som deltar i den gemensamma tillsynsmekanism som inrättats genom 17 Gröna boken, Riktlinjer för författningsskrivning (Ds 2014:1), s. 11. 18 34 § i förordningen om vissa produkters och tjänsters tillgänglighet. 19 Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut och värdepappers- företag, om ändring av direktiv 2002/87/EG och om upphävande av direktiv 2006/48/EG och 2006/49/EG. 380 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor SSM-förordningen20, ska utan dröjsmål till Europeiska centralbanken rapportera all information som identifierats i samband med deras marknadskontroll och som kan vara av potentiellt intresse för Euro- peiska centralbankens tillsynsuppgifter enligt den förordningen (arti- kel 74.7 andra stycket). Det är Finansinspektionen som utövar tillsyn över kreditinstitut som omfattas av direktiv 2013/36/EU. Det är också Finansinspek- tionen som deltar i den gemensamma tillsynsmekanism som inrättats genom SSM-förordningen.21 Utredningen har föreslagit att Finansinspektionen ska utses till marknadskontrollmyndighet beträffande AI-system med hög risk som är avsedda att användas för att utvärdera fysiska personers kreditvärdighet eller fastställa deras kreditbetyg, med undantag för AI-system som används i syfte att upptäcka ekonomiska bedrägerier, inom myndighetens område för tillsyn, regelgivning, tillståndspröv- ning och registrering som rör finansiella marknader och finansiella företag (se avsnitt 6.5.6). Enligt utredningens bedömning får rapporteringsskyldigheten till den Europeiska centralbanken anses följa direkt av artikel 74.7 andra stycket. För att tydliggöra att det är Finansinspektionen som ska vara rapporteringsskyldig enligt artikel 74.7 andra stycket i AI- förordningen bör det dock anges i kompletteringsförordningen. Rapporteringsskyldighet enligt artikel 5.6 Utredningens förslag: Kompletteringsförordningen ska inne- hålla en bestämmelse om att IMY är ansvarig för rapportering till kommissionen enligt artikel 5.6 i AI-förordningen. AI-förordningen uppställer ett krav på att varje användning av AI- system för ansiktsigenkänning i realtid för brottsbekämpande ändamål på allmänt tillgängliga platser ska anmälas till den berörda nationella marknadskontrollmyndigheten och att den nationella dataskydds- myndigheten årligen ska rapportera till kommissionen om använd- ningen (artikel 5.4 och 5.6). 20 Rådets förordning (EU) nr 1024/2013 av den 15 oktober 2013 om tilldelning av särskilda uppgifter till Europeiska centralbanken i fråga om politiken för tillsyn över kreditinstitut. 21 Se bl.a. 1 § förordningen (2023:910) med instruktion för Finansinspektionen. 381 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 I förslaget till förordning om användning av AI-system för ansikts- igenkänning i realtid för brottsbekämpande ändamål, i promemorian Polisens användning av AI för ansiktsigenkänning i realtid (Ds 2025:7), anges att anmälan enligt artikel 5.4 ska göras till IMY.22 I nu aktuell utredning föreslås också att IMY ska vara marknadskontrollmyndig- het med ansvar för artikel 5 (se avsnitt 6.7) och IMY är nationell dataskyddsmyndighet i Sverige. Det följer således uttryckligen av förslagen i promemorian Polisens användning av AI för ansiktsigenkänning i realtid (DS 2025:7) att anmälan enligt artikel 5.4 ska göras till IMY. Det följer även indirekt av utredningens förslag i detta betänkande. Med detta följer även att det är IMY som ska ansvara för rapporteringsskyldigheten enligt artikel 5.6. För att tydliggöra att det är IMY som ska vara rapport- eringsskyldig enligt artikel 5.6 i AI-förordningen bör det dock anges i kompletteringsförordningen. Övrig rapporteringsskyldighet inom marknadskontrollverksamheten Utredningens bedömning: Det behövs inga kompletterande be- stämmelser om marknadskontrollmyndigheternas rapporterings- skyldigheter enligt artikel 74.2 i AI-förordningen och artikel 34.4 i EU:s marknadskontrollförordning. Eventuella oklarheter kring vilken myndighet som ska ansvara för vilken rapportering i övrigt bör kunna hanteras inom den före- slagna samordningsfunktionen. Som en del av sina rapporteringsskyldigheter enligt artikel 34.4 i EU:s marknadskontrollförordning ska marknadskontrollmyndigheterna årligen rapportera till kommissionen och berörda nationella konkur- rensmyndigheter all information som framkommit i samband med marknadskontrollen och som kan vara av potentiellt intresse för tillämpningen av EU:s konkurrenslagstiftning. De ska också årligen rapportera till kommissionen om användning inom förbjudna använd- ningsområden som ägt rum det året och om de åtgärder som vidtagits (artikel 74.2). 22 4 § i förslag till förordning om användning av AI-system för ansiktsigenkänning i realtid för brottsbekämpande ändamål. 382 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor I sektorslagarna till de unionsrättsakter som omfattas av EU:s marknadskontrollförordning finns inga uttryckliga bestämmelser om marknadskontrollmyndigheternas rapporteringsskyldigheter enligt artikel 34 i EU:s marknadskontrollförordning. Det finns inte heller några bestämmelser om dessa rapporteringsskyldigheter i marknadskontrollmyndigheternas instruktion. Enligt utredningen får det anses bero på att artikel 34 i EU:s marknadskontrollförord- ning är direkt tillämplig. Enligt utredningen är rapporteringsskyldig- heten enligt artikel 74.2 i AI-förordningen också direkt tillämplig för respektive marknadskontrollmyndighet. Det finns därför inte anledning till att införa en nationell reglering av marknadskontroll- myndigheternas rapporteringsskyldigheter i dessa avseenden. Eventuella oklarheter kring vilken myndighet som ska ansvara för vilken rapportering i övrigt bör kunna hanteras inom samord- ningsfunktionen. Utredningen lämnar därför inget författnings- förslag i denna del. 9.7.2 Myndigheter som bör ingå i marknadskontrollrådet Utredningens bedömning: Alla marknadskontrollmyndigheter enligt AI-förordningen bör ingå i marknadskontrollrådet. IMY och Finansinspektionen bör tas upp som statliga myndigheter som ingår i marknadskontrollrådet i bilagan till förordningen om marknadskontroll av varor och annan närliggande tillsyn. Marknadskontrollrådet har i Sverige en central roll för frågor om marknadskontroll. Så bör alltjämt vara fallet även i förhållande till frågor som berör AI-förordningen, även om utredningen i ovan- stående avsnitt föreslår viss särreglering av samordning inom AI- förordningen. Av 6 § förordningen om marknadskontroll av varor och annan närliggande tillsyn framgår att marknadskontrollrådet består av de statliga myndigheter som anges i bilagan till förordningen. Alla marknadskontrollmyndigheter som utredningen föreslår ska ha ett ansvar enligt AI-förordningen ingår redan i dagsläget i marknadskontrollrådet och är upptagna i bilagan, förutom IMY och Finansinspektionen. För att marknadskontrollrådet alltjämt ska ha den centrala rollen det har bedömer utredningen att det är 383 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 viktigt att även frågor om AI-förordningen kan hanteras inom mark- nadskontrollrådet. För att så ska kunna ske på ett effektivt sätt bör samtliga myndigheter som har ett ansvar som marknadskontroll- myndighet enligt AI-förordningen också ingå i rådet. Det är därför lämpligt att även IMY och Finansinspektionen ingår i rådet. Utredningen bedömer sammantaget att alla myndigheter enligt AI-förordningen bör ingå i marknadskontrollrådet och att IMY och Finansinspektionen därför bör tas upp som statliga myndigheter som ingår i marknadskontrollrådet i bilagan till förordningen om marknadskontroll av varor och annan närliggande tillsyn. 9.8 Samverkan med myndigheter som inte är nationella behöriga myndigheter 9.8.1 Samverkan med myndigheter som avses i artikel 77.1 Utredningens bedömning: Det krav på samverkan som AI-förord- ningen uppställer mellan marknadskontrollmyndigheterna och myndigheterna som omfattas av artikel 77.1 går längre än vad som gäller enligt FL. Att myndigheterna ska samverka och utbyta infor- mation följer dock direkt av AI-förordningen och det behöver där- för inte regleras särskilt i nationell rätt. I kapitel 8 har utredningen närmare utvecklat resonemangen om vilka myndigheter som avses i artikel 77.1. Utredningen bedömer i avsnitt 8.5.3 att regeringen bör ha ansvaret för att bedöma vilka myn- digheter som avses i artikel 77.1 samt uppdatera och offentliggöra den förteckning som AI-förordningen anger ska finnas över myn- digheterna. Enligt utredningen bör DO, IMY, JK, JO och Säkerhets- och integritetsskyddsnämnden tas upp i förteckningen. Som utredningen har redogjort för i avsnitt 9.3 innebär bestäm- melserna om samverkan i FL och myndighetsförordningen en generell samverkansskyldighet, som dock inte är obegränsad. Samverkans- kraven i FL och myndighetsförordningen ställer inga konkreta krav på att tillfrågade myndigheter ska vidta egna utredningsåtgärder eller på annat sätt förbinda sig att vara stöd i handläggningen av ett ärende hos en annan myndighet. Som artikel 77.3 i AI-förordningen är formulerad uppfattar dock utredningen att det finns ett krav på att 384 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor marknadskontrollmyndigheterna ska vidta egna utredningsåtgärder eller på annat sätt förbinda sig till att vara stöd i handläggningen vid tillsynsärenden hos myndigheterna som omfattas av artikel 77.1. Av artikel 77.3 framgår att [o]m den dokumentation som avses i punkt 1 är otillräcklig för att fast- ställa huruvida ett åsidosättande av skyldigheter enligt unionsrätt om skydd av grundläggande rättigheter har ägt rum, får den offentliga myn- dighet eller det offentliga organ som avses i punkt 1 lämna en motiverad begäran till marknadskontrollmyndigheten om organisering av testning av AI-systemet med hög risk genom tekniska medel. Marknadskontroll- myndigheten ska organisera testningen i nära samarbete med den begär- ande offentliga myndigheten eller det begärande offentliga organet inom rimlig tid efter begäran. Av artikeln framgår således uttryckligen att marknadskontrollmyndig- heterna ska organisera testningen i nära samarbete med den begärande offentliga myndigheten eller det begärande offentliga organet inom rimlig tid efter begäran. Bestämmelsen är direkt tillämplig och det be- hövs därför inga nationella bestämmelser som ytterligare reglerar det. I artikel 79.2 (som berör förfaranden för att hantera AI-system som utgör en risk på nationell nivå) anges vidare att om risker för grundläggande rättigheter identifieras vid ett sådant förfarande ska marknadskontrollsmyndigheten omedelbart informera och till fullo samarbeta med myndigheterna som avses i artikel 77.1. Detta utgör en uppgiftsskyldighet och en samverkansskyldighet som framgår uttryckligen av AI-förordningen. Bestämmelsen är direkt tillämplig och några ytterligare nationella bestämmelser behövs därför inte heller beträffande denna samverkansskyldighet. 9.8.2 Samverkan med andra myndigheter Utredningens bedömning: Befintliga regelverk är tillräckliga för att i övrigt uppfylla behovet av samverkan med myndigheter utanför systemet för marknadsövervakning och kontroll enligt AI-förordningen. I myndighetensförordningen anges att en myndighet ska verka för att genom samarbete med myndigheter och andra ta till vara de för- delar som kan vinnas för enskilda samt för staten som helhet. Som 385 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 utredningen flera gånger har framhållit i detta kapitel kommer en hög grad av samordning och samverkan vara nödvändig för myndig- heterna som får ansvar inom AI-förordningen. Inom ramen för kontroll av efterlevnad enligt AI-förordningen kommer nationella behöriga myndigheter också att behöva rådgöra med andra myndigheter som inte är marknadskontrollmyndigheter eller anmälande myndigheter. Exempelvis kan marknadskontrollmyn- digheterna behöva samverka med s.k. sektorsmyndigheter som har tillsyn över ett område som ligger nära marknadskontrollansvaret. I kapitel 6 har utredningen närmare gått igenom sådana myndigheter. Samverkanskraven i FL och i myndighetsförordningen utgör underlag för andra myndigheter att, på begäran, agera som expert eller inta en rådgivande funktion inom sitt verksamhetsområde. De nationella behöriga myndigheterna ges därmed utrymme att vid behov inhämta kunskap och underlag som kan utgöra grund för en själv- ständig tillsyn. Utredningen bedömer därför att befintliga regelverk är tillräckliga för att i övrigt uppfylla behovet av samverkan med andra myndigheter. Genom de förslag som utredningen lämnar om den samordnande marknadskontrollmyndighetens roll att bl.a. agera som ingång för all- mänheten, säkerställs också möjligheten att skapa ytterligare former för samverkan när behovet uppstår i andra sammanhang, t.ex. i för- hållande till näringslivet. 9.9 Offentlighet och sekretess 9.9.1 Inledning I avsnitt 5.3.2 har utredningen närmare redogjort för kraven på konfi- dentialitet enligt artikel 78. Enligt artikeln ska kommissionen, mark- nadskontrollmyndigheterna, anmälda organ och alla andra fysiska eller juridiska personer som deltar i tillämpningen av AI-förordningen, i enlighet med unionsrätten eller nationell rätt, respektera konfidentia- liteten för den information och de data som de erhåller när de utför sina uppgifter och sin verksamhet på ett sådant sätt att de särskilt skyddar vissa i artikeln närmare angivna intressen. Beträffande de nationella behöriga myndigheterna, dvs. anmälande myndigheter och marknadskontrollmyndigheter, finns en upplysning om kravet på konfidentialitet även i artikel 70.5. I artikeln anges att 386 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor de nationella behöriga myndigheterna ska agera i enlighet med de kon- fidentialitetskrav som anges i artikel 78 när de utför sina uppgifter. I regel blir uppgifter som myndigheter får in, expedierar eller upp- rättar på annat sätt allmänna handlingar och därmed även som huvud- regel offentliga. För att uppgifterna ska kunna skyddas på så sätt att de inte ska behöva lämnas ut vid en eventuell begäran, krävs bestäm- melser om sekretesskydd. För att uppfylla kraven på konfidentialitet i AI-förordningen be- höver vissa uppgifter som myndigheter hanterar med anledning av regleringen enligt förordningen omfattas av sekretess. Sådana begräns- ningar av offentlighetsprincipen måste framgå i OSL eller, om det anses lämpligare i ett visst fall, i en lag till vilken OSL hänvisar. Utgångspunkten är således att det av OSL ska framgå alla fall då allmänna handlingar är hemliga. Om sekretessbehovet täcks av befintliga sekretessbestämmelser ska dessa som utgångspunkt användas och några nya bestämmelser inte införas. I nedanstående avsnitt analyserar utredningen om AI-förord- ningens bestämmelser i relation till utredningens förslag i detta kapitel samt kapitel 6 och 7 medför några behov av ändringar i OSL. I tillämpliga fall lämnar utredningen också förslag på sådana ändringar. 9.9.2 Sekretess för de nationella behöriga myndigheternas verksamhet Utredningens bedömning: Det bör införas en ny bestämmelse i bilagan till OSF som medför att sekretess enligt 9 § OSF gäller i verksamhet som består i utredning, tillståndsgivning och tillsyn enligt AI-förordningen och kompletteringslagen. Sekretessen bör inte gälla beslut i ärenden om marknadskon- troll och sekretessen enligt 9 § första stycket 1 OSF bör inte gälla om intresset av allmän kännedom om förhållande som rör männi- skors hälsa och säkerhet, miljön eller redligheten i handeln eller ett liknande allmänintresse har sådan vikt att uppgiften bör lämnas ut. 387 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 Kort om befintliga regelverk Enligt 30 kap. 23 § OSL gäller sekretess, i den utsträckning reger- ingen meddelar föreskrifter om det, i en statlig myndighets verk- samhet som består i utredning, planering, prisreglering, tillstånds- givning, tillsyn eller stödverksamhet med avseende på produktion, handel, transportverksamhet eller näringslivet i övrigt 1. för uppgift om en enskilds affärs- eller driftförhållanden, upp- finningar eller forskningsresultat, om det kan antas att den en- skilde lider skada om uppgiften röjs, och 2. för uppgift om andra ekonomiska eller personliga förhållanden än som avses i 1 för den som har trätt i affärsförbindelse eller liknande förbindelse med den som är föremål för myndighetens verksamhet. Vidare framgår att sekretessen för uppgift i en allmän handling gäller i högst tjugo år. De verksamheter som avses i paragrafen beskrivs – såvitt nu är av intresse – som utredning, planering, tillståndsgivning eller tillsyn. Ordet planering är närmast att uppfatta som en förtydligande utlägg- ning av termen utredning. Tillståndsgivning och tillsyn motsvarar det område som i 1937 års sekretesslag beskrevs med ordet ”kontroll”. Tillsyn ska inte ges en alltför snäv tolkning utan får anses omfatta alla de fall där en myndighet har en övervakande eller styrande funk- tion i förhållande till näringslivet.23 Enligt paragrafen krävs det en föreskrift från regeringen för att sekretessen ska gälla. Föreskrifterna finns i 9 § OSF. Den paragrafen hänvisar vidare till bilagan till OSF. Sekretess för uppgifter i de anmälande myndigheternas verksamhet Beträffande anmälande myndigheter finns en särskild bestämmelse i artikel 28.6 i AI-förordningen som anger att anmälande myndig- heter ska säkerställa att den information som de erhåller behandlas konfidentiellt, i enlighet med artikel 78. Ansökningar från organ för bedömning av överensstämmelse kan bl.a. innehålla uppgifter 23 Prop. 1979/80:2 Del A, s. 235, se även bl.a. prop. 2022/23:41, s. 51. 388 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor om enskildas affärs- och driftsförhållanden. Även inom ramen för tillsynen kan det komma fram sådana uppgifter. Det kan därför finnas behov av sekretess i den anmälande myndighetens verksamhet. Närmare om Swedac Swedacs verksamhet styrs – såvitt nu är av intresse – av lagen (2011:791) om ackreditering och teknisk kontroll. Av bilagan till OSF framgår i punkt 12 att sekretess gäller i verk- samhet som består i utredning, tillståndsgivning och tillsyn enligt lagen om ackreditering och teknisk kontroll eller enligt motsvarande äldre föreskrifter. Sekretessen enligt 9 § första stycket 1 gäller dock inte för uppgifter i tillsynsverksamheten, om intresset av allmän kännedom om förhållande som rör människors hälsa, miljön eller redligheten i handeln eller ett liknande allmänintresse har sådan vikt att de bör lämnas ut. Swedacs befogenhet som anmälande myndighet enligt lagen om ackreditering och teknisk kontroll omfattar även att Swedac är an- mälande myndighet enligt AI-förordningen (se närmare i kapitel 7). Det behövs därför inget tillägg i bilagan till OSF beträffande Swedacs utredning, tillståndsgivning och tillsyn enligt AI-förordningen. Närmare om Läkemedelsverket Läkemedelsverkets verksamhet styrs i nu relevanta delar bl.a. av lagen (2021:600) med kompletterande bestämmelser till EU:s för- ordningar om medicintekniska produkter. Av bilagan till OSF framgår i punkt 33 att verksamhet som består i utredning, tillståndsgivning och tillsyn enligt lagen med kompletter- ande bestämmelser till EU:s förordningar om medicintekniska pro- dukter samt utredning, tillståndsgivning och tillsyn enligt EU:s för- ordningar om medicintekniska produkter omfattas av sekretess enligt 30 kap. 23 § OSL. I kolumnen för särskilda begränsningar i sekretessen anges – beträffande hela punkten 33 som även omfattar annan verksamhet – att sekretessen enligt 9 § första stycket 1 inte gäller för uppgifter i tillsynsverksamheten över produktsäkerheten hos varor som är av- sedda för konsumenter eller kan antas komma att användas av konsu- 389 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 menter eller för uppgifter i verksamheten med utredning, tillstånds- givning och tillsyn som avser kliniska prövningar, om intresset av allmän kännedom om förhållande som rör risk för skada på person eller djur har sådan vikt att uppgiften bör lämnas ut. Sekretessen enligt 9 § första stycket 1 gäller inte heller för uppgifter i tillsynsverksam- heten av MDR-förordningen, av IVDR-förordningen och kommis- sionens beslut 2010/227/EU och av kommissionens genomförande- förordning (EU) 2020/1207 av den 19 augusti 2020 om tillämpnings- föreskrifter för MDR-förordningen vad gäller gemensamma specifika- tioner för reprocessing av engångsprodukter, om intresset av allmän kännedom om förhållande som rör människors hälsa, miljön eller redligheten i handeln eller ett liknande allmänintresse har sådan vikt att uppgiften bör lämnas ut. Sekretessen enligt 9 § första stycket 1 gäller inte heller för uppgifter som ska offentliggöras enligt 2 kap. 18 § läkemedelsförordningen (2015:458). Punkten 33 i bilagan omfattar alltså bl.a. Läkemedelsverket verk- samhet som anmälande myndighet enligt EU:s förordningar om medicintekniska produkter. Läkemedelsverket har inte ett sådant generellt mandat som Swedac när det gäller att vara anmälande myn- dighet (se närmare kapitel 7). Läkemedelsverkets föreslagna roll som anmälande myndighet enligt AI-förordningen är relaterad till EU:s förordningar om medicintekniska produkter, men ansvaret har sin grund i AI-förordningen. Beträffande Läkemedelsverkets ut- redning, tillståndsgivning och tillsyn enligt AI-förordningen – i fråga om att vara anmälande myndighet – behövs därför ett tillägg i bilagan till OSF. Sekretess för uppgifter i marknadskontrollmyndigheternas verksamhet Beträffande marknadskontrollmyndigheters verksamhet finns en bestämmelse i artikel 74.14 i AI-förordningen som anger att all information eller dokumentation som har erhållits av marknads- kontrollmyndigheter ska behandlas i enlighet med de krav på konfi- dentialitet som anges i artikel 78. EU:s marknadskontrollförordning ska enligt artikel 74.1 i AI- förordningen tillämpas på AI-system som omfattas av AI-förord- ningen. I bilagan till OSF framgår i punkten 151 att sekretess gäller i verksamhet som består i marknadskontroll enligt EU:s marknads- 390 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor kontrollförordning, med undantag för beslut i ärenden eller om intresset av allmän kännedom om förhållande som rör människors hälsa och säkerhet, miljön eller redligheten i handeln eller ett liknande allmänintresse har sådan vikt att uppgiften bör lämnas ut. I förhåll- ande till sådan verksamhet krävs således inga ändringar i sekretess- lagstiftningen. AI-förordningen innehåller dock några bestämmelser som skiljer sig från EU:s marknadskontrollförordning. I artikel 74.5, 74.12 och 74.13 finns nämligen bestämmelser om ytterligare befog- enheter vid marknadskontrollen enligt AI-förordningen (se närmare i avsnitt 10.2.2). Uppgifter som marknadskontrollmyndigheterna får enligt dessa artiklar och i övriga delar vid utövandet av sina uppgifter enligt AI-förordningen bör få ett sekretesskydd. De befogenheter som framgår av artiklarna rör en myndighets utredning, planering, tillståndsgivning, tillsyn eller stödverksamhet och träffas därmed av 30 kap. 23 § OSL. Uppgifterna kan således få ett skydd genom att regeringen föreskriver ett sådant, vilket bör ske i OSF och bilagan till den förordningen. Ett tillägg till bilagan som omfattar verksamhet som består i utredning, tillståndsgivning och tillsyn enligt komplet- teringslagen och AI-förordningen träffar marknadskontrollmyndig- heternas verksamhet enligt AI-förordningen. Sekretess när IMY ska fungera som anmält organ IMY ska fungera som anmält organ i vissa situationer enligt arti- kel 43.1 tredje stycket i AI-förordningen. Utredningen har närmare redogjort för detta i kapitel 7. Att IMY ska ha den uppgiften följer direkt av AI-förordningen och är kopplat till myndighetens roll som marknadskontrollmyndighet. Verksamheten rör utredning, planering, tillståndsgivning, tillsyn eller stödverksamhet och träffas därmed av 30 kap. 23 § OSL. För att tillförsäkra ett fullgott och enhetligt sekretesskydd bör även IMY:s verksamhet när myndigheten fungerar som anmält organ omfattas av sekretess. Ett tillägg till bilagan i OSF som omfattar verk- samhet som består i utredning, tillståndsgivning och tillsyn enligt kompletteringslagen och AI-förordningen träffar även denna verk- samhet. 391 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 Begränsning av sekretessen Allmänhetens intresse av att få ta del av marknadskontrollmyndig- heternas beslut är så starkt att besluten bör undantas från sekretess. Enligt artikel 17 i EU:s marknadskontrollförordning ska sekretessen också begränsas i syfte att skydda slutanvändarnas intressen. Mark- nadskontrollmyndigheternas beslut bör därför undantas från sekre- tesskyddet. Vidare bör uppgifter om förhållanden som rör människors hälsa och säkerhet, miljön eller redligheten i handeln lämnas ut om intresset av allmän kännedom har sådan vikt att de bör lämnas ut.24 En sådan begränsning av sekretessen efterliknar befintlig svensk reglering på marknadskontrollområdet.25 Denna begränsning bör gälla i förhållande till samtliga ovan nämnda aktörers verksamhet. 9.9.3 Sekretessbrytande bestämmelser Utredningens bedömning: För att marknadskontrollmyndighet- erna enligt AI-förordningen ska kunna samverka på ett sådant sätt som utredningen föreslår behövs sekretessbrytande bestäm- melser i vissa avseenden. OSL tillgodoser kraven på utlämnande av uppgifter från de nationella behöriga myndigheterna till andra medlemsstater och till kommissionen. Utredningens förslag: Kompletteringsförordningen ska innehålla en bestämmelse om att en marknadskontrollmyndighet ska lämna en uppgift till en annan marknadskontrollmyndighet om uppgiften behövs hos myndigheten i egenskap av samordnande marknads- kontrollmyndighet, gemensam kontaktpunkt eller för marknads- kontroll enligt AI-förordningen, kompletteringslagen eller före- skrifter som har meddelats i anslutning till lagen. 24 Jfr resonemang i kompletterande promemoria till betänkandet Enhetlig och effektiv marknads- kontroll (SOU 2020:49) – förslag till förordningsändringar del 2, s. 197. 25 Jfr resonemang i SOU 2020:49, s. 404. Jfr även förslag i Nya regler om cybersäkerhet (SOU 2024:18), s. 68 samt Motståndskraft i samhällsviktiga tjänster (SOU 2024:64), s. 268 beträffande undantag för beslut i ärenden i verksamhet som består i tillsyn och utredning enligt de föreslagna kompletteringslagarna till NIS 2- och CER-direktiven. 392 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor Uppgiftsdelning mellan marknadskontrollmyndigheter Sekretess gäller enligt OSL som huvudregel även i förhållande till andra myndigheter. Det innebär bl.a. att sekretess enligt 30 kap. 23 § OSL, som utredningen har redogjort för i avsnitt 9.9.2, även gäller i förhållande till andra marknadskontrollmyndigheter. Enligt general- klausulen i 10 kap. 27 § första stycket OSL får en sekretessbelagd upp- gift dock lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekre- tessen ska skydda. Därtill finns bestämmelsen om s.k. nödvändigt utlämnande i 10 kap. 2 § OSL. Enligt den sistnämnda bestämmel- sen får en myndighet, trots att sekretess gäller för en uppgift, lämna uppgiften till en annan myndighet om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestäm- melsen i 10 kap. 2 § OSL ska tillämpas restriktivt.26 Kraven för att tillämpa 10 kap. 27 § OSL är därtill högt ställda och utlämnanden med stöd av generalklausulen får inte ske slentrianmässigt.27 Av 10 kap. 28 § OSL framgår därtill att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Marknadskontrollmyndigheter har i dagsläget en möjlighet att utbyta information genom den uppgiftsskyldighet som framgår av 13 a § förordningen om marknadskontroll av varor och annan när- liggande tillsyn. Uppgiftsskyldigheten utgör en sekretessbrytande bestämmelse enligt 10 kap. 28 § OSL. Förordningen om marknads- kontroll av varor och annan närliggande tillsyn kompletterar bl.a. EU:s marknadskontrollförordning, och i bestämmelsen anges att marknadskontrollmyndigheter ska lämna de uppgifter till varandra som behövs för att de ska kunna utföra sin marknadskontroll enligt EU:s marknadskontrollförordning. AI-förordningen innehåller dock ytterligare befogenheter som marknadskontrollmyndigheterna kan använda sig av (se avsnitt 10.2.2) och bestämmelser om informationsutbyte i AI-förordningen ställer krav på att en svensk marknadskontrollmyndighet ska kunna lämna relevant information till andra myndigheter utan hinder av sekretess. Eftersom utredningen föreslår att flera myndigheter ska ansvara för marknadskontroll enligt AI-förordningen och deras ansvarsområden 26 Prop. 1979/80:2 Del A, s. 465 och 494. 27 Se t.ex. JO:s beslut 2013/14, s. 230. 393 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 i vissa fall är överlappande, måste myndigheterna ha möjlighet att samarbeta på ett fullgott sätt. Utredningen har i nu aktuellt kapitel därtill lämnat förslag om samordning och samverkan som går utöver den reglering som följer av AI-förordningen, och som kräver att marknadskontrollmyndigheterna enligt AI-förordningen även ska kunna utbyta information för att samordna och samverka. Myndigheterna kommer enligt utredningens förslag att behöva ut- byta information för att samordna överlappande marknadskontroll- ärenden (se avsnitt 9.5.2). Myndigheterna kommer att behöva lämna information till den samordnande marknadskontrollmyndigheten för att denna ska kunna utföra sitt uppdrag, bl.a. i fråga om att stödja andra marknadskontrollmyndigheter (se avsnitt 9.5.3) samt för att sammanställa innehållet i en rapport enligt artikel 99.1 i AI-förord- ningen (se avsnitt 9.5.5). Den samordnande marknadskontrollmyn- digheten kan i sin roll som gemensam kontaktpunkt även förväntas behöva förmedla information till övriga marknadskontrollmyndig- heter från kommissionen och andra medlemsländer. De föreslagna marknadskontrollmyndigheterna enligt AI-förord- ningen kommer inte att kunna utbyta uppgifter i alla avseenden som tas upp ovan med stöd av 13 a § förordningen om marknadskontroll av varor och annan närliggande tillsyn. När en sekretessbestämmelse är tillämplig ger generalklausulen i 10 kap. 27 § OSL i och för sig visst utrymme för överlämnande av sekretessbelagda uppgifter mellan marknadskontrollmyndigheter. Den bestämmelsen fordrar dock en tämligen noggrann prövning innan varje utlämnande sker och ska inte tillämpas i tveksamma fall. Enligt utredningens bedömning är generalklausulen därför inte tillräcklig för att säkerställa ett effektivt samarbete mellan de svenska marknadskontrollmyndigheterna. Be- stämmelsen i 10 kap. 2 § OSL ska som tidigare nämnts därtill tillämpas restriktivt. Ett rutinmässigt utbyte av sekretessbelagda uppgifter mellan myndigheter bör i regel vara särskilt författningsreglerat.28 I aktuellt fall kan förutses att marknadskontrollmyndigheterna ofta kommer att behöva utbyta information. Intresset av sekretesskydd för uppgifter om operatörer och andra enskilda övervägs här av det starka behovet av att vid marknads- kontrollverksamhet kunna få del av relevanta uppgifter från andra marknadskontrollmyndigheter. Utredningen bedömer därför att det behöver införas en ny uppgiftsskyldighet som specifikt berör mark- 28 Jfr prop. 1979/80:2 Del A, s. 326 och 327. 394 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor nadskontrollmyndigheterna enligt AI-förordningen. I linje med hur regleringen ser ut i produktlagstiftningen på andra områden före- slår utredningen att bestämmelsen om uppgiftsskyldighet tas in på förordningsnivå. Utredningen föreslår mot denna bakgrund att det införs en be- stämmelse i kompletteringsförordningen om att en marknadskon- trollmyndighet ska lämna uppgift till en annan marknadskontroll- myndighet om uppgiften behövs hos myndigheten i egenskap av samordnande marknadskontrollmyndighet, gemensam kontaktpunkt eller för marknadskontroll enligt AI-förordningen, lagen med kom- pletterande bestämmelser till AI-förordningen eller föreskrifter som har meddelats i anslutning till den lagen. Utformningen av bestämmelsen syftar till att möjliggöra för att den ska kunna användas både när en utlämnande myndighet har uppmärksammat ett informationsbehov hos en annan marknads- kontrollmyndighet och efter begäran från en marknadskontroll- myndighet till en annan sådan myndighet. Med begreppet marknads- kontroll bör vidare avses all verksamhet som bedrivs i egenskap av marknadskontrollmyndighet. Det finns tillräckliga sekretessbrytande bestämmelser i förhållande till andra medlemsstater och kommissionen Sekretess gäller enligt 8 kap. 3 § OSL som utgångpunkt mot utländska myndigheter och mellanfolkliga organisationer. I AI-förordningen finns bestämmelser om att anmälande myndigheter i vissa avseenden ska lämna information till kommissionen. Den anmälande myndig- heten ska bl.a. på begäran ge kommissionen all relevant information om anmälan eller upprätthållandet av det berörda anmälda organets kompetens (artikel 37.2). I AI-förordningen finns också bestämmelser om att marknads- kontrollmyndigheterna i vissa avseenden ska utlämna information till myndigheter i andra medlemsstater, kommissionen eller andra europeiska organ. Bl.a. finns sådana bestämmelser i artikel 75. Om en marknadskontrollmyndighet bedömer att ett AI-system för all- männa ändamål som kan användas direkt av tillhandahållare för minst ett ändamål som klassificeras som AI-system med hög risk inte upp- fyller de krav som fastställs i AI-förordningen, ska den samarbeta med AI-byrån för att utföra bedömningar av överensstämmelse och 395 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 informera AI-styrelsen och andra marknadskontrollmyndigheter om detta (artikel 75.2). Om en marknadskontrollmyndighet inte kan slutföra sina utredningar av AI-system med hög risk på grund av att den inte fått tillgång till viss information avseende AI-modellen för allmänna ändamål, trots att den har vidtagit alla lämpliga åtgärder för att inhämta den informationen, får den lämna en motiverad begäran till AI-byrån, genom vilken tillgång till denna information ska verk- ställas. I detta fall ska AI-byrån utan dröjsmål, och under alla om- ständigheter inom 30 dagar, förse den begärande myndigheten med all information som AI-byrån anser vara relevant för att fastställa om ett AI-system med hög risk inte uppfyller kraven. Marknadskontroll- myndigheter ska i dessa fall säkerställa att den information som de erhåller i enlighet med artikel 78 behandlas konfidentiellt. Det för- farande som föreskrivs i kapitel VI i EU:s marknadskontrollförord- ning ska vidare gälla i tillämpliga delar (artikel 75.3). När det gäller utlämnande av uppgifter till utländska myndig- heter gäller kraven enligt 8 kap. 3 § OSL. Enligt den bestämmelsen får uppgift lämnas om det sker i enlighet med särskild föreskrift i lag eller förordning. I begreppet ”särskild föreskrift i lag eller för- ordning” inkluderas även föreskrifter i EU-förordningar. Utlämnande till myndigheter i andra medlemsstater, kommis- sionen eller andra europeiska organ kan således ske i de fall före- skrifter om informationsutbyte finns i AI-förordningen. Föreskrift- erna om informationsutbyte i AI-förordningen är tillräckligt tydliga. Något behov av nationella bestämmelser som reglerar möjligheten att utbyta information med kommissionen och andra medlemsstater finns därför inte. 9.9.4 Överföring av sekretess m.m. Utredningens bedömning: Det finns i övrigt tillräckligt sekre- tesskydd i OSL för uppgifter som hanteras inom de nationella be- höriga myndigheternas verksamhet. 396 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor Det finns inte behov av kompletterande bestämmelser om överföring av sekretess Enligt 10 kap. 17 § OSL hindrar sekretess inte att en uppgift lämnas till en myndighet, om uppgiften behövs där för tillsyn över eller revi- sion hos den myndighet där uppgiften förekommer. Sekretess gäller direkt hos de nationella behöriga myndigheterna enligt den primära sekretessbestämmelsen i 30 kap. 23 § OSL genom den föreslagna kompletterande bestämmelsen i 9 § OSF jämte bilagan. Den bestämmelsen ger ett brett skydd, även för uppgifter som över- förs från någon annan myndighet. Bestämmelsen i 30 kap. 23 § OSL gäller dock sekretess till skydd för enskild, dvs. inte till skydd för det allmänna. Sådana bestämmelser finns huvudsakligen i 15–20 kap. i OSL. Sekretessens föremål och räckvidd är olika i dessa bestäm- melser, innebärande att bestämmelserna i mer eller mindre omfatt- ning även kan komma att vara tillämpliga hos de nationella behöriga myndigheterna. T.ex. kan nämnas att utrikessekretessen i 15 kap. 1 § OSL är en primär sekretessbestämmelse som gäller inom hela den offentliga sektorn. Andra sekretessbestämmelser som skyddar det allmänna kan dock vara begränsade till viss verksamhet eller liknande. I normalfallet följer inte sekretessen med om en myndighet får en sekretessbelagd uppgift från en annan myndighet. I 11 kap. 1 § OSL finns dock en bestämmelse om överföring av sekretess, vid för- fattningsgrundad tillsyn och revision. Genom sekretessbestämmelsen möjliggörs ett fortsatt skydd för sekretessbelagda uppgifter hos en tillsynad myndighet, när den myndighet som utövar tillsynen tar del av dem. Vidare möjliggörs skydd för sekretessbelagda uppgifter som tillsynsmyndigheten inom ramen för tillsynen har inhämtat från någon annan myndighet än den som är föremål för tillsyn. Den verk- samhet som de nationella behöriga myndigheterna enligt AI-förord- ningen bedriver utgör en form av tillsyn (se närmare i avsnitt 9.9.2). Bestämmelsen kan därför tillämpas av de nationella behöriga myndig- heterna och säkerställer att känsliga uppgifter även efter överläm- nande, i den mån det inte redan finns någon primär sekretessbestäm- melse, skyddas av sekretess i tillräcklig utsträckning.29 29 Jfr dock resonemang om att det inte finns några bestämmelser om överföring av sekretess som är tillämpliga på marknadskontrollverksamhet i Kompletterande promemoria till betänk- andet Enhetlig och effektiv marknadskontroll (SOU 2020:49) – förslag till förordningsändringar del 2, s. 198. 397 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 När svenska myndigheter tar del av uppgifter från myndigheter i andra medlemsstater i syfte att ge sådana myndigheter bistånd eller genomföra gemensamma utredningar bör bestämmelsen i 17 kap. 1 § OSL vidare bli tillämplig för uppgifterna hos den svenska myndig- heten. Enligt den bestämmelsen gäller sekretess för uppgift om plan- läggning eller andra förberedelser för sådan inspektion, revision eller annan granskning som en myndighet ska göra, om det kan antas att syftet med granskningsverksamheten motverkas om uppgiften röjs. Det finns sammanfattningsvis inte något behov av några nya be- stämmelser om överföring av sekretess. Något om artikel 78.3 Utan att det påverkar tillämpningen av punkterna 1 och 2 i artikel 78 får information som på konfidentiell basis utbyts mellan de nationella behöriga myndigheterna eller mellan nationella behöriga myndigheter och kommissionen inte lämnas ut utan föregående samråd med den nationella behöriga myndighet som lämnat informationen och med tillhandahållaren när sådana AI-system med hög risk som avses i punkt 1, 6 eller 7 i bilaga III används av brottsbekämpande myndig- heter, gränskontrollmyndigheter, migrationsmyndigheter eller asyl- myndigheter, om ett sådant röjande skulle äventyra allmänna och nationella säkerhetsintressen. Detta informationsutbyte får inte om- fatta känsliga operativa uppgifter som rör brottsbekämpande myndig- heters, gränskontrollmyndigheters, migrationsmyndigheters eller asylmyndigheters verksamhet (artikel 78.3). Innehållet i artikeln innebär bl.a. att i det fall en myndighet avser att lämna ut konfidentiella uppgifter som den fått från en annan myn- dighet så ska den första myndigheten samråda med den andra myndig- heten – och i vissa fall tillhandahållaren – genom att inhämta den sistnämnda partens inställning till att uppgifterna lämnas ut, innan ett beslut fattas. Det är dock den utlämnande myndigheten som själv- ständigt har att fatta beslutet efter att ha beaktat alla aktuella om- ständigheter i relation till begäran. Detta kan även gälla i förhållande till utländska myndigheter och organ. I EU:s förordningar om medicintekniska produkter finns liknande bestämmelser om konfidentialitet med krav på föregående avstäm- ning (artikel 109.2 i MDR-förordningen och artikel 102.2 i IVDR- 398 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor förordningen). I förarbetena om kompletterande bestämmelser till dessa förordningar har regeringen bedömt att kraven på en föregående avstämning innan uppgifter lämnas ut kan beaktas inom ramen för en tillämpning av 15 kap. 1 a § OSL.30 Uppgifter inom EU-samarbetet kan ibland omfattas av sekretess enligt 15 kap. 1 a § OSL. Bestämmelsen omfattar bl.a. uppgifter som en myndighet har fått från ett utländskt organ på grund av en bind- ande EU-rättsakt eller som myndigheten har inhämtat i syfte att lämna dem till ett utländskt organ i enlighet med en sådan rättsakt. En ytterligare förutsättning för sekretessen är att det kan antas att Sveriges möjlighet att delta i det internationella samarbete som avses i rättsakten försämras om uppgiften röjs. Enligt förarbetena gäller sekretessen enligt 15 kap. 1 a § OSL dock bara om det finns en tydlig sekretessbestämmelse i den aktuella EU-rättsakten. Om så inte är fallet kommer en tillämpning av sekretessbestämmelserna normalt inte att aktualiseras även om en sådan inte utesluts av bestämmel- sernas ordalydelse.31 AI-förordningen innehåller inte några tydliga sekretessbestämmelser (artikel 78 om konfidentialitet hänvisar till unionsrätten eller nationell rätt). Därmed kommer 15 kap. 1 a § OSL i princip inte att bli tillämplig i relation till AI-förordningen. Utredningen bedömer dock att kraven på en föregående avstäm- ning innan uppgifter lämnas ut i aktuellt fall bör kunna beaktas inom ramen för en tillämpning av den s.k. utrikessekretessen i 15 kap. 1 § OSL. Enligt den bestämmelsen gäller sekretess om det kan antas att ett röjande av uppgiften stör Sveriges mellanfolkliga förbindelser eller på annat sätt skadar landet om uppgiften röjs. Kraven på en före- gående avstämning innan uppgifter lämnas ut bör i aktuellt fall även kunna beaktas inom ramen för en tillämpning av den s.k. försvars- sekretessen i 15 kap. 2 § OSL. Enligt den bestämmelsen gäller sekre- tess för uppgift som rör verksamhet för att försvara landet eller plan- läggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets för- svar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. Utredningen bedömer sammanfattningsvis att det inte behövs några kompletterande bestämmelser i nationell rätt för att hantera artikel 78.3 i AI-förordningen. 30 Prop. 2020/21:172, s. 257. 31 Prop. 2012/13:192, s. 35 och 44. 399 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 9.9.5 Tystnadsplikt för privata aktörer Utredningens förslag: Kompletteringslagen ska innehålla en bestämmelse om att den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i ett ärende om mark- nadskontroll enligt AI-förordningen inte får obehörigen röja eller utnyttja uppgift som han eller hon tagit del av i ett sådant ärende. I det allmännas verksamhet tillämpas OSL. Kompletteringslagen ska också innehålla en bestämmelse om att den som deltar i verksamhet som utförs av ett privat anmält organ i enlighet med AI-förordningen inte får obehörigen röja eller utnyttja det som han eller hon fått kännedom om under det att uppgifterna utfördes. I det allmännas verksamhet tillämpas OSL. Tystnadsplikt för privata aktörer inom marknadskontrollen AI-förordningen ger marknadskontrollmyndigheterna vissa befogen- heter att begära in uppgifter och vidta åtgärder inom ramen för sin kontroll. Inom ramen för befogenheterna kan myndigheterna få del av ett flertal olika uppgifter som rör en enskild eller en offentlig aktör som är föremål för tillsynen, bl.a. uppgifter om affärs- och driftför- hållanden och uppgifter om säkerhets- eller bevakningsåtgärder m.m. Inom ramen för befogenheterna kan myndigheterna också få del av uppgifter om personliga eller ekonomiska förhållanden om enskilda vars uppgifter används i AI-systemen och förekommer inom ramen för ärendet om marknadskontroll. Sådana uppgifter skyddas i det all- männas verksamhet, primärt av 30 kap. 23 § OSL (se även avsnitt 9.9.4 beträffande skyddet för det allmänna). Uppgifter som kommer fram vid marknadskontroll av AI-system kan behöva hanteras av andra än de som har anknytning till myndig- heten. Det kan gälla konsulter eller laboratoriepersonal m.fl. Sådana personer omfattas av ordalydelsen i artikel 78.1 (alla andra fysiska eller juridiska personer som deltar i tillämpningen av AI-förordning). För att marknadskontrollen ska fungera tillfredsställande är det av stor betydelse att operatörer känner förtroende för att de kan lämna uppgifter om sina ekonomiska förhållanden utan att känsliga upp- gifter riskerar att lämnas ut till obehöriga. För att uppfylla kraven på konfidentialitet i artikel 78 bedömer därför utredningen att det 400 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor bör införas en bestämmelse om tystnadsplikt för privata aktörer som deltar i marknadskontrollärenden. Att den föreslagna tystnadsplikten avgränsas med ett obehörighetsrekvisit innebär bl.a. att uppgifter kan lämnas ut med samtycke eller annars som en följd av en skyldighet i lag eller förordning. Liknande bestämmelser om tystnadsplikt infördes i samband med att kompletterande bestämmelser till EU:s marknadskontrollförord- ning infördes i svensk rätt. En liknande bestämmelse om tystnads- plikt – som även täcker in uppgifter om offentliga aktörer – finns t.ex. även i 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter. I förarbetena om kom- pletterande bestämmelser till EU:s marknadskontrollförordning har regeringen ansett att bestämmelser om tystnadsplikt för upp- gifter som inhämtats vid marknadskontroll kan anses förenliga med begränsningarna om yttrandefrihet i regeringsformen och Europa- konventionen.32 Samma skäl gör sig gällande även här. Utredningen föreslår därför att det ska införas en bestämmelse i kompletteringslagen som anger att den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i ett ärende om marknadskontroll enligt AI-förordningen inte obehörigen får röja eller utnyttja uppgift som han eller hon tagit del av i ett sådant ärende. Det bör även införas en upplysning om att OSL tillämpas i det all- männas verksamhet. Med ett ärende om marknadskontroll bör avses all verksamhet som bedrivs i egenskap av marknadskontrollmyndighet. Tystnadsplikt för anmälda organ Utredningen har i kapitel 3 och 7 översiktligt redogjort för anmälda organs uppgifter. Anmälda organ är i Sverige typiskt sett privat- rättsliga organ. Sådana organs hantering av uppgifter omfattas inte av OSL, eftersom den lagen, med vissa undantag, endast är tillämplig vid myndigheters hantering av handlingar. Vid utövandet av uppdraget som anmält organ enligt AI-förord- ningen ska organen ha infört dokumenterade förfaranden som ska säkerställa att deras personal, kommittéer, dotterbolag, underentre- 32 Prop. 2021/22:238, s. 18. Se även prop. 2019/20:201, s. 16 f. och prop. 2024/25:194, s. 19 f. där liknande bedömningar gjorts. 401 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 prenörer och andra associerade organ eller personal vid externa organ i enlighet med artikel 78 upprätthåller konfidentialiteten för den information som organen får kännedom om i samband med bedöm- ning av överensstämmelse, utom när informationen måste lämnas ut enligt lag. De anmälda organens personal ska omfattas av tystnads- plikt i fråga om all information som de erhåller under utförandet av sina uppgifter enligt förordningen, utom gentemot de anmälande myndigheterna i den medlemsstat där deras verksamhet utförs (artikel 31.7). I det första ledet av artikeln regleras således de anmälda organens skyldighet att säkerställa konfidentialitet i sin organisation. I det andra ledet av artikeln regleras tystnadsplikt för de anmälda organens personal. Att personalen ska omfattas av tystnadsplikt anges alltså uttryck- ligen i AI-förordningen. Det är således möjligt att hävda att bestäm- melsen är direkt tillämplig och att någon ytterligare nationell reglering inte är nödvändig för att de anmälda organens personal ska omfattas av tystnadsplikt.33 Utredningen noterar dock att artikel 37.1 hänvisar vidare till konfidentialitet enligt artikel 78. Som utredningen tidigare har redovisat i avsnitt 9.9.4 bedömer utredningen att artikel 78 inte utgör en direkt tillämplig sekretessbestämmelse, eftersom artikeln hänvisar vidare till unionsrätten eller nationell rätt. Utredningen be- dömer därför att vad som anges i det andra ledet i artikel 37.1 om tystnadsplikt inte heller är direkt tillämpligt. Bestämmelser om tystnadsplikt för den som deltar i verksamhet som utförs av ett privat anmält organ finns i 17 § lagen (2021:553) med kompletterande bestämmelser till EU:s cybersäkerhetsakt.34 Utredningen bedömer att det är nödvändigt att en liknande bestäm- melse även införs för den som deltar i verksamhet som utförs av ett privat anmält organ i enlighet med AI-förordningen. Detta för att uppfylla kraven på konfidentialitet i artikel 78 i AI-förordningen. En möjlighet för de anmälda organen att bryta sekretessen i förhållande till nationella behöriga myndigheter framgår direkt av artikel 31.7 men även av artikel 34.3 som anger att anmälda organ ska tillhandahålla och på begäran lämna över all relevant dokumenta- tion, inbegripet leverantörens dokumentation, till den anmälande 33 I prop. 2020/21:172, s. 269 f. har gjorts en sådan bedömning vid införandet av EU:s för- ordningar om medicintekniska produkter beträffande liknande bestämmelser om tystnads- plikt för personal vid anmälda organ. 34 Se närmare om skälen för detta i prop. 2020/21:186, s. 59 f. 402 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor myndigheten så att denna myndighet kan utföra sin verksamhet avseende bedömning, utseende, anmälan och övervakning och för att underlätta den bedömningen. Undantagen möjliggör nödvändigt informationsutbyte mellan organet i fråga och de anmälande myndig- heterna. Att den föreslagna tystnadsplikten avgränsas med ett obehörig- hetsrekvisit innebär bl.a. att uppgifter kan lämnas ut med samtycke, till de nationella behöriga myndigheterna eller annars som en följd av en skyldighet i lag eller annan författning. Utredningen föreslår sammanfattningsvis att det ska införas en bestämmelse i kompletteringslagen som anger att den som deltar i verksamhet som utförs av ett privat anmält organ i enlighet AI- förordningen inte obehörigen får röja eller utnyttja det som han eller hon fått kännedom om under det att uppgifterna utfördes. Det bör även införas en upplysning om att OSL tillämpas i det allmännas verksamhet. 9.9.6 Sekretess för incidentrapportering Utredningens förslag: En ny bestämmelse ska föras in i 18 kap. OSL om att sekretess ska gälla för uppgift i en incidentrapport enligt artikel 73 i AI-förordningen samt för uppgift om åtgärd som en leverantör enligt artikel 3.3 i AI-förordningen har vid- tagit till följd av incidenten, om det inte står klart att uppgiften kan röjas utan att den rapporterande leverantörens framtida verk- samhet skadas eller syftet med vidtagen åtgärd motverkas. För uppgift i en allmän handling gäller sekretessen i högst 40 år. Utredningens bedömning: En ny bestämmelse bör föras in i 3 § OSF som gäller diarium över incidentrapporter hos marknads- kontrollmyndighet enligt AI-förordningen som berör allvarliga incidenter beträffande AI-system som används inom områdena som förtecknas i punkterna 1, 6 och 7 i bilaga III till AI-förord- ningen, på områdena brottsbekämpning, migration, asyl och gräns- kontrollförvaltning samt punkten 2 i bilaga III till AI-förord- ningen. 403 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 Det behöver inte införas några bestämmelser om överföring av sekretess eller några sekretessbrytande bestämmelser i förhåll- ande till incidentrapporteringen. Kort om incidentrapportering enligt AI-förordningen Utredningen har närmare redogjort för incidentrapporteringen i avsnitt 9.6.1. Uppgifter som kan förekomma i incidentrapporterna kommer i flera avseenden att innehålla känslig information, både i relation till enskilda och det allmänna. Det behövs därför överväg- anden om uppgifter som kommer att framgå av incidentrapporterna behöver sekretesskydd och om sådant skydd redan finns i befintlig nationell lagstiftning. Närliggande bestämmelser Vissa bestämmelser om incidentrapportering och liknande förfaranden finns i 18 kap. OSL, som reglerar sekretess till skydd främst för in- tresset att förebygga och beivra brott. Med avseende på incidentrapportering enligt AI-förordningen finns en bestämmelse om sekretess för säkerhets- och bevaknings- åtgärd i 18 kap. 8 § OSL, där punkten 3 rör telekommunikation och automatiserad behandling. Med automatiserad behandling av informa- tion avses system där datorer, telekommunikation eller annan teknisk utrustning samverkar för att insamla, ordna, bearbeta, söka eller distri- buera information. Som exempel på säkerhets- eller bevaknings- åtgärder som bestämmelsen avser att skydda är enligt förarbetena funktioner för användning av lösenord, loggning och kryptering, installation och konfigurering av brandväggar och antivirusprogram samt administrativa rutiner för t.ex. utdelning av lösenord eller bevak- ning av loggar och larm. Vad som faller utanför sekretessens räckvidd är beskrivningar av hur ett program fungerar i stora drag och vilka typer av uppgifter som bearbetas i ett program.35 I litteraturen beskrivs att det i 18 kap. 8 § OSL finns bestämmelser om sekretess för olika brottsförebyggande åtgärder som i huvudsak hänför sig till annan 35 Prop. 2003/04:93, s. 82 och s. 88. 404 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor verksamhet än polisens. Vissa av åtgärderna syftar endast indirekt till att förebygga brott.36 I 18 kap. 8 a § OSL finns bestämmelser om incidentrapportering avseende uppgift i en incidentrapport hos domstol, Åklagarmyndig- heten och Ekobrottsmyndigheten. Regeringen konstaterade i propo- sitionen till bestämmelsen att sekretesskyddet för incidentrapporter inte var heltäckande och att en ny sekretessbestämmelse därför be- hövde införas. Regeringen konstaterade även att det krävdes en sekretessbestämmelse för incidentrapporter eftersom – enligt Dom- stolsverket – domstolarna på grund av offentligheten hade blivit allt- mer restriktiva med vilka uppgifter som rapporteras.37 I betänkandet Motståndskraft i samhällsviktiga tjänster (SOU 2024:64), har Utredningen om genomförande av NIS 2- och CER- direktiven föreslagit en ny bestämmelse om sekretess för incident- rapportering som sker enligt den föreslagna lagen om cybersäkerhet38 samt den föreslagna lagen om motståndskraft hos kritiska verksam- hetsutövare39, som föreslås för att implementera NIS 2- och CER- direktiven i svensk rätt. Sekretessbestämmelsen föreslås införas i 18 kap. OSL. En ny sekretessbestämmelse för uppgift i incidentrapporter Behov av en ny sekretessbestämmelse Utredningen om genomförande av NIS 2- och CER-direktiven har analyserat behovet av kompletteringar i OSL till följd av den inci- dentrapportering som ska ske enligt NIS 2- och CER-direktiven. Resultatet visade att flertalet aktörer förmedlat betänkligheter om nuvarande sekretessbestämmelser, främst 18 kap. 8 § OSL, ger ett till- räckligt skydd för incidentrapporter. De synpunkter som angavs kan sammanfattas med att det råder en osäkerhet om huruvida incident- 36 Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen (2025-06-17 JUNO Version 31), kommentaren till 18 kap. 8 §. 37 Prop. 2018/19:81, s. 74. 38 Enligt den föreslagna cybersäkerhetslagen ska verksamhetsutövare rapportera om betyd- ande incidenter. Med en sådan incident avses en incident som orsakat eller kan orsaka all- varlig driftsstörning för den erbjudna tjänsten eller ekonomisk skada för den berörda verk- samhetsutövaren, eller en incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada. 39 Enligt den föreslagna lagen om motståndskraft hos kritiska verksamhetsutövare ska kritiska verksamhetsutövare utan onödigt dröjsmål rapportera incidenter som medför eller kan medföra en betydande störning i tillhandhållandet av samhällsviktiga tjänster. 405 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 rapportering alltid kan anses rymmas inom begreppet ”säkerhets- eller bevakningsåtgärd”, om lydelsen i punkten 3 kan anses relevant i ett modernt språkbruk och dessutom heltäckande för de uppgifter som det var fråga om, samt att ett rakt skaderekvisit (dvs. presumtion för offentlighet) kan vara begränsande för viljan hos verksamhets- utövare att rapportera incidenter. Utredningen om genomförande av NIS 2- och CER-direktiven konstaterade också att praxis på området inte är helt tydlig. Vidare konstaterades att ett incidentrapporteringssystem bygger på att de aktörer som ska genomföra incidentrapportering har en hög tilltro till systemet och att deras känsliga uppgifter ges ett fullgott skydd. Om tilltron minskar kan aktörerna överväga att inte genomföra rapporteringen eller utelämna uppgifter som aktörerna anser är känsliga. En sådan utveckling ansågs riskera att ändamålet med rapporteringen motverkas, vilket i slutändan skulle kunna leda till mer omfattande sårbarheter i samhället. Utredningen om genomförande av NIS 2- och CER-direktiven drog mot denna bakgrund slutsatsen att det är osäkert om sekretes- sens omfattning enligt befintliga regelverk är tillräcklig och att det inte kan uteslutas att det kan finnas uppgifter i en incidentrapport- ering som, även om uppgifterna är mycket känsliga, inte skulle om- fattas av sekretess enligt 18 kap. 8 § i OSL. Utredningen om genom- förande av NIS 2- och CER-direktiven bedömde därför att det behövs en ny bestämmelse om sekretess för incidentrapporteringar enligt NIS 2- och CER-direktiven.40 Utredningens förslag har remitterats. Förslagen kopplade till CER- direktivet bereds för närvarande inom Regeringskansliet. Regeringen har den 12 juni 2025 beslutat om en lagrådsremiss som är kopplad till utredningens förslag beträffande NIS 2-direktivet, Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag. I lag- rådsremissen instämmer regeringen i utredningens bedömning om att det behövs en ny sekretessbestämmelse för incidentrapportering enligt NIS 2-direktivet.41 I lagrådsremissen föreslås att en bestäm- melse ska föras in i 18 kap. i OSL med följande lydelse. 40 SOU 2024:64, s. 257 ff. 41 Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag, s. 191 ff. 406 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor Sekretess gäller för uppgift i en incidentrapport enligt cybersäkerhets- lagen (2025:000) och för uppgift om vilka åtgärder som en verksamhets- utövare har vidtagit till följd av incidenten, om det inte står klart att uppgiften kan röjas utan att den rapporterande verksamhetsutövarens framtida verksamhet skadas eller syftet med vidtagen åtgärd motverkas. För uppgift i en allmän handling gäller sekretessen i högst fyrtio år. Den typ av incidentrapportering som ska ske enligt AI-förordningen är i och för sig av en annan sort än den incidentrapportering som ska ske enligt NIS 2- och CER-direktiven. Utredningen bedömer dock att den osäkerhet som gör sig gällande kring tolkningen av om befint- liga bestämmelser i OSL är tillräckliga för att säkerställa ett tillräck- ligt skydd gör sig gällande även i förhållande till den incidentrapport- ering som ska ske enligt AI-förordningen. Enligt AI-förordningen ska leverantörer av AI-system med hög risk som släpps ut på unionsmarknaden rapportera alla allvarliga incidenter till marknadskontrollmyndigheterna i de medlemsstater där incidenten inträffade (artikel 73.1). Alla allvarliga incidenter som identifieras under testning under verkliga förhållanden ska också rapporteras till den nationella marknadskontrollmyndigheten i en- lighet med artikel 73 (artikel 60.7). Leverantörer som omfattas av kravet på att rapportera allvarliga incidenter kan komma att omfatta såväl privata som offentliga aktörer. Utifrån definitionen av vad som är en allvarlig incident (se artikel 3.49) är omfattningen av aktörer, områden och sektorer som kan komma att omfattas därtill mycket bred. Exempelvis kan leverantörer av AI- system med hög risk som används inom områdena brottsbekämpning, migration, asyl och gränskontrollförvaltning samt kritisk infra- struktur komma att omfattas av kraven på incidentrapportering (se punkterna 2, 6 och 7 i bilaga III). Uppgifter i sådana incidentrapporter kan vara känsliga utifrån en rad aspekter. Uppgifter om vilka incidenter som inträffat avseende brotts- bekämpande myndigheters AI-system är bl.a. skyddsvärda mot bak- grund av att om dessa uppgifter blir offentliga kan det leda till ett röjande av brottsbekämpande myndigheters förmåga, oförmåga och sårbarheter som kan utnyttjas. Inom området för kritisk infrastruktur kan uppgifter om incidenter bl.a. användas för att slå ut dessa kritiska samhällsfunktioner. Uppgifter om sådan verksamhet kan i och för sig – utöver eventuellt skydd enligt 18 kap. 8 § OSL – i många fall antas skyddas av sekretess enligt bl.a. 18 kap. 1 § (förundersöknings- 407 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 sekretess) och 15 kap. 2 § OSL (försvarssekretess). Med hänsyn till den osäkerhet som förmedlas i betänkandet av Utredningen om genomförande av NIS 2- och CER-direktiven samt i efterföljande lagrådsremiss gör dock utredningen bedömningen att det även be- träffande incidentrapportering enligt AI-förordningen finns behov att införa en ny sekretessbestämmelse i OSL, i syfte att motverka att den rapporterande leverantörens framtida verksamhet skadas eller de åtgärder som vidtagits motverkas. Föremålet för sekretess Sekretessens föremål är den information som kan hemlighållas och anges i lag genom ordet ”uppgift” tillsammans med en mer eller mindre långtgående precisering av uppgiftens art, t.ex. uppgift om enskilds personliga förhållanden eller uppgift om enskilds ekonomiska förhållanden. I aktuellt fall föreslår utredningen att föremålet för sekretessen enligt den föreslagna bestämmelsen ska vara uppgift i en incidentrapport enligt artikel 73 i AI-förordningen eller uppgift om åtgärd som följer av en sådan incident. Sekretessens räckvidd Utredningen föreslår att sekretessen ska gälla alla de uppgifter som framgår av incidentrapporten enligt artikel 73 i AI-förordningen samt för uppgift om åtgärd som följer av en sådan incident. Definitionen av en allvarlig incident är en incident eller ett fel i ett AI-system som direkt eller indirekt orsakar dödsfall eller allvarlig skada på en persons hälsa, en allvarlig och oåterkallelig störning av förvaltningen eller driften av kritisk infrastruktur, åsidosättande av skyldigheter enligt unionsrätten avsedda att skydda grundläggande rättigheter och all- varlig skada på egendom eller på miljön (artikel 3.49). Sådana upp- gifter är till sin natur i regel känsliga och därmed finns det skäl att föreslå en relativt långtgående räckvidd av bestämmelsen. Utredningen föreslår mot bakgrund av angivna skäl att sekretessen ska gälla hos myndigheter som är behöriga att ta emot och behandla en incident- rapport enligt artikel 73 i AI-förordningen. 408 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor Sekretessens styrka Det är i nuläget oklart vilken typ av information som ska framgå av incidentrapporterna enligt AI-förordningen (se avsnitt 9.6.1). Aktör- erna kan potentiellt behöva lämna in mycket information om inci- denter. Om sådan information blir offentlig kan det orsaka skada på verksamheten och tillhandahållandet av AI-systemet samt orsaka negativa kommersiella effekter, vilket kan påverka leverantörerna. Den nuvarande sekretessregleringen för säkerhets- och bevaknings- åtgärder är utformad med ett rakt skaderekvisit. Utredningen om genomförande av NIS 2- och CER-direktiven samt regeringen i den efterföljande lagrådsremissen har dock dragit slutsatsen att incident- rapporter enligt NIS 2-direktivet bör skyddas med ett omvänt skade- rekvisit.42 Vid skaderekvisitets utformning måste behovet av sekretess vägas mot att det kan finnas ett insynsintresse avseende incidenter som har drabbat leverantörer. Allmänhetens intresse av uppgifter som rör skatte- och avgiftsfinansierad verksamhet och annan verksamhet som är av betydelse för allmänheten måste anses vara stort. När det gäller sådana uppgifter som om de röjs kan medföra att sårbarheter i AI-system blir offentliga anser dock utredningen att skälen för sekretess väger tyngre. Allmänhetens tillgång till uppgifter i en inci- dentrapport måste därför stå tillbaka i relation till den skada som kan uppstå genom ett röjande av uppgifterna. Regeringen har i lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag bl.a. lyft fram att utform- ningen av skaderekvisitet kan ha stor betydelse för en verksamhets- utövares tilltro till incidentrapporteringssystemet. Regeringen tar även upp att det bör beaktas att det kan vara svårt att i ett tidigt skede bedöma om uppgifter i incidentrapporter är känsliga, vilket innebär att känsliga uppgifter inledningsvis riskerar att uppfattas som harm- lösa. Genom att införa ett omvänt skaderekvisit måste myndigheten i varje enskilt fall förvissa sig om att ett utlämnade inte leder till men för den som uppgifterna rör.43 Mot bakgrund av de uppgifter som kan komma att framgå i inci- dentrapporten enligt AI-förordningen bedömer utredningen att en 42 SOU 2024:64, s. 257 ff. och lagrådsremissen Ett starkt skydd för nätverks- och informations- system – en ny cybersäkerhetslag, s. 194. 43 Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag, s. 194. 409 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 ny sekretessbestämmelse bör utformas med ett omvänt skaderekvisit. Detta innebär inte att rätten att ta del av information i ärenden som rör incidentrapportering är utesluten. Det omvända skaderekvisitet innebär att om det i det enskilda fallet står klart att uppgiften kan röjas utan skada ska den lämnas ut. Tidsbegränsning av handlingssekretessen Efter inträffade incidenter bör åtgärder vidtas relativt tidigt och därmed borde uppgifter i ett relativt tidigt stadie kunna lämnas ut oaktat det ovan angivna skaderekvisitet. För vissa uppgifter kan dock sekretessen behöva kvarstå en längre tid. Incidentrapporter i domstolar, m.m., har ett skydd i 40 år. Samma begränsning i sekretess- kyddet föreslås beträffande incidentrapportering enligt den före- slagna cybersäkerhetslagen. Utredningen föreslår mot denna bak- grund att sekretessen ska gälla i 40 år. Bestämmelsens placering Den nya regleringen har ett sakligt samband med vissa bestämmelser i 18 kap. OSL och vissa föreslagna bestämmelser i nämnda kapitel. Det faktum att kapitlet föreslås utvidgas till incidentrapportering enligt den föreslagna cybersäkerhetslagen gör att den nu föreslagna bestämmelsen systematiskt kan placeras i anslutning till 18 kap. OSL. Utredningen föreslår därför att bestämmelsen ska placeras i anslut- ning till 18 kap. 8 §. Utredningen kan dock notera att 18 kap. i OSL handlar om sekre- tess till skydd främst för intresset av att förebygga eller beivra brott. Systematiken i att flertalet tillkommande bestämmelser om incident- rapporter – som också berör andra intressen än att förebygga eller beivra brott – läggs till i det kapitlet kan ifrågasättas. Det finns också en inkonsekvens kring skaderekvisitets styrka i nu föreslagen bestäm- melse samt den bestämmelse som föreslås i den nya cybersäkerhets- lagen bl.a. i förhållande till personuppgiftsincidenter som ska an- mälas till IMY. Det kan samtidigt antas att en allvarlig incident enligt AI-förordningen ibland också kan utgöra en sådan incident som ska rapporteras som en personuppgiftsincident. Det kan framöver därför finnas anledning att överväga om det behövs en mer samlad reglering 410 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor kring incidentrapporter. Utredningen lämnar dock inga sådana för- slag i detta betänkande. En ny sekretessbestämmelse för diarier för incidentrapporter Diarier över ärenden och allmänna handlingar är normalt sett offent- liga hos myndigheter. I 3 § OSF finns det undantag från den prin- cipen genom att vissa diarier hos vissa myndigheter i sin helhet får omfattas av sekretess. En uppgift om förekomsten av en incidentrapport som rör eller kommer från en aktör i sig kan motverka syftet med incidentrapport- eringen om uppgiften om aktören röjs. Utredningen om genom- förande av NIS 2- och CER-direktiven har föreslagit att diarium över incidentrapporter enligt den föreslagna lagen om cybersäkerhet och den föreslagna lagen om motståndskraft hos kritiska verksam- hetsutövare ska omfattas av sekretess. Utredningen om genomförande av NIS 2- och CER-direktiven tar i samband med detta upp följande exempel. Om till exempel en aktör inom elförsörjningen rapporterar en incident skulle, även om sekretess gäller för uppgifterna i rapporteringen, ärende- mening och avsändare bli offentliga i det diarium som mottagaren regi- strerar incidentrapporterna i. Förekomsten av den aktuella elproducenten i kombination med uppgiften om att det rör en incidentrapportering ger information till en antagonist som har genomfört ett angrepp mot den aktuella elproducenten som skulle visa att angreppet har blivit upptäckt. Vidare kan uppgifterna påverka elproducenten negativt genom att upp- gifterna skulle kunna påverka marknaden och tilltron till den aktuella el- producentens förmåga att motstå angrepp. Detta skulle i sin tur kunna medföra en minskad vilja hos aktörer att rapportera incidenter.44 Den typ av incidentrapportering som ska ske enligt NIS 2- och CER- direktiven är visserligen inte av samma sort som den som ska ske enligt AI-förordningen. Liknande aktörer som omfattas av incident- rapportering enligt NIS 2- och CER-direktiven kommer dock också att omfattas av incidentrapportering enligt AI-förordningen. Detta bl.a. eftersom kritisk infrastruktur omfattas av högriskområdena enligt AI-förordningen (punkten 2 i bilaga III) och en allvarlig incident bl.a. kan vara en allvarlig och oåterkallelig störning av förvaltningen eller driften av kritisk infrastruktur (artikel 3.49 b). Andra aktörer 44 SOU 2024:64, s. 270. 411 Samordning, samverkan och vissa sekretessfrågor SOU 2025:101 som hanterar känslig information inom t.ex. områden som brotts- bekämpning, migration, asyl och gränskontrollförvaltning berörs också av AI-förordningen. I AI-förordningen har AI-system med hög risk som förekommer inom områdena som förtecknas i punkterna 1, 6 och 7 i bilaga III, på områdena brottsbekämpning, migration, asyl och gränskontroll- förvaltning undantagits från registrering i den offentliga delen av den EU-databas som avses i artikel 71 i AI-förordningen. AI-system som förekommer inom områdena som förtecknas i punkten 2 i bilaga III, dvs. kritisk infrastruktur, har därtill helt undantagits från registrering i EU-databasen men ska registreras på nationell nivå (se närmare i kapitel 11). Anledningen till detta bör vara att sådan information är känslig. Uppgifter om vilka incidenter som inträffat avseende brotts- bekämpande myndigheters AI-system är, som även nämnts i före- gående avsnitt, bl.a. skyddsvärda mot bakgrund av att om dessa upp- gifter blir offentliga kan det leda till ett röjande av brottsbekämpande myndigheters förmåga, oförmåga och sårbarheter som kan utnyttjas. Inom området för kritisk infrastruktur kan uppgifter om incidenter bl.a. användas för att slå ut dessa kritiska samhällsfunktioner. Utredningen anser mot denna bakgrund att diarier som innehåller uppgifter om incidentrapportering som berör allvarliga incidenter be- träffande AI-system som används inom områdena som förtecknas i punkterna 1, 6 och 7 i bilaga III, på områdena brottsbekämpning, migration, asyl och gränskontrollförvaltning samt punkten 2 i bi- laga III, dvs. kritisk infrastruktur, bör omfattas av sekretess. Utred- ningen bedömer därför att en ny bestämmelse ska införas i 3 § OSF som gäller diarium över incidentrapporter hos marknadskontrollmyndighet enligt AI-förordningen i dessa delar. För incidentrapporter i övrigt bedömer utredningen dock att det finns ett starkt intresse för allmänheten att kunna få tillgång till uppgifter om incidentrapporter, särskilt eftersom en allvarlig inci- dent bl.a. kan vara att ett fel i ett AI-system som direkt eller indirekt orsakar ett åsidosättande av skyldigheter enligt unionsrätten avsedda att skydda grundläggande rättigheter. Utredningen har i avsnittet ovan föreslagit att uppgifter i en incidentrapport samt uppgift om åtgärd som följer av en sådan incident ska omfattas av sekretess med ett omvänt skaderekvisit. Utgångspunkten är alltså att sådana upp- gifter ska skyddas, men inte alltid. För att allmänheten ska ha en 412 SOU 2025:101 Samordning, samverkan och vissa sekretessfrågor realistisk möjlighet att begära ut sådan information är det viktigt att det finns offentliga uppgifter i ett diarium. Utredningen bedömer därför att allmänhetens intresse att ta del av incidentrapporter i dessa avseenden väger tyngre och att diariet över incidentrapporter därför bara ska skyddas i de specifika avseenden som utredningen föreslagit. Utredningen bedömer sammantaget att en ny bestämmelse bör in- föras i 3 § OSF som gäller diarium över incidentrapporter hos mark- nadskontrollmyndighet enligt AI-förordningen som berör allvarliga incidenter beträffande AI-system som används inom områdena som förtecknas i punkterna 1, 6 och 7 i bilaga III till AI-förordningen, på områdena brottsbekämpning, migration, asyl och gränskontroll- förvaltning samt punkten 2 i bilaga III till AI-förordningen. Det behöver inte införas några bestämmelser om överföring av sekretess eller några sekretessbrytande bestämmelser 10 kap. 28 § OSL anger att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. EU-förordningar anses likställda med svensk lag. Detta innebär att en uppgiftsskyldighet som följer av en EU-förordning bryter sekretessen. Av artikel 73.7 följer att den marknadskontroll- myndighet som mottagit en underrättelse om en allvarlig incident ska informera de nationella offentliga myndigheter eller organ som avses i artikel 77.1. Denna uppgiftsskyldighet följer således direkt av AI-förordningen och medför att det redan finns tillräckliga sekretess- brytande bestämmelser i förhållande till incidentrapporteringen. Samma slutsats drar utredningen i förhållande till kommissionen, eftersom det framgår av artikel 73.11 att nationella behöriga myndig- heter omedelbart ska underrätta kommissionen om alla allvarliga incidenter, oavsett om de har vidtagit åtgärder med anledning av dessa. Även denna uppgiftsskyldighet följer direkt av AI-förord- ningen och medför att det saknas behov av sekretessbrytande be- stämmelser. Eftersom myndigheterna som avses i artikel 77.1 mottar uppgift- erna i sina respektive roller som tillsynsmyndigheter träffas uppgift- erna av primär sekretess inom de myndigheternas tillsynsverksam- heter. Det finns därför inte heller något behov av överföring av sekretess. 413 10 Befogenheter och ingripanden 10.1 Inledning Enligt artikel 74.1 i AI-förordningen är EU:s marknadskontrollför- ordning tillämplig på AI-system som omfattas av AI-förordningen, vilket bl.a. innefattar vissa befogenheter. Av AI-förordningen följer också att marknadskontrollmyndigheterna har vissa befogenheter vid marknadskontrollen av AI-system som omfattas av AI-förord- ningen. Av artikel 99.1 i AI-förordningen framgår att medlemsstaterna ska fastställa bestämmelser om sanktioner och andra efterlevnadsåtgär- der, som också kan innefatta varningar och icke-monetära åtgärder, som ska tillämpas vid operatörers överträdelser av bestämmelserna i AI-förordningen. Vidare ska varje medlemsstat fastställa regler om i vilken utsträckning administrativa sanktionsavgifter får påföras offentliga myndigheter och organ som är inrättade i medlemsstaten (artikel 99.8). En del av utredningens uppdrag är att analysera och lämna förslag på vad som behövs för att uppfylla kraven på sanktioner och andra efterlevnadsåtgärder vid överträdelser av AI-förordningen. I detta kapitel behandlar utredningen frågor om befogenheter, sanktioner och andra ingripanden. Utredningen har valt att använda begreppet ingripande beträffande såväl sanktionsavgifter som andra typer av ingripanden. Förslagen i detta kapitel rör i huvudsak mark- nadskontrollmyndigheternas befogenheter vid marknadskontrollen samt vilka sanktioner och andra ingripanden som de nationella be- höriga myndigheterna ska kunna använda vid överträdelser av AI- förordningen. Med nationella behöriga myndigheter avses marknadskontroll- myndigheter och anmälande myndigheter. De myndigheter som utredningen föreslår som sådana myndigheter och vilket ansvars- 415 Befogenheter och ingripanden SOU 2025:101 område som respektive myndighet föreslås få framgår av kapitel 6 och 7. Sammantaget föreslår utredningen att elva myndigheter ska utses till marknadskontrollmyndigheter och två myndigheter ska utses till anmälande myndigheter. De som kan bli föremål för mark- nadskontrollmyndigheters respektive anmälande myndigheters be- slut om sanktioner och andra ingripanden är operatörer och anmälda organ. Med en operatör förstås enligt AI-förordningen en leveran- tör, en produkttillverkare, en tillhandahållare, ett ombud, en impor- tör eller en distributör (artikel 3.8). Med ett anmält organ förstås enligt AI-förordningen ett organ för bedömning av överensstäm- melse som har anmälts i enlighet med förordningen och annan rele- vant unionsharmoniseringslagstiftning (artikel 3.22). Detta kapitel är utformat enligt följande. I avsnitt 10.2.1 och 10.2.2 tar utredningen ställning till hur befo- genheterna enligt EU:s marknadskontrollförordning ska tilldelas marknadskontrollmyndigheterna och redogör för befogenheterna vid marknadskontroll som följer av AI-förordningen. Marknads- kontrollmyndigheternas särskilda befogenheter i samband med test- ning under verkliga förhållanden behandlas emellertid i kapitel 12. Därefter redogör utredningen för sina överväganden om när en mark- nadskontrollmyndighet ska kunna begära hjälp av Polismyndigheten (se avsnitt 10.2.3) och om avgifter vid marknadskontrollen (se av- snitt 10.2.4). I avsnitt 10.3 redogör utredningen för bestämmelserna i AI-för- ordningen om sanktioner och andra efterlevnadsåtgärder. I avsnitt 10.4 redogör utredningen allmänt om sanktioner och andra ingripanden samt om dubbelprövningsförbudet. I avsnitt 10.5 redogör utredningen för bestämmelser om straffrättsliga sanktioner och analyserar om det bör införas straffrättsliga sanktioner för överträdelser av AI-förord- ningen. Utredningen redovisar därefter i avsnitt 10.6 sina allmänna överväganden om ingripanden. Avsnitt 10.6.1 innehåller en bedöm- ning om generella krav vid beslut om sanktioner och andra ingrip- anden och avsnitt 10.6.2 behandlar att en helhetsbedömning ska göras vid beslut om sanktioner och andra ingripanden. I avsnitt 10.7 redovisar utredningen sina överväganden om vilka möjligheter till ingripanden som bör finnas. Avsnitt 10.7.1 inne- håller en bedömning om att det bör finnas alternativa ingripanden vid överträdelser av AI-förordningen och inte endast sanktionsavgif- ter. I avsnitt 10.7.2 och 10.7.3 redovisar utredningen sina förslag om 416 SOU 2025:101 Befogenheter och ingripanden att systemet med alternativa ingripanden enligt AI-förordningen bör innefatta en möjlighet för de nationella behöriga myndigheterna att besluta om förelägganden, med eller utan vite, samt om anmärkning och sanktionsavgift. I avsnitt 10.7.4 redovisar utredningen sina över- väganden i fråga om beslut om anmärkning och sanktionsavgifter ska prövas av de nationella behöriga myndigheterna eller förvaltnings- domstol som första instans. I avsnitt 10.7.5 redovisar utredningen sina överväganden om att det inte bör införas några bestämmelser om lägsta nivåer för sanktionsavgifter. Avsnitt 10.7.6 innehåller en bedömning om korrigerande åtgärder vid marknadskontrollen. I avsnitt 10.8 analyserar och redogör utredningen för sina över- väganden om att myndigheter ska omfattas av samma system med ingripanden som privaträttsliga organ. I avsnitt 10.9 redovisar utred- ningen sina överväganden om hinder mot att i vissa situationer ta ut en sanktionsavgift. I avsnitt 10.10 redovisar utredningen sina överväganden i fråga om besluts verkställbarhet och i avsnitt 10.11 om betalning, indrivning och preskription m.m. Frågor om överklagande av beslut med avseende på marknads- kontrollmyndigheternas utövande av befogenheterna och nationella behöriga myndigheters beslut om sanktioner och andra ingripanden behandlas i kapitel 14.3. 10.2 Marknadskontrollmyndigheternas befogenheter 10.2.1 Befogenheter enligt artikel 14.4 i EU:s marknadskontrollförordning Utredningens förslag: Kompletteringslagen och kompletterings- förordningen ska innehålla bestämmelser som upplyser om att det finns bestämmelser om marknadskontroll i EU:s marknads- kontrollförordning. Kompletteringslagen ska vidare innehålla en bestämmelse om att en marknadskontrollmyndighet vid marknadskontroll har be- fogenhet enligt EU:s marknadskontrollförordning att 1. enligt artikel 14.4 a–c kräva att operatörer ska tillhandahålla handlingar, specifikationer, data eller uppgifter, 2. enligt artikel 14.4 d utföra oanmälda inspektioner på plats och fysiska kontroller av AI-system, 417 Befogenheter och ingripanden SOU 2025:101 3. enligt artikel 14.4 e få tillträde till lokaler, mark eller trans- portmedel, 4. enligt artikel 14.4 f inleda undersökningar på eget initiativ, 5. enligt 14.4 g kräva att operatörer ska vidta lämpliga åtgärder för att få en bristande överensstämmelse att upphöra eller att eliminera en risk, 6. enligt 14.4 h själv vidta åtgärder, 7. enligt artikel 14.4 j införskaffa, inspektera och demontera varuprover, och 8. enligt artikel 14.4 k kräva att innehåll på ett onlinegränssnitt ska avlägsnas, att en varning ska visas eller att åtkomsten ska begränsas. Marknadskontrollmyndigheten ska få införskaffa varuprover under dold identitet enligt artikel 14.4 j endast om det är nöd- vändigt för att syftet med kontrollen ska uppnås. Myndigheten ska underrätta operatören om att införskaffandet har skett under dold identitet, så snart det går utan att syftet med åtgärden går förlorat. Befogenhet att kräva att innehåll på ett onlinegränssnitt av- lägsnas, att en varning visas eller att åtkomsten begränsas enligt artikel 14.4 k ska inte gälla i fråga om databaser som omfattas av tryckfrihetsförordningens eller yttrandefrihetsgrundlagens skydd. När ändrade förhållanden ger anledning till det, ska marknads- kontrollmyndigheten besluta att en sådan skyldighet som avses i artikel 14.4 k inte längre ska gälla. Upplysning om att det finns bestämmelser om marknadskontroll i EU:s marknadskontrollförordning Av artikel 74.1 i AI-förordningen framgår att EU:s marknadskon- trollförordning är tillämplig på AI-system som omfattas av AI-för- ordningen. I sektorslagstiftningen till de unionsrättsakter som om- fattas av EU:s marknadskontrollförordning finns bestämmelser som upplyser om att det finns bestämmelser om marknadskontroll i EU:s marknadskontrollförordning. Sådana upplysningsbestämmelser finns 418 SOU 2025:101 Befogenheter och ingripanden oftast i anslutning till bestämmelser om marknadskontrollmyndig- heternas befogenheter och ansvarsområden. Liknande upplysnings- bestämmelser bör införas i kompletteringslagen och kompletterings- förordningen. Befogenheterna enligt EU:s marknadskontrollförordning EU:s marknadskontrollförordning är tillämplig på AI-system som omfattas av AI-förordningen. Av skäl 156 till AI-förordningen föl- jer att marknadskontrollmyndigheter som utsetts enligt AI-förord- ningen bör ha alla de befogenheter som fastställs i AI-förordningen och i EU:s marknadskontrollförordning vad gäller kontroll av efter- levnad, och bör utöva sina befogenheter och utföra sina uppgifter oberoende, objektivt och opartiskt. I artikel 14 i EU:s marknadskontrollförordning finns bestämmel- ser om marknadskontrollmyndigheters befogenheter. Det är med- lemsstaterna som ska tilldela sina marknadskontrollmyndigheter de befogenheter för marknadskontroll, utredning och tillsyn som behövs för att tillämpa EU:s marknadskontrollförordning och för tillämp- ning av harmoniserad unionslagstiftning. Marknadskontrollmyn- digheter ska utöva befogenheterna effektivt, ändamålsenligt och i enlighet med proportionalitetsprincipen. Medlemsstaten får avgöra om befogenheterna ska kunna utövas direkt av marknadskontroll- myndigheten själv inom ramen för dess myndighetsutövning, med hjälp av andra myndigheter eller först efter ansökan till domstol. I artikel 14.4 anges en lista med minimibefogenheter som marknads- kontrollmyndigheterna åtminstone ska tilldelas. Myndigheterna ska tilldelas a) befogenhet att kräva att ekonomiska aktörer tillhandahåller vissa handlingar, tekniska specifikationer, data eller uppgifter om över- ensstämmelse och produktens tekniska aspekter, b) befogenhet att kräva att ekonomiska aktörer tillhandahåller vissa uppgifter om leveranskedjan, om distributionsnätets utformning, om antalet produkter på marknaden och om andra produkt- modeller som har samma tekniska egenskaper som den berörda produkten, 419 Befogenheter och ingripanden SOU 2025:101 c) befogenhet att kräva att ekonomiska aktörer tillhandahåller vissa uppgifter för bedömning av äganderätten till webbplatser, d) befogenhet att utföra oanmälda inspektioner på plats och fysiska kontroller av produkter, e) befogenhet att få tillträde till lokaler, mark eller transportmedel som den berörda ekonomiska aktören använder för ändamål som har samband med dennes näringsverksamhet, affärsverksamhet, hantverk eller yrke, f) befogenhet att inleda undersökningar på eget initiativ, g) befogenhet att kräva att ekonomiska aktörer vidtar lämpliga åt- gärder för att få en bristande överensstämmelse att upphöra eller att eliminera en risk, h) befogenhet att vidta lämpliga åtgärder om en ekonomisk aktör underlåter att vidta lämpliga korrigerande åtgärder eller om den bristande överensstämmelsen eller risken består, inbegripet att förbjuda eller inskränka tillhandahållandet av en produkt på marknaden eller besluta att en produkt dras in eller återkallas, i) befogenhet att fastställa påföljder enligt de regler om sanktioner som medlemsstaten fastställer, j) befogenhet att införskaffa varuprover, även under fingerad iden- titet, att inspektera varuproverna och demontera dem, och k) befogenhet att, när inga andra effektiva medel står till buds för att eliminera en allvarlig risk, i) kräva att innehåll som hänvisar till produkterna avlägsnas från ett onlinegränssnitt, eller att kräva tydlig visning av en varning när slutanvändarna använder onlinegränssnittet, eller ii) om en begäran enligt i inte har iakttagits, kräva att leveran- törer av informationssamhällets tjänster begränsar åtkomsten till onlinegränssnittet, inbegripet genom att begära att en re- levant tredje part genomför sådana åtgärder. Om en produkt som omfattas av harmoniserad lagstiftning och som används enligt sitt syfte kan äventyra användarnas hälsa eller säkerhet, eller inte stämmer överens med tillämplig harmoniserad lagstiftning, ska marknadskontrollmyndigheten enligt artikel 16 i 420 SOU 2025:101 Befogenheter och ingripanden EU:s marknadskontrollförordning vidta åtgärder. I första hand ska myndigheten kräva att den relevanta ekonomiska aktören inom en angiven tidsfrist vidtar korrigerande åtgärder. Om den ekonomiska aktören underlåter att vidta korrigerande åtgärder eller om den brist- ande överensstämmelsen eller risken kvarstår, ska marknadskontroll- myndigheten i andra hand säkerställa att produkten dras tillbaka, åter- kallas eller att dess tillhandahållande på marknaden förbjuds eller inskränks och att information om detta sprids. När det gäller produkter som utgör en allvarlig risk ska marknads- kontrollmyndigheten enligt artikel 19 i EU:s marknadskontrollför- ordning säkerställa att produkten dras tillbaka eller återkallas när det inte finns andra effektiva medel att tillgå för att eliminera den allvarliga risken, och att tillhandahållandet av den förbjuds. Alla hänvisningar till en ekonomisk aktör enligt EU:s marknads- kontrollförordning ska förstås som hänvisningar som omfattar alla operatörer enligt artikel 2.1 i AI-förordningen (artikel 74.1 a i AI- förordningen). Med begreppet operatör enligt AI-förordningen förstås en leverantör, en produkttillverkare, en tillhandahållare, ett ombud, en importör eller en distributör (artikel 3.8). Alla hänvisningar till en produkt enligt EU:s marknadskontroll- förordning ska förstås som hänvisningar som omfattar alla AI-system som omfattas av AI-förordningen (artikel 74.1 b i AI-förordningen). Vidare innehåller artikel 3.18 i EU:s marknadskontrollförordning en definition av begreppet risk och artikel 3.19 i den förordningen en definition av begreppet produkt som utgör en risk. Av definitio- nerna framgår bl.a. att produkter som kan inverka negativt på hälsa och säkerhet kan utgöra en risk i den mening som avses i EU:s mark- nadskontrollförordning. Av artikel 79.1 i AI-förordningen framgår att ett AI-system som utgör en risk ska förstås som en produkt som utgör en risk enligt definitionen i artikel 3.19 i EU:s marknads- kontrollförordning i den mån de utgör risker för personers hälsa eller säkerhet eller grundläggande rättigheter. Reglering av befogenheterna i kompletteringslagen I betänkandet Enhetlig och effektiv marknadskontroll (SOU 2020:49) konstaterade 2019 års marknadskontrollutredning att EU:s mark- nadskontrollförordning kan ses som en rättsakt av delvis blandad 421 Befogenheter och ingripanden SOU 2025:101 karaktär i den meningen att utgångspunkten visserligen är att för- ordningen är direkt tillämplig samtidigt som det finns artiklar i för- ordningen som är utformade närmast som artiklar i direktiv och därför förutsätter ett nationellt genomförande för att de ska kunna tillämpas. För detta talar exempelvis formuleringen i artikel 14 i EU:s marknadskontrollförordning om att medlemsstaterna ska tilldela sina marknadskontrollmyndigheter vissa befogenheter. Befogenheterna följer alltså inte direkt av EU:s marknadskontrollförordning utan förutsätter en reglering i nationell rätt. Även medlemsstaternas val- möjlighet när det gäller hur marknadskontrollmyndigheterna ska få utöva befogenheterna, dvs. inom ramen för egen myndighetsutöv- ning, med hjälp av andra myndigheter eller efter ansökan till dom- stol, förutsätter en reglering i nationell rätt.1 Till EU:s marknadskontrollförordning har därför kompletterande bestämmelser införts i svensk sektorslagstiftning. De närmare över- väganden som gjordes i förarbetena i samband med den kompletter- ande lagstiftningen till EU:s marknadskontrollförordning är rele- vanta även i den här utredningen. I förarbetena konstaterades bl.a. att marknadskontrollmyndigheterna har en skyldighet att tillförsäkra sig att deras åtgärder i det enskilda ärendet inte går utöver vad som är nödvändigt för att nå målet med åtgärderna och att en skyldighet att beakta proportionalitetsprincipen gäller vid tillämpningen av alla befogenheter enligt artikel 14.4.2 Även i lagstiftning inom marknadskontrollområdet som har till- kommit efter det att EU:s marknadskontrollförordning har börjat gälla har marknadskontrollmyndigheter tilldelats eller föreslås till- delas befogenheter enligt artikel 14.4 i EU:s marknadskontrollför- ordning. Av 29 § lagen (2023:254) om vissa produkters och tjänsters tillgänglighet, som gäller från och med den 28 juni 2025, följer att marknadskontrollmyndigheten har befogenheter enligt artikel 14.4 a–b, 14.4 e och 14.4 j.3 I den nyligen beslutade propositionen om kompletterande be- stämmelser till EU-förordningen om batterier föreslås att mark- nadskontrollmyndigheterna ska tilldelas befogenheterna enligt artikel 14.4 i EU:s marknadskontrollförordning.4 1 SOU 2020:49, s. 341 ff. 2 Prop. 2021/22:238, s. 132–139. 3 Se även prop. 2022/23:42, s. 103. 4 Prop. 2024/25:194, s. 14 f. 422 SOU 2025:101 Befogenheter och ingripanden Utredningen kan konstatera att befogenheterna enligt artikel 14.4 i EU:s marknadskontrollförordning även ska vara tillämpliga vid marknadskontroll av AI-system som omfattas av AI-förordningen. Det finns ingen sektorsövergripande lag som ger marknadskontroll- myndigheterna dessa befogenheter. Befogenheterna förs i svensk rätt i stället in i den lagstiftning som genomför eller kompletterar berörd EU-rättsakt. De myndigheter som föreslås bli ansvariga för marknadskontrollen enligt AI-förordningen behöver därför tilldelas de befogenheter som myndigheterna ska ha enligt EU:s marknads- kontrollförordning. Enligt utredningen bör det således införas en bestämmelse i kompletteringslagen om att marknadskontrollmyn- digheterna har de befogenheter som följer av artikel 14.4 i EU:s marknadskontrollförordning. Det följer av artikel 14.2 i EU:s marknadskontrollförordning att befogenheterna ska utövas i enlighet med unionsrätten och svensk rätt på ett effektivt och ändamålsenligt sätt i enlighet med propor- tionalitetsprincipen. Kravet på att befogenheterna ska utövas med beaktande av proportionalitetsprincipen gäller för myndigheternas verksamhet även enligt 5 § tredje stycket FL. Bestämmelsen i kompletteringslagen bör som utgångspunkt ha motsvarande utformning som enligt sektorslagarna till de unions- rättsakter som omfattas av EU:s marknadskontrollförordning. Detta i syfte att åstadkomma en enhetlig lagreglering inom marknadskon- trollområdet. De överväganden som gjordes i förarbetena om anpass- ningar till EU:s marknadskontrollförordning är därför relevanta även i detta sammanhang. Det gäller bl.a. frågan om undantag från marknadskontrollmyndigheternas befogenheter.5 Utredningens överväganden om att beslut om åtgärder vid utöv- andet av befogenheterna kan gälla omedelbart framgår av avsnitt 10.10. Om artikel 14.4 i och artikel 41 i EU:s marknadskontrollförordning Av artikel 14.4 i i EU:s marknadskontrollförordning följer att mark- nadskontrollmyndigheter ska ges befogenhet att fastställa påföljder i enlighet med artikel 41. Innebörden av artikel 14.4 i är således en- dast att marknadskontrollmyndigheterna ska ha befogenhet att be- 5 Prop. 2021/22:238, s. 145–158. 423 Befogenheter och ingripanden SOU 2025:101 sluta om de sanktioner som medlemsstaterna enligt artikel 41 ska se till finns på plats. Av artikel 41 följer att medlemsstaterna bl.a. ska fastställa regler om sanktioner för överträdelser av EU:s mark- nadskontrollförordning. Utredningens överväganden om sanktio- ner finns i avsnitt 10.7. 10.2.2 Befogenheter enligt AI-förordningen Utredningens förslag: Kompletteringslagen och kompletterings- förordningen ska innehålla bestämmelser som upplyser om att det finns bestämmelser om marknadskontroll i AI-förordningen. Kompletteringslagen ska även innehålla en bestämmelse som upplyser om att det framgår av AI-förordningen att marknads- kontrollmyndigheterna har befogenheter vid marknadskontroll enligt artiklarna 74.5, 74.12 och 74.13 i AI-förordningen. Upplysning om att det finns bestämmelser om marknadskontroll i AI-förordningen I avsnitt 10.2.1 har utredningen bl.a. föreslagit att kompletterings- lagen och kompletteringsförordningen ska innehålla bestämmelser som upplyser om att bestämmelser om marknadskontroll finns i EU:s marknadskontrollförordning. Detta i syfte att efterlikna sek- torslagstiftningen till de unionsrättsakter som omfattas av EU:s marknadskontrollförordning. Det finns dock ytterligare bestämmel- ser om marknadskontroll i AI-förordningen (se närmare i avsnittet nedan). Av tydlighetsskäl bör det därför även framgå att bestämmel- ser om marknadskontroll finns i AI-förordningen. Utredningen föreslår därför att kompletteringslagen och komplet- teringsförordningen ska innehålla upplysningsbestämmelser om att bestämmelser om marknadskontroll finns i AI-förordningen. Befogenheterna enligt AI-förordningen Av skäl 156 i AI-förordningen följer att marknadskontrollmyndig- heterna bör ha alla befogenheter som fastställs i AI-förordningen och EU:s marknadskontrollförordning vad gäller kontroll av efterlevnad. 424 SOU 2025:101 Befogenheter och ingripanden Av artikel 74.5 i AI-förordningen följer att marknadskontroll- myndigheterna får utöva de befogenheter som avses i artikel 14.4 d och j i EU:s marknadskontrollförordning på distans, när så är lämp- ligt, i syfte att säkerställa en effektiv kontroll av efterlevnad av för- ordningen (se även avsnitt 10.2.1). Utan att det påverkar de befogenheter som föreskrivs i EU:s mark- nadskontrollförordning, och när det är relevant och begränsat till vad som är nödvändigt för att marknadskontrollmyndigheterna ska kunna utföra sina uppgifter, ska leverantörer ge marknadskontroll- myndigheterna fullständig åtkomst till dokumentation och de trän- ings-, validerings- och testdataset som används för utvecklingen av AI-system med hög risk. Detta inkluderar vissa tekniska medel och verktyg som möjliggör fjärråtkomst (artikel 74.12). Marknadskontrollmyndigheterna ska också få tillgång till käll- koden för AI-systemet med hög risk på motiverad begäran och en- dast om båda följande villkor är uppfyllda. a) Tillgång till källkod är nödvändig för att bedöma om ett AI- system med hög risk uppfyller kraven i kapitel III avsnitt 2 (artiklarna 8–15). b) Testnings- eller revisionsförfaranden och kontroller som grun- das på uppgifter och dokumentation från leverantören har ut- tömts eller visat sig vara otillräckliga (artikel 74.13). Upplysning om befogenheterna I AI-förordningen finns det inte ett samlat avsnitt eller en samlad artikel om marknadskontrollmyndigheternas befogenheter. Enligt utredningen är det inte heller helt tydligt i AI-förordningen vilka befogenheter som marknadskontrollmyndigheterna har i samband med marknadskontrollen, utöver befogenheterna enligt artikel 14.4 i EU:s marknadskontrollförordning (se avsnitt 10.2.1). Det defini- eras inte heller vare sig i EU:s marknadskontrollförordning eller i AI-förordningen vad som ska förstås med begreppet ”befogenhet”. Av EU:s marknadskontrollförordning kan utläsas att befogenheterna ska kunna ”utövas” av marknadskontrollmyndigheterna. I andra unionsrättsakter är det tydligare vilka befogenheter myn- digheterna har. I EU:s marknadskontrollförordning anges befogen- heterna samlat i artikel 14. Av artikel 58 i EU:s 425 Befogenheter och ingripanden SOU 2025:101 dataskyddsförordning följer tillsynsmyndigheternas samtliga ut- redningsbefogenheter. Enligt utredningen bör befogenheterna vid marknadskontroll enligt AI-förordningen anses följa av artikel 74, som behandlar marknadskontroll och kontroll av AI-system på unionsmarknaden. Det är enligt utredningen tydligt att artikel 74.5 i AI-förordningen omfattar marknadskontrollmyndigheternas befogenheter genom den direkta kopplingen till vissa befogenheter i artikel 14.4 i EU:s marknadskontrollförordning. Bestämmelsen i artikel 74.5 i AI-för- ordningen är emellertid, till skillnad från artikel 14.4 i EU:s marknads- kontrollförordning, inte utformad likt artiklar i direktiv. Utredningen bedömer därför att artikel 74.5 i AI-förordningen, till skillnad från artikel 14.4 i EU:s marknadskontrollförordning, inte förutsätter ett nationellt genomförande för att vara tillämplig. Enligt utredningen bör också artikel 74.12 förstås som en befogen- het med innebörd att leverantörer ska bevilja marknadskontroll- myndigheterna fullständig åtkomst till dokumentation och olika dataset som används för utvecklingen av ett AI-system med hög risk m.m. Hänvisningen i artikel 74.12 till befogenheterna i EU:s marknadskontrollförordning ger också stöd för den bedömningen. Vidare bedömer utredningen att marknadskontrollmyndigheter- nas rätt att få tillgång till källkoden för AI-system med hög risk i en- lighet med vad som följer av artikel 74.13 bör förstås som en befogen- het. Tillgång till källkoden förutsätter en motiverad begäran av marknadskontrollmyndigheten. Att marknadskontrollmyndighet- erna således kan kräva tillgång till källkoden medför att bestämmel- sen är att betrakta som en befogenhet. Utredningen bedömer att inte heller artiklarna 74.12 och 74.13 förutsätter ett nationellt genomförande för att vara tillämpliga. Utredningen har även noterat att marknadskontrollmyndighet- erna kan vidta korrigerande åtgärder vid förfaranden för att hantera AI-system som utgör en risk m.m. enligt artiklarna 79–83 (se även avsnitt 10.7.6). Det skulle kunna hävdas att befogenheterna att vidta dessa korrigerande åtgärder också ska uppfattas som sådana befogen- heter som borde tas in i upplysningsbestämmelsen, t.ex. avseende artiklarna 79.5 och 80.8. Enligt utredningen bör, som redan angetts ovan, befogenheterna vid marknadskontroll enligt AI-förordningen dock anses följa av artikel 74. 426 SOU 2025:101 Befogenheter och ingripanden Sammanfattningsvis bedömer utredningen att bestämmelserna i artiklarna 74.5, 74.12 och 74.13 avser marknadskontrollmyndighet- ernas befogenheter vid marknadskontrollen som följer direkt av AI- förordningen. Till skillnad från befogenheterna enligt artikel 14.4 i EU:s marknadskontrollförordning behöver befogenheterna i artik- larna 74.5, 74.12 och 74.13 i AI-förordningen inte tilldelas marknads- kontrollmyndigheterna för att kunna utövas. För att lagstiftningen ska vara tydlig och förutsebar bör det ändå i kompletteringslagen finnas en bestämmelse som upplyser om att marknadskontrollmyn- digheterna har befogenheter enligt artiklarna 74.5, 74.12 och 74.13 i AI-förordningen. Utredningens överväganden om att beslut om åtgärder vid utövan- det av befogenheterna kan gälla omedelbart framgår av avsnitt 10.10. 10.2.3 Hjälp av Polismyndigheten Utredningens förslag: Kompletteringslagen ska innehålla en bestämmelse om att Polismyndigheten på begäran av en mark- nadskontrollmyndighet ska lämna den hjälp som behövs för att myndigheten ska kunna vidta åtgärder enligt vad som följer av artikel 14.4 i EU:s marknadskontrollförordning om 1. det på grund av särskilda omständigheter kan befaras att åt- gärden inte kan utföras utan att en polismans särskilda befogen- heter enligt 10 § polislagen (1984:387) behöver tillgripas, eller 2. det annars finns synnerliga skäl. Polismyndigheten ska enligt sektorslagstiftningen till de unionsrätts- akter som omfattas av EU:s marknadskontrollförordning lämna bi- träde åt marknadskontrollmyndigheter, främst för att få tillträde till lokaler och liknande i samband med inspektioner. Enligt utredningen är de överväganden som gjordes i förarbetena om anpassningar till EU:s marknadskontrollförordning i fråga om marknadskontrollmyn- digheternas möjlighet att begära hjälp av Polismyndigheten relevanta även nu.6 Det har regeringen även bedömt när den helt nyligen har före- slagit att en motsvarande bestämmelse, om att Polismyndigheten 6 Prop. 2021/22:238, s. 161 ff. 427 Befogenheter och ingripanden SOU 2025:101 på begäran av marknadskontrollmyndigheten ska lämna den hjälp som behövs, bör tas in i den föreslagna lagen med kompletterande bestämmelser till EU-förordningen om batterier.7 I detta samman- hang kan även nämnas att bestämmelsen om hjälp av Polismyndig- heten i 36 § lagen om vissa produkters och tjänsters tillgänglighet är mer omfattande än nyss beskrivna lagar. Den bestämmelsen gäller nämligen inte bara vid marknadskontroll utan även för att tillsyns- myndigheten ska kunna genomföra sitt uppdrag.8 För att marknadskontrollmyndigheterna effektivt ska kunna an- vända sig av de befogenheter som anges i artikel 14.4 i EU:s mark- nadskontrollförordning bör det således även för kontrollen av AI- system som omfattas av AI-förordningen finnas en möjlighet för marknadskontrollmyndigheterna att, när det är nödvändigt, begära hjälp av Polismyndigheten. Kompletteringslagen bör därför innehålla en bestämmelse som ger en möjlighet för en marknadskontrollmyndighet att begära hjälp av Polismyndigheten när den vidtar åtgärder enligt artikel 14.4. En förutsättning för en begäran bör, i likhet med vad som följer av be- fintlig sektorslagstiftning, vara att det kan befaras att en åtgärd inte kan utföras utan att en polismans särskilda befogenheter enligt 10 § polislagen behöver användas eller att det annars finns synnerliga skäl. Polismyndighetens hjälp bör endast kunna begäras i sådana situa- tioner där det finns ett verkligt behov av polisens särskilda befogen- heter att använda våld. Bestämmelsen får anses vara begränsad till sådana åtgärder som en marknadskontrollmyndighet inte har be- fogenhet att själv företa. En marknadskontrollmyndighet kan t.ex. behöva begära hjälp av Polismyndigheten om en operatör vägrar marknadskontrollmyndigheten tillträde till operatörens lokaler. Synnerliga skäl kan t.ex. föreligga om det finns en överhängande risk för att handlingar kommer att förstöras och myndigheten inte kan avvakta med att verkställigheten löses på annat sätt. Det är mark- nadskontrollmyndigheten som har att bedöma om det finns förut- sättningar att begära hjälp av Polismyndigheten.9 Av artikel 74.5 i AI-förordningen följer att marknadskontroll- myndigheterna får utöva befogenheten enligt artikel 14.4 d i EU:s marknadskontrollförordning att utföra oanmälda inspektioner på 7 Prop. 2024/25:194, s. 17 f. 8 Prop. 2022/23:42, s. 116 f. 9 Jfr prop. 2021/22:238, s. 224 f. och prop. 2010/11:65, s. 67–68, 110 och 111. 428 SOU 2025:101 Befogenheter och ingripanden plats och fysiska kontroller av AI-system även på distans. Befogen- heten att utföra oanmälda inspektioner på distans följer inte av EU:s marknadskontrollförordning. Marknadskontrollmyndigheterna kan i enlighet med 10 § 6 polislagen begära hjälp av Polismyndigheten för att bl.a. biträda myndigheten vid marknadskontrollen vad avser att bereda sig tillträde till en byggnad, rum eller område eller annan liknande åtgärd. Denna särskilda befogenhet ger dock inte Polis- myndigheten en befogenhet att genomföra sökningar på distans. Det följer av 10 § 4 polislagen att den befogenheten omfattar bl.a. beslag eller annat omhändertagande av egendom samt husrannsakan som avses i rättegångsbalken. Punkten är tillämplig även vid genom- sökning på distans, vilket ska ses som en förlängning av reglerna om husrannsakan och beslag, även om det utgör ett eget tvångs- medel. Genomsökning på distans av en polisman får dock endast göras i samma syfte som gäller för husrannsakan och beslag, näm- ligen för att hitta bevis (t.ex. handlingar) som kan ha betydelse för en brottsutredning eller för frågan om utbyte av brottslig verksam- het.10 Inte heller denna särskilda befogenhet kan Polismyndigheten använda för att bistå en marknadskontrollmyndighet med att utföra oanmälda inspektioner eller kontroller av AI-system på distans. Av artikel 74.5 i AI-förordningen följer också att marknadskon- trollmyndigheterna får utöva befogenheten enligt artikel 14.4 j i EU:s marknadskontrollförordning att införskaffa, inspektera och demontera varuprover på distans. Enligt utredningen ger dock inte de särskilda befogenheterna enligt 10 § polislagen Polismyndigheten möjlighet att bistå en marknadskontrollmyndighet med att inför- skaffa, inspektera eller demontera varuprover på distans. Det ingår inte i utredningens uppdrag att se över polisens befogen- heter enligt 10 § polislagen och det är inte heller en nödvändig åt- gärd för att anpassa svenska regler till AI-förordningen. Utredningen gör därför inte några överväganden och lämnar inte några förslag om att Polismyndigheten ska kunna få utföra oanmälda inspektioner på plats eller fysiska kontroller av AI-system även på distans. Utred- ningen lämnar därför inte heller några förslag om att Polismyndig- heten ska kunna bistå marknadskontrollmyndigheterna med att införskaffa, inspektera eller demontera varuprover på distans. Vidare följer av artikel 74.12 i AI-förordningen att leverantörer ska bevilja marknadskontrollmyndigheten fullständig åtkomst till 10 Prop. 2021/22:119, s. 78. 429 Befogenheter och ingripanden SOU 2025:101 dokumentation och olika dataset m.m. I enlighet med sektorslag- stiftningen kan en marknadskontrollmyndighet begära hjälp av Polismyndigheten bl.a. för att få tillgång till handlingar, data eller uppgifter av en operatör (artikel 14.4 a i EU:s marknadskontroll- förordning). Enligt utredningens förslag ska detta även gälla vid marknadskontroll av AI-system som omfattas av AI-förordningen. Utredningen bedömer att det bör vara möjligt för en marknadskon- trollmyndighet att få tillgång till dokumentation och dataset m.m. som används vid utvecklingen av ett AI-system med hög risk genom befogenheten i artikel 14.4 a i EU:s marknadskontrollförordning. En marknadskontrollmyndighet har även rätt att få tillgång till källkoden för ett AI-system med hög risk på motiverad begäran enligt artikel 74.13. Källkod kan beskrivas som instruktioner i ett visst programmeringsspråk som utgör grunden för ett datorpro- gram.11 Enligt utredningens bedömning bör det vara möjligt för en marknadskontrollmyndighet att få tillgång till ett AI-systems käll- kod redan genom utövandet av befogenheten i artikel 14.4 a i EU:s marknadskontrollförordning. Vid utövandet av den befogenheten föreslås som ovan redovisats att en marknadskontrollmyndighet ska kunna begära hjälp av Polismyndigheten vid marknadskontrollen. Detta ska dock inte förstås så att en marknadskontrollmyndighet kan begära hjälp av t.ex. Polismyndighetens tekniska resurser för att kunna granska ett AI-systems källkod. Däremot bör en mark- nadskontrollmyndighet t.ex. kunna begära hjälp av Polismyndig- heten i en situation där det finns behov av polisens befogenheter att använda fysiskt våld för att komma åt ett AI-system, i syfte att mark- nadskontrollmyndigheten ska kunna granska systemets källkod. Sammanfattningsvis gör utredningen följande bedömning. I syfte att följa den nuvarande ordningen på marknadskontrollområdet bör det vara möjligt för en marknadskontrollmyndighet att begära hjälp av Polismyndigheten när myndigheten vidtar åtgärder enligt vad som följer av artikel 14.4 i EU:s marknadskontrollförordning. Utredningen bedömer emellertid, av de skäl som har redovisats ovan, att det inte bör vara möjligt för en marknadskontrollmyndig- het att begära hjälp av Polismyndigheten vid utövandet av befogen- heterna enligt artiklarna 74.5, 74.12 och 74.13 i AI-förordningen. Polismyndigheten har för utredningen uppgett att den anser att den föreslagna bestämmelsen om hjälp av Polismyndigheten vid 11 Svenska Akademiens ordbok, publicerad 2021. 430 SOU 2025:101 Befogenheter och ingripanden marknadskontrollen av AI-system behöver förtydligas i fråga om vilka åtgärder som Polismyndigheten faktiskt får vidta. Utredningen delar Polismyndighetens uppfattning att det behöver vara tydligt för Polismyndigheten vilka befogenheter som myndigheten har genom den här typen av bestämmelser i sektorslagarna. Det är förstås lika viktigt att Polismyndighetens befogenheter är tydliga för marknads- kontrollmyndigheter och operatörer. Utredningen ser dock inte skäl att inom ramen för sitt uppdrag föreslå någon annan ordning än den rådande på marknadskontrollområdet när det gäller att Polis- myndigheten på begäran av en marknadskontrollmyndighet ska hjälpa marknadskontrollmyndigheten. Utredningen gör av dessa skäl följande bedömning. Med hänsyn till befintlig reglering inom marknadskontrollområdet bör kompletteringslagen innehålla en bestämmelse om att Polismyn- digheten på begäran av en marknadskontrollmyndighet ska lämna den hjälp som behövs när myndigheten vidtar åtgärder enligt vad som följer av artikel 14.4 i EU:s marknadskontrollförordning. Detta under förutsättning att det på grund av särskilda omständigheter kan befaras att åtgärden inte kan utföras utan att en polismans sär- skilda befogenheter enligt 10 § polislagen behöver tillgripas, eller det annars finns synnerliga skäl. 10.2.4 Avgifter för marknadskontroll enligt EU:s marknadskontrollförordning Utredningens bedömning: Det saknas behov av en bestämmelse i kompletteringslagen om möjligheten för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter om avgifter för marknadskontroll. Av artikel 15 i EU:s marknadskontrollförordning följer att medlems- staterna får ge sina marknadskontrollmyndigheter rätt att från den relevanta ekonomiska aktören återkräva alla kostnader för sin verk- samhet vid fall av bristande överenskommelse. I förarbetena om anpassningar till EU:s marknadskontrollför- ordning bedömdes att artikel 15 är fakultativ och inte innebär någon harmonisering på så sätt att den begränsar medlemsstaternas möjlig- heter att helt eller delvis finansiera marknadskontrollmyndigheternas 431 Befogenheter och ingripanden SOU 2025:101 verksamhet genom att ta ut avgifter från ekonomiska aktörer. En harmoniserande reglering med sådan innebörd hade enligt reger- ingen inneburit ett betydande ingrepp i medlemsstaternas hittills- varande rätt att själva bestämma över finansieringen av marknads- kontrollverksamhet.12 I förarbetena om anpassningar till EU:s marknadskontrollför- ordning gjordes samtidigt bedömningen att det ska finnas förut- sättningar att ta ut avgifter för kontrollen av samtliga produkter som omfattas av de unionsrättsakter som förtecknas i bilaga I till EU:s marknadskontrollförordning. Det bedömdes därför lämpligt att ta in en generell reglering om denna föreskriftsrätt i lagen (2014:140) med bemyndigande att meddela vissa föreskrifter om marknadskon- troll av varor och annan närliggande tillsyn.13 Av 2 § första stycket i den lagen framgår således att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om avgifter för mark- nadskontroll enligt EU:s marknadskontrollförordning. Sådana föreskrifter kan avse en skyldighet att betala en årsavgift för att finansiera marknadskontrollen eller en skyldighet att betala en avgift för kostnader som uppkommer i samband med en kon- troll. I föreskrifterna om avgifter som meddelas av regeringen eller den myndighet som regeringen bestämmer finns utrymme att sätta ramar och närmare specificera vilka avgifter som kan tas ut av opera- törer för marknadskontrollen.14 Eftersom EU:s marknadskontrollförordning är tillämplig på AI- system som omfattas av AI-förordningen gör, enligt utredningens bedömning, det generella bemyndigandet i lagen det möjligt för re- geringen eller den myndighet som regeringen bestämmer att före- skriva om avgifter för marknadskontrollen. Utredningen anser där- för att det inte behövs en särskild reglering i kompletteringslagen om möjligheten att meddela föreskrifter om avgifter vid marknads- kontroll av AI-system som omfattas av AI-förordningen. 12 Prop. 2021/22:238, s. 181. 13 Prop. 2021/22:238, s. 181 f. 14 Prop. 2021/22:238, s. 182. 432 SOU 2025:101 Befogenheter och ingripanden 10.3 Sanktioner och andra efterlevnadsåtgärder enligt AI-förordningen Av artikel 99.1 i AI-förordningen följer att medlemsstaterna ska, i enlighet med de villkor som fastställs i förordningen, fastställa be- stämmelser om sanktioner och andra efterlevnadsåtgärder, som också kan innefatta varningar och icke-monetära åtgärder, som ska tilläm- pas vid operatörers överträdelser av bestämmelserna i AI-förord- ningen. Den närmare utformningen av systemet med sanktioner och andra efterlevnadsåtgärder har överlämnats till medlemsstaterna att besluta om, dock med beaktande av villkoren i AI-förordningen. Av artikel 99.3 framgår att bristande efterlevnad av förbudet mot de AI-användningsområden som avses i artikel 5 ska vara föremål för administrativa sanktionsavgifter på upp till 35 000 000 euro eller, om överträdelsen begås av ett företag, upp till sju procent av dess totala globala årsomsättning för det föregående räkenskaps- året, beroende på vilket som är högst. Vidare anges i artikel 99.4 att bristande efterlevnad av nedan an- givna bestämmelser avseende leverantörer, ombud, importörer, di- stributörer, tillhandahållare eller anmälda organ ska medföra admi- nistrativa sanktionsavgifter på upp till 15 000 000 euro eller, om överträdelsen begås av ett företag, upp till tre procent av dess totala globala årsomsättning under det föregående räkenskapsåret, beroende på vilket som är högst. De bestämmelser som listas i artikel 99.4 är följande. – Leverantörers skyldigheter enligt artikel 16. – Ombuds skyldigheter enligt artikel 22. – Importörers skyldigheter enligt artikel 23. – Distributörers skyldigheter enligt artikel 24. – Tillhandahållares skyldigheter enligt artikel 26. – Kraven och skyldigheterna för anmälda organ enligt artiklarna 31, 33.1, 33.3, 33.4 eller 34. – Transparensskyldigheterna för leverantörer och tillhandahållare enligt artikel 50. 433 Befogenheter och ingripanden SOU 2025:101 Tillhandahållande av oriktig, ofullständig eller vilseledande infor- mation till anmälda organ eller nationella behöriga myndigheter som svar på en begäran ska enligt artikel 99.5 medföra administrativa sanktionsavgifter på upp till 7 500 000 euro eller, om överträdelsen begås av ett företag, upp till en procent av dess totala globala års- omsättning för det föregående räkenskapsåret, beroende på vilket som är högst. När det gäller små och medelstora företag, inbegripet uppstarts- företag, ska varje sanktionsavgift däremot uppgå till högst de pro- centsatser eller belopp som avses i punkterna 3, 4 och 5, beroende på vilket belopp som är lägre (artikel 99.6). I artikel 99.7 finns en detaljerad reglering av vilka omständigheter som, i förekommande fall, ska beaktas vid beslut om huruvida admi- nistrativa sanktionsavgifter ska åläggas och bestämmandet av avgif- tens storlek. Bl.a. ska överträdelsens art, svårighetsgrad och var- aktighet, storleken på årsomsättning och marknadsandel samt om överträdelsen skett med uppsåt eller oaktsamhet beaktas. Att administrativa sanktionsavgifter ska kunna användas för över- trädelser av vissa bestämmelser är – som utredningen uppfattar det – reglerat genom AI-förordningen. Samtidigt kan artikel 99.3–5 inte förstås så att en sanktionsavgift alltid ska påföras vid överträd- elser i enlighet med vad som följer av dessa bestämmelser. Att över- trädelser av vissa bestämmelser i AI-förordningen ska kunna med- föra sanktionsavgifter upp till vissa nivåer enligt artikel 99.3–5 får förstås som ett fastställande av övre gränser för sanktionsavgifterna, när sådana beslutas (se även skäl 168). 10.4 Allmänt om sanktioner och andra ingripanden De sanktionsverktyg som normalt står till buds för staten är straff- rättsliga sanktioner, vite, sanktionsavgifter och återkallelse av till- stånd. I det följande redogör utredningen för dels straffrättsliga sanktioner, dels administrativa sanktioner i form av sanktionsavgift och vite. I avsnittet behandlar utredningen också förbudet mot dubbelprövning. 434 SOU 2025:101 Befogenheter och ingripanden 10.4.1 Straffrättsliga sanktioner Straffrättsliga sanktioner är den mest ingripande metoden som staten kan använda för att styra samhällsmedborgarnas beteenden. Vanliga exempel på straffrättsliga sanktioner är böter och fängelse. Genom att belägga ett visst beteende med straffrättsliga sanktio- ner, s.k. kriminalisering, markerar lagstiftaren både att beteendet inte är önskvärt från samhällets synpunkt och att det är så klandervärt att det är befogat att staten tillgriper sitt yttersta maktmedel mot den som inte avhåller sig från beteendet. Kriminaliseringen innebär en grund för polis, åklagare och domstol att inom ramen för sina re- spektive funktioner i rättsväsendet verka för att en påföljd fastställs för den som har gjort sig skyldig till den kriminaliserade gärningen. Straffrättsligt ansvar gäller endast för fysiska personer. Juridiska personer kan enligt svensk rätt inte begå brott även om brott kan be- gås inom ramen för en juridisk persons verksamhet. Verksamhetens straffrättsliga ansvar åvilar då endast fysiska personer och inte verk- samheten som sådan. Av 36 kap. 23 § första stycket brottsbalken följer dock att ett företag kan åläggas en företagsbot för brott, om det för brottet är föreskrivet strängare straff än penningböter och brottet har begåtts i utövningen av näringsverksamhet, sådan offentlig verksamhet som kan jämställas med näringsverksamhet, eller annan verksamhet som ett företag bedriver, om brottet har varit ägnat att leda till en ekonomisk fördel för företaget. Företagsbot kan åläggas för alla former av brott som begåtts i utövningen av t.ex. näringsverk- samheten. Företagsboten ska vara verksamhetsrelaterad snarare än personrelaterad. Grundläggande för bestämningen av en företagsbot är att subjektiva faktorer, som att brottsligheten begåtts uppsåtligen, ges mindre framträdande betydelse till förmån för mer objektiva faktorer. Gärningens objektiva karaktär står i centrum vid fråga om påförande av företagsbot.15 Det finns inte några bestämmelser som anger vilka beteenden som ska kriminaliseras. Åklagarutredningen har tidigare inventerat skäl för kriminalisering i betänkandet Ett reformerat åklagarväsende (SOU 1992:61). För att en kriminalisering ska framstå som befogad anförs i betänkandet bl.a. att alternativa sanktioner inte ska stå till buds, inte vara rationella eller skulle kräva oproportionerligt höga 15 Prop. 2018/19:164, s. 32 och 55. 435 Befogenheter och ingripanden SOU 2025:101 kostnader.16 Lagstiftaren har i allt väsentligt ställt sig bakom dessa kriterier. Regeringen har också i flera sammanhang uttalat att kri- minalisering som en metod för att försöka hindra en överträdelse av olika normer i samhället bör användas med försiktighet.17 10.4.2 Administrativa sanktioner och andra ingripanden Administrativa sanktionsavgifter Som alternativ till kriminalisering kan administrativa sanktioner som administrativa sanktionsavgifter användas. Användningen av admi- nistrativa sanktioner motiveras bl.a. av att de skapar förutsättningar för ett effektivare sanktionssystem, bättre utnyttjande av rättsväsen- dets resurser och ger möjlighet till kännbara ekonomiska sanktioner mot såväl juridiska personer som fysiska personer. Som har redo- visats i avsnitt 10.4.1 kan i Sverige endast fysiska personer bestraf- fas och inte juridiska personer. En sanktionsavgift kan definieras som en avgift benämnd pen- ningpålaga som i realiteten utgör en sanktion. Tre kriterier ska en- ligt doktrinen vara uppfyllda för att något ska kvalificera som en sanktionsavgift. Avgiften ska 1. vara en ekonomisk sanktion som inte är böter eller annan rättsverkan av brott, 2. framgå av författ- ning och alltså utgöra ett generellt hot, och 3. tillfalla det allmänna.18 Sanktionsavgift är i likhet med en straffrättslig sanktion en till- bakaverkande sanktion och aktualiseras som en följd av ett inte önsk- värt beteende. Sanktionsavgifter intar en mellanställning mellan egentliga avgifter och brottspåföljder, vilket kan få betydelse för tillämpningen av såväl regeringsformen som Europakonventionen. I doktrinen är den rådande inställningen att påförande av sanktions- avgifter normalt ska presumeras utgöra brottsanklagelser i Europa- konventionens mening och jämställas med böter i normgivnings- hänseende. Detta medför att de rättssäkerhetsgarantier som ställs upp i artikel 6 i Europakonventionen måste vara uppfyllda och att bestämmelser om sanktionsavgifter ska regleras i lag med möjlighet till delegation enligt 8 kap. 3 § regeringsformen. 16 Se även Vad bör straffas? (SOU 2013:38), s. 440 ff. 17 Prop. 1994/95:23, s. 52 ff., bet. 1994/95:JuU2, rskr. 1994/95:40. Se även prop. 2016/17:22, s. 106. 18 Warnling Conrandson & Nilsson, Sanktionsavgifter – särskilt i näringsverksamhet (2020, version 2, JUNO), s. 44 f. 436 SOU 2025:101 Befogenheter och ingripanden Frågan om när sanktionsavgifter bör användas har behandlats bl.a. i förarbetena till bestämmelsen om förverkande i 36 kap. 4 § brotts- balken.19 Regeringen uttalade där att sanktionsavgifter kan vara ända- målsenliga i fall där regelöverträdelser är särskilt frekventa eller där det föreligger speciella svårigheter att beräkna storleken på den vinst eller besparing som uppnås i det särskilda fallet. Vidare uttalade re- geringen att sanktionsavgifter bara bör förekomma inom speciella och klart avgränsade rättsområden där det är relativt lätt att fast- ställa om en överträdelse har skett. Enligt förarbetsuttalandena kan det i vissa fall vara lämpligt att avgiftsskyldigheten bygger på strikt ansvar medan det i andra fall bör krävas uppsåt eller oaktsamhet. Vite Vitessanktionen syftar till att tvinga fram ett önskat agerande och har därför en helt annan konstruktion än sanktionsavgifter. Först om den vitesskyldige inte uppfyller en skyldighet som en behörig myndighet för dennes del har specificerat döms vitet ut. Vitet är så- ledes ett mer konstruktivt handlingsdirigerande styrmedel än t.ex. sanktionsavgifter och straffrättsliga sanktioner.20 Ett vite har alltid anknytning till ett visst föreläggande eller förbud och riktas mot den i beslutet namngivna adressaten. Syftet med ett vite är att fungera preventivt och på förhand få en fysisk eller juridisk person att följa ett visst föreläggande om ett aktivt handlande eller ett förbud, dvs. inte att som sanktionsavgifterna fungera repressivt som en påföljd mot överträdelser mot generella normer. Föreläggande och utdöm- ande av vite regleras i lagen (1985:206) om viten (viteslagen). I flera lagstiftningsärenden har regeringen konstaterat att vite får anses utgöra ett straff i den mening som avses i Europakonven- tionen.21 Om ett vite har dömts ut är det därför inte möjligt att be- sluta om en sanktion – administrativ eller straffrättslig – för samma gärning. Sådant hinder uppkommer redan när det inleds en domstols- process angående frågan om utdömande av vite (se även nedan om dubbelprövningsförbudet och avsnitt 10.9).22 19 Prop. 1981/82:142, s. 21 ff., bet. JuU 1981/82:53 och rskr. 1981/82:328. 20 SOU 2013:38, s. 496. 21 Se t.ex. prop. 2021/22:238, s. 176, prop. 2012/13:143, s. 69 och prop. 2007/08:107, s. 24. 22 NJA 2013 s. 502 och prop. 2016/17:22, s. 228. 437 Befogenheter och ingripanden SOU 2025:101 I detta sammanhang ska dock påtalas att dubbelprövningsför- budet många gånger inte aktualiseras i relationen mellan en sank- tionsavgift och ett vitesföreläggande av det skälet att ett vitesföre- läggande syftar till att förhindra framtida överträdelser av regelverket som ska åtgärdas inom en viss i föreläggandet angiven framtida tids- ram. Ett straff eller en sanktionsavgift däremot avser förfluten tid och kan avse andra överträdelser inom en annan tidsram än den som vitesföreläggandet avser.23 I HFD 2024 ref. 61 har Högsta förvalt- ningsdomstolen klargjort att skillnaden i tid medförde att det inte förelåg hinder mot att besluta om sanktionsavgift eftersom det vid tidpunkten för den gärning som sanktionsavgiften avsåg inte fanns något förbudsbeslut (dvs. inte fanns något beslut om en annan admi- nistrativ åtgärd enligt den bestämmelse som var tillämplig i målet) som omfattade den aktuella gärningen. 10.4.3 Dubbelprövningsförbudet I artikel 4 i Europakonventionens 7:e tilläggsprotokoll föreskrivs att ingen får lagföras eller straffas på nytt för ett brott för vilket han redan har blivit slutligt frikänd eller dömd (ne bis in idem). Även stadgan innehåller en liknande bestämmelse (artikel 50). Denna rätt att inte bli lagförd eller straffad två gånger brukar benämnas dubbel- prövningsförbudet. Ett straff får inte meddelas i strid med dubbel- prövningsförbudet och om det ändå görs kan den som har fått ett sådant straff få det undanröjt av domstol. Enligt Högsta domstolens avgörande i rättsfallet NJA 2013 s. 502 är det inte endast ett slutligt avgörande som innebär ett hinder mot en andra prövning utan även en pågående prövning. Det innebär att det som avgör när ett hinder mot ett andra förfarande för samma gär- ning eller överträdelse uppkommer får anses vara den tidpunkt när det inleds en domstolsprocess om utdömande av vite (se avsnittet ovan om vite). Att både påföra en viss aktör ett vite och en sanktionsavgift för samma överträdelse kan alltså strida mot dubbelprövningsförbudet. Om det finns ett tillräckligt nära materiellt och tidsmässigt samband mellan två förfaranden kan det senare av dem anses utgöra ett straff i strid med dubbelprövningsförbudet (se även avsnitt 10.9). 23 Jfr NJA 2022 s. 341. 438 SOU 2025:101 Befogenheter och ingripanden Högsta domstolen har i rättsfallet NJA 2022 s. 341 också uttalat att om de faktiska omständigheterna som görs gällande i en process om påförande av en straffrättslig sanktion inte kan anses avse iden- tiska eller i allt väsentligt samma fakta som de omständigheter som omfattas av ett tidigare meddelat vitesföreläggande, som legat till grund för prövning av utdömande av vitet, är det inte fråga om samma gärning i strid med dubbelprövningsförbudet. I HFD 2024 ref. 61 klargjorde Högsta förvaltningsdomstolen i ett mål om sanktionsavgift att det inte var fråga om samma gärning när sanktionsavgiften avsåg en överträdelse som konstaterades vid ett inspektionstillfälle medan det meddelade förbudet, som beslut- ades vid inspektionen, tog sikte på att förhindra framtida överträdel- ser, dvs. det avsåg tiden efter den överträdelse som föranlett sank- tionsavgift. Sanktionsavgiften avsåg därmed inte en gärning som omfattades av det meddelade förbudet (se p. 14 i domen). Högsta förvaltningsdomstolen hänvisade till NJA 2022 s. 341, punkt 21. Vidare har Högsta domstolen i NJA 2013 s. 502, punkt 63, klar- gjort att om ett skattetillägg har tagits ut av en juridisk person p.g.a. en oriktig uppgift i ett skatteförfarande så innebär det inte i sig något hinder mot att uppgiftslämnaren, dvs den fysiska personen, åtalas för brott enligt skattebrottslagen (1971:69). I enlighet med Högsta domstolens praxis bör en straffrättslig påföljd mot en enskild där- för inte anses utgöra hinder mot att påföra en sanktionsavgift mot en juridisk person inom vars verksamhet överträdelsen har begåtts, eftersom sanktionerna riktar sig mot olika rättssubjekt, med följden att dubbelprövningsförbudet inte blir tillämpligt.24 24 NJA 2013 s. 502, punkterna 62–66. 439 Befogenheter och ingripanden SOU 2025:101 10.5 Det bör inte införas straffrättsliga sanktioner Utredningens bedömning: Straffrättsliga sanktioner bör inte ådömas för överträdelser av AI-förordningen. Av artikel 99.1 i AI-förordningen får anses följa att det överlämnas åt medlemsstaterna att i nationell rätt fastställa om det ska införas straffrättsliga sanktioner vid sidan av administrativa sanktionsavgifter. Som utredningen har konstaterat i avsnitt 10.3 följer det av arti- kel 99.3–5 i AI-förordningen att det ska finnas administrativa sank- tionsavgifter till vissa högsta nivåer för överträdelser av ett antal skyldigheter enligt AI-förordningen. Det finns en möjlighet att ha en kombination av administrativa sanktioner och straffrättsliga sank- tioner. I betänkandet Vad bör straffas (SOU 2013:38) konstaterade Straff- rättsanvändningsutredningen att för att inte riskera att komma i konflikt med det s.k. dubbelprövningsförbudet bör sådana beteenden som sanktioneras med avgift inte samtidigt vara straffbelagda. Straff- rättsanvändningsutredningen ansåg att det bör vara möjligt för den enskilde att kunna förutse om ett visst beteende leder till en straff- rättslig sanktion eller avgift.25 Utredningen kan konstatera att införandet av straffrättsliga sank- tioner för enskilda kan riskera att aktualisera förbudet mot dubbelpröv- ning (se avsnitt 10.4.3 ovan) eftersom det följer av AI-förordningen att sanktionsavgift ska kunna beslutas i vissa fall (se avsnitt 10.7.3). Som har redovisats i avsnitt 10.4.3 bör dock en straffrättslig sanktion mot en enskild inte anses utgöra hinder mot att påföra en sanktions- avgift mot en juridisk person inom vars verksamhet överträdelsen har begåtts, eftersom sanktionerna riktar sig mot olika rättssubjekt. Då aktualiseras inte dubbelprövningsförbudet. Ett införande av straffrättsliga sanktioner för enskilda riskerar dock att göra det svårt att förutse vilken sanktion som kan komma att aktualiseras för en viss överträdelse av AI-förordningen om över- trädelsen både är sanktionerad med en straffrättslig sanktion och genom en sanktionsavgift. Vid övervägandena om vilka sanktioner som bör användas vid överträdelser av AI-förordningen behöver dock framför allt beaktas 25 SOU 2013:38, s. 546 f. 440 SOU 2025:101 Befogenheter och ingripanden att en sanktionsavgift många gånger kan antas vara ett mer effektivt styrmedel mot överträdelser som begås inom ramen för en juridisk persons verksamhet än en straffrättslig sanktion för en fysisk person. Det kan också vara svårt att peka ut en fysisk person som uppfyller de objektiva och subjektiva rekvisiten för brott. Det kan därför sak- nas möjlighet att ställa någon till svars för den begångna överträdel- sen. Ansvaret för överträdelser av AI-förordningen ligger samtidigt på operatörer och anmälda organ, vilket i många fall är juridiska per- soner som inte kan hållas straffrättsligt ansvariga. Av dessa skäl bör de mycket kännbara avgifter som enligt AI- förordningen får beslutas vara mer effektiva i den meningen att de har en mer avhållande effekt än straffrättsliga sanktioner mot enskilda fysiska personer inom en juridisk person. Med den utgångspunkten krävs det inte heller att en fysisk person pekas ut som ansvarig, efter- som en sanktionsavgift kan påföras den juridiska personen. Överträdelser av produktrelaterade krav i den harmoniserade produktlagstiftningen, som omfattas av EU:s marknadskontroll- förordning, är av den arten att de i första hand upptäcks av mark- nadskontrollmyndigheter, som i allmänhet har bättre förutsättningar att utreda dem än polis och åklagare. När det är den myndighet som upptäcker ett oönskat beteende som också utreder det, kan hanter- ingen förväntas bli enklare, billigare och snabbare än om det straff- rättsliga systemet också används. Att reaktionen på beteendet kom- mer snabbare än när polis och åklagare är involverade ökar sannolikt sanktionens styrförmåga. I 2019 års marknadskontrollutredning angav utredningen att marknadskontrollmyndigheterna hade lyft fram att anmälan om överträdelser av produktkrav sällan leder till åtal eller fällande dom och att själva hanteringen av en anmälan tenderar att ta lång tid.26 Utredningen antar att även överträdelser av AI-förordningen i stor utsträckning kommer att upptäckas och utredas av marknads- kontrollmyndigheterna. Ur resurssynpunkt är det därför mer effek- tivt att låta marknadskontrollmyndigheterna utreda överträdelser av AI-förordningen och inte också polis och åklagare. De skäl som talar för att sanktionsavgifter utgör ett effektivare styrmedel än straffrättsliga sanktioner innebär också att sanktions- avgifter har en mer avskräckande effekt än straffrättsliga sanktioner 26 SOU 2020:49, s. 501 f. 441 Befogenheter och ingripanden SOU 2025:101 för enskilda. I allvarliga fall kan mycket höga sanktionsavgifter på- föras. Även detta kan antas ha en avskräckande verkan. Sanktionsavgifter uppfyller således i högre utsträckning än straff- rättsliga sanktioner kravet i AI-förordningen på att sanktionerna ska vara effektiva, proportionella och avskräckande. Med det ingripandesystem med vitesförelägganden (avsnitt 10.7.2) samt sanktionsavgifter och anmärkning (se avsnitt 10.7.3) som ut- redningen föreslår finns det enligt utredningens bedömning alter- nativa metoder till kriminalisering som är tillräckligt effektiva och avskräckande för att komma åt överträdelser av AI-förordningen. När det är fråga om mer allvarliga överträdelser av AI-förord- ningen, särskilt vad avser de förbjudna AI-användningsområdena enligt artikel 5 i AI-förordningen, kan det visserligen övervägas om det ändå borde finnas ett utrymme att också använda det straffrätts- liga systemet som en del av sanktionssystemet. Vid en jämförelse med sektorslagstiftningen som omfattas av EU:s marknadskontroll- förordning framgår också att det i vissa fall förekommer bestämmel- ser om straffrättsliga sanktioner. När det gäller sektorslagarna till de unionsrättsakter som omfattas av bilaga IA till AI-förordningen finns det t.ex. bestämmelser om straffrättsliga sanktioner i arbets- miljölagen och i lagen (2021:600) med kompletterande bestämmel- ser till EU:s förordningar om medicintekniska produkter. I utredningens översyn av sektorslagstiftningen som omfattas av EU:s marknadskontrollförordning har det dock framkommit att det endast undantagsvis förekommer både straffrättsliga sanktioner och sanktionsavgift som sanktionsmöjlighet för överträdelser av pro- duktrelaterade krav. Utvecklingen inom produktlagstiftningen har också gått mot sanktionsväxling, dvs. att straffrättsliga sanktioner ersätts med administrativa sanktioner.27 Mot denna bakgrund och med hänsyn till den restriktiva synen på att använda straffrättsliga sanktioner som sanktion (se avsnitt 10.4.1), bedömer utredningen att straffrättsliga sanktioner inte bör införas för överträdelser av AI-förordningen ens för mer allvarliga överträd- elser av AI-förordningen vad avser t.ex. de förbjudna AI-använd- ningsområdena enligt artikel 5 i AI-förordningen. De ingripanden som föreslås bör därför vara av administrativt slag (se vidare i av- snitt 10.7). 27 Se t.ex. prop. 2015/16:93, prop. 2017/18:165 och prop. 2017/18:178. 442 SOU 2025:101 Befogenheter och ingripanden 10.6 Allmänna överväganden om ingripanden 10.6.1 Generella krav vid beslut om sanktioner och andra ingripanden Utredningens bedömning: Det behövs inte någon särskild re- glering i kompletteringslagen för att tillgodose AI-förordningens generella krav på sanktionernas utformning. Beslut om sanktion eller annat ingripande för överträdelser av AI-förordningen förutsätter att en proportionalitetsbedöm- ning görs. Det saknas behov av kompletterande bestämmelser om att sanktionerna ska vara effektiva, proportionella och avskräckande Som utredningen närmare redovisar i avsnitt 10.7.2 och 10.7.3 före- slår utredningen att det i kompletteringslagen tas in bestämmelser om förelägganden, anmärkning och sanktionsavgifter. Innan utred- ningen redovisar de övervägandena ser utredningen anledning att i detta avsnitt och i avsnitt 10.6.2 redovisa innebörden av de princi- per som allmänt gäller vid prövningen av sanktioner och andra in- gripanden. Av artikel 99.1 i AI-förordningen följer att sanktionerna ska vara effektiva, proportionella och avskräckande. Dessa principer ska där- för vara vägledande i fråga om vilken sanktion som en nationell be- hörig myndighet bör välja i det enskilda fallet och vid sanktionens utformning. Proportionalitetsprincipen följer av EU-rätten även i övrigt och är en grundläggande rättsstatlig princip i svensk rätt. Vad gäller kra- vet på att åtgärden ska vara effektiv och proportionerlig framgår sådana krav numera av 5 § tredje stycket FL. Utredningen redovisar nedan sina överväganden vad gäller proportionalitetsprincipens be- tydelse vid valet och utformningen av sanktioner. När det gäller kravet på att sanktionerna ska ha en avskräckande effekt anser utredningen att det uppfylls genom det handlingsutrymme 443 Befogenheter och ingripanden SOU 2025:101 som tilldelas de nationella behöriga myndigheterna i fråga om valet av ingripande och ingripandets utformning.28 Enligt utredningen behöver det därför inte införas några särskilda bestämmelser i nationell rätt för att tillgodose förordningens krav på att sanktioner ska vara effektiva, proportionella och avskräckande. Proportionalitetsprincipen Proportionalitetsprincipen i europeisk och svensk rätt Proportionalitetsprincipen är central inom det EU-rättsliga syste- met och är en av de allmänna rättsprinciper som ges närmast kon- stitutionell status vid all unionsrättslig tillämpning. Förenklat kan man säga att proportionalitetsprincipen innefattar tre krav som ska vara uppfyllda för att åtgärden ska vara proportionell. De tre kra- ven är att en ingripande åtgärd ska 1) vara ägnad att tillgodose det åsyftade ändamålet, 2) vara nödvändig för att uppnå detta ändamål och 3) medföra fördelar som står i rimlig proportion till den skada som åtgärden förorsakar. Det ska alltså finnas en balans mellan mål och medel.29 Även Europakonventionen, som gäller som svensk lag, genom- syras av proportionalitetsprincipen. Flera av artiklarna i konventio- nen tar sikte på att det ska göras avvägningar mellan allmänna och enskilda intressen. På motsvarande sätt som inom EU-rätten kräver den konventionsrättsliga proportionalitetsprincipen att en ingrip- ande åtgärd ska vara lämplig, nödvändig och proportionerlig för att kunna accepteras. Proportionalitetsprincipen är också en vedertagen rättsprincip i svensk rätt. Högsta förvaltningsdomstolen har i sin praxis slagit fast och utvecklat principen i svensk rätt och principen framgår dessutom som redovisats ovan numera uttryckligen av 5 § FL. Utvecklingen av denna princip är direkt kopplad till EU-rätten och Europakon- ventionen och principen anses ha fått ett vidare tillämpningsområde. Principen har aktualiserats såväl i samband med beslut om olika former av ingripanden, t.ex. förelägganden eller förbud som andra 28 Jfr t.ex. Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cyber- säkerhetslag, s. 142. 29 Se t.ex. prop. 2016/17:180, s. 60 f. 444 SOU 2025:101 Befogenheter och ingripanden situationer där inslaget av maktanvändning från det allmännas sida är mindre påtagligt. Innan en myndighet väger olika intressen mot varandra, måste den således ha tagit ställning till om åtgärden uppfyller kraven på lämp- lighet och nödvändighet. Det bör alltså krävas att myndigheten först prövar om den tilltänkta åtgärden kan antas leda till det avsedda re- sultatet. Myndigheten måste också konstatera att åtgärden är det minst ingripande av de alternativ som finns för att uppnå samma resultat. Avsikten är alltså inte att hindra myndigheterna från att vidta åtgärder utan att säkerställa att de åtgärder som vidtas är pro- portionella.30 Beslut om en sanktion eller annat ingripande förutsätter en proportionalitetsbedömning För att en nationell behörig myndighet eller domstol ska kunna be- sluta om en sanktion eller någon annan form av ingripande för över- trädelser av AI-förordningen krävs alltså att påföljden är förenlig med den grundläggande förvaltningsrättsliga proportionalitetsprincipen. Det är också en naturlig följd av kravet i artikel 99.7 i AI-förord- ningen att myndigheten vid sitt beslut ska beakta samtliga relevanta omständigheter (se avsnitt 10.6.2). För att ett ingripande ska vara motiverat måste det intrång i opera- törens eller det anmälda organets intressen som sanktionen eller in- gripandet innebär således vara proportionerlig i förhållande till över- trädelsen. Proportionalitetsprincipen ska också beaktas genom att karak- tären av den faktiska eller potentiella skada som följer av en över- trädelse av AI-förordningen ska vägas in i bedömningen. Genom proportionalitetsprincipen säkerställs att det inte beslutas om sank- tioner eller andra ingripanden i högre utsträckning än vad som är rimligt i det enskilda fallet. Vidare ska proportionalitetsprincipen beaktas på så sätt att en nationell behörig myndighet eller domstol ska överväga andra mindre ingripande alternativ till en viss sanktion. En sanktion får användas först när inga andra effektiva medel står till buds. I många fall kan alternativa åtgärder uppnå samma syfte som en viss sanktion. 30 Prop. 2016/17:180, s. 63. 445 Befogenheter och ingripanden SOU 2025:101 Av AI-förordningen följer att en administrativ sanktionsavgift ska kunna påföras operatörer och anmälda organ för överträdelser av vissa skyldigheter enligt förordningen (se avsnitt 10.7.3). Efter- som sanktionsavgifter ligger nära det straffrättsliga området är rätts- säkerhetsaspekter mycket viktiga. Om en åtgärd är mer långtgående än vad som är rimligt, kan den vara oförenlig med proportionalitets- principen. Om en myndighets beslut om en sanktion eller annat ingripande inte lever upp till proportionalitetsprincipens krav kan en domstol ha anledning att upphäva eller ändra beslutet redan av det skälet. 10.6.2 En helhetsbedömning ska göras Utredningens bedömning: Vid valet av sanktion eller annat in- gripande och utformningen av åtgärden bör alla relevanta omstän- digheter i den specifika situationen beaktas. Det behöver inte tas in någon särskild reglering om det i kompletteringslagen. När det gäller sanktionsavgifter framgår av AI-förordningen att en helhetsbedömning ska göras av samtliga relevanta omständigheter, såväl vid prövningen av om en sanktionsavgift ska beslutas som vid prövningen av avgiftens storlek. Enligt artikel 99.7 i AI-förordningen ska nämligen, vid beslut om huruvida sanktionsavgifter ska åläggas och beslut om storleken på sanktionsavgiften alla relevanta omstän- digheter i den specifika situationen beaktas. Vederbörlig hänsyn ska, i förekommande fall, tas till ett antal olika faktorer som räknas upp i den artikeln. Dessa avser bl.a. överträdelsens art, svårighetsgrad och varaktighet, graden av samarbete med nationella behöriga myn- digheter och om överträdelsen har skett med uppsåt eller oaktsam- het. Omständigheterna som anges i artikel 99.7 omfattar ett stort antal olika faktorer. Att en helhetsbedömning ska göras i det en- skilda fallet är också en naturlig följd av kraven i artikel 99.1 på att sanktionerna ska vara effektiva, proportionella och avskräckande (se avsnitt 10.6.1 ovan). En helhetsbedömning av samtliga relevanta omständigheter ska förstås även göras när det är fråga om beslut om andra ingripanden än sanktionsavgifter. Enligt utredningen följer skyldigheten för myndigheten att ta hänsyn till alla relevanta omständigheter i varje 446 SOU 2025:101 Befogenheter och ingripanden enskilt fall av 23 § FL och den s.k. omsorgsprincipen.31 En sådan skyldighet följer även av proportionalitetsprincipen, som beträf- fande sanktioner även följer av artikel 99.1 i AI-förordningen (se avsnitt 10.6.1). Den nationella behöriga myndigheten ska följakt- ligen välja den ingripandeåtgärd som den finner är lämpligast i det enskilda fallet, även när det inte är fråga om beslut om sanktions- avgift.32 Detta innebär att en sådan helhetsbedömning som ska göras en- ligt artikel 99.7 i AI-förordningen vid beslut om sanktionsavgift även ska göras vid beslut om föreläggande (se avsnitt 10.7.2) och vid be- slut om anmärkning (se avsnitt 10.7.3). Mot bakgrund av att den befintliga regleringen i 5 och 23 §§ FL är tillräcklig i detta syfte be- hövs det inte någon särskild bestämmelse i kompletteringslagen som reglerar skyldigheten för nationella behöriga myndigheter att göra en helhetsbedömning vid beslut om föreläggande eller anmärkning. Att en helhetsbedömning ska göras vid beslut om sanktionsavgifter följer som redovisats ovan redan av artikel 99.7 i AI-förordningen och ska därför inte dessutom regleras i kompletteringslagen. 10.7 Överväganden om vilka möjligheter till ingripanden som bör finnas 10.7.1 Det bör finnas alternativa ingripandemöjligheter till sanktionsavgifter Utredningens bedömning: Det bör finnas alternativa möjlig- heter till ingripanden vid överträdelser av AI-förordningen och inte endast sanktionsavgifter. Som har redovisats ovan är sanktionsavgifter reglerade i AI-förord- ningen. När det gäller andra typer av sanktioner och ingripanden har det dock överlämnats till medlemsstaterna att reglera dem. Det följer av artikel 99.1 i AI-förordningen att medlemsstaterna ska fast- ställa bestämmelser om sanktioner och andra efterlevnadsåtgärder. Medlemsstaterna är således skyldiga att införa alternativa ingrip- 31 Jfr prop. 2016/17:180, s. 149, Lagrådsremissen Ett starkt skydd för nätverks- och informations- system – en ny cybersäkerhetslag, s. 145 och Nya regler om cybersäkerhet (SOU 2024:18), s. 257. 32 Jfr Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäker- hetslag, s. 146 f. 447 Befogenheter och ingripanden SOU 2025:101 andemöjligheter till sanktionsavgifter, även om de har en frihet att välja vilka alternativa ingripanden som ska finnas. I avsnitt 10.5 har utredningen bedömt att straffrättsliga sanktio- ner inte bör införas för överträdelser av AI-förordningen. I stället bör det övervägas att införa alternativa ingripanden av administra- tivt slag. Utredningen gör därför följande överväganden. För en hög regelefterlevnad på lång sikt är det viktigt att kontak- terna mellan de nationella behöriga myndigheterna och operatörer samt anmälda organ sker med förtroende och respekt, vilket främ- jas av kommunikation. Innan ett ingripande görs kan det vara aktu- ellt med påpekanden och rekommendationer för att få till stånd en frivillig rättelse. Representanter för näringslivet har framfört att AI-förordningen är ett komplext och svåröverskådligt regelverk, vilket riskerar att för- svåra för företagen att göra rätt. Om även enstaka, mindre allvarliga överträdelser kan resultera i en sanktionsavgift kan det enligt dessa representanter utgöra ett hinder mot innovation och användning av AI-system. Utredningen kan också konstatera att operatörer kommer att behöva arbeta systematiskt, kontinuerligt och framåtsyftande för att leva upp till kraven i AI-förordningen. Operatörer av AI-system kommer i många fall att vara vinstdrivande företag som verkar i konkurrens med varandra, både nationellt, inom EU och globalt. Det är därför nödvändigt att systemet med sanktionsavgifter och andra ingripanden utformas på ett sätt så att operatörer och anmälda organ får tillräckliga incitament att följa de skyldigheter som ställs upp. Enligt utredningen är det viktigt att tillämpningen av AI-för- ordningen inte heller ställer upp onödiga hinder för operatörer och anmälda organ. Om nationella behöriga myndigheter och domstolar endast får använda sanktionsavgifter mot operatörers och anmälda organs över- trädelser finns det en risk för att myndigheterna och domstolarna avstår från att ingripa vid överträdelser av AI-förordningen som är mindre allvarliga. En större risk är att en sådan ordning kan leda till att sanktionsavgifter påförs för överträdelser som skulle ha kunnat leda till ett mildare ingripande, om ett sådant hade varit tillgängligt. Alternativa ingripandemöjligheter skapar enligt utredningen goda förutsättningar för att systemet med sanktionsavgifter och andra slags 448 SOU 2025:101 Befogenheter och ingripanden ingripanden i stort ska vara effektivt, proportionellt och avskräck- ande. Enligt utredningen behöver det därför finnas mildare ingripan- den än sanktionsavgifter vid operatörer och anmälda organs över- trädelser av AI-förordningen. Systemet behöver också utformas så att ingripanden kan ske såväl framåtsyftande för att förmå en opera- tör eller ett anmält organ att agera på ett visst sätt för att inte över- träda regelverket som bakåtsyftande som en reaktion på en redan begången överträdelse. Utredningen föreslår därför i det följande att systemet med sank- tioner och andra ingripanden enligt AI-förordningen ska innefatta en möjlighet för de nationella behöriga myndigheterna att besluta om förelägganden med eller utan vite (se avsnitt 10.7.2) och om an- märkning eller sanktionsavgift (se avsnitt 10.7.3). Frågor om sank- tionsavgifter och andra ingripandemöjligheter även bör gälla i för- hållande till myndigheter behandlas i avsnitt 10.8. Enligt utredningens förslag kommer den lindrigaste formen av ingripande att utgöras av anmärkning eller föreläggande utan vite. Åtgärderna skiljer sig åt i den meningen att en anmärkning är bakåt- syftande och därför bör användas när det inte finns något att åtgärda med anledning av en överträdelse av AI-förordningen, men där över- trädelsen bör medföra ett mindre allvarligt ingripande. Ett föreläg- gande är framåtsyftande och bör därför användas som en ingripande- åtgärd för att förmå en operatör eller ett anmält organ att åtgärda identifierade brister eller att vidta rättelse. Ett föreläggande får om det behövs även skärpas på så sätt att det förenas med vite. Vid valet av om en överträdelse ska medföra en anmärkning, en sanktionsavgift eller ett föreläggande med eller utan vite behöver de nationella behöriga myndigheterna överväga om en framtida föränd- ring av ett handlade eftersträvas eller om det är ett förflutet hand- lande som behöver åtföljas av en påföljd.33 Den allvarligaste formen av ingripande kommer att utgöras av en sanktionsavgift. Sanktionsavgifter bör enligt utredningen användas för överträdelser av allvarlig art eller i fall av upprepade överträdel- ser där myndigheten har uttömt andra former av ingripanden som anmärkning. Vid den bedömningen behöver myndigheten beakta proportionalitetsprincipen (se avsnitt 10.6.1). Myndigheten ska en- 33 Jfr prop. 2022/23:42, s. 180. 449 Befogenheter och ingripanden SOU 2025:101 ligt den principen även pröva om det finns skäl att avstå från att ingripa med anledning av en överträdelse av AI-förordningen. 10.7.2 Förelägganden Utredningens förslag: Kompletteringslagen ska innehålla be- stämmelser om – att en nationell behörig myndighet får besluta de föreläggan- den som behövs för att AI-förordningen, EU:s marknadskon- trollförordning, kompletteringslagen och föreskrifter som har meddelats med stöd av AI-förordningen eller kompletter- ingslagen, ska följas, och – att en nationell behörig myndighet får förena ett sådant före- läggande med vite. En föreläggandemöjlighet behövs vid marknadskontroll och annan tillsyn enligt AI-förordningen För att marknadskontrollmyndigheterna och de anmälande myndig- heterna ska kunna utföra sina arbetsuppgifter på ett effektivt sätt bör de i enskilda fall kunna meddela de förelägganden som behövs för att AI-förordningen och, beträffande marknadskontrollmyndig- heterna, EU:s marknadskontrollförordning ska följas. Möjligheten för myndigheter att besluta om förelägganden för att kunna utföra sina tillsynsuppdrag följer redan av bestämmelserna om myndigheters utredningsansvar i FL. Av det skälet att utredningen anser att det bör vara möjligt att förena ett föreläggande med vite (se avsnitt nedan) och av tydlighetsskäl bör det införas en bestäm- melse i kompletteringslagen om att de nationella behöriga myndig- heterna ska ha möjlighet att besluta om förelägganden inom ramen för sin tillsynsverksamhet.34 Förelägganden kommer att aktualiseras i olika avseenden till följd av AI-förordningen. Möjligheten att besluta om förelägganden för att kunna styra beteendet hos den som ett föreläggande riktas mot 34 Jfr Gröna boken – Riktlinjer för författningsskrivning (Ds 2014:1), s. 68 och prop. 2023/24:73, s. 39. 450 SOU 2025:101 Befogenheter och ingripanden bör enligt utredningen vara brett för att täcka in all marknadskon- troll och annan tillsyn. Föreläggandets utformning skapar möjligheter för de nationella behöriga myndigheterna att anpassa ett ingripande efter vad som är behövligt i den specifika situationen.35 Utredningen återkommer i de kommande avsnitten närmare om i vilken utsträckning det bör framgå av kompletteringslagen att före- lägganden får beslutas. Marknadskontrollmyndigheternas förelägganden vid utövandet av befogenheterna enligt EU:s marknadskontrollförordning Utredningen har i avsnitt 10.2.1 föreslagit att kompletteringslagen ska innehålla bestämmelser om att marknadskontrollmyndigheterna vid marknadskontroll av AI-system som omfattas av AI-förordningen ska ha befogenheterna enligt artikel 14.4 i EU:s marknadskontroll- förordning. Marknadskontroll avser i detta sammanhang kontrollen av ett AI-system och således inte en viss aktör. I förarbetena om anpass- ningar till EU:s marknadskontrollförordning bedömdes det vara naturligt att en marknadskontrollmyndighet använder sig av före- lägganden när den, vid utövandet av de tilldelade befogenheterna enligt artikel 14.4 i EU:s marknadskontrollförordning, riktar olika krav mot en ekonomisk aktör. Utredningen bedömer att en marknadskontrollmyndighet enligt AI-förordningen bör kunna rikta förelägganden på motsvarande sätt mot en operatör enligt AI-förordningen. I begreppet föreläggande ligger såväl att det kan röra sig om ett påbud att vidta en viss åtgärd som ett förbud mot att vidta en åtgärd.36 Förelägganden kan i fråga om AI-förordningen behöva beslutas för att en marknadskontroll- myndighet ska kunna bedriva en effektiv kontrollverksamhet av AI-system, t.ex. för att myndigheten ska kunna få tillträde till de lokaler som en operatör använder. Det kan också handla om att marknadskontrollmyndigheten förelägger operatören att tillhanda- hålla olika former av handlingar.37 35 Skr. 2009/10:79 En tydlig, rättssäker och effektiv tillsyn, s. 44. 36 Prop. 2021/22:238, s. 168 f. 37 Jfr prop. 2021/22:238, s. 168 f. 451 Befogenheter och ingripanden SOU 2025:101 Av sektorslagarna till de unionsrättsakter som omfattas av EU:s marknadskontrollförordning följer att marknadskontrollmyndig- heten får besluta om förelägganden vid utövandet av de tilldelade befogenheterna enligt artikel 14.4 i EU:s marknadskontrollförord- ning. En motsvarande föreläggandemöjlighet bör marknadskontroll- myndigheterna ha enligt AI-förordningen. Marknadskontrollmyndigheternas förelägganden vid utövandet av befogenheterna enligt AI-förordningen I avsnitt 10.2.2 har utredningen föreslagit att det i kompletterings- lagen till AI-förordningen upplysningsvis ska anges att marknads- kontrollmyndigheterna har befogenheter enligt artiklarna 74.5, 74.12 och 74.13 i AI-förordningen. Artikel 74.5 är utformad på ett sådant sätt att marknadskontroll- myndigheterna ges befogenhet att utöva vissa av befogenheterna i artikel 14.4 i EU:s marknadskontrollförordning på distans. Bestäm- melsen i artikel 74.5 bör kunna överträdas, t.ex. genom att en opera- tör omöjliggör för marknadskontrollmyndigheten att utöva befogen- heterna i fråga på distans. Artikel 74.12 bör kunna överträdas genom att leverantören inte beviljar marknadskontrollmyndigheten tillgång till dokumentation och tränings-, validerings- och testdataset m.m. Även artikel 74.13 bör kunna överträdas om en operatör inte bevil- jar marknadskontrollmyndigheten tillgång till källkoden för AI- systemet med hög risk. Det är enligt utredningen naturligt att marknadskontrollmyn- digheterna även vid utövandet av dessa befogenheter som följer direkt av AI-förordningen ska kunna använda sig av förelägganden för att rikta olika krav mot operatörer. Förelägganden vid överträdelser av EU:s marknadskontrollförordning EU:s marknadskontrollförordning utgör ett ramverk med bestäm- melser om marknadskontrollåtgärder och innehåller också några bestämmelser som inför skyldigheter för ekonomiska aktörer. I EU:s marknadskontrollförordning framgår av artikel 14.4 i att marknadskontrollmyndigheter ska ges befogenhet att fastställa på- 452 SOU 2025:101 Befogenheter och ingripanden följder i enlighet med artikel 41 i samma förordning. Artikel 41.1 innebär – såvitt här är av betydelse – en skyldighet för medlems- staterna att fastställa regler om sanktioner för överträdelser av så- dana bestämmelser i förordningen som inför skyldigheter för eko- nomiska aktörer. Av betydelse i förhållande till AI-förordningen är att artikel 7.1 i EU:s marknadskontrollförordning anger att ekono- miska aktörer är skyldiga att samarbeta med marknadskontrollmyn- digheterna beträffande åtgärder som kan undanröja eller minska risker som produkter tillhandahållna på marknaden av dessa aktörer medför. När svensk rätt anpassades till EU:s marknadskontrollförord- ning infördes möjligheter för marknadskontrollmyndigheter att besluta om förelägganden i sektorslagstiftningen beträffande över- trädelser av EU:s marknadskontrollförordning.38 Det är enligt ut- redningen rimligt att marknadskontrollmyndigheter enligt AI-för- ordningen får motsvarande föreläggandemöjligheter vad beträffar artikel 7.1 i EU:s marknadskontrollförordning. Andra förelägganden vid överträdelser av AI-förordningen och föreskrifter meddelade med stöd av förordningen Utredningen har i avsnitten ovan redogjort för olika förelägganden som marknadskontrollmyndigheterna kan behöva besluta om inom ramen för sina befogenheter samt till följd av överträdelser av EU:s marknadskontrollförordning. Förelägganden kan också behöva be- slutas i andra avseenden vad avser operatörers överträdelser av AI-för- ordningen. Även de anmälande myndigheterna kan behöva besluta om förelägganden för att de anmälda organen ska åtgärda identifierade brister eller vidta rättelse. Det kan även komma att meddelas föreskrifter med stöd av AI- förordningen. Förelägganden bör även kunna beslutas för att sådana föreskrifter ska följas. 38 Prop. 2021/22:238, s. 167. 453 Befogenheter och ingripanden SOU 2025:101 Förelägganden enligt kompletteringslagen och föreskrifter meddelade med stöd av lagen Kompletteringslagen kompletterar AI-förordningen. Utredningen föreslår att kompletteringslagen bör innehålla vissa skyldigheter för operatörer (se exempelvis anmälningsskyldigheten i avsnitt 11.5.3 och skyldigheten att bevara dokumentation i avsnitt 14.2). Dessutom ges marknadskontrollmyndigheterna befogenheter som framgår i artikel 14.4 i EU:s marknadskontrollförordning (se ovan). Utred- ningen anser att marknadskontrollmyndigheterna bör ha möjlighet att besluta om förelägganden även beträffande sådana bestämmelser som framgår av kompletteringslagen, i tillämpliga delar. Det bör gälla även föreskrifter som är meddelade med stöd av kompletter- ingslagen. Sammanfattning Sammanfattningsvis anser utredningen att nationella behöriga myn- digheter bör få möjlighet att besluta om förelägganden som behövs för att AI-förordningen, EU:s marknadskontrollförordning, kom- pletteringslagen eller föreskrifter som har meddelats med stöd av AI-förordningen eller kompletteringslagen, ska följas. Det bör framgå av kompletteringslagen. Samtliga förelägganden bör kunna förenas med vite Avsikten med att förelägganden ska kunna förenas med vite är att åstadkomma en framåtriktad och handlingsdirigerande effekt. Vite lämpar sig därför väl vid förelägganden eftersom sådana åtgärder endast gäller från och med den tidpunkt då de meddelas (se även avsnitt 10.4.2). Föreläggande med vitesmöjlighet är ett centralt verktyg för att marknadskontrollmyndigheter och andra tillsynsmyndigheter ska kunna tillse att aktuella regler efterlevs. Vid marknadskontroll syf- tar detta bl.a. till att den som står under marknadskontroll ska lämna viss information som behövs för efterlevnadskontrollen. Vitesföre- läggande kan också användas för att förmå en aktör att vidta – eller avstå från att vidta – vissa åtgärder. 454 SOU 2025:101 Befogenheter och ingripanden I förarbetena om anpassningar till EU:s marknadskontrollförord- ning bedömdes det påtryckningsmedel som vite utgör behöva finnas tillgängligt för marknadskontrollmyndigheterna när de fattar beslut med stöd av sina befogenheter eller för att EU:s marknadskontroll- förordning ska följas. Sådana möjligheter att vitesförelägga följer av sektorslagarna till de unionsrättsakter som omfattas av EU:s mark- nadskontrollförordning. I flera fall har möjligheten att förelägga med vite utformats på ett liknande sätt som utredningen föreslår. I flera av sektorslagarna finns dessutom en huvudregel som anger att ett föreläggande ska förenas med viten, om det av särskilda skäl inte är obehövligt.39 Även i lagen om vissa produkters och tjänsters tillgänglighet finns det en möjlighet för marknadskontrollmyndigheten att förena samt- liga förelägganden med vite.40 I propositionen om kompletterande bestämmelser till EU-förordningen om batterier föreslår regeringen att marknadskontrollmyndigheten ska få besluta de förelägganden som behövs för att EU-förordningen om batterier och EU:s mark- nadskontrollförordning ska följas samt att samtliga förelägganden ska få förenas med vite.41 För att sanktionssystemet inom marknadskontrollområdet ska vara enhetligt och överskådligt för både operatörer och marknads- kontrollmyndigheter bör det enligt utredningen vara möjligt för marknadskontrollmyndigheter som utövar marknadskontroll över AI-system att använda sig av förelägganden med vite i motsvarande utsträckning som i annan sektorslagstiftning. För att åtgärder som vidtas inom ramen för de anmälande myn- digheternas tillsyn ska kunna tillämpas i praktiken och få genom- slag är det även centralt att dessa myndigheters förelägganden får förenas med vite. Det finns i princip inte något hinder mot att förena ett föreläg- gande (om påbud eller förbud) med vite trots att underlåtenhet att vidta den åtgärd som avses med föreläggandet också kan föranleda t.ex. en sanktionsavgift. Detta gör att en handling eller en under- låtenhet att agera kan omfattas av såväl ett vitesföreläggande om ett aktivt handlande eller ett förbud som en sanktionsavgift. Av dubbel- prövningsförbudet följer dock att en sanktionsavgift inte får beslu- 39 Se t.ex. 13 § radioutrustningslagen (2016:392), 28 § lag (2016:96) om fritidsbåtar och vattenskotrar och 28 § lagen (2011:579) om leksakers säkerhet. 40 35 § lagen om vissa produkters och tjänsters tillgänglighet. 41 Prop. 2024/25:194, s. 16 f. 455 Befogenheter och ingripanden SOU 2025:101 tas beträffande en viss överträdelse om ett föreläggande med vite redan har meddelats beträffande samma överträdelse och myndig- heten har ansökt om utdömande av vitet (se avsnitt 10.4.3 och 10.9). Utredningen anser att de nationella behöriga myndigheterna ska kunna förena samtliga förelägganden med vite. Ett vitesföreläggande ska kunna användas för att förmå en aktör att vidta – eller avstå från att vidta – vissa åtgärder. Det bör framgå av kompletteringslagen att de nationella behöriga myndigheterna får besluta om förelägganden med vite. Viteslagen ska tillämpas Om vite föreläggs är viteslagen tillämplig, vilket bl.a. innebär att pro- portionalitetskrav kommer att behöva beaktas vid fastställande av vitets storlek. När det gäller vitesbeloppet ska det fastställas till ett belopp som med hänsyn till vad som är känt om adressatens ekono- miska förhållanden och till omständigheterna i övrigt kan antas förmå honom att följa det föreläggande som är förenat med vitet (3 § vites- lagen). Med omständigheterna i övrigt avses bl.a. kostnaderna för föreläggandets fullgörande och omfattningen av de åtgärder som krävs. Beloppet bör vidare bestämmas med hänsyn till hur ange- läget det är att föreläggandet följs. Myndigheterna kan emellertid inom ramen för 3 § viteslagen bestämma hur högt eller lågt belopp som helst. Vitet ska som huvudregel fastställas till ett bestämt belopp (3 § viteslagen). Om det är lämpligt med hänsyn till omständigheterna får löpande vite föreläggas (4 § vitelagen). Vitet bestäms då till ett visst belopp för varje tidsperiod av viss längd under vilken föreläg- gandet inte har följts eller, om föreläggandet avser en återkommande förpliktelse, för varje gång adressaten underlåter att fullgöra denna. Om ett föreläggande inte följs, kan myndigheten behöva upprepa föreläggandet. Det kan i sådana fall vara lämpligt att höja vites- beloppet. Frågor om utdömande av viten prövas enligt 6 § viteslagen av för- valtningsrätt på ansökan av den myndighet som har utfärdat vites- föreläggandet. Enligt utredningens bedömning finns det inte anledning att in- föra bestämmelser som avviker från viteslagen. 456 SOU 2025:101 Befogenheter och ingripanden 10.7.3 Anmärkning och sanktionsavgift Utredningens bedömning: Anmärkning eller sanktionsavgift bör kunna påföras vid en konstaterad överträdelse av AI-förord- ningen. Anmärkning eller sanktionsavgift bör endast meddelas operatörer och anmälda organ för överträdelser av bestämmel- serna som framgår av artikel 99.3–5 i AI-förordningen. Det bör inte införas en möjlighet för de nationella behöriga myndigheterna att besluta om anmärkning eller sanktionsavgift för överträdelser av andra bestämmelser i AI-förordningen. Utredningens förslag: Kompletteringslagen ska innehålla en bestämmelse om att en anmärkning eller en sanktionsavgift får beslutas mot en operatör eller ett anmält organ vid överträdelser av AI-förordningen i dess ursprungliga lydelse när det gäller 1. förbudet mot de AI-användningsområden som avses i artikel 5, 2. leverantörens skyldigheter enligt artikel 16, 3. ombuds skyldigheter enligt artikel 22, 4. importörers skyldigheter enligt artikel 23, 5. distributörers skyldigheter enligt artikel 24, 6. tillhandahållares skyldigheter enligt artikel 26, 7. kraven och skyldigheterna för anmälda organ enligt artik- larna 31, 33.1, 33.3, 33.4 eller 34, eller 8. transparensskyldigheterna för leverantörer och tillhandahållare enligt artikel 50. Anmärkning eller sanktionsavgift får även beslutas mot en ope- ratör eller ett anmält organ för tillhandahållande av oriktig, ofull- ständig eller vilseledande information till ett anmält organ eller en nationell behörig myndighet som svar på en begäran. 457 Befogenheter och ingripanden SOU 2025:101 Sanktionsavgifter ska införas för överträdelser av bestämmelserna som framgår av artikel 99.3–5 i AI-förordningen Av artikel 99.1 i AI-förordningen följer en skyldighet för medlems- staterna att fastställa bestämmelser om sanktioner och andra efter- levnadsåtgärder som ska tillämpas vid operatörers överträdelser av AI-förordningen. Artikel 99.3–11 innehåller bestämmelser som be- handlar påförande av administrativa sanktionsavgifter. Som utredningen förstår AI-förordningen ska överträdelser av vissa bestämmelser i förordningen vara föremål för sanktionsavgif- ter (artikel 99.3–5). Genom att medlemsstaterna ska fastställa be- stämmelser om sanktioner följer att det behövs en svensk reglering för att sanktionsavgifter ska få användas vid överträdelser enligt vad som följer av artikel 99.3–5. Artikel 99.3 reglerar de förbjudna AI- användningsområdena. I artikel 99.4 anges vissa skyldigheter som gäller för operatörer vad avser AI-system med hög risk och trans- parensskyldigheterna enligt artikel 50. Därtill anges ett antal krav och skyldigheter som gäller anmälda organ (artikel 99.4 f). Av artikel 99.5 följer också att tillhandahållande av oriktig, ofull- ständig eller vilseledande information till anmälda organ eller natio- nella behöriga myndigheter som svar på en begäran ska kunna med- föra påförande av en sanktionsavgift. Eftersom artikel 99.3–5 specifikt avser sanktionsavgifter bör be- stämmelserna i AI-förordningen om vilka överträdelser som kan medföra sanktionsavgift anges i kompletteringslagen. Det är också lämpligt av det skälet att utredningen också föreslår att en anmärk- ning ska kunna användas som ingripandemöjlighet vid de överträdel- ser av AI-förordningen som kan föranleda en sanktionsavgift (se nedan). Utredningen noterar samtidigt att artikel 99.1 endast anger att medlemsstaterna ska fastställa bestämmelser som ska tillämpas vid operatörers överträdelser. Operatörer definieras som en leverantör, en produkttillverkare, en tillhandahållare, ett ombud, en importör eller en distributör (artikel 3.8). Definitionen omfattar således inte anmälda organ. De villkor som ska beaktas när bestämmelser om sanktionsavgifter fastställs följer dock av artikel 99.3–5 i AI-förord- ningen. Av artikel 99.4 framgår att bristande efterlevnad av kraven och skyldigheterna för anmälda organ enligt artikel 31, 33.1, 33.3, 33.4 458 SOU 2025:101 Befogenheter och ingripanden eller 34 ska medföra administrativa sanktionsavgifter (artikel 99.4 f). Mot denna bakgrund anser utredningen att regleringen av sank- tionsavgifter också ska gälla vid överträdelser av kraven på anmälda organ och deras skyldigheter enligt artikel 99.4 f. En sådan ordning skapar också en tydlig, enhetlig och förutsebar lagstiftning. Utredningen föreslår därför att kompletteringslagen ska inne- hålla en bestämmelse om att en sanktionsavgift får beslutas mot en operatör eller ett anmält organ vid överträdelser av någon av de be- stämmelser som räknas upp i artikel 99.3–5 i AI-förordningen. Som utredningen har konstaterat i avsnitt 5.2.3 bör hänvisningen till AI- förordningen vara statisk, dvs. avse AI-förordningen i dess ursprung- liga lydelse. Anmärkning bör utgöra ett alternativt ingripande Av artikel 99.1 i AI-förordningen följer en skyldighet för medlems- staterna att fastställa bestämmelser om sanktioner och andra efter- levnadsåtgärder som ska tillämpas vid överträdelser av AI-förord- ningen. Som utredningen har redovisat ovan bör mindre ingripande åtgärder än sanktionsavgifter införas (se avsnitt 10.7.1). Kommissionen har utarbetat ett tolkningsunderlag för att stödja medlemsstaterna i att uppfylla sina skyldigheter att fastställa bestäm- melser om sanktioner och andra efterlevnadsåtgärder enligt artikel 99 i AI-förordningen. Kommissionen har i sitt tolkningsunderlag om artikel 99 uttryckt att andra efterlevnadsåtgärder som medlemssta- terna kan inrätta för överträdelser av AI-förordningen inkluderar bl.a. varning och reprimand. Som exempel på när en varning kan användas enligt kommissionens uppfattning är om en operatör som alltid har uppfyllt alla skyldigheterna i AI-förordningen inte har registrerat viss information under en kortare tidsperiod. I sådant fall bör enligt kommissionen en varning kunna meddelas i stället för en sanktions- avgift. Enligt utredningen är lämpliga former av alternativa ingripanden till sanktioner att besluta om en reprimand, anmärkning, erinran eller varning. I sektorslagstiftningen på marknadskontrollområdet används dock inte åtgärderna reprimand, anmärkning, erinran eller varning som på- följd annat än i undantagsfall. En varning kan t.ex. meddelas enligt 459 Befogenheter och ingripanden SOU 2025:101 45 § elsäkerhetslagen (2016:732) vid mindre allvarliga fall i stället för att återkalla eller inskränka en auktorisation. En varning kan också meddelas i stället för att återkalla ett försäljningstillstånd enligt 7 kap. 11 § lagen (2018:2088) om tobak och liknande pro- dukter om det anses vara en tillräckligt ingripande åtgärd. Av artikel 58.2 b i EU:s dataskyddsförordning följer att tillsyns- myndigheten får utfärda en reprimand mot en personuppgiftsansva- rig eller ett personuppgiftsbiträde om en behandling bryter mot bestämmelserna i förordningen. Utredningen uppfattar dock att reprimand i övrigt är ett främmande begrepp i svensk rätt.42 Varning som ingripande förekommer på flera håll i svensk rätt. Varning reserveras vanligtvis för mer klandervärda ageranden som, om de upprepas, kan leda till återkallelse av ett tillstånd eller avregi- strering (t.ex. återkallelse av en auktorisation enligt elsäkerhetslagen eller en avregistrering som mäklare enligt fastighetsmäklarlagen [2021:516]).43 Varning som påföljd förekommer i lagen (2024:500) med kompletterande bestämmelser till EU:s dataförvaltningsför- ordning och används även i den lagen som en alternativ påföljd där en överträdelse ska kunna leda till avregistrering.44 Av artikel 58.2 i EU:s dataskyddsförordning följer samtidigt att en varning kan utfärdas till en personuppgiftsansvarig eller person- uppgiftsbiträdet om att planerade behandlingar sannolikt kommer att bryta mot bestämmelserna i den förordningen. Enligt utredningen avviker dock det sätt som varning används i EU:s dataskyddsför- ordning från hur varning som ingripande normalt används i svensk lagstiftning. En erinran ses ofta som en mildare påföljd än en varning. Erin- ran förekommer i flera författningar så som fastighetsmäklarlagen och alkohollagen (2010:1622). I dessa författningar används erinran tillsammans med varning som ett förstahandsalternativ till påföljd- erna avregistrering respektive återkallelse av tillstånd. Att erinran infördes som en alternativ påföljd i alkohollagen beror på att även en varning bedömdes utgöra en ingripande påföljd.45 42 Jfr prop. 2023/24:73, s. 41. 43 Prop. 2010/11:15, s. 40 och prop. 2009/10:125, s. 117. 44 Prop. 2023/24:73, s. 41. 45 Prop. 2009/10:125, s. 117. 460 SOU 2025:101 Befogenheter och ingripanden En annan alternativ påföljd till varning i svensk rätt är anmärk- ning.46 Anmärkning som ingripande är avsett att användas vid mindre allvarliga överträdelser.47 Som exempel kan nämnas att regeringen i lagrådsremissen om en ny cybersäkerhetslag har föreslagit att en till- synsmyndighet ska kunna meddela en anmärkning vid överträdelser om myndigheten inte finner skäl att ingripa på något annat sätt.48 Enligt utredningens bedömning har det sätt som kommissionen förefaller tänka sig att varning som ingripande kan användas vid överträdelser av AI-förordningen, dvs. i mindre allvarliga fall, större likheter med hur anmärkning används i svensk rätt. Anmärkning som ingripande är tänkt att användas vid mindre allvarliga överträdelser samtidigt som varning anses utgöra en ingripande påföljd enligt svensk rätt. Mot denna bakgrund föreslår utredningen att anmärkning ska användas i kompletteringslagen som ett alternativt och mildare in- gripande till sanktionsavgift. Även beträffande anmärkning bör hän- visningen till AI-förordningen vara statisk, dvs. avse AI-förordningen i dess ursprungliga lydelse (se avsnitt 5.2.3). Det bör vara möjligt att använda en anmärkning som ett alterna- tivt ingripande till en sanktionsavgift vad gäller samtliga överträdel- ser där en sanktionsavgift får meddelas. En anmärkning bör därför, liksom en sanktionsavgift, kunna meddelas vid överträdelser av AI- förordningen i enlighet med vad som följer av artikel 99.3–5. Anmärkning bör kunna användas när det inte finns något att åt- gärda med anledning av en överträdelse av AI-förordningen, men där överträdelsen ändå bör medföra en påföljd. I enlighet med propor- tionalitetsprincipen ska en nationell behörig myndighet i den speci- fika situationen överväga om en anmärkning ska meddelas i stället för en sanktionsavgift. En nationell behörig myndighet behöver givetvis även överväga om det är proportionellt att i det enskilda fallet meddela en anmärkning (se avsnitt 10.6.1). 46 Se t.ex. 15 kap. 1 § andra stycket lagen (2004:297) om bank- och finansieringsrörelse, 25 kap. 1 § lagen (2007:528) om värdepappersmarknaden och lagen (2018:1219) om försäkringsdistri- bution. 47 Skr. 2009/10:79 En tydlig, rättssäker och effektiv tillsyn, s. 58 f. 48 Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäker- hetslag, s. 166 f. Lagrådet yttrade sig inte över förslaget om anmärkning som ingripande- möjlighet, se Lagrådets yttrande i Utdrag ur protokoll vid sammanträde 2025-06-26. 461 Befogenheter och ingripanden SOU 2025:101 Anmärkning eller sanktionsavgift bör inte kunna påföras för överträdelser av andra bestämmelser än artikel 99.3–5 Kommissionen ger i sitt tolkningsunderlag om artikel 99 uttryck för att det får anses följa av ordalydelsen i artikel 99.1 att medlems- staterna ska fastställa bestämmelser om sanktioner och andra efter- levnadsåtgärder för alla överträdelser av AI-förordningen. Intentio- nen med artikel 99.3–5 är enligt kommissionen att fastställa övre gränser för administrativa sanktionsavgifter för vissa överträdelser. Artikel 99.3–5 kan enligt kommissionen däremot inte förstås som en uttömmande förteckning av alla bestämmelser där överträdelser kan medföra en sanktion. Kommissionen anser därför i tolknings- underlaget att medlemsstaterna måste fastställa regler om sanktio- ner och andra efterlevnadsåtgärder för överträdelser av bestämmelser i AI-förordningen som inte uttryckligen anges eller som det hän- visas till i artikel 99. Utredningen har tagit del av detta tolkningsunderlag, som är av- sett att ligga till grund för diskussioner i AI-styrelsen om genomför- andet av artikel 99 i nationell rätt mellan medlems-staterna. Det ska noteras att kommissionens tolkningsunderlag om artikel 99 inte är några officiella riktlinjer om genomförandet av AI-förordningen en- ligt artikel 96 eller något motsvarande dokument. Tolkningsunder- laget kommer dessutom att bli föremål för fortsatt överläggning mellan medlemsstaterna. Med anledning av kommissionens tolk- ningsunderlag bör det enligt utredningen dock övervägas om över- trädelser av andra bestämmelser i AI-förordningen, som inte pekas ut i artikel 99.3–5, bör vara föremål för ingripande i form av sank- tionsavgift eller anmärkning. Vid dessa överväganden beaktar utredningen vissa andra med- lemsländers förslag om anpassningar till AI-förordningen. Av den finska regeringens proposition med förslag till lagstift- ning som kompletterar AI-förordningen följer att inte alla bestäm- melser ska omfattas av sanktionsavgifter eller annan sanktion. Som utredningen uppfattar propositionen är det den finska regeringens uppfattning att artikel 99.3–5 föreskriver att överträdelser av olika skyldigheter enligt AI-förordningen ska kunna medföra en sank- tionsavgift och att inga andra ingripanden bedöms behövas.49 49 RP 46/2025 rd, s. 97 f. 462 SOU 2025:101 Befogenheter och ingripanden I den tyska regeringens lagförslag anges också att sanktionsavgift ska kunna påföras vid överträdelser enligt artikel 99.3–5 i AI-förord- ningen.50 Den tyska regeringen har således inte föreslagit att över- trädelser av andra bestämmelser i AI-förordningen ska kunna ligga till grund för påförande av sanktionsavgift. Som utredningen upp- fattar den tyska regeringens lagförslag föreslås också att straffrätts- liga sanktioner ska kunna ådömas för överträdelser enligt 99.3–5 i AI-förordningen. Den norska regeringen har presenterat förslag om anpassningar till AI-förordningen. Den anger i fråga om sanktionsavgifter att AI-förordningen reglerar vilka överträdelser som kan bestraffas med sanktionsavgifter och fastställer beloppsgränser för avgifterna. Enligt den norska regeringen begränsar således bestämmelserna i artikel 99 i AI-förordningen det nationella handlingsutrymmet för att ålägga privaträttsliga organ sanktionsavgifter.51 Kommissionen har således en tolkning av artikel 99.1. En annan möjlig tolkning av artikel 99.1 är att det överlämnas åt medlemssta- terna att avgöra vilka andra bestämmelser i AI-förordningen som ska omfattas av sanktioner och andra efterlevnadsåtgärder, än de bestäm- melser som uttryckligen räknas upp i artikel 99 (dvs. artikel 99.3–5). Ytterligare en möjlig tolkning är att artikel 99 i AI-förordningen uttömmande reglerar vilka överträdelser som kan resultera i påför- ande av en sanktionsavgift. Den sistnämnda tolkningen tycks den norska regeringens förslag om anpassningar till AI-förordningen baseras på. Det är inte heller klart vilka bestämmelser i AI-förordningen som kan överträdas. Kommissionen ger inte något entydigt svar på detta i sitt tolkningsunderlag, utan hänvisar till att medlemsstaterna bör införa en s.k. fall-backbestämmelse som innebär att även bestämmel- ser som inte uttryckligen anges i lagstiftningen kan vara sanktions- grundande. Utredningens förslag i avsnitt 10.7.2 om vitesföreläg- ganden kan möjligen betraktas som en sådan bestämmelse. Enligt utredningen är det emellertid tveksamt att införa en så vidsträckt 50 Federal Ministry of Economics and climate protection, Draft law implementing Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonized rules on artificial intelligence. 51 Digitaliserings- og forvaltningsdepartementet (DFD), Høringsnotat, Gjennomføring av forordningen om kunstig intelligens (KI-forordningen), 2025-06-30, s. 51. 463 Befogenheter och ingripanden SOU 2025:101 bestämmelse beträffande sanktionsavgifter som kommissionen före- slår mot bakgrund av legalitets- och proportionalitetsprincipen.52 I sitt tolkningsunderlag ger kommissionen även uttryck för att medlemsstaterna bör eftersträva harmonisering när det gäller utform- ningen av sanktionssystemet. Det fortsatta arbetet på unionsnivå vad avser harmonisering av medlemsstaternas sanktionssystem kan därför medföra att det finns behov av att se över vilka bestämmelser i AI-förordningen som ska vara föremål för sanktioner och andra ingripandemöjligheter. Samtidigt har kommissionen i sitt tolkningsunderlag angett vissa bestämmelser som den anser ska vara sanktionsgrundande och som inte följer av artikel 99.3–5, dvs. artiklarna 4, 21, 27, 45 och 86. I det nedanstående gör utredningen överväganden om det finns skäl för att utsträcka sanktionsmöjligheten till överträdelser av någon eller några av dessa bestämmelser med sanktionsavgift. Eftersom anmärk- ning enligt utredningens förslag ska utgöra ett alternativt ingripande till sanktionsavgift så ska anmärkning endast användas för överträd- elser av sådana artiklar i AI-förordningen där en sanktionsavgift får påföras. De följande övervägandena om artiklarna 4, 21, 27, 45 och 86 gäller därför såväl beträffande sanktionsavgift som beträffande anmärkning. Inom ramen för denna bedömning beaktar utredningen att re- geringen har inrättat ett implementeringsråd som ska verka för att EU-lagstiftning inte genomförs över miniminivån i Sverige. Syftet är att minska företagens regelbörda, administrativa kostnader och andra fullgörandekostnader.53 En nationell reglering om att sank- tionsavgift ska kunna påföras för överträdelser av andra bestämmel- ser i AI-förordningen än de som uttryckligen anges i artikel 99.3–5 skulle kunna betraktas som en implementering över miniminivån. Artikel 4 om AI-kunnighet Av artikel 4 i AI-förordningen följer att leverantörer och tillhanda- hållare av AI-system ska vidta åtgärder för att i största möjliga mån säkerställa att deras personal och andra personer som för deras räk- 52 Se närmare beträffande legalitetsprincipen i Lebeck Carl, Legalitetsprincipen i förvaltnings- rätten (2018, version 1, JUNO), s. 58–59, 70–71 och 252 f. Se närmare om proportionalitets- principen i avsnitt 10.6.1. 53 Dir. 2024:51 Ett implementeringsråd för genomförande av EU-rättsakter med konsekvenser för företag i Sverige. 464 SOU 2025:101 Befogenheter och ingripanden ning arbetar med drift och användning av AI-system har tillräcklig AI-kunnighet, med beaktande av deras tekniska kunskaper, erfaren- het och utbildning samt det sammanhang i vilket AI-systemen ska användas, och med hänsyn till de personer eller grupper av perso- ner på vilka AI-systemen ska användas. I artikel 3.56 definieras AI- kunnighet som kompetens, kunskap och förståelse som gör det möj- ligt för leverantörer, tillhandahållare och berörda personer att, med hänsyn till deras respektive rättigheter och skyldigheter i samband med AI-förordningen, införa AI-system på ett välgrundat sätt samt bli medvetna om möjligheterna och riskerna med AI, och den poten- tiella skada den kan vålla. Kommissionen har tagit fram en s.k. ”Questions & Answers” om hur artikel 4 i AI-förordningen ska förstås. Enligt kommissionen innebär artikel 4 inte någon skyldighet att mäta de anställdas kun- skaper om AI. Leverantörer och tillhandahållare ska enligt kommis- sionen fortfarande säkerställa en tillräcklig nivå av AI-kunnighet med hänsyn till de anställdas tekniska kunskaper, erfarenhet, utbild- ning och träning. Det anges också att det inte kommer att införas strikta krav om vad som utgör tillräcklig AI-kunnighet enligt arti- kel 4. Tvärtom anses det nödvändigt med en viss grad av flexibilitet, med tanke på hur brett begreppet AI-kunnighet får förstås och den snabbt utvecklande teknologi som AI utgör.54 I fråga om artikel 4 ska omfattas av sanktionsavgifter kan utred- ningen konstatera att bestämmelsen om AI-kunnighet har en allmän och generell utformning. Bestämmelsen har placerats i kapitel I av- seende allmänna bestämmelser och inte i något av kapitlen avseende krav och skyldigheter för leverantörer och tillhandahållare. I skälen till AI-förordningen anges också att AI-kunnighet bör ge alla rele- vanta aktörer i AI-värdekedjan de insikter som krävs för att säker- ställa lämplig efterlevnad och korrekt efterlevnadskontroll (skäl 20). Enligt utredningen kan den allmänna ordalydelsen i artikel 4 skapa svåra bedömningar beträffande leverantörers och tillhandahållares åtgärder som riskerar att skapa ett oförutsebart sanktionssystem i den delen. Detta talar mot att bestämmelsen bör omfattas av sank- tionsavgifter. Att personalen har tillräcklig kompetens, kunskap och förståelse för AI kan samtidigt vara avgörande för att skydda hälsa, säkerhet 54 AI Literacy – Questions & Answers, https://digital-strategy.ec.europa.eu/faqs/ai-literacy- questions-answers (hämtad 2025-07-10). 465 Befogenheter och ingripanden SOU 2025:101 och grundläggande rättigheter. Om kravet på AI-kunnighet inte omfattas av sanktionsavgifter kan det enligt utredningen riskera att leda till att leverantörer och tillhandahållare inte prioriterar utbild- ning och kompetensutveckling. Det kan resultera i att AI-system används på ett sätt som skadar individers grundläggande rättigheter och säkerhet. Kravet på AI-kunnighet innebär att personalen som hanterar dessa system ska ha den nödvändiga kunskapen för att iden- tifiera och hantera dessa risker effektivt. Utan möjlighet att kunna påföra en sanktionsavgift för bristande AI-kunnighet finns en ökad risk för felaktig användning av AI-system, vilket kan leda till inci- denter och skador. Av artikel 99.1 följer att sanktioner ska ta hänsyn till små och medelstora företags intressen och ekonomiska bärkraft. Att införa sanktionsavgift för överträdelser av kravet på AI-kunnighet skulle enligt utredningen riskera leda till ökade ekonomiska och admini- strativa bördor för särskilt små och medelstora företag. Det skulle även kunna hämma innovation och utveckling samt användning av AI-system. Sammantaget skulle en reglering om att en sanktionsavgift ska kunna påföras för överträdelser av kravet på AI-kunnighet kunna betraktas som en implementering över miniminivån och riskera att öka företagens administrativa kostnader och andra fullgörandekost- nader. En överträdelse av kravet på AI-kunnighet enligt artikel 4 bör därför inte kunna medföra en sanktionsavgift. I enlighet med utredningens bedömning ovan om att anmärkning ska utgöra en alternativ ingripandeåtgärd till sanktionsavgift bör en överträdelse av kravet på AI-kunnighet enligt artikel 4 inte heller medföra en anmärkning. Artikel 21 om samarbete med behöriga myndigheter Av artikel 21 i AI-förordningen följer att leverantörer av AI-system med hög risk ska, på motiverad begäran av en behörig myndighet, förse den myndigheten med all information och dokumentation som krävs för att visa att AI-systemet med hög risk överensstämmer med kraven i kapitel III, avsnitt 2, på ett språk som är lätt att förstå för myndigheten och som är ett av unionsinstitutionernas officiella språk som anges av den berörda medlemsstaten (artikel 21.1). På 466 SOU 2025:101 Befogenheter och ingripanden motiverad begäran av en behörig myndighet ska leverantörer också ge den begärande behöriga myndigheten, i tillämpliga fall, tillgång till de automatiskt genererade loggar för AI-systemet med hög risk som avses i artikel 12.1, i den mån sådana loggar står under deras kontroll. Det som talar för att artikel 21 ska omfattas av sanktionsavgifter är att dessa skyldigheter för leverantörer kan ha betydelse för de natio- nella behöriga myndigheternas möjligheter att bedriva en effektiv marknadskontroll. Sanktionsavgifter kan i detta avseende fungera som ett kraftfullt incitament för leverantörer att samarbeta och säkerställa att myndigheterna får tillgång till nödvändig information. Utan möjlighet att meddela en sanktionsavgift för överträdelser av artikel 21 kan leverantörer också tänkas undanhålla information, vilket kan försvåra och fördröja myndigheternas utredningar och åtgärder. Samtidigt har leverantörer av AI-system med hög risk redan ett stort antal skyldigheter enligt artikel 16, som enligt utredningens förslag bör omfattas av sanktionsavgifter. Av artikel 16 k följer att en leverantör av ett AI-system med hög risk på motiverad begäran av en nationell behörig myndighet ska visa att AI-systemet med hög risk uppfyller kraven i kapitel III, avsnitt 2. Utredningen anser att bestämmelsen i artikel 16 som omfattas av ingripandemöjlighet ger myndigheterna tillräckliga verktyg vid marknadskontrollen, för att förmå en leverantör att visa att ett högrisksystem uppfyller de obligatoriska kraven (artiklarna 8–15). I syfte att bevisa för den nationella behöriga myndigheten att ett högrisksystem uppfyller kraven i artiklarna 8–15 kan leverantören i många fall tänkas behöva dela information och dokumentation med myndigheten. Vid en samlad bedömning, med särskild hänsyn till att en imple- mentering över miniminivån bör undvikas, anser utredningen att en överträdelse av artikel 21 inte bör kunna medföra en sanktionsavgift. I enlighet med utredningens bedömning ovan om att anmärkning ska utgöra en alternativ ingripandeåtgärd till sank- tionsavgift bör en överträdelse av artikel 21 inte heller medföra en anmärkning. 467 Befogenheter och ingripanden SOU 2025:101 Artikel 27 om konsekvensbedömningar Av artikel 27 i AI-förordningen framgår att för AI-system med hög risk som omfattas av de områden som förtecknas i bilaga III, för- utom punkten 2, ska tillhandahållare som är offentligrättsliga organ eller som är privata enheter som tillhandahåller offentliga tjänster, och tillhandahållare av AI-system med hög risk som avses i punkt 5 b och c i bilaga III göra en konsekvensbedömning för den inverkan på grundläggande rättigheter som användningen av systemen kan ge upphov till. Bedömningen ska bestå av ett visst antal moment vilka anges i artikel 27. Syftet med konsekvensbedömningen avse- ende grundläggande rättigheter är att tillhandahållaren ska identi- fiera de specifika riskerna för rättigheterna för enskilda personer eller grupper av enskilda personer som sannolikt kommer att be- röras och identifiera åtgärder som ska vidtas om dessa risker för- verkligas (skäl 96). Överträdelser av tillhandahållares skyldigheter enligt artikel 26 ska medföra påförande av sanktionsavgift enligt artikel 99.4. Enligt utredningen kan det anses vara lika viktigt att identifiera risker för enskilda personer eller grupper av personer vad gäller användning av AI-system som tillhandahållares skyldigheter enligt artikel 26. Genom konsekvensbedömningen kan tillhandahållare identifiera risker i ett tidigt skede och vidta nödvändiga åtgärder för att mini- mera eller eliminera dessa risker innan AI-systemet används. Om tillhandahållare inte genomför dessa konsekvensbedömningar kan det leda till att risker upptäcks för sent, vilket kan orsaka skador på enskilda personer eller grupper av enskilda personers grundläggande rättigheter. Detta talar enligt utredningen för att överträdelser av kravet på att göra en konsekvensbedömning enligt artikel 27 bör omfattas av sanktionsavgifter. Ett sådant ingripande skulle också fungera som ett incitament för tillhandahållare att ta ansvar och genomföra konsekvensbedömningar för att förebygga incidenter. Samtidigt har tillhandahållare redan ett stort antal skyldigheter enligt artikel 26 för vilka utredningen föreslår att sanktionsavgift bör kunna meddelas vid överträdelser. Enligt artikel 99.1 ska också sanktionerna ta hänsyn till små och medelstora företags intressen och deras ekonomiska bärkraft. Ett argument mot att införa bestäm- melser om sanktionsavgift för överträdelser av artikel 27 är vidare den ökade regelbördan och de kostnader detta skulle riskera inne- 468 SOU 2025:101 Befogenheter och ingripanden bära för särskilt små och medelstora företag som tillhandahåller offentliga tjänster och inom vissa områden. Utredningen anser att sanktionsavgift bör reserveras för allvar- ligare överträdelser som direkt påverkar hälsa, säkerhet eller grund- läggande rättigheter snarare än överträdelser av administrativa skyl- digheter. Enligt utredningen bör andra former av åtgärder vara till- räckligt för att säkerställa efterlevnad av artikel 27. Exempelvis. kan marknadskontrollmyndigheterna erbjuda stöd till tillhandahållare för att genomföra konsekvensbedömningar korrekt. Detta kan inkludera de mallar och verktyg som AI-byrån ska ta fram enligt artikel 27.5. Vid en samlad bedömning, med särskild hänsyn till att en imple- mentering över miniminivån bör undvikas, anser utredningen att en överträdelse av artikel 27 inte bör kunna medföra en sanktionsavgift. I enlighet med utredningens bedömning ovan om att anmärkning ska utgöra en alternativ ingripandeåtgärd till sanktionsavgift bör en överträdelse av artikel 27 inte heller medföra en anmärkning. Artikel 86 om rätt till förklaring av individuellt beslutsfattande Av artikel 86.1 i AI-förordningen följer att varje berörd person som är föremål för ett beslut som fattas av tillhandahållaren på grundval av utdata från ett AI-system med hög risk som förtecknas i bilaga III, med undantag för system som förtecknas i punkt 2 i den bila- gan, och som har rättslig verkan eller på liknande sätt i betydande grad påverkar den personen på ett sätt som de anser ha en negativ inverkan på deras hälsa, säkerhet eller grundläggande rättigheter, ska ha rätt att erhålla tydliga och meningsfulla förklaringar av AI- systemets roll i beslutsförfarandet och de viktigaste delarna av det beslut som fattats. Om en tillhandahållare inte efterlever skyldigheten att ge varje berörd person dennes rätt till förklaring av ett AI-systems besluts- fattande enligt artikel 86 tillgodosedd kan det resultera i att dessa personer förvägras insyn i beslut som påverkar deras hälsa, säkerhet eller grundläggande rättigheter. Sanktionsavgifter kan därför fungera som ett incitament för att tillhandahållare ska prioritera efterlevnad av denna rätt som gäller för alla berörda personer. Att överträdelser av artikel 86 ska kunna medföra en sanktions- avgift kan samtidigt innebära en administrativ och ekonomiskt stor 469 Befogenheter och ingripanden SOU 2025:101 börda för särskilt små och medelstora företag, inbegripet uppstarts- företag med begränsade resurser. Kravet på att kunna lämna menings- fulla förklaringar kan också bli en teknisk och organisatorisk utmaning för många företag. Om artikel 86 omfattas av systemet med sank- tionsavgifter kan det därför avskräcka särskilt mindre företag från att använda AI-system med hög risk i verksamheten, av rädsla att oavsikt- ligt bryta mot förklaringsskyldigheten och riskera en sanktionsavgift. Vad som utgör ”tydliga och meningsfulla förklaringar” enligt artikel 86 kan också vara svårt att tolka och tillämpa i praktiken. Vid en samlad bedömning, med särskild hänsyn till att en imple- mentering över miniminivån bör undvikas, anser utredningen att en överträdelse av artikel 86 inte bör kunna medföra en sanktionsavgift. I enlighet med utredningens bedömning ovan om att anmärkning ska utgöra en alternativ ingripandeåtgärd till sanktionsavgift bör en överträdelse av artikel 86 inte heller medföra en anmärkning. Artikel 45 och anmälda organs informationsskyldighet Av artikel 45.1 i AI-förordningen följer att anmälda organ ska lämna viss information till den anmälande myndigheten. Detta gäller bl.a. eventuella unionsintyg, omständigheter som inverkar på omfatt- ningen av eller villkoren för anmälan och på begäran och bedöm- ningar av överensstämmelse som gjorts inom ramen för anmälan. Varje anmält organ ska också enligt artikel 45.2 underrätta övriga anmälda organ om bl.a. godkännanden av kvalitetsstyrningssystem som det har vägrat utfärda eller tillfälligt återkallat eller dragit till- baka. Av artikel 45.3 följer också att ett anmält organ ska ge de andra anmälda organ som utför liknande bedömningar av överensstäm- melse avseende samma typer av AI-system relevant information om frågor som rör negativa och, på begäran, positiva resultat av bedöm- ningar av överensstämmelse. Om dessa skyldigheter för anmälda organ inte efterlevs skulle det kunna försvåra de anmälande myndigheternas möjligheter att bedriva en effektiv tillsyn av anmälda organ. Sanktionsavgifter skulle kunna fungera som ett incitament för att säkerställa att anmälda organ full- gör sin informationsskyldighet gentemot både anmälande myndig- heter och andra anmälda organ. 470 SOU 2025:101 Befogenheter och ingripanden Samtidigt har anmälda organ ett stort antal skyldigheter enligt AI-förordningen som utredningen föreslår ska omfattas av syste- met med sanktionsavgifter. Att låta informationsskyldigheten en- ligt artikel 45 omfattas av sanktionsavgifter kan också öka den admini- strativa bördan både för myndigheterna och anmälda organ. Vid en samlad bedömning, med särskild hänsyn till att en imple- mentering över miniminivån bör undvikas, anser utredningen att inte heller överträdelser av artikel 45 bör kunna medföra en sanktions- avgift. I enlighet med utredningens bedömning ovan om att anmärk- ning ska utgöra en alternativ ingripandeåtgärd till sanktionsavgift bör en överträdelse av artikel 45 inte heller medföra en anmärkning. Slutsatser Enligt utredningens bedömning kan det inte anses framgå uttryck- ligen av ordalydelsen i AI-förordningen, vare sig i den svenska eller engelska versionen, att medlemsstaterna ska fastställa bestämmelser om sanktioner eller andra efterlevnadsåtgärder för alla överträdel- ser av AI-förordningen. Samtidigt har utredningen föreslagit att det ska vara möjligt för de nationella behöriga myndigheterna att förelägga med eller utan vite för alla slags överträdelser av AI-förordningen (se avsnitt 10.7.2). Utredningens förslag skulle därför kunna ligga i linje med kommis- sionens uppfattning att medlemsstaterna ska fastställa bestämmelser om sanktioner och andra efterlevnadsåtgärder för alla överträdelser av AI-förordningen, även om utredningen inte föreslår att överträd- elser av andra bestämmelser än artikel 99.3–5 ska kunna medföra anmärkning eller sanktionsavgift. Det fortsatta arbetet på unionsnivå vad avser harmonisering av medlemsstaternas sanktionssystem kommer förmodligen att med- föra ett behov av att se över vilka möjligheter till ingripanden som bör finnas för överträdelser av AI-förordningen. 471 Befogenheter och ingripanden SOU 2025:101 10.7.4 Frågor om myndighet eller domstol ska pröva beslut om anmärkning och sanktionsavgift Utredningens bedömning: Det bör som utgångspunkt vara de nationella behöriga myndigheterna som beslutar om anmärkning och frågor om påförande av sanktionsavgift. Undantag bör göras när det är fråga om påförande av sank- tionsavgift som grundar sig i överträdelser av både AI-förord- ningen och produktrelaterade krav i en sektorslag som omfattas av unionsrättsakterna i bilaga IA och det av sektorslagen fram- går att allmän förvaltningsdomstol ska pröva frågor om sank- tionsavgift som första instans. Utredningens förslag: Kompletteringslagen ska innehålla en bestämmelse om att en nationell behörig myndighet får besluta om en anmärkning eller en sanktionsavgift. Fråga om sanktionsavgift ska dock prövas av förvaltningsrätt efter ansökan av en marknadskontrollmyndighet om prövningen av sanktionsavgiften samtidigt grundar sig i en överträdelse av bestämmelserna som anges i den föreslagna bestämmelsen om anmärkning och sanktionsavgift i kompletteringslagen (se av- snitt 10.7.3) och någon av bestämmelserna som anges i – 32 § första stycket lagen om leksakers säkerhet, – 30 § första stycket lagen om fritidsbåtar och vattenskotrar, – 16 § första stycket radioutrustningslagen, – 9 § första stycket lagen med kompletterande bestämmelser till EU:s förordning om personlig skyddsutrustning, eller – 9 § första stycket lagen med kompletterande bestämmelser till EU:s förordning om gasanordningar. I fråga om sanktionsavgifter som ska prövas av förvaltningsrätt som första instans ska i övrigt 37 § andra stycket och 39–43 §§ produktsäkerhetslagen tillämpas. 472 SOU 2025:101 Befogenheter och ingripanden Inledning Av AI-förordningen framgår att, beroende på medlemsstatens rätts- system, får reglerna om administrativa sanktionsavgifter tillämpas på ett sådant sätt att sanktionsavgifterna utdöms av behöriga natio- nella domstolar eller andra organ, beroende på vad som är tillämp- ligt i dessa medlemsstater (artikel 99.9). I svensk rätt är det som regel en myndighet eller domstol som på ansökan av en myndighet beslutar om sanktionsavgift. Generellt sett anses en myndighet lämplig att besluta om sanktionsavgift när be- stämmelserna är relativt enkla att tillämpa, beslutsfattandet är för- hållandevis schabloniserat och sanktionsbestämmelserna bygger på strikt ansvar. En fördel med att tillsynsmyndigheten fattar beslut är att handläggningen kan bli snabbare om inte flera myndigheter be- höver delta i hanteringen. En domstol anses normalt sett bättre läm- pad att besluta om sanktionsavgift om det är aktuellt att pröva sub- jektiva rekvisit eller andra svårbedömda rekvisit.55 Enligt utredningen är det inte helt klart om det krävs uppsåt eller oaktsamhet vid överträdelser av AI-förordningen för att en sank- tionsavgift ska kunna påföras. Artikel 99 innehåller inget uttryck- ligt krav på uppsåt eller oaktsamhet.56 Den frågan bör överlämnas till rättstillämpningen att avgöra. Ytterst är det EU-domstolens upp- gift att tolka artikel 99 i AI-förordningen och om det krävs uppsåt eller oaktsamhet för att en sanktionsavgift ska få påföras en opera- tör eller anmält organ. Om överträdelsen har skett uppsåtligen eller av oaktsamhet kan enligt artikel 99.7 i AI-förordningen påverka frågan om sanktions- avgift ska tas ut eller inte, och avgiftens storlek. I detta sammanhang ser utredningen anledning att uppmärksamma att EU-domstolen har underkänt ett strikt ansvar för påförande av sanktionsavgift vid överträdelser av EU:s dataskyddsförordning.57 Den förordningen innehåller en liknande uppräkning av faktorer att beakta som artikel 99.7 i AI-förordningen. Trots det är det fortfar- ande IMY som beslutar om sanktionsavgifter som första instans en- 55 Se t.ex. prop. 2017/18 :232, s. 324. 56 Jfr artikel 101 i AI-förordningen som uttryckligen anger att kommissionen får ålägga leve- rantörer av AI-modeller för allmänna ändamål sanktionsavgifter om kommissionen konsta- terar att leverantören har agerat uppsåtligen eller av oaktsamhet. 57 EU-domstolens dom den 5 december 2023 i mål nr C-683/21, Nacionalinis visuomenės sveikatos centras, ECLI:EU:C:2023:949 och i mål nr C-807/21, Deutsche Wohnen, ECLI:EU:C:2023:950. 473 Befogenheter och ingripanden SOU 2025:101 ligt lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Även om sanktionsavgifter för överträdelser av AI-förordningen ska anses förutsätta en bedömning enligt ett subjektivt rekvisit på motsvarande sätt som enligt EU:s dataskyddsförordning anser ut- redningen att det finns goda skäl för att de nationella behöriga myn- digheterna som huvudregel ska besluta om påförande av sanktions- avgifter som första instans. Utredningen utvecklar detta i det följ- ande. De nationella behöriga myndigheterna bör besluta om anmärkning och sanktionsavgift För alternativet att det ska vara förvaltningsrätt som beslutar en sank- tionsavgift som första instans talar det faktum att det kan uppkomma situationer där det finns behov av att kunna meddela sanktionsavgif- ter för överträdelser av bestämmelser i AI-förordningen som inne- fattar komplicerade bedömningsmoment. Att denna bedömning görs av domstol innan en operatör eller ett anmält organ påförs en sanktionsavgift skulle bättre tillgodose krav på en rättssäker pröv- ning än om myndigheten beslutar som första instans. Som har redo- visats i föregående avsnitt är utgångspunkten i svensk rätt också att en domstol normalt sett anses bättre lämpad att besluta om sank- tionsavgift om det är aktuellt att pröva subjektiva rekvisit eller andra svårbedömda rekvisit. För alternativet, att det ska vara de nationella behöriga myndig- heterna som beslutar om sanktionsavgift som första instans, talar det faktum att det skulle förenkla och effektivisera sanktionssyste- met. Operatörer eller anmälda organ kan då förvänta sig snabbare beslut i ärenden. Det är också de nationella behöriga myndighet- erna som i första hand kommer att få kännedom om överträdelser av bestämmelserna i AI-förordningen och de myndigheterna har därför bäst förutsättningar att utreda och bedöma om en operatör eller ett anmält organ inte har följt regelverket. Rättsväsendet bör heller inte belastas med sådant som har ringa eller inget sanktions- värde. Domstolarnas resurser bör koncentreras på förfaranden som kan föranleda en påtaglig skada eller fara som inte kan bemötas på annat sätt. Dessa hänsyn stämmer också väl överens med kravet i AI-förordningen på effektiva och avskräckande sanktioner. Inom 474 SOU 2025:101 Befogenheter och ingripanden ramen för marknadskontrollmyndigheternas uppgift att ge vägled- ning och råd till operatörer om genomförandet av AI-förordningen ligger det dessutom nära till hands att de ska ansvara för att utveckla riktlinjer och praxis om påförandet av administrativa sanktions- avgifter. Samtidigt föreslår utredningen att elva myndigheter ska utses till marknadskontrollmyndigheter enligt AI-förordningen och att två myndigheter ska utses till anmälande myndigheter. En konstruktion där ett stort antal nationella behöriga myndigheter beslutar sank- tionsavgifter riskerar att leda till ett fragmenterat sanktionssystem, där varje myndighet utvecklar sin egen praxis. I flera lagstiftningsärenden inom närliggande områden under se- nare tid har lagstiftaren dock kommit fram till att det ska vara myn- dighet, och inte domstol, som beslutar om sanktionsavgifter som första instans. Exempel på det är den nyligen införda lagen om vissa produkters och tjänsters tillgänglighet, som är en marknadskontroll- reglering, och lagrådsremissen om förslaget till ny cybersäkerhets- lag.58 Lagstiftaren har också gett myndigheterna, bl.a. PTS, rätten att besluta om sanktionsavgifter som första instans i lagen (2024:954) med kompletterande bestämmelser till EU:s förordning om digitala tjänster och lagen med kompletterande bestämmelser till EU:s data- förvaltningsförordning.59 Som har redovisats ovan har också IMY rätt att som första instans besluta om sanktionsavgifter enligt lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.60 Även Finansinspektionen har rätt att besluta om sanktionsavgifter som första instans.61 Detta har också de befintliga anmälande myn- digheterna, dvs. Swedac och Läkemedelsverket (se närmare i kapitel 7) under vissa förutsättningar mot ett anmält organ.62 Vid en samlad bedömning, och mot bakgrund av att de myndig- heter som utredningen föreslår ska ha det mest omfattande ansvaret enligt AI-förordningen (PTS, IMY och Finansinspektionen) redan i dag beslutar om sanktionsavgifter som första instans, föreslår ut- 58 Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäker- hetslag. 59 3 kap. 23 § lagen med kompletterande bestämmelser till EU:s förordning om digitala tjäns- ter och 9 § lagen med kompletterande bestämmelser till EU:s dataförvaltningsförordning. 60 6 kap. 2 och 3 §§ lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. 61 Se t.ex. lagen (2019:1215) med kompletterande bestämmelser till EU:s förordning om värde- papperisering och lagen (2019:277) med kompletterande bestämmelser till EU:s förordning om transparens i transaktioner för värdepappersfinansiering och om återanvändning. 62 Se 23 § lagen (2011:791) om ackreditering och teknisk kontroll och 5 kap. 5 § lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter. 475 Befogenheter och ingripanden SOU 2025:101 redningen att det som utgångspunkt bör vara de nationella behöriga myndigheterna som beslutar om sanktionsavgift som första instans. Sådana beslut kan överklagas till allmän förvaltningsdomstol som i vissa fall kan besluta om inhibition, dvs. att myndighetens beslut tills vidare inte får verkställas, se 28 § förvaltningsprocesslagen (1971:291). I följande avsnitt föreslår utredningen dock en viss särreglering vad avser beslut om sanktionsavgift. Utredningen har bedömt att anmärkning ska utgöra ett alterna- tivt, mildare ingripande till sanktionsavgift vid överträdelser av AI- förordningen. Av naturliga skäl bör de nationella behöriga myn- digheterna som första instans också besluta om anmärkning mot operatörer och anmälda organ. I vissa fall bör dock förvaltningsrätt besluta om sanktionsavgift som första instans Som AI-system med hög risk klassificeras bl.a. AI-system avsedda att användas som en säkerhetskomponent i en produkt, eller som i sig är en produkt, som omfattas av den unionslagstiftning som för- tecknas i bilaga IA till AI-förordningen, och som omfattas av krav på att genomgå en tredjepartsbedömning (artikel 6.1). För vissa av de sektorslagar som omfattas av de unionsrättsakter som förtecknas i bilaga IA till AI-förordningen gäller att allmän förvaltningsdomstol beslutar om påförande av sanktionsavgift som första instans. Detta följer av 32 § tredje stycket lagen om leksakers säkerhet, 30 § fjärde stycket lagen om fritidsbåtar och vattenskotrar, 16 § tredje stycket radioutrustningslagen, 9 § första stycket lagen (2018:125) med kom- pletterande bestämmelser till EU:s förordning om personlig skydds- utrustning och 9 § tredje stycket lagen (2018:1178) med komplet- terande bestämmelser till EU:s förordning om gasanordningar, som hänvisar till att i fråga om sanktionsavgift ska 37 § andra stycket och 39–43 §§ produktsäkerhetslagen (2004:451) tillämpas. Av 39 § produktsäkerhetslagen följer att frågor om påförande av sanktions- avgift prövas av förvaltningsrätt efter ansökan av tillsynsmyndigheten samt att ansökan ska göras hos den förvaltningsrätt inom vars dom- krets tillsynsmyndigheten är belägen. Enligt utredningens förslag ovan ska de nationella behöriga myn- digheterna besluta om sanktionsavgift som första instans vad avser överträdelser av AI-förordningen. 476 SOU 2025:101 Befogenheter och ingripanden En överträdelse av en operatör skulle dock kunna konstateras vid samma tillfälle både vad avser de bestämmelser som utredningen har föreslagit ska vara sanktionsgrundande beträffande AI-förordningen (se avsnitt 10.7.3) och produktrelaterade krav i en sektorslag. Om en myndighet alltid ska pröva frågor om påförande av sanktions- avgift beträffande AI-förordningen skulle det riskera att resultera i två parallella förfaranden, eftersom frågor om påförande av sank- tionsavgift i vissa sektorslagar prövas av förvaltningsrätt som första instans. Omständigheterna till grund för påförandet kan samtidigt vara likartade och överlappande. Enligt utredningen är det problematiskt om de nationella behöriga myndigheterna inte kan beakta samtliga relevanta omständigheter för alla aktuella överträdelser av AI-förordningen och produktrela- terade krav i sektorslagstiftningen inom ramen för ett och samma förfarande. Utredningen bedömer därför att det bör införas en särreglering för dessa myndigheter. För dem bör regeln därför vara utformad på så sätt att förvaltningsrätt ska pröva frågor om påförande av sank- tionsavgift som första instans där frågor om påförande av sanktions- avgift aktualiseras både för överträdelser av AI-förordningen och produktrelaterade krav i en av sektorslagarna som omfattas av unions- rättsakterna i bilaga IA. Detta i syfte att uppnå effektivitetsvinster. Utredningen bedömer därför att det bör framgå av kompletterings- lagen att fråga om sanktionsavgift ska prövas av förvaltningsrätt i de fallen. Det är alltså aktuellt för förvaltningsrätt att pröva frågor om sank- tionsavgift som första instans endast när en ekonomisk aktör eller en operatör överträder bestämmelser både enligt regleringen i kom- pletteringslagen och någon av de aktuella sektorslagarna. Regleringen föreslås utformas så att det av kompletteringslagen framgår att det ska vara fråga om en överträdelse av både AI-förord- ningen och någon av de i bestämmelsen uppräknade bestämmelserna i sektorslagarna. De nationella behöriga myndigheterna ska, i enlig- het med huvudregeln ovan, pröva frågor om påförande av sanktions- avgift som första instans när det endast är fråga om överträdelser av AI-förordningen. Utredningen har övervägt att inte uttryckligen i den föreslagna bestämmelsen ange specifika bestämmelser i sektorslagarna eller produktsäkerhetslagen. Produktsäkerhetslagen ses för närvarande 477 Befogenheter och ingripanden SOU 2025:101 över inom ramen för Utredningen om kompletterande bestämmel- ser till EU-förordningen om allmän produktsäkerhet och reglering av säkerhetskrav för produkter som inte omfattas av förordningen (Fi 2024:F). Uppdraget ska redovisas den 18 november 2025. Den utredningens förslag kan påverka utredningens föreslagna hänvisning till produktsäkerhetslagens bestämmelser. Även lagen om leksakers säkerhet kan komma att behöva ändras mot bakgrund av att kommis- sionen har föreslagit en ny förordning om leksakers säkerhet som ska ersätta EU:s leksaksdirektiv.63 Detta talar mot att hänvisa till dessa lagstiftningar i den föreslagna bestämmelsen. Utredningen anser trots detta att det behövs en hänvisning till de relevanta bestämmelserna i respektive sektorslag på sätt som redovisats ovan. Detta i syfte att prövningen i förvaltningsrätt ska omfatta såväl bestämmelserna i sektorslagarna som bestämmelserna i AI-förordningen och kompletteringslagen. Dessutom anser utred- ningen att samma processuella bestämmelser bör gälla för hela det samlade förfarandet. Därför behövs även hänvisningen till produkt- säkerhetslagen. Det innebär dock att den föreslagna bestämmelsen kan behöva ses över till följd av kommande ändringar av produkt- säkerhetslagen och sektorslagarna. De aktuella sektorslagarna innehåller inte i sig regler om att för- valtningsrätt ska pröva frågor om sanktionsavgifter som första in- stans, utan det följer av sektorslagarna genom att de hänvisar i fråga om prövning av sanktionsavgifter till 37 § andra stycket och 39–43 §§ produktsäkerhetslagen. Bestämmelserna i produktsäkerhetslagen innebär att förvaltningsrätt ska pröva frågor om sanktionsavgifter som första instans och innehåller även vissa andra processuella be- stämmelser om förfarandet. För att förfarandet i dessa fall ska vara detsamma som följer av sektorslagarna föreslår utredningen att en hänvisning till 37 § andra stycket och 39–43 §§ produktsäkerhets- lagen ska föras in i kompletteringslagen. Även denna hänvisning kan komma att behöva ses över till följd av kommande ändringar av produktsäkerhetslagen och sektorslagarna. Genom att bestämmelserna i produktsäkerhetslagen ska tilläm- pas i fråga om prövning av frågor om sanktionsavgifter, så är alltså förvaltningsrätt första instans. Av 34 a § förvaltningsprocesslagen framgår att det krävs prövningstillstånd i kammarrätten om det är 63 Se Regeringskansliet Faktapromemoria 2023/24:FPM2 jämte Förslag till Europaparlamentets och rådets förordning om leksakers säkerhet och om upphävande av direktiv 2009/48/EG. 478 SOU 2025:101 Befogenheter och ingripanden särskilt föreskrivet. Någon sådan särskild föreskrift finns dock inte beträffande sanktionsavgifter i 44 § produktsäkerhetslagen, vilket också är naturligt med hänsyn till att det är förvaltningsrätt, och inte en myndighet, som prövar frågan som första instans. På så vis får den som sanktionsavgiften riktar sig mot en absolut rätt till en tvåinstansprövning även när förvaltningsrätt beslutar som första instans. I detta sammanhang bör även noteras att bestämmelsen i 40 § andra stycket FL om att det krävs prövningstillstånd i kammar- rätt inte gäller i dessa mål eftersom FL gäller i de fall då en myndig- het har beslutat som första instans, men inte då en förvaltningsrätt gör det. Det krävs därför inte prövningstillstånd i kammarrätten i dessa fall där förvaltningsrätt som första instans prövar en fråga om sanktionsavgift. Det bör dock noteras att i de fall där en nationell behörig myndighet beslutar om sanktionsavgift enligt huvudregeln ovan gäller ett krav på prövningstillstånd i kammarrätt enligt utred- ningens förslag i avsnitt 14.3. 10.7.5 Inga lägsta nivåer för sanktionsavgifter Utredningens bedömning: Det bör inte införas några bestäm- melser om lägsta nivåer för sanktionsavgifter vid överträdelser av AI-förordningen. I AI-förordningen regleras vilken sanktionsavgift som högst får tas ut vid olika överträdelser (artikel 99.3–5). De högsta belopp som anges är mycket höga och anges dessutom i euro. Sanktionsavgifter ska även kunna påföras för överträdelser som anses mindre allvar- liga. AI-förordningen anger dock inte några lägsta nivåer för sank- tionsavgifternas storlek. Utredningen behöver därför överväga om sådana lägsta nivåer bör införas. När det gäller sanktionsavgifter är det i svensk rätt inte ovanligt att det anges ett lägsta belopp för avgiftens storlek. Beloppsinter- vallet varierar mellan olika rättsområden. Inom miljöområdet och arbetsmiljöområdet är intervallet för avgifter 1 000–1 000 000 kronor. För upphandlingsskadeavgift enligt lagen (2016:1145) om offentlig upphandling m.fl. upphandlingslagar gäller ett intervall om 10 000– 20 000 000 kronor. I säkerhetsskyddslagen (2018:585) är lägsta nivån något högre, med ett intervall om 25 000–50 000 000 kronor. Av 3 kap. 479 Befogenheter och ingripanden SOU 2025:101 25 § lagen med kompletterande bestämmelser till EU:s förordning om digitala tjänster och 11 § lagen med kompletterande bestämmelser till EU:s dataförvaltningsförordning framgår också att en sanktions- avgift ska bestämmas till lägst 5 000 kronor. Det föreslås också i lag- rådsremissen om en ny cybersäkerhetslag att sanktionsavgiften vid överträdelser av väsentliga respektive viktiga verksamhetsutövare ska bestämmas till lägst 5 000 kronor.64 Av sektorslagarna till de unionsrättsakter som omfattas av EU:s marknadskontrollförordning framgår också i flera fall att sanktionsavgiften ska bestämmas till lägst 5 000 kronor. Att det i svensk rätt ofta finns lägsta nivåer för sanktionsavgifternas storlek kan tala för att sådana även ska gälla för sanktionsavgifterna enligt AI-förordningen. Varken på miljöområdet, arbetsmiljöområdet eller upphandlings- området är de högsta avgifter som kan tas ut tillnärmelsevis så höga som de som anges i AI-förordningen. Det högsta belopp som kan påföras enligt kompletteringslagen till EU:s dataförvaltningsförord- ning uppgår till 10 000 000 kr. Det medför att de lägsta nivåerna för sanktionsavgifterna enligt AI-förordningen rimligen skulle behöva sättas betydligt högre än 5 000 kr eller 10 000 kr. En lägsta nivå skulle dock inte kunna vara så hög att effekten blir orimlig för små och medelstora företag, inbegripet uppstartsföretag. För att upp- fylla kravet på att sanktionerna ska vara effektiva, proportionella och avskräckande behöver beloppsintervallet också vara förhållande- vis stort. Av artikel 99.7 i AI-förordningen följer att vid beslut om huru- vida sanktionsavgift ska påföras och storleken på den administrativa sanktionsavgiften ska alla relevanta omständigheter i det enskilda fallet beaktas. I artikel 99.7 anges omständigheter som det, i före- kommande fall, ska tas vederbörlig hänsyn till vid bedömningen av storleken på sanktionsavgiften. Uppräkningen i artikel 99.7 i AI- förordningen innefattar bl.a. sådana omständigheter som kan beak- tas i sänkande riktning. Av 99.7 e framgår t.ex. att eventuellt annan förmildrande faktor som är tillämplig på omständigheterna i det en- skilda fallet kan beaktas. Av AI-förordningen följer därför att sank- tionsavgiften kan sättas ned helt eller delvis beroende på omstän- digheterna i det enskilda fallet. Enligt utredningen innebär detta att sanktionsavgiften inte lämpligen bör baseras på i förväg fastställda 64 Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag, s. 161 f. 480 SOU 2025:101 Befogenheter och ingripanden lägsta nivåer utan bör bestämmas med utgångspunkt i omständig- heterna i det enskilda fallet. En ordning med lägsta nivåer skulle dessutom kunna bedömas vara oförenlig med artikel 99.7 i AI-för- ordningen. Det kan även noteras att artikel 83 i EU:s dataskydds- förordning har en liknande utformning som artikel 99.7 i AI-för- ordningen och i kompletteringslagen till den förordningen har lagstiftaren valt att inte införa några lägsta nivåer för sanktions- avgifter. Enligt utredningen skulle lägsta nivåer också kunna uppfattas som en utgångspunkt för sanktionsavgifternas storlek. Det skulle öka risken för påförande av sanktionsavgifter till obetydliga belopp som inte uppfyller AI-förordningens krav på att sanktionerna ska vara avskräckande. Utan lägsta nivåer för sanktionsavgifterna storlek får myndigheterna och i vissa fall förvaltningsdomstolarna i stället möjlighet att göra en nyanserad bedömning av alla relevanta omstän- digheter i det specifika fallet när avgiftens storlek ska bestämmas. Sammanfattningsvis gör utredningen bedömningen att det inte ska införas bestämmelser om lägsta nivåer för sanktionsavgifterna i kompletteringslagen. 10.7.6 Korrigerande åtgärder Utredningens bedömning: Några andra ingripandemöjligheter för att marknadskontrollmyndigheterna ska kunna förbjuda eller begränsa tillhandahållandet eller ibruktagandet av AI-system på marknaden m.m. behöver inte införas. I avsnitt 10.2.1 föreslår utredningen att marknadskontrollmyndig- heterna ska tilldelas flera befogenheter vid marknadskontrollen en- ligt AI-förordningen, bl.a. att kunna vidta lämpliga åtgärder om en operatör underlåter att vidta lämpliga korrigerande åtgärder m.m. AI-förordningen reglerar också särskilda förfaranden för att han- tera AI-system som utgör en risk på nationell nivå, förfaranden för hantering av AI-system som av en leverantör har klassificerats som ett AI-system utan hög risk, unionsförfaranden för skyddsåtgärder, förfaranden för AI-system som uppfyller kraven i förordningen men som ändå utgör en risk samt förfaranden vid formell bristande över- ensstämmelse (artiklarna 79–83). 481 Befogenheter och ingripanden SOU 2025:101 Marknadskontrollmyndigheterna har vid dessa förfaranden möjlig- heter att vidta korrigerande åtgärder. Det framgår bl.a. av artikel 79.5 i AI-förordningen att en marknadskontrollmyndighet under vissa angivna omständigheter ska vidta alla lämpliga provisoriska åtgärder för att förbjuda eller begränsa tillhandahållandet eller ibruktagandet av ett AI-system på sin nationella marknad, dra tillbaka produkten eller det fristående AI-systemet från den marknaden eller återkalla det. Av AI-förordningen följer även att leverantörer och distribu- törer har olika skyldigheter att vidta korrigerande åtgärder (artikel 20.1 respektive 24.4). I EU:s marknadskontrollförordning finns också bestämmelser om korrigerande åtgärder för marknadskontrollmyndigheterna, som delvis motsvarar dem som finns i AI-förordningen (se bl.a. artikel 16 i EU:s marknadskontrollförordning). Av skäl 156 till AI-förord- ningen framgår dessutom att även om majoriteten av AI-systemen inte omfattas av särskilda krav och skyldigheter enligt AI-förord- ningen kan marknadskontrollmyndigheterna vidta åtgärder med avseende på alla AI-system när de utgör en risk i enlighet med för- ordningen. Utredningen föreslår i avsnitt 10.7.2 att en marknadskontroll- myndighet ska få besluta om förelägganden med vite vid utövandet av sina befogenheter enligt AI-förordningen och enligt EU:s mark- nadskontrollförordning. Det innebär att marknadskontrollmyndig- heterna kommer att kunna besluta om ett föreläggande med vite för att få en operatör att vidta korrigerande åtgärder enligt bl.a. artik- larna 79 och 80 i AI-förordningen. Marknadskontrollmyndigheterna kommer i enlighet med utredningens förslag också att kunna vites- förelägga för att en leverantör eller distributör av ett AI-system med hög risk ska vidta korrigerande åtgärder enligt artikel 20.1 respek- tive 24.4 i AI-förordningen. Det kan härvid noteras att i begreppet föreläggande ligger såväl att det kan röra sig om ett påbud att vidta en viss åtgärd som ett förbud mot att vidta en åtgärd.65 Enligt utredningens bedömning får den föreslagna generella möj- ligheten att kunna vitesförelägga i dessa avseenden anses ge mark- nadskontrollmyndigheterna tillräckliga ingripandemöjligheter för att säkerställa att AI-system som utgör en risk dras tillbaka, åter- kallas eller att tillhandahållandet av systemen på marknaden för- bjuds m.m. Några andra ingripandemöjligheter för att marknads- 65 Prop. 2021/22:238, s. 169 f. 482 SOU 2025:101 Befogenheter och ingripanden kontrollmyndigheterna ska kunna förbjuda eller begränsa tillhanda- hållandet eller ibruktagandet av AI-system på marknaden behöver enligt utredningens bedömning därför inte införas. 10.8 Ingripanden mot det allmänna 10.8.1 Ingripanden mot myndigheter Utredningens bedömning: Sanktioner och andra ingripanden för överträdelser av AI-förordningen bör även kunna beslutas mot en myndighet. Utredningens förslag: Kompletteringslagen ska innehålla en bestämmelse om att ett vitesföreläggande även får riktas mot en myndighet. Kompletteringslagen ska vidare innehålla en bestämmelse om att en anmärkning eller sanktionsavgift får beslutas mot en myn- dighet vid överträdelser av samma bestämmelser som gäller för privaträttsliga organ (se avsnitt 10.7.3). Kompletteringslagen ska även innehålla en bestämmelse om att en sanktionsavgift för en myndighet ska bestämmas till högst – 20 000 000 kronor för överträdelser av förbudet mot de AI- användningsområden som avses i artikel 5, – 10 000 000 kronor för överträdelser av någon av de bestäm- melser som anges i artikel 99.4, och – 5 000 000 kronor för tillhandahållande av oriktig, ofullständig eller vilseledande information till anmälda organ eller natio- nella behöriga myndigheter som svar på en begäran. Offentliga myndigheter och organ omfattas av AI-förordningen Som utredningen närmare utvecklar i nästa avsnitt överlämnar AI- förordningen till medlemsstaterna att avgöra om sanktionsavgifter ska kunna påföras offentliga myndigheter och organ. Inledningsvis ser utredningen anledning att klargöra vilka slags organ som om- fattas av AI-förordningen. 483 Befogenheter och ingripanden SOU 2025:101 En offentlig myndighet omfattas av AI-förordningen på mot- svarande sätt som privata organ under förutsättning att myndig- heten utgör en leverantör eller tillhandahållare i AI-förordningens mening (se avsnitt 4.2.2) eller av något annat skäl utgör en annan operatör som omfattas av AI-förordningen. Av definitionerna av leverantör (artikel 3.3) och tillhandahållare (artikel 3.4) framgår att en offentlig myndighet omfattas av AI-förordningen. Av de defini- tionerna framgår att även fysiska och juridiska personer, en byrå eller ett annat organ omfattas. Det innebär att AI-förordningen har ett tillämpningsområde som omfattar såväl privata som offentliga aktörer. När det gäller juridiska personer, t.ex. aktiebolag och ekonomiska eller ideella föreningar som också omfattas av AI-förordningen, så kännetecknas de av att fysiska eller juridiska personer har organi- serat sig som delägare eller medlemmar i en sammanslutning för ett gemensamt syfte, t.ex. att åstadkomma vinst eller annan fördel för delägarna eller medlemmarna. I svensk rätt finns också flera särskilt reglerade associationer av föreningsliknande slag. Exempel på sådana är registrerade trossamfund och registrerade organisatoriska delar av sådana samfund (lagen [1998:1593] om trossamfund), samfällig- hetsföreningar (lagen [1973:1150] om förvaltning av samfälligheter) och ömsesidiga försäkringsbolag (se 12 kap. försäkringsrörelselagen [2010:2043]). Samtliga dessa associationer utgör privata rättssubjekt. Även stiftelser anses utgöra privata rättssubjekt.66 Bestämmelser om stiftelser finns i stiftelselagen (1994:1220). När det gäller tillämpningsområdet skiljer AI-förordningen så- ledes inte mellan privata organ, t.ex. aktiebolag, som huvudsakligen kontrolleras av privata respektive av offentliga organ. Det finns nämligen inte någon definition i AI-förordningen som jämställer av den offentliga sektorn kontrollerade privata organ med en offentlig myndighet på det sätt som förekommer inom andra EU-reglerade områden. Det får, som utredningen utvecklar i det följande, betyd- else för tolkningen av artikel 99.8 om sanktionsavgifter mot offent- liga myndigheter och organ. Redan här ser utredningen därför anled- ning att klargöra att privata organ – som alltså inte kan definieras som sådana offentliga organ enligt artikel 99.8 för vilka det har över- lämnats till medlemsstaterna att besluta om sanktionsavgifter för – 66 Se t.ex. SOU 2016:82, s. 55 ff. 484 SOU 2025:101 Befogenheter och ingripanden omfattas av sanktionsavgifterna i artikel 99.3–5 i AI-förordningen (se avsnitt 10.7.3 ovan). Begreppen offentliga myndigheter och organ i AI-förordningen Trots att AI-förordningen alltså omfattar även offentliga myndig- heter och andra organ under förutsättning att de utgör leverantörer eller tillhandahållare enligt AI-förordningens definitioner eller av annat skäl omfattas av AI-förordningens definitioner så har det i förordningen överlämnats till medlemsstaterna att fastställa bestäm- melser om i vilken utsträckning administrativa sanktionsavgifter får påföras offentliga myndigheter och organ som är inrättade i medlems- staten (artikel 99.8). För att kunna ta ställning till vilka organ som artikel 99.8 förut- sätter att medlemsstaterna själva beslutar om vad gäller administra- tiva sanktionsavgifter behöver det utredas vad som kan avses med begreppen offentliga myndigheter och organ i artikeln. Begreppen offentliga myndigheter och offentliga organ defini- eras emellertid inte i AI-förordningen på sätt som finns i vissa andra EU-rättsakter. Som exempel kan nämnas att det framgår av artikel 2.17 i EU:s dataförvaltningsförordning att med ”offentliga myndigheter” avses statliga, regionala eller lokala myndigheter och offentligrättsliga organ, eller sammanslutningar av en eller flera sådana myndigheter eller av ett eller flera sådana offentligrättsliga organ. I den förord- ningen finns även en definition av ”offentligrättsligt organ”. Ett offentligrättsligt organ definieras som ett organ som har särskilt inrättats för att tillgodose behov av allmänt intresse, och inte är av industriell eller kommersiell art, som är juridiska personer och som finansieras till största delen av statliga, regionala eller lokala myndig- heter, eller andra offentligrättsliga organ, står under administrativ tillsyn av sådana myndigheter eller organ, eller har ett förvaltnings-, lednings- eller kontrollorgan där mer än hälften av ledamöterna ut- ses av staten, av regionala eller lokala myndigheter eller av andra offentligrättsliga organ (artikel 2.18 a–c i EU:s dataförvaltningsför- ordning). Samma definition används i artikel 2.4 i EU:s direktiv om 485 Befogenheter och ingripanden SOU 2025:101 offentlig upphandling.67 I artikel 3.1 i webbtillgänglighetsdirektivet hänvisas till EU:s direktiv om offentlig upphandling vad gäller be- greppet offentligrättsligt organ och även det direktivet innehåller således en motsvarande definition.68 När det gäller begreppet ”offent- ligt organ” så definieras det i EU:s direktiv för energieffektivisering69 som nationella, regionala eller lokala myndigheter och enheter som direkt finansieras och administreras av dessa myndigheter men som inte är av industriell eller kommersiell karaktär (artikel 2.12 i EU:s direktiv för energieffektivisering). Genom dessa definitioner i EU-rättsakterna kan t.ex. aktiebolag som huvudsakligen kontrolleras av den offentliga sektorn – genom aktieinnehav, majoritet i styrelsen eller på annat sätt – komma att jämställas med myndigheter. Inom t.ex. regelverket för offentlig upphandling utgör därför ett av staten, en region eller en kommun huvudsakligen kontrollerat aktiebolag ett offentligrättsligt organ och därmed en myndighet i regelverkets mening under förutsätt- ning att aktiebolaget har särskilt inrättats för att tillgodose behov i det allmännas intresse, utan industriell eller kommersiell karaktär. Definitionerna förs i svensk rätt in i den lag som kompletterar eller genomför EU-rättsakten och när det gäller exempelvis offentlig upp- handling har Högsta förvaltningsdomstolen i HFD 2016 ref. 67 kom- mit fram till att det statligt ägda aktiebolaget Akademiska Hus AB, med uppdrag att äga och förvalta fastigheter för universitet och hög- skolor, ska anses utgöra ett offentligt styrt organ som ska jämställas med myndighet vid tillämpning av den dåvarande lagen (2007:1091) om offentlig upphandling. Motsvarande regler finns i nuvarande upphandlingsregelverk. Mot denna bakgrund kan utredningen konstatera att begreppen används delvis olika i olika EU-rättsakter och behöver tolkas i ljuset av den aktuella rättsakten. Det är enligt utredningens uppfattning oklart hur EU:s lagstiftare har avsett att begreppen offentliga myn- digheter och offentliga organ i AI-förordningen ska förstås. En möjlig tolkning är att offentliga organ avser endast myndigheter. En annan möjlig tolkning är att begreppet offentligt organ även ska 67 Europaparlamentets och rådets direktiv 2014/24/EU av den 26 februari 2014 om offentlig upphandling och om upphävande av direktiv 2004/18/EG. 68 Europaparlamentets och rådets direktiv (EU) 2016/2102 av den 26 oktober 2016 om till- gänglighet avseende offentliga myndigheters webbplatser och mobila applikationer. 69 Europaparlamentets och rådets direktiv (EU) 2023/1791 av den 13 september 2023 om energieffektivitet och om ändring av förordning (EU) 2023/955. 486 SOU 2025:101 Befogenheter och ingripanden anses innefatta aktiebolag, ekonomiska föreningar och andra juri- diska personer som huvudsakligen kontrolleras av staten, en kom- mun eller en region eller sådana offentliga organ tillsammans. I detta sammanhang noterar utredningen att artikel 83.7 i EU:s dataskyddsförordning har en motsvarande formulering som arti- kel 99.8 i AI-förordningen. Där anges att det är upp till varje med- lemsstat att fastställa regler om och i vilken utsträckning sanktions- avgifter ska kunna påföras offentliga myndigheter och organ i den medlemsstaten. Inte heller EU:s dataskyddsförordning definierar vad som avses med begreppen offentliga myndigheter och offent- liga organ. Av 6 kap. 2 § lagen med kompletterande bestämmelser till EU:s dataskyddsförordning följer att tillsynsmyndigheten får ta ut en sanktionsavgift av en myndighet för vissa överträdelser av EU:s dataskyddsförordning. I förarbetena om anpassningar till EU:s data- skyddsförordning bedömdes att det är regeringsformens terminologi som bör användas vad avser begreppet offentligt organ i artikel 83.7 i EU:s dataskyddsförordning.70 Det är ytterst upp till EU-domstolen att uttolka vilka aktörer som omfattas av begreppen offentlig myndighet eller offentligt organ enligt AI-förordningen. Eftersom det emellertid är nödvändigt för utredningen att göra en bedömning av vilka organ som artikel 99.8 förutsätter att medlemsstaterna reglerar sanktionsavgifter för, gör utredningen bedömningen att det finns ett visst utrymme att tolka hur begreppen offentlig myndighet och offentligt organ ska förstås utifrån varje medlemsstats definitioner. Den tolkningen överensstäm- mer med den svenska lagstiftarens tolkning av EU:s dataskydds- förordning, vilken som nyss beskrivits inte heller innehåller någon definition av dessa begrepp. Begreppen offentliga myndigheter och offentliga organ enligt svensk rätt Som har redovisats ovan anser utredningen alltså att det finns anled- ning att analysera svensk rätt för att avgöra vilka organ som utgör sådana offentliga myndigheter och organ för vilka Sverige har en frihet enligt artikel 99.8 i AI-förordningen att själv välja om sank- 70 Prop. 2017/18:105, s. 139 f. 487 Befogenheter och ingripanden SOU 2025:101 tionsavgifter ska införas för. Utredningen redovisar i det följande sin analys om svensk rätt. Regeringsformen Enligt regeringsformens terminologi är alla offentliga organ myn- digheter, med undantag för riksdagen och kommun- och regionfull- mäktige. Myndigheter utgörs av statliga, kommunala och regionala myndigheter. Privaträttsliga organ är varken myndigheter eller offent- liga organ, även om de utövar offentlig makt. Regeringsformens terminologi bör ge ledning i fråga om begreppet offentlig myndighet i AI-förordningen Av de skäl som utredningen har redovisat ovan gör utredningen bedömningen att begreppet myndighet i regeringsformens mening bör anses motsvara begreppet offentlig myndighet i artikel 99.8 i AI-förordningen. Som utredningen nyss har konstaterat innefattar begreppet myn- dighet med regeringsformens terminologi såväl statliga som kom- munala och regionala myndigheter. Med statliga myndigheter avses statliga förvaltningsmyndigheter och domstolar. De statliga myndigheterna lyder under regeringen eller riksdagen. Exempel på statliga myndigheter under regeringen är Polismyndigheten och Skatteverket. En typ av statlig myndighet är statliga verk som ofta har en mer specifik och teknisk uppgift. Exempel på statliga verk är Trafikverket och Skolverket. Med kom- munala myndigheter avses t.ex. socialnämnd, miljönämnd eller bygg- nadsnämnd. Med regionala myndigheter avses t.ex. hälso- och sjuk- vårdsnämnden. Som har redovisats ovan undantas riksdagen och kommun- och regionfullmäktige från begreppet myndighet. Om kommuner och regioner När det gäller kommuner och regioner så regleras skyldigheterna olika i svensk lagstiftning som kompletterar eller genomför EU- rättsakter. När det gäller kommuner och regioner behöver därför 488 SOU 2025:101 Befogenheter och ingripanden övervägas vilka organ inom kommuner och regioner som ska anses omfattas av regleringen i artikel 99.8 i AI-förordningen. Med myndigheter avses som ovan redovisats med regeringsfor- mens terminologi inte riksdagen eller kommun- och regionfull- mäktige. I vissa regelverk omfattas även kommunfullmäktige och region- fullmäktige av de skyldigheter som gäller för kommunen respektive regionen i övrigt. Det kan exempelvis framgå av lagregleringen att beslutande församling i en kommun eller en region omfattas (se t.ex. 4 § lagen om tillgänglighet till digital offentlig service). Av säkerhets- skyddslagen följer att en sanktionsavgift får beslutas mot en statlig myndighet, kommun eller region.71 Mot denna bakgrund kan konstateras att beslutande församlingar som kommunfullmäktige och regionfullmäktige inte omfattas av de skyldigheter som regleras för myndigheter om det inte särskilt an- ges att dessa beslutande organ ska omfattas. Juridiska personer som huvudsakligen kontrolleras av staten, en kommun eller en region Det är inte ovanligt att staten, en kommun eller en region bedriver verksamhet genom en annan juridisk person, t.ex. ett aktiebolag. Som utredningen har redogjort för ovan kan enligt EU-rätten pri- vata organ, t.ex. ett aktiebolag, som huvudsakligen kontrolleras av staten, en kommun eller en region eller av den offentliga sektorn tillsammans i vissa fall anses jämställda med myndigheter. I så fall betraktas de som offentliga myndigheter eller offentliga organ en- ligt de definitioner som finns i EU-rättsakten. Eftersom det, som har redovisats ovan, inte finns någon sådan definition i AI-förord- ningen bör i stället regeringsformens terminologi ge ledning för hur begreppen offentlig myndighet och organ ska tolkas. Utifrån en tillämpning av regeringsformens terminologi bör så- dana juridiska personer som huvudsakligen kontrolleras av staten, en kommun eller en region, eller av den offentliga sektorn tillsammans, anses utgöra privata organ vid tillämpningen av AI-förordningen och alltså inte offentliga organ. En följd av det är att juridiska per- soner som huvudsakligen kontrolleras av staten, en kommun eller 71 Prop. 2020/21:194, s. 103. 489 Befogenheter och ingripanden SOU 2025:101 en region eller av den offentliga sektorn tillsammans omfattas av AI-förordningens reglering för privata organ av sanktionsavgifter (se avsnitt 10.7 ovan). De utgör då inte sådana offentliga organ för vilka medlemsstaterna enligt artikel 99.8 i AI-förordningen själva får besluta om sanktionsavgifter för.72 Utredningen ser anledning att klargöra att om utredningens tolk- ning av begreppet offentlig myndighet och offentligt organ i AI- förordningens mening inte skulle vara korrekt vad gäller t.ex. sådana juridiska personer som huvudsakligen kontrolleras av staten, en kommun eller en region eller av den offentliga sektorn tillsammans, dvs. om sådana organ rätteligen ska ingå i definitionen av offentliga myndigheter och organ som medlemsstaterna enligt artikel 99.8 i AI-förordningen själva får besluta om sanktionsavgifter för, så blir följden av utredningens förslag att det inte finns några regler om sanktionsavgifter för dem. I så fall förutsätter artikel 99.8 i AI-för- ordningen att medlemsstaterna reglerar en sanktionsavgift för dem och det görs inte genom utredningens förslag. Samtidigt kan konsta- teras att om utredningen i stället hade valt att betrakta dessa juri- diska personer som offentliga myndigheter och organ och reglera en sanktionsavgift för dem i kompletteringslagen som avviker från den som framgår av AI-förordningen så hade utredningens förslag riskerat att innebära en svensk reglering som strider mot AI-för- ordningen. Detta om AI-förordningen redan reglerar sanktions- avgifterna för de juridiska personerna, vilket är det som utredningen förutsätter. Utredningen har förstås även vägt in nu nämnda förhållanden i sin bedömning och har sammanfattningsvis kommit fram till att endast myndigheter i regeringsformens mening ska omfattas av artikel 99.8 i AI-förordningen och inte också juridiska personer som huvudsakligen kontrolleras av staten, en kommun eller en region eller av den offentliga sektorn tillsammans. Artikel 99.8 i AI-förordningen bör endast omfatta myndigheter Av redovisningen ovan framgår att utredningen gör bedömningen att det bör vara myndigheter i regeringsformens mening som om- fattas av artikel 99.8 i AI-förordningen och för vilka det behövs en 72 Jfr t.ex. prop. 2017/18:105, s. 139 f. och En översyn av lagstiftningen om företagsbot (SOU 2016:82), s. 60. 490 SOU 2025:101 Befogenheter och ingripanden svensk reglering för att sanktionsavgifter ska kunna meddelas. Den regleringen stämmer överens med den i lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. Som närmare fram- går i det följande finns det även skäl att i motsvarande mån reglera andra ingripandemöjligheter mot myndigheter. Som har redovisats ovan avses med myndigheter enligt regerings- formens terminologi alla statliga, kommunala och regionala myndig- heter. Privaträttsliga organ är varken myndigheter eller offentliga organ, även om de utövar offentlig makt. Utredningen gör bedömningen att det lika lite som för ett beslut- ande organ som riksdagen finns anledning att reglera att kommun- fullmäktige och regionfullmäktige ska omfattas av ingripanden. De beslutande församlingarna kommer troligen sällan att omfattas av AI-förordningen i egenskap av operatör. Det är troligare att den operativa förvaltningen kan komma att omfattas av AI-förordningens bestämmelser. Utredningen ser dock anledning att påminna om att 4 § lagen om tillgänglighet till digital offentlig service även innefattar kom- munfullmäktige och regionfullmäktige. Vid en annan bedömning än den som utredningen har gjort behöver en motsvarande regler- ing införas i kompletteringslagen för att kommunfullmäktige och regionfullmäktige ska omfattas av sanktionsavgifter och andra in- gripanden. Sanktionsavgifter och andra ingripanden bör kunna beslutas mot myndigheter Vid övervägandena av om det finns behov av att införa en reglering enligt artikel 99.8 i AI-förordningen för myndigheter vad gäller sank- tionsavgifter och andra ingripanden behöver naturligtvis beaktas i vilken mån myndigheter kan antas komma att omfattas av förord- ningen. Vid den bedömningen beaktar utredningen följande för- hållanden. Utredningen kan konstatera att AI-förordningen bl.a. syftar till att säkerställa en hög skyddsnivå för hälsa, säkerhet och grundläg- gande rättigheter som fastställs i stadgan, inbegripet demokrati, rättsstatens principer och miljöskydd, mot de skadliga effekterna av användning av AI-system i unionen, och att stödja innovation (artikel 1). Det är staten i vid mening, dvs. den offentliga sektorn, 491 Befogenheter och ingripanden SOU 2025:101 som ska säkerställa att varje människa får del av och kan utkräva sina grundläggande rättigheter enligt stadgan. Av en rapport från Statskontoret från 2024 framgår att det sak- nas samlad kunskap om vilka myndigheter som använder AI, hur den används och i vilken omfattning. Enligt rapporten ser myndig- heterna en stor potential med AI, både när det gäller att öka effek- tiviteten och rättssäkerheten och när det gäller att förbättra tillgäng- lighet och service. Samtidigt är myndigheterna medvetna om att det finns risker och att det gäller att hantera dessa. Det är också få myn- digheter som har styrdokument som särskilt hanterar AI och som följer upp eller utvärderar AI-satsningar. Enligt rapporten planerar många myndigheter för att öka användningen av AI framöver.73 Många myndigheter använder fortfarande AI endast på experiment- stadiet. Enligt en kartläggning av eSam från 2022 var en tredjedel av myndigheternas initiativ avseende AI av utforskande karaktär.74 Under 2021 fick Arbetsförmedlingen, Bolagsverket, Digg och Skatteverket i uppdrag att främja offentlig förvaltnings förmåga att använda AI i syfte att stärka Sveriges välfärd och konkurrenskraft.75 Uppdraget slutredovisades i januari 2023 och resulterade bl.a. i en samarbetsplattform som uppmuntrar till lärande, delande och vidare- utnyttjande av AI-användning inom offentlig förvaltning.76 Digg, E-hälsomyndigheten och Socialstyrelsen fick under 2023 i uppdrag att stödja kommunernas användning av AI inom social- tjänsten.77 I uppdraget ingick att erbjuda kompetenshöjande insatser till kommuner, bl.a. utifrån befintliga exempel på AI-användning. Uppdraget redovisades i januari 2024. I slutredovisningen konsta- terade myndigheterna att det är viktigt att öka kunskapen om AI samtidigt som det finns ett fortsatt behov av samverkan och erfaren- hetsdelning mellan kommuner, med olika aktörer och olika nivåer inom offentlig sektor.78 Den 4 juli 2024 beslutade regeringen att ge Digg och IMY i upp- drag att ta fram vägledande riktlinjer med syftet att öka användningen 73 Statskontoret, Myndigheterna och AI – En studie om möjligheter och risker med att an- vända AI i statsförvaltningen, 2024, s. 18–19, 30–31 och 40–43. 74 eSam (2022), Samverkan kring tillämpad AI. 75 Uppdrag att främja offentlig förvaltnings förmåga att använda artificiell intelligens, I2021/ 01825, 21 juni 2023. 76 Slutrapport i regeringsuppdraget I2021/01825. 77 Uppdrag att stödja kommunernas användning av artificiell intelligens inom socialtjänsten, Fi2023/02301, 29 augusti 2023. 78 Slutrapport i regeringsuppdraget Fi2023/02301. 492 SOU 2025:101 Befogenheter och ingripanden av generativ AI inom offentlig sektor.79 Riktlinjerna presenterades av myndigheterna den 20 januari 2025.80 Riktlinjerna ska fungera som vägledning för anställda på kommuner, regioner och myndig- heter. Syftet är att hantera juridiska, etiska och säkerhetsmässiga frågor för att bidra till en ökad användning av generativ AI. Statistikmyndigheten SCB har vid två tillfällen genomfört mät- ningar av användningen av AI inom den offentliga sektorn i Sverige. Dessa mätningar visar att antalet statliga myndigheter som använder AI var i stort sett desamma 2019 som 2021 då andelen som använde AI uppgick till 27,1 procent. Hos kommunerna ökade samtidigt användningen av AI till cirka 23,7 procent år 2021.81 Vidare har AI-kommissionen i AI-kommissionens färdplan för Sverige föreslagit att regeringen bör uppmana myndigheter att an- vända AI i sin verksamhet. AI-kommissionen föreslår också att re- gioner och kommuner bör uppmuntra och uppmana regionala och kommunala förvaltningar att öka användningen av AI.82 Utredningen kan således konstatera att AI redan används och kan förväntas komma att användas i allt högre utsträckning även inom offentlig sektor. När det gäller AI-system med hög risk enligt bilaga III till AI- förordningen är det dessutom myndigheter som ansvarar för områ- dena brottsbekämpning, migration, asyl och gränskontrollförvalt- ning samt rättskipning och demokratiska processer (punkterna 6–8, bilaga III), även om andra aktörer också kan omfattas av bestäm- melserna för sådana högrisksystem. Som AI-system med hög risk betraktas också system avsedda att användas av offentliga myndigheter eller för offentliga myndigheters räkning för att utvärdera fysiska personers rätt till väsentliga förmåner och tjänster i form av offentligt stöd, inbegripet hälso- och sjukvårds- tjänster (punkten 5 a, bilaga III). Myndigheter är t.ex. också ansvariga för olika delar av området kritisk infrastruktur (punkten 2 i bilaga III). Det kan konstateras att det i stor utsträckning är myndigheter som ansvarar för flera av de områden där AI-system klassificeras som hög risk enligt bilaga III. Myndigheter kan samtidigt förväntas 79 Uppdrag till Myndigheten för digital förvaltning och Integritetsskyddsmyndigheten att ta fram riktlinjer för användningen av generativ artificiell intelligens inom den offentliga för- valtningen, Fi2024/01535, 8 augusti 2024. 80 Slutrapport i regeringsuppdraget Fi2023/02301. 81 Statistikmyndigheten SCB, AI-användning i företag och offentlig sektor, 2023, s. 8. 82 AI-kommissionens Färdplan för Sverige, s. 118. 493 Befogenheter och ingripanden SOU 2025:101 komma att utveckla och använda AI i allt högre utsträckning. Använd- ningen av AI i den offentliga sektorn kan också förväntas ske på mot- svarande eller liknande sätt som i den privata sektorn. Utredningen kan också konstatera att marknadskontrollmyndig- heterna ska kunna ingripa mot AI-system som utgör en risk (arti- kel 79.1). Om en operatör inte vidtar lämpliga korrigerande åtgärder ska marknadskontrollmyndigheten kunna vidta åtgärder för att för- bjuda eller begränsa tillhandahållandet eller ibruktagandet av AI- systemet på marknaden m.m. (se artikel 79.5 och avsnitt 10.7.6). Myndigheten kan i dessa situationer behöva vidta åtgärder för att förhindra skada. Det kan också röra sig om att åtgärder måste vidtas skyndsamt. Intresset för marknadskontrollmyndigheterna att kunna ingripa när AI-system utgör en risk gör sig gällande i samma utsträck- ning oavsett om det är en privat eller offentlig aktör som t.ex. är leverantören av det aktuella AI-systemet. Mot denna bakgrund bedömer utredningen att det finns skäl att införa bestämmelser om sanktionsavgifter och andra ingripanden mot myndigheter. Utredningen utvecklar vilka ingripanden som bör få beslutas mot myndigheter i det följande. Föreläggande med vite Inledande kommentarer Utredningen har föreslagit att de nationella behöriga myndigheterna ska kunna besluta om förelägganden med vite mot operatörer och anmälda organ som är privaträttsliga organ för att AI-förordningen, EU:s marknadskontrollförordning, kompletteringslagen och före- skrifter som har meddelats med stöd av AI-förordningen och kom- pletteringslagen ska följas (se avsnitt 10.7.2). Frågan är om motsvarande möjlighet att förelägga med vite bör införas vad gäller åtgärder mot myndigheter. Som utredningen har konstaterat ovan så är det i stor utsträck- ning myndigheter som bl.a. ansvarar för flera av de områden där AI-system klassificeras som hög risk enligt bilaga III. Av förarbetena till FL framgår att huvudregeln om myndigheters utredningsansvar bör vara relativt allmänt hållen, eftersom ärenden kan vara av många olika slag.83 Av 23 § FL framgår bl.a. att en myn- 83 Jfr prop. 2016/17:180, s. 149. 494 SOU 2025:101 Befogenheter och ingripanden dighet ska se till att ett ärende blir utrett i den omfattning som dess beskaffenhet kräver och om det behövs ska myndigheten genom frågor och påpekanden verka för att parten förtydligar eller komplet- terar framställningen. För att utreda ett ärende gäller utrednings- ansvaret i ärenden mot såväl ett privaträttsligt organ som en myndig- het och en myndighet får alltså besluta om vissa förelägganden utan vite för att utreda ett ärende. Den av utredningen föreslagna bestäm- melsen om förelägganden i kompletteringslagen är också generell och inte begränsad till endast privaträttsliga organ (se avsnitt 10.7.2). Den norska regeringen har i sitt förslag om anpassningar till AI- förordningen bl.a. föreslagit att vitesföreläggande ska införas som ingripande och att det ska gälla även i förhållande till offentliga myn- digheter.84 Föreläggande med vite mot myndigheter Frågan om vite mot staten är inte reglerad i viteslagen. Vid den lagens tillkomst uttryckte Lagrådet önskemål om att frågan om huruvida vitesförelägganden kan riktas mot staten borde lösas i lagen, men lagstiftaren ansåg att frågan borde överlämnas åt rättstillämpningen.85 I förarbetena till viteslagen uttrycktes att viten mot staten bör komma i fråga främst i situationer där staten i så utpräglad grad uppträder som privaträttsligt organ, t.ex. på det marknadsrättsliga området, att det skulle vara onaturligt om vitesmöjligheten inte stod till buds. Vidare uttalades att det utanför det marknadsrättsliga om- rådet bör krävas att ett helt speciellt undantagsfall är för handen för att ett vitesföreläggande mot en statlig aktör ska vara godtagbart.86 Det har ansetts förutsätta att det finns starka skäl i form av t.ex. ett särskilt skyddsintresse som motiverar att man frångår huvudregeln.87 I vissa författningar, t.ex. diskrimineringslagen (2008:567), finns en uttrycklig regel som innebär att föreläggande som riktas mot sta- ten får förenas med vite. I förarbetena till lagen anfördes att frågorna om jämställdhet och mångfald i arbetslivet är av sådan vikt att en ordning där statliga arbetsgivare hålls utanför området där viten 84 Digitaliserings- og forvaltningsdepartementet (DFD), Høringsnotat – Gjennomføring av forordningen om kunstig intelligens (KI-forordningen), 2025-06-30, s. 52. 85 Prop. 1984/85:96, s. 98 f. 86 Prop. 1984/85:96, s. 99 f. 87 Se t.ex. prop. 2017/18:299, s. 68 och prop. 1999/2000:143, s. 95. 495 Befogenheter och ingripanden SOU 2025:101 kan föreläggas skulle innebära att mer förmånliga regler gällde för dessa än för kommunala eller privata arbetsgivare och att en sådan skillnad inte är motiverad. Intresset av ett väl fungerande aktivt arbete för jämställdhet och mångfald även i förhållande till statliga arbetsgivare bedömdes vara så starkt att det fanns skäl att markera att även staten ska kunna föreläggas vite.88 Även i säkerhetsskyddslagen finns en möjlighet att vitesföre- lägga staten. Det motiverades i förarbetena av att regelverket avser ingripanden som syftar till att skydda Sveriges säkerhet. Det bedöm- des i sin tur utgöra ett synnerligen tungt vägande intresse som gör sig gällande i samma utsträckning oavsett om det är en privat eller offentlig aktör som bedriver den säkerhetskänsliga verksamheten.89 I likhet med resonemangen i förarbetena till säkerhetsskydds- lagen har regeringen i lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag gjort bedömningen att vitesföreläggande också ska kunna riktas mot staten. Detta främst av det skälet att de situationer i vilka ett vitesföreläggande kan aktuali- seras är när staten agerar utanför sin rent offentligrättsliga kapacitet.90 En myndighet bör få föreläggas med vite att vidta en åtgärd Utredningen gör bedömningen att det finns övervägande skäl för att vite även ska kunna riktas mot en myndighet enligt kompletter- ingslagen, och det oavsett om det är fråga om statliga eller kommu- nala eller regionala myndigheter. Vitessanktionen får anses ha ett stort symbolvärde då den skickar ut kraftfulla signaler om att AI-för- ordningen ska tas på allvar. Med hänsyn till att myndigheter i stor ut- sträckning omfattas av AI-förordningen så bör samma allvar även gälla i förhållande till dessa offentliga aktörer. Det skapar dessutom ett för- utsebart och enhetligt system om alla operatörer och anmälda organ enligt AI-förordningen omfattas av samma ingripandemöjligheter. När det gäller vitesförelägganden förutsätter utredningen att myn- digheter generellt sett frivilligt kommer att rätta sig efter de natio- nella behöriga myndigheternas förelägganden. Viteshotet kommer 88 Prop. 2007/08:95, s. 349 f. 89 Prop. 2020/21:194, s. 66. 90 Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäker- hetslag, s. 122. 496 SOU 2025:101 Befogenheter och ingripanden då endast undantagsvis att behöva användas och i förekommande fall realiseras. Sanktionsavgift och anmärkning Utredningen föreslår att sanktionsavgifter ska få påföras operatörer som utgör privaträttsliga organ för överträdelser av vissa skyldigheter enligt AI-förordningen (se avsnitt 10.7.3). Det finns enligt utred- ningens uppfattning starka skäl för att möjligheterna att påföra en sanktionsavgift bör vara desamma för myndigheter som för privat- rättsliga organ. Som utredningen har konstaterat ovan så är det i stor utsträckning myndigheter som ansvarar för flera av de områden där AI-system klassificeras som hög risk enligt bilaga III. Användningen av AI i den offentliga sektorn kan också förväntas ske på motsvarande eller liknande sätt som i den privata sektorn. Konsekvenserna vid myndig- heters överträdelser av kraven och skyldigheterna enligt AI-förord- ningen kan generellt sett antas få större negativa konsekvenser på samhället och den enskilde jämfört med överträdelser av privata organ. Behovet av avskräckande sanktioner borde inte heller vara mindre när det gäller myndigheters användning av AI-system än vad gäller privata organs användning. Den norska regeringen har i sitt förslag om anpassningar till AI- förordningen föreslagit att, förutom vitesförelägganden, även sank- tionsavgifter ska kunna påföras offentliga myndigheter.91 Den danska regeringen har däremot bedömt att sanktionsavgifter inte ska gälla i förhållande till offentliga myndigheter och organ.92 I den finska regeringens proposition med förslag till lagstiftning som komplet- terar AI-förordningen har bl.a. statliga myndigheter, statliga affärs- verk, kommunala myndigheter och självständiga offentligrättsliga inrättningar undantagits från bestämmelserna om sanktionsavgifter.93 Det förekommer redan att det allmänna kan påföras sanktions- avgifter inom ett antal områden. I förarbetena till lagen med kom- pletterande bestämmelser till EU:s dataskyddsförordning anges bl.a. 91 Digitaliserings- og forvaltningsdepartementet (DFD), Høringsnotat - Gjennomføring av forordningen om kunstig intelligens (KI-forordningen), s. 51. 92 Se Udvalget for Digitalisering og It (DIU) Alm. Del, Forslag til Lov om supplerende be- stemmelser til Europa-Parlamentets og Rådets forordning om kunstig intelligens, s. 38. 93 RP 46/2025 rd, s. 204. 497 Befogenheter och ingripanden SOU 2025:101 att enskildas intresse av skydd för sin personliga integritet anses väga lika tungt om uppgifter behandlas i det allmännas verksamhet som i den privata sektorns. Det konstaterades att såväl statliga som kommunala myndigheter behandlar stora mängder personuppgifter.94 Möjligheten att ta ut sanktionsavgift från myndigheter följer av 6 kap. 2 § lagen med kompletterande bestämmelser till EU:s data- skyddsförordning. Vidare finns regler om miljösanktionsavgifter i 30 kap. miljöbal- ken och förordningen (2012:259) om miljösanktionsavgifter. Miljö- sanktionsavgifter kan beslutas mot bl.a. myndigheter som bedriver verksamhet som faller inom ramen för miljöbalken. Arbetsmiljö- lagen är tillämplig på arbete som bedrivs i Sverige. Att sanktions- avgifter kan beslutas framgår av 8 kap. 5 § arbetsmiljölagen. Ett exempel på sanktionsavgifter som särskilt riktar sig mot myn- digheter är reglerna om upphandlingsskadeavgift i upphandlings- regelverket. Av 21 kap. 6 och 7 §§ lagen om offentlig upphandling m.fl. upphandlingslagar framgår att tillsynsmyndigheten får besluta att en upphandlande myndighet eller enhet ska betala en upphand- lingsskadeavgift under vissa angivna omständigheter. I detta sammanhang kan också nämnas att Europeiska datatill- synsmannen får ålägga administrativa sanktionsavgifter av unionens institutioner, organ och byråer som omfattas av AI-förordningen (artikel 100.1). Ett argument mot att sanktionsavgifter enligt AI-förordningen ska kunna tas ut av myndigheter är sanktionens bristande effektivi- tet när offentliga medel endast förs över från en offentlig verksam- het till en annan. Liknande avgifter har dock ansetts utgöra en effek- tiv sanktion på flera andra områden trots att avgiften betalas av myndigheter till staten. Utredningen gör samma bedömning. Ett annat argument mot sanktionsavgifter är att det finns ett tjänstefelsansvar inom den offentliga sektorn, vilket ger ett visst skydd mot att enskilda tjänstemän i offentlig verksamhet gör sig skyldiga till grövre överträdelser. Enligt utredningen är dock tjänste- felsansvar eller disciplinansvar inte tillräckligt effektiva sanktioner mot systematiska överträdelser på myndighetsnivå för att motivera en annan bedömning. 94 Ny dataskyddslag (SOU 2017:39), s. 287 f. 498 SOU 2025:101 Befogenheter och ingripanden Mot ovan angiven bakgrund anser utredningen att övervägande skäl talar för att sanktionsavgifter bör kunna beslutas även mot myn- digheter. Utredningen har även föreslagit att anmärkning ska kunna använ- das som ett alternativt och mildare, ingripande än en sanktionsavgift (se avsnitt 10.7.3). Enligt utredningens bedömning bör en anmärk- ning även kunna meddelas mot en myndighet. Det skapar ett enhetligt system för såväl myndigheter som andra organ som utgör operatörer enligt AI-förordningen. Storleken på sanktionsavgifterna Artikel 99.8 i AI-förordningen om medlemsstaternas möjligheter att bestämma i vilken utsträckning administrativa sanktionsavgifter får påföras offentliga myndigheter och organ, innebär även att med- lemsstaterna får anses ha utrymme att bestämma högsta nivåer för de belopp som kan påföras en myndighet. När det gäller frågan om ett beloppstak bör införas för myndig- heter beaktar utredningen följande. Som utgångspunkt anser utred- ningen att samma typ av överträdelse av AI-förordningen bör leda till samma typ av sanktion oavsett om överträdelsen begås av ett pri- vat organ eller en myndighet. Samtidigt är det rimligt att sanktions- avgifter som påförs en myndighet för överträdelser av AI-förord- ningen ligger i paritet med andra sanktionsavgifter i svensk rätt. De sanktionsavgifter som kan tas ut av myndigheter enligt den komplet- terande lagen till EU:s dataskyddsförordning är lägre än de högsta belopp som anges i AI-förordningen. Enligt 6 kap. 2 § andra stycket lagen med kompletterande bestämmelser till EU:s dataskyddsför- ordning kan sanktionsavgiften vid en myndighets överträdelser av EU:s dataskyddsförordnings uppgå till 5 000 000 kronor eller 10 000 000 kronor. Vad gäller sanktionsavgifter enligt säkerhetsskyddslagen får en sanktionsavgift för en statlig myndighet, en kommun eller en region bestämmas till högst 10 000 000 kronor. För upphandlingsskade- avgift enligt lagen om offentlig upphandling är det högsta belopp som kan beslutas 20 000 000 kronor eller tio procent av upphand- lingens värde. På miljöområdet och arbetsmiljöområdet är det högsta belopp som kan beslutas vid en överträdelse 1 000 000 kronor. 499 Befogenheter och ingripanden SOU 2025:101 Skillnader i sanktionsavgifternas storlek mellan den privata och den offentliga sektorn kan motiveras av att operatörer i den privata sektorn kan gälla multinationella företag där det krävs mycket höga sanktionsbelopp för att sanktionsavgiften ska vara kännbar. En myn- dighets överträdelse av AI-förordningen föranleds normalt sett inte heller av en önskan att maximera vinst eller att göra en större bespar- ing. Det kan dock inte uteslutas att det kan finnas bakomliggande ekonomiska motiv. Något lägre men ändå kännbara belopp bör där- för vara tillräckligt för att påverka myndigheter. Det förutsätter förstås att budgetdisciplinen upprätthålls och att de inte får ekono- miska tillskott för att kunna betala sina sanktionsavgifter. Sanktionsavgifterna ska oaktat redovisningen ovan vara effektiva och avskräckande. I syfte att regleringen ska ha en tillräckligt av- skräckande effekt bör de högsta nivåerna sättas relativt högt. Utred- ningen anser att de högsta nivåerna för sanktionsavgifter mot myn- digheter bör ligga ungefär i linje med de sanktionsavgifter som finns i dag inom andra jämförbara områden. De högsta nivåerna bör därför sättas till lägre belopp än de högsta nivåerna enligt AI-förordningen. De högsta nivåerna för sanktionsavgifter som får påföras privat- rättsliga organ enligt EU:s dataskyddsförordning ligger generellt sett lägre än AI-förordningen. De högsta avgifter som kan tas ut av privaträttsliga organ på miljöområdet, arbetsmiljöområdet eller för upphandlingsskadeavgift är också långt ifrån lika höga som de högsta nivåerna som kan påföras privaträttsliga objekt enligt AI-förord- ningen (se avsnitt 10.3). Enligt utredningen ska mot denna bakgrund de högsta nivåerna vad avser sanktionsavgifter mot myndigheter för överträdelser av AI-förordningen ligga på en något högre nivå jämfört med vad som generellt sett gäller i svensk rätt men samtidigt inte uppgå till de högsta nivåer som gäller andra operatörer och anmälda organ enligt AI-förordningen. Sanktionsavgifter ska enligt AI-förordningen tas ut på tre olika nivåer; en högre nivå vid bristande efterlevnad av förbudet mot de AI-användningsområden som anges i artikel 5, en mellannivå vid bristande efterlevnad av de bestämmelser som anges i artikel 99.4 och en lägre nivå vid tillhandahållande av oriktig, ofullständig eller vilseledande information till anmälda organ eller nationella behöriga myndigheter som svar på en begäran. 500 SOU 2025:101 Befogenheter och ingripanden Utredningen bedömer att det även för myndigheter finns skäl att tillämpa dessa tre nivåer. Ett högsta belopp om 20 000 000 kronor bör gälla för överträdelser av förbudet mot de förbjudna AI-använd- ningsområdena enligt artikel 5. Ett högsta belopp för överträdelser av de bestämmelser som anges i artikel 99.4 bör bestämmas till 10 000 000 kronor, vilket inbegriper bestämmelserna om AI-system med hög risk. Dessa nivåer får enligt utredningen anses tillräckligt betydande för att utgöra en kännbar sanktion. För tillhandahållande av oriktig, ofullständig eller vilseledande information till anmälda organ eller nationella behöriga myndigheter anser utredningen att ett högsta belopp om 5 000 000 kronor är tillräckligt ingripande för att förmå en myndighet att lämna korrekt information. I enlighet med vad utredningen har redovisat i avsnitt 10.7.3 om att det inte bör införas några lägsta nivåer för sanktionsavgifter i förhållande till avgifter som omfattas av AI-förordningens regler- ing bör det inte heller införas några sådana för sanktionsavgifterna i förhållande till myndigheter. 10.8.2 Undantag för dömande verksamhet Utredningens förslag: Kompletteringslagen ska innehålla be- stämmelser om att förelägganden, anmärkning eller sanktions- avgift inte ska beslutas mot en domstol inom ramen för dess dömande verksamhet. Av artikel 74.8 i AI-förordningen framgår att marknadskontrollen inte på något sätt påverkar rättsliga myndigheters oberoende eller på annat sätt inkräktar på deras verksamhet när de agerar inom ramen för sin dömande verksamhet. I 11 kap. 3 § regeringsformen föreskrivs att ingen myndighet, inte heller riksdagen, får bestämma hur en domstol ska döma i det enskilda fallet eller hur en domstol i övrigt ska tillämpa en rätts- regel i ett särskilt fall. Bestämmelsen utgör en central rättssäker- hetsgaranti eftersom den slår fast att domstolarna ska vara själv- ständiga i sin rättskipning. Innebörden av bestämmelsen har också ansetts vara att domstolarna i sitt dömande inte får ta emot order och anvisningar om hur de ska döma i det enskilda fallet. Det följer 501 Befogenheter och ingripanden SOU 2025:101 av bestämmelsen att domstolarna i den dömande verksamheten en- dast ska rätta sig efter rättsreglerna.95 Mot denna bakgrund anser utredningen att sanktioner eller andra ingripanden inte bör kunna beslutas mot domstolar i deras dömande verksamhet. Utredningen bedömer att marknadskontrollmyndigheternas befog- enheter att besluta om förelägganden, anmärkning eller sanktionsavgift inte bör omfatta domstolars användning av AI-system som omfattas av AI-förordningen, när detta sker inom ramen för domstolarnas dömande verksamhet.96 Detta i syfte att säkerställa domstolsväsendets oberoende när domstolarna utför sin rättskipande verksamhet, inbe- gripet när domstolarna fattar beslut. Vad som avses med dömande verksamhet är dock inte självklart och det finns en viss osäkerhet i hur stort område som faktiskt undantas. Den närmare innebörden av begreppet bör överlämnas till rättstillämpningen att utveckla.97 I kompletteringslagen bör det införas bestämmelser med innebör- den att de föreslagna ingripandemöjligheterna i form av föreläggan- den, anmärkning och sanktionsavgift inte ska vara tillämpliga vad avser domstolarnas dömande verksamhet. 10.9 Hinder mot att ta ut en sanktionsavgift Utredningens förslag: Kompletteringslagen ska innehålla en bestämmelse om att en sanktionsavgift inte får beslutas om en överträdelse av AI-förordningen omfattas av ett föreläggande med vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet. Av skäl 168 till AI-förordningen följer att medlemsstaterna måste beakta principen ne bis in idem vid fastställandet av sanktioner. De nationella behöriga myndigheterna ska enligt utredningens förslag få meddela de förelägganden som behövs för att AI-förord- ningen, EU:s marknadskontrollförordning, kompletteringslagen och de föreskrifter som har meddelats i anslutning till AI-förordningen 95 Se även 1 kap. 1 § tredje stycket regeringsformen och prop. 2024/25:165, s. 42. 96 Jfr prop. 2024/25:165, s. 90 ff. angående regeringens förslag att det ska införas en ny bestämmelse i regeringsformen om att det endast är JO och Riksrevisionen som får utöva tillsyn och granska domstolarnas rättskipande verksamhet. Lagändringarna föreslås träda i kraft den 1 april 2027. 97 Jfr prop. 2017/18:232, s. 270 och däri angiven hänvisning. 502 SOU 2025:101 Befogenheter och ingripanden och kompletteringslagen ska följas. En nationell behörig myndig- het ska kunna förena ett föreläggande med vite (se avsnitt 10.7.2). Enligt Europakonventionen och stadgan finns en rätt att inte bli lagförd eller straffad två gånger för samma brott (gärning), det s.k. dubbelprövningsförbudet. Begreppet straff i den mening som avses i Europakonventionen anses även omfatta vite. Högsta domstolen har i NJA 2013 s. 502 slagit fast att det inte enbart är ett slutligt avgörande som utgör ett hinder mot andra förfaranden, utan att även en pågå- ende prövning utgör ett sådant hinder (se avsnitt 10.4.2 och 10.4.3). I regelverk som föreskriver en möjlighet att besluta om både vites- föreläggande och sanktionsavgift införs numera regelmässigt bestäm- melser som syftar till att förhindra en sådan dubbelprövning. De bestämmelserna brukar utformas på så sätt att sanktionsavgift inte får beslutas om överträdelsen även omfattas av ett vitesföreläggande och överträdelsen ligger till grund för en ansökan om utdömande av vitet.98 Enligt utredningen bör en motsvarande bestämmelse tas in i kompletteringslagen. Vid överväganden om att påföra en sanktionsavgift efter ett före- läggande med vite måste således en nationell behörig myndighet be- akta bl.a. proportionalitetsprincipen och dubbelprövningsförbudet. 10.10 Verkställighet Utredningens förslag: Kompletteringslagen ska innehålla be- stämmelser om att en marknadskontrollmyndighet, när den be- slutar om åtgärder vid utövandet av befogenheterna enligt arti- kel 14.4 i EU:s marknadskontrollförordning och befogenheterna som följer av AI-förordningen samt om förelägganden, får be- stämma att beslutet ska gälla omedelbart. Utredningens bedömning: Ett beslut om anmärkning eller på- förande av sanktionsavgift meddelat av en nationell behörig myn- dighet bör som utgångspunkt inte gälla omedelbart. Detsamma bör gälla i fråga om anmälande myndigheters beslut om föreläg- ganden. Det följer av befintliga bestämmelser i FL och behöver inte anges särskilt i kompletteringslagen. 98 Se t.ex. 12 § lagen med kompletterande bestämmelser till EU:s dataförvaltningsförordning och 38 § lagen om vissa produkters och tjänsters tillgänglighet. 503 Befogenheter och ingripanden SOU 2025:101 FL:s reglering om verkställighet av beslut I 35 § FL finns bestämmelser om när beslut får verkställas. Huvud- regeln är, enligt paragrafens första stycke, att ett beslut som får över- klagas inom en viss tid får verkställas när överklagandetiden har gått ut. I paragrafens tredje stycke anges, som ett undantag från huvud- regeln, att en myndighet får verkställa ett beslut omedelbart om ett väsentligt allmänt eller enskilt intresse kräver det. Myndigheten ska dock i sådana fall först noggrant överväga om det finns skäl att av- vakta med att verkställa beslutet på grund av att beslutet medför mycket ingripande verkningar för någon enskild, att verkställig- heten inte kan återgå om ett överklagande av beslutet leder till att det upphävs, eller någon annan omständighet. Undantaget träffar sådana situationer där ett angeläget allmänt intresse, t.ex. upprätthållandet av allmän ordning och säkerhet och avvärjandet av omedelbar fara för andras liv eller hälsa, kräver en snabb verkställighet. Som en förutsättning för tillämpningen av undantagsregeln i tredje stycket gäller också att myndigheten gör bedömningen att skyddet av nämnda intressen verkligen kräver att beslutet verkställs omedelbart. Det måste med andra ord ligga en viss fara i att en försening leder till beaktansvärda skadeverkningar i dessa fall.99 Om en annan lag innehåller en från FL avvikande bestämmelse, tillämpas den bestämmelsen (4 §). Det finns därmed ett visst ut- rymme att meddela bestämmelser som tillåter omedelbar verkstäl- lighet av förvaltningsbeslut i högre utsträckning än vad som följer av 35 § FL, om det kan motiveras av bärande sakliga och funktio- nella skäl. En marknadskontrollmyndighet bör få bestämma att beslut om åtgärder vid utövandet av befogenheterna och beslut om förelägganden ska gälla omedelbart I sektorslagstiftningen till de unionsrättsakter som omfattas av EU:s marknadskontrollförordning finns en möjlighet för marknadskon- trollmyndigheterna att, bl.a. när de fattar beslut om en åtgärd enligt artikel 14.4 i EU:s marknadskontrollförordning, bestämma att be- slutet ska gälla omedelbart. Det ansågs enligt förarbetena vara be- 99 Prop. 2021/22:238, s. 170 f. och prop. 2016/17:180, s. 214. 504 SOU 2025:101 Befogenheter och ingripanden hövligt om en viss produkt medför en risk för skada. Också vid annan bristande överensstämmelse bedömdes det vara angeläget att förhindra att produkter fortsätter att tillhandahållas efter ett beslut om försäljningsförbud. En sådan möjlighet till omedelbar verkställ- barhet bedömdes inte rymmas inom artikel 18.3 i EU:s marknads- kontrollförordning och inte heller genom en tillämpning av FL:s allmänna bestämmelser.100 I flera av sektorslagarna gäller denna befogenhet även i förhål- lande till samtliga förelägganden som marknadskontrollmyndig- heter kan besluta om med stöd av aktuell lag och föreskrifter som har meddelats med stöd av lagen.101 I den nyligen beslutade propo- sitionen om kompletterande bestämmelser till EU-förordningen om batterier föreslår regeringen också att marknadskontrollmyn- digheten ska få besluta om omedelbar verkställighet för samtliga beslut om förelägganden.102 Enligt utredningen saknas det skäl att göra någon annan bedöm- ning vad avser marknadskontroll av AI-system som omfattas av AI- förordningen. För att lagstiftningen inom marknadskontrollområdet ska vara enhetlig och förutsebar anser utredningen att marknads- kontrollmyndigheterna även bör kunna bestämma att beslut om åt- gärder vid marknadskontroll enligt artiklarna 74.5, 74.12 och 74.13 i AI-förordningen ska gälla omedelbart (se avsnitt 10.2.2). Utredningen föreslår därför att kompletteringslagen ska inne- hålla bestämmelser om att marknadskontrollmyndigheter, när de fattar beslut om åtgärder enligt artikel 14.4 i EU:s marknadskon- trollförordning, vid utövandet av befogenheterna som följer av AI- förordningen eller beslutar om ett föreläggande, ska få bestämma att ett beslut ska gälla omedelbart. Utredningen bedömer däremot att det inte finns anledning att föreslå att de anmälande myndigheterna ska få bestämma att deras beslut om förelägganden ska gälla omedelbart. 100 Prop. 2021/22:238, s. 170 f. och SOU 2020:49, s. 484 f. 101 Se t.ex. 13 § radioutrustningslagen, 28 § lagen om fritidsbåtar och vattenskotrar och 28 § lagen om leksakers säkerhet. Jfr även prop. 2024/25:194, s. 16 f. 102 Prop. 2024/25:194, s. 17. 505 Befogenheter och ingripanden SOU 2025:101 Verkställighet av beslut om anmärkning eller sanktionsavgift I detta sammanhang ser utredningen anledning att också kommen- tera om det borde införas en utökad möjlighet för myndigheterna att besluta om omedelbar giltighet även av beslut om anmärkning eller sanktionsavgift (se avsnitt 10.7.3 och 10.8.1). Ett grundläggande rättssäkerhetsintresse är att den som drabbas av en sanktion ska ha möjlighet att överklaga beslutet innan det får rättsverkningar. Om de nationella behöriga myndigheternas beslut i fråga om sanktionsavgift får gälla omedelbart kan det leda till att operatörer drabbas av allvarliga konsekvenser innan en domstol har kunnat pröva beslutets riktighet. En ordning där ett beslut om anmärkning eller sanktionsavgift är verkställbart först efter att beslutet har fått laga kraft skyddar också operatörer för risken att rätten att överklaga besluten urhol- kas. En ordning där beslut om anmärkning eller sanktionsavgift gäller först efter laga kraft minskar även risken för att det allmänna drar på sig onödigt extraarbete och kostnader till följd av att effekterna av ett redan verkställbart beslut kan bli svåra att återställa. När det gäller sanktionsavgifter så har de karaktären av straff. Rättssäkerhetsaspekter talar därför för att en skyldighet att betala en sanktionsavgift som utgångspunkt inte bör uppkomma innan en myndighets beslut eller, om beslutet har överklagats, en domstols dom har fått laga kraft.103 Dessutom är det utredningens bedömning att det som huvudregel ska vara de nationella behöriga myndighet- erna som ska besluta i frågor om påförande av sanktionsavgift (se avsnitt 10.7.3). Ett alternativ hade kunnat vara att myndigheterna i stället får ansöka hos domstol om att påföra en sanktionsavgift och i den situationen finns det inte något utrymme för ett myndighets- beslut som gäller omedelbart. Utredningen bedömer att det av rättssäkerhetsskäl är alltför långt- gående att, utöver att lägga den första beslutsnivån för sanktions- avgifter på myndigheterna, införa en särreglering i förhållande till 35 § tredje stycket FL om att myndigheterna får förordna att deras beslut ska kunna gälla omedelbart. Enligt utredningens bedömning bör det därför inte införas någon särreglering till 35 § tredje stycket FL vad gäller myndigheternas 103 SOU 2020:49, s. 484 f. 506 SOU 2025:101 Befogenheter och ingripanden möjlighet att besluta om omedelbar verkställighet vid beslut om sanktionsavgift. När det gäller en anmärkning med anledning av överträdelser av AI-förordningen så kan det också utgöra en ingripande åtgärd för den enskilde om beslutet gäller omedelbart. Ett sådant beslut riske- rar visserligen inte några direkta ekonomiska konsekvenser för en operatör. Det kan emellertid medföra andra konsekvenser för opera- tören, t.ex. i form av ett minskat förtroende på marknaden, som inte alltid kan kompenseras i efterhand även om en högre instans upp- häver beslutet. Inte heller för sådana beslut bör det därför införas någon särreglering till 35 § FL om omedelbar giltighet av beslut. Mot denna bakgrund och att 35 § tredje stycket FL redan ger myn- digheterna en möjlighet att verkställa ett beslut omedelbart om ett väsentligt allmänt eller enskilt intresse kräver det så bedömer utred- ningen att det – och till skillnad från vad utredningen föreslår vad gäller marknadskontrollmyndigheternas åtgärder och förelägganden vid marknadskontrollen – inte bör införas någon bestämmelse i kompletteringslagen om att myndigheterna ska få bestämma att ett beslut om sanktionsavgift eller anmärkning ska gälla omedelbart.104 10.11 Betalning, indrivning och preskription m.m. Utredningens förslag: Kompletteringslagen ska innehålla be- stämmelser om – att en sanktionsavgift inte får beslutas om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum, – att ett beslut om sanktionsavgift ska delges, – att en sanktionsavgift ska betalas till den myndighet som re- geringen bestämmer inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet, – att om en sanktionsavgift inte betalas ska den lämnas för in- drivning, 104 Jfr Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cyber- säkerhetslag, s. 123. 507 Befogenheter och ingripanden SOU 2025:101 – att bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m., – att en sanktionsavgift tillfaller staten, och – att en sanktionsavgift faller bort, om den inte har verkställts inom fem år från det att beslutet fick laga kraft. Kompletteringsförordningen ska innehålla en bestämmelse om att en sanktionsavgift ska betalas till Kammarkollegiet. Yttrandemöjlighet, betalning och indrivning m.m. Det framgår inte uttryckligen av AI-förordningen om de admini- strativa sanktionsavgifter som kan komma att tas ut ska betalas till EU eller till medlemsstaterna. Det regleras inte heller i AI-förord- ningen hur betalningen eller den närmare verkställigheten av avgif- terna ska ske. I avsaknad av reglering i AI-förordningen om vem sanktionsavgifterna ska tillfalla, får utgångspunkten vara att avgif- terna ska tillfalla staten. Bestämmelser om detta bör införas i kom- pletteringslagen. Beslut om sanktionsavgift är ingripande för den avgiftsskyldige och är att betrakta som straff i Europakonventionens mening. För att säkerställa de rättssäkerhetsgarantier som följer av artikel 6 i Europakonventionen, ska den som riskerar att påföras en sanktions- avgift, utan undantag, få möjlighet att yttra sig över den nationella behöriga myndighetens utredning innan domstolen fattar beslut. 25 § FL om kommunikation är tillämplig. Beslutet om sanktions- avgift bör också delges den som enligt beslutet är avgiftsskyldig. Delgivning ska ske i enlighet med bestämmelserna i delgivnings- lagen (2010:1932). Betalningsfristen bör vara 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft. Myndigheten bör dock ges möjlig- het att bestämma en senare betalningsdag, t.ex. om avgiften på grund av dess storlek kan medföra risk för att den avgiftsskyldige försätts i konkurs om betalning ska göras inom fristen. Om sanktionsavgiften inte betalas i tid, bör myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. 508 SOU 2025:101 Befogenheter och ingripanden Beslut om sanktionsavgift får enligt 3 kap. 1 § första stycket 6 a ut- sökningsbalken verkställas enligt samma balk.105 Föreskrifter om verkställighet av sanktionsavgifter kan enligt 8 kap. 7 § regeringsformen meddelas av regeringen eller den myn- dighet regeringen bestämmer. Enligt utredningens bedömning be- hövs det inte någon upplysningsbestämmelse om detta. Med stöd av nämnda bestämmelse i regeringsformen bör regeringen meddela föreskrifter om till vilken myndighet betalning ska ske, liksom sed- vanliga föreskrifter om betalningen i övrigt och om indrivning. Enligt utredningens bedömning bör det framgå av kompletteringsförord- ningen att betalning av en sanktionsavgift ska ske till Kammarkol- legiet.106 Preskription Det bör finnas en bortre tidsgräns efter vilken en sanktionsavgift inte får beslutas för en överträdelse. Detta regleras inte i AI-förordningen utan det är överlämnat till medlemsstaterna. Utredningen har där- för gjort en genomgång av regleringen i regelverk som liknar kom- pletteringslagen. Kompletteringslagen bör innehålla en motsvarande bestämmelse som den regeringen har föreslagit i lagrådsremissen om förslag till ny cybersäkerhetslag.107 En sanktionsavgift bör därför få beslutas endast om den som anspråket riktas mot har getts tillfälle att yttra sig inom två år från överträdelsen. Om kommunikation enligt 25 § FL inte har skett inom denna tid får en sanktionsavgift därmed inte tas ut. Yttrandetiden löper från tiden då överträdelsen ägde rum. För pågående överträdelser börjar preskriptionsfristen således inte att löpa. Enligt flera sektorslagar till de unionsrättsakter som omfattas av EU:s marknadskontrollförordning gäller en preskriptionsfrist för tiden efter det att beslutet har fattats. Preskriptionstiden är fem år och innebär att en sanktionsavgift faller bort, om beslutet inte har kunnat verkställas inom fem år från det att det fick laga kraft. Av 105 Prop. 2021/22:206. 106 Jfr t.ex. 9 § förordningen (2018:219) med kompletterande bestämmelser till EU:s data- skyddsförordning och 33 § förordningen (2023:676) om vissa produkters och tjänsters till- gänglighet. 107 Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäker- hetslag, s. 164 f. 509 Befogenheter och ingripanden SOU 2025:101 lagen om vissa produkters och tjänsters tillgänglighet följer också att en sanktionsavgift faller bort i den utsträckning som verkställig- het inte har skett inom fem år från det att beslutet fick laga kraft. I lagrådsremissen om förslag till ny cybersäkerhetslag har regeringen föreslagit att en sanktionsavgift ska falla bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.108 En motsvarande preskriptionsfrist bör framgå av kompletterings- lagen, innebärande att om sanktionsavgift inte har verkställts inom fem år från det att beslutet fick laga kraft bör betalningsskyldig- heten falla bort. Enligt utredningens förslag i avsnitt 10.7.4 ska i vissa undantags- fall förvaltningsrätt besluta om sanktionsavgift som första instans i stället för marknadskontrollmyndigheten. I dessa undantagsfall kommer bestämmelserna om preskription av en sanktionsavgift i 42 § produktsäkerhetslagen att vara tillämplig i stället för de av ut- redningen föreslagna bestämmelserna om preskription i komplet- teringslagen. 108 Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäker- hetslag, s. 165. 510 11 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur 11.1 Inledning Kommissionen ska i samarbete med medlemsstaterna inrätta och upprätthålla en EU-databas för AI-system med hög risk som för- tecknas i bilaga III till AI-förordningen (artikel 71). De AI-system med hög risk som avses i punkt 2 i bilaga III ska dock registreras på nationell nivå (artikel 49.5). I detta kapitel analyserar och föreslår utredningen hur den natio- nella registreringen ska utformas. Utredningens uppdrag är att an- passa svensk rätt till AI-förordningen och bl.a. lämna förslag på övriga åtgärder som är nödvändiga för att uppfylla kraven i AI-för- ordningen. För att uppfylla kraven i AI-förordningen är det enligt utredningen nödvändigt att lämna förslag beträffande den nationella registreringen enligt artikel 49.5. Utredningen inleder kapitlet i avsnitt 11.2 med en kort redogör- else för AI-förordningens bestämmelser om EU-databasen och den nationella registreringen. I avsnitt 11.3 redogör utredningen kort- fattat för AI-förordningens bestämmelser i förhållande till frågor om nationell säkerhet och i avsnitt 11.4 för registreringsförfaranden i två andra unionsrättsakter. I avsnitt 11.5 redovisar utredningen sin analys och lämnar förslag om hur den nationella registreringen ska ut- formas samt vilken eller vilka aktörer som utredningen bedömer ska ansvara för registreringen. I avsnitt 11.6 tar utredningen avslutnings- vis upp en fråga om offentlighet och sekretess i relation till förslagen som lämnas i detta kapitel. 511 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur SOU 2025:101 11.2 EU-databasen och nationell registrering för kritisk infrastruktur 11.2.1 EU-databasen Av artikel 71 i AI-förordningen framgår att kommissionen i sam- arbete med medlemsstaterna ska inrätta och upprätthålla en EU- databas för AI-system med hög risk som förtecknas i bilaga III. Bestämmelser om registrering i databasen finns i artikel 49 och 60. Artikel 49 innehåller generella regler om registrering medan artikel 60 innehåller särskilda regler om registrering för testning av AI-system under verkliga förhållanden. I bilaga VIII till AI-förordningen anges vilka uppgifter som ska lämnas in i samband med registreringen av AI-system med hög risk i enlighet med artikel 49. I bilaga IX anges vilka uppgifter som ska lämnas vid registrering av AI-system med hög risk i samband med testning under verkliga förhållanden i enlighet med artikel 60. Uppgifter som förtecknas i avsnitten A och B i bilaga VIII till AI-förordningen ska föras in i EU-databasen av leverantörer eller, i tillämpliga fall, av ombud (artikel 71.2). Avsnitt A innehåller uppgifter som ska lämnas av leverantörer av AI-system med hög risk i enlighet med artikel 49.1 (AI-system med hög risk som förtecknas i bilaga III). Uppgifterna omfattar bl.a. leverantörens kontaktuppgifter, en beskrivning av AI-systemets avsedda ändamål och av de komponenter och funktioner som stöds av AI-systemet samt en grundläggande och kortfattad beskrivning av den information som används av systemet (data, indata) och dess operativa logik. Avsnitt B innehåller uppgifter som ska lämnas av leverantörer av AI-system med hög risk i enlighet med artikel 49.2 (AI-system som leverantören har fastställt inte är ett AI-system med hög risk enligt artikel 6.3). Uppgifterna omfattar bl.a. leverantörens kontaktupp- gifter, en beskrivning av AI-systemets avsedda ändamål, de villkor enligt artikel 6.3 som ligger till grund för bedömningen att AI-syste- met anses vara utan hög risk och en sammanfattning av grunderna för den bedömningen. Uppgifter som förtecknas i avsnitt C i bilaga VIII ska föras in i EU-databasen av tillhandahållare som är, eller agerar på uppdrag av, en offentlig myndighet eller byrå eller ett offentligt organ, i enlighet med artikel 49.3 (artikel 71.3). Uppgifterna omfattar bl.a. tillhanda- 512 SOU 2025:101 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur hållarens kontaktuppgifter och en sammanfattning av resultaten av den konsekvensbedömning avseende grundläggande rättigheter som genomförts i enlighet med artikel 27. EU-databasen ska med vissa undantag (se artiklarna 49.4 och 60.4 c) vara åtkomlig och allmänt tillgänglig på ett användarvänligt sätt (artikel 71.4). För AI-system med hög risk som avses i punkterna 1, 6 och 7 i bilaga III, på områdena brottsbekämpning, migration, asyl och gränskontrollförvaltning, ska registrering ske i en säker, icke-offent- lig del av den EU-databas som avses i artikel 71 och ska, beroende på vad som är tillämpligt, omfatta endast viss angiven information som avses i bilaga VIII. Endast kommissionen och de nationella myndigheter som avses i artikel 74.8 ska ha åtkomst till respektive begränsade delar av EU-databasen (artikel 49.4). Kommissionen ska fastställa de funktionella specifikationerna för databasen och ska göra det i samråd med relevanta experter och med AI-styrelsen (artikel 71.1). Av skäl 131 till förordningen framgår bl.a. att syftet med EU- databasen är att underlätta kommissionens och medlemsstaternas arbete på AI-området och öka transparensen gentemot allmänheten. 11.2.2 Nationell registrering AI-system med hög risk som avses i punkt 2 i bilaga III (kritisk in- frastruktur) är i samtliga avseenden undantagna från registrering i EU-databasen, vilket framgår av artikel 49 och 60. I artikel 49.5 anges i stället att de AI-system med hög risk som avses i punkt 2 i bilaga III ska registreras på nationell nivå. I artikel 60.4 c anges också att leverantören eller den potentiella leverantören av ett AI- system med hög risk som avses i punkt 2 i bilaga III ska registrera testning under verkliga förhållanden i enlighet med artikel 49.5. 11.3 Kort om AI-förordningens bestämmelser i förhållande till frågor om nationell säkerhet Av artiklarna 49.5 och 60.4 c framgår att de AI-system med hög risk som avses i punkt 2 i bilaga III ska registreras på nationell nivå. Det anges inte i förordningen vad som ska registreras eller vad som är 513 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur SOU 2025:101 syftet med undantaget. Utredningen tolkar, utifrån samtal med aktörer som har närvarat vid förhandlingarna av AI-förordningen samt utifrån användningsområdet i fråga, att syftet med undantaget har koppling till frågor om nationell säkerhet. Mot den bakgrunden finns det anledning att nämna något kort om AI-förordningens förhållande till frågor om nationell säkerhet. Det är också relevant att beakta frågor om nationell säkerhet för att utredningen närmare ska kunna ta ställning till hur nationell registrering enligt artikel 49.5 ska utformas samt till vilka aktörer som ska ansvara för registreringen. 11.3.1 EU-fördraget och EUF-fördraget EU-fördraget och EUF-fördraget utgör två av EU:s grundfördrag och sätter ramarna för EU-samarbetet. Av EU-fördraget framgår att varje befogenhet som inte har till- delats EU i fördragen ska tillhöra medlemsstaterna (artikel 5). Av EU-fördraget framgår vidare att unionen ska respektera medlems- staternas likhet inför fördragen samt deras nationella identitet, som kommer till uttryck i deras politiska och konstitutionella grund- strukturer, inbegripet det lokala och regionala självstyret. Den ska respektera deras väsentliga statliga funktioner, särskilt funktioner vars syfte är att hävda deras territoriella integritet, upprätthålla lag och ordning och skydda den nationella säkerheten. I synnerhet ska den nationella säkerheten också i fortsättningen vara varje medlems- stats eget ansvar (artikel 4.2). Av EUF-fördraget framgår vidare att ingen medlemsstat ska vara förpliktad att lämna sådan information vars avslöjande den anser strida mot sina väsentliga säkerhetsintressen (artikel 346.1 a). EU-domstolen har vid ett flertal tillfällen uttalat sig om begrep- pet ”nationell säkerhet”. Enligt EU-domstolen motsvarar begreppet så som det definieras i artikel 4.2 i EU-fördraget: det grundläggande intresset av att skydda statens väsentliga funktioner och samhällets grundläggande intressen och inbegriper förebyggande och beivrande av verksamhet som allvarligt kan störa de grundläggande konstitutionella, politiska, ekonomiska eller sociala strukturerna i ett 514 SOU 2025:101 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur land och i synnerhet direkt hota samhället, befolkningen eller staten som sådan, såsom bland annat terrorverksamhet.1 Bestämmelserna i AI-förordningen ska alltså läsas mot denna bak- grund. 11.3.2 Nationell säkerhet i AI-förordningen Av artikel 2.3 i AI-förordningen framgår att förordningen inte är tillämplig på områden som inte omfattas av unionsrättens tillämp- ningsområde och ska under alla omständigheter inte påverka med- lemsstaternas befogenheter när det gäller nationell säkerhet, oavsett vilken typ av enhet som av medlemsstaterna har anförtrotts upp- giften i fråga om dessa befogenheter. Förordningen är inte tillämplig på AI-system om och i den mån de släpps ut på marknaden, tas i bruk eller används med eller utan ändring uteslutande för militära ändamål, försvarsändamål eller ända- mål som rör nationell säkerhet, oavsett vilken typ av enhet som be- driver denna verksamhet. Förordningen är inte heller tillämplig på AI-system som inte släpps ut på marknaden eller tas i bruk i unionen, om utdata an- vänds i unionen uteslutande för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet, oavsett vilken typ av en- het som bedriver denna verksamhet. Om undantaget i artikel 2.3 gäller beror alltså på syftet eller an- vändningen av AI-systemet, och är inte beroende av de aktörer som utför aktiviteterna med systemet.2 Av skäl 24 till AI-förordningen framgår följande om artikeln. Om och i den mån AI-system släpps ut på marknaden, tas i bruk eller används med eller utan ändringar av sådana system för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet, bör dessa undantas från denna förordnings tillämpningsområde, oberoende av vilken typ av enhet som bedriver denna verksamhet, till exempel huru- vida det är en offentlig eller privat enhet. (…) När det gäller ändamål som rör nationell säkerhet motiveras undantagandet både av att natio- 1 EU-domstolens avgörande den 6 oktober 2020, La Quadrature du Net and Others, C-511/18, C-512/18 och C-520/18, EU:C:2020:791, stycke 135; EU-domstolens avgörande den 5 juni 2023, Commission v Poland, C-204/21, EU:C:2023:442, stycke 318, som hänvisar till EU- domstolens avgöranden i C-439/19, stycke 67 och C-306/21, stycke 40. 2 Jfr skrivningar särskilt beträffande Säkerhetspolisens verksamhet i promemorian Polisens användning av AI för ansiktsigenkänning i realtid (Ds 2025:7), s. 63 ff. 515 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur SOU 2025:101 nell säkerhet helt och hållet faller under medlemsstaternas ansvars- område i enlighet med artikel 4.2 i EU-fördraget och av den särskilda karaktär och de operativa behov som verksamheten avseende nationell säkerhet har samt av de särskilda nationella regler som är tillämpliga på denna verksamhet. Om ett AI-system som utvecklas, släpps ut på mark- naden, tas i bruk eller används för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet tillfälligt eller permanent an- vänds för andra ändamål, till exempel civila eller humanitära ändamål, eller ändamål som rör brottsbekämpning eller allmän säkerhet, skulle ett sådant system ändå omfattas av denna förordning. I så fall bör den enhet som använder AI-systemet för andra ändamål än militära ända- mål, försvarsändamål eller ändamål som rör nationell säkerhet säker- ställa att AI-systemet överensstämmer med denna förordning, såvida inte systemet redan är förenligt med denna förordning. AI-system som släpps ut på marknaden eller tas i bruk för ett ändamål som är undan- taget, dvs. militärt eller som rör försvar eller nationell säkerhet, och ett eller flera icke-undantagna ändamål, såsom civila ändamål eller brotts- bekämpning, omfattas av denna förordning, och leverantörer av dessa system bör säkerställa efterlevnad av denna förordning. I dessa fall bör det faktum att ett AI-system kan omfattas av denna förordning inte påverka möjligheten för enheter som bedriver verksamhet inom natio- nell säkerhet, försvarsverksamhet och militär verksamhet, oavsett vilken typ av enhet som bedriver denna verksamhet, att använda AI-system för nationell säkerhet, militära ändamål och försvarsändamål, vars an- vändning är undantagen från denna förordnings tillämpningsområde. Ett AI-system som släpps ut på marknaden för civila eller brottsbekäm- pande ändamål och som används med eller utan ändringar för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet bör inte omfattas av denna förordning, oavsett vilken typ av enhet som bedriver denna verksamhet. Artikel 78 i AI-förordningen innehåller därtill regler om konfiden- tiell behandling. Enligt artikeln ska kommissionen, marknadskon- trollmyndigheterna, anmälda organ och alla andra fysiska eller juri- diska personer som deltar i tillämpningen av AI-förordningen, i enlighet med unionsrätten eller nationell rätt, bl.a. respektera kon- fidentialiteten för den information och de data som de erhåller när de utför sina uppgifter och sin verksamhet på ett sådant sätt att de särskilt skyddar bl.a. offentliga och nationella säkerhetsintressen samt uppgifter som säkerhetsskyddsklassificerats enligt unions- rätten eller nationell rätt (artikel 78.1 c och e). 516 SOU 2025:101 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur 11.3.3 Sveriges säkerhet enligt säkerhetsskyddslagen Säkerhetsskyddslagen (2018:585) gäller för alla som till någon del bedriver verksamhet av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (säkerhetskänslig verksamhet). Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Säker- hetsskyddsklassificerade uppgifter är uppgifter som rör säkerhets- känslig verksamhet och som därför omfattas av sekretess enligt OSL eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.3 Systematiken i säkerhetsskyddslagen bygger på att det är verk- samhetsutövaren själv som till någon del bedriver säkerhetskänslig verksamhet som ska utreda behovet av säkerhetsskydd (säkerhets- skyddsanalys). Verksamhetsutövare ska utan dröjsmål också anmäla att den bedriver säkerhetskänslig verksamhet till tillsynsmyndigheten.4 Säkerhetsskyddsanalysen ska identifiera vilka säkerhetsskydds- klassificerade uppgifter och vilken säkerhetskänslig verksamhet i övrigt som finns i verksamheten. Vidare ska verksamhetsutövaren i analysen specificera vilka delar av verksamheten som är säkerhets- känslig.5 Analysen ska dokumenteras och med utgångspunkt i den ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgär- der som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.6 Säkerhetsskyddsåtgärder avser informationssäker- het, fysisk säkerhet och personalsäkerhet. Med informationssäker- het avses att förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs och att förebygga skadlig inverkan i övrigt på uppgifter och informations- system som gäller säkerhetskänslig verksamhet.7 3 1 kap. 1 och 2 §§ säkerhetsskyddslagen. 4 2 kap. 6 § säkerhetsskyddslagen. 5 2 kap. 2 § Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1). 6 2 kap. 1 § säkerhetsskyddslagen. 7 2 kap. 2–4 §§ säkerhetsskyddslagen. 517 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur SOU 2025:101 11.3.4 Totalförsvaret och försvarssekretess Enligt lagen (1992:1403) om totalförsvar och höjd beredskap är totalförsvar verksamhet som behövs för att förbereda Sverige för krig. Totalförsvar består av militär verksamhet (militärt försvar) och civil verksamhet (civilt försvar).8 Av 15 kap. 2 § OSL gäller sekretess för uppgift som rör verk- samhet för att försvara landet eller planläggning eller annan för- beredelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. Ett röjande av hemliga uppgifter på försvarssekretessens område kan innefatta bl.a. brott mot bestämmelserna i 19 kap. brottsbalken om spioneri, grovt spioneri, obehörig befattning med hemlig upp- gift, grov obehörig befattning med hemlig uppgift eller vårdslöshet med hemlig uppgift. Dessa brott förutsätter uppsåt respektive grov oaktsamhet. Om ett röjande har skett av oaktsamhet som inte är grov kan ansvar för brott mot tystnadsplikt enligt 20 kap. 3 § brotts- balken komma i fråga. 11.4 Registrering i andra unionsrättsakter Nationell registrering av produkter eller verksamhetsutövare före- kommer sedan tidigare inom ett flertal unionsrättsakter. Vid över- väganden kring hur registreringen enligt artikel 49.5 i AI-förord- ningen närmare ska utformas bedömer utredningen att det är särskilt relevant att beakta NIS 2- och CER-direktiven. Detta eftersom dessa unionsrättsakter är närliggande AI-förordningen på så sätt att de också berör kritisk infrastruktur (se närmare i avsnitt 6.5.2). 11.4.1 Förteckning enligt NIS 2-direktivet Utformning Utredningen har i avsnitt 3.4.4 beskrivit NIS 2-direktivet översikt- ligt. Enligt artikel 3.3 i NIS 2-direktivet ska medlemsstaterna senast den 17 april 2025 upprätta en förteckning över väsentliga och viktiga 8 1 § lagen om totalförsvar och höjd beredskap. 518 SOU 2025:101 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur verksamhetsutövare samt verksamhetsutövare som tillhandahåller domännamnsregistreringstjänster. Medlemsstaterna ska enligt samma artikel regelbundet och minst vartannat år därefter se över förteck- ningen och uppdatera den när det är lämpligt. Enligt artikel 3.5 ska de behöriga myndigheterna bl.a. underrätta kommissionen om an- talet väsentliga och viktiga verksamhetsutövare som ingår i förteck- ningen. Syftet med förteckningen är att skapa en tydlig överblick över de verksamhetsutövare som omfattas av direktivets tillämpnings- område (skäl 18). Vid upprättandet av förteckningen ska medlems- staterna enligt artikel 3.4 ålägga verksamhetsutövarna att lämna vissa uppgifter och medlemsstaterna får inrätta nationella mekanismer som gör det möjligt för verksamhetsutövarna att registrera sig själva. Vidare följer av artikel 27 i direktivet att The European Union Agency for Cybersecurity (Enisa) ska föra ett register över gränsöverskrid- ande verksamhetsutövare, vilket förutsätter att dessa lämnar upp- gifter till en behörig myndighet och att den i sin tur vidarebeford- rar uppgiften till Enisa. I betänkandet Nya regler om cybersäkerhet (SOU 2024:18) föreslår Utredningen om genomförande av NIS 2- och CER-direktiven att varje tillsmyndighet inom sitt tillsynsområde ska upprätta ett register över väsentliga och viktiga verksamhets- utövare och att registret ska ges in till den gemensamma kontakt- punkten senast ett visst datum. Därefter ska det ske en uppdatering och ny rapportering i vart fall vartannat år. Den gemensamma kon- taktpunkten föreslås vidare upprätta ett särskilt register över gräns- överskridande verksamhetsutövare och ge in det till Enisa. Verksam- hetsutövare föreslås i en anmälan till tillsynsmyndigheten lämna vissa uppgifter om identitet m.m. Vidare föreslås att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om uppgifterna.9 I SOU 2024:18 föreslås ett flertal tillsynsmyndigheter. Av rele- vans i detta kapitel är att utredningen föreslår att MSB ska utses till gemensam kontaktpunkt10 samt att Energimyndigheten ska vara till- synsmyndighet för sektorn energi, Transportstyrelsen för sektorn transport, Livsmedelsverket för sektorerna dricksvatten och avlopps- vatten och PTS för sektorn digital infrastruktur. 9 SOU 2024:18, s. 177 ff. 10 I betänkandet Samlade förmågor för ökad cybersäkerhet (SOU 2025:79) föreslås att Försva- rets radioanstalt ska vara gemensam kontaktpunkt i stället för MSB. 519 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur SOU 2025:101 I lagrådsremissen Ett starkt skydd för nätverks- och informations- system – en ny cybersäkerhetslag, som berör förslagen kopplade till genomförandet av NIS 2-direktivet, lämnas förslag som i aktuellt avseende delvis överensstämmer med förslagen från utredningen. I lagrådsremissen föreslås att det ska införas en bestämmelse om anmälningsplikt för verksamhetsutövare i den nya cybersäkerhets- lagen och att anmälan ska göras till den myndighet som regeringen bestämmer. Regeringen konstaterar i lagrådsremissen att remissutfallet är blandat i fråga om utredningens förslag om att anmälan ska göras till tillsynsmyndigheten. I sammanhanget lyfter regeringen fram att MSB i ett regeringsuppdrag som beslutades den 27 februari 2025 pekats ut som bl.a. gemensam kontaktpunkt enligt NIS 2-direk- tivet och att flera remissinstanser förordar att den gemensamma kontaktpunkten får ett samlat ansvar för bl.a. anmälningsförfaran- det och svarar för att informera tillsynsmyndigheterna om vilka verksamhetsutövare som har anmält sig inom respektive sektor. Regeringen anser att det av lag endast bör framgå att anmälan ska ske till den myndighet som regeringen bestämmer. Enligt reger- ingen framstår det vidare inte som ändamålsenligt att i lag reglera vilka uppgifter en anmälan ska innehålla. Detta kan enligt reger- ingen i stället regleras i förordning men också på lägre föreskrifts- nivå än i lag med stöd av 8 kap. 7 § regeringsformen.11 Undantag Av artikel 2.6 i NIS 2-direktivet följer att direktivet inte påverkar medlemsstaternas ansvar för att skydda nationell säkerhet och andra väsentliga statliga funktioner, inbegripet att säkerställa statens terri- toriella integritet och upprätthålla lag och ordning. Av skälen till direktivet framgår också att ingen medlemsstat bör vara skyldig att lämna information vars avslöjande skulle strida mot dess väsentliga intressen i fråga om nationell säkerhet, allmän säkerhet eller försvar. Unionsregler eller nationella regler till skydd för säkerhetsskydds- klassificerade uppgifter, sekretessavtal samt informella sekretess- avtal bör enligt direktivet beaktas i detta sammanhang. 11 Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäker- hetslag, s. 76 ff. 520 SOU 2025:101 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur Den föreslagna cybersäkerhetslagen så som den anges i lagråds- remissen innehåller vissa undantag från lagens tillämpningsområde för vissa aktörer som bedriver säkerhetskänslig verksamhet eller brottsbekämpande verksamhet.12 Skyldighet att lämna uppgifter enligt den föreslagna lagen gäller inte heller för uppgifter som är säkerhetsskyddsklassificerade enligt säkerhetsskyddslagen.13 Regeringen motiverar i lagrådsremissen för- slaget med att det, för att säkerställa att säkerhetsskyddsklassifice- rade uppgifter inte lämnas ut enligt den nya lagen, inte räcker att vissa verksamhetsutövare som bedriver säkerhetskänslig verksam- het undantas från lagens tillämpningsområde. Det bör enligt reger- ingen införas ett undantag som innebär att skyldigheten att lämna ut uppgifter enligt lagen inte omfattar säkerhetsskyddsklassificerade uppgifter.14 11.4.2 Förteckning enligt CER-direktivet Utredningen har i avsnitt 3.4.4 beskrivit CER-direktivet översikt- ligt. Av artikel 6 i CER-direktivet framgår att medlemsstaterna är skyldiga att identifiera kritiska verksamhetsutövare inom de utpek- ade sektorerna samt att upprätta en förteckning över dessa. I be- tänkandet Motståndskraft i samhällsviktiga tjänster (SOU 2024:64) föreslår Utredningen om genomförande av NIS 2- och CER-direk- tiven att tillsynsmyndigheten ska upprätta en förteckning över kri- tiska verksamhetsutövare inom sitt tillsynsområde samt att MSB ska ansvara för att upprätta en samlad förteckning över samtliga kritiska verksamhetsutövare enligt CER-direktivet.15 I CER-direktivet och i utredningens förslag till lag om motstånds- kraft hos kritiska verksamhetsutövare finns liknande undantag som beträffande NIS 2-direktivet för bl.a. verksamhetsutövare som om- fattas av säkerhetsskyddslagen. Skyldighet att lämna uppgifter en- ligt den föreslagna lagen föreslås på samma sätt som i förslaget till lag om cybersäkerhet inte gälla för uppgifter som är säkerhetsskydds- klassificerade enligt säkerhetsskyddslagen.16 Förslagen i SOU 2024:64, 12 9–11 och 13 §§ förslag till cybersäkerhetslag. 13 12 § förslag till cybersäkerhetslag. 14 Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäker- hetslag, s. 75. 15 10 och 34 §§ förslag till förordning om motståndskraft hos kritiska verksamhetsutövare. 16 8 och 9 §§ i förslag till lag om motståndskraft hos kritiska verksamhetsutövare. 521 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur SOU 2025:101 som alltså berör CER-direktivet, har remitterats och förslagen be- reds inom Regeringskansliet. 11.5 Nationellt genomförande 11.5.1 Närmare bestämmelser behövs i svensk rätt Utredningens bedömning: De närmare bestämmelserna om hur registreringen av AI-system med hög risk som avses i punkt 2 i bilaga III till AI-förordningen ska utformas behöver regleras i svensk rätt. Utformningen av artikel 49.5 överlämnar ansvaret för registrering till medlemsstaterna I AI-förordningen anges enbart att AI-system med hög risk som avses i punkt 2 i bilaga III ska registreras på nationell nivå. Vad registreringen närmare ska avse, hur registreringen ska gå till eller vilken eller vilka aktörer som ska ansvara för registreringen anges inte närmare. Utifrån att artikeln anger att AI-systemen ska regi- streras på nationell nivå, samt att AI-system med hög risk som av- ses i punkt 2 i bilaga III uttryckligen är undantagna från registrer- ing i EU-databasen, följer dock att AI-förordningen uppställer ett krav på medlemsstaterna att själva ansvara för att AI-system med hög risk som avses i punkt 2 i bilaga III ska registreras. Eftersom AI-förordningen i övrigt inte nämner någonting om hur registreringen ska gå till krävs att medlemsstaterna själva när- mare reglerar vad registreringen ska avse, hur registreringen ska utformas samt vilken eller vilka aktörer som ska ansvara för regi- strering. Områdets (kritisk infrastruktur) närhet till frågor om nationell säkerhet talar också för medlemsstaterna själva ska få avgöra hur en sådan registrering ska gå till. De närmare bestämmelserna om hur registreringen av AI-system med hög risk som avses i punkt 2 i bilaga III till AI-förordningen ska utformas behöver därför regleras i svensk rätt. 522 SOU 2025:101 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur 11.5.2 Myndighet med ansvar för registreringen Utredningens förslag: Kompletteringslagen ska innehålla en bestämmelse om att den myndighet som regeringen bestämmer ska ansvara för att AI-system med hög risk som förtecknas i punkten 2 i bilaga III till AI-förordningen registreras i enlighet med artikel 49.5 i AI-förordningen. Kompletteringsförordningen ska innehålla en bestämmelse om att PTS ansvarar för att AI-system med hög risk som för- tecknas i punkten 2 i bilaga III till AI-förordningen registreras i enlighet med artikel 49.5 i AI-förordningen. En myndighet bör ansvara för registreringen Utformningen av artikel 49.5 i AI-förordningen lämnar öppet för olika tolkningar om hur registreringen närmare ska gå till. Ett alter- nativ är att en eller flera myndigheter ansvarar för registreringen. Ett annat alternativ skulle kunna vara att operatörer som tar i bruk eller släpper ut ett AI-system på marknaden själva ska ansvara för att registrera det, antingen lokalt på t.ex. en egen server eller någon- stans externt. Vid en extern registrering är det t.ex. också möjligt att utforma olika register eller förteckningar, t.ex. uppdelat inom olika delsektorer inom kritisk infrastruktur (jfr utredningens reso- nemang om delsektorer i avsnitt 6.5.2). Utredningen har fört dialoger med andra medlemsstater och myndigheter i fråga om vad som är den lämpligaste metoden. Bl.a. har utredningen haft ett möte med representanter från Säkerhets- polisen. En slutsats som utredningen har dragit av dessa dialoger är att en registrering av kritisk infrastruktur – oavsett hur en sådan ut- formas – kan komma att innehålla känslig information för Sveriges säkerhet. Vid en registrering av uppgifter som berör kritisk infrastruk- tur kan alltså involverade aktörer behöva vidta olika säkerhetsskydds- åtgärder. Av de skälen bedömer utredningen att det inte är lämpligt att operatörer som tar i bruk eller släpper ut ett AI-system på mark- naden själva ska ansvara för registreringen. Mot denna bakgrund bedömer utredningen att det är lämpligast att i stället en eller flera myndigheter ansvarar för att AI-system som avses i punkten 2 i bilaga III registreras i enlighet med artikel 49.5. 523 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur SOU 2025:101 En sådan reglering lämnar utformningen av registreringen relativt öppen, vilket kan vara en fördel för att Sverige tydligare ska kunna försäkra sig om att förfarandet hanteras på ett sådant sätt att det uppfyller eventuella säkerhetskrav. Ytterligare ett argument för att myndighet ska ansvara för regi- streringen är att det efterliknar hur EU-databasen är utformad. Genom att en myndighet ansvarar för registreringen skapas också bättre förutsättningar för ansvarig marknadskontrollmyndighet att hålla sig uppdaterad om och kontrollera AI-system med hög risk inom sitt ansvarsområde. För att skapa ett sammanhållet system bedömer utredningen vidare att det är lämpligast att det endast är en myndighet som har det ansvaret. Utredningens bedömning är därför att en myndighet bör ansvara för registreringen enligt artikel 49.5. Myndigheten bör vara PTS Utredningen har i avsitt 6.5.2 föreslagit att PTS ska vara ansvarig marknadskontrollmyndighet för AI-system med hög risk som av- ses i punkt 2 i bilaga III. Enligt utredningen är det därför också lämpligt att PTS ska ansvara för registrering enligt artikel 49.5. PTS kan i sin roll som marknadskontrollmyndighet behöva ha tillgång till uppgifter som ska registreras enligt artikeln och det är därför också lämpligt att myndigheten själv ansvarar för registreringen. PTS är dessutom en myndighet som kan förväntas kunna hantera eventuella säkerhetsåtgärder som kan vara förenade med uppgiften, bl.a. med beaktande av att PTS är en av tillsynsmyndigheterna enligt säkerhetsskyddslagen samt är en sektorsansvarig myndighet enligt förordningen (2022:524) om statliga myndigheters beredskap. PTS har förmedlat till utredningen att myndigheten anser att den, i egenskap av ansvarig myndighet för området i punkten 2 i bilaga III, också bör ansvara för registreringen enligt artikel 49.5. Utredningen bedömer sammantaget att det är det lämpligaste alternativet. Utredningen föreslår därför att kompletteringslagen ska inne- hålla en bestämmelse om att den myndighet som regeringen bestäm- mer ska ansvara för att AI-system med hög risk som förtecknas i punkten 2 i bilaga III till AI-förordningen registreras i enlighet med 524 SOU 2025:101 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur artikel 49.5 i AI-förordningen samt att kompletteringsförordningen ska innehålla en bestämmelse om att PTS är den myndigheten. Alternativ som utredningen har övervägt Utredningen har i avsnittet ovan kommit fram till att en myndighet ska ansvara för registreringen. Som närmare framgår av avsnitt 6.5.2 har utredningen beträffande marknadskontrollansvaret för AI-system med hög risk som avses i punkten 2 i bilaga III övervägt ett annat alternativ än det ovan föreslagna om att en myndighet ska ha mark- nadskontrollansvaret inom området. En alternativ lösning skulle nämligen kunna vara att ansvaret inom området fördelas till flera myndigheter genom en ansvarsfördelning som efterliknar den föreslagna ansvarsfördelningen enligt NIS 2- och CER-direktiven. Ett sådant system skulle medföra att Energi- myndigheten, Livsmedelsverket, PTS och Transportstyrelsen i olika delar skulle ansvara för marknadskontroll inom området kritisk infra- struktur. Utredningen föreslår emellertid inte en sådan fördelning av mark- nadskontrollansvaret (se avsnitt 6.5.2). Vid övervägandena kring lämpligheten i ett sådant alternativ har utredningen dock också över- vägt lämpligheten i att ha ett uppdelat ansvar för registreringen en- ligt artikel 49.5. Utredningen bedömer att det hade varit lämpligt att ansvaret för registreringen enligt artikel 49.5 i ett sådant fall också skulle följa den alternativa ansvarsfördelningen, främst utifrån att syftet med registreringen bör vara att underlätta marknadskontroll- myndigheternas arbete (jfr skäl 131 till AI-förordningen). Ett alternativ till att peka ut PTS som ansvarig myndighet som utredningen har övervägt är om det kan finnas synergieffekter med att samla den nationella registreringen enligt artikel 49.5 och de nationella förteckningarna enligt NIS 2- och CER-direktiven hos en och samma myndighet (se ovan i avsnitt 11.4). Det skulle – om MSB:s nuvarande ansvar som gemensam kontaktpunkt enligt NIS 2- direktivet består samt om förslagen från Utredningen om genom- förande av NIS 2- och CER-direktiven i övrigt genomförs – inne- bära att MSB skulle ansvara för registreringen. Ett sådant alternativ skulle kunna ha fördelar bl.a. eftersom MSB kan behöva bygga upp en struktur för att hantera annan registrering av verksamhetsutövare 525 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur SOU 2025:101 inom området kritisk infrastruktur. Eftersom utredningen inte föreslår att MSB ska få något ansvar som marknadskontrollmyndig- het inom området för kritisk infrastruktur bedömer dock utred- ningen att det inte är ett lämpligt alternativ. MSB har till utredningen också förmedlat att myndigheten anser att PTS bör ansvara för regi- streringen enligt artikel 49.5 i AI-förordningen. I sammanhanget bör även nämnas att Utredningen om ett stärkt nationellt cybersäker- hetscenter i betänkandet Samlade förmågor för ökad cybersäkerhet (SOU 2025:79) har föreslagit att Försvarets radioanstalt – i stället för MSB - ska utses till gemensam kontaktpunkt enligt NIS 2- direktivet. Sammantaget bedömer utredningen att inget av dessa två alter- nativ, dvs. att flera myndigheter eller enbart MSB ansvarar för regi- streringen, är aktuella om PTS – som utredningen föreslår – utses till ansvarig myndighet för hela området inom punkten 2 i bilaga III. Vid en annan ansvarsfördelning skulle dock alternativen behöva övervägas på nytt. 11.5.3 En anmälningsskyldighet för vissa aktörer Utredningens förslag: Kompletteringslagen ska innehålla en bestämmelse om att följande operatörer har en skyldighet att anmäla sig och sitt AI-system till den myndighet som ansvarar för att AI-system med hög risk som förtecknas i punkten 2 i bilaga III till AI-förordningen registreras i enlighet med arti- kel 49.5 i AI-förordningen. – Leverantörer eller, i tillämpliga fall, ombud, av AI-system med hög risk som förtecknas i punkten 2 i bilaga III som avser att släppa ut eller ta i bruk ett sådant AI-system. – Leverantörer eller, i tillämpliga fall, ombud, som avser att släppa ut eller ta i bruk ett AI-system för vilket leverantören har fastställt att det inte är ett AI-system med hög risk som förtecknas i punkten 2 i bilaga III enligt artikel 6.3 i AI-för- ordningen. 526 SOU 2025:101 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur – Leverantörer eller potentiella leverantörer av AI-system med hög risk som förtecknas i punkten 2 i bilaga III som avser att utföra testning under verkliga förhållanden i enlighet med artikel 60 i AI-förordning. – Tillhandahållare av AI-system med hög risk som förtecknas i punkten 2 i bilaga III, som är offentliga myndigheter, unionens institutioner, byråer eller organ eller personer som agerar på deras vägnar, som avser att ta i bruk eller använda ett sådant AI-system. Kompletteringslagen ska vidare innehålla en bestämmelse om att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka uppgifter som ska framgå av an- mälan. Kompletteringsförordningen ska innehålla en bestämmelse om att PTS får meddela föreskrifter om anmälningsskyldigheten. Vissa leverantörer och tillhandahållare bör omfattas Det framgår inte av AI-förordningen vilka aktörer som ska regi- strera AI-system enligt artikel 49.5, förutom för leverantörer eller potentiella leverantörer som vill utföra testningen under verkliga förhållanden (se artikel 60.3 c). I artikel 60 anges nämligen uttryck- ligen att leverantörer eller potentiella leverantörer endast får utföra testningen under verkliga förhållanden om ett antal villkor är upp- fyllda, varav ett av dem är att leverantören eller den potentiella leve- rantören av AI-systemet med hög risk som avses i punkt 2 i bilaga III har registrerat testning under verkliga förhållanden i enlighet med artikel 49.5. Dessa aktörer omfattas alltså av artikeln. Enligt utredningen finns det – utöver leverantörer eller poten- tiella leverantörer som vill utföra testning under verkliga förhållan- den – anledning att i övrigt efterlikna det system som utformats för EU-databasen. Av artikel 49 framgår att följande aktörer ska regi- strera sig själva och sitt AI-system i EU-databasen. 527 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur SOU 2025:101 – Leverantörer eller, i tillämpliga fall, ombud, som avser att släppa ut eller ta i bruk ett AI-system med hög risk som förtecknas i bilaga III, med undantag för AI-system med hög risk som avses i punkt 2 i bilaga III (artikel 49.1). – Leverantörer eller, i tillämpliga fall, ombud, som avser att släppa ut eller ta i bruk ett AI-system för vilket leverantören har fast- ställt att det inte är ett AI-system med hög risk enligt artikel 6.3 (artikel 49.2). – Tillhandahållare som är offentliga myndigheter, unionens insti- tutioner, byråer eller organ eller personer som agerar på deras vägnar, som avser att ta i bruk eller använda ett AI-system med hög risk som förtecknas i bilaga III, med undantag för AI-system med hög risk som förtecknas i punkt 2 i bilaga III (artikel 49.3). Utredningen bedömer att den nationella registreringen för kritisk infrastruktur bör följa samma system. Detta i syfte att skapa ett harmoniserat system och för att underlätta PTS arbete som mark- nadskontrollmyndighet inom området. Tillhandahållare som är unionens institutioner, byråer eller organ eller personer som agerar på deras vägnar skulle eventuellt kunna undantas. Utredningen in- kluderar ändå de aktörerna utifrån att skapa ett harmoniserat system. Anmälningsskyldighet Utredningen bedömer att det är lämpligt att operatörerna får en anmälningsskyldighet. Det efterliknar det system som i dagsläget gäller i Sverige för verksamhetsutövare bl.a. enligt säkerhetsskydds- lagen samt den föreslagna cybersäkerhetslagen som föreslås imple- mentera NIS 2-direktivet. Även i EU-databasen ska operatören själv registrera sig. En anmälningsskyldighet liknar registreringsförfaran- det i EU-databasen, men görs till den ansvariga myndigheten. En anmälningsskyldighet bör även underlätta PTS arbete och PTS har också själv efterfrågat ett sådant system. Utredningen föreslår därför att kompletteringslagen ska inne- hålla en bestämmelse om att ovanstående operatörer har en skyldig- het att anmäla sig och sitt AI-system till den myndighet som ansva- rar för att AI-system med hög risk som förtecknas i punkten 2 i 528 SOU 2025:101 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur bilaga III till AI-förordningen registreras i enlighet med artikel 49.5 i AI-förordningen. PTS bör ges rätt att meddela föreskrifter om vilka uppgifter som ska framgå av anmälan Det framgår inte av AI-förordningen vilka uppgifter som ska regi- streras enligt artikel 49.5. För EU-databasen är det dock ingående reglerat (se avsnitt 11.2.1). Vilka uppgifter som ska framgå av en anmälan enligt AI-förordningen behöver därför regleras i svensk rätt. Ett alternativ till en sådan reglering är att i kompletteringsför- ordningen ange detta, antingen uttryckligen eller genom hänvisningar till bilagorna VIII och IX till AI-förordningen. En fördel med en sådan reglering är att uppgifterna som registreras enligt artikel 49.5 skulle efterlikna de uppgifter som kommer att registreras i EU-data- basen, vilket skapar ett harmoniserat system. Utredningen bedömer dock att det är lämpligare att PTS, som ansvarig myndighet för registreringen, ges rätt att meddela närmare föreskrifter kring detta. På så sätt får PTS möjlighet att utforma upp- giftsskyldigheten så som myndigheten bedömer är lämpligast för att myndigheten ska kunna utföra sitt arbete som marknadskontroll- myndighet. Samtidigt får myndigheten också möjlighet att beakta eventuella risker för Sveriges säkerhet som registrering av olika upp- gifter kan tänkas innebära (se dock avsnitt 11.5.4 nedan). Utredningen föreslår därför att kompletteringslagen ska inne- hålla en bestämmelse om att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka uppgifter som ska framgå av anmälan och att kompletteringsförordningen ska innehålla en bestämmelse om att PTS får meddela föreskrifter om anmälningsskyldigheten. 529 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur SOU 2025:101 11.5.4 Uppgifter som är säkerhetsskyddsklassificerade undantas Utredningens förslag: Kompletteringslagen ska innehålla en bestämmelse om att uppgiftsskyldighet inte gäller för uppgifter som är säkerhetsskyddsklassificerade enligt säkerhetsskydds- lagen. AI-förordningen undantar inte aktörer som omfattas av säkerhetsskyddslagen AI-förordningen undantar inte några aktörer som omfattas av säker- hetsskyddslagen. Detta till skillnad från vissa andra regelverk så som NIS 2- och CER-direktiven. Huruvida undantaget från AI-förord- ningen i artikel 2.3 gäller beror i stället på syftet eller användningen av AI-systemet, och inte på de aktörer som utför aktiviteterna med systemet (se avsnitt 11.3.2). Aktörer som omfattas av säkerhetsskyddslagen kommer alltså att behöva förhålla sig till båda dessa regelverk om aktören tar i bruk eller släpper ut ett AI-system på marknaden som behöver registreras i EU-databasen. En sådan aktör behöver ta ställning till om uppgif- ter om dennes AI-system kan anses utgöra säkerhetsskyddsklassi- ficerade uppgifter eller inte. Vid överväganden kring vilka uppgifter en aktör i en sådan situation kan registrera i EU-databasen behöver – utöver artiklarna 2.3 och 78 i AI-förordningen – även artikel 4.2 i EU-fördraget och artikel 346.1 a i EUF-fördraget beaktas (se av- snitt 11.3.1). Det är utredningens uppfattning att en registrering av säkerhets- skyddsklassificerade uppgifter i princip alltid skulle innebära ett lämnande av information vars avslöjande skulle strida mot Sveriges väsentliga säkerhetsintressen. Området kritisk infrastruktur intar i viss mån en särställning Området kritisk infrastruktur intar i viss mån en särställning i för- hållande till övriga högrisksystem som ska registreras i EU-data- basen på så sätt att många uppgifter som skulle kunna registreras potentiellt också kan utgöra säkerhetsskyddsklassificerade uppgif- 530 SOU 2025:101 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur ter. Mot den bakgrunden har representanter från Säkerhetspolisen förmedlat till utredningen att det vid utformningen av en reglering enligt artikel 49.5 bör införas ett undantag från uppgiftsskyldighet för uppgifter som är säkerhetsskyddsklassificerade enligt säkerhets- skyddslagen. Utredningen bedömer att det mot angiven bakgrund finns goda skäl för ett sådant undantag. Ett sådant undantag finns t.ex. i dags- läget i lagen (2018:1174) om informationssäkerhet för samhällsvik- tiga och digitala tjänster (NIS-lagen), genom att lagen inte gäller för verksamhet som omfattas av säkerhetsskyddslagen. Utredningen om genomförande av NIS 2- och CER-direktiven föreslår också att det ska införas ett undantag i respektive genomförandelag från skyl- digheten att lämna uppgifter som är säkerhetsskyddsklassificerade enligt säkerhetsskyddslagen. Beträffande NIS 2-direktivet föreslår regeringen även ett sådant undantag i lagrådsremissen (se avsnitt 11.4). AI-förordningen är – till skillnad från nyss nämnda direktiv – i och för sig en förordning, vilket skulle kunna tolkas som att Sverige är förhindrad från att införa en sådan undantagsbestämmelse. Efter- som utformningen av artikel 49.5 innebär att den nationella regi- streringen helt har överlämnats till medlemsstaterna bedömer dock utredningen att det finns ett sådant utrymme i detta fall. Det finns dessutom stöd för en sådan tolkning i artikel 4.2 i EU-fördraget och artikel 346.1 a i EUF-fördraget, som utredningen har redogjort för ovan. Utredningen föreslår därför att kompletteringslagen ska inne- hålla en bestämmelse om att uppgiftsskyldighet inte gäller för upp- gifter som är säkerhetsskyddsklassificerade enligt säkerhetsskydds- lagen. Enligt vad som har angetts ovan har säkerhetsskyddslagen även betydelse för vilka uppgifter som ska registreras beträffande AI-system som ska registreras i EU-databasen. 11.6 Offentlighet och sekretess Utredningens bedömning: Befintliga bestämmelser i OSL ger ett tillräckligt skydd för uppgifter som ska registreras enligt arti- kel 49.5 i AI-förordningen. 531 Nationell registrering av AI-system med hög risk inom området kritisk infrastruktur SOU 2025:101 Utredningen föreslår i avsnitt 11.5.4 att uppgiftsskyldighet inte ska gälla för uppgifter som är säkerhetsskyddsklassificerade enligt säker- hetsskyddslagen. Oaktat detta kan uppgifter som registreras enligt artikel 49.5 vara känsliga. Det finns därför skäl att överväga om uppgifterna kan skyddas av befintliga bestämmelser i OSL. Utredningen om genomförande av NIS 2- och CER-direktiven har beträffande den förteckning av verksamhetsutövare som ska föras enligt dessa direktiv (se avsnitt 11.4) konstaterat att sådana förteckningar i praxis har ansetts omfattas av sekretess enligt 18 kap. 8 § OSL17. Utredningen om genomförande av NIS 2- och CER- direktiven har därför gjort bedömningen att någon ny bestämmelse om sekretess för förteckningar över verksamhetsutövare inte be- hövs.18 Regeringen instämmer i bedömningen i lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäker- hetslag.19 Utredningen gör bedömningen att samma överväganden också gör sig gällande beträffande de uppgifter som ska registreras enligt artikel 49.5 i AI-förordningen. Utredningen bedömer därför att befintliga bestämmelser i OSL ger ett tillräckligt skydd för uppgifter som ska registreras enligt arti- kel 49.5. Avslutningsvis kan nämnas att det inte anges i AI-förordningen att uppgifterna som ska registreras enligt artikel 49.5 ska vidare- befordras till kommissionen, andra medlemsstater eller liknande. Det finns därför inte någon anledning att överväga om det behövs sekretessbrytande bestämmelser eller bestämmelser om överföring av sekretess i relation till uppgifterna som ska registreras enligt artikel 49.5. 17 Se närmare om denna bestämmelse i avsnitt 9.9.6. 18 SOU 2024:64, s. 269, som hänvisar vidare till Kammarrätten i Jönköpings avgöranden den 5 maj 2020 i mål nr 998-20 respektive den 3 december 2020 i mål nr 3039-20, som rör samman- ställningar av leverantörer av samhällsviktiga tjänster. 19 Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäker- hetslag, s. 199. 532 12 Regulatoriska sandlådor för AI och testning under verkliga förhållanden 12.1 Inledning I skälen i AI-förordningen anges att det är genom fastställandet av regler om utsläppandet på marknaden, ibruktagandet och använd- ningen av vissa AI-system och åtgärder till stöd för innovation, med särskild inriktning på små och medelstora företag, som AI-förord- ningen stöder unionens mål att främja den europeiska människo- centrerade AI-strategin och att bli världsledande inom utvecklingen av säker, tillförlitlig och etisk AI, och skyddet av etiska principer (skäl 8). Samtidigt är AI en teknikfamilj i snabb utveckling som kräver tillsyn och ett säkert och kontrollerat område för experiment, med säkerställande av ansvarsfull innovation och integrering av ända- målsenliga skydds- och riskbegränsningsåtgärder (skäl 138). För att främja och skydda innovation är det också viktigt att särskild hänsyn tas till intressena hos små och medelstora företag, inbegripet upp- startsföretag, som är leverantörer eller tillhandahållare av AI-system (skäl 143). I AI-förordningen fastställs bestämmelser om innovationsfräm- jande åtgärder. Dessa är i huvudsak regulatoriska sandlådor för AI (artiklarna 57–59) och testning av AI-system med hög risk under verkliga förhållanden utanför regulatoriska sandlådor för AI (artik- larna 60 och 61). En del av utredningens uppdrag är att analysera och lämna förslag på vad som behövs för att kunna inrätta en eller flera regulatoriska sandlådor i Sverige och ta ställning till vilken eller vilka befintliga myndigheter eller andra aktörer som bör utses för att uppfylla de krav som föreslås i AI-förordningen. 533 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 I detta kapitel inleder utredningen med att först redogöra för bestämmelserna i AI-förordningen om regulatoriska sandlådor för AI (avsnitt 12.2). I avsnitt 12.3 och 12.4 redogör utredningen för viss relevant och jämförbar verksamhet som pågår eller har pågått i Sverige och internationellt samt för några regulatoriska sandlådor som förekommer i andra rättsakter. I avsnitt 12.5 analyserar och redogör utredningen för rättsliga och övriga förutsättningar för att inrätta en eller flera regulatoriska sandlådor i Sverige. I avsnitt 12.6 redovisar utredningen närmare sina överväganden om inrättandet av minst en regulatorisk sandlåda för AI och genomförandet av in- rättandet. I avsnitt 12.7 analyserar utredningen vad som krävs för testning under verkliga förhållanden och överväganden om hur dessa krav ska uppfyllas. I avsnitt 12.8 redogör utredningen för vissa ändringar som be- hövs beträffande offentlighet och sekretess i förhållande till de innovationsfrämjande åtgärderna regulatoriska sandlådor för AI och testning under verkliga förhållanden. 12.2 Regulatoriska sandlådor för AI enligt AI-förordningen 12.2.1 Inledning Bestämmelser om regulatoriska sandlådor för AI finns i artiklarna 57–59 i AI-förordningen. Utredningen följer i detta avsnitt samma rubriksättning som AI-förordningen och redogör för innehållet i reglerna. 12.2.2 Regulatoriska sandlådor för AI Artikel 57 i AI-förordningen innehåller bestämmelser om regula- toriska sandlådor för AI och vissa krav beträffande dessa sandlådor. AI-förordningen definierar en regulatorisk sandlåda för AI som en kontrollerad ram som har inrättats av en behörig myndighet och som erbjuder leverantörer eller potentiella leverantörer av AI-system möjlighet att utveckla, träna, validera och testa, när så är lämpligt under verkliga förhållanden, ett innovativt AI-system, enligt en spe- 534 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden cifik sandlådeplan för en begränsad tid under regulatorisk tillsyn (artikel 3.55). Enligt artikel 3.54 definieras en sandlådeplan som ett dokument om vilket den deltagande leverantören och den behöriga myndigheten har kommit överens och som beskriver målen, vill- koren, tidsplanen, metoden och kraven för den verksamhet som ska bedrivas i sandlådan. En regulatorisk sandlåda för AI skiljer sig från ”testning under verkliga förhållanden” i AI-förordningen bl.a. av det skälet att en regulatorisk sandlåda sker inom en kontrollerad ram medan test- ning under verkliga förhållanden är en tillfällig testning av ett AI- system med avseende på dess avsedda ändamål under verkliga för- hållanden utanför ett laboratorium eller en på annat sätt simulerad miljö (artikel 3.57). Medlemsstaterna ska säkerställa att deras behöriga myndigheter inrättar minst en regulatorisk sandlåda för AI på nationell nivå. Den ska vara i drift senast den 2 augusti 2026. Enligt förordningen är det även möjligt att uppfylla förordningens krav genom att inrätta en sandlåda tillsammans med de behöriga myndigheterna i andra med- lemsstater, förutsatt att deltagandet ger en likvärdig nivå av natio- nell täckning för de deltagande medlemsstaterna. AI-förordningen anger också att kommissionen får tillhandahålla tekniskt stöd, råd- givning och verktyg för inrättande och drift av regulatoriska sand- lådor för AI (artikel 57.1). Ytterligare sandlådor för AI får inrättas på regional eller lokal nivå eller tillsammans med andra medlemsstaters behöriga myndig- heter (artikel 57.2). Dessutom får Europeiska datatillsynsmannen inrätta en regulatorisk sandlåda för AI för unionens institutioner, organ och byråer och får utöva de nationella behöriga myndigheter- nas roller och uppgifter i enlighet med kapitel VI (artikel 57.3). AI-förordningen anger att medlemsstaterna ska säkerställa att de behöriga myndigheterna på ett ändamålsenligt sätt och i god tid har tillräckliga resurser för att uppfylla kraven som avses i artikel 57. När så är lämpligt ska de nationella behöriga myndigheterna samarbeta med andra relevanta myndigheter, och de får tillåta deltagande av andra aktörer inom AI-ekosystemet. Artikel 57 påverkar inte andra regulatoriska sandlådor som inrättats enligt unionsrätten eller natio- nell rätt (t.ex. enligt EU:s förordning om ett interoperabelt Europa). Medlemsstaterna ska dock säkerställa lämpligt samarbete mellan de 535 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 myndigheter som utövar tillsyn över dessa andra sandlådor och de nationella behöriga myndigheterna (artikel 57.4). Regulatoriska sandlådor för AI som har inrättats enligt artikel 57.1 ska tillhandahålla en kontrollerad miljö som främjar innovation och underlättar utveckling, träning, testning och validering av innovativa AI-system under en begränsad tid innan de släpps ut på marknaden eller tas i bruk i enlighet med en särskild sandlådeplan som leveran- törerna eller de potentiella leverantörerna och den behöriga myndig- heten kommer överens om. Sådana sandlådor får omfatta testning under verkliga förhållanden under tillsyn i sandlådorna (artikel 57.5). De behöriga myndigheterna ska, beroende på vad som är lämp- ligt, tillhandahålla vägledning, tillsyn och stöd inom den regulator- iska sandlådan för AI i syfte att identifiera risker, särskilt när det gäller grundläggande rättigheter, hälsa och säkerhet, testning, risk- reducerande åtgärder och deras effektivitet i förhållande till skyl- digheterna och kraven i AI-förordningen samt, i förekommande fall, annan unionsrätt och nationell rätt som är föremål för tillsyn inom sandlådan (artikel 57.6). De behöriga myndigheterna ska ge leverantörer och potentiella leverantörer som deltar i den regulatoriska sandlådan för AI vägled- ning om rättsliga förväntningar och hur de ska uppfylla de krav och skyldigheter som fastställs i AI-förordningen. På begäran av leveran- tören eller den potentiella leverantören av AI-systemet ska den behöriga myndigheten tillhandahålla ett skriftligt bevis på den verk- samhet som framgångsrikt utförts i sandlådan. Den behöriga myn- digheten ska också tillhandahålla en slutrapport med uppgifter om den verksamhet som bedrivs i sandlådan och tillhörande resultat och lärdomar. Leverantörer får använda sådan dokumentation för att visa att de uppfyller kraven i AI-förordningen genom förfarandet för bedömning av överensstämmelse eller relevant marknadskontroll. I detta avseende ska marknadskontrollmyndigheter och anmälda organ beakta slutrapporterna och de skriftliga bevis som tillhanda- hålls av den nationella behöriga myndigheten på ett positivt sätt, i syfte att påskynda förfaranden för bedömning av överensstämmelse i rimlig utsträckning (artikel 57.7). Om inte annat följer av konfidentialitetsbestämmelserna i arti- kel 78 och med godkännande från leverantören eller den potentiella leverantören ska kommissionen och AI-styrelsen ha rätt att få till- gång till slutrapporterna och ska beakta dem, på lämpligt sätt, när 536 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden de utför sina uppgifter enligt AI-förordningen. Om både leveran- tören eller den potentiella leverantören och den nationella behöriga myndigheten uttryckligen samtycker får slutrapporten göras allmänt tillgänglig (artikel 57.8). Artikel 57.9 beskriver att inrättandet av regulatoriska sandlådor för AI syftar till att bidra till vissa mål, bl.a. att förbättra rättssäker- heten för att uppnå efterlevnad av AI-förordningen, stödja utbyte av god tillämpning genom samarbete med berörda myndigheter, främja innovation och konkurrenskraft, bidra till evidensbaserat regulator- iskt lärande samt underlätta och påskynda tillträdet till unionsmark- naden för AI-system framför allt för små och medelstora företag. I den mån som de innovativa AI-systemen inbegriper behandling av personuppgifter eller på annat sätt faller inom tillsynsområdet för andra nationella myndigheter eller behöriga myndigheter som till- handahåller eller stöder åtkomst till data ska de nationella behöriga myndigheterna säkerställa att de nationella dataskyddsmyndighet- erna och dessa andra nationella eller behöriga myndigheter är invol- verade i driften av den regulatoriska sandlådan för AI och i tillsynen över dessa aspekter så långt deras respektive uppgifter och befogen- heter sträcker sig (artikel 57.10). De behöriga myndigheternas tillsynsbefogenheter eller de korri- gerande befogenheterna för tillsyn över regulatoriska sandlådor ska inte påverkas av hanteringen av sandlådorna. De nationella behöriga myndigheterna har också befogenhet att tillfälligt eller permanent avbryta testprocessen eller deltagandet i sandlådan om inga verknings- fulla begränsningsåtgärder är möjliga och ska informera AI-byrån om ett sådant beslut (artikel 57.11). Leverantörer och potentiella leverantörer som deltar i den regula- toriska sandlådan för AI ska förbli ansvariga, enligt tillämplig unions- rätt och nationell rätt, om ansvar för skada som åsamkas tredje part till följd av de experiment som äger rum i sandlådan. Under förut- sättning att de potentiella leverantörerna följer den särskilda planen och villkoren för deras deltagande samt i god tro följer de riktlinjer som den nationella behöriga myndigheten ger, ska myndigheterna dock inte ålägga några administrativa sanktionsavgifter för överträd- elser av förordningen. Om andra behöriga myndigheter med ansvar för annan unionsrätt och nationell rätt aktivt deltog i tillsynen av AI-systemet i sandlådan och tillhandahöll vägledning för efterlev- 537 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 nad ska inga administrativa sanktionsavgifter åläggas avseende den rätten (artikel 57.12). De regulatoriska sandlådorna för AI ska utformas och genom- föras på ett sådant sätt att de i relevanta fall underlättar gränsöver- skridande samarbete mellan de nationella behöriga myndigheterna (artikel 57.13). Myndigheterna ska samordna sin verksamhet och samarbeta inom ramen för AI-styrelsen (artikel 57.14) samt infor- mera AI-byrån och AI-styrelsen om inrättandet av en sandlåda och får begära stöd och vägledning av dem. AI-byrån ska även göra en förteckning över planerade och befintliga sandlådor allmänt tillgäng- lig och hålla den uppdaterad för att uppmuntra till mer interaktion i regulatoriska sandlådor för AI och gränsöverskridande samarbete (artikel 57.15). De nationella behöriga myndigheterna ska lämna årliga rappor- ter till AI-byrån och AI-styrelsen, från och med ett år efter att den regulatoriska sandlådan för AI har inrättats och därefter varje år fram till dess att den regulatoriska sandlådan avslutas. De nationella behöriga myndigheterna ska lämna en slutrapport i samband med avslutandet av sandlådan. De årliga rapporterna ska innehålla infor- mation om framstegen och resultaten av genomförandet av dessa sandlådor, inbegripet bästa praxis, incidenter, tillvaratagna erfaren- heter och rekommendationer om deras etablering och om tillämp- ningen och en eventuell översyn av AI-förordningen samt om tillämp- ningen av annan unionsrätt som står under tillsyn av de berörda myndigheterna inom sandlådan. De nationella behöriga myndig- heterna ska göra dessa årliga rapporter eller sammanfattningar av dessa tillgängliga för allmänheten online (artikel 57.16). Kommissionen ska utveckla ett gemensamt och särskilt gräns- snitt som innehåller all relevant information om regulatoriska sand- lådor för AI för att göra det möjligt för berörda parter att interagera med regulatoriska sandlådor för AI och ta upp frågor med behöriga myndigheter samt söka icke-bindande vägledning om överensstäm- melse för innovativa produkter, tjänster och affärsmodeller med in- bäddad AI-teknik, i enlighet med artikel 62.1 c. Kommissionen ska proaktivt, där så är relevant, säkerställa samordning med nationella behöriga myndigheter (artikel 57.17). 538 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden 12.2.3 Närmare arrangemang och funktionssätt för regulatoriska sandlådor för AI Det är ännu inte helt klarlagt hur de närmare arrangemangen och funktionssätten kring regulatoriska sandlådor för AI ska se ut och hur det är tänkt att de ska fungera. AI-förordningen anger att kommissionen ska anta genomförande- akter som specificerar de närmare arrangemangen för inrättande, ut- veckling, genomförande, drift och tillsyn av regulatoriska sandlådor för AI. Genomförandeakterna ska innehålla gemensamma principer i frågor om behörighets- och urvalskriterier för deltagande i den regulatoriska sandlådan för AI, förfarandet för tillämpning, deltag- ande, övervakning, utträde ur och avslutande av den regulatoriska sandlådan, inbegripet sandlådeplanen och slutrapporten och de vill- kor som gäller för deltagarna (artikel 58.1). Genomförandeakterna ska säkerställa att a) regulatoriska sandlådor för AI är öppna för alla ansökande leve- rantörer eller potentiella leverantörer av ett AI-system som upp- fyller behörighets- och urvalskriterier, som ska vara transparenta och rättvisa, och nationella behöriga myndigheter ska informera sökande om sitt beslut inom tre månader efter ansökan, b) regulatoriska sandlådor för AI möjliggör bred och likvärdig till- gång och håller jämna steg med efterfrågan på deltagande; leve- rantörer och potentiella leverantörer får också lämna in ansök- ningar i partnerskap med tillhandahållare och andra relevanta tredje parter, c) närmare arrangemang och villkor för regulatoriska sandlådor för AI i möjligaste mån stöder de nationella behöriga myndigheter- nas flexibilitet att inrätta och driva sina regulatoriska sandlådor för AI, d) tillgången till regulatoriska sandlådor för AI är kostnadsfri för små och medelstora företag, inbegripet uppstartsföretag, utan att det påverkar exceptionella kostnader som nationella behöriga myndigheter får återkräva på ett rättvist och proportionellt sätt, e) de, genom lärdomar från de regulatoriska sandlådorna för AI, gör det lättare för leverantörer och potentiella leverantörer att fullgöra skyldigheterna avseende bedömning av 539 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 överensstämmelse enligt AI-förordningen och den frivilliga till- lämpningen av de uppförandekoder som avses i artikel 95, f) regulatoriska sandlådor för AI underlättar deltagandet av andra relevanta aktörer inom AI-ekosystemet, såsom anmälda organ och standardiseringsorganisationer, små och medelstora företag, inbegripet uppstartsföretag och andra företag, innovatörer, test- och experimentfaciliteter (TEF), forsknings- och experimentlabo- ratorier och europeiska digitala innovationsknutpunkter, kom- petenscentrum samt enskilda forskare, för att möjliggöra och underlätta samarbete med den offentliga och privata sektorn, g) förfaranden, processer och administrativa krav för ansökan och urval till, deltagande i och utträde ur den regulatoriska sandlådan för AI ska vara enkla, lättbegripliga och tydligt kommunicerade för att underlätta deltagandet av små och medelstora företag, inbegripet uppstartsföretag, med begränsad rättslig och admini- strativ kapacitet och strömlinjeformas i hela unionen i syfte att undvika fragmentering, och att deltagande i en regulatorisk sand- låda för AI som inrättats av en medlemsstat eller av Europeiska datatillsynsmannen erkänns ömsesidigt och enhetligt och har samma rättsliga verkan i hela unionen, h) deltagandet i den regulatoriska sandlådan för AI är begränsat till en period som är lämplig med tanke på projektets komplexitet och omfattning, vilken får förlängas av den nationella behöriga myndigheten, i) de regulatoriska sandlådorna för AI underlättar utvecklingen av verktyg och infrastruktur för testning, riktmärkning, bedömning och förklaring av de aspekter av AI-systemen som är relevanta för regulatoriskt lärande, såsom riktighet, robusthet och cyber- säkerhet samt minimering av riskerna för grundläggande rättig- heter och samhället i stort. Potentiella leverantörer i regulatoriska sandlådor för AI, särskilt små och medelstora företag och uppstartsföretag, ska, när så är relevant, hänvisas till tjänster före införandet, såsom vägledning om genom- förandet av AI-förordningen, andra mervärdestjänster såsom hjälp med standardiseringsdokument och certifiering, TEF:ar, europeiska digitala innovationsknutpunkter och kompetenscentrum (artikel 58.3). 540 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden Artikel 58.4 anger också att när nationella behöriga myndigheter överväger att godkänna testning under verkliga förhållanden som står under tillsyn inom ramen för en regulatorisk sandlåda för AI ska de särskilt komma överens med deltagarna om villkoren för sådan test- ning i syfte att skydda grundläggande rättigheter, hälsa och säkerhet. 12.2.4 Ytterligare behandling av personuppgifter för utveckling av vissa AI-system i den regulatoriska sandlådan för AI AI-förordningen påverkar inte tillämpningen av EU:s dataskydds- förordning, EU:s brottsdatadirektiv eller annan relevant unionsrätt eller nationell rätt som kan gälla vid behandling av personuppgifter i en regulatorisk sandlåda för AI (artikel 2.7). Personuppgifter som kommer att behandlas i en regulatorisk sandlåda för AI kan ha samlats in för andra ändamål än utveckling, träning och testning av ett AI-system. Enligt EU:s dataskyddsför- ordning är en vidarebehandling av personuppgifter tillåten endast om förutsättningarna enligt principen om ändamålsbegränsning1 är uppfylld alternativt ett undantag från den principen är möjlig att göra enligt särskilda förutsättningar. Sådant undantag kan föreligga om den registrerade ger samtycke till behandling, eller grunda sig på unionsrätten eller nationell rätt som utgör en nödvändig och pro- portionell åtgärd i ett demokratiskt samhälle för att skydda vissa mål som avses i artikel 23.1 i EU:s dataskyddsförordning. Lagstif- taren har möjlighet att på förhand genom reglering ange när en vidarebehandling av personuppgifter är tillåten på grund av fören- lighet mellan ändamålet vid insamlingen av personuppgifter och ändamålet för vidarebehandlingen av samma uppgifter. Ett undan- tag från principen om ändamålsbegränsning är möjligt endast genom reglering i EU-rätten eller nationell rätt utifrån vissa i EU:s data- skyddsförordning specificerade syften. Artikel 59.1 anger att personuppgifter som lagligen har samlats in för andra ändamål får behandlas i den regulatoriska sandlådan för AI enbart i syfte att utveckla, träna och testa vissa AI-system i sandlådan om samtliga följande villkor är uppfyllda. 1 Principen om ändamålsbegränsning framgår av artikel 5.1 b i EU:s dataskyddsförordning och innebär att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berät- tigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning). 541 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 a) AI-systemen ska utvecklas för att ett viktigt allmänt intresse ska skyddas av en offentlig myndighet eller annan fysisk eller juridisk person på ett eller flera av följande områden: i. Allmän säkerhet och folkhälsa, inbegripet upptäckt, diagnos- tisering, förebyggande, bekämpning och behandling av sjuk- domar och förbättring av hälso- och sjukvårdssystemen. ii. En hög nivå av skydd och förbättring av miljöns kvalitet, skydd av den biologiska mångfalden, skydd mot föroreningar, åtgär- der för grön omställning samt begränsning av och anpassning till klimatförändringar. iii. Energihållbarhet. iv. Säkerhet och resiliens när det gäller transportsystem och mobilitet, kritisk infrastruktur och nätverk. v. Den offentliga förvaltningens och de offentliga tjänsternas effektivitet och kvalitet. b) De data som behandlas är nödvändiga för att uppfylla ett eller flera av de krav som avses i kapitel III avsnitt 2 i AI-förordningen i fall där dessa krav inte kan uppfyllas effektivt genom behand- ling av anonymiserade eller syntetiska data eller andra icke-person- uppgifter. c) Det finns effektiva övervakningsmekanismer för att fastställa om experimenten i sandlådan kan medföra höga risker för de regi- strerades rättigheter och friheter, enligt artikel 35 i EU:s data- skyddsförordning och artikel 39 i förordning (EU) 2018/17252, samt en svarsmekanism för att snabbt begränsa dessa risker och, vid behov, stoppa behandlingen. d) Alla personuppgifter som ska behandlas inom ramen för sand- lådan befinner sig i en funktionellt separat, isolerad och skyddad databehandlingsmiljö under den potentiella leverantörens kontroll, och endast behöriga personer har tillgång till dessa uppgifter. 2 Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG. 542 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden e) Leverantörer kan endast dela vidare de ursprungligen insamlade uppgifterna i enlighet med unionens dataskyddslagstiftning. Per- sonuppgifter som skapats i sandlådan får inte delas utanför sand- lådan. f) Behandling av personuppgifter i samband med sandlådan ska var- ken leda till åtgärder eller beslut som påverkar de registrerade eller påverka tillämpningen av deras rättigheter enligt unions- rätten om skydd av personuppgifter. g) Alla personuppgifter som behandlas inom ramen för sandlådan ska skyddas genom lämpliga tekniska och organisatoriska åtgär- der och raderas när deltagandet i sandlådan har avslutats eller personuppgifternas lagringstid har löpt ut. h) Loggarna över behandlingen av personuppgifter inom ramen för sandlådan ska bevaras under den tid som deltagandet i sandlådan varar, om inte annat föreskrivs i unionsrätten eller nationell rätt. i) En fullständig och detaljerad beskrivning av processen och moti- veringen för träning, testning och validering av AI-systemet be- varas tillsammans med testresultaten som en del av den tekniska dokumentation som avses i bilaga IV. j) En kort sammanfattning av AI-projektet som utvecklats i sand- lådan, dess mål och förväntade resultat offentliggörs på den behöriga myndighetens webbplats. Denna skyldighet omfattar inte känsliga operativa uppgifter som rör brottsbekämpande myndigheters, gränskontrollmyndigheters, migrationsmyndig- heters eller asylmyndigheters verksamhet. I artikel 59.2 finns regler som omfattar brottsbekämpningsområdet i förhållande till hantering av personuppgifter i regulatoriska sand- lådor för AI. I syfte att förebygga, förhindra, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, under brottsbekämpande myndigheters överinseende och ansvar, ska behandlingen av personuppgifter i regulatoriska sandlådor för AI baseras på specifik unionsrätt eller nationell rätt och omfattas av samma kumulativa villkor som dem som avses i arti- kel 59.1. Artikel 59.3 anger vidare att bestämmelserna i artikel 59.1 inte påverkar tillämpningen av unionsrätt eller nationell rätt som 543 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 utesluter behandling av personuppgifter för andra ändamål än dem som uttryckligen anges i den rätten eller av unionsrätt eller nationell rätt som fastställer grunden för behandling av personuppgifter som är nödvändig för att utveckla, testa eller träna innovativa AI-system, eller av någon annan rättslig grund, i överensstämmelse med unions- rätten om skydd av personuppgifter. 12.3 Regulatoriska testverksamheter internationellt och i Sverige 12.3.1 Inledning I detta avsnitt redogör utredningen för relevanta rapporter på om- rådet samt pågående och tidigare genomförda testverksamheter som har likheter med regulatoriska sandlådor för AI. Utredningen har valt att benämna avsnittet för regulatoriska testverksamheter efter- som begreppet regulatorisk sandlåda inte har använts vid samtliga dessa verksamheter. I det följande beskriver utredningen testverk- samheter från ett internationellt perspektiv och redovisar en kort bakgrund till regulatoriska sandlådor (avsnitt 12.3.2). I avsnitt 12.3.3 beskriver utredningen några pågående och tidigare pågående testverk- samheter i Sverige och rapporter från dessa verksamheter. Utred- ningen redovisar i det sammanhanget delar av vad som har framkom- mit vid utredningens möten med de aktörer som har varit inblandade i dessa verksamheter. Utredningen ser anledning att påpeka att de verksamheter som redogörs för inte är regulatoriska sandlådor för AI enligt AI-förord- ningen, utan testverksamheterna är exempel på hur man kan sätta upp liknande verksamheter som den som kommer att inrättas enligt AI-förordningen. Beskrivningarna av testverksamheterna är därför inte heller en uttömmande uppräkning av projekt som liknar regula- torisk testverksamhet. 544 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden 12.3.2 Ett internationellt perspektiv enligt OECD:s rapport OECD:s rapport Regulatory sandboxes in artificial intelligence3 beskriver en regulatorisk sandlåda som att den skapar ett bestämt utrymme där myndigheter engagerar aktörer (t.ex. företag) för att testa innovativa produkter eller tjänster som utmanar befintlig lag- stiftning. Vanligast är att deltagare i sandlådan får ett undantag från vissa rättsliga bestämmelser eller efterlevnadsprocesser för att tillåta dem att vara innovativa. Rapporten beskriver också, utifrån det vid tidpunkten hundratalet sandlådeinitiativ runt om i världen, att till- vägagångssätten för regulatoriska sandlådor varierar men har vissa gemensamma egenskaper, utifrån att – de är begränsade både tids- och områdesmässigt (testprocessen är som vanligtvis begränsad till sex månader), – de sammanför tillsynsmyndigheter och andra aktörer, – de frångår befintliga rättsliga bestämmelser och ger skräddarsytt rättsligt stöd för ett specifikt projekt, ofta baserat på trial and error, och – den tekniska information och de marknadsdata som de samlar in hjälper tillsynsmyndigheterna att bedöma om specifika rättsliga ramar är ändamålsenliga eller behöver anpassas. Enligt rapporten inrättades den första s.k. regulatoriska sandlådan med inriktning på ny teknik, framför allt fintech (teknik för finans- marknaden), 2015 i Storbritannien genom landets motsvarighet till Finansinspektionen (the UK Financial Conduct Authority, FCA). Norges dataskyddsmyndighet (Datatilsynet) inrättade 2020 en av de första regulatoriska sandlådorna specifikt för AI. Den första regula- toriska sandlådan för AI med syfte att användas för tillämpning av AI-förordningen inrättades i Spanien under 2023. OECD:s rapport anger att vissa lärdomar från de första regula- toriska sandlådorna inom framför allt fintech visar att fördelarna bl.a. är att underlätta företagsfinansiering och marknadsinträde och att öka hastigheten till marknaden genom att minska administrativa kostnader och transaktionskostnader. För tillsynsmyndigheter ger 3 OECD (2023), ”Regulatory sandboxes in artificial intelligence”, OECD Digital Economy Papers, No. 356, OECD Publishing, Paris, https://doi.org/10.1787/8f80a0e6-en (hämtad 2025-06-26). 545 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 testning i sandlådor information om beslutsfattande och reglerings- processer. Regulatoriska sandlådor ger ett dynamiskt, evidensbaserat tillvägagångssätt för reglering och tolkning av regelverk. Ett vanligt resultat av sandlådor är att tillsynsmyndigheter utfärdar ändringar eller vägledning om hur de rättsliga ramarna ska tolkas. Samtidigt är utmaningarna med regulatoriska sandlådor inom t.ex. fintech bl.a. bristen på harmoniserade och standardiserade behörighetskriterier och testprocesser. Sandlådor kräver noggrann design och testning, samtidigt som otillräckliga specifikationer kan skada konkurrensen, konsumenterna, men också offentliga eller personliga uppgifter. I rapporten dras slutsatsen att det i ett internationellt perspektiv skulle vara värdefullt att även ha internationell kompatibilitet mel- lan sandlådor samt samarbeten mellan jurisdiktioner, framför allt för att minimera risken för motsägande standarder som kan leda till att sandlådan enbart fungerar i ett nationellt perspektiv. 12.3.3 Regulatoriska testverksamheter i Sverige Finansinspektionens innovationscenter Finansinspektionen var en av de första tillsynsmyndigheterna att analysera behovet av en regulatorisk sandlåda som del av de inno- vationsfrämjande åtgärderna och tillämpningsstödet för den finansi- ella sektorns användning av nya tekniska lösningar. Finansinspektionen fick bl.a. ett regeringsuppdrag att se över behovet med anledning av att myndighetens motsvarigheter i andra medlemsstater i EU hade påbörjat arbetet med en regulatorisk sandlåda (bl.a. Storbritannien som vid tidpunkten fortfarande var medlem i EU). Finansinspektionen konstaterade i sin rapport från 1 december 2017 ”Myndighetens roll kring innovationer” att en insats för ut- ökad information och möjlighet till dialog om regler, processer och principer skulle lösa huvuddelen av de utmaningar som bolagen upp- gav att de hade och att en sådan insats skulle ha större potential att lyckas än att införa en regulatorisk sandlåda.4 Finansinspektionen inrättade därför under 2018 ett innovations- center som både är en första kontaktpunkt med myndigheten för nya verksamheter, och ger vägledning till företag som planerar att 4 Finansinspektionen – Myndighetens roll kring innovationer, 1 december 2017 (dnr 17-4481). 546 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden testa nya tjänster men som är osäkra på regler, processer och prin- ciper på finansmarknaden.5 IMY:s dataskyddssandlåda IMY kan anses vara den första svenska tillsynsmyndigheten som har arbetat med flera projekt i en regulatorisk sandlåda för nya tek- niska lösningar med utgångspunkt i behandling av personuppgifter i enlighet med dataskyddsregleringen. De genomförda projekten, som har pågått sedan 2022, har även involverat användning av AI. I mars 2023 publicerade IMY en slutrapport från myndighetens första projekt inom sandlådan om federerad maskininlärning mellan två vårdgivare.6 I november 2024 publicerade IMY en slutrapport från myndighetens tredje projekt som gällde utlämnande av allmänna handlingar med hjälp av AI.7 I mars 2025 påbörjade IMY vidare ett AI-projekt tillsammans med en juristbyrå.8 IMY har valt projekt som har koppling till myndighetens främsta uppgift inom den regulatoriska sandlådan, dvs. personuppgiftsbehand- ling i enlighet med nationell tillämpning av dataskyddsslagstiftning. Myndigheten har beskrivit att det framför allt är gråzonsfrågorna som är aktuella, vilket den definierat som frågor där praxis eller annan vägledning saknas, oftast kopplat till ny teknik och nya tjänster, eller ny användning av befintlig teknik. IMY har ansett att genom samverkan i ett innovationsprojekt, såsom en regulatorisk sandlåda, kan myndigheten närma sig gråzonsfrågorna på ett annat sätt än t.ex. vid tillsyn. Den regulatoriska sandlådan har uppmärksammats i AI-kommissionens färdplan för Sverige och IMY har fått medel i vårändringsbudgeten för att utöka verksamheten.9 5 Kortrapport – Finansinspektionens syn på regulatoriska sandlådor, 18 juni 2024. 6 Federerad maskininlärning mellan två vårdgivare, Slutrapport om Integritetsskyddsmyn- dighetens pilotprojekt med regulatorisk testverksamhet om dataskydd, Diarienummer IMY- 2023-2602. 7 Utlämnande av allmänna handlingar med hjälp av AI. Slutrapport från Integritetsskydds- myndighetens regulatoriska sandlåda om dataskydd, Diarienummer IMY-2024-5156. 8 https://www.imy.se/nyheter/imy-inleder-ai-projekt-tillsammans-med-juristbyran- familjens-jurist/ (hämtad 2025-06-30). 9 Se AI-kommissionens färdplan för Sverige, s. 86 och prop. 2024/25:99, utg. omr. 1, 6.3. 547 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 Energimarknadsinspektionens rapport om regulatoriska sandlådor Energimarknadsinspektionen har undersökt förutsättningar för en regulatorisk sandlåda, och redovisat detta i rapporten ”Innovations- center och regulatoriska sandlådor – modellförslag och implemen- tering för energimarknaderna i Sverige” (Ei R2023:03). Energimark- nadsinspektionen definierar i rapporten regulatoriska sandlådor som ett policyverktyg som gör det möjligt att bevilja tidsbegränsade undantag från utvalda delar av regelverk för försöksverksamhet i verkliga miljöer. Enligt förslaget ska Energimarknadsinspektionen som ett första steg mot en implementering inrätta ett innovations- center som ska fungera som en första kontaktpunkt för marknads- aktörer och innovatörer som är osäkra på regler, processer eller prin- ciper i samband med innovationer på energimarknaderna. Regulatorisk sandlåda inom eSam Under 2023 inledde Bolagsverket, Arbetsförmedlingen, Skatteverket och IMY ett samarbete inom eSam genom att tillsätta en arbetsgrupp för att genomföra ett pilotprojekt för att testa formen för en regula- torisk sandlåda för AI enligt AI-förordningen. I samarbetet har tre pilotprojekt genomförts och presenterats i delrapporter. Ett fjärde projekt är planerat till hösten 2025. Arbetsgruppen publicerade den första delrapporten via eSam i juni 2024.10 I rapporten konstaterade arbetsgruppen att det finns ett antal frågor som kommer att behöva besvaras vid varje tillfälle för att veta om projektet som ska genomföras i den regulatoriska sandlådan också uppfyller kriterierna i AI-förordningen, bl.a. om systemet inkluderas i AI-förordningens definition av AI-system och om AI-systemet faller inom vad som i AI-förordningen anses utgöra hög risk. Den andra delrapporten publicerade arbetsgruppen via eSam i december 2024.11 Arbetsgruppen tittade på ett system för remiss- sammanställningar där Ekonomistyrningsverket och Regerings- kansliet arbetar för att förenkla arbetet med hantering av remissvar i Regeringskansliet. Frågeställningarna fokuserade på vad det inne- 10 Delrapport AI-regulatorisk sandlåda – en första iteration, ES2024-14, juni 2024. 11 Delrapport AI-regulatorisk sandlåda – den andra iterationen, ES2024-18, december 2024. 548 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden bär att använda sig av AI-modeller för allmänna ändamål och roll- fördelningen i den regulatoriska sandlådan. Arbetsgruppens lärdomar var bl.a. att det finns en svårighet att utifrån AI-förordningen förstå skillnaden mellan en AI-modell och ett AI-system, framför allt då AI-förordningen inte har en fristående definition av en AI-modell. Ytterligare en lärdom var att det inte alltid är enkelt att bedöma vilken roll som de inblandade aktörer har enligt AI-förordningen. Arbetsgruppen konstaterade att enligt AI-förordningen är det endast leverantörer och potentiella leveran- törer av AI-system som har möjlighet att söka stöd från en regula- torisk sandlåda för AI. En ansökan kan dock ske i partnerskap med t.ex. en tillhandahållare eller en leverantör av en AI-modell för all- männa ändamål. Vad gäller samverkan inom eller mellan regulator- iska sandlådor ansåg arbetsgruppen att det är mest sannolikt att olika sandlådor samordnas snarare än att en gemensam sandlåda in- rättas för flera olika rättsområden. Arbetsgruppen konstaterade vidare att det är viktigt att flera olika kompetensområden ingår i en regulatorisk sandlåda för AI och att det t.ex. bildas ett kärnteam med de olika kompetenserna som också arbetar tillsammans över tid. Även aktörerna som ansöker om stöd till en sandlåda behöver bidra med eget deltagande och kompetens, särskilt vad gäller beskrivning av tilltänkt AI-system. Framför allt krävs det deltagande från personer som har mandat att fatta beslut om AI-systemet. Arbetsgruppen framhöll också att det är viktigt att dokumentera processen och eventuella gemensamma tolkningar under arbetets gång, för att tidigt lösa möjliga meningsskiljaktigheter. Den tredje rapporten publicerades i juni 2025.12 Arbetsgruppen drog flera lärdomar i den omfattande rapporten, bl.a. att det är kom- plext och utmanande att bedöma ramen för ett AI-system, att en aktör kan inneha flera roller enligt AI-förordningen, att det inte finns ett krav på att myndigheten ska tillhandahålla en teknisk infrastruk- tur och att arbetsmetoden som använts bidragit till generell kompe- tenshöjning hos deltagarna. 12 Delrapport AI-regulatorisk sandlåda – tredje iterationen, ES2025-09, juni 2025. 549 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 RISE:s policy lab RISE har arbetat med projekt inom ett s.k. policy lab som har lik- heter med en regulatorisk sandlåda för AI. Ett policy lab är ett sätt att hantera konflikter mellan teknisk innovation och gällande eller kommande regelverk. Bl.a. har RISE, även med beaktande av att for- don och fartyg i huvudsak inte omfattas av AI-förordningen (se ar- tikel 2.2), forskat på projekt inom de områdena eftersom forskarna bedömt att de har kunnat lära sig av projekt inom de områdena. Från dessa studier har forskarna identifierat flera gemensamma aspekter som de har dragit lärdomar från.13 Inom policy lab-forskningen har RISE även bistått som observa- törer inom IMY:s dataskyddssandlåda där RISE observerat och åter- kopplat till IMY vad forskarna iakttog. RISE har även deltagit i ett EU-initiativ för AI-innovation där olika innovationsfrämjande åtgärder har identifierats. I forskningen har de ställt upp kraven enligt AI-förordningen, EU:s förordning om ett interoperabelt Europa och EHDS-förordningen14 och iden- tifierat likheter och skillnader. Inom policy lab-forskningen har RISE bedrivit en regulatorisk sandlåda i kombination med testning under verkliga förhållanden. På Riddarfjärden i Stockholm trafikerar en passagerarfärja, MF Estelle, som är utrustad med ett AI-system som gör att fartyget följer en rutt och anlägger vid en brygga för att sedan släppa av passagerarna. Fartyget är också bemannat med en befälhavare för att uppfylla gällande lagkrav.15 Slutrapportering skedde under våren 2025. I slut- rapporten beskrivs projektet ingående och de slutsatser som forsk- arna dragit. Forskarna vid RISE har berättat för utredningen om deras insikter efter projektet och förklarat bl.a. att det inom pro- jektet inte behövdes någon teknisk miljö utöver den som parterna själva rådde över, att den behöriga myndigheten deltog på vissa aktivi- teter men inte var part i arbetet, att rättigheter för datahantering fanns hos parterna och att inga personuppgifter behövde hanteras.16 13 Burden och Stenberg, Sustainable AI and Disruptive Policy – AI Regulatory Sandboxes, RISE Report: 2023:107. 14 Europaparlamentet och rådets förordning (EU) 2025/327 av den 11 februari 2025 om det europeiska hälsodataområdet och om ändring av direktiv 2011/24/EU och förordning (EU) 2024/2847. 15 Regler om befälhavares uppgifter framgår av 6 kap. sjölagen (1994:1009). 16 Se närmare om projektet och slutsatserna som forskarna dragit i slutrapporten, H. Burden och S. Stenberg, Slutrapport Policy Lab Urban Zjöfart, i samarbete med Carl Petersson och Erik Nilsson, 2025. 550 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden RISE har även ett pågående projekt tillsammans med Digg inom ramen för Vinnovas forskningsprojekt FORSA, se nedan. FORSA – förstudie om regulatoriska sandlådors roll för AI-baserad innovation Tillsammans med Digg driver RISE ett projekt som benämns FORSA – förstudier om regulatoriska sandlådors roll för AI-baserad inno- vation.17 Syftet med förstudien enligt projektplanen är att bidra till Sveriges förmåga att etablera minst en regulatorisk sandlåda till 2026. Projektets mål är att å ena sidan ge förslag till samordning av offent- lig sektor i relation till EU:s regulatoriska sandlådor och å andra sidan ge riktlinjer för hur EU:s regulatoriska sandlådor kan organi- seras i en svensk kontext. Projektet pågår till augusti 2025 och några rapporter från projektet har inte publicerats vid slutjustering av be- tänkandet. 12.4 Regulatoriska sandlådor i andra rättsakter 12.4.1 EU:s förordning om ett interoperabelt Europa Den 13 mars 2024 trädde EU:s förordning om ett interoperabelt Europa i kraft. I förordningen fastställs åtgärder som främjar gräns- överskridande interoperabilitet för transeuropeiska digitala offent- liga tjänster (artikel 1.1). I förordningen definieras i artikel 2.14 en regulatorisk sandlåda för interoperabilitet som en kontrollerad miljö som inrättats av en unionsentitet eller en offentlig myndighet för utveckling, träning, testning och validering av innovativa interopera- bilitetslösningar, när så är lämpligt under verkliga förhållanden, till stöd för gränsöverskridande interoperabilitet för transeuropeiska digitala offentliga tjänster under en begränsad tidsperiod under lag- stadgad tillsyn (artikel 2.14). Förordningen innehåller inget krav på att varje medlemsstat ska inrätta minst en regulatorisk sandlåda. I stället föreskriver förordningen att styrelsen för ett interoperabelt Europa kan föreslå att en regulatorisk sandlåda för interoperabilitet inrättas enligt artikel 11, för att förstärka projektet till stöd för 17 https://www.vinnova.se/p/forsa---forstudie-om-regulatoriska-sandladors-roll-for-ai- baserad-innovation/ (hämtad 2024-11-12). 551 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 genomförande av policyer respektive för att stödja utvecklingen av innovationsåtgärder (artiklarna 9.4 och 10.3). Enligt artikel 11 i EU:s förordning om ett interoperabelt Europa ska regulatoriska sandlådor för interoperabilitet drivas under de del- tagande unionsentiteternas eller offentliga myndigheternas ansvar. Regulatoriska sandlådor för interoperabilitet som medför att offent- liga myndigheter behandlar personuppgifter ska drivas under tillsyn av de nationella dataskyddsmyndigheterna och andra relevanta natio- nella, regionala eller lokala tillsynsmyndigheter. Digg är behörig myndighet enligt EU:s förordning om ett inter- operabelt Europa. 12.4.2 EU:s förordning om nettonollindustri EU:s förordning om nettonollindustri18 är en del av den gröna given inom EU. Syftet med den är att stödja övergången till ett billigt, på- litligt och hållbart energisystem. Samtidigt ska EU:s industri bli mer konkurrenskraftig och motståndskraftig mot olika påfrestningar.19 Enligt förordningen får medlemsstaterna på eget initiativ inrätta regulatoriska sandlådor för nettonollteknik, som möjliggör utveck- ling, testning och validering av innovativ nettonollteknik i en kon- trollerad, verklig miljö under en begränsad tid innan den släpps ut på marknaden eller tas i bruk (artikel 33). Regeringen har gett Vinnova i uppdrag att analysera hur en kon- taktpunkt för regulatorisk försöksverksamhet bör struktureras och genomföras i Sverige. En utgångspunkt för Vinnovas analys är att regelförenkling, regelutveckling och innovation för de tekniker som anges i EU-förordningen ska främjas genom kontaktpunkten. Vinnova ser stor potential i att regulatoriska sandlådor som policyinstrument kan öka möjligheterna för innovativa företag och kluster att testa och verifiera ny teknik och där regelhinder kan undanröjas för den europeiska marknaden. Myndigheten anser också att regelutveck- ling som sandlådorna möjliggör kan bidra till att stärka ekosystem inom Sverige strategiskt viktiga teknikområden. 18 Europaparlamentets och rådets förordning (EU) 2024/1735 av den 13 juni 2024 om in- rättande av en åtgärdsram för att stärka Europas ekosystem för tillverkning av nettonoll- teknik och om ändring av förordning (EU) 2018/1724. 19 https://www.europarl.europa.eu/topics/sv/article/20231031STO08721/eu-s-forordning- om-nettonollindustri-ska-bana-vag-for-grona-teknologier-i-europa (hämtad 2025-01-21). 552 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden Vinnova har även identifierat vissa risker med regulatoriska sand- lådor i form av att de riskerar att snedvrida konkurrensen och att de tar mycket resurser i anspråk. Vinnova anser att transparens och öppenhet för deltagare samt delning av resultat i själva genomföran- det kan minska risken för snedvridning. Vidare anser Vinnova att långsiktig finansiering kan minska risken för resursbrist. Vinnova tar även upp den decentraliserade svenska förvaltningsmodellen som en modell som kan leda till osäkerhet om vilken eller vilka myndig- heter som är behöriga att hantera frågor om regulatorisk sandlåda för viss testverksamhet.20 Sammanfattningsvis anser Vinnova att kontakt- punkten – som bör vara en myndighet – behöver ett tydligt mandat och tillräckliga resurser inom en rad områden. Därtill föreslår Vinnova att ett mindre antal berörda myndigheter knyts till kontaktpunkten i ett kansli eller en rådsfunktion.21 12.4.3 EU:s cyberresiliensförordning EU:s cyberresiliensförordning antogs i Europaparlamentet den 12 mars 2024 och syftar till att öka medlemsstaternas motstånds- kraft mot cyberattacker. Förordningen ska tillämpas från och med den 11 december 2027. Enligt artikel 33.2 får medlemsstaterna, när så är lämpligt, inrätta regulatoriska sandlådor för cyberresiliens. Sådana regulatoriska sandlådor ska tillhandahålla kontrollerade provmiljöer för innovativa produkter med digitala element för att underlätta ut- vecklingen, utformningen, valideringen och provningen av dem i syfte att uppfylla kraven i EU:s cyberresiliensförordning under en begränsad tidsperiod innan de släpps ut på marknaden. Det är inte obligatoriskt för medlemsstaterna att inrätta en re- gulatorisk sandlåda enligt EU:s cyberresiliensförordning. Det finns inte heller något uppdrag för en myndighet att inrätta någon regula- torisk sandlåda. I Sverige har regeringen gett en särskild utredare uppdraget att utreda behovet av kompletterande bestämmelser till förordningen och bl.a. lämna förslag på hur regulatoriska sandlådor 20 Axelsson, Stureborg, Dochtorowicz, Kaaman och Ahlner, Genomförande och strukturering av en kontaktpunkt för regulatoriska sandlådor för nettonollteknik – förslag för implementerings- fasen – Redovisning av ett regeringsuppdrag, dnr 2024-03522, s. 10 f. 21 Se redovisningen av regeringsuppdraget, dnr 2024-03522, s. 5. 553 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 för cyberresiliens kan inrättas i Sverige. Uppdraget ska redovisas senast den 15 december 2025.22 12.5 Förutsättningar för att inrätta regulatoriska sandlådor för AI 12.5.1 Rättsliga förutsättning för inrättandet av regulatoriska sandlådor för AI Utredningens bedömning: Det behövs viss kompletterande nationell reglering för att uppfylla samtliga organisatoriska krav för driften av den regulatoriska sandlådan, och för att syftet med de regulatoriska sandlådorna för AI ska få förväntat genomslag. Varje medlemsstat ska inrätta minst en regulatorisk sandlåda för AI. Flera aktörer bedriver för närvarande testverksamhet som uppfyller AI-förordningens definition av en regulatorisk sandlåda. Utred- ningen har haft möten med eSam, IMY, RISE, Läkemedelsverket och Digg i syfte att utreda vilka rättsliga förutsättningar som finns för inrättandet av en regulatorisk sandlåda. AI-förordningen definie- rar och reglerar arbetet i den regulatoriska sandlådan. Bestämmel- serna i AI-förordningen är direkt tillämpliga i Sverige och bestäm- melserna om sandlådornas funktionssätt kräver ingen anpassning av svensk rätt. Samtliga de projekt som utredningen har redogjort för i avsnitt 12.3 har kunnat genomföras inom ramen för tillämpliga bestämmelser i Sverige. IMY har förklarat att myndigheten i sin dataskyddssand- låda har behövt ställa krav på att aktörerna inte har påbörjat någon personuppgiftsbehandling vid inledandet av projektet för att för- hålla sig till sin roll som tillsynsmyndighet. RISE har beskrivit pro- jektet med passagerarfärjan MF Estelle, som bygger på ett AI-system som styr färjans rutt och anläggning m.m. Mot bakgrund av dessa projekt bedömer utredningen att det finns förutsättningar att in- rätta regulatoriska sandlådor även om det för vissa specifika projekt kan krävas anpassningar till svensk materiell rätt för att projekten ska kunna genomföras. Detta talar för att det i och för sig finns rätts- 22 Se dir. 2024:119. 554 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden liga förutsättningar att bedriva även regulatoriska sandlådor för AI i Sverige. Det finns alltså förutsättningar för att inrätta regulatoriska sand- lådor för AI i Sverige. För att dessa ska kunna uppfylla det syfte som AI-förordningen anger kan det dock behövas kompletteringar i svensk rätt gällande ansvaret för en myndighet eller annan aktör att inrätta och driftsätta minst en regulatorisk sandlåda för AI i Sverige. I avsnitt 12.6 redogör utredningen för förslagen i dessa delar. För att regulatoriska sandlådor för AI ska få den innovationsfrämjande effekt som är avsedd i AI-förordningen finns det även behov av att överväga nya sekretessbestämmelser i OSL. I avsnitt 12.8.1–12.8.4 redogör utredningen för förslagen i dessa delar. 12.5.2 Övriga förutsättningar för inrättandet av regulatoriska sandlådor för AI Utredningens bedömning: Det finns inget krav i AI-förord- ningen att medlemsstaterna ska tillhandahålla tekniska förutsätt- ningar. Det finns ett stort behov av tillgång till kunnig personal, så- väl inom AI som inom de specifika områden där AI-systemet är avsett att användas. Flera myndigheter behöver involveras i driften av en regula- torisk sandlåda för AI. Driften avser såväl inrättandet av en re- gulatorisk sandlåda för AI som specifika sandlådeprojekt. Det krävs samverkan mellan myndigheter som ska involveras eller på annat sätt medverka i driften av en regulatorisk sandlåda för AI. Tekniska förutsättningar Regulatoriska sandlådor för AI kan inrättas digitalt, fysiskt eller i hybridform. Varje projekt inom den regulatoriska sandlådan kan komma med olika krav på teknisk infrastruktur och tekniska för- utsättningar. I de testverksamheter som utredningen redogjort för i avsnitt 12.3 finns exempel på sandlådor som bygger på aktörernas egen infrastruktur och på myndighetens befintliga infrastruktur. För att regulatoriska sandlådor för AI ska kunna genomföra alla 555 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 tänkbara projekt kommer det att krävas en teknisk infrastruktur. Även om leverantörerna eller de potentiella leverantörerna i vissa avseenden kan bidra med sin egen tekniska miljö och bidra till genom- förandet i den regulatoriska sandlådan så bör syftet med att under- lätta för små och medelstora företag, inbegripet uppstartsföretag, beaktas. Det går inte att förutsätta att sådana aktörer kan bidra till den tekniska infrastrukturen i den utsträckning som kommer att krävas. Denna bild har också förmedlats till utredningen av repre- sentanter för näringslivet. Den grundläggande idén med regulatoriska sandlådor för AI är att tillhandahålla vägledning för aktörer att efterleva AI-förord- ningen men det finns också en uppfattning om att de regulatoriska sandlådorna för AI ska stödja utvecklingen av AI-system genom att tillhandahålla tillgång till träning, teknisk expertis, testanläggningar och infrastruktur.23 En fråga som utredningen har behövt utreda är om det finns några krav enligt AI-förordningen på en myndighet att tillhandahålla tek- niska förutsättningar inom en regulatorisk sandlåda för AI. Utred- ningen har i syfte att besvara denna fråga tagit hjälp av de seniora forskarna vid RISE, Susanne Stenberg och Håkan Burden. Bilagt till betänkandet finns forskarnas promemoria, bilaga 3. Forskarna bedömer övergripande att det inte är nödvändigt att en inrättande myndighet står för alla delar av verksamheten som bedrivs inom den regulatoriska sandlådan och att myndigheten inte behöver ha en teknisk infrastruktur för att inrätta en sandlåda. Utredningen delar forskarnas bedömningar i dessa delar. Det finns alltså enligt utredningen inte några krav på tekniska förutsätt- ningar hos en inrättande myndighet enligt artiklarna 57–59 i AI- förordningen. Denna slutsats delas även av slutrapporten från eSam (se avsnitt 12.3.3). Det kan finnas fördelar med att tillhandahålla teknisk infrastruk- tur ur ett innovationsperspektiv och tillsynsperspektiv, men det är inte en skyldighet för medlemsstaterna att tillhandahålla teknisk infrastruktur. Kommissionen har tillsammans med medlemsstaterna finansierat TEF:ar för AI som är plattformar upprättade för storska- lig testning och experimentering på både mjuk- och hårdvara inom exempelvis AI. Av skäl 139 i AI-förordningen framgår att natio- 23 N. Genicot, From Blueprint to Reality: Implementing AI Regulatory Sandboxes under the AI Act, FARI & LSTS Research Group (VUB), Brussels, 2024. 556 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden nella behöriga myndigheter, när så är lämpligt, ska samarbeta med TEF:arna. EU har öppnat upp för möjligheten att dessa TEF:ar kan bidra till genomförandet av AI-förordningen genom att ge stöd till regulatoriska sandlådor i samarbete med nationella behöriga myndig- heter.24 Utöver TEF:arna har EU även inrättat AI-fabriker runt om i Europa. I Sverige har AI-fabriken MIMER placerats i Linköping. AI-fabriken tillhandahåller infrastruktur, datakraft och kunskap att skala upp innovativa idéer till lösningar på områdena spel, autonoma system, life science och materialvetenskap.25 Linköpings universitet, NAISS (Nationell akademisk infrastruktur för superdatorer) och RISE har fått ansvar för AI-fabriken, som kombinerar en toppmodern AI-optimerad superdator med stöd för utbildning, forskning och innovation.26 Små och medelstora företag, inbegripet uppstartsföre- tag, kommer genom fabriken kunna få tillgång till dataresurser att träna och skala upp sina AI-modeller, AI-expertis, datasets, verktyg och miljöer för samarbete, workshops och vägledning för att ta inno- vativa idéer till marknaden.27 Vissa forskare har också framfört att TEF:ar redan införlivar vissa delar av vad de regulatoriska sandlåd- orna för AI syftar att göra men också att det behövs regulatorisk vägledning även när TEF:arna tillhandahåller testbäddar och test- miljöer.28 Även de nyss beskrivna möjligheterna med AI-fabriken MIMER har tydliga likheter med vad de regulatoriska sandlådorna för AI syftar att göra. Såväl AI-fabriker runt om i Europa som TEF:ar kan således komma att spela en viktig roll i hur de nationella behöriga myndigheterna inrättar regulatoriska sandlådor för AI. Det är i sammanhanget värt att notera att om en myndighet väl- jer att tillhandahålla teknisk infrastruktur för ett specifikt projekt i en sandlåda kan det kräva säkra IT-miljöer och säker infrastruktur, både för att säkerställa sekretess och eventuellt säkerhetsskydd. Ett exempel på en sådan säker infrastruktur för offentliga aktörer skulle möjligen kunna vara den AI-verkstad som Skatteverket och Försäk- 24 https://digital-strategy.ec.europa.eu/en/policies/testing-and-experimentation-facilities (hämtad 2025-04-10). 25 https://mimer-aifactory.eu/ (hämtad 2025-04-11). 26 https://www.ri.se/sv/nyheter/europeisk-ai-fabrik-till-linkopings-universitet-och-rise (hämtad 2025-04-11). 27 https://www.ri.se/en/mimer-swedens-ai-factory-powers-up-supercomputing-race-to- tomorrows-ai-solutions (hämtad 2025-04-11). 28 Shuurman, De Cock, Canter, De Meester, Willems och De Swert, Testing & Experimen- tation Facilities: Exploring the link with AI Regulatory Sandboxes, Living Labs & AI Testbeds, avsnitt 6. 557 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 ringskassan har fått i uppdrag av regeringen att utreda närmare för- utsättningar för.29 Detta beror dock på hur AI-verkstaden utvecklas. Tillgång till kunnig personal Vid utredningens kontakter med aktörer som har bedrivit testverk- samhet som liknar en regulatorisk sandlåda har det framkommit ett behov av stor tillgång till kunnig personal, framför allt med juridisk och teknisk kompetens. Forskarna bakom studien Regulatoriska sandlådor som policyinstrument, Entreprenörskapsforum, har kommit fram till samma slutsats. Varje projekt kommer också behöva specifik kunskap beträffande det projekt som är aktuellt i den regulatoriska sandlådan.30 Även annan kompetens kan tänkas vara nödvändig för att framgångsrikt bedriva projekt inom regulatoriska sandlådor för AI. Även forskarna Susanne Stenberg och Håkan Burden drar i sin promemoria som är bilagerad till betänkandet i bilaga 3 den övergri- pande slutsatsen att en myndighet först måste säkerställa att det finns anställd personal med rätt kompetens. De lärdomar som arbetsgruppen har dragit i projekten i den re- gulatoriska sandlådan inom eSam talar för att en arbetsgrupp med personal med tvärvetenskaplig bakgrund bör finnas tillgänglig på den ansvariga myndigheten. Flera myndigheter behöver involveras Något om en regulatorisk sandlåda och specifika sandlådeprojekt Enligt artikel 57.1 i AI-förordningen ska medlemsstaterna säker- ställa att deras behöriga myndigheter inrättar minst en regulatorisk sandlåda för AI på nationell nivå, som ska vara i drift senast den 2 augusti 2026. Regulatoriska sandlådor för AI som har inrättats enligt artikel 57.1 ska tillhandahålla en kontrollerad miljö som främ- jar innovation och underlättar utveckling, träning, testning och vali- dering av innovativa AI-system under en begränsad tid innan de 29 Uppdrag till Försäkringskassan och Skatteverket att utreda förutsättningarna för en AI- verkstad för den offentliga förvaltningen, Regeringsbeslut 2025-07-10, Fi2025/01523. Finansi- ering av AI-verkstaden har tagits upp i vårändringsbudgeten, prop. 2024/25:99, utg. omr. 3, 1.1. 30 Palm, Almerud, Karlsson, Rane, Regulatoriska sandlådor som policyinstrument, Entreprenör- skapsforum, oktober 2024, s. 48. 558 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden släpps ut på marknaden eller tas i bruk i enlighet med en särskild sandlådeplan som leverantörerna eller de potentiella leverantörerna och den behöriga myndigheten kommer överens om (artikel 57.5). Dessa bestämmelser tolkar utredningen på så sätt att Sverige senast den 2 augusti 2026 ska inrätta en bestående regulatorisk sandlåda för AI, eller att det då i vart fall ska finnas minst en sandlåda vid varje given tidpunkt. Därmed anser utredningen att en sådan regulatorisk sandlåda kan ses som en ram för en verksamhet som kan innehålla ett eller flera projekt. Det finns därför skäl att skilja mellan en re- gulatorisk sandlåda för AI och specifika regulatoriska sandlådepro- jekt för AI (specifikt sandlådeprojekt). Begreppet specifikt sandlåde- projekt är inte främmande för terminologin i AI-förordningen. Enligt utredningens uppfattning motsvarar även det specifika sandlåde- projektet ett ärende enligt FL. Enligt utredningen definieras ett specifikt sandlådeprojekt i bestämmelserna i artiklarna 57.5–8 och 58.4 i AI-förordningen. I artikel 57.11 finns bestämmelser om myndigheters tillsynsbehör- igheter. Där framgår att de nationella behöriga myndigheterna ska utöva sina tillsynsbefogenheter inom ramen för relevant rätt, med användning av sitt utrymme för skönsmässig bedömning när de genomför rättsliga bestämmelser för ett specifikt regulatoriskt sand- lådeprojekt för AI, i syfte att stödja innovation inom AI i unionen. Även AI-förordningen gör således till viss del en skillnad mellan en regulatorisk sandlåda för AI och ett specifikt sandlådeprojekt. Utred- ningen anser att det är nödvändigt att göra en sådan åtskillnad för att det ska finnas möjligheter att inrätta en effektiv regulatorisk sand- låda för AI. Det finns nämligen vissa uppgifter som bör åligga en myndighet beträffande den regulatoriska sandlådan för AI och andra uppgifter som lämpligen utövas av en myndighet med god kunskap om specifika områden eller sektorer inom AI-förordningen. I av- snitt 12.6 återkommer utredningen till detta. Redan nu bör dock nämnas att utredningen bedömer att en myndighet bör ansvara för själva inrättandet, men att andra myndigheter också behöver in- volveras. 559 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 Involvering av andra myndigheter I flera avseenden reglerar AI-förordningen att samverkan och in- volvering ska ske mellan myndigheter inom en regulatorisk sand- låda för AI. Enligt utredningen krävs det involvering av nationella behöriga myndigheter för att en regulatorisk sandlåda ska fylla sitt syfte. Det krävs även involvering av vissa tillsynsmyndigheter för att dessa myndigheter ska kunna utöva sina befogenheter och upp- gifter inom tillsyn. Det framgår av artikel 57.13 i AI-förordningen att de regulator- iska sandlådorna för AI ska utformas och genomföras på ett sådant sätt att de i relevanta fall underlättar gränsöverskridande samarbete mellan de nationella behöriga myndigheterna. Det finns enligt utred- ningen flera goda skäl till att nationella behöriga myndigheter, och framför allt marknadskontrollmyndigheter, bör samarbeta med den myndighet som inrättar en regulatorisk sandlåda för AI. Särskilt gäl- ler detta mot bakgrund av de förslag som utredningen har lämnat beträffande marknadskontrollen av AI-system, bestående av flera marknadskontrollmyndigheter (se kapitel 6). Ett starkt skäl till sam- arbete mellan marknadskontrollmyndigheterna är att varje område inom AI-förordningen där det ska utövas marknadskontroll över AI-system kommer att ha en myndighet som har eller kommer att få kunskap och erfarenhet av sådan marknadskontroll. Ett av syf- tena med regulatoriska sandlådor för AI är att främja innovativa projekt och att bereda AI-system ett snabbt och smidigt tillträde till den inre marknaden. För att säkerställa att sandlådorna har dessa funktioner krävs att AI-systemet efterlever AI-förordningen. Det är utredningens uppfattning att de marknadskontrollmyndigheter som utövar marknadskontroll på sina områden enligt AI-förord- ningen också är bäst lämpade att bedöma efterlevnad av AI-förord- ningen beträffande innovativa AI-system. Detta skulle också i flera avseenden medföra att den områdesspecifika kunskap inom AI-för- ordningen som krävs för ett lyckat projekt kan säkerställas. Av artikel 57.4 framgår därtill att de nationella behöriga myndig- heterna när så är lämpligt också ska samarbeta med andra relevanta myndigheter, och att de får tillåta deltagande av andra aktörer inom AI-ekosystemet. AI-förordningen ställer upp krav på att andra myndigheter under vissa förhållanden är involverade i driften av en regulatorisk sandlåda 560 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden för AI. Artikel 57.10 anger att i den mån de innovativa AI-systemen inbegriper behandling av personuppgifter eller på annat sätt faller inom tillsynsområdet för andra nationella myndigheter eller behö- riga myndigheter som tillhandahåller eller stöder åtkomst till data ska de nationella behöriga myndigheterna säkerställa att de natio- nella dataskyddsmyndigheterna och dessa andra nationella eller behöriga myndigheter är involverade i driften av den regulatoriska sandlådan för AI och i tillsynen över dessa aspekter så långt deras respektive uppgifter och befogenheter sträcker sig. Det innebär att flera myndigheter utöver den som är ansvarig för inrättandet av en regulatorisk sandlåda behöver medverka i den regulatoriska sand- lådan. Av artikeln följer att det är upp till de nationella behöriga myndigheterna att säkerställa en sådan medverkan. Att de regulatoriska sandlådorna för AI kommer att behöva in- volvera flera olika myndigheter förutsätter att dessa myndigheter samverkar. Denna samverkan skulle kunna ske med stöd av den all- männa samverkansskyldigheten enligt 8 § FL. Bestämmelsen inne- bär dock endast en generell samverkansskyldighet mellan myndig- heter, som är begränsad. En myndighet måste alltid prioritera sina egna huvuduppgifter och avgör själv om den kan avsätta resurser för att hjälpa den myndighet som begär assistans.31 Att bygga den nödvändiga samverkan på 8 § FL riskerar därför medföra att en re- gulatorisk sandlåda inte blir innovationsfrämjande. Den samordning som kan ske med stöd av 8 § FL riskerar dessutom att leda till en långsammare process inom den regulatoriska sandlådan samt till att det inte alltid finns tillräckliga incitament för andra myndigheter att medverka vid projekten. För att uppfylla AI-förordningens krav på att den eller de ansvariga myndigheterna ska säkerställa att en annan myndighet är involverad i driften av sandlådan behöver det finnas viss reglering om utökad samverkan mellan myndigheter. I avsnitt 12.6.4 finns utredningens förslag om detta. 31 Se Ahlström, Förvaltningslag (2017:900), 8 § Lexino 2024-09-01 (JUNO). 561 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 12.6 Närmare om inrättandet av minst en regulatorisk sandlåda för AI 12.6.1 Minst en regulatorisk sandlåda för AI i Sverige Utredningens bedömning: Sverige bör på egen hand inrätta minst en regulatorisk sandlåda för AI. Det bör inte i lag eller förordning preciseras om regulatoriska sandlådor ska inrättas horisontellt eller vertikalt. Inrättandet måste uppfylla de krav på regulatoriska sandlådor för AI som följer av AI-förordningen. Sverige bör inrätta och driva en regulatorisk sandlåda Riksdagen har tidigare beslutat att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.32 Regeringen har vidare tagit fram ett inriktningsdokument för AI i Sverige. I den nationella inriktningen för artificiell intelligens presenterar regeringen sin mål- sättning att Sverige ska vara ledande i att ta tillvara möjligheterna som användning av artificiell intelligens kan ge.33 Målsättningen knyter nära an till det nämnda digitaliseringsmålet och ligger även i linje med regeringens avsikt att undersöka förutsättningarna för en ökad användning av försöksverksamhet på statlig, regional och kommunal nivå för att öka effektiviteten i offentlig sektor.34 Regeringen har vidare tagit fram en ny digitaliseringsstrategi för åren 2025–2030 som syftar till att ange en tydlig inriktning för regeringens digitali- seringspolitik genom att identifiera utmaningar och ange målsätt- ningar inom ett antal strategiskt viktiga områden. I denna framgår bl.a. vidare satsningar på AI, men även att en strategi för AI ska läggas fram tidigt 2026.35 Regulatoriska sandlådor för AI är en typ av försöksverksamhet som syftar till att, under kontrollerade former, främja innovation på AI-området. Det ligger därför i linje med Sveriges digitaliser- ingsstrategi och regeringens målsättning beträffande AI att inrätta regulatoriska sandlådor för AI. Det kan även bidra till att myndighets- 32 Prop. 2011/12:1 utg. omr. 22, bet. 2011/12:TU1 och rskr. 2011/12:87. 33 Nationell inriktning för artificiell intelligens, N2018/03008, s. 5. 34 Prop. 2024/25:1, s. 31. 35 Sveriges digitaliseringsstrategi 2025–2030, Regeringskansliet Finansdepartementet, bl.a. s. 4 och 11. 562 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden anställda får möjlighet att arbeta konkret med AI med en ökad kun- skap nationellt som resultat. Genom utredningens kontakter med myndigheter som i dagsläget driver liknande testverksamheter som regulatoriska sandlådor för AI har utredningen också fått bilden av att det finns en vilja hos myndigheterna att driva dessa och att de för- sök som har gjorts har gett positiva resultat. I flera rapporter har aktörerna som medverkat i regulatorisk test- verksamhet också gett positiv respons.36 Sådan positiv respons talar för att det finns både intresse och behov av en eller flera regulatoriska sandlådor för AI i Sverige. Även AI-förordningens syfte att främja små och medelstora före- tag, inbegripet uppstartsföretag, talar för att inrätta en regulatorisk sandlåda för AI i Sverige. Detta skapar en närhet och tillgänglighet till den regulatoriska sandlådan och därmed förutsättningar för före- tagen att använda den. Finansinspektionen har i en kortrapport om myndighetens syn på regulatoriska sandlådor37 övervägt vissa utmaningar med regula- toriska sandlådor. Myndigheten har angett fyra punkter som talar mot regulatoriska sandlådor på finansområdet, vilka är • särbehandlingen av enskilda aktörer samt intressekonflikter när myndigheten kan uppfattas stå bakom eller ta ansvar för vissa innovationer, • att lagstiftaren kan ge Finansinspektionen utökat mandat att be- sluta om undantag men inte från regler och krav som fastställts på EU-nivå, • att det är oklart vilka företag som en regulatorisk sandlåda gör reell nytta för, och • att de potentiella fördelar som en nationell regulatorisk sandlåda skulle kunna medföra, kan åstadkommas mer effektivt genom myndighetens innovationscenter.38 36 Se t. ex. rapporten Trygghetsmätning i offentliga miljöer med hjälp av IoT-teknik – Slut- rapport från Integritetsskyddsmyndighetens regulatoriska sandlåda om dataskydd, dnr IMY- 2023-15495, s. 7, och rapporten Innovationscenter och regulatoriska sandlådor – Modellförslag och implementering för energimarknaderna i Sverige, dnr EI R2023:03, s. 109. 37 Kortrapport, FI:s syn på regulatoriska sandlådor, 18 juni 2024. 38 Se Finansinspektionens kortrapport, s. 6. 563 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 Dessa nackdelar kan enligt utredningens bedömning också gälla regulatoriska sandlådor för AI, med undantag för andra punkten ovan som inte är aktuell i förhållande till AI-förordningen. De be- rörda nackdelarna ska också ställas i relation till att Sveriges val står mellan att inrätta en egen regulatorisk sandlåda eller medverka i en sandlåda som någon annan medlemsstat driver. Alternativet som kan övervägas är alltså att Sverige tillsammans med någon annan medlemsstat inrättar en regulatorisk sandlåda för AI. Medlemsstaterna har kommit olika långt i sina anpassningar till AI-förordningen och de länder som utredningen har varit i kontakt med har endast övervägt att inrätta en egen regulatorisk sandlåda, bl.a. med hänsyn till att sandlådorna ska vara inrättade och i drift senast den 2 augusti 2026. Med hänsyn till att medlemsstaterna anpassar sig till förordningen i olika takt och steg samt att sandlådorna ska vara inrättade inom en relativt snar framtid anser utredningen att den mest ändamålsenliga lösningen är att Sverige inrättar minst en regulatorisk sandlåda för AI på egen hand. Fördelarna med att Sverige inrättar och ansvarar för en regula- torisk sandlåda överväger därför enligt utredningen de nackdelar som kan tänkas finnas med själva driften av en sådan regulatorisk sandlåda. En eller flera regulatoriska sandlådor Regulatoriska sandlådor för AI kan förekomma i många olika for- mer. Sandlådorna kan innehålla digitala projekt, fysiska produkter och hybridformer. Även detta ställer olika tekniska och praktiska krav på regulatoriska sandlådor för AI. AI-förordningen anger att varje medlemsstat ska inrätta minst en regulatorisk sandlåda för AI. Artikel 57 i AI-förordningen bör förstås så att det alltid ska finnas minst en regulatorisk sandlåda för AI, dvs. att det inte ska inrättas en regulatorisk sandlåda för AI en- dast för specifika projekt utan att sandlådan i stället kan innehålla ett eller flera projekt. Det finns emellertid inte någon begränsning för medlemsstaterna att inrätta flera regulatoriska sandlådor för AI. Inrättandet av en regulatorisk sandlåda för AI är således en ram för testverksamheten som är tänkt att ske inom sandlådan. 564 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden Det är oklart hur många projekt som kommer att tas in i regula- toriska sandlådor och vilka aktörer som kommer att vilja använda sig av dem. Närmare arrangemang och funktionssätt för regulator- iska sandlådor för AI ska dessutom specificeras av kommissionen i kommande genomförandetakter (artikel 58). Det är också svårt att bedöma inom vilka områden som användningen av regulatoriska sandlådor kommer att förekomma. I sammanhanget kan även note- ras att det i andra unionsrättsakter också föreslås liknande testverk- samheter, dvs. inom andra områden, som den regulatoriska sand- lådan för AI. I vissa fall kan det finnas fördelar med en samordning mellan de olika sandlådorna (se även avsnitt 12.6.13). Utredningen föreslår att minst en regulatorisk sandlåda för AI ska inrättas. Som har redovisats ovan är det bl.a. motiverat för att uppfylla kravet i AI-förordningen. Utredningen anmärker att det inte finns någon begränsning för hur många nationella behöriga myndigheter som kan inrätta regulatoriska sandlådor för AI. Horisontell eller vertikal sandlåda AI-förordningen sträcker sig över i princip alla samhällets sektorer. Regulatoriska sandlådor för AI kan inrättas såväl horisontellt över alla sektorer och områden som regleras i AI-förordningen som ver- tikalt inom en eller flera specifika sektorer eller områden. För att undvika fragmentering inom unionen ska kommissionen anta genom- förandeakter som specificerar de närmare arrangemangen för inrät- tande, utveckling, genomförande, drift och tillsyn av regulatoriska sandlådor för AI. Genomförandeakterna ska bl.a. säkerställa att regu- latoriska sandlådor för AI är öppna för alla ansökande leverantörer eller potentiella leverantörer av ett AI-system som uppfyller behör- ighets- och urvalskriterierna (artikel 58.2 a). Bestämmelsen skulle kunna tolkas som om det måste finnas minst en horisontell regula- torisk sandlåda för AI i varje medlemsstat, dvs. att sandlådan är öppen för alla sektorer och områden och leverantörer eller potentiella leve- rantörer. Utredningen har även fått uppgift om att kommissionen tycks tolka bestämmelsen så, dvs. att sandlådorna ska vara horison- tella. Det går dock inte med säkerhet att konstatera att den tolk- ningen är riktig. Det finns enligt utredningen även utrymme för en tolkning av artikel 58 som innebär att genomförandeakterna ska 565 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 säkerställa tillgång till regulatoriska sandlådor för AI för alla på unionsnivå, snarare än i varje medlemsstat. Det finns fördelar med en horisontell regulatorisk sandlåda för AI. En av dessa fördelar är att aktörer inom samhällets alla sektorer eller områden kan söka sig till en sådan regulatorisk sandlåda för AI för att få regulatorisk vägledning. Ytterligare en fördel med att ha en horisontell regulatorisk sandlåda för AI är att marknadens aktörer som intresserar sig för att söka sig till en regulatorisk sandlåda för AI kan göra det till en ansvarig myndighet oavsett inom vilket om- råde aktörens AI-system förväntas användas på. En horisontell regulatorisk sandlåda för AI kan dock även med- föra utmaningar. En utmaning är att en sådan sandlåda kan kräva inblandning av flera nationella behöriga myndigheter och andra till- synsmyndigheter beroende av vilket område som AI-systemet är avsett att användas på. Ytterligare en utmaning är att en myndighet som inrättar en horisontell sandlåda kan behöva ge vägledning be- träffande AI-system som påverkar ett område som den myndigheten har begränsad kunskap inom. Därtill ska myndigheten skriva ett in- tyg och en slutrapport om testningen inom den regulatoriska sand- lådan, vilket också kan vara utmanande utan specifik kunskap om den aktuella sektorn eller området. Vertikala sandlådor kan överbrygga några av dessa utmaningar genom att en marknadskontrollmyndighet som har kunskap om ett visst användningsområde kan bidra med expertis inom det område för vilket sandlådan har inrättats. Detta skulle kunna underlätta både projektens genomförande och det efterföljande rapportskrivandet. Det kan också falla sig naturligt för marknadens aktörer att vända sig till en områdesspecifik myndighet. Även vertikala sandlådor förväntas dock kräva samverkan mellan myndigheter, t.ex. mot bakgrund av artikel 57.10 i AI-förordningen som anger att vissa tillsynsmyndigheter ska involveras i driften i vissa fall (se vidare avsnitt 12.6.8). Att endast inrätta en eller några verti- kala sandlådor skulle också kunna begränsa aktörers möjligheter att få tillgång till regulatoriska sandlådor för AI. Utredningen föreslår en författningsreglering som gör det möj- ligt för en inrättande myndighet att välja om den vill inrätta en hori- sontell eller vertikal regulatorisk sandlåda för AI, eller både och. På så sätt kan en inrättande myndighet inrätta en regulatorisk sandlåda för AI på det sätt som krävs enligt AI-förordningen och med den 566 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden tillgänglighet som krävs enligt genomförandeakterna. Oavsett om detta sker genom inrättande av en eller flera horisontella sandlådor eller en eller flera vertikala sandlådor eller både och bör det finnas möjligheter för myndigheterna att faktiskt driva projekt inom alla om- råden som omfattas av AI-förordningen. Det kommer att kräva en detaljerad och tydlig beskrivning av olika myndigheters ansvar inom den regulatoriska sandlådan för AI (se vidare avsnitt 12.6.3–12.6.9). 12.6.2 Allmänt om inrättande och drift av regulatoriska sandlådor för AI Utredningens bedömning: Nationella behöriga myndigheter bör ha möjlighet att inrätta regulatoriska sandlådor för AI. Reger- ingen bör bestämma vilken eller vilka myndigheter som ska in- rätta en eller flera regulatoriska sandlådor för AI. Nationella behöriga myndigheter bör medverka i specifika sandlådeprojekt som berör myndigheternas respektive ansvars- område för marknadskontroll enligt AI-förordningen. Utredningens förslag: Kompletteringslagen ska innehålla be- stämmelser om – att den myndighet som regeringen bestämmer ska inrätta och organisera driften av minst en regulatorisk sandlåda för AI enligt artiklarna 57–59 (en inrättande myndighet), och – att en nationell behörig myndighet ska medverka i verksam- heten i ett sandlådeprojekt när ett projekt i en regulatorisk sandlåda för AI berör en nationell behörig myndighets ansvars- område för marknadskontroll enligt AI-förordningen. Inledning AI-förordningen anger att medlemsstaterna ska säkerställa att de behöriga myndigheterna inrättar minst en regulatorisk sandlåda för AI (artikel 57.1). Utredningens direktiv anger att utredningen ska ta ställning till vilken eller vilka myndigheter eller andra aktörer 567 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 som bör utses för att uppfylla de krav som framgår av AI-förord- ningen. Utredningen bedömer att det måste finnas möjligheter att in- rätta minst en horisontell regulatorisk sandlåda för AI i Sverige, men anser också att författningsregleringen måste ge möjligheter att inrätta områdesspecifika sandlådor. Detta medför att den re- glering som utredningen föreslår måste kunna tillämpas på flera olika myndigheter och beträffande olika typer av sandlådor. För att inrätta en horisontell regulatorisk sandlåda för AI krävs flera myndigheters inblandning, dels för att kunna ge korrekt stöd och vägledning, dels för att kunna utöva tillsyn i den regulatoriska sandlådan för AI. Det kan nämligen inte förväntas att en enda myn- dighet kan utföra dessa uppgifter beträffande alla områden som AI- förordningen omfattar och där testning av AI-system kan komma att ske. Utredningen utvecklar detta i kommande avsnitt. I detta avsnitt föreslår utredningen vissa bestämmelser som bör framgå av kompletteringslagen. Nationella behöriga myndigheter bör ha möjlighet att inrätta regulatoriska sandlådor Det är utredningens uppfattning att flera myndigheter behöver pekas ut som ansvariga för att författningsregleringen ska uppfylla AI-förordningens eventuella krav på en eller flera horisontella sand- lådor enligt artiklarna 57–59 i förordningen. Vid avvägningen av om en eller flera myndigheter ska utses som ansvariga för inrättandet av regulatoriska sandlådor för AI har utred- ningen vägt in följande aspekter. Utredningen anser att det behövs ett tydligt ansvar för en myn- dighet att inrätta minst en regulatorisk sandlåda för AI för att möj- liggöra ett inrättande den 2 augusti 2026. Även det faktum att det kan vara resurskrävande att inrätta och driva regulatoriska sand- lådor för AI talar i den riktningen. Av de lärdomar som tidigare testverksamheter har redogjort för kommer dessutom liknande frågor att behöva besvaras i varje sandlådeprojekt. Från andra lik- nande projekt har lärdomen varit att det krävs tvärvetenskaplig kompetens och kunskap om juridik och teknik i bred bemärkelse. Att sandlådorna kommer att ha en liknande uppbyggnad av resur- ser vid varje projekt talar enligt utredningen för att det kan vara en 568 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden myndighet som ansvarar för inrättandet av minst en regulatorisk sandlåda och att Sverige därmed uppfyller kravet i artikel 57.1 i AI- förordningen. Ett alternativ till denna ordning hade varit att lägga ansvaret för inrättandet av regulatoriska sandlådor för AI på flera myndigheter gemensamt. Detta skulle kunna säkerställa att det finns områdes- specifik kunskap inom den regulatoriska sandlådan för AI. Ett så- dant delat ansvar riskerar dock att bli ineffektivt, bl.a. på grund av att det tar tid för olika myndigheter att bereda frågor sinsemellan innan en gemensam riktning i sandlådan kan överenskommas. Det skulle också kunna bli svårt att avgöra vissa ansvarsfördelningsfrågor.39 Detta talar mot att samtliga behöriga myndigheter gemensamt ska inrätta minst en regulatorisk sandlåda för AI. Det finns alltså skäl att utse en myndighet som är skyldig att inrätta minst en regulatorisk sandlåda. Det finns emellertid även fördelar med att andra nationella be- höriga myndigheter ges möjlighet att inrätta regulatoriska sand- lådor för AI. Om flera myndigheter så småningom ges ansvar att inrätta en sandlåda skulle det kunna medföra att myndigheter inom specifika områden eller sektorer kan inrätta regulatoriska sandlådor för AI, vilket skulle säkerställa områdesspecifik expertis inom ramen för den regulatoriska sandlådan. Det skulle även i förekommande fall medföra möjligheter för marknadsaktörer att driva sitt innova- tiva projekt tillsammans med den myndighet som de vanligtvis har kontakt med beträffande sin produkt. Regeringen bör bestämma en myndighet som ska vara en inrättande myndighet Utredningen anser att regleringen om inrättande myndighet bör ut- formas på så sätt att den medför att samtliga nationella behöriga myndigheter kan inrätta regulatoriska sandlådor för AI. Regeringen bör dock bestämma vilka myndigheter som ska få uppgiften att in- rätta regulatoriska sandlådor för AI. Inte minst talar den omständig- heten att regeringen kan påverka sin digitaliserings- och AI-strategi genom att besluta vilka myndigheter som får mandat att inrätta regu- 39 Jfr utmaningarna med delat ansvar beträffande nationellt cybersäkerhetscenter i betänkan- det Ett nytt Nationellt cybersäkerhetscenter – Ändamålsenliga och effektiva former för ledning, organisering och styrning, Del 1, Fö2024/00785, s. 26. 569 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 latoriska sandlådor för AI för att regeringen bör bestämma vilken eller vilka myndigheter som bör vara inrättande myndigheter. Ytter- ligare ett skäl till denna ordning är att det kan säkerställa en effek- tiv användning av de kvalificerade resurser som krävs för att inrätta en regulatorisk sandlåda för AI. Genom den beredning med berörda aktörer som föregår ett regeringsbeslut kan det säkerställas att det från ett helhetsperspektiv är motiverat att inrätta sandlådan samt att de berörda myndigheterna har tillräckligt med resurser för att medverka. Med hänsyn till den involvering som krävs från olika myndig- heter i sandlådorna kan ett beslut att inrätta en regulatorisk sand- låda för AI innebära att andra myndigheters resurser behöver tas i anspråk på ett sätt som regeringen inte kan förutse. Ett särskilt exempel på en sådan utmaning är att en dataskyddsmyndighet en- ligt artikel 57.10 i AI-förordningen måste involveras i driften i den mån personuppgifter behandlas i sandlådan. Inrättande från olika myndigheter, utan regeringens översyn, kan då tänkas ta IMY:s resurser i anspråk för dataskyddsrelaterad tillsyn och i förlängningen medföra att IMY:s resurser inte är tillräcklig för att uppfylla sin skyldighet att medverka. Det skulle i sin tur kunna stå i strid med kraven i artikel 52.4 i EU:s dataskyddsförordning om att medlems- staterna ska säkerställa att myndigheterna har tillräckliga resurser. Om alla nationella behöriga myndigheter hade fått inrätta regula- toriska sandlådor för AI hade det också funnits risk för konkurrens mellan myndigheter och otydlighet i fråga om var aktörer ska vända sig med sina projekt. Dessa skäl talar för att regeringen bör bestämma den myndighet som ska inrätta regulatoriska sandlådor för AI. Det kan röra sig om en eller flera myndigheter. Av det skälet föreslår utredningen att kompletteringslagen ska innehålla en bestämmelse om att den myn- dighet som regeringen bestämmer ska inrätta och organisera driften av minst en regulatorisk sandlåda för AI (en inrättande myndighet). Nationella behöriga myndigheters medverkan i regulatoriska sandlådor för AI Sandlådeprojekt i en regulatorisk sandlåda för AI kan innehålla inno- vativa AI-system inom alla riskområden enligt AI-förordningen. Mot den bakgrunden finns det skäl att överväga vilka myndigheter som bör medverka i specifika sandlådeprojekt. 570 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden Som har redovisats ovan behöver det finnas möjligheter för att inrätta en regulatorisk sandlåda för AI på ett sådant sätt att den kan vara horisontell. Det framgår även av artikel 57.13 i AI-förordningen att de regulatoriska sandlådorna för AI ska utformas och genom- föras på ett sådant sätt att de i relevanta fall underlättar gränsöver- skridande samarbete mellan de nationella behöriga myndigheterna. Inom varje projekt i den regulatoriska sandlådan för AI kommer väg- ledning för efterlevnad av AI-förordningen att ske. Utredningen har vid överväganden om vilken myndighet som ska utöva marknads- kontroll i flera avseenden beaktat myndigheters områdesspecifika kunskap. Detta gäller beträffande unionsrättsakterna i bilaga IA, i flera punkter i bilaga III till AI-förordningen och i förhållande till artiklarna 5 och 50 i AI-förordningen. Utredningen anser att samma överväganden om områdesspecifik kunskap aktualiseras även beträf- fande regulatoriska sandlådor för AI. Den vägledning som kommer att ske i sandlådan kommer att kräva att myndigheten som ger väg- ledning har såväl kunskap om AI-system som om hur AI-systemet kan tänkas påverka det specifika användningsområdet. Ytterligare en aspekt är att den nationella behöriga myndigheten som inrättar en regulatorisk sandlåda för AI ska skriva ett intyg och en slutrapport om projektets resultat. Intyget ska sedan kunna an- vändas i förhållande till anmälda organ och marknadskontrollmyn- digheter för att snabba på ett tillträde för AI-systemet på marknaden. För att kunna skriva ett sådant intyg och en sådan slutrapport kan det behövas områdesspecifik kunskap. Under sådana förhållanden är det enligt utredningen inte lämpligt att utse endast en myndighet som ansvarig för alla projekt i den regulatoriska sandlådan för AI. I stället krävs det medverkan av andra nationella behöriga myndig- heter, närmare bestämt marknadskontrollmyndigheter som har an- svar för marknadskontroll enligt AI-förordningen. Utredningen föreslår mot denna bakgrund att en nationell behörig myndighet ska medverka i verksamheten i en regulatorisk sandlåda för AI när verksamheten i sandlådan berör myndighetens ansvarsområde för marknadskontroll av AI-system enligt AI-förordningen (i ett spe- cifikt sandlådeprojekt). Utredningen anser alltså att skyldigheten att medverka i speci- fika sandlådeprojekt bör gälla endast i den mån projektet berör marknadskontrollmyndigheternas område för marknadskontroll enligt AI-förordningen. Utredningen har begränsat antalet före- 571 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 slagna marknadskontrollmyndigheter enligt AI-förordningen (se förslagen till myndigheter i kapitel 6). Det finns därför ansvars- områden inom AI-förordningen där utredningen inte har föreslagit att en s.k. sektorsspecifik myndighet ska ansvara. Utredningen har t.ex. föreslagit att områdena i bilaga III ska delas mellan tre mark- nadskontrollmyndigheter, IMY, Finansinspektionen och PTS, trots att andra tillsynsmyndigheter utövar tillsyn inom de områdena. Det kan alltså finnas myndigheter med större områdesspecifik kunskap som inte kommer att medverka i specifika sandlådeprojekt som berör AI-system inom det området. Den vägledning som primärt ska ges i den regulatoriska sand- lådan för AI berör just AI-förordningen och mot den bakgrunden bör de myndigheter som ansvarar för marknadskontroll enligt AI- förordningen vara lämpade att ge den vägledning som krävs i sand- lådan. Ett alternativ till att skapa reglerade skyldigheter för medverkan i sandlådorna skulle kunna vara att myndigheterna får använda sig av den generella samverkansskyldigheten i 8 § FL. Det är dock ut- redningens uppfattning att den inte är tillräcklig för att möjliggöra en horisontell sandlåda. Den föreslagna regleringen gör det möjligt för den inrättande myndigheten att i praktiken bedriva sandlådeprojekt inom samtliga områden som regleras i AI-förordningen. Om regeringen bestämmer att en viss nationell behörig myndighet ska inrätta en områdesspeci- fik sandlåda gäller således bestämmelserna om den inrättande myn- dighetens uppgifter denna myndighet. Endast om myndigheten tar in sandlådeprojekt som berör en annan myndighets ansvarsområde enligt AI-förordningen behöver bestämmelserna om gemensamt ansvar och samordning tillämpas. 572 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden 12.6.3 Övergripande ansvarsfördelning Utredningens bedömning: Regeringen bör få meddela närmare bestämmelser om uppgifter beträffande regulatoriska sandlådor för AI. Ansökan till en regulatorisk sandlåda för AI bör ske till en inrättande myndighet. Det behövs inte bestämmelser beträffande övriga befogen- heter som myndigheter ska utöva inom den regulatoriska sand- lådan för AI. Utredningens förslag: Kompletteringslagen ska innehålla be- stämmelser om – att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om regulatoriska sandlådor för AI, – att ansökan att få delta i den regulatoriska sandlådan för AI ska lämnas till en inrättande myndighet. Inledning Ansvarsfördelningen mellan en inrättande myndighet och andra nationella behöriga myndigheter bör i vissa delar regleras i kom- pletteringslagen. Sådana bestämmelser föreslår utredningen i detta avsnitt (se vidare avsnitt 12.6.4–12.6.6 för ytterligare bestämmelser om ansvarsfördelningen i kompletteringsförordningen). Regeringen bör få bestämma vissa uppgifter gällande den regulatoriska sandlådan för AI En inrättande myndighet och andra medverkande nationella behö- riga myndigheter kommer att ha vissa funktioner och uppgifter i den regulatoriska sandlådan för AI och i specifika sandlådeprojekt. För att göra det praktiskt möjligt att bedriva projekten bör en ansvars- fördelning regleras i nationell rätt. Detta gäller bl.a. de uppgifter som en inrättande myndighet ska ha inom den regulatoriska sand- lådan för AI. Regeringen bör kunna meddela bestämmelser om så- dana uppgifter som kan komma att krävas för att skapa goda förut- sättningar för de regulatoriska sandlådorna för AI. Utredningen 573 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 föreslår därför att kompletteringslagen ska ha en bestämmelse som anger att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om regulatoriska sandlådor för AI. På så sätt kan regeringen meddela bestämmelser i förordning av allmän karaktär som styr ansvarsfördelningen i sandlådor samtidigt som en myndighet kan ges föreskriftsrätt beträffande andra delar av upp- draget (se vidare i avsnitt 12.6.4). Ansökan bör ges in till en inrättande myndighet En uppgift som alltid bör åligga en inrättande myndighet är att ta emot ansökningar från leverantörer om att få delta i den regulator- iska sandlådan. För att det ska vara tydligt för leverantörer till vilken myndighet ansökan ska ges in bör det framgå av kompletterings- lagen att den ska ges in till den myndighet som inrättar sandlådan. Befogenhet att avbryta testprocessen m.m. (artikel 57.11) Utredningen anser att det bör vara upp till de medverkande myndig- heterna att i samråd komma överens om ansvarsfördelningen i spe- cifika projekt beträffande vägledning och stöd. Detta även om de är gemensamt ansvariga för uppgifterna i det specifika sandlådepro- jektet. De medverkande myndigheternas uppgifter framgår av artik- larna 57.5–8 och 58.4 i AI-förordningen. Vissa delar av uppgifterna i sandlådeprojektet bör dock myndig- heterna kunna utföra var för sig. Dessa uppgifter avser primärt de befogenheter som myndigheten har i förhållande till det specifika sandlådeprojektet. Enligt artikel 57.11 ska de nationella behöriga myndigheterna ha befogenhet att tillfälligt eller permanent avbryta testprocessen eller deltagandet i sandlådan om inga verkningsfulla begränsningsåtgär- der är möjliga. Artikeln bör tolkas så att myndigheterna var för sig bör ha möjlighet att utöva befogenheterna. Utredningen anser att det är lämpligt att myndigheterna får utöva befogenheterna var för sig. Det primära skälet till detta är att en myndighet inte ska vara bunden av en annan myndighets uppfattning i frågan för att kunna utföra sina uppgifter enligt AI-förordningen. Det skulle ju kunna inträffa omständigheter som gör att en inrättande myndighet be- 574 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden dömer att det finns brister av generell karaktär beträffande ett visst sandlådeprojekt som kräver ett ingripande. Det skulle också kunna inträffa omständigheter som berör ett visst användningsområde och som kräver ett ingripande från den myndighet som är marknads- kontrollansvarig för det området. Ett alternativ hade varit att ge befogenheten endast till en inrät- tande myndighet. Enligt utredningen hade detta dock inte säkerställt att ett sandlådeprojekt genomförs i enlighet med AI-förordningen oaktat inom vilket användningsområde som projektet testas på. Uppgiften att informera AI-byrån om beslut att avbryta test- ningen bör emellertid åligga en inrättande myndighet som har in- syn i projektet, vilket följer av det övergripande ansvaret för den regulatoriska sandlådan för AI. Det är utredningens uppfattning att befogenheten följer direkt av artikel 57.11 i AI-förordningen. Utred- ningen bedömer därför att det inte krävas någon svensk reglering om detta. Befogenheter enligt artikel 76.2 i AI-förordningen Av artikel 76.2 i AI-förordningen följer att om testning under verk- liga förhållanden utförs för AI-system som står under tillsyn inom ramen för en regulatorisk sandlåda för AI enligt artikel 58, ska mark- nadskontrollmyndigheterna kontrollera efterlevnaden av artikel 60 som en del av sin tillsynsroll för den regulatoriska sandlådan för AI. Dessa myndigheter får, beroende på vad som är lämpligt, tillåta att testning under verkliga förhållanden utförs av leverantören eller den potentiella leverantören med avvikelse från de villkor som anges i artikel 60.4 f och g. Denna efterlevnadskontroll och möjlighet till avvikelse från artikel 60 är tydlig och ska utövas redan med stöd av AI-förordningen. Utredningen bedömer därför att det inte krävs någon svensk reglering med anledning av artikel 76.2. 575 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 12.6.4 En inrättande myndighets övergripande ansvar Utredningens bedömning: En inrättande myndighet bör ha ett visst övergripande ansvar för den regulatoriska sandlådan för AI. En inrättande myndighet bör ha ansvar för genomförandet av ett specifikt sandlådeprojekt på sätt som avses i artiklarna 57.5–8 och 58.4. Därutöver bör den myndigheten även ansvara för upp- gifter som avses i artiklarna 57.4 och 57.9–11 och 57.15 i AI-för- ordningen. En inrättande myndighet bör medverka i någon mån i varje specifikt sandlådeprojekt, beroende på behovet av regulatorisk vägledning från den myndigheten i varje enskilt ärende. Utredningens förslag: Kompletteringsförordningen ska inne- hålla bestämmelser som anger – att en inrättande myndighet ska organisera och leda verksam- heten som bedrivs i en regulatorisk sandlåda för AI, – att myndigheten ska inhämta synpunkter och uppgifter från andra nationella behöriga myndigheter vars ansvarsområde för marknadskontroll enligt AI-förordningen kan komma att omfattas av sandlådeprojektet om myndighetens möjlighet att medverka i ett specifikt sandlådeprojekt, – att en inrättande myndighet ska ansvara för genomförande av de uppgifter som avses i artiklarna 57.4–11, 57.15 och 58.4 i AI-förordningen, och – att en inrättande myndighet ska ge prioriterad tillgång till en regulatorisk sandlåda för AI enligt artikel 62.1 a i AI-förord- ningen. Ansvar för organisering och viss administration En inrättande myndighet bör enligt utredningen ha ett visst över- gripande ansvar för den regulatoriska sandlådans organisering och administration. Ansvaret omfattar bl.a. att möjliggöra så att den re- gulatoriska sandlådan för AI ska kunna användas av aktörer på mark- naden. Myndigheten bör därför vara ansvarig för att nå ut med in- 576 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden formation till marknadens aktörer om den regulatoriska sandlådan för AI, sandlådans omfattning, urvals- och behörighetskriterier samt urvals- och ansökningsprocess. Det bör även åligga den inrättande myndigheten att upprätta en ansökningsprocess som möter de krav som följer av AI-förordningen och som kan komma att påverkas av de genomförandeakter som kommissionen ska anta enligt artikel 58 i AI-förordningen. Utöver detta bör det som redovisats ovan även åligga en inrättande myndighet att hantera de ansökningar som görs och göra ett urval av de projekt som är intressanta att ta in i sand- lådan (se avsnitt 12.6.3). Utredningen kan inte uttala sig närmare om hur den inrättande myndigheten ska genomföra inrättande, utveckling, genomförande, drift och tillsyn av en regulatorisk sandlåda för AI. Det bör lämpligen överlämnas åt de inrättande myndigheterna att besluta om. Inrättan- det måste dock ske på det sätt som närmare kommer att preciseras i genomförandeakterna och på så sätt att förutsättningarna i AI-för- ordningen är uppfyllda. Samma krav gäller för alla nationella behöriga myndigheter som regeringen bestämmer ska vara inrättande myn- digheter. Ansvaret för organisering och viss administration bör betyda att en inrättande myndighet ska ha personal och andra nödvändiga re- surser i den regulatoriska sandlådan för AI. Detta bör gälla både i den utsträckning som krävs för att myndigheten ska kunna hålla organisationen och administrationen ordnad och effektiv och i den mån det krävs för att kunna medverka i specifika sandlådeprojekt. Ansvar för att initialt involvera andra myndigheter Utredningen föreslår att en inrättande myndighet ska få ett över- gripande ansvar för en regulatorisk sandlåda för AI och för speci- fika sandlådeprojekt. Därutöver ska samtliga nationella behöriga myndigheter utefter sina respektive ansvarsområden för marknads- kontroll enligt AI-förordningen medverka i specifika sandlådeprojekt. Det kan även bli aktuellt att involvera andra än nationella behöriga myndigheter, i form av vissa myndigheter som avses i artikel 57.10 i AI-förordningen. I avsnitt 12.6.8 berör utredningen sådan invol- vering. 577 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 Det bör åligga en inrättande myndighet att skapa förutsättningar för andra myndigheter att medverka i den regulatoriska sandlådan för AI. Det är en inrättande myndighet som har överblick över vilka projekt som kommer in och som har bäst förutsättningar att kunna förutse ett specifikt projekts behov av andra myndigheters medverkan. På det sättet säkerställs även att en aktör som ansöker till sandlådan endast behöver ansöka till en myndighet och därefter få en inrättande myndighets hjälp att bedöma vilka områden som kan komma att beröras. Detta går väl i linje med sandlådans innova- tionsfrämjande syfte och främjandet av innovation inom små- och medelstora företag. Efter det att en inrättande myndighet har gjort ett urval av sand- lådeprojekt bör det alltså åligga den inrättande myndigheten att in- hämta andra berörda nationella behöriga myndigheters synpunkter på projekten och myndigheternas möjligheter att medverka i det specifika sandlådeprojektet. Utredningen anser därför att en inrättande myndighet bör in- hämta andra nationella behöriga myndigheters synpunkter och uppgift om möjlighet att medverka i ett specifikt sandlådeprojekt och att kompletteringsförordningen bör innehålla en bestämmelse om detta. Av artikel 58.2 a följer att kommissionen ska anta genomförande- akter som säkerställer att nationella behöriga myndigheter ska infor- mera sökande om sitt beslut inom tre månader efter ansökan. Ett initialt involverande av en annan berörd myndighet bör därför ske skyndsamt för att inte fördröja godkännandeprocessen till den re- gulatoriska sandlådan för AI. Enligt utredningen krävs inga särskilda bestämmelser om tidsfrister för att involvera en annan myndighet. En inrättande myndighet kan ange en tidsfrist till en annan myndig- het att svara på en remiss, men måste förhålla sig till regleringen i AI-förordningen och eventuella krav på hur lång godkännandepro- cessen får vara. 578 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden Ansvar för uppgifterna i specifika sandlådeprojekt (artiklarna 57.5–8 och 58.4) Ansvar för uppgifterna i specifika sandlådeprojekt regleras enligt utredningen i artiklarna 57.5–8 och 58.4 i AI-förordningen. I artikel 57 regleras flera uppgifter som ska utföras vid inrät- tande och drift av regulatoriska sandlådor för AI. Artikel 57.5–8 reglerar, enligt utredningens bedömning, uppgif- ter som avser hantering och genomförande av specifika sandlåde- projekt. Dessa uppgifter bör en inrättande myndighet ansvara för, i den mån det behövs för det specifika projektet. Det bör också gälla beträffande alla sandlådeprojekt. Inom specifika sandlådeprojekt kan det förekomma leverantörer eller potentiella leverantörer som själva har stor kunskap om AI-systemet som de vill testa och om AI-förordningen. Detta kan påverka myndighetens medverkan i fråga om att tillhandahålla en kontrollerad miljö som främjar inno- vation och underlättar utveckling, träning, testning och validering av AI-systemet samt det vägledningsstöd som myndigheten ska ge enligt artikel 57.5 och 6 i AI förordningen. Den inrättande myndig- hetens utförande av uppgifterna kan också påverkas av om någon annan nationell behörig myndighet medverkar i sandlådeprojektet. Utredningen har föreslagit att IMY, PTS och Finansinspektionen får ett förhållandevis omfattande ansvar enligt AI-förordningen. Därmed kan dessa myndigheter även tänkas kunna ge närmare väg- ledning, tillsyn och stöd inom AI-förordningens tillämpningsområde i stort än vad en annan marknadskontrollmyndighet med ansvar för rättsakterna som förtecknas i bilaga IA kan tänkas ha möjlighet till. Det ska dock påtalas att myndigheterna som ska medverka tillsam- mans med den inrättande myndigheten framför allt ska medverka med hänsyn till den specifika kunskap som myndigheten besitter beträffande sitt ansvarsområde för AI-system. En inrättande myndighet bör också ha huvudansvaret enligt arti- kel 57.7 andra stycket, dvs. att tillhandahålla ett skriftligt bevis på den verksamhet som framgångsrikt utförts i sandlådan samt en slutrap- port med uppgifter om den verksamhet som bedrivs i sandlådan och tillhörande resultat och lärdomar. Av artikel 57.8 följer att AI-styrelsen (se avsnitt 13.2.2) under vissa förhållanden ska få göra en slutrapport allmänt tillgänglig. Detta förutsätter dock bl.a. nationella behöriga myndighetens samtycke. 579 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 Utredningen anser att denna uppgift ligger så pass nära själva verk- samheten att den utgör en del av att driva ett sandlådeprojekt, vilket innebär att myndigheten måste ansvara för att ge sitt samtycke till att slutrapporten görs allmänt tillgänglig. Testning av AI-system kan även ske under verkliga förhållanden såväl utom som inom regulatoriska sandlådor för AI. I detta sam- manhang berör utredningen endast förfarandet med testning under verkliga förhållanden som sker inom ramen för den regulatoriska sandlådan för AI. Enligt artikel 57.5 får en regulatorisk sandlåda för AI omfatta testning under verkliga förhållanden under tillsyn i sand- lådorna. När nationella behöriga myndigheter överväger att god- känna sådan testning under verkliga förhållanden som står under tillsyn ska de särskilt komma överens med deltagarna i projektet om villkoren för sådan testning och i synnerhet om lämpliga garantier, i syfte att skydda grundläggande rättigheter, hälsa och säkerhet. Det åligger alltså den myndighet som inrättar en regulatorisk sandlåda för AI att såväl godkänna som att utöva vägledning, tillsyn och stöd, även över testningen under verkliga förhållanden (se artiklarna 57.6, 58.4 och 76.2). En inrättande myndighet bör ansvara för tillvägagångssättet som reglerar testning under verkliga förhållanden inom den regulatoriska sandlådan för AI i artikel 58.4, dvs. att särskilt komma överens med deltagarna om villkoren för sådan testning och i synnerhet om lämp- liga garantier, i syfte att skydda grundläggande rättigheter, hälsa och säkerhet. Ansvar för övriga delar av artikel 57 En inrättande myndighet bör enligt utredningen ansvara även för de delar som inte berör specifika sandlådeprojekt. Artikel 57.1–3 avser bestämmelser av mer formell karaktär, och innehåller inte några uppgifter som kommer att åligga en myndighet. I artikel 57.4 sista meningen framgår att när så är lämpligt ska de nationella behöriga myndigheterna samarbeta med andra relevanta myndigheter, och de får tillåta deltagande av andra aktörer inom AI-ekosystemet och att medlemsstaterna ska säkerställa lämpligt samarbete mellan myndig- heter som utövar tillsyn över andra sandlådor än regulatoriska sand- lådor för AI. Denna samverkan bör mot bakgrund av att det ska ske 580 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden ”när så är lämpligt” vara möjlig att genomföra med hjälp av den gene- rella samverkansskyldigheten i 8 § FL. Artikel 57.9 anger att inrättandet ska syfta till att bidra till olika mål. Målen rör bl.a. att förbättra rättssäkerheten, stödja utbyte av bästa praxis, främja innovation, bidra till evidensbaserat regulator- iskt lärande och underlätta och påskynda marknadstillträde. Rikt- linjerna ligger nära verksamheten som kommer att utövas i speci- fika sandlådeprojekt, men avser även mer generella riktlinjer. Enligt utredningen bör en inrättande myndighet – såsom övergripande an- svarig för den regulatoriska sandlådan – se till att den regulatoriska sandlådan bidrar till målen. Med hänsyn till den roll med insyn i hela processen som den in- rättande myndigheten har i den regulatoriska sandlådan för AI bör även ansvaret för att säkerställa att de tillsynsmyndigheter som av- ses i artikel 57.10 i förekommande fall är involverade i driften av den regulatoriska sandlådan för AI. Detta bör ske i specifika sandlåde- projekt som berör de områden som tillsynsmyndigheterna ansvarar för (se vidare i avsnitt 12.6.8). I artikel 57.11 regleras vissa tillsynsbefogenheter inom den regu- latoriska sandlådan för AI. Dessa bör tillkomma en inrättande myn- dighet eftersom myndigheten alltid medverkar i specifika projekt. Tillsynsbefogenheterna följer direkt av AI-förordningen. Det fram- går också av artikel 57.11 att myndigheterna ska informera AI-byrån om ett beslut att avbryta testningen enligt artikeln. En inrättande myndighet har insyn i samtliga sandlådeprojekt. Det bör därför åligga den myndigheten att informera AI-byrån om beslutet. Enligt artikel 57.12 följer vissa förhållningsregler för leverantörer och myndigheter, men ingen uppgift som enligt utredningen bör ligga på en specifik myndighet. De nationella behöriga myndigheterna ska informera AI-byrån och styrelsen om inrättandet av en sandlåda och får begära stöd och vägledning av dem (artikel 57.15). Detta är en uppgift som har med specifika regulatoriska sandlådor för AI att göra, dels information, dels att begära stöd och vägledning av dem. Eftersom informations- skyldigheten är förknippad med inrättandet så bör det vara en inrätt- ande myndighet som informerar och i förekommande fall begär väg- ledning. Genom utredningens förslag är det bara en myndighet som inledningsvis kommer att vara en inrättande myndighet, men ansvaret 581 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 enligt artikel 57.15 bör gälla för alla myndigheter som inrättar en sandlåda. Ett alternativ till denna lösning är att en samordnande myndighet ansvarar för informationen. Detta skulle dock kräva någon form av samverkan mellan den inrättande myndigheten och den samordnande myndigheten för att den sistnämnda skulle kunna utföra sin upp- gift. En sådan ordning riskerar att leda till en onödig samverkan. Artiklarna 57.13,14 och 16 berör vissa uppgifter som kan samman- fattas som samordningsuppgifter. Dessa uppgifter kan lämpligen åvila en samordnande myndighet, i stället för att varje inrättande myndig- het (för det fall det blir flera) ska ha en sådan uppgift. Vidare överväg- anden om detta finns i avsnitt 12.6.10. Prioriterad tillgång till regulatorisk sandlåda för AI Enligt artikel 62.1 a i AI-förordningen ska medlemsstaterna vidta åtgärder för att ge små och medelstora företag, inbegripet uppstarts- företag, som har ett säte eller en filial i unionen prioriterad tillgång till de regulatoriska sandlådorna för AI, i den mån de uppfyller be- hörighetskraven och de urvalskriterier som ställs upp. Att små och medelstora företag, inbegripet uppstartsföretag ska ges prioriterad tillgång framgår direkt av AI-förordningen.40 För att ansvarsfördel- ningen ska bli tydlig i regulatoriska sandlådor för AI är det utred- ningens uppfattning att uppgiften enligt artikel 62.1 a tilldelas en viss myndighet. Utredningen anser att det bör åligga en inrättande myndighet att vidta dessa åtgärder. På så sätt kan myndigheten ha en effektiv och tydlig urvalsprocess och faktiskt prioritera de före- tag som ska prioriteras. Eftersom det uttryckligen anges i artikel 62.1 a att det är upp till medlemsstaterna att vidta åtgärder för att ge prioriterad tillgång i vissa avseenden är det utredningens uppfattning att en inrättande myndig- het bör ges denna uppgift. Att en inrättande myndighet har denna uppgift bör framgå av kompletteringsförordningen. 40 Övriga uppgifter enligt artikel 62.1 b–d redogör utredningen för i avsnitt 9.5.4. 582 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden 12.6.5 Andra nationella behöriga myndigheters ansvar i sandlådeprojekt Utredningens förslag: Kompletteringsförordningen ska inne- hålla bestämmelser om – att en nationell behörig myndighet ska medverka i en regula- torisk sandlåda för AI beträffande ett specifikt sandlådepro- jekt, i den mån sandlådeprojektet omfattar utveckling, träning, testning och validering av ett innovativt AI-system som kan komma att omfattas av myndighetens ansvarsområde för mark- nadskontroll enligt AI-förordningen, och – att om ett specifikt sandlådeprojekt omfattar utveckling, trä- ning, testning och validering av ett innovativt AI-system som kan komma att omfattas av en annan nationell behörig myn- dighets ansvarsområde för marknadskontroll enligt AI-för- ordningen ansvarar den inrättande myndigheten och den andra myndigheten gemensamt för uppgifterna som avses i artik- larna 57.5–8 och 58.4 i AI-förordningen. Ansvar för specifika sandlådeprojekt Utredningen har föreslagit ett system för marknadskontroll som består av elva marknadskontrollmyndigheter som ska utöva mark- nadskontroll över olika användningsområden inom AI-förordningen (se artiklarna 4, 5 och 50 samt bilaga IA och III i AI-förordningen, se även avsnitt 6.5–6.9). Inom de regulatoriska sandlådorna för AI ska myndigheterna tillhandahålla vägledning, tillsyn och stöd inom den regulatoriska sandlådan för AI i syfte att identifiera risker, sär- skilt när det gäller grundläggande rättigheter, hälsa och säkerhet, test- ning, riskreducerande åtgärder och deras effektivitet i förhållande till skyldigheterna och kraven i AI-förordningen samt, i förekom- mande fall, annan unionsrätt och nationell rätt som är föremål för tillsyn inom sandlådan. Enligt utredningen bör det främst vara kun- skap om reglerna för AI-system med hög risk som är relevant i en regulatorisk sandlådan för AI. För att möjliggöra inrättandet av en horisontell regulatorisk sand- låda för AI som också har förutsättningar att fungera i praktiken an- 583 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 ser utredningen att andra marknadskontrollmyndigheter än den inrättande myndigheten behöver involveras. Flera av de uppgifter som ska utföras i sandlådan kan utföras av en inrättande myndig- het, men de specifika sandlådeprojekten kräver enligt utredningen specifik kunskap om AI-förordningens användningsområden. Det gäller särskilt vägledning, tillsyn och stöd, men även upprättandet av skriftligt bevis och slutrapport enligt artikel 57.7 i AI-förordningen. Det skriftliga beviset och slutrapporten får nämligen användas för att visa att leverantörer eller potentiella leverantörer uppfyller kra- ven i AI-förordningen genom förfarandet för bedömning av överens- stämmelse eller relevant marknadskontroll. Därmed bör den mark- nadskontrollmyndighet som är närmast berörd av sandlådeprojektet också medverka vid upprättandet av dessa dokument. Detsamma gäller befogenheten att lämna samtycke till AI-styrelsen att göra slutrapporten allmänt tillgänglig enligt artikel 57.8. Enligt utredningen bör ansvaret för nationella behöriga myndig- heter att medverka i en regulatorisk sandlåda för AI begränsas till medverkan i specifika sandlådeprojekt. Det går inte att förutse inom vilka områden som de regulatoriska sandlådorna för AI kommer att användas flitigast. Av det skälet är det alltför långtgående att reglera en skyldighet för alla nationella behöriga myndigheter att gemensamt inrätta minst en regulatorisk sandlåda för AI och därefter reglera samordningen av specifika projekt. Detta skulle nämligen kräva att alla nationella behöriga myndigheter skulle behöva avsätta resurser till någon form av arbete i en regulatorisk sandlåda för AI. Genom att endast ha en skyldighet att medverka i specifika sandlådeprojekt som berör myndighetens ansvarsområde för marknadskontroll be- gränsas ansvaret på så sätt att en myndighet endast behöver avsätta resurser om det visar sig att specifika sandlådeprojekt kommer att utföras inom det område som myndigheten ansvarar för att utöva marknadskontroll. Inom vilka områden som en regulatorisk sand- låda för AI kan komma att användas kan skifta på grund av exempel- vis intresse, utveckling, kunskap inom området och prioriteringar m.m., vilket gör att utredningen anser att samtliga nationella be- höriga myndigheter ska ha samma skyldighet att medverka i speci- fika projekt när projektet berör aktuell myndighets ansvarsområde för marknadskontroll. Specifika sandlådeprojekt kan innehålla innovativa AI-system på alla risknivåer enligt AI-förordningen. Det är dock troligen det kom- 584 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden plexa regelverket kring högrisksystem som framför allt kräver den regulatoriska vägledningen. Det kan dock förekomma att ett inno- vativt AI-system omfattar områden som angränsar till det förbjudna området, där en myndighet med ansvar för det området bör med- verka i ett specifikt sandlådeprojekt. Det kan även finnas projekt där AI-systemet initialt bedöms utgöra ett högrisksystem men där projektet sedermera visar sig innefatta ett system som inte är av hög risk. I dessa fall kommer medverkan från andra myndigheter ske eftersom systemet då har kunnat komma att omfattas av myndig- hetens ansvarsområde. Att medverkan sker endast i specifika sandlådeprojekt medför att ansvaret för uppgifter kan begränsas till de artiklar som avser själva projektet i AI-förordningen, dvs. artiklarna 57.5–8 och 58.4 i AI-förordningen (jfr avsnitt 12.6.4). I dessa avseenden bör den inrättande myndigheten och den medverkande myndigheten an- svara gemensamt för uppgifterna i projektet. Ansvar att agera på inrättande myndighets underrättelse Utredningen föreslår att en inrättande myndighet ska inhämta syn- punkter från andra nationella behöriga myndigheter och uppgift om myndighetens möjlighet att medverka i ett specifikt sandlådeprojekt (se avsnitt 12.6.4) Denna skyldighet bör innebära att myndigheten dels ska utreda om AI-systemet kan komma att omfattas av myndig- hetens marknadskontrollområde, dels ska utreda om myndigheten har faktiska möjligheter att medverka i det specifika projektet. En reglerad skyldighet för andra nationella behöriga myndigheter att medverka i specifika sandlådeprojekt medför att myndigheterna behöver beräkna utgifter för dessa uppgifter och ta upp detta i sina budgetunderlag. Myndigheterna kommer att behöva resurser för att kunna fullgöra denna skyldighet. Resurserna för detta kommer dock att behöva fördelas mellan myndigheter och skyldigheten att medverka i specifika sandlådeprojekt kan därmed enligt utredningen inte börja gälla förrän myndigheten har fått möjlighet att ta ställ- ning till projektet och bedömt om den har möjlighet att medverka. Det är således inte en inrättande myndighet som själv ska bestämma vilka projekt som slutligen tas in i sandlådan, utan det måste ske i samråd med medverkande myndigheter. Detta ligger även i linje med 585 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 att det ska upprättas en sandlådeplan som innebär en överenskom- melse mellan myndigheterna och deltagarna i sandlådan. Det finns visserligen en risk för att myndigheterna kan göra olika tolkningar av sin skyldighet att bidra, men denna bör minska med antagandet av genomförandeakter och gemensam planering. Sådan planering skulle också ge myndigheterna bättre förutsättningar att prioritera internt. Utredningens förslag bygger på att en inrättande myndighet underrättar andra nationella behöriga myndigheter om specifika sandlådeprojekt. Genom att nationella behöriga myndigheter får ett ansvar för specifika sandlådeprojekt inom regulatoriska sand- lådor för AI följer särskilt att myndigheterna ska agera på en inrät- tande myndighets underrättelse. Detta bör ske skyndsamt för att inte riskera att fördröja godkännandeprocessen. Det är dock den inrättande myndigheten som ytterst har ansvaret för att tidsfristen hålls eftersom det är en inrättande myndighet som har att förhålla sig till organisationen i den regulatoriska sandlådan. Skyldigheten för myndigheter att medverka i en regulatorisk sandlåda för AI träder in i förhållande till ett specifikt sandlådepro- jekt. En annan ordning skulle innebära att en inrättande myndighet skulle kunna besluta om andra myndigheters verksamhet. Alterna- tivt, om alla nationella behöriga myndigheter skulle inrätta en regu- latorisk sandlåda tillsammans, skulle alla dessa myndigheter behöva anslag och andra resurser för att fullgöra sina uppgifter. För att nå den innovationsfrämjande effekten och syftet med att ha en hori- sontell sandlåda behöver därför myndigheter som får anslag för att medverka i regulatoriska sandlådor för AI också göra detta. Utred- ningen anser dock att det inte är lämpligt att reglera en mer långt- gående skyldighet än medverkan i specifika projekt. Utredningen förutsätter att myndigheterna fokuserar på AI-utvecklingen och därmed vill bidra i dessa projekt. Regeringen avser dessutom att ta fram en AI-strategi under 2026, vilket talar för att det finns en ambi- tion att arbeta med AI-utveckling. Regeringen kan även i reglerings- brev för myndigheterna styra deras deltagande i regulatoriska sand- lådor för AI. 586 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden 12.6.6 Gemensamt ansvar för antagande av specifika sandlådeprojekt Utredningens förslag: Kompletteringsförordningen ska innehålla en bestämmelse om att en inrättande myndighet och en nationell behörig myndighet vars ansvarsområde för marknadskontroll enligt AI-förordningen omfattas, i samråd med varandra ska god- känna specifika sandlådeprojekt och medverka vid upprättandet av en sandlådeplan i en regulatorisk sandlåda för AI. Antagandet av specifika sandlådeprojekt bör enligt utredningen ske i samråd mellan myndigheterna, såväl vad gäller godkännandet av ansökan som upprättandet av sandlådeplan. Enligt definitionen av sandlådeplan följer att det är ett dokument om vilket den deltagande leverantören och den behöriga myndigheten har kommit överens och som beskriver målen, villkoren, tidsplanen, metoden och kra- ven för den verksamhet som ska bedrivas i sandlådan (artikel 3.54 i AI-förordningen). Det är sandlådeplanen som styr verksamheten i sandlådan. Sandlådeplanen ska vara överenskommen mellan behörig myndighet och deltagarna i sandlådan, vilket enligt utredningen talar för att de medverkande myndigheterna måste vara överens. Om en behörig myndighet inte har resurser att utföra det arbete som krävs i det specifika sandlådeprojektet kan en inrättande myn- dighet och en leverantör eller potentiell leverantör komma överens om att begränsa och avgränsa i vilken utsträckning regulatorisk väg- ledning och stöd ska ges beträffande det aktuella AI-systemet. Sand- lådeplanen kan således avgränsas till en fråga som en inrättande myn- dighet har kunskap om och där den kan ge regulatorisk vägledning. 12.6.7 Alternativ som utredningen har övervägt för inrättandet Utredningen har ovan (avsnitt 12.6.2–12.6.6) föreslagit en struktur för att möjliggöra en horisontell regulatorisk sandlåda för AI med en inrättande myndighet och skyldighet för vissa andra nationella behöriga myndigheter att medverka. I detta avsnitt redogör utred- ningen för alternativ som utredningen har övervägt i stället för den föreslagna strukturen. 587 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 Ett alternativ hade varit att endast en myndighet utses som an- svarig för att inrätta en regulatorisk sandlåda för AI, utan någon skyldighet för andra nationella behöriga myndigheter att medverka. Enligt utredningen är det dock inte möjligt för en enda myndighet att ge den vägledning och det stöd som krävs för alla olika områden som AI-systemet kan användas inom. Genom att endast ge ansvaret till en myndighet skulle man alltså riskera att ha en områdesspecifik sandlåda på så sätt att endast sandlådeprojekt som den inrättande myndigheten är bekväm med får plats i sandlådan. Som utredningen har redogjort för ovan är det dock inte helt klart att det är ett krav enligt AI-förordningen att varje medlemsstat ska ha en horisontell sandlåda, även om mycket tyder på det. Närmare riktlinjer om detta kan komma i genomförandeakter från kommissionen. Om dessa tydliggör att det inte är ett krav att inrätta en horisontell sandlåda är det utredningens uppfattning att en enklare struktur för inrättan- det och driften av sandlådan hade varit möjlig. En sådan struktur skulle kunna bygga på att ge ansvaret för inrättandet av minst en regulatorisk sandlåda för AI till en myndighet, men att regeringen kan bestämma att ytterligare myndigheter ska få ansvar att inrätta regulatoriska sandlådor på sina sektorer eller områden. En sådan lösning skulle minska regelbördan när det gäller ansvarsfördelning mellan behöriga myndigheter inom den regulatoriska sandlådan för AI eftersom den inrättande myndigheten endast skulle verka inom sitt ansvarsområde för marknadskontroll, alternativt endast driva projekt där det finns intresse från andra myndigheter att medverka. En sådan reglering skulle kunna utformas med en bestämmelse i kompletteringslagen som anger att nationella behöriga myndigheter får inrätta regulatoriska sandlådor för AI enligt artiklarna 57–59 i AI-förordningen samt att den myndighet som regeringen bestäm- mer ska inrätta minst en regulatorisk sandlåda för AI enligt artik- larna 57–59 i AI-förordningen. Valet av myndighet för ansvaret hade i så fall kunnat ske genom kompletteringsförordningen. Ett annat alternativ hade varit att en horisontell regulatorisk sand- låda för AI inrättas genom att alla nationella behöriga myndigheter gemensamt får ansvar att inrätta minst en regulatorisk sandlåda för AI. Som har konstaterats i avsnitt 12.6.2 skulle ett sådant förslag dock innebära att samtliga myndigheter också måste agera i någon utsträckning, vilket som utgångspunkt inte bör krävas enligt utred- ningens förslag. 588 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden Utredningen har som ett ytterligare alternativ övervägt en ord- ning som innebär att en myndighet är ansvarig för inrättandet av en sandlåda och får befogenhet att beslut att andra myndigheter ska med- verka. Förvaltningsmyndigheter är dock självständiga. Av 12 kap. 2 § regeringsformen framgår att ingen myndighet, inte heller riksdagen eller en kommuns beslutande organ, får bestämma hur en förvalt- ningsmyndighet i ett särskilt fall ska besluta i ett ärende som rör myndighetsutövning mot en enskild eller mot en kommun eller som rör tillämpningen av lag. Utanför bestämmelsens tillämpningsområde kan regeringen dock styra sina myndigheter som regeringen själv finner önskvärt och lämpligt i varje särskild situation. AI-förordningen reglerar inte någon möjlighet för en inrättande myndighet att besluta att en annan myndighet ska vidta åtgärder. Det är enligt utredningen även tveksamt om det skulle vara förenligt med 12 kap. 2 § regeringsformen. Lagrådet har gjort ett uttalande i en liknande fråga vid sin granskning av lagrådsremissen den 19 febru- ari 1998, Statlig ålderspensionsavgift m.m. I lagrådsremissen hade regeringen föreslagit en bestämmelse som innebar att Finansinspek- tionen skulle kunna ålägga Premiepensionsmyndigheten att vidta rättelse.41 Lagrådet konstaterade i sitt yttrande att dåvarande 11 kap. 7 § regeringsformen (numera 12 kap. 2 §) förhindrade Finansinspek- tionen att föreskriva hur Premiepensionsmyndigheten i ett särskilt fall ska besluta i ett ärende som rör tillämpning av lag. I proposi- tionen delade regeringen Lagrådets bedömning och bestämmelsen infördes inte.42 Exempel på där myndigheter får ansvar att medverka på grund av en annan myndighet finns dock bl.a. i 6 kap. 32 § tullbefogenhets- lagen (2024:710) där det framgår att polis och kustbevakning ska medverka i tullverkets kontrollverksamhet. Möjligen hade regeringen kunnat styra myndigheterna på ett lik- nande sätt i förhållande till regulatoriska sandlådor för AI. Enligt utredningen framstår det dock som tveksamt att detta skulle vara förenligt med myndigheternas självbestämmande. Något sådant för- slag lämnar utredningen därför inte. 41 Den föreslagna bestämmelsen var 11 kap. 9 § i förslag till lag om inkomstgrundad ålders- pension. 42 Prop 1997/98:151, s. 812, Lagrådets yttrande, se samma prop., s. 1016. 589 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 12.6.8 Fördjupad samverkan med myndigheter som avses i artikel 57.10 Utredningens bedömning: Det behövs en särskild reglering för sådan samverkan mellan en inrättande myndighet och vissa andra myndigheter som avses i artikel 57.10 i AI-förordningen. Det krävs inga bestämmelser om befogenheter för myndig- heter som avses i artikel 57.10 i AI-förordningen inom den regu- latoriska sandlådan för AI. Utredningens förslag: Kompletteringsförordningen ska inne- hålla bestämmelser om – att en inrättande myndighet ska lämna uppgift till en myn- dighet vars ansvarsområde som kan avses i artikel 57.10 om att verksamheten i en regulatorisk sandlåda för AI kan komma att omfatta den myndighetens ansvarsområde, – att uppgiften ska lämnas så snart det finns anledning att anta att verksamheten kan komma att falla inom ansvarsområdet för en sådan myndighet, – att myndigheten ska få tillfälle att yttra sig över verksamheten, och – att en myndighet vars ansvarsområde som avses i artikel 57.10 i AI-förordningen omfattas vid genomförande av utveckling, träning, testning och validering av innovativa AI-system i en regulatorisk sandlåda för AI, efter att ha informerats av en in- rättande myndighet, ska bedöma om AI-systemet berör myn- dighetens ansvarsområde och i sådana fall medverka i det spe- cifika sandlådeprojektet. Tillämpning av artikel 57.10 i AI-förordningen Tolkningar av artikeln Det är i dagsläget svårt för utredningen att avgöra vilka svenska myn- digheter som omfattas av artikel 57.10 i AI-förordningen. Artikeln kan tolkas på olika sätt, både när det gäller vad som avses med att vara involverad i driften och vilka myndigheter som avses. Dessa 590 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden delar kan komma att förtydligas i kommande genomförandeakter enligt artikel 58 i AI-förordningen. När det gäller vilka myndigheter som avses kan tolkning göras på i vart fall två olika sätt. En tolkning är att de nationella behöriga myndigheterna ska säkerställa involvering av • de nationella dataskyddsmyndigheterna, och • andra nationella myndigheter eller behöriga myndigheter som tillhandahåller eller stöder åtkomst till data. En sådan tolkning bygger främst på begreppet tillsynsområdet, dvs. att det är tillsynsmyndigheter som tillhandahåller eller stöder åt- komst till data som avses. Denna tolkning skulle begränsa antalet myndigheter avsevärt, vilket framstår som en rimlig tolkning. En annan tolkning är att de nationella behöriga myndigheterna ska säkerställa involvering av • de nationella dataskyddsmyndigheterna, • nationella myndigheter vars tillsynsområde som AI-systemet faller inom, och • behöriga myndigheter som tillhandahåller eller stöder åtkomst till data. En sådan tolkning innebär i princip att alla tillsynsmyndigheter om- fattas av bestämmelsen, dvs. på statlig, regional och kommunal nivå. Dock innebär tolkningen inte att alla myndigheter till följd av sin sektorsspecifika kunskap ska anses vara myndigheter som omfattas av artikel 57.10. Sådan sektors- eller områdesspecifik kunskap syf- tar utredningen till att säkerställa i och med medverkan i specifika sandlådeprojekt för de nationella behöriga myndigheterna (se av- snitt 12.6.3–12.6.5). Det är visserligen möjligt att artikel 57.10 skulle kunna anses innebära att alla tillsynsmyndigheter omfattas av artikeln eftersom förordningen sträcker sig över i princip alla sektorer och det finns tillsynsmyndigheter som kan behöva tillförsäkra inom sina respek- tive tillsynsområden att innovativa AI-system utvecklas, tränas, testas och valideras på ett korrekt sätt. Samtidigt är en sådan tolk- ning långtgående. 591 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 Det är dock tydligt att IMY i dess roll som dataskyddsmyndighet kommer att behöva involveras i den mån de innovativa AI-systemen inbegriper behandling av personuppgifter i sandlådan. Utredningen har även identifierat några myndigheter som har någon form av an- svar för data och som kan tänkas omfattas av artikeln. Digg och PTS har båda i egenskap av beredskapsmyndigheter i uppgift att upprätt- hålla digital infrastruktur eftersom myndigheterna är behöriga myn- digheter enligt unionsrättsakter som berör tillhandahållande och stödjande av åtkomst till data. I sammanhanget bör nämnas att PTS är tillsynsmyndighet enligt lagen (2024:500) med kompletterande bestämmelser till EU:s dataförvaltningsförordning.43 Även Skatte- verket, Bolagsverket, Lantmäteriet, E-hälsomyndigheten och Trafik- verket kan avses eftersom myndigheterna är nationella grunddata- domänansvariga.44 Förstärkt samverkan Artikel 57.10 i AI-förordningen anger att i den mån de innovativa AI-systemen som testas i den regulatoriska sandlådan för AI inbe- griper behandling av personuppgifter eller på annat sätt faller inom tillsynsområdet för andra nationella myndigheter eller behöriga myndigheter som tillhandahåller eller stöder åtkomst till data ska de nationella behöriga myndigheterna säkerställa att de nationella dataskyddsmyndigheterna och dessa andra nationella eller behöriga myndigheter är involverade i driften av den regulatoriska sandlådan för AI och i tillsynen över dessa aspekter så långt deras respektive uppgifter och befogenheter sträcker sig. Det är en inrättande myndighet som enligt utredningens förslag ska säkerställa involvering från annan myndighet. Säkerställandet av involvering kommer att kräva samverkan mellan myndigheter. Ett särskilt stort behov av samverkan kommer att finnas mellan en in- rättande myndighet och dataskyddsmyndigheten, IMY, eftersom många projekt i de regulatoriska sandlådorna för AI förmodas be- handla personuppgifter. I avsnitt 12.6.7 har utredningen redogjort för myndigheters själv- bestämmande och att det är tveksamt att reglera att en myndighet 43 3 § förordningen (2024:502) med kompletterande bestämmelser till EU:s dataförvaltnings- förordning. 44 Ds 2023:24, Genomförande av EU:s dataförvaltningsförordning, s. 132. 592 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden ska ha en skyldighet att på begäran av en annan myndighet invol- veras i en regulatorisk sandlåda för AI. Samma överväganden gör sig gällande även här. Det är inte heller något som direkt följer av AI-förordningen. För att uppfylla AI-förordningens krav på att en inrättande myn- dighet ska säkerställa att annan myndighet är involverad i driften av sandlådan behöver dock potentiellt flera myndigheter involveras i regulatoriska sandlådor för AI. Enligt 8 § FL ska en myndighet inom sitt verksamhetsområde sam- verka med andra myndigheter. Bestämmelsen i 8 § FL är en generell samverkansskyldighet och myndigheterna måste alltid prioritera sina egna huvuduppgifter. Det är därför tveksamt om denna generella samverkansskyldighet är tillräcklig för att uppfylla AI-förordning- ens krav på att säkerställa att annan myndighet involveras i den re- gulatoriska sandlådan för AI. Den involvering som krävs bör kunna skilja sig åt från fall till fall, men syftet bör alltid vara att den tillsyn som de involverade myndig- heterna har i uppdrag att utföra också utförs. Det ligger alltså i till- synsmyndigheternas kärnuppdrag att utföra en sådan tillsyn. Utredningen anser dock att det krävs någon form av förstärkt samverkan för att de regulatoriska sandlådorna för AI ska fungera effektivt. Som framgår av avsnitt 12.6.7 finns det exempel i annan författning att en myndighet kan ha en författningsreglerad skyl- dighet att medverka i en annan myndighets verksamhet. Säkerställande av att andra myndigheter involveras i ett specifikt sandlådeprojekt För att uppfylla kravet på att säkerställ att andra myndigheter invol- veras bör det i princip räcka med att en inrättande myndighet läm- nar uppgift till en myndighet vars ansvarsområden kan avses i arti- kel 57.10 i AI-förordningen om att ett specifikt sandlådeprojekt kan komma att falla inom myndighetens ansvarsområde. På så sätt be- höver andra myndigheter vara involverade i vissa avseenden. Utredningen har i författning valt att använda begreppet ansvars- område. Skälet till det är att begreppet ”ansvarsområde” omfattar såväl tillsynsområde som andra ansvarsområden, t.ex. ansvar för att tillhandahålla och stödja åtkomst till data. 593 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 Uppgiften bör lämnas så snart det finns anledning att anta att verksamheten i ett specifikt sandlådeprojekt kan komma att falla inom ansvarsområdet för myndigheten som avses i artikel 57.10. Anledningen till detta är att ärendehandläggningen i dessa fall bör ske skyndsamt. Myndigheten bör få tillfälle att yttra sig över verk- samheten. Bedömningen från en inrättande myndighet blir således om en myndighets ansvarsområde enligt artikel 57.10 kan avses och myndigheten behöver därför inte vara helt säker på att myndigheten faktiskt är en sådan myndighet som avses. Genom informations- skyldigheten från en inrättande myndighet får myndigheten som tar emot uppgiften en skyldighet att bedöma om AI-systemet berör myndighetens ansvarsområde på det sätt som avses i artikel 57.10 och i sådana fall besluta att vara involverad i det specifika sandlåde- projektet. I och med kopplingen till ansvarsområde som avses i artikel 57.10 i AI-förordningen så kommer bestämmelserna gälla med begränsningen att det ska vara ett sådant område som regleras av artikel 57.10, något som i nuläget inte är helt klart. Genom denna hänvisning begränsas även skyldigheten att medverka till lokutio- nen i sista meningen i artikel 57.10 som anger att myndigheterna ska vara involverade i tillsynen så långt deras respektive uppgifter och befogenheter sträcker sig. Ett alternativ hade kunnat vara att identifiera myndigheter som förväntas vara sådana myndigheter som avses i artikel 57.10 och in- föra bestämmelser i kompletteringsförordningen om att myndig- heterna ska ha skyldighet att vara involverade i den regulatoriska sandlådan för AI. De myndigheter som kan vara aktuella att föra in en uttrycklig skyldighet att involveras skulle i sådana fall vara IMY, Digg och PTS (i dess tillsynsroll). Möjligen även Skatteverket, Bolags- verket, E-hälsomyndigheten och Lantmäteriet. Det kan emellertid röra sig om ytterligare myndigheter, på statlig, kommunal och regio- nal nivå. Bestämmelsen skulle även kunna kompletteras med att en inrättande myndighet även åläggs en skyldighet att informera myn- digheterna om projekt inom regulatoriska sandlådor för AI som innefattar behandling av personuppgifter. En sådan ordning skulle dock kunna verka begränsande och att myndigheter som i och för sig är tänkta att omfattas av artikeln inte anser sig omfattas. Det kan också verka begränsande på det sättet att informationen från en inrättande myndighet endast sker till de myndigheter som framgår av lagen och inte de som faktiskt omfattas 594 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden av artikeln. Detta är inte önskvärt. En EU-förordning gäller direkt i svensk rätt, även om det finns möjligheter att göra olika tolkningar avseende vilka myndigheter som avses. Det avgörande är i stället om myndigheterna i fråga utifrån sitt verksamhetsområde omfattas av tillämpningsområdet för artikeln.45 Det skulle även vara svårt att upprätthålla en aktuell och fullständig förteckning av myndigheterna, eftersom det kan komma att visa sig att det rör sig om alla tillsyns- myndigheter i Sverige. En sådan långtgående tolkning saknar dock fog för sig i nuläget. Ett annat alternativ är att i stället låta myndigheterna själva iden- tifiera vilka som avses i artikel 57.10 utifrån sina respektive verk- samhetsområden. Mot bakgrund av att AI-förordningen är direkt tillämplig så omfattas i princip de myndigheter som avses i artikeln direkt av bestämmelsen. Det krävs därför inte att regeringen utser myndigheter som avses i artikeln. Lösningen saknar viss tydlighet och förutsebarhet, men med hänsyn till tolkningssvårigheterna finns det enligt utredningen skäl att överväga denna lösning. En liknande lösning har tillämpats i fråga om behöriga myndig- heter enligt SDG-förordningen. Vid införandet av lagen (2022:126) kompletterande bestämmelser till EU:s förordning om en gemen- sam digital ingång reglerades nationella bestämmelser om behöriga myndigheter som innebar att regeringen bestämmer vilka förvalt- ningsmyndigheter under regeringen som ska vara behöriga myndig- heter och att regeringen får meddela föreskrifter om vilka kommunala myndigheter och enskilda organ som ska vara behöriga myndigheter enligt EU-förordningen. Vid införandet av bestämmelsen angavs att det är viktigt att det är tydligt och transparent vilka myndigheter och enskilda organ som är behöriga myndigheter enligt EU-förordningen och vilka deras respektive ansvarsområden är, inte minst för att dessa aktörer ska kunna planera sin verksamhet. Det angavs också att en alternativ lösning hade kunnat vara att i stället låta varje myndighet och organ själv identifiera sig som en behörig myndighet utifrån sina respektive verksamhetsområden. En sådan lösning bedömdes dock sakna den långsiktiga stabilitet och förutsägbarhet som krävs för att effektivt uppnå EU-förordningens målsättning.46 Efter en kartläggning från Digg framkom att det rådde oklarhet om huruvida regeringen behöver bestämma vilka myndigheter och 45 Prop. 2023/24:40, s. 8. 46 Prop. 2021/22:66, s. 11 och 16 f. 595 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 enskilda organ som är behöriga enligt förordningen för att dessa ska vara skyldiga att tillämpa den samt att rättsläget skulle bli tydligare om bemyndigandet för regeringen att meddela föreskrifter om vilka kommunala myndigheter och enskilda organ som ska vara behöriga myndigheter togs bort.47 Regeringen angav vidare i propositionen att en EU-förordning varken ska eller får transformeras till svensk rätt och att det framgår direkt av artikel 3.4 i SDG-förordningen vilka myndigheter och organ som avses samt att fördelarna att ta bort bestämmelsen om bemyndigande i svensk rätt övervägde nack- delarna trots risken för otydlighet.48 Artikel 57.10 i AI-förordningen anger i likhet med artikel 3.4 i SDG-förordningen vilka myndigheter som avses. Det finns emel- lertid en skillnad mellan artiklarna i den meningen att identifier- ingen av myndigheter enligt AI-förordningen i första hand åligger en inrättande myndighet och inte de medverkande myndigheter som avses i artikel 57.10. Med hänsyn till att det inte är tydligt hur artikel 57.10 ska tolkas och att utredningen inte ska eller får införa svenska regler som redan finns i en EU-förordning bedömer utred- ningen att det inte ska regleras särskilt vilka myndigheter som avses i artikel 57.10 i AI-förordningen. Samverkan mellan en inrättande myndighet och en myndighet som avses i artikel 57.10 bör därför i stället lösas på så sätt att en inrättande myndighet får en skyldighet att informera en myndighet som kan avses i artikel 57.10 om att verksamheten i en regulatorisk sandlåda för AI kan komma att omfatta den myndighetens ansvars- område. Den myndighet vars ansvarsområde avses i artikel 57.10 bör efter att ha informerats av en inrättande myndighet bedöma om AI-systemet faktiskt berör myndighetens ansvarsområde och i så- dana fall medverka det specifika sandlådeprojektet. Utredningen har föreslagit att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om regulator- iska sandlådor för AI (se avsnitt 12.6.3). Enligt utredningen ingår det i detta bemyndigande att regeringen får bestämma hur samver- kan ska ske mellan en inrättande myndighet och en myndighet som avses i artikel 57.10. En bestämmelse om sådan samverkan bör där- för föras in i kompletteringsförordningen. 47 Prop. 2023/24:40, s. 8. 48 Prop. 2023/24:40, s. 9. 596 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden Med denna lösning skapas en flexibilitet beträffande vilka myn- digheter som avses i artikel 57.10 och att regeringen kan meddela närmare bestämmelser om samverkan och samordning mellan myn- digheterna som avses. Dessutom är det utredningens uppfattning att lösningen möter de krav som ställs i AI-förordningen på en in- rättande myndighet att säkerställa involvering av annan myndighet. Samtidigt innebär lösningen att det är den myndighet inom vars ansvarsområde projektet avses bedrivas som har befogenheten att besluta om den ska ingå i projektet. Det är alltså först efter det att myndigheten har konstaterat att det är ett projekt som omfattas av myndighetens ansvarsområde som skyldigheten att medverka i det specifika sandlådeprojektet träder in. Kort om andra tillsynsmyndigheters befogenheter AI-förordningen medger inte undantag från unionsrätt eller natio- nell rätt i de regulatoriska sandlådorna för AI. De myndigheter som ska involveras i sin roll som tillsynsmyndighet eller myndighet som tillhandahåller eller stöder åtkomst av data i den regulatoriska sand- lådan för AI enligt artikel 57.10 har således i uppgift att utöva den tillsyn och de befogenheter som den vanligen har. Om en myndig- het som involveras i ett sandlådeprojekt uppfattar att projektet inte efterlever de regler som myndigheten har att bedöma så kan myn- digheten alltså utöva de befogenheter som den vanligen hade gjort. Därmed krävs inte några särskilda bestämmelser om befogenheter för myndigheten inom den regulatoriska sandlådan för AI. Utred- ningen utgår även ifrån att en inrättande myndighet och i förekom- mande fall annan myndighet som medverkar i sandlådan också är lyhörd för myndighetens bedömning och vidtar de åtgärder i för- hållande till sandlådeprojektet som behövs för att efterleva de be- stämmelser som krävs. 597 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 12.6.9 Myndighet som ska vara en inrättande myndighet Utredningens bedömning: PTS bör få ansvar att senast den 2 augusti 2026 säkerställa inrättandet av minst en regulatorisk sandlåda för AI. Utredningens förslag: Kompletteringsförordningen ska inne- hålla en bestämmelse om att PTS är en inrättande myndighet. PTS bör inrätta minst en regulatorisk sandlåda för AI Utgångspunkter Inom den regulatoriska sandlådan kommer arbete att ske med pro- jekt som rör innovativa AI-system i syfte att dessa ska komma ut på marknaden. I de testverksamheter som har genomförts har aktö- rerna konstaterat att det krävs en mycket god förståelse för både teknik och juridik vid driften av en regulatorisk sandlåda.49 Driften av regulatoriska sandlådor för AI kommer särskilt att kräva en god AI-teknisk kunskap, och kunskap om cybersäkerhet, data och per- sonuppgiftsskydd, men även god insikt i offentlighets- och sekre- tessbestämmelser. Det kommer alltså att ställas höga krav på kun- skap om AI inom myndigheten och på en förmåga att identifiera frågor som kräver expertis. Det kommer att krävas juridisk kompe- tens och AI-teknisk expertis för att kunna ställa relevanta krav och ge vägledning i gråzonsfrågor. Dessa krav, dvs. att besitta en både bred och djup förståelse för AI inom olika professioner, talar för att en av de myndigheter som får ett stort ansvar för AI-förordningen i övrigt också bör få en betydande roll i driften av en regulatorisk sandlåda för AI. Utredningen anser mot denna bakgrund att kunskapen i nuläget bör samlas i en av de myndigheter som får ett ansvar för flera delar av AI-förordningen för att på så sätt säkra vissa synergieffekter av att ha andra uppdrag enligt AI-förordningen. 49 Se exempelvis IMY:s rapport 2023-03-28 Kunskapshöjande insatser till innovationssystemet om integritets- och dataskyddsfrågor – Slutredovisning av regeringsuppdrag, dnr DI-2021-5817, s. 9 och Digg:s rapport den 20 januari 2023 Uppdrag att främja offentlig förvaltnings förmåga att använda artificiell intelligens, dnr I2021/01825, s. 27. Samma slutsats i Palm, Almerud, Karlsson, Rane, Regulatoriska sandlådor som policyinstrument, Entreprenörskapsforum, oktober 2024, s. 48. 598 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden I avsnitt 6.5–6.9 redogör utredningen för vilka myndigheter som föreslås utses till marknadskontrollmyndigheter enligt förordningen. De myndigheter som föreslås få ett stort ansvar som marknadskon- troll myndigheter är enligt utredningen aktuella att överväga för att få ansvaret för inrättandet av minst en regulatorisk sandlåda för AI. Vid överväganden i fråga om vilken myndighet som ska få ansva- ret beaktar utredningen också myndigheternas kunskap från tidi- gare uppdrag. Vilka projekt som kommer att förekomma i en regu- latorisk sandlåda kommer sannolikt att påverkas av myndighetens erfarenhet, i vart fall i början av de regulatoriska sandlådornas in- rättande. En bred förståelse för bl.a. digitalisering, cybersäkerhet, dataskydd, myndighetssamverkan och förmåga att främja utveck- ling är faktorer som talar för en myndighet i detta avseende. Ytterligare en faktor som påverkar valet av myndighet är kopp- lad till vilka områden projekten kommer att beröra. Kommissionen ska anta genomförandeakter som ska innehålla gemensamma prin- ciper om behörighets- och urvalskriterier för deltagande i den regu- latoriska sandlådan för AI, förfarandet för tillämpning, deltagande, övervakning, utträde och avslutande av sandlådan och villkor som gäller för deltagarna i sandlådan. Detta medför att utredningen i nuläget inte närmare kan uttala sig om vilka projekt som kommer att antas för projekt i regulatoriska sandlådor för AI. Enligt utredningen står valet av myndighet med ansvar att inrätta minst en regulatorisk sandlåda för AI i nuläget mellan IMY och PTS. Båda myndigheterna förefaller enligt utredningen lämpliga för att inrätta regulatoriska sandlådor för AI. Det är inte nödvändigt att koppla ansvaret för regulatoriska sandlådor för AI till andra speci- fika uppdrag enligt AI-förordningen, men bedömt utifrån perspek- tivet att samla kompetens om AI på ett fåtal myndigheter är detta utredningens huvudalternativ. Utredningen redovisar i det följande sin bedömning av att vid valet mellan dessa myndigheter bör PTS vara den myndighet som pekas ut att vara den myndighet som ska inrätta minst en regulatorisk sandlåda. Överväganden om IMY som inrättande myndighet för en regulatorisk sandlåda för AI IMY kommer i sin egenskap av dataskyddsmyndighet att behöva vara involverad i driften av regulatoriska sandlådor för AI i viss mån 599 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 enligt artikel 57.10 i AI-förordningen. Många AI-system och utveck- lingen av dem kommer att innefatta behandling av personuppgifter. Myndigheten kommer också enligt utredningens förslag i kapitel 6 att få ett stort ansvar som marknadskontrollmyndighet enligt AI- förordningen genom att myndigheten föreslås ansvara för mark- nadskontroll beträffande bl.a. artikel 5 och flera delar av bilaga III. IMY kommer därmed att behöva bygga upp en AI-expertis som kan användas även vid inrättandet av regulatoriska sandlådor för AI. Utredningen beaktar särskilt att det blir aktuellt att involvera IMY beträffande utveckling av AI-system som kan komma att omfatta områdena som anges i bilaga III, punkterna 1 och 3–8, eftersom AI-system inom dessa områden ofta kommer att behandla person- uppgifter. AI-system som kan komma att användas inom områdena som anges i punkten 2 i bilaga III eller i en produkt som omfattas av någon av rättsakterna i bilaga IA och som oftare omfattar fysiska produkter kommer dock troligen inte att behöva behandla person- uppgifter i sådan utsträckning att IMY behöver medverka vid varje tillfälle. IMY har även sedan tidigare erfarenhet av att bedriva en regula- torisk sandlåda för dataskydd, vilket också talar för att myndigheten har tagit med sig kunskaper och en metod för att bedriva en regula- torisk sandlåda. Myndigheten har i vårändringsbudgeten 2025 fått ökade anslag för att expandera denna regulatoriska sandlåda.50 Det ska dock påpekas att den regulatoriska sandlåda som IMY har drivit inte är en regulatorisk sandlåda för AI enligt AI-förordningen, även om arbetssättet i de olika sandlådorna kan vara liknande. Därutöver medverkar IMY tillsammans med Arbetsförmedlingen, Bolagsverket och Skatteverket i ett initiativ som har startats upp inom eSam. Initiativet går ut på att driva en regulatorisk sandlåda för AI. Initiativet talar, utöver att IMY skaffar sig kunskap om drif- ten av en regulatorisk sandlåda och fortsätter utveckla sin metod, för att det redan finns en etablerad samordning mellan myndigheter som arbetar med AI och som kan komma att bli del av specifika sand- lådeprojekt i den regulatoriska sandlådan för AI, vilket kan bli vik- tigt för att regulatoriska sandlådor ska bli framgångsrika. IMY har dessutom uttryckt intresse för att fortsätta driva regulatorisk test- verksamhet. 50 Prop. 2024/25:99, utg. omr. 1, 6.3. 600 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden Utredningen har mot denna bakgrund övervägt IMY som inrät- tande myndighet för en regulatorisk sandlåda för AI. PTS bör vara den myndighet som ska inrätta minst en regulatorisk sandlåda för AI Utredningen anser – trots de förhållanden ovan som talar för IMY – att PTS bör vara den myndighet som ska inrätta minst en regula- torisk sandlåda för AI. Skälet till det är att utredningen föreslår att PTS ska vara mark- nadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen och att myndigheten ska få ett samordnande marknadskontrollansvar för AI-förordningen. Som framgår av kapitel 6 föreslår utredningen att PTS ska ansvara för marknadskontroll över flera områden, där- ibland trasparenskraven i artikel 50 och stora delar av bilaga III. Ut- redningen föreslår i avsnitt 9.4.1 även att PTS ska utses till gemensam kontaktpunkt enligt AI-förordningen. PTS har redan flera uppdrag inom digital infrastruktur och andra till AI-förordningen anknytande områden. Dessa har utredningen ingående redogjort för i kapitel 6. Ett utseende av PTS som ansvarig för inrättandet av minst en re- gulatorisk sandlåda för AI går dessutom väl i linje med utredningens uppfattning att marknadskontrollansvaret som utgångspunkt bör samlas hos en marknadskontrollmyndighet (se avsnitt 6.4.2). PTS kommer att behöva bygga upp en både bred och djup kunskap om AI och AI-förordningen vilket talar för att myndigheten även kom- mer att kunna inrätta en regulatorisk sandlåda för AI. PTS och Digg har vidare utrett en sammanslagning av myndigheterna (se avsnitt 6.4.3). Det finns också skäl att även beakta Digg:s erfaren- heter vid en potentiell sammanslagning mellan myndigheterna, bl.a. i fråga om förvaltningsgemensam infrastruktur och som behörig myn- dighet enligt EU:s förordning om ett interoperabelt Europa som innehåller bestämmelser om regulatoriska sandlådor. Övervägande skäl talar därför för att PTS ska pekas ut som an- svarig för regulatoriska sandlådor för AI. Ett skäl, utöver myndig- hetens huvudsakliga ansvar enligt förordningen, är att PTS kan foku- sera på vägledning enligt AI-förordningen och att IMY i tillämpliga fall kan fokusera på sitt uppdrag som dataskyddsmyndighet i den regulatoriska sandlådan för AI. Detta skapar enligt utredningen ett 601 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 förutsebart system med tydliga roller inom de regulatoriska sand- lådorna för AI. Genom att PTS får ansvar att inrätta minst en regulatorisk sand- låda för AI breddas myndighetens ansvar ytterligare och kan även bidra till kompetensutveckling inom myndigheten eftersom det i tidigare liknande testverksamheten har framgått att även myndig- heten som driver testverksamheten kan dra stor lärdom inom AI. Det är mot den bakgrunden också lämpligt att PTS utses att inrätta minst en regulatorisk sandlåda för AI i Sverige. Det bör därför tas in en bestämmelse i kompletteringsförordningen som anger att PTS ska vara en inrättande myndighet. Andra alternativ som utredningen har övervägt IMY Som framgår av avsnittet ovan har utredningen övervägt om IMY bör vara den myndighet som inledningsvis utses till att inrätta minst en regulatorisk sandlåda för AI. Utredningen har dock valt att inte föreslå IMY för ett sådant uppdrag i nuläget. Utredningen anser dock att IMY har goda förutsättningar att inrätta en regulatorisk sandlåda för AI och med hänsyn till utredningens förslag om att alla nationella behöriga myndigheter bör ha möjlighet att efter ut- seende av regeringen inrätta och driva regulatoriska sandlådor för AI kan det bli aktuellt för IMY att i ett senare skede göra det. Utred- ningen lämnar emellertid inte något sådant förslag. Läkemedelsverket I kapitel 6 föreslår utredningen att Läkemedelsverket ska bli mark- nadskontrollmyndighet beträffande vissa AI-system som är relaterade till produkter som omfattas av EU:s förordningar om medicintek- niska produkter. I kapitel 7 föreslår utredningen även att Läkemedels- verket ska vara anmälande myndighet inom samma område. Inom området för medicinteknik utvecklar leverantörer och potentiella leverantörer medicintekniska produkter innefattande AI-system. Inom området sker mycket innovation och Läkemedelsverket har identifierat ett behov av regulatoriska sandlådor, dock inte enbart 602 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden för AI. Myndigheten har även fått i uppdrag från regeringen att ana- lysera förutsättningarna för att utses till marknadskontrollmyndig- het enligt EHDS-förordningen. I uppdraget ingår att göra en kart- läggning av vad rollen skulle innebära för myndigheten, inklusive vad det skulle innebära att tillhandahålla testmiljöer för EHR-system. Uppdraget redovisades till Socialdepartementet den 6 februari 2025. Läkemedelsverket anser sig ha förutsättningar för att kunna drift- sätta och tekniskt tillhandahålla de testmiljöer som kommissionen förväntas utveckla och leverera. Myndigheten bedömde även att den har förutsättningar att ge stöd till användare av testmiljöer men att flera osäkerheter kvarstod eftersom genomförandeakter skulle komma inför driftsättning.51 Det europeiska hälsodataområdet kom- mer bl.a. att tillhandahålla en enhetlig, tillförlitlig och effektiv ram för användningen av hälsodata för forskning, innovation, besluts- fattande och reglering (sekundär användning av data).52 Läkemedels- verket arbetar enligt uppgift till utredningen i säkra processmiljöer och har teknisk infrastruktur för att dessa ska vara säkra. Myndig- heten besitter även avancerad teknisk hårdvara. Läkemedelsverket har även en AI-enhet som bl.a. arbetar med egen utveckling av AI- system och besitter AI-kompetens. Med hänsyn till dessa omstän- digheter har utredningen övervägt Läkemedelsverket som ansvarig för att inrätta minst en regulatorisk sandlåda för AI. Läkemedelsverket arbetar dock enligt egen uppgift inte med någon vägledning inom det medicintekniska området, eftersom myndig- heten vill undvika intressekonflikter. Utvecklingen på det medicin- tekniska området bygger dessutom ofta på egenutvecklade system, som inledningsvis ligger under IVO:s tillsynsområde. När produk- ten kommer ut på marknaden blir Läkemedelsverket marknadskon- trollmyndighet för produkten. Mot bakgrund av Läkemedelsverkets specifika uppdrag enligt AI-förordningen är det enligt utredningen inte aktuellt att ge myn- digheten ansvaret för att inrätta minst en regulatorisk sandlåda för AI. Även förhållandet att Läkemedelsverket ska upprätta andra testmiljöer enligt EHDS talar för att välja en annan myndighet för uppdraget. 51 Regeringsbeslut, 2024-06-27, S2024/01304 (delvis) och Uppdrag till Läkemedelsverket att förbereda inför EHDS, Slutrapport från Läkemedelsverket, 2025-02-06, dnr 1.1.8-2024-058495. 52 https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space_sv (hämtad 2025-01-23). 603 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 Finansinspektionen Finansinspektionen har, mot bakgrund av den analys myndigheten har gjort beträffande regulatoriska sandlådor och som utredningen har redogjort för i avsnitt 12.6.1, valt att inte ha någon regulatorisk sandlåda inom finanssektorn. Finansinspektionen arbetar i stället med sitt innovationscenter. Fintech-sektorn började använda regulatoriska sandlådor i ett tidigt skede och sektorn kommer sannolikt att ha in- tresse av att bedriva omfattande utveckling av AI-system. Finans- sektorn är också en sektor som möjligen kommer att vilja använda sig av regulatoriska sandlådor för AI. Finansinspektionen skulle därför kunna vara ett alternativ för att inrätta minst en regulatorisk sandlåda för AI. Finansinspektionen har förmedlat till utredningen att den stöter på och på ett tillfredsställande sätt hanterar AI-teknik i sitt innovationscenter utan att arbeta inom en regulatorisk sandlåda. Att Finansinspektionen har valt att arbeta vidare med sitt innova- tionscenter talar för att utse någon annan myndighet med ansvar för att inrätta minst en regulatorisk sandlåda för AI. Andra myndigheter Även andra myndigheter har arbetat med projekt som liknar regu- latoriska sandlådor för AI. Arbetsförmedlingen, Skatteverket och Bolagsverket medverkar i initiativet inom eSam som utforskar AI- regulatoriska sandlådor. Ingen av dessa myndigheter är emellertid föreslagen att bli nationell behörig myndighet enligt AI-förord- ningen och det är därför inte aktuellt att någon av dem utses som ansvarig för den regulatoriska sandlådan som regleras i AI-förord- ningen. 12.6.10 Samordning av regulatoriska sandlådor för AI Utredningens bedömning: Inrättandet av regulatoriska sand- lådor för AI bör samordnas. Det bör vara en myndighet som sam- ordnar de regulatoriska sandlådorna för AI. Samordning av regulatoriska sandlådor för AI bör ske inom den samordningsfunktion som utredningen föreslår att PTS ska leda. 604 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden För att samordna de regulatoriska sandlådorna för AI bör en myndighet få meddela föreskrifter om regulatoriska sandlådor för AI. Samma myndighet bör lämna årliga rapporter till AI-byrån och styrelsen enligt artikel 57.16 i AI-förordningen. PTS bör ansvara för rapportering enligt artikel 57.16. Utredningens förslag: Kompletteringsförordningen ska inne- hålla bestämmelser om – att PTS får meddela föreskrifter om regulatoriska sandlådor för AI, och – att PTS ska ansvara för rapporteringskraven i artikel 57.16. Utredningen har tidigare redogjort för och lämnat förslag på hur samordning och samverkan ska ske inom systemet för marknads- övervakning och kontroll (se avsnitt 9.4–9.5). Den typ av samord- ning som föreslås där har flera likheter med den som kommer att krävas inom systemet för regulatoriska sandlådor för AI, dels med hänsyn till att det berör samma myndigheter, dels för att systemet ska bli förutsebart för dem som agerar inom det. I relevanta delar kommer utredningen därför att hänvisa tillbaka till tidigare avsnitt. Olika regulatoriska sandlådor för AI bör samordnas Kommissionen ska anta genomförandeakter bl.a. för att undvika fragmentering av marknaden beträffande regulatoriska sandlådor för AI. Dessa ska antas bl.a. för att säkerställa att förfaranden, pro- cesser och administrativa krav för ansökan och urval till, deltagande i och utträde ur den regulatoriska sandlådan för AI ska vara enkla, lättbegripliga och tydligt kommunicerade för att underlätta delta- gandet av små och medelstora företag, inbegripet uppstartsföretag, med begränsad rättslig och administrativ kapacitet och strömlinje- formas i hela unionen i syfte att undvika fragmentering (artikel 58.2 g). Om sandlådorna skiljer sig för mycket från varandra riskerar det att skapa en fragmentering och konkurrenssituation mellan regulatoriska sandlådor för AI inom Sverige om inte regulatoriska sandlådor för AI har liknande arbetssätt och struktur, givetvis med den flexibilitet som krävs för det specifika AI-system och det område där systemet 605 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 testas. Enligt utredningen bör det mot bakgrund av detta finnas sam- ordning mellan olika regulatoriska sandlådor för AI. Sandlådorna bör vara inrättade på liknande sätt. Artikel 58 stakar ut en riktning för vad kommissionens genom- förandeakter bör säkerställa. De kan komma att innehålla viktiga organisatoriska och administrativa förhållningssätt och förtydlig- anden som påverkar de regulatoriska sandlådornas organisation. Det är av vikt att samtliga myndigheter som ska inrätta regulator- iska sandlådor för AI på sikt på ett enkelt sätt kan följa de riktlinjer som kommissionen har meddelat. I stället för att varje myndighet ska behöva sätta sig in i dessa genomförandeakter bör en myndighet ansvara för samordning och strömlinjeformningen av regulatoriska sandlådor för AI. Utredningen föreslår PTS som den myndighet som ska inrätta minst en regulatorisk sandlåda för AI (avsnitt 12.6.9). Utredningen föreslår också att PTS ska ha ett ansvar som samordnande marknads- kontrollmyndighet enligt AI-förordningen (se närmare om denna roll i avsnitt 9.5). PTS bör i den rollen även ha ett samordningsupp- drag beträffande de regulatoriska sandlådorna för AI. Samordningen bör främst ske i form av föreskriftsrätt (se nedan), men i specifika frågor kan det krävas samarbete mellan PTS och en annan myndighet som ska inrätta regulatoriska sandlådor för AI beträffande frågor om organisation och administration. Sådana specifika frågor som kan uppkomma bör PTS kunna hantera i sin roll som samordnande marknadskontrollmyndighet enligt AI-förordningen. För att sandlådeprojekt ska kunna drivas effektivt och utvecklas med kommissionens genomförandeakter krävs att de nationella be- höriga myndigheterna bidrar med de resurser och kunskaper som specifika projekt behöver. Utredningen anser att det är enkelt att i reglering fastslå att varje behörig myndighet ska bidra till verksam- heten i sandlådeprojekten men svårt att reglera på vilket sätt utan att därmed begränsa den regulatoriska sandlådan för AI:s förmåga att hantera ändrade förutsättningar. PTS som samordnande mark- nadskontrollmyndighet får en viktig uppgift att se till att förutsätt- ningarna för sådan planering finns. 606 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden Samordning genom föreskriftsrätt Det är enligt utredningen lämpligt att en myndighet i Sverige får ansvar att följa utvecklingen och vägleda andra eventuella regula- toriska sandlådor för AI med hänsyn bl.a. till kommissionens genom- förandeakter. I dessa uppgifter kan ligga att exempelvis föreskriva uppgifter om de närmare formerna för inrättande av sandlådor, be- slut och bedömningar inom sandlådeprojekten. Genom en samord- ning av dessa uppgifter kan Sverige säkerställa – även om flera myn- digheter inrättar regulatoriska sandlådor för AI – att det blir likvärdiga regulatoriska sandlådor för AI som baseras på gemensamma rikt- linjer. Av artikel 57.13 följer att de regulatoriska sandlådorna för AI ska utformas och genomföras på ett sådant sätt att de i relevanta fall underlättar gränsöverskridande samarbete mellan de nationella behöriga myndigheterna. Även med hänsyn till ett sådant samarbete bör en samordnande myndighet få föreskriftsrätt eftersom det kan skapa förutsättningar för myndigheter att inrätta regulatoriska sand- lådor på liknande sätt och därmed skapa förståelse mellan myndig- heters sandlådor. Utredningen föreslår därför att regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter angående regulatoriska sandlådor för AI samt att PTS ska få föreskriftsrätten på området. Att PTS får meddela föreskrifter om regulatoriska sand- lådor för AI bör framgå av kompletteringsförordningen. Ansvar för rapportering till AI-byrån I artiklarna 57.14 och 57.16 i AI-förordningen finns ytterligare upp- gifter som utredningen anser bör åligga en samordnande myndighet. I artikel 57.14 framgår att de nationella behöriga myndigheterna ska samordna sin verksamhet och samarbeta inom ramen för styrel- sen. Utredningen har föreslagit att regeringen ska bestämma vilka representanter som ska sitta med i AI-styrelsens undergrupper (se avsnitt 13.4.7). Lämpligen bör PTS ha en representant med i under- gruppen för regulatoriska sandlådor för AI för att kunna följa arbetet i styrelsen. På så sätt kan PTS också se till att de nationella behöriga myndigheterna samordnar sin verksamhet och samarbetar inom ramen för styrelsen. Uppgiften enligt artikel 57.14 kan lämpligen 607 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 skötas av PTS i dess roll som samordnande marknadskontrollmyn- dighet, men med hänsyn till kopplingen till styrelsen och utred- ningens förslag om att regeringen bör besluta om representation i undergrupperna föreslås inga bestämmelser om ansvarsfördelning beträffande artikeln. De nationella behöriga myndigheterna ska lämna årliga rappor- ter till AI-byrån och styrelsen, från och med ett år efter att den re- gulatoriska sandlådan för AI har inrättats och därefter varje år fram till dess att den avslutas samt en slutrapport. Dessa rapporter ska innehålla information om framstegen och resultaten av genomfö- randet av dessa sandlådor, inbegripet bästa praxis, incidenter, tillvara- tagna erfarenheter och rekommendationer om deras etablering och, i relevanta fall, om tillämpningen och en eventuell översyn av AI- förordningen, inbegripet dess delegerade akter och genomförande- akter, och om tillämpningen av annan unionsrätt som står under tillsyn av de berörda myndigheterna inom sandlådan. De nationella behöriga myndigheterna ska göra dessa årliga rapporter eller samman- fattningar av dessa tillgängliga för allmänheten online (artikel 57.16). Uppgifterna som följer av artikeln bör enligt utredningen åligga en myndighet. Rapporterna ska visserligen innehålla bl.a. incidenter. Samtidigt ska rapporterna göras tillgängliga online. Det kommer alltså inte kunna vara några känsliga uppgifter i rapporterna som inte kan offentliggöras. Därmed bör det inte heller vara några problem för myndigheter som har inrättat en regulatorisk sandlåda för AI att lämna sådana uppgifter till en samordnande myndighet. Det finns framför allt två skäl till att ansvaret bör ligga på en samordnande myndighet. Det första skälet till det är att informationen bör vara samlad hos en myndighet som aktörer på marknaden kan vända sig till för information om regulatoriska sandlådor för AI. Det andra skälet till det är att om en samordning sker av rapporterna så säker- ställs att informationen är tillgänglig på samma sätt oaktat vilken myndighet som har inrättat sandlådan. Eftersom det endast är PTS som initialt föreslås inrätta minst en regulatorisk sandlåda för AI kommer samordningen av sandlådor och informationsskyldigheten inte att medföra några svårigheter. 608 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden 12.6.11 Avgifter för regulatoriska sandlådor för AI Utredningens förslag: Kompletteringslagen ska innehålla bestäm- melser om – att en inrättande myndighet får ta ut avgifter för sin verksam- het inom en regulatorisk sandlåda för AI, och – att regeringen eller den myndighet som regeringen bestäm- mer får meddela föreskrifter om avgifterna. Kompletteringsförordningen ska innehålla en bestämmelse om att PTS ska få meddela föreskrifter om avgifterna. Rätten att ta ut avgift enligt AI-förordningen Möjligheten att ta ut avgift för användande av regulatoriska sand- lådor för AI är begränsad i AI-förordningen. Kommissionen ska anta genomförandeakter som specificerar de närmare arrangemangen för inrättande, utveckling, genomförande, drift och tillsyn av regula- toriska sandlådor för AI. Dessa genomförandeakter ska säkerställa bl.a. att tillgången till regulatoriska sandlådor för AI är kostnadsfri för små och medelstora företag, inbegripet uppstartsföretag (artik- larna 58.1 och 58.2 d). Utöver denna begränsning bör myndigheten få ta ut avgifter för de regulatoriska sandlådorna. Det krävs ett särskilt bemyndigande för att ta ut en avgift Rätten för myndigheter under regeringen att ta ut avgifter regleras i avgiftsförordningen (1992:191). Av 4 § följer att en myndighet får, om det är förenligt med myndighetens uppgift enligt lag, instruktion eller annan förordning, mot avgift tillhandahålla 609 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 1. tidskrifter och andra publikationer, 2. informations- och kursmaterial, 3. konferenser och kurser, 4. rådgivning och annan liknande service, 5. lokaler, 6. utrustning, 7. offentlig inköps- och resurssamordning, 8. automatisk databehandlingsinformation i annan form än utskrift, 9. upplysningar per telefon, om denna service går utöver myndig- hetens serviceskyldighet enligt OSL och FL, och 10. tjänsteexport. Varor och tjänster får dock tillhandahållas bara om verksamheten är av tillfällig natur eller av mindre omfattning. I och med att AI-förordningen reglerar att regulatoriska sand- lådor för AI ska inrättas och att det ska ske genom tillhandahållande av en kontrollerad miljö som främjar innovation och underlättar ut- veckling, träning, testning och validering av innovativa AI-system kan utredningen konstatera att det inte rör sig om verksamhet av tillfällig natur eller av mindre omfattning. Avgiftsförordningen ger därmed inte utrymme för myndigheten att ålägga aktörer avgifts- skyldighet. Det är dock utredningens uppfattning att det rimligen bör vara möjligt för myndigheten att ta ut avgifter för en sådan verksamhet som avses med regulatoriska sandlådor för AI i de fall det är fören- ligt med AI-förordningen. Utredningen föreslår därför att det ska framgå av kompletteringslagen att en inrättande myndighet ska få ta ut avgifter för sin verksamhet inom en regulatorisk sandlåda för AI. Avgiftsnivån bör beslutas av den inrättande myndigheten En myndighet får enligt 5 § avgiftsförordningen bestämma stor- leken på andra avgifter än de som avses i 4 § avgiftsförordningen endast efter särskilt bemyndigande från regeringen. Om inte reger- 610 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden ingen har föreskrivit något annat, ska avgifter beräknas så att de helt täcker verksamhetens kostnader (full kostnadstäckning). En inrättande myndighet som bedriver en regulatorisk sandlåda för AI är enligt utredningen bäst lämpad att se över kostnaderna för uppdragen och bör därför få ett sådant särskilt bemyndigande från regeringen att besluta om storleken på avgifterna. Avgiftsinkomsterna bör få disponeras av den inrättande myndigheten Mot bakgrund av eventuella investeringar som krävs för inrättandet av regulatoriska sandlådor för AI och att fortbilda den personal som ska arbeta inom de regulatoriska sandlådorna bör den inrättande myndigheten få disponera över avgiftsinkomsterna. Myndigheten bör därför få ett särskilt bemyndigande om detta enligt 25 § första stycket avgiftsförordningen. PTS bör bemyndigas att ta ut avgifter och ges föreskriftsrätt Utredningen har, som redovisats ovan, kopplat rätten att ta ut avgif- ter till den inrättande myndigheten. PTS föreslås vara en inrättande myndighet (avsnitt 12.6.9). Mot den bakgrunden bör regeringen ge PTS bemyndigande att ta ut avgifter för verksamheten i den regula- toriska sandlådan för AI. PTS bör även ges rätt att meddela föreskrif- ter om avgifterna. Bemyndigandet att få ta ut avgift, bestämma storleken på avgif- ten och disponera densamma sker lämpligen genom att regeringen eller den myndighet som regeringen bestämmer ges rätt att med- dela föreskrifter beträffande avgifter. Föreskriftsrätten bör framgå av kompletteringslagen och att PTS får meddela dessa föreskrifter bör framgå av kompletteringsförordningen. 611 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 12.6.12 Om utredningens förslag och behovet av fortsatt översyn Utredningen föreslår ett system för inrättande av minst en regula- torisk sandlåda för AI som ska fungera såväl vertikalt som horison- tellt på så sätt att en inrättande myndighet ska ha ett övergripande ansvar för sandlådan och att alla andra nationella behöriga myndig- heter med marknadskontrollansvar ska medverka i specifika sand- lådeprojekt. Därutöver kan det bli aktuellt att involvera även andra myndigheter som avses i artikel 57.10 i AI-förordningen. Utred- ningen har valt en lösning som ger en inrättande myndighet ansvar för huvudsakliga delar av den regulatoriska sandlådan för AI och där en områdesspecifik myndighet tar ett gemensamt ansvar med en inrättande myndighet beträffande specifika sandlådeprojekt. Bestäm- manderätten över sin verksamhet och vissa befogenheter gäller för såväl inrättande myndighet som den områdesspecifika myndigheten. En inrättande myndighet ska också ha en informationsplikt i den mån sandlådeprojektet berör ansvarsområdet för en myndighet som av- ses i artikel 57.10 i AI-förordningen. Detta skapar enligt utredningen en praktiskt möjlig regulatorisk sandlåda för AI som tar hänsyn till myndigheters självbestämmande och samtidigt uppfyller kraven på att inrätta en sandlåda som är öppen för alla och som kan komma att vara innovationsfrämjande. Arbetssättet får dock utvärderas och andra möjliga lösningar kan komma att behöva övervägas när regulatoriska sandlådor för AI har använts och särskilt om kommissionens genomförandeakter påver- kar lösningens lämplighet. 12.6.13 Övriga frågor om regulatoriska sandlådor Något om bevarande av loggar I artikel 59.1 h i AI-förordningen framgår att loggarna över behand- lingen av personuppgifter inom ramen för sandlådan ska bevaras under den tid som deltagandet i sandlådan varar, om inte annat före- skrivs i unionsrätten eller nationell rätt. Huvudregeln är alltså att loggarna ska raderas efter deltagandet i sandlådan. Utredningen har inte identifierat några svenska bestämmelser som möjliggör för undan- tag från denna huvudregel. Ett skäl till att bevara loggarna under 612 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden längre tid skulle kunna vara att myndigheterna och aktörerna i sand- lådor kan dra lärdom av vad som förekommer i loggarna, kunna utföra efterkontroll och ge inblick i olika projekt som företagits i sandlådorna. Projekten i regulatoriska sandlådor för AI kan dock tänkas se mycket olika ut och det är inte säkert att lärdomar kan komma att dras av innehållet i loggarna. Ytterligare en fråga beträffande loggarna är var dessa upprättas och vem som ansvarar för hanteringen av dessa. Utredningen har kommit fram till att det inte är ett krav att myndigheter tillhanda- håller teknisk infrastruktur för utveckling, testning, träning eller validering av AI-system. Sådan verksamhet behöver således inte ske hos myndigheten och loggarna upprättas då alltjämt hos leverantören och blir inte en allmän handling. Loggarna kan dock anses upprättade inom en myndighet som tillhandahåller teknisk infrastruktur för utveckling, testning, trä- ning och validering. Om loggarna upprättas hos myndigheten i den regulatoriska sandlådan för AI kan det behövas bestämmelser om gallring för att myndigheten ska få sortera ut och förstöra loggarna efter verksamhetens avslut. Det är alltjämt osäkert hur inrättandet närmare ska gå till, och utredningen anser att det inte är en förutsätt- ning för inrättandet av en regulatorisk sandlåda för AI att bestäm- melser om gallring införs. Myndigheter utvecklar även i dagsläget AI-system där loggar upp- rättas. Enligt utredningen talar detta för att det inte är nödvändigt för att anpassa svensk rätt till AI-förordningen att införa bestäm- melser om gallring i nuläget. Utredningens bedömning är således att det inte krävs någon re- glering i förhållande till loggarna med hänsyn till artikel 59.1 h i AI- förordningen. Samverkan med andra regulatoriska sandlådor AI-förordningen anger att när så är lämpligt bör relevanta behöriga myndigheter som ansvarar för andra regulatoriska sandlådor överväga fördelarna med att använda dessa sandlådor även i syfte att säker- ställa AI-systemens överensstämmelse med förordningen (skäl 139). Det skulle kunna finnas viktiga synergieffekter att vinna om det finns en bred samverkan mellan regulatoriska sandlådor i Sverige även 613 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 utanför AI-förordningens ramar. Framför allt när det är myndig- heter som inrättar och driftsätter dessa regulatoriska sandlådor. Exempelvis har erfarenheter visat på överföring av viktiga lärdomar från de tidiga försöksverksamheterna kopplat till regelverk och metod för genomförande av regulatoriska sandlådorna. Tanken med regulatoriska sandlådor för AI är emellertid att aktö- rer ska kunna välja vilken sandlåda som helst inom EU. Det kan också finnas andra aktuella regulatoriska sandlådor enligt andra rättsakter eller på områden där andra initiativ tagits att inrätta regulatoriska sandlådor. Utredningens uppdrag är att föreslå hur AI- förordning- ens krav på att inrätta minst en regulatorisk sandlåda för AI ska upp- fyllas. För att inrätta en sådan sandlåda behövs ingen samordning med regulatoriska sandlådor på andra områden. Det kan dock finnas skäl att se över samordning mellan regulatoriska sandlådor i ett senare skede. 12.7 Testning av AI-system med hög risk under verkliga förhållanden utanför regulatoriska sandlådor för AI 12.7.1 Inledning Testning av AI-system med hög risk under verkliga förhållanden utan- för regulatoriska sandlådor för AI får utföras av leverantörer eller potentiella leverantörer av AI-system med hög risk som förtecknas i bilaga III. Testning ska ske i enlighet med artikel 61 och den plan för testning under verkliga förhållanden som avses i artikeln, utan att det påverkar förbuden enligt artikel 5 (artikel 60.1 första stycket). Bestämmelsen påverkar inte tillämpningen av unionsrätten eller nationell rätt om testning under verkliga förhållanden av AI-system som är relaterade till produkter som omfattas harmoniseringslag- stiftningen i bilaga I till AI-förordningen (artikel 60.1 tredje stycket). Leverantörer eller potentiella leverantörer får på egen hand eller i partnerskap med en eller flera tillhandahållare eller potentiella till- handahållare utföra testning under verkliga förhållanden av AI-system med hög risk som avses i bilaga III när som helst innan AI-systemet släpps ut på marknaden eller tas i bruk (artikel 60.2). 614 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden För att få testa ett AI-system med hög risk som omfattas av bi- laga III till AI-förordningen under verkliga förhållanden krävs alltså att leverantören eller den potentiella leverantören har en plan för test- ning under verkliga förhållanden. AI-förordningen definierar plan för testning under verkliga förhållanden som ett dokument som be- skriver målen och metoden för samt den geografiska, befolknings- mässiga och tidsmässiga omfattningen, övervakningen, organisatio- nen samt genomförandet av testning under verkliga förhållanden. Kommissionen ska genom genomförandeakter specificera de närmare inslagen i planen för testning under verkliga förhållanden (artikel 60.1 andra stycket). Leverantören eller den potentiella leverantören måste också uppfylla villkoren i artikel 60.4 a-k i AI-förordningen. Villkoren är något sammanfattat följande. a) En plan för testning under verkliga förhållanden ska ha utarbe- tats och lämnats in till marknadskontrollmyndigheten. b) Marknadskontrollmyndigheten ska ha godkänt planen inom 30 dagar (om det inte finns bestämmelser om tyst godkännande, se vidare avsnitt 12.7.6). c) Testningen under verkliga förhållanden ska registreras i EU-data- basen alternativt registreras på nationell nivå enligt artikel 49.5. d) Leverantören eller den potentiella leverantören ska vara etable- rad i EU eller ha juridiskt ombud som är etablerat i EU. e) Uppgifter som samlats in och behandlats för testning under verk- liga förhållanden ska överföras till tredjeländer endast om lämp- liga och tillämpliga skyddsåtgärder enligt unionsrätten vidtas. f) Testningen får inte vara längre än sex månader med möjlighet till förlängning med sex månader efter förhandsanmälan till mark- nadskontrollmyndigheten. g) Försökspersoner som tillhör sårbara grupper på grund av ålder eller funktionsnedsättning ska skyddas på lämpligt sätt. h) Om en leverantör eller potentiell leverantör organiserar testningen under verkliga förhållanden i samarbete med en eller flera till- handahållare eller potentiella tillhandahållare, ska dessa ha infor- merats om alla aspekter av testningen som är relevanta för deras beslut att delta och fått den relevanta bruksanvisningen för det 615 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 AI-system som avses i artikel 13. Aktörerna ska ingå ett avtal som anger deras roller och ansvar i syfte att säkerställa överens- stämmelse med bestämmelserna om testning under verkliga för- hållanden enligt AI-förordningen och enligt annan tillämplig unionsrätt och nationell rätt. i) Försökspersonerna i testningen under verkliga förhållanden ska ha gett sitt informerade samtycke eller, när det gäller brottsbe- kämpning, om en begäran om informerat samtycke skulle hindra AI-systemet att testas, får själva testningen och resultatet av test- ningen under verkliga förhållanden inte ha någon negativ inver- kan på försökspersonerna, och deras personuppgifter ska raderas när testningen har utförts. j) Testningen under verkliga förhållanden ska övervakas effektivt av leverantören eller den potentiella leverantören och av tillhanda- hållare eller potentiella tillhandahållare genom personer som har lämpliga kvalifikationer inom det berörda området och som har nödvändig kapacitet, utbildning och auktoritet för att utföra sina uppgifter. k) AI-systemets förutsägelser, rekommendationer eller beslut ska effektivt kunna upphävas eller ignoreras. Testning under verkliga förhållanden kan enligt AI-förordningen ske inom en regulatorisk sandlåda, på det sätt som anges i artiklarna 57.5, 58.4 och 76.2 i AI-förordningen, eller utanför. Vid testning under verkliga förhållanden inom den regulatoriska sandlådan är artik- larna 57–59 tillämpliga. Om testning under verkliga förhållanden sker utanför den regulatoriska sandlådan för AI är dessa regler inte tillämpliga. 12.7.2 Förutsättningar för testning av AI-system med hög risk under verkliga förhållanden Utredningens bedömning: Det krävs inga särskilda tekniska eller rättsliga förutsättningar för att testning av AI-system med hög risk under verkliga förhållanden ska kunna utföras. 616 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden Testning av AI-system med hög risk under verkliga förhållanden ger en leverantör eller potentiell leverantör möjlighet att utföra testning av AI-system som avses i bilaga III till AI-förordningen innan dessa släpps ut på marknaden. Förutsättningen för detta är att kraven i 60.4 a–k är uppfyllda. Bestämmelserna i artiklarna 60 och 61 i AI- förordningen skapar en ram för hur testning ska fungera beträffande AI-system som omfattas av bilaga III samt ställer vissa krav på den som testar AI-systemet. Bestämmelserna i AI-förordningen med- för enligt utredningen inte att det krävs kompletterande bestämmel- ser i svensk rätt för att själva testningen av AI-system ska kunna ske under verkliga förhållanden enligt förordningen. AI-förordningen reglerar däremot att godkännande och säker- ställande av säker utveckling ska ske från en marknadskontrollmyn- dighet samt att myndigheten ska ha vissa särskilda befogenheter för detta. Det krävs även överväganden om vilken eller vilka myndig- heter som ska godkänna och utöva tillsyn över testning av AI-system med hög risk under verkliga förhållanden samt vilka myndigheter som ska ha de befogenheter som framgår av artiklarna 60 och 76. Därutöver kan det finnas skäl att överväga om ansökningspro- cessen inklusive planen för testning under verkliga förhållanden samt den incidentrapportering som ska ske enligt artikel 60.7 bör omfat- tas av sekretess. 12.7.3 Ansvarsfördelning Utredningens bedömning: Det krävs godkännande från en mark- nadskontrollmyndighet för testning av AI-system med hög risk under verkliga förhållanden utanför en regulatorisk sandlåda för AI. De marknadskontrollmyndigheter som ansvarar för marknads- kontroll enligt ansvarsfördelningen för bilaga III till AI-förord- ningen bör ha befogenheter att säkerställa en säker utveckling över testningen. Utredningens förslag: Kompletteringslagen ska innehålla en be- stämmelse om att den marknadskontrollmyndighet som reger- ingen bestämmer ska godkänna testning under verkliga förhål- landen utanför regulatoriska sandlådor för AI och säkerställa en 617 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 säker utveckling av testningen enligt artiklarna 60 och 61 i AI- förordningen. Kompletteringsförordningen ska innehålla bestämmelser om att PTS, IMY och Finansinspektionen ska godkänna testning under verkliga förhållanden utanför regulatoriska sandlådor för AI och säkerställa en säker utveckling av testningen enligt artik- larna 60 och 61, inom sina respektive ansvarsområden för mark- nadskontroll enligt bilaga III till AI-förordningen. Ett av villkoren för testning under verkliga förhållanden är att en marknadskontrollmyndighet har godkänt testningen. Om villkoren i artikel 60.4 a–k i AI-förordningen är uppfyllda får testning under verkliga förhållanden utföras efter godkännandet. Testningen under verkliga förhållanden får inte vara längre än vad som är nödvändigt för att uppnå dess mål och under inga omständigheter längre än sex månader, med möjlighet till förlängning med ytterligare sex måna- der om leverantören eller den potentiella leverantören gör en för- handsanmälan till marknadskontrollmyndigheten, som ska åtföljas av en förklaring av behovet av en sådan förlängning. AI-förordningen reglerar inte att en sådan förlängning behöver godkännas av en mark- nadskontrollmyndighet. Det bör därför endast krävas ett godkän- nande för att få inleda testningen under verkliga förhållanden. Med- lemsstaterna ska ge sina marknadskontrollmyndigheter befogenhet att kräva att leverantörer eller potentiella leverantörer tillhandahåller information, att utföra oanmälda inspektioner på distans eller på plats och att utföra kontroller av utförandet av testningen under verkliga förhållanden och tillhörande AI-system med hög risk. Marknadskontrollmyndigheterna ska använda dessa befogenheter för att säkerställa en säker utveckling av testningen under verkliga förhållanden (artikel 60.6). Frågan är dock vilka myndigheter som bör ha dessa befogenheter. Testning av AI-system med hög risk under verkliga förhållan- den får enligt artikel 60.1 ske av AI-system som avses i bilaga III till AI-förordningen. Utredningen föreslår tre myndigheter som marknadskontrollmyndigheter över AI-system som omfattas av bilaga III (se avsnitt 6.5). Det påverkar enligt utredningen vilka marknadskontrollmyndigheter som ska få i uppgift att godkänna testning och befogenheter att säkerställa en säker utveckling av testningen. 618 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden IMY föreslås inom bilaga III ansvara för punkterna 1, delar av 5 b och 6–8, PTS föreslås ansvara för punkterna 2–4 samt 5 a och d och Finansinspektionen föreslås ansvara för del av punkten 5 b och punkten c. Dessa myndigheter kommer således att ha insyn i vilka aktörer som agerar inom myndigheternas respektive områden och tillsynsprocessen bör således kunna effektiviseras. Testningen ska registreras i EU-databasen respektive på natio- nell nivå. EU-databasen kommer i huvudsak att vara offentlig. IMY kommer vidare att ha insyn i den del av EU-databasen som inte är offentlig (beträffande system med hög risk som avses i punkterna 1, 6 och 7 i bilaga III på områdena brottsbekämpning, migration, asyl och gränskontrollförvaltning). Beträffande AI-system inom punk- ten 2 i bilaga III till AI-förordningen kommer PTS att ha insyn i systemen som ska registreras på nationell nivå (se kapitel 11). Det finns enligt utredningen skäl för att godkännande och säker- ställande av en säker utveckling över testning under verkliga förhål- landen följer marknadskontrollansvaret i bilaga III. Utredningen föreslår därför att ansvaret för testning under verk- liga förhållanden ska åligga PTS, IMY och Finansinspektionen en- ligt deras föreslagna marknadskontrollansvar för AI-system med hög risk enligt AI-förordningen. Det nu berörda ansvaret gäller vid testning under verkliga förhållanden utanför regulatoriska sandlådor för AI. 12.7.4 Marknadskontrollmyndigheternas befogenheter Utredningens förslag: Kompletteringslagen ska innehålla en bestämmelse om att en marknadskontrollmyndighet som ska säkerställa en säker utveckling av testning under verkliga för- hållanden och som regeringen bestämmer ska ha befogenhet att 1. enligt artikel 60.6 i AI-förordningen utföra oanmälda inspek- tioner på distans, 2. enligt artikel 60.6 i AI-förordningen utföra kontroller av ut- förandet av testningen under verkliga förhållanden och till- hörande AI-system med hög risk, 3. enligt artikel 76.3 a i AI-förordningen tillfälligt avbryta eller avsluta testningen under verkliga förhållanden, och 619 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 4. enligt artikel 76.3 b i AI-förordningen kräva att leverantören eller den potentiella leverantören och tillhandahållaren eller den potentiella tillhandahållaren ändrar någon aspekt av test- ningen under verkliga förhållanden. Medlemsstaterna ska ge marknadskontrollmyndigheterna behörig- heter och befogenheter att säkerställa att testning under verkliga för- hållanden sker i enlighet med AI-förordningen (artikel 76.1). Av artikel 60.6 framgår att marknadskontrollmyndigheterna ska ha befogenhet att kräva att leverantörer och potentiella leverantörer tillhandahåller information, att utföra oanmälda inspektioner på distans eller på plats och att utföra kontroller av utförandet av testningen under verkliga förhållanden och tillhörande AI-system med hög risk. Om en marknadskontrollmyndighet har informerats av den potentiella leverantören, leverantören eller någon tredje part om en allvarlig incident eller har andra skäl att anse att villkoren i artiklarna 60 och 61 inte är uppfyllda, får den, beroende på vad som är lämpligt, fatta något av två olika beslut på sitt territorium. Mark- nadskontrollmyndigheten får dels besluta att tillfälligt avbryta eller avsluta testningen under verkliga förhållanden, dels kräva att leveran- tören eller den potentiella leverantören och tillhandahållaren eller den potentiella tillhandahållaren ändrar någon aspekt av testningen under verkliga förhållanden (artikel 76.3 a och b). Befogenheterna bör, liksom övriga befogenheter som utredningen föreslår att marknadskontrollmyndigheterna ska ha, regleras i kom- pletteringslagen (se avsnitt 10.2.1 och 10.2.2). Utöver befogenheterna ska marknadskontrollmyndigheten en- ligt artikel 60.6 i AI-förordningen få utföra kontroller av utföran- det av testningen under verkliga förhållanden och tillhörande AI- system med hög risk. Ytterligare befogenheter regleras dessutom i artikel 76.3. Av den artikeln framgår att myndigheten ska ha möjlig- het att tillfälligt avbryta eller avsluta testningen under verkliga för- hållanden eller kräva att leverantören eller den potentiella leveran- tören och tillhandahållaren eller den potentiella tillhandahållaren ändrar någon aspekt av testningen under verkliga förhållanden. Befogenheterna bör framgå av kompletteringslagen och tilldelas den marknadskontrollmyndighet som regeringen bestämmer ska godkänna testning under verkliga förhållanden utanför regulato- 620 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden riska sandlådor för AI och säkerställa en säker utveckling av test- ningen enligt artiklarna 60 och 61 i AI-förordningen. 12.7.5 Avgifter för testning under verkliga förhållanden Utredningens förslag: Kompletteringslagen ska innehålla bestäm- melser om – att den marknadskontrollmyndighet som regeringen bestäm- mer får ta ut avgifter för testning under verkliga förhållanden utanför regulatoriska sandlådor för AI och för att säkerställa en säker utveckling av testningen enligt artiklarna 60 och 61 i AI-förordningen, och – att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om avgifterna. Kompletteringsförordningen ska innehålla en bestämmelse om att IMY, Finansinspektionen och PTS ska få meddela ytterligare föreskrifter om avgifterna. Rätten att ta ut avgifter enligt AI-förordningen Ansvaret att godkänna testning under verkliga förhållanden och att säkerställa en säker utveckling av testningen kan förväntas bli kost- nadsdrivande för de marknadskontrollmyndigheter som utredningen föreslår ska ansvara för dessa uppgifter. Godkännandeprocessen stäl- ler krav på myndigheterna att granska planerna för testningen och dessutom inom en begränsad tid om 30 dagar (se även avsnitt 12.7.6). Detta kommer ställa krav på att myndigheterna har personella re- surser med rätt kompetens för sådan granskning. När testningen väl har godkänts ska marknadskontrollmyndigheterna även använda sina befogenheter för att säkerställa en säker utveckling av testningen (artikel 60.6 i AI-förordningen). Det kommer att kräva att myndig- heterna har resurser att löpande kontrollera testningen under verk- liga förhållanden. Såväl godkännandet som säkerställandet av en säker utveckling av testningen kan tänkas kräva en del administra- tion från myndigheterna. Utredningen föreslår dessutom att avgif- 621 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 ter ska få tas ut i vissa fall i de regulatoriska sandlådorna för AI (se avsnitt 12.6.11). Alla dessa omständigheter talar för att det bör vara möjligt för marknadskontrollmyndigheterna att ta ut avgifter för godkännande av testning under verkliga förhållanden och säker- ställande av en säker utveckling av testning under verkliga förhål- landen enligt artikel 60 och 61 i AI-förordningen. I AI-förordningen regleras inte förutsättningarna för marknads- kontrollmyndigheter att ta ut avgifter för testning under verkliga förhållanden. Av det skälet och eftersom myndigheterna har behov av att ta ut sådana avgifter för att finansiera verksamheten behöver det regleras i svensk rätt. Det följer av ansvarsfördelningen beträf- fande testning under verkliga förhållanden i vilka avseenden respek- tive myndighet får ta ut avgifter. Det krävs ett särskilt bemyndigande för att få ta ut en avgift I avsnitt 12.6.11 har utredningen redogjort för förutsättningarna för att en myndighet ska få ta ut en avgift enligt avgiftsförordningen. Dessa förutsättningar gör sig gällande även beträffande avgifter för godkännande av testning under verkliga förhållanden och säkerstäl- lande av en säker utveckling av testningen. Möjligheten till testning under verkliga förhållanden ska enligt utredningens uppfattning tillhandahållas framöver, dvs. inte till- fälligt. Verksamheten är inte heller av mindre omfattning. Därför krävs det ett särskilt bemyndigande för marknadskontrollmyndig- heterna för att få ta ut en avgift för verksamheten. Utredningen föreslår därför att det ska framgå av kompletteringslagen att den marknadskontrollmyndighet som regeringen bestämmer ska få ta ut avgifter för godkännande av testning under verkliga förhållanden och för säkerställande av en säker utveckling av testning under verk- liga förhållanden enligt artikel 60 och 61. Avgiftsnivån bör beslutas av myndigheten I avsnitt 12.6.11 har utredningen även redogjort för möjligheten att bestämma avgiftsnivån och att myndigheten i regel ska ha full kost- nadstäckning för verksamheten som tillhandahålls. 622 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden Beträffande testning under verkliga förhållanden föreslår utred- ningen att tre marknadskontrollmyndigheter – IMY, Finansinspek- tionen och PTS – bör utses att godkänna testning under verkliga för- hållanden och säkerställa en säker utveckling av testningen. Enligt utredningen är dessa myndigheter bäst lämpade att avgöra avgifts- nivån för sina godkännanden och sin kontroll av testningen. Alla dessa myndigheter bör för egen del besluta avgiftsnivån, eftersom godkännandet och kontrollen kan vara olika kostnadsdrivande inom olika områden. Avgiftsinkomsterna bör få disponeras av myndigheten Mot bakgrund av de kostnader som kan tänkas uppkomma i sam- band med myndigheternas verksamhet beträffande testning under verkliga förhållanden och kostnader för att fortbilda den personal som ska arbeta med godkännandeprocessen och säkerställande av en säker utveckling bör de myndigheter som utredningen föreslår få disponera över avgiftsinkomsterna. Myndigheten bör därför få ett särskilt bemyndigande om detta enligt 25 § första stycket avgifts- förordningen. IMY, Finansinspektionen och PTS bör bemyndigas att ta ut avgifter och ges föreskriftsrätt Utredningen har kopplat godkännandet av testning under verkliga förhållanden och säkerställande av en säker utveckling av testningen till marknadskontrollmyndigheterna som föreslås som ansvariga marknadskontrollmyndigheter för marknadskontroll över bilaga III till AI-förordningen (se avsnitt 12.7.3). IMY, Finansinspektionen och PTS är ansvariga för olika delar av bilaga III. Dessa tre myndig- heter bör bemyndigas att ta ut avgifter för godkännande av testning under verkliga förhållanden och säkerställande av en säker utveck- ling av testningen. Eftersom myndigheterna bör ges möjlighet att besluta om avgiftsnivån bör samtliga ges rätt att meddela föreskrif- ter om avgifterna för godkännande av testning under verkliga för- hållanden och säkerställande av en säker utveckling av testningen. Inom vilket område dessa föreskrifter får meddelas följer av ansvars- fördelningen. 623 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 Bemyndigandet att få ta ut avgift, bestämma storleken på avgif- ten och disponera densamma sker lämpligen genom att regeringen eller den myndighet som regeringen bestämmer ges rätt att med- dela föreskrifter beträffande avgifter. Föreskriftsrätten bör framgå av kompletteringslagen. Att det är IMY, Finansinspektionen och PTS som ska få meddela föreskrifterna bör framgå av kompletteringsförordningen. 12.7.6 Tyst godkännande Utredningens bedömning: Det bör inte införas några bestäm- melser om tyst godkännande. Ett av villkoren för att få testa AI-system med hög risk under verk- liga förhållanden är enligt artikel 60.4 b att marknadskontrollmyndig- heten i den medlemsstat där testningen under verkliga förhållanden ska utföras har godkänt testningen under verkliga förhållanden och planen för testning under verkliga förhållanden. Om marknadskon- trollmyndigheten inte har lämnat något svar inom 30 dagar ska test- ningen under verkliga förhållanden och planen för testning under verkliga förhållanden betraktas som godkänd. Om det i nationell rätt inte föreskrivs något tyst godkännande, ska testningen under verkliga förhållanden fortfarande förutsätta ett tillstånd. Bestämmelsen är utformad på så sätt att det krävs bestämmelser om tyst godkännande för att sådan ska vara giltig, och annars krävs tillstånd från myndigheten. Det saknas bestämmelser om tyst god- kännande i svensk rätt, alltså gäller som utgångspunkt att det krävs ett beslut från myndigheten. En fördel med ett system med tyst godkännande är att aktörer som vill testa sina AI-system med hög risk under verkliga förhål- landen kan inleda sina tester utan att invänta myndighetens beslut. På så sätt skulle processen från ansökan till att inleda testningar aldrig bli längre än 30 dagar. Testning under verkliga förhållanden gäller dock AI-system som klassificeras som högrisksystem. I skälen till AI-förordningen framgår att AI-system kan ha negativa effekter för människors hälsa och säkerhet, i synnerhet när sådana system fungerar som säkerhetskomponenter i produkter och att omfatt- ningen av de negativa effekter som AI-systemet har på de grund- 624 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden läggande rättigheter som skyddas av stadgan har särskilt stor betyd- else när ett AI-system klassificeras som AI-system med hög risk (skäl 47 och 48). Det finns således en koppling till människors grundläggande rättigheter vid bedömning om ett AI-system är ett högrisksystem. Det är sådana system som omfattas av reglerna om testning under verkliga förhållanden. Detta talar enligt utredningen med styrka för att myndigheten som ska godkänna testning under verkliga förhål- landen måste ge ett godkännande till testningen. Mot denna bakgrund anser utredningen att det inte finns skäl att införa bestämmelser om ett tyst godkännande beträffande testning under verkliga förhållanden. Godkännandet ska i stället lämnas av en marknadskontrollmyndighet i varje enskilt fall. 12.8 Offentlighet och sekretess 12.8.1 Sekretess och regulatoriska sandlådor för AI Utredningens bedömning: Det finns inte några sekretessbestäm- melser som särskilt omfattar verksamheten som kommer att be- drivas i regulatoriska sandlådor för AI. För att uppnå syftet med de regulatoriska sandlådorna för AI behöver det införas bestäm- melser om sekretess och tystnadsplikt som avser verksamheten inom regulatoriska sandlådor för AI. Syftet med regulatoriska sandlådor för AI Regulatoriska sandlådor för AI syftar till att främja AI-innovation genom inrättandet av en kontrollerad experiment- och testmiljö vid utveckling under fasen före utsläppandet på marknaden, där särskild uppmärksamhet bör ägnas åt tillgången till regulatoriska sandlådor för små och medelstora företag, inbegripet uppstartsföretag (skäl 139). Av artikel 57.9 i AI-förordningen framgår att sandlådorna syftar till att förbättra rättssäkerheten för att uppnå efterlevnad av AI-förord- ningen eller, i förekommande fall, annan tillämplig unionsrätt och nationell rätt, stödja utbyte av bästa praxis genom samarbete med de myndigheter som deltar i den regulatoriska sandlådan för AI, främja innovation och konkurrenskraft och underlätta utvecklingen 625 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 av ett AI-ekosystem, bidra till evidensbaserat regulatoriskt lärande och underlätta och påskynda tillträdet till unionsmarknaden för AI-system, särskilt när de tillhandahålls av små och medelstora företag, inbegripet uppstartsföretag. Verksamheten i regulatoriska sandlådor för AI omfattas inte av särskilda sekretessbestämmelser OSL reglerar bl.a. sekretess för uppgifter som förekommer inom viss affärsverksamhet. Det finns exempelvis regler om sekretess för upp- gift om affärsförbindelser med myndigheter i 31 kap. 16 och 17 §§ OSL. För att bestämmelserna ska omfatta uppgifter om en enskild ska en affärsförbindelse föreligga mellan den enskilde och en myn- dighet eller bolag, förening, samfällighet eller stiftelse som driver affärsverksamhet och vari det allmänna genom myndigheten utövar ett bestämmande inflytande eller bedriver revision. Begreppet affärs- förbindelse betyder transaktioner av ekonomisk natur, exempelvis förvärv, avyttrande eller upplåtelse av egendom eller arbete som ska utföras.53 Det finns vidare sekretessregler som är tillämpliga i förhål- lande till uppgifter i patentansökan, om arbetstagares uppfinningar, registrering av mönster, varu- och näringskännetecken och upphovs- rättsligt skyddat verk i 31 kap. 20–23 §§ OSL. Inom den regulatoriska sandlådan för AI kommer inte några affärs- förbindelser att aktualiseras på det sätt som avses 31 kap. 16 och 17 §§ OSL. De bestämmelserna kommer således inte att vara tillämp- liga i förhållande till uppgifter som kommer att behandlas inom ramen för förfarandet i regulatoriska sandlådor för AI. Regulatoriska sandlådor för AI kommer att inrättas och bedrivas av någon form av tillsynsmyndighet enligt AI-förordningen. Sekre- tess för uppgifter som behandlas inom ramen för en myndighets till- synsverksamhet finns bl.a. i 30 kap. OSL. Eftersom verksamheten bestående i vägledning och stöd i regulatoriska sandlådor för AI inte motsvarar tillsyn kommer dessa sekretessbestämmelser inte att vara tillämpliga på uppgifter som behandlas i regulatoriska sandlådor för AI. Detta gäller enligt utredningen även om den myndighet som ansvarar för den regulatoriska sandlådan för AI har ett tillsynsupp- 53 Se Hamlin, 31 kap. 16 § Offentlighets- och sekretesslagen, Karnov kommentar, p. 986, och Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen (2025-06-17 JUNO Version 31), kommentaren till 31 kap. 16 §. 626 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden drag. Några andra tillämpliga sekretessregler för de uppgifter som kommer att behandlas inom ramen för en regulatorisk sandlåda för AI har inte identifierats. Utredningens bedömning är därför att OSL saknar specifika sekre- tessbestämmelser för verksamheten inom regulatoriska sandlådor för AI. 12.8.2 Sekretess till skydd för enskild Utredningens förslag: En ny rubrik ska föras in i 40 kap. OSL som benämns Verksamhet inom regulatoriska sandlådor för AI och testning under verkliga förhållanden. En ny bestämmelse ska föras in i 40 kap. OSL om att sekre- tess gäller i verksamhet som avses i artiklarna 57.5–8 och 58.4 i AI-förordningen för uppgift om enskilds personliga eller eko- nomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. För uppgift i en allmän handling beträffande personliga för- hållanden gäller sekretessen i högst 70 år och beträffande eko- nomiska förhållanden i högst 20 år. Behovet av sekretess för enskilds personliga och ekonomiska förhållanden Vid utveckling av innovativa AI-system inom de regulatoriska sand- lådorna kan enskildas personliga och ekonomiska förhållanden vara uppgifter eller data som AI-system tränas på. Om en leverantör eller en potentiell leverantör kommer att använda sig av en myndighets infrastruktur så behöver uppgifterna ges in till myndigheten. Upp- gifter kan tillgängliggöras även på andra sätt för myndigheten, även när t.ex. leverantörens infrastruktur används för träning och test- ning m.m. Handlingar som ges in till myndigheten blir då i regel allmänna handlingar och en sådan hantering av uppgifterna inom de regulatoriska sandlådorna för AI har inget sekretesskydd enligt nu gällande sekretessbestämmelser. Dessa uppgifter kan dessutom ha samlats in för att användas i en annan verksamhet än för utveckling 627 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 av AI-system. Det finns därför starka skäl till att sekretesskydda uppgifterna. För att utveckla, träna, testa och validera ett innovativt AI-system i en regulatorisk sandlåda för AI behöver en leverantör eller en poten- tiell leverantör, och som utredningen har konstaterat i avsnitt 12.2.3 i förekommande fall tillsammans med en tillhandahållare eller poten- tiell tillhandahållare, ansöka till en regulatorisk sandlåda för AI och upprätta en sandlådeplan. Det kan också krävas att andra marknads- kontrollmyndigheter än den inrättande myndigheten involveras i det specifika sandlådeprojektet. Utveckling kommer att ske av inno- vativa AI-system som konkurrenter på marknaden kan komma att vara intresserade av att få information om. Mot denna bakgrund bör sekretess gälla enligt OSL för enskildas personliga och ekono- miska förhållanden inom ramen för en regulatorisk sandlåda. Sekretess för det allmänna inom ramen för en regulatorisk sand- låda behandlas i avsnitt 12.8.3. Överväganden vid bestämmelsens utformning När det gäller hur sekretessbestämmelsen till skydd för enskilda ska utformas gör utredningen följande bedömning. En sekretessbestämmelse brukar bestå av tre huvudsakliga rek- visit, dvs. förutsättningar för bestämmelsens tillämplighet. Det är rekvisit som anger föremålet för sekretessen, sekretessens räckvidd och sekretessens styrka.54 En sekretessbestämmelse behöver även reglera den tiden under vilken sekretessen ska gälla. Föremålet för sekretess När det gäller sekretess till skydd för enskild används ofta formu- leringen ”uppgift om enskilds personliga och ekonomiska förhål- landen”. Med begreppet ”enskild” avses såväl fysiska som juridiska personer. I litteraturen har det uttalats att det inte torde vålla någon tveksamhet om vad som avses med ekonomiska förhållanden och 54 Se bl.a. prop. 2008/09:150, s. 284. 628 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden att vad som avses med personliga förhållanden ska bestämmas med ledning av vanligt språkbruk.55 I begreppet ekonomiska förhållanden innefattas även en juridisk persons affärs- eller driftförhållanden. Med affärs- eller driftförhållanden avses, förutom förhållanden i specifika ärenden, exempelvis affärshemligheter av mer allmänt slag som marknadsundersökningar, marknadsplaneringar, prissättnings- kalkyler och planer rörande reklamkampanjer. Även konstruktions- arbeten, utredningar av annat slag, prov, förhandlingar och andra affärshändelser omfattas av begreppet. Tanken med sekretesskyd- det är att skydda uppgifter som en enskild kommer att ge in till en myndighet eller som upprättas inom verksamheten inom sandlåde- projektet. Föremålet bör anges till enskilds personliga och ekono- miska förhållanden. Avsikten med ett sekretesskydd inom ramen för en regulatorisk sandlåda är att skydda uppgifter som en enskild kan komma att lämna till en myndighet eller som finns inom ramen för sandlådeprojektet. Uppgifterna kan röra såväl enskildas personliga förhållanden som juridiska personers affärs- eller driftförhållanden. Av det skälet bör föremålet för sekretessen anges till enskilds personliga och ekono- miska förhållanden. Begreppet ekonomiska förhållanden innefattar då affärs- eller driftförhållanden enligt den terminologi som följer av OSL. Sekretessens räckvidd En sekretessbestämmelses räckvidd bestäms normalt genom att det i bestämmelsen preciseras att sekretessen för de angivna uppgifterna endast gäller i viss typ av verksamhet eller i viss typ av ärende eller hos en viss myndighet. En kombination av dessa rekvisit kan också förekomma. Inom verksamheten som bedrivs i regulatoriska sandlådor för AI enligt artiklarna 57.5–8 och 58.4 bör gälla sekretess för uppgift om enskilds personliga och ekonomiska förhållanden. Utredningen begränsar räckvidden till verksamheten som bedrivs inom regula- toriska sandlådor för AI enligt de angivna artiklarna. En sådan räck- 55 Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen (2025-06-17 JUNO Ver- sion 31), avsnitt 4.4.2. 629 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 vidd omfattar alltså verksamheten som sådan oavsett hos vilken myndighet den bedrivs. Sekretessen gäller därmed hos den myndig- het som medverkar i den regulatoriska sandlådan för AI, oavsett vilken myndighet, eller kombination av myndigheter, detta är, eller vilka övriga aktörer som utövar verksamheten i den regulatoriska sandlådan för AI. Med hänsyn till att verksamhet enligt artikel 57.5–8 omfattas av sekretess så innebär det enligt utredningen att även en slutrapport och ett skriftligt bevis omfattas av sekretess, då dessa förekommer i den verksamhet som skyddas av bestämmelsen. Sekretessens styrka Den intresseavvägning som måste göras för att ta ställning till skade- rekvisitet är intresset för den enskildes personliga och ekonomiska förhållanden och allmänhetens intresse av insyn i myndigheters verk- samheter. Det kan röra sig om olika typer av uppgifter om enskildas personliga eller ekonomiska förhållanden. Uppgifterna kan dessutom ha inhämtats i något annat syfte än att primärt träna AI-system. Detta talar för en stark sekretess. Det omvända skaderekvisitet i OSL används beträffande enskil- das skyddsvärda personliga förhållanden, exempelvis skyddad folk- bokföring och fingerade personuppgifter enligt 21 kap. 3 a och 22 kap. 1 och 2 §§, inom hälso- och sjukvården enligt 25 kap. 1 § och inom socialtjänsten enligt 26 kap. 1 § OSL. Exempel på ett omvänt skade- rekvisit finns också vad gäller Kronofogdemyndighetens utsöknings- verksamhet i 34 kap. 1 § OSL. Sammantaget anser utredningen att skyddsbehovet är lika starkt för enskildas personliga förhållanden i en regulatorisk sandlåda för AI som i de angivna exemplen där ett omvänt skaderekvisit tillämpas. Beträffande ekonomiska förhållanden måste vägas intresset för den enskildes ekonomiska förhållanden och allmänhetens intresse av insyn i myndigheters verksamheter. En myndighets medverkan i ett specifikt sandlådeprojekt syftar bl.a. till att bidra till ett snabbt marknadstillträde för en privat aktör. Leverantörerna eller de poten- tiella leverantörerna har alltså i många avseenden ett ekonomiskt intresse av sekretess, på så sätt att marknadskonkurrenter inte ska kunna få kännedom om deras innovativa AI-system. Små och medel- 630 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden stora företag, inklusive uppstartsföretag, ska dessutom beredas till- gång till regulatoriska sandlådor för AI utan kostnad. Myndighetens involvering bidrar alltså till den privata aktörens ekonomiska intresse att delta i den regulatoriska sandlådan. Vid övervägandena kring vilket skaderekvisit som ska gälla i för- hållande till ekonomiska förhållanden finns det skäl att se över struk- turen i OSL vad gäller skaderekvisitet. De regulatoriska sandlådorna kommer att innehålla innovationsprojekt i ett förhållandevis tidigt stadium, vilket kan tala för att det ska röra sig om en förhållandevis stark sekretess. Detta går också i linje med konfidentialitetsbestäm- melsen i artikel 78 i AI-förordningen. I OSL finns regler för arbets- tagares uppfinningar som omfattas av absolut sekretess i vissa avse- enden enligt 31 kap. 21 § OSL. För upphovsrättsligt skyddade verk gäller ett omvänt skaderekvisit enligt 31 kap. 23 § OSL. I förhållande till affärs- eller driftförhållanden är emellertid vanligtvis ett rakt skaderekvisit tillämpligt. Det raka skaderekvisit finns exempelvis i bestämmelserna om enskildas affärsförbindelser med myndigheter, m.m. i 31 kap. 16 och 17 §§ OSL. I förhållande till affärs- eller drift- förhållanden, uppfinningar och forskningsresultat gäller ett rakt skaderekvisit i en statlig myndighets verksamhet som består i utred- ning, planering, prisreglering, tillståndsgivning, tillsyn eller stödverk- samhet med avseende på produktion, handel, transportverksamhet eller näringslivet i övrigt enligt 30 kap. 23 § OSL. I OSL används ett omvänt skaderekvisit beträffande enskildas skyddsvärda personliga förhållanden, som har redogjorts för ovan. I sammanhanget finns också skäl att nämna att regeringen i en lag- rådsremiss har föreslagit en sekretessbestämmelse med omvänt skade- rekvisit i förhållande till incidentrapportering som avses i NIS 2- och CER-direktivet (se även utredningens förslag om sekretess för inci- dentrapporter enligt AI-förordningen i avsnitt 9.9.6). Beträffande skaderekvisitet anför regeringen att utformningen av rekvisitet kan ha stor betydelse för en verksamhetsutövares tilltro till regelverket.56 Mot bakgrund av myndigheternas medverkan i de innovations- främjande projekten finns det ett inte obetydligt insynsintresse i 56 Lagrådsremiss – Ett starkt skydd för nätverks- och informationssystem – en ny cybersäker- hetslag, s. 191 ff. 631 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 det aktuella verksamhetsområdet, vilket talar för att ett rakt skade- rekvisit ska tillämpas.57 Detta ska dock vägas mot syftet med de regulatoriska sandlådorna för AI. Ett för svagt sekretesskydd riskerar att medföra att leveran- törer inte använder sig av den regulatoriska sandlådan för AI och i stället väljer att vända sig till en regulatorisk sandlåda för AI i någon annan medlemsstat. Uppgifterna kan dessutom ha kommersiell be- tydelse som är skyddsvärda. Utredningen anser därför att skyddet för ekonomiska förhållanden behöver utformas med ett omvänt skaderekvisit. Det är särskilt uppgifter beträffande det AI-system som utveck- las, tränas, testas och valideras som kräver ett starkt skydd. Vilken aktör som använder sig av den regulatoriska sandlådan för AI finns det dock ofta ett berättigat intresse för allmänheten att ta del av. Det torde dessutom bara undantagsvis vara till skada eller men för en enskild att allmänheten får vetskap om att aktören utvecklar ett AI-system i en regulatorisk sandlåda för AI. Tidsbegränsning av handlingssekretessen En uppgift bör i princip vara underkastad sekretess endast i de fall där det verkligen medför en skaderisk att röja den. Skaderisken minskar normalt med tiden. Tiderna varierar i OSL mellan två år och 70 år. 70 år är t.ex. den vanligaste i de regler som syftar till att skydda enskildas personliga integritet, medan gränsen i de regler som gäller ekonomiska förhållanden normalt har bestämts till 20 år.58 Enligt utredningen bör tidsbegränsningen bestämmas till högst 70 år för personliga förhållanden och högst 20 år för ekonomiska förhållanden. 57 Viss jämförelse kan göras med 31 kap 4 § OSL som anger att i annan av en myndighet be- driven upplåningsverksamhet eller affärsmässig utlånings- eller investeringsverksamhet än som avses i 1, 2 eller 3 § gäller sekretess för uppgift om en enskilds affärs- eller driftförhål- landen, om det kan antas att den enskilde lider skada om uppgiften röjs, dvs. ett rakt skade- rekvisit, eftersom det rör förvaltning av allmänna medel. Se även Lenberg m.fl., Offentlig- hets- och sekretesslagen (2025-06-17 Version 31, JUNO), kommentaren till 31 kap. 4 §. 58 Prop. 1979/80:2. s. 86. 632 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden Bestämmelsens placering Bestämmelsen om sekretesskydd i regulatoriska sandlådor för AI ut- gör en ny typ av verksamhet som ska regleras i OSL till skydd för enskilda. Bestämmelser som sekretesskydd för enskilda finns i 21– 40 kap. OSL. Verksamheten som bedrivs i ett sandlådeprojekt har vissa likheter med forskningsverksamhet. Om forskningsverksamhet finns bestäm- melser i 24 kap. OSL. Bestämmelserna ger dock främst sekretess- skydd för etiska och vetenskapliga ändamål. Mot bakgrund av att en regulatorisk sandlåda för AI är en innovationsfrämjande åtgärd för att möjliggöra ett snabbare inträde på marknaden är det utred- ningens uppfattning att verksamheten som bedrivs i sandlådepro- jekt inte bör regleras i samband med bestämmelser om forsknings- verksamhet. I princip varje fysisk eller juridisk person kan vara leverantör eller tillhandahållare enligt AI-förordningen och skyddet ska dessutom gälla för såväl enskildas personliga och ekonomiska förhållanden som enskildas affärs- eller driftförhållanden. Det finns bestämmelser i 31 kap. OSL som reglerar skydd för enskild i annan verksamhet med anknytning till näringslivet, bl.a. affärsförbindelser med myndigheter. Den regulatoriska sandlådan för AI syftar till att myndigheter ska kunna ge regulatorisk vägledning och stöd till enskilda. Verksam- heten i sandlådan är inte en affärsförbindelse och behöver inte nöd- vändigtvis ha anknytning till näringslivet, även om så ofta kan komma att vara fallet. Det finns även bestämmelser till skydd för immaterial- rättsliga förhållanden i kapitlet. Utredningen anser – oaktat att det finns bestämmelser som i vissa delar anknyter till den verksamhet som kommer att bedrivas i sandlådorna – att det inte finns någon sådan koppling till näringslivet att bestämmelserna om sekretess bör placeras i 31 kap. OSL. I 40 kap. OSL finns bestämmelser om sekretess till skydd för enskild hos övriga myndigheter och i övriga verksamheter. Kapitlet reglerar flera olika typer av verksamheter, bl.a. teknisk bearbetning och lagring. I kommentaren till kapitlet framgår att det däri finns sekretessbestämmelser som är svåra att placera under en samlad rubrik enligt den övriga strukturen i lagen. I övriga kapitel är be- stämmelserna samlade utifrån deras samband med anknytning till 633 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 deras räckvidd. I 40 kap. OSL föreligger inget övergripande sam- band med anknytning till bestämmelsernas räckvidd.59 Utredningen anser att regulatoriska sandlådor för AI och verk- samheten i dessa skiljer sig så pass mycket från verksamhet som regleras i övriga delar av OSL att de nya bestämmelserna bör föras in i slutet av 40 kap. Paragrafen bör på samma sätt som andra para- grafer i kapitlet föregås av en rubrik. Den bör benämnas Verksam- het inom regulatoriska sandlådor för AI och testning under verk- liga förhållanden. 12.8.3 Sekretess till skydd för det allmänna Utredningens förslag: En ny rubrik ska föras in i 19 kap. OSL som benämns Verksamhet inom regulatoriska sandlådor för AI och testning under verkliga förhållanden. En ny bestämmelse ska föras in i 19 kap. OSL om att sekre- tess gäller för uppgift som hänför sig till en myndighets utveck- ling, träning, testning eller validering av ett AI-system i verksam- het som avses i artiklarna 57.5–8 och 58.4 i AI-förordningen, om det kan antas att syftet med myndighetens framtida användning av AI-systemet motverkas eller att någon gynnas på myndighe- tens bekostnad om uppgiften röjs. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. En ny rubrik ska föras in i 10 kap. OSL som benämns Regu- latoriska sandlådor för AI. I 10 kap. 2 b § OSL ska det föras in en sekretessbrytande be- stämmelse om att sekretess inte hindrar att en uppgift lämnas till en enskild eller annan myndighet för utveckling, träning, test- ning och validering av ett AI-system i en regulatorisk sandlåda för AI, om det med hänsyn till omständigheterna inte är olämp- ligt att uppgiften lämnas ut. 59 Se Ahlström, Offentlighets- och sekretesslagen (2009:400) 40 kap., Lexino 2025-04-01 (JUNO). 634 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden Behovet av skydd för det allmännas utveckling av AI-system Huvudregeln i OSL är att en uppgift för vilken sekretess gäller inte får röjas för enskilda eller för andra myndigheter. Denna utgångs- punkt gäller inte enbart mellan myndigheter, utan även mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra. De nuvarande bestämmel- serna i OSL om sekretess mellan och inom myndigheter, försvårar utbytet av data. Det har också varit avsikten, eftersom syftet med reglerna är att värna enskildas personliga integritet och förebygga missbruk av tillgången till information. Regulatoriska sandlådor för AI ska dock vara öppna för alla leve- rantörer, såväl privata aktörer som myndigheter. Det vore enligt utredningen inte rimligt att en offentlig aktör investerar resurser i ett innovativt AI-system som den vill introducera på marknaden och att AI-systemet sedan blir öppet för allmänheten så snart verk- samheten i den regulatoriska sandlådan för AI påbörjas. Om inte delar av verksamheten får ett sekretesskydd skulle det i praktiken stänga offentliga aktörer ute från de regulatoriska sandlådorna för AI. Det behövs därför ett sekretesskydd för uppgift som hänför sig till en myndighets utveckling, träning, testning och validering av ett AI-system i en regulatorisk sandlåda för AI. Överväganden vid bestämmelsernas utformning Föremålet för sekretess Utredningen anser att föremålet för sekretessen i detta avseende bör bestämmas förhållandevis brett och inte begränsas till när en myndig- het bedriver affärsverksamhet. Utveckling kan ske av system som endast syftar till ett internt användande, men som en privat aktör skulle kunna saluföra på en marknad. Enligt utredningen ska skyd- det i princip motsvara skyddet för enskildas ekonomiska förhållan- den. Genom att skydda en uppgift som hänför sig till en myndighets utveckling, träning, testning eller validering av ett AI-system i verk- samhet som avses i artiklarna 57.5–8 och 58.4 i AI-förordningen skapas ett förhållandevis heltäckande sekretesskydd för den verk- samhet som utredningen anser bör skyddas. 635 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 Utredningen har övervägt ett alternativ att precisera vilka delar av en myndighets uppgifter i förhållande till verksamheten i den regu- latoriska sandlådan för AI som bör skyddas, närmare bestämt algo- ritmer, kod eller metoder. Fördelen med denna lösning är att det framstår som tydligt i lagtexten vad som ska skyddas. Nackdelen är dock att det kan vara svårtillgängligt och tekniskt utmanande att de- finiera och förklara vad som i praktiken ska skyddas, vilket kan skapa tillämpningssvårigheter. Det finns också en risk att föremålet för sekretess blir för snävt och inte omfattar de delar som är avsedda. Ytterligare ett alternativ som utredningen har övervägt är att an- vända sig av begreppet affärs- eller driftförhållanden även i förhål- lande till en myndighets skyddsvärda uppgifter. Begreppet är inte främmande i OSL och har ett vidare tillämpningsområde än att spe- cificera föremålet. Utredningen har tidigare redogjort för omfattningen av affärs- eller driftförhållanden (avsnitt 12.8.2). Begreppet omfattar inte ut- tryckligen kod och metoder som kan behöva skyddas i förhållande till utveckling, träning, testning och validering av innovativa AI- system. Begreppet har emellertid ansetts omfatta flera delar som angränsar till metoder, t.ex. verksamhetslinjer och marknadsplaner- ingar. Skyddsbehovet för myndigheters uppgifter i regulatoriska sandlådor för AI motiveras med att myndigheter bör ges möjlighet att utveckla AI-system för sin verksamhet utan att någon – på ett sätt som kan gynna denne på en myndighets bekostnad – kan ta del av t.ex. algoritmer, koder och metoder. Detta föremål ligger förhål- landevis nära det som avses i affärs- eller driftförhållanden, på så sätt att myndigheten utvecklar ett system för marknaden enligt AI-för- ordningen. En nackdel med denna lösning är att affärs- eller driftför- hållanden inte har omfattat en myndighets verksamhet på detta sätt tidigare. Begreppet affärs- eller driftförhållanden skulle alltså få en utvidgad betydelse. Sammantaget anser utredningen alltså att den lämpligaste lösningen är att skydda uppgifter som hänför sig till en myndighets utveckling, träning, testning eller validering av ett AI-system. 636 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden Sekretessens räckvidd Utredningen föreslår att sekretessens räckvidd ska gälla för uppgift som hänför sig till en myndighets utveckling, träning, testning och validering av ett AI-system i verksamhet inom en regulatorisk sand- låda för AI som avses i artiklarna 57.5–8 och 58.4 i AI-förordningen. I detta avseende är det samma räckvidd som för skyddet för en- skilds personliga och ekonomiska förhållanden (se avsnitt 12.8.2). Med myndighet avses de organ som ingår i den offentligrättsliga statliga eller kommunala organisationen. Av 2 kap. 3 § OSL följer vidare att det som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar ska gälla också handlingar hos bolag, handelsbolag, ekonomiska fören- ingar och stiftelser där kommuner eller regioner utövar ett bestäm- mande inflytande. Sådana bolag, föreningar och stiftelser ska vid tillämpningen av OSL jämställas med myndigheter. Sekretessbestäm- melsen anger att en myndighets uppgift skyddas. Med detta avses alltså statliga, kommunala och regionala myndigheter jämte aktie- bolag m.fl. organ som en kommun eller en region utövar ett bestäm- mande inflytande över. Om en kommun eller en region inte utövar ett bestämmande inflytande över ett bolag, en förening eller en stif- telse så betraktas de alltså inte som en myndighet i OSL:s mening. I den situationen skyddas organet i stället av utredningens föreslagna sekretesskydd för enskild (se avsnitt 12.8.2). Sekretessens styrka Syftet med den föreslagna regleringen är inte att all verksamhet som en myndighet bedriver i sandlådan ska bli skyddad från allmänhet- ens insyn. Det är dock av stor vikt att myndigheter kan utveckla AI-system inom en regulatorisk sandlåda för AI utan att riskera att ge andra marknadsaktörer möjlighet att få kännedom om idén och utveckla för egen del och så småningom få konkurrensfördelar av detta. En fullständig offentlighet i dessa fall kan vara ekonomiskt skadlig för det allmänna. Behovet av insyn i myndigheters verksam- heter är emellertid större än att få insyn i privata aktörers verksam- heter. Därför bör sekretesskyddet för myndigheter inte vara lika starkt som för privata aktörer. Genom att bestämma sekretesskyd- det för myndigheter till att gälla endast om det kan antas att syftet 637 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 med myndighetens framtida användning av AI-systemet motverkas eller att någon gynnas på myndighetens bekostnad om uppgiften röjs anser utredningen att myndighetens uppgifter får ett tillräckligt skydd som går väl i linje med syftet med AI-förordningen. Bestämmelsen bör därför utformas med ett rakt skaderekvisit, dvs. det råder pre- sumtion för offentlighet. Skaderekvisitet är utformat för att skydda myndigheterna från insyn från konkurrenters sida och myndighetens framtida användning av AI-systemet. En liknande intresseavvägning om konkurrensintresset finns i 19 kap. 1 § OSL.60 Tidsbegränsning av handlingssekretess Som utredningen tidigare har redogjort för är det vanligt med en tidsbegränsning för uppgift om ekonomiska förhållanden i allmän handling att sekretessen består i högst 20 år. Samma tidsbegräns- ning används i 19 kap. 1 § OSL beträffande myndighets affärsverk- samhet. Utredningen anser att skyddet för uppgifter som är föremål för verksamhet inom regulatoriska sandlådor för AI ska ha samma tidsbegränsning om 20 år. Bestämmelsernas placering Beträffande skyddet för enskild i verksamheten som bedrivs i den regulatoriska sandlådan för AI har utredningen föreslagit en placer- ing i 40 kap. OSL (se avsnitt 12.8.2). Kapitlet gäller dock till skydd för enskild. I detta avseende skyddas en myndighets uppgifter. Det finns närliggande bestämmelser i 19 kap. OSL. Mot den bakgrunden bör den föreslagna bestämmelsen föras in i 19 kap. OSL under en ny rubrik som benämns Verksamhet inom regulatoriska sandlådor för AI och testning under verkliga förhållanden (se även avsnitt 12.8.5). Utredningen föreslår också en sekretessbrytande bestämmelse. Sådana bestämmelser finns framför allt i 10 kap. OSL. I 10 kap. 2 § finns en generell bestämmelse om nödvändigt utlämnande och i 10 kap. 2 a § finns en sekretessbrytande bestämmelse om teknisk bearbetning och teknisk lagring. Den föreslagna bestämmelsen föl- jer samma systematik som 10 kap. 2 § och 2 a § OSL. Detta talar för 60 Se Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen (2025-06-17 JUNO Version 31), kommentaren till 19 kap. 1–2 §§. 638 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden att bestämmelserna ska följa efter 10 kap. 2 a § under en ny rubrik som benämns Regulatoriska sandlådor för AI. Ett alternativ hade varit att föra in den sekretessbrytande bestäm- melsen i anslutning till den föreslagna sekretessbestämmelsen i 19 kap. på samma sätt som gäller vid bestämmelser om upphandling enligt 19 kap. 3–3 b §§ OSL. Utredningen anser dock att förutsebarhets- skäl och systematiska skäl talar för att föra in sekretessbrytande bestämmelser i 10 kap. OSL. En sekretessbrytande bestämmelse En regulatorisk sandlåda för AI kan komma att involvera flera myn- digheter som ska samarbeta i specifika sandlådeprojekt. Enligt ut- redningens förslag ska alltid en inrättande myndighet medverka. Det kan utöver denna myndighet bli aktuellt med medverkan från en andra myndigheter med ansvar för marknadskontroll enligt AI- förordningen, en myndighet som avses i artikel 57.10 och en myn- dighet som agerar som exempelvis leverantör. Enligt regleringen i AI-förordningen görs ingen skillnad på offentliga leverantörer och enskilda leverantörer i detta fall. Detta ställer krav på att myndig- heterna kan dela med sig av uppgifter till varandra för att projekten ska kunna genomföras. Det kan argumenteras för att de myndigheter som kommer att vara involverade i driften av en regulatorisk sandlåda för AI redan kan dela uppgifter med varandra inom sandlådan eftersom de agerar inom samma författningsreglerade verksamhet. Om utlämnande skulle anses ske utanför ramarna för samma verksamhet gäller 10 kap. 2 § OSL som anger att sekretess inte hindrar att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen i 10 kap. 2 § OSL gäller således även i förhållande till enskilda. Den bestämmelsen ska dock tillämpas restriktivt och inte av rena effektivitetsskäl.61 För att en inrättande myndighet och en annan marknadskontroll- myndighet eller en myndighet som avses i artikel 57.10 ska kunna samverka på det sätt som krävs för att kunna ge vägledning och utöva tillsyn i enlighet med kraven i AI-förordningen behöver de 61 Se Sandvik, offentlighets- och sekretesslagen (2009:400) 10 kap. 2 §, Lexino 2024-07-30. 639 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 myndigheterna kunna dela uppgifter med varandra. Det kan exem- pelvis handla om att en inrättande myndighet måste dela med sig av uppgifter från ansökan till sandlådan eller resultat från sandlådan som innehåller sekretesskyddat material. Även enskilda kan komma att medverka i verksamheten i sand- lådan när detta krävs för att kunna ge vägledning och annat stöd och även enskilda behöver därmed kunna ta del av sekretesskyddade uppgifter. För att en myndighet ska kunna agera som leverantör eller poten- tiell leverantör i en regulatorisk sandlåda för AI behöver den ansöka till sandlådan om att få genomföra sitt sandlådeprojekt. För att där- efter kunna gå vidare med projektet måste myndigheten upprätta en sandlådeplan gemensamt med de myndigheter som ska ge väg- ledning och utöva tillsyn i sandlådan. För att kunna göra det måste det finnas möjlighet för myndigheten att dela med sig av eventuellt sekretesskyddade uppgifter som AI-systemet ska tränas på. För samtliga dessa syften föreslår utredningen att det införs en ny sekretessbrytande bestämmelse i 10 kap. OSL. Bestämmelsen behövs för att innovationsstödet i sandlådan ska vara tillgängligt även för offentliga leverantörer. Bestämmelsen krävs även för att verksamheten i en regulatorisk sandlåda för AI ska kunna genom- föras i enlighet kraven i AI-förordningen. Tillämpningsområdet för bestämmelsen omfattar såldes både ut- lämnande av uppgifter till sandlådan av en myndighet som är leveran- tör eller potentiell leverantör och utlämnande mellan aktörer inom sandlådan. Utredningen har övervägt att införa en bestämmelse om skyldighet för myndigheter att lämna uppgifter inom sandlådan i kompletteringsförordningen. Eftersom den ovan föreslagna sekre- tessbestämmelsen även är tillämplig inom den regulatoriska sand- lådan för AI så föreslås emellertid inte någon sådan bestämmelse. Utredningen föreslår dock att utlämnandet får ske endast om det med hänsyn till omständigheterna inte är olämpligt att uppgif- ten lämnas ut. Enligt utredningen är lämplighetsbedömningen be- fogad mot bakgrund av att uppgifter utan hinder av sekretess kan få lämnas ut vid utveckling m.m. av AI-system i en regulatorisk sand- låda för AI. Uppgifter som används vid utveckling m.m. av AI-system i sandlådan kan vara många och det kan även röra sig om uppgifter som åtnjuter ett starkt skydd i de sammanhang från vilka de lämnas ut. Den myndighet som vill använda en regulatorisk sandlåda för 640 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden AI bör därför bedöma lämpligheten i utlämnandet innan detta sker. Bland annat ska hänsyn tas till karaktären och omfattningen av de uppgifter som ska lämnas ut vid lämplighetsbedömningen. Bedöm- ningen behöver emellertid göras även när en myndighet vill lämna ut uppgifter inom en regulatorisk sandlåda för AI, dvs. under tiden som ett sandlådeprojekt genomförs. Ett utlämnande inom sandlådeprojektet bör emellertid i majori- teten av fallen vara lämpligt att göra. Utlämnandena i dessa fall sker nämligen endast när detta behövs för att involverade parter i det specifika sandlådeprojektet ska kunna fullgöra sina skyldigheter att vägleda och på annat sätt ge stöd till leverantörerna i enlighet med kraven i AI-förordningen. Utlämnande i dessa fall antas således all- tid ske för att sandlådeprojektet alls ska kunna genomföras, och bör därför i princip alltid vara lämpliga. Bestämmelsen bör utformas på så sätt att sekretess inte hindrar att en uppgift lämnas till en enskild eller en annan myndighet för utveckling, träning, testning och validering av ett AI-system i en regulatorisk sandlåda för AI enligt AI-förordningen. Detta bör dock endast gälla om det med hänsyn till omständigheterna inte är olämp- ligt att uppgiften lämnas ut. 12.8.4 Tystnadsplikt Utredningens förslag: Kompletteringslagen ska innehålla en be- stämmelse om att den som på grund av anställning eller på något annat sätt deltar eller har deltagit i verksamhet i en regulatorisk sandlåda för AI och som tar del av uppgift om enskilds person- liga eller ekonomiska förhållanden eller uppgift som hänför sig till en myndighets utveckling, träning, testning eller validering av ett AI-system i sådan verksamhet inte får obehörigen röja eller utnyttja uppgifterna. I det allmännas verksamhet tillämpas i stället bestämmelserna i OSL. Bestämmelser om sekretess i OSL gäller i regel endast i det allmännas verksamhet. Av artikel 58 i AI-förordningen framgår att de genom- förandeakter som kommissionen ska anta ska säkerställa att regula- toriska sandlådor för AI underlättar deltagandet av andra relevanta 641 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 aktörer inom AI-ekosystemet, såsom anmälda organ och standar- diseringsorganisationer, små och medelstora företag, inbegripet uppstartsföretag och andra företag, innovatörer m.fl. för att möjlig- göra och underlätta samarbete med den offentliga och privata sek- torn. Detta innebär att olika aktörer kan komma att få del av upp- gifter som är sekretessbelagda om de deltar i sådan verksamhet som kommer att genomföras i regulatoriska sandlådor för AI. Sekretess- belagda uppgifter bör ha samma skydd i verksamheten oavsett vem som tar del av dem. 2 kap. 1 § OSL innehåller ett förbud att röja eller utnyttja en uppgift enligt OSL eller enligt lag eller förordning som den lagen hänvisar till för myndigheter och för en person som fått kännedom om uppgiften genom att för det allmännas räkning delta i en myn- dighets verksamhet på grund av anställning eller uppdrag hos myn- digheten, på grund av tjänsteplikt, eller på annan liknande grund. Bestämmelsen gäller främst för uppdragstagare till myndighet och gäller i princip inte den som är anställd hos ett privat rättssubjekt.62 Räckvidden av bestämmelsen sträcker sig dessutom till en person som fått kännedom om uppgifter genom att för det allmännas räk- ning delta i myndighets verksamhet. Uppgifterna som kan komma att förekomma i regulatoriska sandlådor för AI och som nu före- slagen bestämmelse avser att skydda behöver inte nödvändigtvis härröra från ett uppdrag för det allmännas räkning, även om det all- männa genom en offentlig myndighet deltar i samma verksamhet i sandlådan. Mot denna bakgrund anser utredningen att det behövs en be- stämmelse om tystnadsplikt som kompletterar OSL för de upp- gifter som skyddas av sekretess enligt OSL. Utredningen föreslår att en sådan bestämmelse ska tas in i kompletteringslagen. 62 Prop. 1979/80:2 del A, s. 128. 642 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden 12.8.5 Sekretess och testning under verkliga förhållanden Utredningens förslag: En ny bestämmelse ska föras in 40 kap. OSL om att sekretess gäller för uppgift om affärs- eller driftför- hållanden som avser en operatör enligt 3.8 AI-förordningen vid testning under verkliga förhållanden enligt artiklarna 60 och 61 i samma förordning, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. Det ska även föras in en ny bestämmelse i 19 kap. OSL om att sekretess gäller för myndighets uppgift som hänför sig till testning under verkliga förhållanden enligt artiklarna 60 och 61 i AI-förordningen, om det kan antas att syftet med den framtida användningen av AI-systemet motverkas eller att någon gynnas på myndighetens bekostnad om uppgiften röjs. I bestämmelserna ska anges att det för uppgift i allmän hand- ling gäller sekretess i högst tjugo år. Behovet av sekretesskydd gällande testning under verkliga förhållanden I princip samma överväganden som utredningen tidigare har redo- gjort för beträffande behov av sekretesskydd för aktörer som ska använda sig av regulatoriska sandlådor för AI gör sig gällande även beträffande sekretesskydd vid testning under verkliga förhållanden. Om en leverantör eller potentiell leverantör inte kan skydda sitt inno- vativa AI-system kan det verka innovationshämmande och medföra att aktören inte vill utveckla sitt AI-system i Sverige. Det behövs därför överväganden om sekretesskydd beträffande testning under verkliga förhållanden. Överväganden vid bestämmelsernas utformning Föremålet för sekretess Testning av AI-system av hög risk som förtecknas i bilaga III får ske efter godkännande av en plan för testning under verkliga förhållan- den. AI-förordningen definierar plan för testning under verkliga förhållanden som ett dokument som beskriver målen och metoden 643 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 för samt den geografiska, befolkningsmässiga och tidsmässiga om- fattningen, övervakningen, organisationen samt genomförandet av testning under verkliga förhållanden. Kommissionen ska genom genomförandeakter specificera de närmare inslagen i planen för testning under verkliga förhållanden (artikel 60.1 andra stycket). Planen som ska överenskommas och godkännas av en marknads- kontrollmyndighet kommer att behöva ges in till myndigheten och därmed blir den en allmän handling. Även viss korrespondens runt planen och testningen kan behöva ske. I planen kan förekomma uppgifter om andra operatörer enligt AI-förordningen, exempelvis produkttillverkare, importörer och distributörer. Det kan inte ute- slutas att det finns känslig information beträffande även dessa opera- törer i den plan som ska ges in till myndigheten som ska godkänna testningen. Planen och sådan korrespondens som sker runt planen kan alltså innehålla potentiellt känslig information, särskilt beträf- fande enskilds affärs- eller driftförhållanden. Enligt utredningen bör därför föremålet för sekretess vad gäller enskilda operatörer vara uppgift om affärs- eller driftförhållanden. Eftersom det är främst planen och korrespondens runt denna som är skyddsvärda torde det inte förekomma uppgifter om enskilda vars uppgifter kommer att användas i testningen under verkliga förhål- landen vid enskilda operatörers ansökan eller planering av testningen. Därför föreslås inte något skydd för sådana uppgifter. Det är först vid själva testningen som andra enskildas uppgifter kan komma att hanteras, och då är marknadskontrollmyndigheten inte involverad. Liknande överväganden om skyddsvärde gör sig gällande när myndigheter ska testa AI-system under verkliga förhållanden. En myndighet måste också ansöka till någon av de marknadskontroll- myndigheter som ansvarar för tillsyn över testningen. Föremålet för sekretessen bör i dessa fall vara en uppgift som hänför sig till själva testningen enligt artikel 60 i AI-förordningen och som ris- kerar att motverka myndighetens framtida användningen av AI- systemet eller gynna en enskild på myndighetens bekostnad. 644 SOU 2025:101 Regulatoriska sandlådor för AI och testning under verkliga förhållanden Sekretessens räckvidd Leverantörer eller potentiella leverantörer kan genomföra testning under verkliga förhållanden. De kan göra det i samarbete med till- handahållare eller potentiella tillhandahållare. Efter godkännandet sker själva testningen hos leverantören eller den potentiella leverantören utan någon myndighets inblandning. Marknadskontrollmyndigheter har möjlighet att ingripa i vissa av- seenden, men ansvaret för testningen är i princip leverantörens eller den potentiella leverantören. Någon verksamhet beträffande test- ningen kommer således inte att ske hos marknadskontrollmyndig- heten. Räckvidden av bestämmelserna bör mot denna bakgrund anges på så sätt att sekretess gäller för uppgifterna vid testning under verkliga förhållanden enligt artikel 60 i AI-förordningen. På så sätt skyddas såväl planen som ska ges in till myndigheten, som sådan korrespondens kring planen och testningen som behövs för att godkännande ska kunna ske och testningen ska kunna utföras. Sekretessens styrka Utredningen har tidigare redogjort för vilka faktorer som ska beak- tas vid överväganden om sekretessens styrka och användningen av olika skaderekvisit i OSL (se avsnitt 12.8.2). Planen för testning under verkliga förhållanden ska bl.a. innehålla delar av metoden för testningen. Enligt utredningen har uppgifterna i planen som ska upp- rättas och eventuell korrespondens i anslutning till ansökan eller testningen under verkliga förhållanden samma skyddsvärde som motsvarande uppgifter om enskilds affärs- eller driftförhållanden i den regulatoriska sandlådan för AI. Detta talar för att utforma be- stämmelsen till skydd för enskildas affärs- eller driftförhållanden med ett omvänt skaderekvisit. Beträffande sekretessens styrka för myndigheters uppgifter gör utredningen samma överväganden som beträffande skyddet för upp- gifterna som förekommer i den regulatoriska sandlådan för AI (se avsnitt 12.8.3). Sekretesskyddet för myndigheters uppgifter är i och för sig något bredare än för privata subjekt, men bestämmelsen ut- formas till skillnad mot sekretessen för enskild med ett rakt skade- rekvisit, dvs. det råder presumtion för offentlighet. 645 Regulatoriska sandlådor för AI och testning under verkliga förhållanden SOU 2025:101 Tidsbegränsning av handlingssekretessen Som utredningen tidigare har redogjort för är det vanligt med en tidsbegränsning för uppgift om affärs- eller driftförhållanden i all- män handling att sekretessen består i högst 20 år. Det bör enligt utredningen vara samma tidsbegränsning även beträffande uppgift som hänför sig till testning under verkliga förhållanden. Bestämmelsernas placering Till följd av systematiken i OSL, dvs. att enskildas uppgifter och myndigheters uppgifter skyddas i olika avdelningar, anser utred- ningen att det bör föras in bestämmelser på olika ställen i OSL till skydd för enskilda och myndigheter. Bestämmelsen som omfattar enskilda bör framgå av 40 kap. OSL och bestämmelsen som omfattar myndigheter bör framgå av 19 kap. OSL i enlighet med förslagen om placering av andra föreslagna sekretessbestämmelserna relaterade till regulatoriska sandlådor för AI. 12.8.6 Avslutande anmärkningar om offentlighet och sekretess Utredningen föreslår flera nya bestämmelser i OSL som omfattar verksamheten i regulatoriska sandlådor för AI och testning under verkliga förhållanden. Flera sekretessbestämmelser kan bli tillämp- liga samtidigt på verksamheten, bl.a. beroende på hur tillsynsbegrep- pet tolkas i artiklarna 57 och 58 i AI-förordningen. Utredningen har mot bakgrund av att det inte är helt klart hur artiklarna ska tolkas inte kunnat göra någon kartläggning av hur de föreslagna sekretessbestämmelserna förhåller sig till befintliga be- stämmelser om exempelvis tillsynssekretess och sekretess för säker- hets- och bevakningsåtgärd (jfr särskilt 18 kap. 8 § 3 och 4 OSL, se även avsnitt 9.9.6). Hur artiklarna ska tillämpas närmare och hur detta kan påverka tillämpligheten av bestämmelser i OSL får som ut- gångspunkt utvecklas i rättstillämpningen. Det kan emellertid finnas skäl att utreda detta vidare i den fortsatta beredningen av lagförslagen. 646 13 Stöd för tillämpning och efterlevnadskontroll 13.1 Inledning I skälen till AI-förordningen anges att det finns behov av en styrnings- ram som gör det möjligt såväl att samordna och stödja tillämpningen av AI-förordningen på nationell nivå som att bygga upp kapacitet på unionsnivå och involvera berörda parter på AI-området. Ett effek- tivt genomförande och en effektiv kontroll av efterlevnaden av för- ordningen kräver en styrningsram som gör det möjligt att samordna och bygga upp central expertis på unionsnivå (skäl 148). I AI-förordningen anges därför en styrningsram på unionsnivå till stöd för tillämpningen och efterlevnadskontroll av AI-förordningen. Styrningen på unionsnivå innefattar AI-byrån (artikel 64), en euro- peisk styrelse för AI (AI-styrelsen) (artiklarna 65 och 66), ett råd- givande forum (artikel 67) och en vetenskaplig panel av oberoende experter (artiklarna 68 och 69). Ett av utredningens uppdrag är att analysera och, vid behov, före- slå i vilken utsträckning Sverige bör delta i AI-förordningens före- slagna implementeringsstöd och innovationsfrämjande åtgärder samt på vilket sätt det ska ske. Eftersom AI-förordningen inte ska imple- menteras i svensk rätt har utredningen valt att benämna detta kapitel som ”Stöd för tillämpning och efterlevnadskontroll”. I detta kapitel inleder utredningen med att först redogöra för be- stämmelserna i AI-förordningen om styrning på unionsnivå (se av- snitt 13.2). Utredningen redogör därefter för Sveriges deltagande i stöd för tillämpning och efterlevnadskontroll inom unionen enligt andra närliggande unionsrättsakter (se avsnitt 13.3). I avsnitt 13.4 redogör utredningen först för Sveriges politiska styrning inom AI- området, svensk forskning inom AI och Sveriges befintliga deltag- ande i styrning på unionsnivå enligt AI-förordningen. Därefter 647 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 analyserar och redogör utredningen för rättsliga överväganden vad gäller Sveriges underlättande av AI-byråns uppgifter och deltagande i AI-styrelsen och dess undergrupper, den vetenskapliga panelen av oberoende experter samt det rådgivande forumet. I avsnitt 13.5 redogör utredningen avslutningsvis för några sekre- tessfrågor i förhållande till EU-samarbetet. 13.2 Styrning på unionsnivå 13.2.1 AI-byrån Kommissionen ska utveckla unionens sakkunskap och kapacitet på AI-området genom AI-byrån (artikel 64.1). AI-byrån är kommis- sionens funktion för att bidra till genomförandet, övervakning och tillsynen av AI-system samt AI-modeller för allmänna ändamål, och AI-styrning (artikel 3.47). Medlemmarna ska underlätta de uppgifter som anförtros AI-byrån i enlighet med vad som återspeglas i AI-för- ordningen (artikel 64.2). AI-byrån inrättades av kommissionen genom beslut den 24 jan- uari 2024.1 AI-byrån består av fem enheter och två rådgivare. Enhet- erna utgörs av ”Excellence in AI and Robotics”, ”Regulation and Compliance”, “AI Safety”, “AI Innovation and Policy Coordination” och “AI for Societal Good”. Rådgivarna utgörs av den ledande veten- skapliga rådgivaren och rådgivaren för internationella ärenden. AI-byrån har en bred funktion för införlivandet och efterlevnaden av AI-förordningen. AI-byrån får bl.a. utveckla och rekommendera frivilliga standardvillkor för avtal mellan leverantörer av AI-system med hög risk och tredje parter som tillhandahåller verktyg, tjänster, komponenter eller processer som används för eller är integrerade i AI-system med hög risk. Vid utarbetandet av dessa frivilliga standard- villkor ska AI-byrån ta hänsyn till eventuella avtalskrav som är tillämp- liga inom specifika sektorer eller affärsförhållanden (artikel 25.4 andra stycket). AI-byrån ska också utarbeta en mall för ett fråge- formulär, inbegripet genom ett automatiserat verktyg, för att under- lätta för tillhandahållare att på ett förenklat sätt fullgöra sina skyldig- heter i fråga om konsekvensbedömningar avseende grundläggande rättigheter för AI-system med hög risk enligt artikel 27 (artikel 27.5). 1 Kommissionens beslut av den 24 januari 2024 om inrättande av Europeiska byrån för arti- ficiell intelligens, C/2024/1459. 648 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll AI-byrån ska uppmuntra och underlätta utarbetandet av förfar- andekoder på unionsnivå för att underlätta ett effektivt genomför- ande av transparensskyldigheterna avseende upptäckt och märkning av artificiellt skapat eller manipulerat innehåll enligt artikel 50.2 (artikel 50.7). AI-byrån ska också i övrigt uppmuntra och underlätta utarbet- andet av förfarandekoder på unionsnivå för att bidra till en korrekt tillämpning av AI-förordningen, med beaktande av internationella strategier (artikel 56.1). AI-byrån och AI-styrelsen ska sträva efter att säkerställa att förfarandekoderna åtminstone omfattar de skyldig- heter som fastställs i artiklarna 53 och 55 vad avser leverantörer av AI-modeller för allmänna ändamål (artikel 56.2). AI-byrån får upp- mana alla leverantörer av AI-modeller för allmänna ändamål, samt relevanta nationella behöriga myndigheter, att delta i utarbetandet av förfarandekoder. Det civila samhällets organisationer, industrin, den akademiska världen och andra berörda parter, såsom leveran- törer i efterföljande led och oberoende experter, får stödja processen (artikel 56.3). AI-byrån och AI- styrelsen ska sträva efter att säker- ställa att förfarandekoderna innehåller tydligt angivna specifika mål samt åtaganden eller åtgärder, inbegripet centrala resultatindikatorer när så är lämpligt, för att säkerställa att dessa mål uppnås, och att de tar vederbörlig hänsyn till alla intressenters, inbegripet berörda personers, behov och intressen på unionsnivå (artikel 56.4). AI-byrån ska sträva efter att säkerställa att deltagarna i förfarandekoderna regel- bundet rapporterar till AI-byrån om genomförandet av åtagandena samt de åtgärder som vidtagits och deras resultat, även i förhållande till de centrala resultatindikatorerna när så är lämpligt (artikel 56.5). AI-byrån och AI-styrelsen ska regelbundet övervaka och utvärdera hur deltagarna uppnår förfarandekodernas mål och hur de bidrar till en korrekt tillämpning av AI-förordning (artikel 56.6). AI-byrån och medlemsstaterna ska också uppmuntra och under- lätta utarbetandet av uppförandekoder, inbegripet tillhörande styr- ningsmekanismer, som är avsedda att främja frivillig tillämpning på AI-system, utom AI-system med hög risk, av vissa eller alla av de obligatoriska kraven för AI-system med hög risk (artiklarna 8–15), med beaktande av tillgängliga tekniska lösningar och bästa bransch- praxis som möjliggör tillämpning av sådana krav (artikel 95.1). AI- byrån och medlemsstaterna ska även underlätta utarbetandet av upp- förandekoder för frivillig tillämpning, inbegripet av tillhandahållare, 649 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 av särskilda krav på alla AI-system, på grundval av tydliga mål och centrala resultatindikatorer för att mäta uppnåendet av dessa mål (artikel 95.2). I fråga om de regulatoriska sandlådorna ska de nationella behöriga myndigheterna informera AI-byrån och AI-styrelsen om inrättandet av en sandlåda och får begära stöd och vägledning av dem samt lämna årliga rapporter till AI-byrån om framstegen och resultaten i sand- lådorna (artikel 57.15–16). Vidare ska AI-byrån vidta åtgärder för leverantörer och tillhanda- hållare, särskilt små och medelstora företag, inbegripet uppstarts- företag. AI-byrån ska tillhandahålla standardiserade mallar för om- råden som omfattas av AI-förordningen, i enlighet med AI-styrelsens anvisningar i dess begäran. AI-byrån ska också utveckla och upprätt- hålla en enda informationsplattform som ger information som är lätt att använda om AI-förordningen till alla operatörer i hela unionen. AI-byrån ska dessutom anordna lämpliga kommunikationskampanjer för att öka medvetenheten om de skyldigheter som följer av förord- ningen och utvärdera och främja konvergens av bästa praxis i förfaran- den för offentlig upphandling när det gäller AI-system (artikel 62.3). AI-byrån har även befogenhet att övervaka och utöva tillsyn över AI-systems efterlevnad av skyldigheterna enligt AI-förordningen om AI-systemet bygger på en AI-modell för allmänna ändamål och systemet har utvecklats av samma leverantör (artikel 75.1). AI-byrån har också till uppgift att vägleda de utvärderingar och översyner som ska göras av AI-förordningen genom att ta fram en objektiv och deltagandebaserad metod för utvärdering av risknivå- erna på grundval av de kriterier som anges i de relevanta artiklarna och införandet av nya system i – förteckningen i bilaga III till AI-förordningen, inbegripet utvidg- ning av befintliga områdesrubriker eller tillägg av nya områdes- rubriker i denna bilaga, – förteckningen över de förbjudna användningsområden som fast- ställs i artikel 5, och – förteckningen över AI-system som kräver ytterligare transparens- åtgärder enligt artikel 50 (artikel 112.11). I kommissionens beslut om inrättandet av AI-byrån framgår också AI-byråns uppgifter som i stora delar överensstämmer med de upp- 650 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll gifter AI-byrån har enligt AI-förordningen. I beslutet framgår bl.a. att AI-byrån i arbetet med genomförandet av AI-förordningen ska samråda med olika intressenter, inklusive experter från forskarsam- hället och utbildningssektorn, medborgare, det civila samhället och arbetsmarknadens parter där så är relevant, för att samla in synpunkter för utförandet av dess uppgifter (artikel 4 i beslutet).2 13.2.2 AI-styrelsen Genom AI-förordningen inrättas en AI-styrelse. Styrelsen ska bestå av en företrädare per medlemsstat och utses för en period på tre år som får förnyas en gång. Europeiska datatillsynsmannen ska delta som observatör. Även AI-byrån ska närvara vid AI-styrelsens möten, utan att delta i omröstningarna. Andra myndigheter, organ eller experter på nationell nivå och unionsnivå får bjudas in till mötena av styrelsen från fall till fall, om de frågor som diskuteras är rele- vanta för dem (artikel 65.1–3). AI-styrelsen ska vara organiserad och fungera på ett sådant sätt att objektiviteten och opartiskheten i dess verksamhet skyddas (artikel 65.7). Företrädaren ska ha relevant behörighet och relevanta befogen- heter i sin medlemsstat för att aktivt bidra till fullgörandet av styrel- sens uppgifter. Företrädaren ska också utses till gemensam kontakt- punkt gentemot AI-styrelsen och när så är lämpligt, med beaktande av medlemsstaternas behov, till gemensam kontaktpunkt för de be- rörda parterna. Företrädaren ska även ha befogenhet att underlätta enhetlighet och samordning mellan nationella behöriga myndigheter i sina medlemsstater när det gäller genomförandet av AI-förord- ningen, bl.a. genom insamling av relevanta uppgifter och relevant information för att de ska kunna fullgöra sina uppgifter i styrelsen (artikel 65.4). AI-styrelsens arbetsordning antogs den 12 september 2024.3 I enlighet med artikel 2 i arbetsordningen ska styrelsen utgöra en oberoende rådgivande grupp och bestå av företrädare på hög nivå från medlemsstaterna. Medlemsstaterna får också utse en suppleant till företrädaren som får delta i styrelsens möten i stället för före- 2 Kommissionens beslut av den 24 januari 2024 om inrättande av Europeiska byrån för artificiell intelligens, C/2024/1459. 3 Rules of procedure of the European Artificial Intelligence Board, 12 September 2024, ref. Ares (2024)6457550. 651 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 trädaren och där utöva företrädarens rösträtt. Enligt artikel 3.8 i arbetsordningen ska styrelsen mötas regelbundet och minst två gånger per år. Av artikel 3.9 i arbetsordningen följer att gemen- samma möten i styrelsen med undergrupperna får sammankallas för att diskutera frågor och utveckla gemensamma resultat som faller inom respektive ansvarsområde. Företrädarna i styrelsen får enligt artikel 3.3 i arbetsordningen åtföljas av en delegation av nationella experter. De nationella experterna representerar inte medlemsstaten och har ingen rösträtt. AI-styrelsen ska inrätta två ständiga undergrupper som ska till- handahålla en plattform för samarbete och utbyte mellan marknads- kontrollmyndigheter och anmälande myndigheter i frågor som rör marknadskontroll respektive anmälda organ. Av AI-förordningen följer att den ständiga undergruppen för marknadskontroll bör fun- gera som grupp för administrativt samarbete (Adco-grupp) i den mening som avses i artikel 30 i EU:s marknadskontrollförordning (artikel 65.6 i AI-förordningen). Av artikel 7.4 i styrelsens arbets- ordning följer samtidigt att den ständiga undergruppen ska bestå av representanter från marknadskontrollmyndigheterna. Av artikel 7.5 i styrelsens arbetsordning följer att den ständiga undergruppen för anmälande myndigheter ska bestå av representanter från medlems- staternas anmälande myndigheter. AI-styrelsen får också inrätta andra ständiga eller tillfälliga under- grupper när så är lämpligt i syfte att granska specifika frågor. Av artikel 7.6 i styrelsens arbetsordning följer att det är medlemsstaterna som utser medlemmarna för dessa undergrupper och att de ska med- dela AI-byrån om valen. När så är lämpligt får företrädare för det rådgivande forum som avses i artikel 67 bjudas in till sådana under- grupper eller till särskilda möten i dessa arbetsgrupper som observa- törer (artikel 65.6). Av artikel 8.1 i styrelsens arbetsordning följer samtidigt att styrelsen eller, i förekommande fall, en undergrupp får bjuda in myndigheter, organ eller experter på nationell nivå och unionsnivå till styrelsens eller undergruppens möten om de frågor som diskuteras är relevanta för dem. Styrelsens uppgifter räknas upp i artikel 66 i AI-förordningen. Styrelsen ska kunna ge råd till och bistå kommissionen och medlems- staterna för att underlätta en konsekvent och effektiv tillämpning av förordningen. För detta ändamål får styrelsen särskilt 652 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll a) bidra till samordningen mellan de nationella behöriga myndigheter som ansvarar för tillämpningen av AI-förordningen och, i sam- arbete med de berörda marknadskontrollmyndigheterna och med dessas samtycke, stödja marknadskontrollmyndigheternas gemen- samma aktiviteter, som avses i artikel 74.11, b) samla in och utbyta teknisk och regleringsmässig sakkunskap och bästa praxis bland medlemsstaterna, c) ge råd om genomförandet av AI-förordningen, särskilt när det gäller kontroll av efterlevnaden av reglerna om AI-modeller för allmänna ändamål, d) bidra till harmoniseringen av administrativ praxis i medlemsstat- erna, inbegripet när det gäller det undantag från de förfaranden för bedömning av överensstämmelse som avses i artikel 46, funk- tionen hos de regulatoriska sandlådorna för AI och testning under verkliga förhållanden som avses i artiklarna 57, 59 och 60, e) på begäran av kommissionen eller på eget initiativ utfärda rekom- mendationer och skriftliga yttranden om alla relevanta frågor som rör genomförandet av AI-förordningen och dess konsekventa och effektiva tillämpning, inbegripet i) om utarbetande och tillämpning av uppförandekoder och förfarandekoder enligt AI-förordningen samt av kommissionens riktlinjer, ii) utvärderingen och översynen av AI-förordningen en- ligt artikel 112, inbegripet när det gäller de rapporter om allvarliga incidenter som avses i artikel 73, och funktionen för den EU-databas som avses i artikel 71, utarbetandet av delegerade akter eller genomförandeakter, och vad gäller eventuella anpassningar av AI-förordningen till unionens harmoniseringslagstiftning som förtecknas i bilaga I, iii) om tekniska specifikationer eller befintliga standarder avseende de krav som anges i kapitel III avsnitt 2, iv) om användning av harmoniserade standarder eller gemensamma specifikationer som avses i artiklarna 40 och 41, 653 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 v) trender, såsom europeisk global konkurrenskraft inom AI, användningen av AI i unionen och utveck- lingen av digitala färdigheter, vi) trender för AI-värdekedjors föränderliga typologi, särskilt när det gäller de därav följande konsekvenserna vad gäller ansvarsskyldighet, vii) om det potentiella behovet av att ändra bilaga III i enlighet med artikel 7 och om det potentiella behovet av en eventuell översyn av artikel 5 enligt artikel 112, med beaktande av relevanta tillgängliga evidens och den senaste teknikutvecklingen, f) stödja kommissionen med att främja AI-kunnighet, allmänhetens medvetenhet om och förståelsen av fördelar, risker, skyddsåtgärder och rättigheter och skyldigheter i samband med användningen av AI-system, g) underlätta utvecklingen av gemensamma kriterier och en gemen- sam förståelse bland marknadsaktörer och behöriga myndigheter om de relevanta begrepp som anges i AI-förordningen, inbegripet genom att bidra till utvecklingen av riktmärken, h) vid behov samarbeta med andra av unionens institutioner, organ, och byråer och med unionens relevanta expertgrupper och nät- verk, särskilt på områdena produktsäkerhet, cybersäkerhet, kon- kurrenskraft, digitala tjänster och medietjänster, finansiella tjänster, konsumentskydd, dataskydd och skydd av grundläggande rättig- heter, i) bidra till ett effektivt samarbete med behöriga myndigheter i tredjeländer och med internationella organisationer, j) bistå nationella behöriga myndigheter och kommissionen i utveck- lingen av den organisatoriska och tekniska expertis som krävs för genomförandet av AI-förordningen, bl.a. genom att bidra till be- dömningen av utbildningsbehoven för den personal från medlems- stater som deltar i genomförandet av AI-förordningen. k) bistå AI-byrån i stödet till nationella behöriga myndigheter vid inrättandet och utvecklingen av regulatoriska sandlådor för AI, 654 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll och underlätta samarbete och informationsutbyte mellan regula- toriska sandlådor för AI, l) bidra till och ge relevanta råd om utarbetandet av vägledande doku- ment, m) ge kommissionen råd i internationella AI-frågor, n) avge yttranden till kommissionen om kvalificerade varningar av- seende AI-modeller för allmänna ändamål, o) ta emot yttranden från medlemsstaterna om kvalificerade varningar om AI-modeller för allmänna ändamål och om nationella erfaren- heter och nationell praxis när det gäller övervakning och kontroll av efterlevnad avseende AI-system, särskilt system som integrerar AI-modellerna för allmänna ändamål. Även styrelsen ska få information av de nationella behöriga myn- digheterna om inrättandet av regulatoriska sandlådor samt årliga rapporter om resultaten i dessa sandlådor (artikel 57.15–16). 13.2.3 Rådgivande forum Ett rådgivande forum ska inrättas för att tillhandahålla teknisk expertis och ge råd till styrelsen och kommissionen och bidra till deras upp- gifter enligt AI-förordningen. Medlemmarna i det rådgivande forumet ska representera ett balanserat urval av berörda parter, däribland branschen, uppstartsföretag, små och medelstora företag, det civila samhället, och den akademiska världen. Sammansättningen av det rådgivande forumet ska vara balanserad med avseende på kommers- iella och icke-kommersiella intressen samt, inom kategorin kommers- iella intressen, med avseende på små och medelstora företag och andra företag. Kommissionen ska utse medlemmarna i det rådgivande forumet i enlighet med ovan angivna kriterier bland berörda parter med erkänd sakkunskap på AI-området (artikel 67.1–3). Det rådgivande forumet ska självt utarbeta sin arbetsordning och hålla möten minst två gånger per år. Det rådgivande forumet får utarbeta yttranden, rekommendationer och skriftliga bidrag på begäran av styrelsen och kommissionen. Forumet får även inrätta undergrupper enligt vad som är lämpligt för att utreda specifika frågor med avseende på målen med AI-förordningen (artikel 67.6–9). 655 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 Kommissionen har den 17 juli 2025 öppnat upp ett ansöknings- förfarande för det rådgivande forumet. Det första ansökningsförfar- andet stänger den 14 september 2025. Intressenter från det civila samhället, den akademiska världen, industrin, små och medelstora företag samt uppstartsföretag med erkänd sakkunskap på AI-om- rådet välkomnas att söka till det rådgivande forumet. Mandatperioden för en medlem är på två år och kan förnyas en gång. Medlemmarna förväntas delta aktivt i möten, undergrupper och göra skriftliga bidrag. Deltagandet är inte arvoderat.4 13.2.4 Vetenskaplig panel och tillgång till poolen av experter Av AI-förordningen följer att kommissionen genom en genom- förandeakt ska fastställa bestämmelser om inrättandet av en veten- skaplig panel av oberoende experter som ska stödja verksamheten för efterlevnadskontroll enligt AI-förordningen (artikel 68.1). Det framgår även att experterna ska väljas ut av kommissionen på grund- val av aktuell vetenskaplig eller teknisk expertis på AI-området, och de ska kunna visa att de uppfyller samtliga följande villkor: a) Särskild sakkunskap och kompetens samt vetenskaplig eller teknisk expertis på AI-området. b) Oberoende ställning i förhållande till leverantörer av AI-system eller AI-modeller för allmänna ändamål. c) Förmåga att bedriva verksamhet aktsamt, korrekt och objektivt (artikel 68.2). Den vetenskapliga panelen ska ge råd till och stödja AI-byrån, sär- skilt när det gäller följande uppgifter: a) Stödja genomförandet och kontrollen av efterlevnaden av AI-för- ordningen vad gäller AI-modeller och AI-system för allmänna ändamål. b) På begäran av marknadskontrollmyndigheterna stödja deras arbete. 4 European Commission, Directorate-general for communications networks, content and technology, Call for expression of interest for appointment of members of the advisory forum pursuant to article 67 of the artificial intelligence act. 656 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll c) Stödja gränsöverskridande marknadskontrollsverksamhet enligt artikel 74.11, utan att det påverkar marknadskontrollmyndighet- ernas befogenheter. d) Stödja AI-byrån när den utför sina uppgifter inom ramen för unionsförfarandet för skyddsåtgärder enligt artikel 81(artikel 68.3). Experterna i den vetenskapliga panelen ska utföra sina uppgifter opartiskt och objektivt och säkerställa att den information och de uppgifter som de erhåller vid utförandet av sina uppgifter och sin verksamhet behandlas konfidentiellt. De får varken begära eller ta emot instruktioner från någon när de utövar sina uppgifter enligt vad som anges i artikel 68.3. Varje expert ska avge en intresseför- klaring, som ska göras allmänt tillgänglig. AI-byrån ska fastställa system och förfaranden för att aktivt hantera och förebygga poten- tiella intressekonflikter (artikel 68.4). Medlemsstaterna får anlita experter i den vetenskapliga panelen för att stödja deras verksamhet för efterlevnadskontroll enligt AI-förord- ningen. (artikel 69.1). Medlemsstaterna får åläggas att betala avgifter för experternas rådgivning och stöd. Avgifternas struktur och nivå samt de ersättningsgilla kostnadernas omfattning och struktur ska anges i genomförandeakten avseende inrättandet av den vetenskapliga panelen (artikel 69.2). Kommissionen antog en genomförandeakt den 7 mars 2025 med ikraftträdande den tjugonde dagen efter att den publicerades i Euro- peiska unionens officiella tidning, och inrättande den vetenskapliga panelen av oberoende experter.5 I genomförandeakten fastställs regler vad gäller inrättande av en vetenskaplig panel av oberoende experter på området artificiell intelligens och denna panels verksam- het, bestämmelser om villkor, förfaranden och närmare arrangemang för att den vetenskapliga panelen och dess medlemmar ska kunna ut- färda kvalificerade varningar och begära bistånd från AI-byrån för utförandet av den vetenskapliga panelens uppgifter (artikel 1 i genom- förandeakten). Experterna i panelen ska utnämnas efter en inbjudan till intresse- anmälan, på grundval av de urvalskriterier som anges i inbjudan. Antalet experter får inte överstiga 60. Kommissionen ska säker- 5 Kommissionens genomförandeförordning (EU) 2025/454 av den 7 mars 2025 om tillämp- ningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2024/1689 vad gäller inrättande av en vetenskaplig panel av oberoende experter på området artificiell intelligens. 657 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 ställa att minst en och högst tre medborgare från varje medlemsstat utses till experter till panelen, förutsatt att det finns sökande från det aktuella landet som uppfyller de kriterier som anges i inbjudan och förutsatt att en tillräckligt bred täckning av relevanta områden kan uppnås på det viset. Experter som uppfyller kraven men inte utses ska föras upp på en reservlista. Experterna ska utses med personliga mandat för en mandatperiod på två år med möjlighet till förlängning. Experterna ska få ersättning om de har utsetts till föredragande eller bidragslämnare för att utföra den vetenskapliga panelens uppgifter i enlighet med kommissionens gällande bestämmelser, om dessa upp- gifter har begärts av AI-byrån i enlighet med artikel 68.3 i AI-för- ordningen. Kommissionen ska i enlighet med kommissionens gällande bestämmelser ersätta kostnader för resor och, när sekretariatet anser det lämpligt, uppehälle för experter i samband med den vetenskapliga panelens verksamhet. Kommissionen har den 16 juni 2025 publicerat en inbjudan till intresseanmälan för den första mandatperioden. Av inbjudan fram- går att kunskap som efterfrågas främst är relaterad till AI-modeller för allmänna ändamål samt att experter måste ha en doktorsexamen eller motsvarande erfarenhet och förbli oberoende av alla AI-leveran- törer.6 13.3 Sveriges deltagande i stöd för tillämpning, tillsyn och samverkan på unionsnivå enligt andra unionsrättsakter 13.3.1 Inledning I detta avsnitt redogör utredningen för Sveriges deltagande i stöd för tillämpning och efterlevnadskontroll inom unionen enligt andra närliggande unionsrättsakter. Utredningen inleder avsnittet med en kartläggning av det europeiska marknadskontrollsamarbetet och hur Sveriges deltagande ser ut i detta samarbete. Skälet är att det följer av AI-förordningen att AI-styrelsen ska inrätta två ständiga under- grupper som ska tillhandahålla en plattform för samarbete och 6 European Commission, Call for expression of interest for the establishment of a scientific panel of independent experts in the field of artificial intelligence and its impacts, ref. Ares(2025) 4770377 – 16/06/2025. 658 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll utbyte mellan marknadskontrollmyndigheter och anmälande myndig- heter (se avsnitt 13.2.2). Vidare är AI-förordningen en rättsakt som har tillkommit som en följd av EU:s digitala decennium med digitala mål för 2030 (EU:s digitala decennium)7. Utredningen redogör därför övergripande i detta avsnitt för hur Sveriges deltagande på unionsnivå ser ut enligt några andra rättsakter som också hör till EU:s digitala decennium. Redogörelsen i det här avsnittet omfattar den Europeiska dataskydds- styrelsen (EDPB), den Europeiska nämnden för digitala tjänster och den Europeiska datainnovationsstyrelsen (EDIB). De rättsakter och organ på unionsnivå som tas upp beror på att utredningen anser dessa organ ha delvis liknande uppgifter som AI-byrån och AI-styrelsen enligt AI-förordningen. 13.3.2 Det europeiska marknadskontrollsamarbetet EU:s marknadskontrollförordning tillämpas från och med den 16 juli 2021. Syftet med förordningen är att göra reglerna på produktsäker- hetens område tydligare och mer enhetliga samt att förbättra och förenkla systemet för marknadskontroll av produkter. En stor del av det europeiska marknadskontrollsamarbetet sker genom olika nät- verk med representanter från EU:s marknadskontrollmyndigheter. Genom artikel 29 i EU:s marknadskontrollförordning inrättades ett unionsnätverk för produktöverensstämmelse. Nätverket fungerar som en plattform för strukturerad samordning och samarbete mellan medlemsstaternas tillsynsmyndigheter och kommissionen och att göra marknadskontrollrutinerna enhetliga inom EU så att marknadskon- trollen blir effektivare. Nätverket ska bestå av representanter från varje medlemsstat samt representanter från kommissionen och grupper för administrativt samarbete (Adco-grupper). I EU:s marknads- kontrollförordning anges närmare bestämmelser för nätverkets, Adco- gruppernas och kommissionens roll och uppgifter (artiklarna 31–33). Swedac utgör centralt samordningskontor och representerar Sverige i nätverket.8 Genom artikel 30.2 i EU:s marknadskontrollförordning inrättades också Adco-grupper för en enhetlig tillämpning av harmoniserad 7 Europaparlamentet och rådets beslut (EU) 2022/2481 av den 14 december 2022 om inrättande av policyprogrammet för det digitala decenniet 2030. 8 Se 4 § förordningen (2014:1039) om marknadskontroll av varor och annan närliggande tillsyn. 659 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 unionslagstiftning. Adco-grupperna ska bestå av representanter för de nationella marknadskontrollmyndigheterna och, om så är lämp- ligt, representanter för de centrala samordningskontoren. Adco- grupperna har bl.a. till uppgift att underlätta en enhetlig tillämpning av harmoniserad unionslagstiftning inom sitt behörighetsområde i syfte att effektivisera marknadskontrollen på hela den inre marknaden (artikel 32.2 a). Det finns i dag ett trettiotal Adco-grupper. I varje Adco-grupp deltar den svenska marknadskontrollmyndighet med ansvar för aktuella produktkrav. 13.3.3 Den Europeiska dataskyddsstyrelsen EU:s dataskyddsförordning är tillämplig sedan den 25 maj 2018. För- ordningen reglerar behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling än auto- matisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). I enlighet med artikel 68 i EU:s dataskyddsförordning inrättades EDPB som ett unionsorgan. EDBP ska se till att EU:s dataskydds- förordning tillämpas enhetligt. Styrelsens uppgifter anges i artikel 70 där det bl.a. framgår att styrelsen på eget initiativ eller på begäran av en av sina ledamöter eller av kommissionen ska behandla frågor om tillämpningen av EU:s dataskyddsförordning och utfärda riktlinjer, rekommendationer och bästa praxis i syfte att främja en enhetlig tillämpning. EDPB ska också övervaka och säkerställa korrekt tillämp- ning av förordningen i de fall som avses i artiklarna 64 och 65. EDPB ska således avge yttranden i vissa särskilt uppräknade situationer eller när någon ledamot begär det samt anta bindande beslut när nationella tillsynsmyndigheter inte kan enas i gränsöverskridande ärenden. Vidare ska styrelsen främja utarbetandet av uppförandekoder och införandet av certifieringsmekanismer för dataskydd samt ge kom- missionen råd i alla frågor som gäller skydd av personuppgifter inom unionen. EDPB ska enligt artikel 68.3 i EU:s dataskyddsförordning bestå av chefen för en tillsynsmyndighet per medlemsstat. Av 3 § i för- ordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning följer att Integritetsskyddsmyndigheten (IMY) är tillsynsmyndighet enligt EU:s dataskyddsförordning och lagen 660 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning. Därför är det myndighetschefen vid IMY som företräder Sverige i EDPB. Dataskyddsstyrelsen har också ett antal undergrupper som består av experter från de nationella tillsynsmyndigheterna som ska utföra styrelsens arbetsuppgifter. Det är tjänstemän vid IMY som deltar i dessa undergrupper. IMY har beskrivit för utredningen att myndigheten deltar aktivt i EDBP:s arbete som helhet och att sådana frågor som bedöms ha mer direkt betydelse för myndigheten och svenska intressen prioriteras. Under 2018 inrättade IMY ett EU-sekretariat som en del av rättsen- heten vid myndigheten. EU-sekretariatet har enligt IMY underlättat samordning och samverkan av arbetet i EDBP och dess undergrupper och har på så sätt haft betydelse för myndighetens möjligheter att vara med och påverka arbetet på EU-nivå vad gäller tillämpningen av EU:s dataskyddsförordning. Sedan våren 2025 har IMY en egen enhet för detta benämnd enheten för EU-samarbete. 13.3.4 Den europeiska nämnden för digitala tjänster EU:s förordning om digitala tjänster tillämpas från den 17 februari 2024. I förordningen fastställs harmoniserade regler för tillhanda- hållandet av förmedlingstjänster på den inre marknaden.9 För att bidra till en konsekvent tillämpning av EU:s förordning om digitala tjänster och ett effektivt samarbete mellan samordnarna för digitala tjänster och kommissionen när det gäller frågor som omfattas av för- ordningen inrättades den europeiska nämnden för digitala tjänster (artikel 61). Nämnden ska ge råd åt samordnarna för digitala tjänster och kommissionen för att uppnå vissa i förordningen angivna mål (artikel 61) och företrädas av tjänstemän på hög nivå från de natio- nella samordnarna för digitala tjänster (artikel 62.1). Med samord- narna för digitala tjänster enligt förordningen avses en nationell behörig myndighet som ansvarar för att säkerställa samordningen på nationell nivå som har ansvar för alla frågor som rör tillsynen över och kontrollen av efterlevnaden av förordningen i medlems- 9 Med förmedlingstjänst enligt förordningen om digitala tjänster avses tjänst för enbart vidare- fordran som består av överföring i ett kommunikationsnät av information som tillhanda- hållits av en tjänstemottagare, eller tillhandahållande av tillgång till ett kommunikationsnät, cachningstjänst som består av överföring i ett kommunikationsnät av information som till- handahållits av en tjänstemottagare och värdtjänst som består av lagring av information som tillhandahålls av en tjänstemottagare och som sker på dennes begäran (artikel 3 g). 661 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 staten, om inte några andra behöriga myndigheter getts ansvar för vissa specifika uppgifter eller sektorer. I Sverige är Konsumentverket, Mediemyndigheten och PTS be- höriga myndigheter, och PTS är nationell samordnare för digitala tjänster.10 I den europeiska nämnden för digitala tjänster deltar där- för tjänstemän från PTS. Under nämnden finns för tillfället åtta arbetsgrupper, och varje arbetsgrupp hanterar ett stort antal frågor. Nämnden sammanträder minst varannan månad och varje samman- träde har ett förberedande möte. Respektive arbetsgrupp samman- träder minst en gång per månad, men ibland så mycket som tre gånger per månad. Den nationella samverkan sker i samband med flertalet arbetsgruppers möten och genom ett månatligt samverkansmöte mellan de tre myndigheterna. Arbetet i nämnden, i arbetsgrupperna och avseende den nationella samordningen är enligt PTS mycket resurskrävande och intensivt. 13.3.5 Den europeiska datainnovationsstyrelsen EU:s dataförvaltningsförordning började tillämpas den 24 septem- ber 2023. I förordningen finns villkor och ramar för vidareutnyttjande av skyddade data som innehas av offentliga myndigheter. I enlighet med artikel 29 i EU:s dataförvaltningsförordning inrättade kommis- sionen EDIB i form av en expertgrupp.11 Denna expertgrupp består av företrädare för de behöriga myndigheterna för dataförmedlings- tjänster12 och de behöriga myndigheterna för registrering av data- altruismorganisationer13 i alla medlemsstater, EDPB, Europeiska data- tillsynsmannen, Enisa, kommissionen, EU-företrädaren för små och medelstora företag eller en företrädare utsedd av nätverket av före- trädare för små och medelstora företag och andra företrädare för 10 4 § förordningen (2024:958) med kompletterande bestämmelser till EU:s förordning om digitala tjänster. 11 Commission decision of 20.2.2023 setting up the European Data Innovation Board, Brussels, 20.2.2023, C(2023) 1074 final. 12 Med dataförmedlingstjänst avses en tjänst som syftar till att med tekniska, rättsliga eller andra medel upprätta affärsförbindelser för datadelning mellan ett obestämt antal registre- rade och datainnehavare, å ena sidan, och dataanvändare, å andra sidan, inbegripet för att utöva de registrerades rättigheter avseende personuppgifter (artikel 2.11). 13 Med dataaltruism avses den frivilliga delningen av data på grundval av de registrerades sam- tycke till behandling av personuppgifter som rör dem, eller tillstånd från datainnehavare att tillåta användning av deras icke-personuppgifter utan något krav på eller mottagande av ersätt- ning utöver ersättning för de kostnader som de ådragit sig när de gör uppgifterna tillgängliga för mål av allmänintresse (artikel 2.16). 662 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll relevanta organ inom enskilda sektorer samt organ med specifik sakkunskap. EDIB består också av olika undergrupper. Styrelsen har ett stort antal uppgifter enligt artikel 30 i EU:s dataförvaltnings- förordning. Av 3 § förordningen (2024:502) med kompletterande bestämmel- ser till EU:s dataförvaltningsförordning följer att PTS är tillsynsmyn- dighet enligt lagen (2024:500) med kompletterande bestämmelser till EU:s dataförvaltningsförordning. PTS är således behörig myndighet för dataförmedlingstjänster enligt artikel 13 och för registrering av dataaltruismorganisationer enligt artikel 23 i EU:s dataförvaltnings- förordning. Därför är det företrädare för PTS som sitter i EDIB. Det är även PTS som sitter i de olika undergrupperna till EDIB. PTS har beskrivit att EDIB:s arbete är bredare än EU:s dataförvalt- ningsförordning och att även frågor om EU:s datastrategi14 disku- teras i styrelsen. Enligt PTS tar undergrupperna fram underlag för EDIB:s möten och sammanträder inför styrelsens möten. PTS har vidare uppgett för utredningen att det är av vikt att myndigheten både har en företrädare i EDIB och i undergrupperna för att kunna koordinera arbetet och för en fungerande samverkan. Vidare trädde EU:s dataförordning i kraft den 11 januari 2024 och är tillämplig från och med den 12 september 2025. Syftet med förordningen är att skapa ett enhetligt och rättvist regelverk inom EU för att underlätta och reglera tillgången till och användningen av data. EDIB ska enligt artikel 42 i EU:s dataförordning stödja en konsekvent tillämpning av förordningen. Av kommittédirektiven för utredningen om Kompletterande bestämmelser till EU:s data- förordning15 följer att regeringen ska ge en myndighet i uppdrag att fullgöra uppgiften som behörig myndighet enligt EU:s dataförord- ning. Av vårändringsbudgeten för 2025 framgår att regeringen avser att utse PTS till behörig myndighet enligt EU:s dataförordning.16 14 Meddelande från kommissionen till Europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, En EU-strategi för data, Bryssel den 19.2.2020, COM(2020) 66 final. 15 Kommittédirektiv 2024:97, Kompletterande bestämmelser till EU:s dataförordning. 16 Prop. 2024/25:99 Utgiftsområde 22, s. 51. 663 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 13.4 Sveriges deltagande i stöd för tillämpning och efterlevnadskontroll på unionsnivå enligt AI-förordningen Utredningens uppdrag består i att analysera och, vid behov föreslå, i vilken utsträckning Sverige bör delta i AI-förordningens implemen- teringsstöd och på vilket sätt det ska ske. I detta avsnitt redogör ut- redningen för hur Sveriges deltagande i stöd för tillämpning och efterlevnad på unionsnivå bör se ut och hur det kan utformas. Utredningen inleder avsnittet med en kartläggning av Sveriges politiska styrning inom AI-området (se avsnitt 13.4.1). Regeringens och riksdagens politiska ambitioner och målsättningar, samt kritiken mot den politiska styrningen inom AI-området, har enligt utred- ningen betydelse för i vilken utsträckning Sverige bör delta i AI-för- ordningens stöd för tillämpning och efterlevnadskontroll. Vidare ska medlemmarna i dels den vetenskapliga panelen, dels det rådgiv- ande forumet besitta olika former av expertis på AI-området. Utred- ningen har därför även funnit skäl att kartlägga Sveriges forskning inom AI-området (se avsnitt 13.4.2). Därefter presenterar utredningen hur Sveriges befintliga deltagande ser ut inom ramen för styrelsen för AI och dess inrättade undergrupper (se avsnitt 13.4.3). Utred- ningen tar sedan ställning till hur omfattande Sveriges deltagande bör vara i styrningen på unionsnivå enligt AI-förordningen rent generellt. Därefter tar utredningen ställning till hur Sveriges deltagande i styr- ningen på unionsnivå bör eller ska se ut i förhållande till AI-byrån (se avsnitt 13.4.5), AI-styrelsen (se avsnitt 13.4.6 och 13.4.7), den vetenskapliga panelen (se avsnitt 13.4.8 och 13.4.9) och det rådgiv- ande forumet (se avsnitt 13.4.10). 13.4.1 Sveriges politiska styrning inom AI-området Riksdagen har beslutat att Sverige ska vara bäst i världen på att an- vända digitaliseringens möjligheter.17 I den fastställda nationella inrikt- ningen för artificiell intelligens från 2018 beslutade riksdagen att Sverige ska vara ledande i att ta tillvara möjligheterna som använd- ning av AI kan ge, med syftet att stärka både den svenska välfärden och den svenska konkurrenskraften. 17 Prop. 2011/12:1 Utgiftsområde 22, bet. 2011/12:TU1, rskr. 2011/12:87. 664 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll I riktlinjerna anges att om möjligheterna med AI ska kunna tas tillvara så behöver Sverige utveckla sin långsiktiga kunskaps- och kom- petensförsörjning inom AI-området.18 Vidare anges i riktlinjerna att Sverige är ett litet land med en liten hemmamarknad samtidigt som många länder satsar stort på AI. Enligt riktlinjerna behöver Sverige därför utveckla samarbeten med framstående aktörer i andra länder och i det sammanhanget anses EU vara en viktig arena. I riktlinjerna framhålls att många av de regelverk och riktlinjer som Sverige har att förhålla sig till kommer från EU. För att Sverige ska kunna till- godoräkna sig satsningar som görs inom EU:s ramverk är det viktigt att det finns strukturer och kompetens på plats. Sverige behöver där- för delta i den europeiska debatten kring AI och ta en aktiv roll i EU:s arbete med att möjliggöra nyttan som användningen av AI kan medföra.19 Under 2021 fick Arbetsförmedlingen, Bolagsverket, Digg och Skatteverket i uppdrag att främja offentlig förvaltnings förmåga att använda AI i syfte att stärka Sveriges välfärd och konkurrenskraft.20 Uppdraget slutredovisades i januari 2023 och resulterade bl.a. i en samarbetsplattform som uppmuntrar till lärande, delande och vidare- utnyttjande av AI-användning inom offentlig förvaltning.21 Digg, E-hälsomyndigheten och Socialstyrelsen fick under 2023 i uppdrag att stödja kommunernas användning av AI inom social- tjänsten.22 I uppdraget ingick att erbjuda kompetenshöjande insatser till kommuner, bl.a. utifrån befintliga exempel på AI-användning. Uppdraget redovisades i januari 2024. I slutredovisningen konsta- terade myndigheterna att det är viktigt att öka kunskapen om AI samtidigt som det finns ett fortsatt behov av samverkan och erfaren- hetsdelning mellan kommuner, med olika aktörer och olika nivåer inom offentlig sektor.23 Den 4 juli 2024 beslutade regeringen att ge Digg och IMY i upp- drag att ta fram vägledande riktlinjer med syftet att öka användningen 18 Nationell inriktning för Artificiell intelligens, N2018/03008, s. 5 och 7. 19 Nationell inriktning för Artificiell intelligens, N2018/03008, s. 9 ff. 20 Uppdrag att främja offentlig förvaltnings förmåga att använda artificiell intelligens, I2021/01825, den 21 juni 2023. 21 Slutrapport i regeringsuppdraget I2021/01825. 22 Uppdrag att stödja kommunernas användning av artificiell intelligens inom socialtjänsten, Fi2023/02301, den 29 augusti 2023. 23 Slutrapport i regeringsuppdraget Fi2023/02301. 665 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 av generativ AI inom offentlig sektor.24 Riktlinjerna presenterades av myndigheterna den 20 januari 2025.25 Riktlinjerna ska fungera som vägledning för anställda på kommuner, regioner och myndigheter. Syftet är att hantera juridiska, etiska och säkerhetsmässiga frågor för att bidra till en ökad användning av generativ AI. Den 27 februari 2025 gav regeringen Tillväxtverket i uppdrag att utreda hur AI kan användas i statliga myndigheters arbete för att för- enkla för företag. Tillväxtverket ska ta fram ett kunskapsunderlag och utreda möjligheterna för statliga myndigheter att använda AI för att exempelvis identifiera dubbelreglering, onödigt komplicerande faktorer och teknikinlåsning samt för att utreda konsekvenser för företag av ny lagstiftning.26 Internationellt sett är The Global AI Index från Tortoise Media ett väletablerat index, för jämförelse av AI-utvecklingen i samhället som helhet mellan länder. I upplagan för 2024 framgår att Sverige i det sammanvägda indexet faller från plats 17 år 2023 till plats 25 år 2024 av 83 jämförda länder. Inom EU placerar sig Sverige först på plats tio med både Danmark och Finland före i rankingen. Den svenska rankingen är framför allt svag när det gäller politisk styrning där Sverige är rankat på plats 57. Politisk styrning avser ländernas strate- giska arbete med AI-frågor. Sverige placerar sig däremot bättre inom områdena operativ miljö (plats 5), forskning (plats 19) och infra- struktur (plats 21). Operativ miljö speglar bl.a. befolkningens attityd till AI och tillit till tekniken.27 AI-kommissionen har i AI-kommissionens färdplan för Sverige, bl.a. mot bakgrund av Global AI Index upplaga för 2024, bedömt att Sverige halkar efter inom AI-området både globalt och inom EU. När det gäller området politisk styrning konstaterar AI-kommis- sionen att Sverige har ett omfattande arbete att göra när det gäller den politiska styrningen av AI-frågor.28 AI-kommissionen har uttalat att EU-samarbetet är centralt för både reglering och utveckling av AI i Sverige. För att få AI-regel- verk inom EU som lämpar sig väl för svenska förhållanden är det 24 Uppdrag till Myndigheten för digital förvaltning och Integritetsskyddsmyndigheten att ta fram riktlinjer för användningen av generativ artificiell intelligens inom den offentliga förvalt- ningen, Fi2024/01535, den 8 augusti 2024. 25 Slutrapport i regeringsuppdraget Fi2023/02301. 26 https://www.regeringen.se/pressmeddelanden/2025/02/okad-kunskap-om-artificiell- intelligens-ska-forenkla-for-foretag/ (hämtad 2025-06-29). 27 Tortoise Media, the Global AI Index, 2024. 28 AI-kommissionens färdplan för Sverige, s. 10 och 124 ff. 666 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll enligt AI-kommissionen viktigt att Sverige utövar så stort inflyt- ande som möjligt över EU:s beslutsprocesser. Den samstämmiga bild som AI-kommissionen har fått, utifrån kontakter med repre- sentanter för olika grupper i samhället, är att Sveriges relativa inflyt- ande är för litet i EU-samarbetet och att vi inte prioriterar påverkans- arbetet tillräckligt. AI-kommissionen lyfter även behovet av att få svenskar på viktiga positioner i EU:s institutioner inom AI-området. Enligt AI-kommissionen bör det vara en prioriterad fråga för reger- ingen att få kvalificerade personer från Sverige att söka sig till AI- byrån.29 AI-kommissionen anger också i rapporten att regeringen måste verka för att implementeringen av EU-regleringar blir mer enhetlig mellan medlemsländerna. Enligt AI-kommissionen uppfattar många svenska företag att varierande implementering och tolkning av EU:s regelverk utgör ett handelshinder. AI-kommissionens slutsats är att Regeringskansliet och svenska myndigheter bör säkerställa ett mer aktivt deltagande i AI-frågor inom EU-samarbetet.30 Regeringen har den 28 maj 2025 presenterat en ny digitaliserings- strategi för 2025–2030. Regeringen har även adresserat att den avser lägga fram en AI-strategi tidigt under 2026. Målen i digitaliserings- strategin anges visa hur de riksdagsbundna digitaliseringsmålen kan operationaliseras och tydliggöra inriktningen för regeringens strate- giska arbete. Det övergripande målet i digitaliseringsstrategin är att Sveriges digitala omställning ska ge ökad medborgarnytta, bättre välfärd, stärkt konkurrenskraft, höjd säkerhet och minskad admini- stration. Strategin innehåller även delmål inom områdena digital kom- petens, näringslivets digitalisering, förvaltningens digitalisering, väl- färdens digitalisering och konnektivitet. Det finns även strategiskt horisontella mål inom AI och teknik, data samt säkerhet. Målet be- träffande AI och ny teknik är att AI och framväxande tekniker ska användas och utvecklas för att driva samhällsnytta, hållbar utveck- ling, konkurrenskraft och innovation.31 29 AI-kommissionens färdplan för Sverige, s. 111. 30 AI-kommissionens färdplan för Sverige, s. 111. 31 Sveriges digitaliseringsstrategi 2025–2030, Finansdepartementet, s. 4 ff. 667 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 13.4.2 Svensk forskning inom AI-området Av Global AI Index följer att Sverige placerar sig på plats 19 inom området forskning.32 I Vinnovas rapport Strategiska tekniker för Sverige anges att Sverige saknar framstående större forskningsmiljöer inom datavetenskap med stora inslag av AI. Relativt sett har ändå Sverige stärkt sin position enligt rapporten.33 I Sverige pågår för närvarande flera initiativ vad gäller forskning inom AI. Knut och Alice Wallenbergs Stiftelse är en viktig aktör för AI-utvecklingen i Sverige. Stiftelsen står bakom Wallenberg AI, Autonomous Systems and Software Programme (WASP) som utgör Sveriges största enskilda forskningsprogram i modern tid och är en viktig del i samarbetet mellan lärosäten och företag inom områdena AI, autonoma system och mjukvara. I Vinnovas rapport Strategiska tekniker från 2024 anges att Sveriges internationella konkurrenskraft inom AI är väsentligt starkare inom näringslivet än inom landets forskningssystem. Sveriges internationella framgångar inom internetbaserade tjänster som Spotify och Klarna anges i hög grad bero på avancerad använd- ning av AI. Autonom framdrift av fordon och maskiner är också starkt beroende av AI och flera företag i Sverige är enligt Vinnovas rapport aktiva inom området sedan några år. Inom life science-indu- strin har AstraZeneca en stark forskningsmiljö inom AI i Sverige. Vidare anges i Vinnovas rapport att Sverige har ett aktivt nyföretag- ande inom AI-området. Vinnova hänvisar i rapporten till Swedish AI Startup Landscape som listat 196 företag varav 24 anges bedriva egen forskning och utveckling. Det är enligt Vinnovas rapport fler än i Nederländerna och nästan på Frankrikes nivå enligt motsvarande kartläggningar i dessa länder.34 Utredningen har varit i kontakt med arbetsgruppen för AI inom Sveriges universitets- och högskoleförbund (SUHF) och forskare inom AI-området. Enligt SUHF är Sverige ett framstående land när det gäller forskning inom AI-området. Det finns ett antal lärosäten i Sverige med en framstående forskning vad gäller teknisk utveckling inom AI-området. Enligt SUHF pågår det också forskning inom flera andra discipliner på AI-området där akademin är involverat. SUHF 32 Tortoise Media, the Global AI Index, 2024. 33 Vinnova, Strategiska tekniker för Sverige, 2024, s. 41. 34 Vinnova, Strategiska tekniker för Sverige, 2024, s. 40. 668 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll har även framhållit att akademin är delaktigt i många av de forsknings- projekt som finansieras privat och särskilt genom WASP. Samtidigt har forskare inom AI-området som utredningen har varit i kontakt med uppgett att det är svårt för lärosätena att kon- kurrera med näringslivet om de bästa forskarna inom AI-området. Många nyexaminerade från universiteten inom AI-området väljer att gå till näringslivet i stället för att arbeta vid lärosätena. Forskare på AI-området som utredningen talat med har samtidigt framhållit att det finns forskare med en hög och bred expertis inom AI-området i Sverige men att antalet personer med dessa kunskaper är förhållande- vis begränsat. Vidare har AI-kommissionen konstaterat att utgångsläget för en satsning på spetsforskning inom AI i Sverige är relativt gott. En ut- maning i en satsning på spetsforskning enligt AI-kommissionen är att kompetensbasen inom AI i Sverige är begränsad på kort sikt. Sverige behöver därför rekrytera ledande AI-forskare från andra länder, samtidigt som Sverige tar vara på yngre talanger.35 I riksdagens fastställda nationella inriktning för artificiell intelli- gens från 2018 lyfts också fram att om Sverige ska kunna befinna sig i AI-forskningens framkant är det viktigt att upprätthålla och utveckla samarbeten med forskningsmiljöer i andra länder. EU spelar en stor roll för svensk forskning, inte minst genom EU:s ramprogram för forskning och innovation.36 Enligt SUHF skulle det vara olyckligt om inte den akademiska världen är representerad i dels den vetenskapliga panelen för AI, dels det rådgivande forumet. SUHF har anfört att den akademiska världen behöver vara med i denna typ av organ på EU-nivå för att kunna påverka tillämpningen av AI-förordningen. SUHF har också framhållit att företrädare för den akademiska världen från andra EU- länder kan ha en annan hållning jämfört med Sverige och att den akademiska världen i Sverige även av detta skäl behöver vara repre- senterat i dessa organ. 35 AI-kommissionens färdplan för Sverige, s. 53 ff. 36 Nationell inriktning för Artificiell intelligens, N2018/03008, s. 5 och 7. 669 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 13.4.3 Sveriges befintliga deltagande i styrning på unionsnivå enligt AI-förordningen I samband med att AI-förordningen trädde i kraft inrättades AI- styrelsen. Därefter har också ett antal undergrupper till styrelsen inrättats, såväl ständiga som tillfälliga. Den 3 juni 2024 förordnades en enhetschef vid Regeringskansliet att utgöra Sveriges representant i AI-styrelsen.37 Styrelsen har genomfört ett antal möten sedan inrätt- andet där enhetschefen vid Regeringskansliet eller någon av dennes suppleanter har deltagit. Styrelsen planerar att inrätta undergrupper i tre faser, där under- grupper redan har inrättats i den första och andra fasen. Under- grupper i den tredje fasen förväntas inrättas under tredje kvartalet 2025. I första fasen har styrelsen inrättat undergrupper avseende Innovationsekosystem för AI, Regulatoriska Sandlådor för AI, AI-förordningen och Regelverk för medicintekniska produkter (MDR)/Regelverk för prestandastudier (IVDR), Förbjudna om- råden, Standarder och Styrgruppen för AI-modeller för allmänna ändamål. Under den andra fasen inrättade styrelsen undergrupper avseende AI-förordningen och annan unionsrätt, högriskområden i bilaga III, Brottsbekämpning och säkerhet och Finansiella tjänster. I tredje fasen förväntas de tidigare nämnda ständiga undergrupperna för marknadskontroll respektive anmälande myndigheter inrättas. I nuläget finns alltså tio etablerade undergrupper, som snart ska ut- ökas till tolv. Det kan komma att inrättas ytterligare undergrupper och listan över undergrupper är inte uttömmande. Regeringskansliet har förordnat personer från ett antal olika myndigheter till att vara Sveriges representanter i de befintliga undergrupperna för AI-styr- elsen. Sveriges nuvarande representant i AI-styrelsen och dennes supple- anter har informerat utredningen om hur det befintliga arbetet be- drivs i styrelsen och de inrättade undergrupperna. Representanterna i undergrupperna verkar inom ramen för instruktion från Regerings- kansliet, om detta inte är uppenbart obehövligt. Instruktion inför möten i undergrupperna bereds med berörda departement. Det är Sveriges representanter i undergrupperna som tar fram underlag för sina möten och som föreslår för företrädaren i styrelsen eller den 37 Regeringskansliet – Avdelningen för offentlig förvaltning, Enheten för digitalisering av den offentliga förvaltningen, Förordnande av representanter i den europeiska styrelsen för artificiell intelligens (AI-styrelsen), 3 juni 2024. 670 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll suppleant som ska delta i kommande möte i styrelsen vad som kan vara påkallat att ta upp baserat på mötena i undergruppen. Repre- sentanten i AI-styrelsen eller suppleanten tar sedan fram en instruk- tion för kommande möte i styrelsen som bereds i samråd med be- rörda departement och som därefter delas med representanterna i undergrupperna. Liknande frågor förekommer i flera av undergrupp- erna och arbetet inom undergrupperna kan därför behöva samordnas i någon form. 13.4.4 Ett aktivt och omfattande deltagande Utredningens bedömning: Sveriges deltagande i styrning på unionsnivå bör vara aktivt och omfattande. Regeringen har under de senaste åren initierat flera nationella upp- drag till myndigheterna för att bl.a. stärka Sveriges välfärd och kon- kurrenskraft på AI-området och öka användningen av AI inom den offentliga sektorn. Vad avser AI-förordningen är det däremot på unionsnivå som utvecklingen av tillämpning och efterlevnadskontroll kommer ske. Utredningen anser att ett omfattande svenskt deltag- ande i styrning på unionsnivå utgör en förutsättning för att säker- ställa en tillämpning och efterlevnadskontroll av AI-förordningen som överensstämmer med övriga länder inom unionen. Enligt ut- redningen bör också Sverige verka för en enhetlig tillämpning av AI- förordningen inom unionen. En fragmenterad tillämpning riskerar att negativt påverka svenska företag som är verksamma i flera länder inom unionen. Det skulle riskera hämma svenska företags konkur- renskraft och kunna utgöra ett handelshinder. Utredningen kan samtidigt konstatera att ett aktivt deltagande i EU:s arbete på AI-området utgör ett genomgående tema i de rikt- linjer som riksdagen beslutade om 2018. AI-kommissionen har också uttryckt att Sverige behöver ta plats i EU-samarbetet och prioritera påverkansarbetet inom AI-området. Det framgår dessutom av stati- stik att Sverige halkar efter i AI-utvecklingen, särskilt när det gäller politisk styrning. Mot denna bakgrund anser utredningen att Sverige bör prioritera påverkansarbetet inom EU vad gäller tillämpning och efterlevnadskontroll av AI-förordningen. Det är enligt utredningen nödvändigt för en tillämpning och efterlevnadskontroll av AI-förord- 671 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 ningen som lämpar sig för den offentliga sektorn och näringslivet i Sverige. En aktiv och omfattande roll i styrningen på unionsnivå går i linje med såväl riksdagens digitaliseringsmål som regeringens be- fintliga nationella inriktning för AI.38 Bedömningen går också i linje med att regeringen i sin cybersäkerhetsstrategi har uttalat att det önskade läget 2030 är att ”Sverige har god tillgång till kompetens inom AI och är representerat i de internationella sammanhang där utveckling sker och kan därmed identifiera och hantera risker med AI, men också dra nytta av de möjligheter som AI innebär för cyber- säkerhet”.39 Utifrån kontakter med representanter för det svenska närings- livet kan utredningen konstatera att många företag uppfattar AI-för- ordningen som omfattande, komplex och administrativt betungande. Särskilt mindre företag upplever det vara svårt att agera i enlighet med AI-förordningens alla krav och skyldigheter. Utredningen anser där- för att utvecklingen av standardisering av kraven och skyldigheterna enligt AI-förordningen är av stor vikt för att svenska små och medel- stora företag samt uppstartsföretag på ett förenklat sätt ska kunna säkerställa efterlevnad av kraven och skyldigheterna enligt AI-förord- ningen. Enligt utredningen kan en hög grad av standardisering inom unionen när det gäller AI-förordningen ha en positiv inverkan på svenska företags gränsöverskridande verksamhet och konkurrens- kraft på den inre marknaden. Genom t.ex. ett aktivt deltagande i AI-styrelsen kan Sverige verka för utveckling och användning av harmoniserade standarder (artikel 40) och gemensamma specifika- tioner (artikel 41) inom unionen. Genom att ha ett omfattande deltagande i styrningen på unions- nivå kan Sverige även säkerställa god tillgång till den expertis på AI- området som ska finnas i organen, särskilt experterna i den vetenskap- liga panelen. Det kan enligt utredningen ha betydelse för utvecklingen och användningen av AI-system i den offentliga sektorn och närings- livet som är förenliga med AI-förordningen. För Sverige med be- gränsade resurser vad avser forskning inom AI-området kan tillgången till denna expertis och dessa resurser vara en viktig förutsättning för att ligga i framkant när det gäller forskning och utveckling på AI-området (se avsnitt 13.4.8). 38 Nationell inriktning för Artificiell intelligens, N2018/03008. 39 Skr. 2024/25:121 Nationell strategi för cybersäkerhet 2025–2029, s. 23. 672 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll Det är genom deltagande i styrning på unionsnivå som Sverige kan påverka tillämpning och efterlevnadskontroll av AI-förordningen och verka för en enhetlig och förenklad tillämpning av AI-förord- ningen inom unionen. Genom deltagande i styrningen på unionsnivå kan Sverige också på ett effektivt sätt få god tillgång till expertis på AI-området. Sveriges deltagande i styrning på unionsnivå bör därför vara aktivt och omfattande. 13.4.5 Underlättande av AI-byråns uppgifter Utredningens bedömning: Regeringen bör ha det samordnande ansvaret att underlätta AI-byråns uppgifter och vid behov begära stöd av de nationella behöriga myndigheterna. Sverige bör aktivt verka för och delta i utarbetandet av gemen- samma förfarandekoder och uppförandekoder inom unionen. Av AI-förordningen följer att medlemsstaterna ska underlätta de uppgifter som anförtros AI-byrån i enlighet med vad som återspeglas i AI-förordningen (artikel 64.2). Utredningen kan därför konstatera att Sverige är skyldigt att underlätta AI-byråns uppgifter. I det nedan- stående presenterar utredningen sin syn på hur detta ska åstadkommas och hur ansvaret kan fördelas mellan regeringen och de nationella behöriga myndigheterna. Därefter tar utredningen särskilt ställning till hur Sverige bör verka för utarbetandet av förfarandekoder och uppförandekoder inom unionen, och på så sätt underlätta AI-byråns uppgifter i dessa avseenden. Det övergripande ansvaret AI-byrån har en bred funktion för införlivandet och efterlevnaden av AI-förordningen. Det är AI-byrån som utövar tillsyn över AI- modeller för allmänna ändamål. Det är också AI-byrån som ska väg- leda utvärderingar och översyn av AI-förordningen. AI-byrån ska bl.a. också tillhandahålla standardiserade mallar för områden som om- fattas av AI-förordningen och upprätthålla en informationsplattform som ger information om AI-förordningen (se avsnitt 13.2.1). Enligt utredningens uppfattning är många av AI-byråns uppgifter enligt 673 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 AI-förordningen av generell och övergripande karaktär. Det är därför svårt att närmare förutse i vilken omfattning och i vilka avseenden som medlemsstaterna förväntas underlätta AI-byråns uppgifter. Enligt utredningen kan medlemsstaternas skyldighet att under- lätta AI-byråns uppgifter ses som en central del i vilket påverkans- arbete Sverige ska bedriva när det gäller tillämpning och efterlevnads- kontroll av AI-förordningen. Hur Sverige ska underlätta AI-byråns uppgifter kan innefatta olika politiska överväganden och beslut. Exempelvis har AI-byrån i uppgift att vägleda utvärderingar och översyner av AI-förordningen. En del i dessa utvärderingar och översyner kan avse frågan om utvidgning eller tillägg av områden i bilaga III vad avser AI-system med hög risk. Om Sverige och övriga medlemsstater förväntas underlätta AI-byråns uppgifter med dessa utvärderingar och översyner kan det enligt utredningen innefatta politiska överväganden på regeringsnivå. En del av AI-byråns uppgifter avser samtidigt tillämpning och efterlevnadskontroll av AI-förordningen. Det är marknadskontroll- myndigheterna i Sverige som kommer bedriva det operativa arbetet vad avser tillsyn och efterlevnadskontroll av AI-förordningen. Det kan därför argumenteras för att en marknadskontrollmyndighet med ett stort ansvar enligt AI-förordningen är bäst lämpad att ha ett över- gripande ansvar att underlätta AI-byråns uppgifter. Enligt utredningen skulle en lämplig myndighet i sådant fall vara PTS, som utredningen föreslår utses till marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen och till samordnande marknadskontroll- myndighet för AI-förordningen (se kapitel 6 och 9). En framtida översyn av AI-förordningen kan dock få till följd att t.ex. fler områden anses utgöra hög risk eller att något eller några av de befintliga högriskområdena tas bort som högriskområden. Det kan medföra att en eller flera marknadskontrollmyndigheter behöver pekas ut för de tillkommande områdena eller att en eller flera myn- digheter inte längre kommer utgöra marknadskontrollmyndighet. Utredningen anser därför att det är mindre lämpligt att en marknads- kontrollmyndighet ska underlätta AI-byråns uppgifter i dessa av- seenden. Det gäller även om det är en marknadskontrollmyndighet med ett stort ansvar enligt AI-förordningen. Vidare följer av 26 b § förordningen (1996:1515) med instruktion för Regeringskansliet att det är EU-chefen inom Regeringskansliet som ansvarar för den övergripande samordningen av EU-frågor. EU- 674 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll chefen får utfärda handböcker, riktlinjer och råd för att säkerställa enlighet och hög kvalitet i handläggningen av EU-frågor. Regerings- kansliet har därför en etablerad roll som samordnande organ för EU- relaterade frågor. Sammantaget anser utredningen att regeringen genom Regerings- kansliet bör ha ett övergripande samordningsansvar för att underlätta AI-byråns uppgifter enligt AI-förordningen. Regeringens styrning av de nationella behöriga myndigheterna Av 7 § myndighetsförordningen (2007:515) följer att förvaltnings- myndigheter som lyder under regeringen ska ge regeringen stöd vid Sveriges deltagande i verksamhet inom EU och ställa personal till för- fogande för deltagandet som regeringen begär. Enligt utredningen kan regeringen därför vid behov involvera och begära stöd från de nationella behöriga myndigheterna i arbetet med att underlätta AI- byråns uppgifter enligt AI-förordningen. Regeringen kan göra detta genom en reglering i myndighetens instruktion om det förväntas bli en bestående del av en myndighets arbete att underlätta för AI-byråns uppgifter. Vid mer kortsiktiga uppdrag för en behörig myndighet kan regeringen använda sig av regleringsbrev och vid skyndsam delegation kan särskilda regerings- beslut tillämpas. Utarbetande av förfarandekoder AI-byrån ska bl.a. underlätta utarbetandet av förfarandekoder. För- farandekoderna är centrala när det gäller skyldigheterna för leveran- törer av AI-modeller för allmänna ändamål (se avsnitt 13.2.1). Av AI-förordningen följer också att kommissionen genom en genom- förandeakt kan godkänna och ge en förfarandekod allmän giltighet inom unionen (artikel 56.6 andra stycket). Som framgår av skälen till AI-förordningen har leverantörer av AI-modeller för allmänna ändamål en särskild roll och särskilt ansvar i AI-värdekedjan efter- som modellerna kan utgöra grunden för en rad system i efterföljande led (skäl 101). Förfarandekoder kan samtidigt avse andra delar av AI- förordningen. Som den Europeiska ekonomiska och sociala kom- mittén har anfört i ett yttrande till kommissionen kan det förväntas 675 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 att användare, utvecklare och andra AI-intressenter genom utarbet- andet av förfarandekoder får tillgång till riktlinjer, bästa praxis för tillämpning av AI-förordningen, mallar, information om tröskel- värden och standarder samt lättanvända checklistor.40 Enligt utredningen kan förfarandekoder komma att underlätta för svenska företag att följa skyldigheterna i AI-förordningen. Ut- arbetandet av förfarandekoder kan således få betydelse för det svenska näringslivets utveckling och användning av AI-modeller för allmänna ändamål och för AI-system. Utredningen anser därför att Sverige, i den utsträckning som det är möjligt, bör delta i arbetet med utarbet- andet av förfarandekoder och verka för utvecklingen av gemensamma förfarandekoder inom unionen. Det har betydelse för svenska före- tag som är verksamma i flera länder inom unionen om samma förfar- andekoder tillämpas i alla medlemsstaterna. Genom att aktivt delta i utarbetandet av förfarandekoder kan Sverige således underlätta AI-byråns uppgift enligt AI-förordningen i detta avseende. Utarbetande av uppförandekoder Av AI-förordningen följer att AI-byrån och medlemsstaterna ska uppmuntra och underlätta utarbetandet av uppförandekoder (arti- kel 95). Enligt utredningen kan en utvecklad självreglering inom unionen genom bl.a. uppförandekoder för frivillig tillämpning av AI-förordningen bidra till att en fragmenterad tillämpning av AI- förordningen undviks. Effektiv självreglering är också ett sätt att vårda enskilda företags renommé och anseende. AI-området är också ett område i ständig förändring. Självreglering genom upp- förandekoder gör att näringslivet kan agera snabbare när problem dyker upp och ändrade förhållanden på AI-området kräver föränd- ring av regelverk. Gemensamma uppförandekoder inom unionen avseende AI-förordningen kan därför underlätta för svenska före- tag som verkar i flera unionsländer. Det kan vidare minska belast- ningen på marknadskontrollmyndigheterna. Utredningen anser därför att Sverige aktivt bör uppmuntra och underlätta utarbetandet av gemensamma uppförandekoder inom unionen. Därigenom kommer 40 Europeiska ekonomiska och sociala kommitténs yttrande den 3 oktober 2024, Artificiell intelligens – vägen framåt, INT/1055. 676 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll Sverige också att underlätta AI-byråns uppgift enligt AI-förord- ningen i detta avseende. 13.4.6 Företrädaren i AI-styrelsen Utredningens bedömning: Regeringen bör utse företrädaren som ska representera Sverige i AI-styrelsen. Företrädaren bör komma från PTS. Sveriges företrädare i styrelsen Utredningen kan först konstatera att deltagandet i AI-styrelsen inte är frivilligt, utan att Sverige ska ha en företrädare i styrelsen. Arbetet i styrelsen får anses präglas av krav på hög expertis och förhållandevis omfattande rådgivningsverksamhet. Styrelsens upp- gifter innefattar att ge råd och bistå kommissionen och medlems- staterna i en del mer övergripande frågor. Styrelsen ska bl.a. ge råd om genomförandet av AI-förordningen och bidra till ett effektivt samarbete med internationella organisationer samt ge kommissionen råd i internationella AI-frågor. Därtill anges i styrelsens arbetsord- ning att företrädaren ska vara på en hög nivå i medlemsstaten. AI-styrelsen inrättades direkt efter att AI-förordningen trädde i kraft den 1 augusti 2024. Vid tillfället utsågs en tjänsteman vid Regeringskansliet som Sveriges företrädare i AI-styrelsen. Enligt utredningen skulle detta tala för att det även fortsättningsvis kan vara en tjänsteman vid t.ex. Regeringskansliet som utgör Sveriges företrädare i styrelsen. Samtidigt har styrelsen en viktig rådgivande funktion i att bidra till tillämpningen och kontrollen av efterlevnad av AI-förordningen. Styrelsen ska bl.a. bidra till harmoniseringen av administrativ praxis i medlemsstaterna, t.ex. vad avser funktionen hos de regulatoriska sandlådorna för AI. Styrelsen ska också utfärda rekommendationer och yttranden om bl.a. uppförandekoder, förfarandekoder, tekniska specifikationer och befintliga standarder. Utredningen har föreslagit att PTS ska utses till marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. Myndigheten kommer därmed att få ett stort ansvar för tillämpning och kontroll av efterlevnad av AI- 677 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 förordningen (se kapitel 6). Utredningen har också föreslagit att PTS ska vara samordnande marknadskontrollmyndighet för AI- förordningen och gemensam kontaktpunkt för AI-förordningen (se kapitel 9). PTS kommer därför att behöva bygga upp en hög kompetens inom AI-området, inbegripet AI-förordningen. Enligt utredningen behöver företrädaren i styrelsen ha mycket goda kun- skaper om AI-förordningen och en allmän god förståelse för AI- området. Det har betydelse för att Sverige ska kunna bedriva ett effektivt påverkansarbete när det gäller tillämpning och efterlevnads- kontroll av AI-förordningen genom styrelsen. Utredningen anser att detta talar för att företrädaren i styrelsen ska komma från PTS och att det således finns skäl att frångå den nuvarande ordningen där företrädaren i styrelsen är från Regeringskansliet. Vidare ska styrelsen bestå av två ständiga undergrupper. De ständiga undergrupperna ska avse en plattform för samarbete och utbyte mellan marknadskontrollmyndigheter och anmälande myn- digheter. I enlighet med utredningens förslag ska PTS i egenskap av samordnande marknadskontrollmyndighet för AI-förordningen vara Sveriges representant i den ständiga undergruppen för marknads- kontroll (se avsnitt 13.4.7). Samtidigt kommer Sveriges representanter i de befintliga undergrupperna till styrelsen från ett stort antal olika myndigheter. För att påverkansarbetet ska fungera väl i styrelsen behöver det förekomma en hög grad av samverkan mellan Sveriges representanter i undergrupperna och företrädaren i styrelsen. PTS kommer som samordnande marknadskontrollmyndighet för AI- förordningen redan på ett nationellt plan att behöva ta ett stort ansvar för samverkan mellan behöriga myndigheter inom marknads- kontrollområdet. Enligt utredningen talar också detta för att före- trädaren i styrelsen ska vara från PTS. Utifrån utredningens kartläggning av Sveriges deltagande i andra liknande organ för samverkan och stöd för tillämpning på unionsnivå har samtidigt framkommit att det i regel är myndighetschefen eller en tjänsteman vid tillsynsmyndigheten som representerar Sverige i denna typ av organ. Utredningen anser mot denna bakgrund att det i stället för den nuvarande ordningen där företrädaren i styrelsen är en tjänsteman vid Regeringskansliet, bör vara myndighetschefen eller en tjänste- man vid PTS som är Sveriges representant i styrelsen. Eftersom det är viktigt att företrädaren har goda kunskaper inom AI-området 678 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll och om AI-förordningen finns det ett behov av flexibilitet i valet av tjänsteman. Utseende av företrädaren I fråga om hur representanten i styrelsen bör utses kan utredningen konstatera att det följer av artikel 65.3 i AI-förordningen att det är medlemsstaten som utser företrädaren för en period på tre år som får förnyas en gång. I 20 § förordningen med instruktion för Regeringskansliet anges i vilka ärenden som Regeringskansliet ska besluta. Regeringskansliet ska bl.a. utse Sveriges representanter i det löpande arbetet inom EU:s råd samt föreslå och utse Sveriges representanter i kommittéer under kommissionen. Det följer inte uttryckligen av instruktionen för Regeringskansliet att det ska vara Regeringskansliet som utser Sveriges representant i den typ av organ på EU-nivå som AI-styrelsen utgör. Enligt 10 kap. 2 § regeringsformen får regeringen bemyndiga en förvaltningsmyndighet att ingå en internationell överenskommelse i en fråga där överenskommelsen inte kräver riksdagens eller Utrikes- nämndens medverkan. Detta innebär att regeringen har en uttrycklig möjlighet att genom ett bemyndigande delegera vissa internationella uppgifter till myndigheter, inklusive deltagande i EU-organ. Enligt utredningens bedömning bör det fortsättningsvis vara regeringen som utser företrädaren att representera Sverige i AI- styrelsen. Genom att regeringen har mandatet säkerställs att före- trädaren i styrelsen har rätt expertis och sakkunskaper inom AI- området och vad avser styrelsens uppgifter. 13.4.7 Representanter i styrelsens undergrupper Utredningens bedömning: Regeringen bör utse Sveriges repre- sentanter i styrelsens ständiga och tillfälliga undergrupper. En representant från Swedac bör utses till Sveriges representant i styrelsens ständiga undergrupp för anmälande myndigheter i frågor om anmälda organ. En representant från PTS bör utses till Sveriges representant i styrelsens ständiga undergrupp för marknadskontroll. 679 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 De statliga myndigheter eller andra organ vars kunskap och expertis närmast berörs av undergruppernas arbete bör i övrigt utses att representera Sverige i de ständiga eller tillfälliga under- grupperna. Regeringen bör utse Sveriges representanter i styrelsens undergrupper AI-styrelsen kan inrätta såväl tillfälliga som ständiga undergrupper löpande och utifrån behov av vilka frågor som måste utvecklas och diskuteras. Detta förutsätter en flexibilitet och att rätt personer sitter i rätt undergrupper för att arbetet i undergrupperna ska fungera. Utredningen har övervägt två alternativ. Det ena är att lägga an- svaret för representation i undergrupperna på PTS i myndighetens roll som samordnande marknadskontrollmyndighet för AI-förord- ningen. Det andra är att bibehålla det system som i dagsläget används där regeringen, genom Regeringskansliet, förordnar representanter. Att lägga ansvaret på PTS innebär i och för sig en flexibilitet genom att besluten om representation kan fattas och tillsättning ske snabbt. Mot detta talar att PTS inte har expertkompetens inom samtliga områden som undergrupperna kan beröra. Vissa under- grupper har också en annan inriktning än marknadskontroll, t.ex. undergruppen Brottsbekämpning och säkerhet. Den typ av flexi- bilitet som kan behövas, i förordnande av personer till undergrupp- erna, säkerställs snarare av att regeringen, med hjälp departementen i Regeringskansliet, bibehåller mandatet att förordna personer till undergrupperna. Genom att regeringen har mandatet säkerställs också möjligheten att förordna myndigheter med sakkunskap och personal med expertis inom särskilda områden att representera Sverige i undergrupperna. Sveriges representant i styrelsens ständiga undergrupp för anmälande myndigheter Av AI-förordningen följer att den ständiga undergruppen för an- mälande myndigheter ska tillhandahålla en plattform i frågor som rör anmälda organ (artikel 65.6). Av artikel 7.5 i styrelsens arbets- ordning följer att den ständiga undergruppen för anmälande myndig- 680 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll heter ska bestå av representanter från medlemsstaternas anmälande myndigheter. Utredningen har föreslagit att Swedac ska utses till att agera som anmälande myndighet enligt AI-förordningen för alla områden, med undantag för de AI-system där i stället Läkemedels- verket ska utses till anmälande myndighet (se kapitel 7). I Sverige är Swedac också det nationella ackrediteringsorganet.41 Swedac utgör också centralt samordningskontor och representerar Sverige i unions- nätverket för produktöverensstämmelse. Swedac har således erfaren- het av samarbete på unionsnivå inom produktsäkerhet. Utredningen anser därför att Swedac bör representera Sverige i styrelsens ständiga undergrupp för anmälande myndigheter. Enligt utredningens förslag ska samtidigt Läkemedelsverket ut- ses till anmälande myndighet för AI-system med hög risk som är relaterade till produkter som omfattas av EU:s förordningar om medicintekniska produkter (se kapitel 7). Om möjligt bör därför även Läkemedelsverket delta i undergruppens arbete. Om det inte är möjligt bedömer utredningen att det får anses tillräckligt att Swedac samordnar med Läkemedelsverket i de fall frågor av betyd- else för Läkemedelsverket behandlas i den ständiga undergruppen för anmälande myndigheter. Dessutom finns det en undergrupp för EU:s förordningar om medicintekniska produkter, som alltså har särskilda regler för an- mälan av organ för överensstämmelse, där Läkemedelsverket för närvarande representerar Sverige. Sveriges representant i styrelsens ständiga undergrupp för marknadskontroll Av artikel 7.4 i styrelsens arbetsordning följer att den ständiga undergruppen för marknadskontroll ska bestå av representanter från marknadskontrollmyndigheterna. Eftersom den ständiga undergruppen för marknadskontroll inte har inrättats ännu är det oklart i vilken utsträckning Sverige kan ha representanter från samt- liga eller vissa av de elva myndigheter som utredningen föreslår till att vara marknadskontrollmyndigheter enligt AI-förordningen. Utredningen har föreslagit att PTS ska utses till samordnande marknadskontrollmyndighet för AI-förordningen och gemensam 41 4 § lagen (2011:791) om ackreditering och teknisk kontroll. 681 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 kontaktpunkt för AI-förordningen. Utredningen anser därför att i vart fall PTS bör representera Sverige i den ständiga undergruppen för marknadskontroll. Det är samtidigt viktigt med samordning mellan marknads- kontrollmyndigheterna i de frågor om marknadskontroll som be- handlas i den ständiga undergruppen. Det är särskilt viktigt när de frågor om marknadskontroll som behandlas i den ständiga under- gruppen är nära flera marknadskontrollmyndigheters ansvarsområde. PTS bör därför samråda med och informera de marknadskontroll- myndigheter i Sverige som eventuellt inte kommer delta i den ständiga undergruppen om dess arbete. Enligt utredningen bör det kunna ske genom den samordningsfunktion som PTS föreslås leda (se kapitel 9). Sveriges representation i övriga undergrupper Utredningen har i avsnitt 13.4.3 beskrivit att AI-styrelsen har in- rättat flera undergrupper, såväl ständiga som tillfälliga, och att Sverige för närvarande är representerat i dessa genom ett flertal myndigheter på uppdrag av regeringen. Undergrupperna berör särskilda frågor inom ramen för AI-förordningen och de myndigheter som i dags- läget representerar Sverige har i sina uppdrag ofta anknytande frågor som också hanteras i undergrupperna. Det finns även exempel på där myndigheten har expertis inom visst område som undergruppen berör, snarare än att myndigheten som sådan har ett liknande upp- drag. Exempelvis har Svenska institutet för standarder fått uppdraget att representera Sverige i undergruppen för standarder, trots att det inte är en myndighet utan en ideell förening. Exempel på fall där myn- dighetens närliggande uppdrag också berörs i undergruppen är Finans- inspektionens representation i undergruppen för finansiella tjänster och Läkemedelsverkets representation i undergruppen för medicin- tekniska produkter. Som exempel på fall där expertisen hos myndig- heten snarare än myndighetens uppdrag finns representerad finns Bolagsverkets representation i undergruppen för regulatoriska sand- lådor för AI. Sammansättningen talar för att syftet har varit att ha ”rätt person på rätt plats”. Detta är enligt utredningen en rimlig ut- gångspunkt. Att AI-förordningen sträcker sig över nästintill samtliga sektorer medför att undergrupperna kommer att hantera frågor med sådan 682 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll bredd att arbetet svårligen kan hanteras av en enstaka myndighet. Det är en bättre ordning att expertis premieras och att det finns en flexi- bilitet i förordnandena att representera Sverige. På så vis har reger- ingen genom Regeringskansliet möjlighet att förordna de personer från de myndigheter eller organ som behövs för att utföra arbetet i undergrupperna. En sådan ordning medför också att regeringen kan få ett brett genomslag för sin politik inom digitaliserings- och AI-området. Det är emellertid av yttersta vikt att arbetet i undergrupperna, oavsett vem som representerar Sverige, präglas av samsyn på AI-området. Regeringen bör ansvara för att det finns. Samsyn bör kunna säker- ställas genom att olika enheter inom Regeringskansliet samarbetar tätt i frågor om förordnande av personer till undergrupperna. Det kan i vissa avseenden även vara viktigt att samordningsfunktionen som föreslås i kapitel 9 är informerad om arbetet i undergrupperna. Regeringskansliet kan därför behöva informera PTS, som föreslås leda samordningsfunktionen, om arbetet i undergrupperna. 13.4.8 Oberoende experter för den vetenskapliga panelen Utredningens bedömning: Sverige bör ha förutsättningar för att ha oberoende experter i den vetenskapliga panelen från forskar- samhället. Regeringen bör verka för att lämpliga experter från forskarsamhället i Sverige anmäler sitt intresse till att vara obero- ende expert i den vetenskapliga panelen. Sveriges förutsättningar för att ha experter i den vetenskapliga panelen I AI-förordningen anges att experterna i den vetenskapliga panelen ska vara oberoende i förhållande till leverantörer av AI-system eller AI-modeller för allmänna ändamål (artikel 68.2 b). Något ytter- ligare krav på experternas oberoende ställning för att kunna utses till oberoende expert i panelen ställs inte upp i AI-förordningen. Enligt utredningen talar detta för att experterna kan vara från den akademiska världen, den offentliga sektorn eller det privata närings- livet. Därtill anges i skälen till AI-förordningen att den vetenskapliga 683 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 panelen ska inrättas för att involvera forskarsamhället (skäl 148). Utredningen bedömer därför att kommissionen sannolikt kommer välja ut oberoende experter inom forskarsamhället i unionen. Den vetenskapliga panelen har inrättats av kommissionen genom en genomförandeakt och urvalet ska ske genom intresseanmälan. Av genomförandeakten framgår att minst en och som mest tre experter från varje medlemsstat ska eftersträvas förutsatt att det finns till- räckligt med sökande och tillräcklig bredd i kompetens.42 Kommissionen har den 16 juni 2025 publicerat en inbjudan till intresseanmälan för den första mandatperioden. Av inbjudan fram- går att kunskap som efterfrågas främst är relaterad till AI-modeller för allmänna ändamål samt att experter måste ha en doktorsexamen eller motsvarande erfarenhet och förbli oberoende av alla AI-leveran- törer. Utredningen har utifrån kontakter med företrädare för den akade- miska världen och forskare inom AI-området fått uppfattningen att det finns forskare och andra experter inom den akademiska världen med sådan vetenskaplig och teknisk expertis på AI-området som kan krävas för att bli utvald till oberoende expert i panelen. Sam- tidigt har forskare uppgett för utredningen att antalet forskare med goda och breda kunskaper inom AI-området i den akademiska världen i Sverige är förhållandevis begränsat. Vinnovas rapport Strategiska tekniker för Sverige och Sveriges placering inom forskning enligt Global AI Index ger också stöd för den uppfattningen. Vidare framgår av Vinnovas rapport att allt ifrån multinationella företag till uppstartsföretag i Sverige bedriver eget forsknings- och utvecklingsarbete inom AI-området. Utredningen har även utifrån kontakterna med företrädare för den akademiska världen förstått att en stor del av forskningen inom AI-området bedrivs i närings- livet. Enligt utredningen framstår det därför som om det finns forsk- are från det privata näringslivet som har en sådan grad av vetenskaplig och teknisk expertis på AI-området som kan komma att krävas för att bli utvald till oberoende expert i den vetenskapliga panelen. Utredningen bedömer sammanfattningsvis att Sverige bör ha förutsättningar att ha oberoende experter i den vetenskapliga panelen. 42 Kommissionens genomförandeförordning (EU) 2025/454 av den 7 mars 2025 om tillämp- ningsföreskrifter för Europaparlamentets och rådets förordning (EU) 2024/1689 vad gäller inrättande av en vetenskaplig panel av oberoende experter på området artificiell intelligens. 684 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll Regeringen bör verka för att lämpliga personer i Sverige anmäler sitt intresse Som utredningen har konstaterat ovan bör Sveriges deltagande i styr- ning på unionsnivå vara aktivt och omfattande (se avsnitt 13.4.4). Den vetenskapliga panelens arbete kan få betydelse för genomförandet och kontrollen av efterlevnad av AI-förordningen. Att ha Sverige representerat i den vetenskapliga panelen utgör en förutsättning för att regeringen och de nationella behöriga myndigheterna på ett effek- tivt sätt ska kunna hållas uppdaterade om den vetenskapliga panelens arbete. Det ska dock noteras att den vetenskapliga panelens arbete kommer omfattas av konfidentialitet och i vilka avseenden de obero- ende experterna kan dela med sig av arbetet inom panelen i förhål- lande till medlemsstaterna kommer vara begränsat. Enligt utredningen kan deltagande i den vetenskapliga panelen också ha betydelse för svensk forskning inom AI-området. Detta av det skälet att den vetenskapliga panelen kommer att utgöra ett organ där forskare och andra experter på AI-området inom unionen ska samverka. Det kan enligt utredningen antas att vetenskapliga och tekniska kunskaper och erfarenheter på AI-området kommer utbytas mellan de oberoende experterna. Riksdagen har också i den nationella inriktningen för AI från 2018 betonat att Sverige behöver utveckla samarbeten med forskningsmiljöer i andra länder och att EU kan spela en stor roll för svensk forskning (se avsnitt 13.4.1). Den vetenskapliga panelen är enligt utredningen ett forum inom unionen för sådant samarbete på AI-området. Utredningen anser mot denna bakgrund att Sverige bör ha experter i den vetenskapliga panelen. Även om det finns viss begränsning i antalet oberoende experter bör det finnas förutsättningar för experter från Sverige, vad avser flera områden som rör AI-förordningen, att anmäla sitt intresse för att utses. Som utredningen har konstaterat ovan är det kommissionen som väljer ut experterna till den vetenskapliga panelen och inte medlems- staterna. Det är regeringen som bedriver Sveriges strategiska på- verkansarbete inom EU och företräder Sverige i förhållande till kom- missionen. Enligt utredningen bör regeringen därför verka för att lämpliga personer i forskarsamhället i Sverige anmäler sitt intresse till den vetenskapliga panelen. Detta för att säkerställa att forskare 685 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 från Sverige faktiskt utses till oberoende experter i den vetenskapliga panelen. 13.4.9 Anlitande av experter i den vetenskapliga panelen Utredningens bedömning: Marknadskontrollmyndigheterna bör i den utsträckning det är möjligt, och AI-byrån beviljar, anlita experter i den vetenskapliga panelen för att stödja verksamheten för efterlevnadskontroll enligt AI-förordningen. Marknadskontrollmyndigheterna kommer att behöva finansi- ering för att kunna anlita experter i den vetenskapliga panelen. Enligt utredningens förslag ska elva myndigheter utses till att vara marknadskontrollmyndighet enligt AI-förordningen. Av artikel 70.3 följer att de nationella behöriga myndigheterna ska ha anställda med en ingående förståelse för bl.a. AI-teknik, data och databehandling. Utredningen har också föreslagit att PTS ska utses till samordnande marknadskontrollmyndighet för AI-förordningen och gemensam kontaktpunkt för AI-förordningen, och i den rollen bl.a. ha ett stöd- jande uppdrag i förhållande till andra myndigheter (se kapitel 9). PTS kommer därför att behöva ha personal med goda kunskaper om bl.a. AI-teknik. Det kan dock ta tid för PTS att hitta och anställa personal med rätt kompetens inom AI-området. Vidare bedömer utredningen att det är tveksamt om alla marknads- kontrollmyndigheter kommer att ha personal med tillräcklig och in- gående förståelse för AI-teknik på plats när AI-förordningen ska tillämpas i dess helhet. Det finns en risk för att bristen på rätt kompe- tens när det gäller AI-teknik negativt kommer att påverka respektive marknadskontrollmyndighets efterlevnadskontroll av AI-förord- ningen. I detta avseende kommer PTS enligt utredningens bedöm- ning behöva ta ett stort samverkansansvar (se kapitel 9). AI-byrån ska tillhandahålla praktiska medel med vilka marknads- kontrollmyndigheterna kan begära bistånd från den vetenskapliga panelen för sin marknadskontroll enligt AI-förordningen. Varje be- gäran om bistånd från den vetenskapliga panelen ska innehålla en tydlig angivelse av syftet med det begärda biståndet och får endast göras i samband med marknadskontroll enligt AI-förordningen. Behovet av och proportionaliteten i begäran om bistånd från den 686 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll vetenskapliga panelen ska motiveras. AI-byrån ska bedöma om be- gäran om bistånd är nödvändig och proportionell, med beaktande av den vetenskapliga panelens tillgängliga kapacitet och det faktum att alla medlemsstater behöver ha faktisk tillgång till experter. Om AI- byrån drar slutsatsen att begäran är nödvändig och proportionell ska kommissionen utse en föredragande och två bidragslämnare för upp- giften i enlighet med artikel 7 i genomförandeakten om den veten- skapliga panelen (artikel 14 i genomförandeakten). Det finns således vissa begränsningar när det gäller att begära stöd från den vetenskapliga panelen. Utredningen anser samtidigt att risken för kompetensbrist vad gäller AI-teknik bland marknadskontroll- myndigheterna trots detta i viss utsträckning kan läkas genom möjlig- heten för medlemsstaterna att anlita experter i den vetenskapliga panelen. För att säkerställa en korrekt efterlevnadskontroll av AI- förordningen bör därför marknadskontrollmyndigheterna, i den utsträckning det är möjligt och AI-byrån beviljar, anlita experter i den vetenskapliga panelen. Marknadskontrollmyndigheterna kan komma att åläggas avgifter för experternas rådgivning och stöd (artikel 69.2). Enligt utredningen kommer myndigheterna därför att behöva få tillräcklig finansiering för att kunna anlita experter i den vetenskapliga panelen. För att marknadskontrollmyndigheterna ska kunna anlita experter i den vetenskapliga panelen krävs också vissa överväganden kring offentlighet och sekretess. Det tas upp i avsnitt 13.5.2. 13.4.10 Medlemmar för det rådgivande forumet Utredningens bedömning: Sverige bör ha förutsättningar att ha parter i det rådgivande forumet. Regeringen bör verka för att kom- missionen utser svenska aktörer att vara medlemmar i det råd- givande forumet. 687 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 Sveriges förutsättningar för att ha parter i det rådgivande forumet Som utredningen har bedömt i förhållande till den vetenskapliga panelen av oberoende experter bör Sverige anses ha en tillräckligt framstående forskning inom den akademiska världen och närings- livet på AI-området för att kunna ha experter i den vetenskapliga panelen (se avsnitt 13.4.8). Så bör även vara fallet med det rådgiv- ande forumet. Av Vinnovas rapport Strategiska tekniker för Sverige framgår också att allt ifrån multinationella företag till uppstarts- företag i Sverige bedriver eget forsknings- och utvecklingsarbete inom AI-området. Utredningen noterar samtidigt att kravet på att berörda parter i det rådgivande forumet ska ha erkänd sakkunskap verkar vara ett lägre ställt krav jämfört med att experterna i den veten- skapliga panelen ska besitta vetenskaplig eller teknisk expertis på AI-området. Enligt utredningens bedömning bör det därför finnas berörda parter både i det svenska näringslivet och i den akademiska världen som besitter sådan erkänd sakkunskap på AI-området som kan behövas för att utses till medlem i det rådgivande forumet. Vidare ska berörda parter från det civila samhället vara represen- terade i det rådgivande forumet. Regeringskansliet definierar det civila samhället som en arena, skild från staten, marknaden och det enskilda hushållet, där människor organiserar sig och agerar tillsam- mans i gemensamma intressen. I området ingår nätverk, ideella fören- ingar, registrerade trossamfund m.m. Enligt utredningen bör det finnas berörda parter i det civila samhället i Sverige med sådan erkänd sakkunskap på AI-området som kan krävas för att vara medlem i det rådgivande forumet. Ett exempel är Sveriges nationella centrum för tillämpad AI (AI Sweden) som är en icke vinstdrivande organi- sation med ett stort antal partners från den privata- och offentliga sektorn samt akademin. AI Sweden består av allt från ledande AI- experter, forskningsingenjörer, lingvister och matematiker till policy- experter, jurister, journalister och förändringsledare. Utredningen anser därför att Sverige bör ha förutsättningar att ha berörda parter i det rådgivande forumet bland uppstartsföretag, små och medelstora företag, andra företag, det civila samhället och den akademiska världen. 688 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll Regeringen bör verka för att svenska aktörer utses till att vara medlemmar i det rådgivande forumet Det är kommissionen som utser medlemmarna i det rådgivande forumet och inte medlemsstaterna. Enligt utredningens bedömning bör Sveriges deltagande på unionsnivå vad gäller tillämpning och efter- levnadskontroll av AI-förordningen samtidigt vara aktivt och om- fattande (se avsnitt 13.4.4). Det rådgivande forumet kommer att ut- göra det främsta organet för uppstartsföretag, små och medelstora företag och andra företag att bedriva påverkansarbete vad avser tillämpningen av AI-förordningen. Som framgår av AI-kommis- sionens färdplan för Sverige uppfattar svenska företag varierande implementering och tolkning av EU:s regelverk som ett handels- hinder. För att det svenska näringslivet ska ha möjlighet att utöva ett direkt påverkansarbete vad avser AI-förordningen bör det därför finnas ett representativt urval av uppstartsföretag, små och medel- stora företag samt andra företag från Sverige i det rådgivande forumet. Att svenska företag får plats i det rådgivande forumet kan bidra till att stärka svenska företags konkurrenskraft inom EU. Vidare ska det rådgivande forumet tillhandahålla teknisk expertis, utöver att vara en rådgivande funktion till styrelsen och kommis- sionen. Det rådgivande forumet ska bl.a. bestå av parter från den akademiska världen. Kunskapsutbytet mellan parter från den aka- demiska världen i det rådgivande forumet skulle därför kunna ha betydelse för svensk forskning och utveckling inom AI-området. Det rådgivande forumet kan också, i likhet med den vetenskapliga panelen, ses som ett forum inom EU för att utveckla samarbeten bland forskare och andra experter i akademiska världen inom AI- området (se även avsnitt 13.4.8). Vidare anser utredningen att nätverk och organisationer från det civila samhället som t.ex. AI Sweden har betydelse för Sveriges ut- veckling och konkurrenskraft på AI-området. Denna typ av nätverk och organisationer från det civila samhället på AI-området kan också fånga upp många aktörer och intressenters perspektiv vad gäller tillämpning och efterlevnadskontroll av AI-förordningen. Utredningen anser mot denna bakgrund att Sverige bör ha be- rörda parter från uppstartsföretag, små och medelstora företag, det civila samhället och den akademiska världen representerade i det råd- givande forumet. Det är regeringen som bedriver Sveriges strategiska 689 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 påverkansarbete inom EU och företräder Sverige i förhållande till kommissionen. Enligt utredningen bör regeringen därför verka för att berörda parter utses till att vara medlemmar i det rådgivande forumet. Det bör härvid också beaktas att kommissionen redan har påbörjat arbetet med att utse medlemmar till det rådgivande forumet genom att ha öppnat ett första ansökningsförfarande till det rådgiv- ande forumet den 17 juli 2025. 13.5 Offentlighet och sekretess 13.5.1 Arbetet som representant i AI-styrelsen Utredningens bedömning: Befintliga bestämmelser i OSL säker- ställer att uppgifter inom verksamheten som bedrivs i AI-styrel- sen inte används i strid med artikel 78 i AI-förordningen samt att företrädaren i AI-styrelsen har tillräckliga befogenheter att underlätta enhetlighet och samordning mellan nationella behör- iga myndigheter i sina medlemsstater när det gäller genomförandet av AI-förordningen. Inledning Medlemsstaterna ska utse en företrädare i AI-styrelsen för en period om tre år som får förnyas en gång. Styrelsen ska även inrätta två ständiga undergrupper till styrelsen, dels en undergrupp för mark- nadskontroll, dels en undergrupp för anmälande myndigheter. I nu- läget finns därutöver ett flertal andra tillfälliga undergrupper. Utred- ningen föreslår att Sverige ska ha elva marknadskontrollmyndigheter och två anmälande myndigheter. Sverige kan endast ha en represen- tant i AI-styrelsen, men frågorna kan röra olika myndigheters verk- samhet. Även arbetet i undergrupperna kan röra olika myndigheters verksamhet. Av artikel 65.4 c i AI-förordningen framgår vidare att medlems- staterna ska säkerställa att deras företrädare i AI-styrelsen har be- fogenhet att underlätta enhetlighet och samordning mellan nationella behöriga myndigheter i sina medlemsstater när det gäller genom- förandet av AI-förordningen, bl.a. genom insamling av relevanta 690 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll uppgifter och relevant information för att de ska kunna fullgöra sina uppgifter i styrelsen. Det kommer följaktligen att finnas behov av att Sveriges repre- sentant i AI-styrelsen och dess undergrupper kan utbyta informa- tion sinsemellan samt med andra behöriga myndigheter enligt AI- förordningen. Sådan information kan ibland behöva hanteras kon- fidentiellt. Det finns inte behov av kompletterande sekretessbrytande bestämmelser Utredningen föreslår i förhållande till AI-styrelsen att regeringen ska utse en representant från den samordnande marknadskontroll- myndigheten, dvs. PTS, som Sveriges företrädare i AI-styrelsen (se avsnitt 13.4.6). Som framgår av avsnitt 9.5 föreslår utredningen vidare att PTS – i egenskap av samordnande marknadskontrollmyndighet för AI-förordningen – ska ges ett flertal uppgifter, bl.a. att leda en samordningsfunktion där samtliga marknadskontrollmyndigheter enligt AI-förordningen ska ingå. Genom den samordningsfunktionen bör PTS till viss del även kunna samla in relevanta uppgifter och information för att företrädaren i AI-styrelsen ska kunna fullgöra sina uppgifter i styrelsen. Utredningen har också lämnat förslag om en sekretessbrytande bestämmelse för marknadskontrollmyndighet- erna (se avsnitt 9.9.4). Underlag från andra myndigheter m.m. bör i viss utsträckning även kunna samlas in med hjälp av Regeringskansliet (se avsnitt 13.4.5). Företrädaren i AI-styrelsen kan även förväntas behöva dela med sig av information som den får från kommissionen och andra med- lemsländer. Sådana uppgifter kan ibland omfattas av sekretess. Främst bör det då röra sig om den s.k. utrikessekretessen i 15 kap. 1 § OSL. Enligt den bestämmelsen gäller sekretess om det kan antas att ett röjande av uppgiften stör Sveriges mellanfolkliga förbindelser eller på annat sätt skadar landet om uppgiften röjs. Uppgifter inom EU- samarbetet kan ibland även omfattas av sekretess enligt 15 kap. 1 a § OSL. Bestämmelserna omfattar bl.a. uppgifter som en myndighet har fått från ett utländskt organ på grund av en bindande EU-rätts- akt eller som myndigheten har inhämtat i syfte att lämna dem till ett utländskt organ i enlighet med en sådan rättsakt. En ytterligare förutsättning för sekretessen är att det kan antas att Sveriges möjlig- 691 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 het att delta i det internationella samarbete som avses i rättsakten försämras om uppgiften röjs. Enligt förarbetena gäller sekretessen enligt 15 kap. 1 a § OSL dock bara om det finns en tydlig sekretess- bestämmelse i den aktuella EU-rättsakten. Om så inte är fallet kommer en tillämpning av sekretessbestämmelserna normalt inte att aktualiseras även om en sådan inte utesluts av bestämmelsernas ordalydelse.43 AI-förordningen innehåller inte några tydliga sekretess- bestämmelser (artikel 78 om konfidentialitet hänvisar till unions- rätten eller nationell rätt). Därmed kommer 15 kap. 1 a § OSL i princip inte att bli tillämplig i relation till AI-förordningen. Främst blir det då 15 kap. 1 § OSL som kan aktualiseras. Det bör enligt utredningen dock inte vara vanligt förekommande att ett uppgiftslämnande strider mot den bestämmelsen, särskilt inte i för- hållande till andra behöriga myndigheter enligt AI-förordningen. Även s.k. tillsynssekretess enligt 30 kap. 23 § OSL kan i vissa fall bli aktuell (se närmare i avsnittet nedan). Marknadskontrollmyndigheterna kommer att kunna utbyta viss information redan med stöd av den sekretessbrytande bestämmelse som utredningen har föreslagit i avsnitt 9.9.4. Den bestämmelsen bör i vissa situationer även kunna vara aktuell i fråga om informa- tionsutbyte i relation till arbetet som förs i AI-styrelsen. Bestämmel- sen som föreslås i avsnitt 9.4.4 har dock vissa begränsningar, med följden att den nog inte alltid kommer att vara aktuell i fråga om det arbete som bedrivs inom AI-styrelsen. Detta bl.a. eftersom även andra myndigheter än marknadskontrollmyndigheter kan ha repre- sentanter i AI-styrelsens undergrupper och sekretessen inte bryts i förhållande till myndigheter som inte är marknadskontrollmyndig- heter enligt AI-förordningen (se avsnitt 13.4.7). I sådana situationer finns dock bestämmelsen om s.k. nödvändigt utlämnande i 10 kap. 2 § OSL. Enligt den bestämmelsen får en myndighet, trots att sekretess gäller för en uppgift, lämna uppgiften till en annan myndighet om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Om representanten i AI-styrelsen skulle bedöma att det är nödvändigt att lämna en uppgift till en annan myn- dighet för att kunna fullgöra sin verksamhet enligt förordningen, exempelvis för att kunna bidra till samordningen mellan nationella behöriga myndigheter, så är bestämmelsen om nödvändigt utläm- nande tillämplig. 43 Prop. 2012/13:192, s. 35 och 44. 692 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll Bestämmelsen i 10 kap. 2 § OSL bör även kunna tillämpas av andra myndigheter som behöver lämna sekretessbelagda uppgifter till före- trädaren i AI-styrelsen, om uppgifterna inte kan delas med stöd av den föreslagna uppgiftsskyldigheten i avsnitt 9.9.4. I sista hand bör även den s.k. generalklausulen i 10 kap. 27 § OSL kunna tillämpas. En sekretessbelagd uppgift får med stöd av den bestämmelsen lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Bestämmelsen i 10 kap. 2 § OSL ska visserligen tillämpas restrik- tivt och ett utlämnande med stöd av generalklausulen får inte ske slentrianmässigt.44 Det har dock inte framkommit att myndigheter kan komma att behöva dela sekretessbelagda uppgifter i någon större utsträckning med stöd av dessa bestämmelser till följd av arbetet i AI-styrelsen (jfr utredningens bedömning i avsnitt 9.4.4). Arbetet i AI-styrelsen och dess undergrupper är pågående och verkar fungera inom befintliga regelverk. Utredningen bedömer sammanfattningsvis att det i nuläget inte finns något behov av sekretessbrytande bestämmelser i relation till arbetet i AI-styrelsen. Det finns inte behov av kompletterande bestämmelser om sekretess eller överföring av sekretess Som närmare framgår i avsnitt 9.9.2 kommer uppgifter som de natio- nella behöriga myndigheterna hanterar i många situationer att om- fattas av tillsynssekretess enligt 30 kap. 23 § OSL. Ordet ”tillsyn” har i tryckfrihetsförordningen och OSL en vidare betydelse än inom förvaltningsrätten. Enligt förarbetena till den tidigare sekretesslagen (1980:100) åsyftas med begreppet ”tillsyn” det område som vid tiden för den lagens införande beskrevs med ordet kontroll. Ordet tillsyn ska enligt dessa förarbeten inte ges en alltför snäv tolkning utan får anses omfatta alla de fall där en myndighet har en övervakande eller styrande funktion i förhållande till näringslivet.45 Uppgifter som andra myndigheter får del av till följd av AI-styrelsens arbete bör därmed i vissa fall också omfattas av sekretess enligt 30 kap. 23 § OSL. Även andra bestämmelser, såsom 15 kap. 1 § OSL bör i vissa situationer vara tillämpliga. För olika myndigheter finns därtill olika 44 Prop. 1979/80:2 Del A, s. 465 och 494 och t.ex. JO:s beslut 2013/14 s. 230. 45 Prop. 1979/80:2 Del A, s. 235. Se även bl.a. prop. 2022/23:41, s. 51. 693 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 specifika bestämmelser som gäller i deras verksamheter. Arbetet i AI-styrelsen och dess undergrupper är pågående och verkar fungera inom befintliga regelverk. Det finns därmed inte behov av några kompletterande bestämmelser om sekretess eller om överföring av sekretess.46 Sammanfattning Sammanfattningsvis bedömer utredningen att befintliga regler i OSL säkerställer att uppgifter inom verksamheten som bedrivs i AI-styrelsen inte används i strid med artikel 78 i AI-förordningen samt att företrädare i AI-styrelsen har tillräckliga befogenheter att underlätta enhetlighet och samordning mellan nationella behöriga myndigheter i medlemsstaterna när det gäller genomförandet av AI-förordningen. 13.5.2 Sekretessbrytande bestämmelse i förhållande till den vetenskapliga panelen Utredningens förslag: Kompletteringsförordningen ska inne- hålla en bestämmelse som anger att uppgifter som behövs för att marknadskontrollmyndigheter enligt AI-förordningen ska kunna anlita experter i den vetenskapliga panelen enligt artikel 69 i AI- förordningen ska lämnas till AI-byrån och den vetenskapliga panelen utan hinder av sekretess. Av artikel 69 i AI-förordningen framgår att medlemsstaterna får an- lita experter i den vetenskapliga panelen för att stödja deras verksam- het för efterlevnadskontroll. Utredningen bedömer i avsnitt 13.4.9 att marknadskontrollmyndigheterna i den utsträckning det är möjligt bör anlita experter i den vetenskapliga panelen för att stödja verk- samheten för efterlevnadskontroll. För att det ska vara praktiskt genomförbart kommer marknadskontrollmyndigheterna att behöva kunna lämna ifrån sig sekretessbelagda uppgifter både till AI-byrån och den vetenskapliga panelen (se närmare i avsnitt 13.4.9). 46 Jfr liknande resonemang om sekretess och uppgiftsutbyte inom ramen för internationellt samarbete i lagrådsremissen Kompletterande bestämmelser till EU:s förordning om politisk reklam, s. 64 f. 694 SOU 2025:101 Stöd för tillämpning och efterlevnadskontroll Sekretess gäller enligt 8 kap. 3 § OSL som utgångpunkt mot ut- ländska myndigheter och mellanfolkliga organisationer. För att ett utlämnade ska få ske krävs antingen att utlämnande sker i enlighet med särskild föreskrift i lag eller förordning, eller att uppgiften i mot- svarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den ut- ländska myndigheten eller den mellanfolkliga organisationen. Det finns inga bestämmelser i AI-förordningen eller något annat regelverk som reglerar en uppgiftsskyldighet i nu aktuellt fall. Det finns därmed inte någon särskild föreskrift i lag eller förordning som reglerar ett utlämnande av uppgifter inom ramen för artikel 69 i AI- förordningen. I fråga om 8 kap. 3 § andra stycket 2 OSL kan möjligen hävdas att uppgifter i motsvarande fall skulle kunna lämnas till en svensk myndighet enligt bestämmelsen om s.k. nödvändigt utlämnande i 10 kap. 2 § OSL. Enligt den bestämmelsen får en myndighet, trots att sekretess gäller för en uppgift, lämna uppgiften till en annan myndighet om det är nödvändigt för att den utlämnande myndig- heten ska kunna fullgöra sin verksamhet. Bestämmelsen i 10 kap. 2 § OSL ska dock tillämpas restriktivt. Sekretessen får dessutom bara efterges i sådana fall då ett utlämnande av sekretessbelagda uppgifter är en nödvändig förutsättning för att den utlämnande myndigheten ska kunna fullgöra ett visst åliggande. Enbart en bedömning att effektiviteten i myndighetens handlande nedsätts genom en föreskriven sekretess får alltså inte leda till att sekretessen åsidosätts.47 Utredningen bedömer att det – för en effektiv och säker kontroll av efterlevnad av AI-förordningen – är nödvändigt att marknads- kontrollmyndigheterna har möjlighet att anlita experter i den veten- skapliga panelen. För att det ska vara möjligt behövs mot ovanstående bakgrund en sekretessbrytande bestämmelse. De närmare arrange- mangen för hur biståndet ska gå till är inte klarlagt i nuläget (se närmare i avsnitt 13.4.9). Utredningen förutsätter dock att AI-byrån och experterna i den vetenskapliga panelen som mottar uppgifter från svenska myndigheter kommer att hantera uppgifter konfiden- tiellt i enlighet med artikel 78 i AI-förordningen. 47 Prop. 1979/80:2 Del A, s. 465 och 494 och Lenberg, Tansjö, Geijer, Offentlighets- och sekretesslagen (17 juni 2025, JUNO), kommentaren till 10. Kap. 1 § OSL. 695 Stöd för tillämpning och efterlevnadskontroll SOU 2025:101 Utredningen föreslår sammanfattningsvis att det ska föras in en sekretessbrytande bestämmelse i kompletteringsförordningen som anger att uppgifter som behövs för att marknadskontrollmyndig- heter enligt AI-förordningen ska kunna anlita experter i den veten- skapliga panelen enligt artikel 69 i AI-förordningen ska lämnas till AI-byrån och den vetenskapliga panelen utan hinder av sekretess. 696 14 Övriga nödvändiga åtgärder 14.1 Inledning En del av utredningens uppdrag är att lämna förslag på övriga åtgärder som är nödvändiga för att uppfylla kraven i AI-förordningen. Utred- ningen har löpande i betänkandet tagit upp sådana övriga nödvändiga åtgärder i de kapitel där dessa åtgärder har varit hänförliga till andra sakfrågor som har hanterats i kapitlen. I detta kapitel tar utredningen upp några ytterligare sådana övriga nödvändiga åtgärder som utred- ningen har identifierat och som utredningen har överväganden och förslag om men som inte är hänförliga till specifika sakfrågor. I avsnitt 14.2 redogör utredningen för bestämmelser i AI-förord- ningen som hanterar bevarande av dokumentation i särskilda avse- enden samt redovisar sina överväganden om dessa bestämmelser. I avsnitt 14.3 lämnar utredningen förslag om överklagande av beslut som fattas av förvaltningsmyndighet respektive av anmälda organ. I avsnitt 14.4 redogör utredningen för bestämmelser om klagomål till marknadskontrollmyndigheterna samt redovisar sina överväganden om dessa bestämmelser. I avsnitt 14.5 redogör utredningen för be- stämmelsen i artikel 26.10 i AI-förordningen om biometrisk fjärr- identifiering i efterhand samt redovisar sina överväganden om den bestämmelsen. I avsnitt 14.6 redogör utredningen avslutningsvis för vissa frågor om behandling av personuppgifter. 697 Övriga nödvändiga åtgärder SOU 2025:101 14.2 Bevarande av dokumentation 14.2.1 Leverantörens skyldighet att bevara dokumentation Av artikel 18.1 i AI-förordningen följer att leverantören under en period om tio år efter det att ett AI-system med hög risk har släppts ut på marknaden eller har tagits i bruk, för de nationella behöriga myndigheternas räkning ska hålla tillgänglig a) den tekniska dokumentation som avses i punkt 11, b) den dokumentation avseende kvalitetsstyrningssystemet som det hänvisas till i artikel 17, c) i tillämpliga fall, dokumentation om de ändringar som godkänts av anmälda organ, d) i tillämpliga fall, de beslut och andra handlingar som utfärdats av de anmälda organen, och e) EU-försäkran om överensstämmelse enligt artikel 47. Varje medlemsstat ska fastställa på vilka villkor den dokumentation som avses i artikel 18.1 ska hållas tillgänglig för de nationella behöriga myndigheterna under den period som anges i den punkten i de fall då en leverantör eller dennes ombud som är etablerad på dess terri- torium går i konkurs eller upphör med sin verksamhet före utgången av denna period (artikel 18.2). 14.2.2 Överväganden och förslag Utredningens förslag: Kompletteringslagen ska innehålla en be- stämmelse om att dokumentation som avses i artikel 18.1 i AI- förordningen ska hållas tillgänglig för de nationella behöriga myn- digheterna under den tid som anges i den bestämmelsen även om leverantören eller dennes ombud försätts i konkurs, går i likvida- tion eller upphör med sin verksamhet. Leverantören eller dennes ombud ska i sådana fall anmäla till den myndighet som regeringen bestämmer vem som ansvarar för bevarandet av dokumentationen och var den förvaras. 698 SOU 2025:101 Övriga nödvändiga åtgärder Kompletteringsförordningen ska innehålla en bestämmelse om att anmälan ska lämnas till PTS. Som följer av artikel 18.2 i AI-förordningen ska varje medlemsstat fastställa på vilka villkor som dokumentationen, som ska bevaras enligt artikel 18.1, ska hållas tillgänglig för de nationella behöriga myndigheterna under den angivna tiden om leverantören eller dennes ombud som är etablerad på dess territorium går i konkurs eller upp- hör med sin verksamhet. I AI-förordningen används lokutionen ”går i konkurs”, men i svensk rätt används företrädesvis lokutionen ”för- sätts i konkurs” med samma innebörd.1 Utredningen har valt att använda begreppet ”försätts i konkurs”. En liknande bevarandeskyldighet gäller i fråga om dokumentation som ska hållas tillgänglig för de behöriga myndigheterna enligt EU:s förordningar om medicintekniska produkter. Av en bilaga till MDR- förordningen följer således att viss dokumentation ska hållas till- gänglig för de behöriga myndigheterna under minst tio år även för den händelse att en tillverkare eller tillverkarens auktoriserade repre- sentant försätts i konkurs eller upphör med verksamheten innan den angivna tiden har löpt ut. Även i IVDR-förordningen finns liknande bestämmelser om bevarande av dokumentation vid konkurs eller om verksamheten upphör. I förarbetena om anpassningar till EU:s förordningar om medicin- teknik – del 2 bedömdes att kravet på bevarande av dokumentation vid konkurs eller upphörande av verksamheten enligt MDR- och IVDR-förordningarna ska regleras i den nya lagen med kompletter- ande bestämmelser till EU:s förordningar om medicintekniska pro- dukter.2 Av 7 kap. 17 § lagen (2021:600) med kompletterande bestäm- melser till EU:s förordningar om medicintekniska produkter följer således att viss dokumentation, som ska bevaras enligt MDR- och IVDR-förordningarna, ska hållas tillgänglig för de behöriga myndig- heterna under den tid som anges i bilagorna även om tillverkaren eller dennes auktoriserade representant försätts i konkurs, går i likvidation eller upphör med sin verksamhet. Tillverkaren eller repre- sentanten ska i sådana fall anmäla till Läkemedelsverket vem som ansvarar för arkiveringen av handlingarna och var de förvaras. 1 Se exempelvis 1 kap. 2 § konkurslagen (1987:672) och 25 kap. 36 § aktiebolagslagen (2005:551). 2 Prop. 2020/21:172, s. 154 ff. och Ds. 2019:32 Anpassningar till EU:s förordningar om medicin- teknik – del 2, s. 210 ff. 699 Övriga nödvändiga åtgärder SOU 2025:101 Utredningen kan konstatera att denna bevarandeskyldighet har tydliga likheter med bevarandeskyldigheten enligt artikel 18.1 i AI- förordningen. Enligt både EU:s förordningar om medicintekniska produkter och AI-förordningen ska dokumentation om bl.a. EU-för- säkran om överensstämmelse och kvalitetsstyrningssystemet (arti- kel 17 i AI-förordningen) respektive kvalitetsledningssystemet (arti- kel 10.9 i MDR-förordningen och artikel 10.8 i IVDR-förordningen) bevaras under minst tio år. Enligt utredningens bedömning bör det införas en motsvarande reglering i kompletteringslagen, med innebörden att dokumentation som ska bevaras enligt artikel 18.1 i AI-förordningen ska hållas till- gänglig även om leverantören eller dennes ombud försätts i konkurs eller upphör med sin verksamhet. Skyldigheten bör även gälla för det fall leverantören eller ombudet har gått i likvidation. Dokumenta- tionen ska hållas tillgänglig för de nationella behöriga myndigheterna, vilka utses av regeringen med stöd av 8 kap. 7 § regeringsformen. I utredningens förslag innebär detta samtliga marknadskontroll- myndigheter och anmälande myndigheter. I kompletteringslagen bör det även anges att om en leverantör eller dennes ombud försätts i konkurs, går i likvidation eller upphör med sin verksamhet ska den göra en anmälan till den myndighet som regeringen bestämmer. I den anmälan ska det framgå vem som an- svarar för bevarandet av dokumentationen och var dokumentationen förvaras. Utredningen har i kapitel 6 och 9 föreslagit att PTS ska ges ett huvudsakligt ansvar för AI-förordningen samt vara samordnande marknadskontrollmyndighet. PTS ska enligt utredningens förslag också ansvara för flera delar av bilaga III i AI-förordningen. Bevar- andeskyldigheten enligt artikel 18.1 är en skyldighet som gäller en leverantör och dennes ombud av AI-system med hög risk. I enlighet med utredningens förslag kommer PTS att vara marknadskontroll- myndighet över AI-system med hög risk inom flera områden där en tillämpning av bestämmelsen om bevarandeskyldighet vid leveran- törens eller dennes ombuds konkurs, likvidation eller upphörande med verksamheten kan tänkas aktualiseras. Detta talar för att anmälan i samtliga fall ska lämnas till PTS. Att en leverantör eller dennes ombud försätts i konkurs, likvideras eller upphör med verksamheten kan förstås inträffa inom samtliga högriskområden. Ett alternativ är därför att anmälan görs till respek- 700 SOU 2025:101 Övriga nödvändiga åtgärder tive marknadskontrollmyndighet utifrån myndigheternas tillsyns- område. En konkursförvaltare har en lagreglerad skyldighet att anmäla vissa omständigheter till myndigheter i samband med en konkurs.3 Det kan även antas att det i många fall kommer att vara konkurs- förvaltaren som kommer att göra en anmälan om bevarandeskyldig- heten enligt artikel 18.1 i AI-förordningen. För att underlätta såväl för leverantörer och dennes ombud som för konkursförvaltare bör anmälan om bevarandeskyldigheten lämnas till en myndighet. Efter- som utredningen föreslår att PTS ska ges ett huvudsakligt ansvar för AI-förordningen bör PTS utses till att vara den myndighet som an- mälan ska lämnas till. 14.3 Överklagande Utredningens förslag: Kompletteringslagen ska innehålla en be- stämmelse om att beslut av en förvaltningsmyndighet eller ett anmält organ enligt AI-förordningen, kompletteringslagen eller föreskrift som har meddelats i anslutning till kompletteringslagen får överklagas till allmän förvaltningsdomstol. En myndighet får överklaga en förvaltningsmyndighets eller ett anmält organs beslut. Förvaltningsmyndigheten eller det anmälda organet ska vid överklagande vara motpart i domstolen. Prövningstillstånd krävs vid överklagande till kammarrätten. 14.3.1 Inledning Detta avsnitt innehåller ett antal olika delfrågor som alla har en central betydelse i frågor om överklagande. Utredningen har därför valt att redovisa sina överväganden enligt följande. I avsnitt 14.3.2 redovisar utredningen allmänt om vad som gäller om överklaganden. I avsnitt 14.3.3 redovisar utredningen sina över- väganden om överklagande av beslut av en förvaltningsmyndighet och i avsnitt 14.3.4 om överklagande av ett beslut av ett anmält organ. 3 Vad t.ex. gäller miljöfarliga verksamheter har förvaltaren en anmälningsskyldighet till miljö- tillsynsmyndigheterna. Se bl.a. 7 kap. 16 a § konkurslagen (1987:672) och 26 kap. miljöbalken. 701 Övriga nödvändiga åtgärder SOU 2025:101 I avsnitt 14.3.5 redovisar utredningen sina överväganden om beslut- ande myndighets eller anmält organs motpartsställning i domstol. Slutligen redovisar utredningen i avsnitt 14.3.6 sina överväganden om prövningstillstånd i kammarrätten. 14.3.2 Allmänt om överklaganden Vid handläggning av ärenden hos förvaltningsmyndigheterna är FL tillämplig (1 §). 28 § FL reglerar hur beslut fattas. Sådana beslut över- klagas enligt 40 § första stycket FL till allmän förvaltningsdomstol. Enligt andra stycket i samma paragraf krävs det prövningstillstånd vid överklagande till kammarrätten. Enligt 41 § FL får ett beslut överklagas om det kan antas påverka någons situation på ett inte obetydligt sätt. Den första förutsätt- ningen för att ett beslut ska vara överklagbart är att det rör sig om ett beslut i ett förvaltningsärende, dvs. ett förvaltningsbeslut. Den andra förutsättningen är att beslutet kan antas påverka någons situa- tion på ett visst sätt. Avgörande är vilka faktiska verkningar beslutet får för den som berörs.4 Det krävs att det är fråga om en påverkan av tillräckligt kvalificerat slag. Det ska därför göras en objektiv be- dömning av om ett beslut av ett visst slag typiskt sett medför att kravet på påverkan är uppfyllt.5 Enligt 42 § FL får ett beslut överklagas av den som beslutet angår, om det har gått honom eller henne emot. Rätten att överklaga förut- sätter att beslutet antingen påverkar klagandens rättsliga ställning eller rör ett intresse som han eller hon har och som har erkänts av rättsordningen. Avgörande för rätten att överklaga är den effekt som beslutet får för den som vill överklaga.6 Av FL framgår formerna för överklagande av en förvaltningsmyn- dighets beslut. I förvaltningsdomstol gäller förvaltningsprocesslagen (1971:291). En förvaltningsmyndighets beslut enligt kompletteringslagen ska – som framgår av 14 § andra stycket lagen (1971:289) om all- 4 Se t.ex. HFD 2018 ref. 23 och där anmärkta rättsfall. 5 HFD 2019 ref. 21, p. 36. 6 Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag, s. 171 och Lundmark och Säfsten, Förvaltningslagen (26 aug. 2024, Version 1C, JUNO), kommentaren till 42 §. 702 SOU 2025:101 Övriga nödvändiga åtgärder männa förvaltningsdomstolar – överklagas till den förvaltningsrätt inom vars domkrets ärendet först har prövats. 14.3.3 Överklagande av en förvaltningsmyndighets beslut AI-förordningen reglerar flera sammanhang där förvaltningsmyndig- heter kommer att besluta i frågor som kan antas påverka en enskilds eller en myndighets situation när de agerar som operatörer eller an- mälda organ enligt AI-förordningen. Det gäller exempelvis beslut om åtgärder för marknadskontroll enligt artikel 14.4 i EU:s mark- nadskontrollförordning, om förelägganden om att EU:s marknads- kontrollförordning ska följas, om åtgärder enligt artiklarna 74.5, 74.12 och 74.13 i AI-förordningen, om ingripanden enligt AI-för- ordningen, om ansökan till en regulatorisk sandlåda för AI enligt artikel 57 och avbrytande av en testprocess enligt artikel 57.11 i AI- förordningen, om avgifter till den regulatoriska sandlådan för AI och om testning av AI-system med hög risk under verkliga förhållanden enligt artikel 60 eller 76.3 i AI-förordningen. Besluten ska enligt utredningens förslag som huvudregel fattas av förvaltningsmyndigheter. I detta sammanhang bör noteras att utredningen även föreslår ett undantag från huvudregeln om att besluten ska fattas av förvaltnings- myndighet. Det undantaget gäller vid beslut om sanktionsavgifter när en sektorsspecifik lagstiftning hänvisar till att förvaltningsdom- stol ska pröva frågor om påförande av sanktionsavgift och sakfrågan rör tillämpning av både AI-förordningen och den sektorsspecifika lagen. I just de fallen föreslår utredningen att allmän förvaltnings- domstol ska vara första instans och att i fråga om sanktionsavgift i 37 § andra stycket och 39–43 §§ produktsäkerhetslagen (2004:451) ska tillämpas (se avsnitt 10.7.4).7 Med utgångspunkt i huvudregeln om att besluten enligt utred- ningens förslag ska fattas av förvaltningsmyndighet gör utredningen följande överväganden. 7 Av den aktuella sektorslagstiftningen framgår att i fråga om sanktionsavgift ska 37 § andra stycket och 39–43 §§ produktsäkerhetslagen tillämpas. Av 39 § produktsäkerhetslagen följer att frågor om påförande av sanktionsavgift enligt 37 § prövas av förvaltningsrätt efter ansökan av tillsynsmyndigheten samt att ansökan ska göras hos den förvaltningsrätt inom vars dom- krets tillsynsmyndigheten är belägen. 703 Övriga nödvändiga åtgärder SOU 2025:101 I förarbetena om anpassningar till EU:s marknadskontrollför- ordning bedömdes att även om beslut av en marknadskontrollmyn- dighet får överklagas enligt FL:s regler bör det av tydlighetsskäl anges uttryckligen i sektorslagarna.8 Det bör av motsvarande skäl tydligt framgå av kompletteringslagen att en förvaltningsmyndighets beslut enligt AI-förordningen, kompletteringslagen eller föreskrift som har meddelats i anslutning till kompletteringslagen får överklagas. AI-förordningen undantar emellertid inte några aktörer från för- ordningens tillämpningsområde (jfr artikel 2.1). Rätten till överklag- ande bör gälla för såväl operatörer som för anmälda organ och det oavsett om de är enskilda eller offentliga organ. Utredningen har föreslagit att ingripanden enligt förordningen ska få beslutas mot myndigheter, dvs. statliga, regionala och kommunala myndigheter (se avsnitt 10.8.1). Myndigheter bör mot den bakgrunden få överklaga förvaltningsmyndighets beslut. Kompletteringslagen bör innehålla en bestämmelse om överklag- ande av förvaltningsmyndighets beslut som ger statliga, kommunala och regionala myndigheter en uttrycklig rätt att överklaga förvalt- ningsmyndigheters beslut. Utredningen föreslår detta eftersom stat- liga myndigheter inte utgör självständiga juridiska personer utan agerar som företrädare för staten och därför i princip inte kan föra talan mot varandra. Statliga myndigheter anses av det skälet inte utan författningsstöd kunna överklaga beslut av en annan myndig- het, om inte myndigheten i fråga företräder ett rent privaträttsligt intresse.9 När staten eller en kommun eller region handlar som en enskild finns det visserligen inte någon anledning att särbehandla det allmännas företrädare och en förvaltningsmyndighet, en kommun och en region anses då ha rätt att överklaga en förvaltningsmyndighets beslut. Men när en statlig myndighet agerar i sin offentligrättsliga roll anses den inte ha klagorätt om det inte finns särskilda föreskrifter om det. Kommuners och regioners rätt att överklaga förvaltnings- beslut regleras ibland genom speciallag och i andra fall avgörs över- klaganderätten med ledning av regeln i 7 a § förvaltningsprocesslagen eller sedvanerätt.10 8 Prop. 2021/22:238, s. 188. 9 Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag, s. 170. 10 Lundmark och Säfsten, Förvaltningslagen (26 aug. 2024, Version 1C, JUNO), kommentaren till 42 §. 704 SOU 2025:101 Övriga nödvändiga åtgärder Oavsett om en statlig, kommunal eller regional myndighet agerar som enskild eller i sin offentligrättsliga roll när myndigheten agerar operatör eller anmält organ enligt AI-förordningen, och i syfte att undvika oklarheter om att de i den rollen ska ha en rätt att överklaga en förvaltningsmyndighets beslut, bör överklagandebestämmelsen därför utgöra ett uttryckligt författningsstöd även för dem. Begreppet förvaltningsmyndighets beslut innefattar såväl beslut som fattas av marknadskontrollmyndigheter som beslut som fattas av anmälande myndigheter. Utredningen har övervägt om det i bestämmelsen uttryckligen behöver anges att en myndighet får överklaga en förvaltningsmyn- dighets beslut för att bestämmelsen ska utgöra en sådan tydlig före- skrift om rätten för en statlig, kommunal eller regional myndighet att överklaga ett beslut. Sådana föreskrifter finns i vissa andra regel- verk som exempelvis för Trafikverket och länsstyrelsen i 76 § väg- lagen (1971:948) samt för Transportstyrelsen, Strålsäkerhetsmyndig- heten, Försvarsmakten och MSB i 13 kap. 14 § plan- och bygglagen (2010:900).11 Utifrån ett pågående lagstiftningsarbete om en ny cyber- säkerhetslag som har likheter med utredningen har utredningen dock uppfattat att det möjligen skulle vara tillräckligt att det i överklagande- bestämmelsen anges att beslut av en förvaltningsmyndighet enligt AI-förordningen, kompletteringslagen eller föreskrift som har med- delats i anslutning till kompletteringslagen får överklagas till allmän förvaltningsdomstol för att bestämmelsen ska utgöra en sådan tydlig föreskrift om en statlig, kommunal eller regional myndighets rätt att överklaga en förvaltningsmyndighets beslut när det av förarbetena framgår att det har varit lagstiftarens avsikt att de ska ha en sådan överklaganderätt. Eftersom det lagstiftningsärendet befinner sig på lagrådsremissnivå kan bedömningen dock komma att ändras.12 Utredningen anser sammantaget att övervägande skäl talar för att det av tydlighetsskäl uttryckligen bör framgå av överklagande- bestämmelsen att en myndighet får överklaga en 11 Lundmark och Säfsten, Förvaltningslagen (26 aug. 2024, Version 1C, JUNO), kommentaren till 42 §. 12 Jfr Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhets- lag, s. 170. Lagrådet yttrade sig inte över frågan om det allmännas möjlighet att överklaga, se Lagrådets yttrande i Utdrag ur protokoll vid sammanträde 2025-06-26. Det ska även noteras att regeringen i förarbetena till lagen (2023:254) om vissa produkters och tjänsters tillgäng- lighet (prop. 2022/23:42, s. 123) ansåg att det är upp till domstolarna att pröva vem som har rätt att överklaga ett beslut. Några överväganden om offentliga aktörers rätt att överklaga redogjorde regeringen inte för i de förarbetena. 705 Övriga nödvändiga åtgärder SOU 2025:101 förvaltningsmyndighets beslut och föreslår därför en sådan bestämmelse. 14.3.4 Överklagande av ett anmält organs beslut Överklagande av IMY:s beslut Utredningen har i avsnitt 7.5.3 gjort bedömningen att IMY ska fun- gera som anmält organ enligt artikel 43.3 tredje stycket i AI-förord- ningen. Beslut som IMY fattar när myndigheten fungerar som an- mält organ är ett förvaltningsbeslut enligt FL. Det följer av 41 § FL att ett beslut får överklagas om beslutet kan antas påverka någons situation på ett inte obetydligt sätt på det sätt som har redovisats i avsnitt 14.3.2 ovan. IMY är även en sådan förvalt- ningsmyndighet vars beslut får överklagas på det sätt som har redo- visats i avsnitt 14.3.3 ovan. Överklagande av beslut som fattas av anmälda organ som inte är myndigheter Artikel 44.3 andra stycket i AI-förordningen anger att det ska finnas ett förfarande för överklagande av de anmälda organens beslut, in- begripet om utfärdade intyg om överensstämmelse. Anmälda organ kommer troligen i många fall att vara privata organ. Utredningen har redogjort för anmälda organ i avsnitt 3.2.2 och 7.3. När det gäller beslut som fattas av anmälda organ som inte är myndigheter har ut- redningen övervägt om det bör införas en överklagandeprocess som innebär en överprövning av en myndighet eller förvaltningsdomstol. Något om överprövning enligt rättsakter i bilaga IA Bestämmelser om överklagande av anmälda organs beslut finns i näst- intill samtliga EU-rättsakter som tas upp i bilaga IA till AI-förord- ningen. Bestämmelserna är dock inte enhetliga. I de lagar och förord- ningar som kompletterar eller implementerar rättsakterna i bilaga IA till AI-förordningen finns det inte någon särskild överklaganderegler- ing beträffande anmälda organs beslut. 706 SOU 2025:101 Övriga nödvändiga åtgärder Enligt artikel 14.6 i EU:s maskindirektiv13 framgår att det ska finnas ett förfarande för överklagande av anmälda organs beslut i vissa avseenden. I sammanhanget ska nämnas att en bestämmelse har tagits in i artikel 39 i EU:s maskinförordning14 – som ersätter EU:s maskindirektiv – som anger att de anmälda organen ska se till att det finns ett öppet och tillgängligt förfarande för överklagande av deras beslut. I EU:s leksaksdirektiv15 saknas bestämmelser om över- klagande av anmälda organs beslut. Enligt EU:s fritidsbåtsdirektiv16 gäller enligt artikel 39 att medlemsstaterna ska se till att det finns ett förfarande för överklagande av det anmälda organets beslut. Samma lydelse har tagits in i artikel 33 i EU:s hissdirektiv17, i artikel 30 i EU:s ATEX-direktiv18, i artikel 35 i EU:s radioutrustningsdirektiv19 och artikel 35 i EU:s direktiv om tryckbärande anordningar20. I EU:s linbanedirektiv21 framgår att de anmälda organen ska se till att det finns ett öppet och tillgängligt förfarande för överklagande av deras beslut. Samma lydelse har tagits in i artikel 33 i EU:s förordning om personlig skyddsutrustning22 och i artikel 32 i EU:s förordning om anordningar för förbränning av gasformiga ämnen23. Av de rättsakter som räknas upp i stycket ovan och EU:s maskin- förordning framgår uttryckligen att det är de anmälda organen som ska tillhandahålla ett förfarande för överklagande av deras beslut. I dessa fall har anmälda organ kunnat ha en intern överklagande- 13 Europaparlamentets och rådets direktiv 2006/42/EG av den 17 maj 2006 om maskiner och om ändring av direktiv 95/16/EG. 14 Europaparlamentets och rådets förordning (EU) 2023/1230 av den 14 juni 2023 om maskiner och om upphävande av Europaparlamentets och rådets direktiv 2006/42/EG och rådets direk- tiv 73/361/EEG. 15 Europaparlamentets och rådets direktiv 2009/48/EG av den 18 juni 2009 om leksakers säkerhet. 16 Europaparlamentets och rådets direktiv 2013/53/EU av den 20 november 2013 om fritids- båtar och vattenskotrar och om upphävande av direktiv 94/25/EG. 17 Europaparlamentets och rådets direktiv 2014/33/EU av den 26 februari 2014 om harmoni- sering av medlemsstaternas lagstiftning om hissar och säkerhetskomponenter till hissar. 18 Europaparlamentets och rådets direktiv 2014/34/EU av den 26 februari 2014 om harmoni- sering av medlemsstaternas lagstiftning om utrustning och skyddssystem som är avsedda för användning i potentiellt explosiva atmosfärer. 19 Europaparlamentets och rådets direktiv 2014/53/EU av den 16 april 2014 om harmoni- sering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av radioutrust- ning och om upphävande av direktiv 1999/5/EG. 20 Europaparlamentets och rådets direktiv 2014/68/EU av den 15 maj 2014 om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av tryckbärande anord- ningar. 21 Europaparlamentets och rådets förordning (EU) 2016/424 av den 9 mars 2016 om linbane- anläggningar och om upphävande av direktiv 2000/9/EG. 22 Europaparlamentets och rådets förordning (EU) 2016/425 av den 9 mars 2016 om personlig skyddsutrustning och om upphävande av rådets direktiv 89/686/EEG. 23 Europaparlamentets och rådets förordning (EU) 2016/426 av den 9 mars 2016 om anordningar för förbränning av gasformiga bränslen och om upphävande av direktiv 2009/142/EG. 707 Övriga nödvändiga åtgärder SOU 2025:101 process och besluten har inte kunnat överklagas till domstol. Samma ordning har också tillämpats beträffande de rättsakter som har andra lydelser, vilket konstaterades av regeringen i förarbetena till genom- förandet av EU:s fritidsbåtsdirektiv. Regeringen uttryckte i de för- arbetena att bestämmelsen om överklagande inte innebär ett krav på prövning i domstol utan vad som avses är ett internt förfarande inom de anmälda organen att ompröva beslut.24 Något om överklagande av privata organs beslut i några andra EU-rättsakter EU:s cyberresiliensförordning innehåller en bestämmelse om över- klagande av anmälda organs beslut som anger att medlemsstaterna ska säkerställa att det finns ett förfarande för överklagande av de anmälda organens beslut. En särskild utredare har fått i uppdrag att utreda behovet av kompletterande bestämmelser till förordningen.25 Uppdraget ska redovisas senast den 15 december 2025. EU:s cybersäkerhetsakt26 innehåller bestämmelser i artikel 64 om rätt till ett effektivt rättsmedel. Mot bakgrund av artikeln har en över- klagandebestämmelse tagits in i 20 § lagen (2021:553) med komplet- terande bestämmelser till EU:s cybersäkerhetsakt som anger att beslut enligt EU:s cybersäkerhetsakt och enligt den lagen av den nationella myndigheten för cybersäkerhetscertifiering eller av organ för bedöm- ning av överensstämmelse får överklagas till allmän förvaltningsdom- stol samt att det krävs prövningstillstånd i kammarrätten. Organ för bedömning av överensstämmelse enligt EU:s cybersäkerhetsakt kan vara ett offentligt eller ett privat organ.27 Något om rätten till prövning av privata organs beslut Av artikel 6.1 i Europakonventionen följer att var och en vid pröv- ningen av hans eller hennes civila rättigheter har rätt till en rättvis och offentlig förhandling inom skälig tid och inför en oavhängig och 24 Prop. 2015/16:64, s. 63. 25 Kompletterande bestämmelser till EU:s cyberresiliensförordning, dir. 2024:119. 26 Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informa- tions- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013. 27 SOU 2020:58, s. 254, jfr prop. 2020/21:186, s. 52. 708 SOU 2025:101 Övriga nödvändiga åtgärder opartisk domstol. Artikeln innebär att prövningen ska göras av någon som är fristående i förhållande till parterna i det ärende som över- klagandet gäller. Europakonventionen gäller som lag i Sverige. Rätten till ett effektivt rättsmedel framgår även av artikel 47 i stadgan. Frågan om ett privat organs beslut och rätten till prövning har berörts bl.a. av Byggkontrollutredningen i betänkandet Ordning och reda – förstärkt och tillförlitlig byggkontroll (SOU 2023:70).28 Bygg- kontrollutredningen ansåg att det behövs ett institut för överklagande av certifierings- och kontrollorgans beslut eftersom organens beslut har rättsverkningar för enskilda. Utredningen föreslog därför att ett beslut från ett certifieringsorgan ska få överklagas till Boverket som är en statlig förvaltningsmyndighet. Förslaget har inte lett till lagstiftning inom ramen för utredningens arbete. Regeringen har dock i ett svar till kommissionen beträffande överklagbarheten av ett certifieringsorgans beslut uppgett att den avser att under våren 2026 lämna en proposition till riksdagen, förutsatt att propositionen beretts färdigt, i delen som gäller överklagande av certifieringsorga- nens beslut.29 Frågan om överklagbarheten av ett certifieringsorgans beslut har nyligen prövats av Kammarrätten i Jönköping. Kammarrätten kom fram till att möjligheten att överklaga ett beslut från ett ackrediterat organ inte följer av rätten till en rättvis rättegång enligt artikel 6.1 i Europakonventionen eftersom det inte är att betrakta som en rätt att bli certifierad och inte heller är säkert att det ens finns ett särskilt organ för att certifiera.30 Kammarrättens dom överklagades till Högsta förvaltningsdomstolen som inte meddelade prövningstillstånd.31 Sverige har fått frågor från kommissionen om möjligheterna att klaga på beslut från anmälda organ. I ett svar till kommissionen om överklagbarhet och klagomålsprocessen har regeringen klargjort att Sveriges hållning i frågan om överklagbarhet och klagomål enligt EU- rättsakter har varit att det råder oklarhet om hur begreppen överklag- barhet och klagomålsprocess ska tolkas på EU-nivå och att Sverige har tolkat begreppen som ett krav på möjlighet till omprövning och 28 SOU 2023:70, s. 319 ff. 29 Regeringskansliet, Utrikesdepartementet, 2025-06-26, dnr UD2025/07449, EU PILOT 2025/10961 – Svar på Europeiska kommissionens förfrågan om tillämpliga bestämmelser av- seende certifierade byggprojekteringsföretag, kontrollansvarig, sakkunnig och funktionskon- trollant för kontroll av ventilationssystems, s.6 f. 30 Kammarrätten i Jönköpings dom den 20 september 2024 i mål nr 2265-23. 31 Högsta förvaltningsdomstolens beslut av den 13 december 2024 i mål nr 6039-24. 709 Övriga nödvändiga åtgärder SOU 2025:101 inte som ett krav på möjlighet till överprövning av domstol eller annan högre instans.32 Regeringens svar till kommissionen gällde bl.a. EU:s hissdirektiv. I det avseendet angav regeringen särskilt att bedömningen om över- ensstämmelse inte får överklagas, vare sig till regeringen, förvaltnings- myndighet eller domstol men att installatören kan begära omprövning hos det anmälda organet och framföra klagomål till Swedac om det ackrediterade organet. Detta förfarande är alltjämt tillämpligt i förhåll- ande till direktivet. Kommissionen har såvitt framkommit inte vidtagit några åtgärder mot Sverige i anledning av den tolkning som Sverige har gjort i fråga om överklaganden och klagomål. Kommissionen har emellertid ställt frågor till Sverige om överklagbarhet och klago- målsprocessen, denna gång beträffande certifiering enligt plan- och bygglagen (2010:900). Sverige besvarade frågorna den 26 juni 2025. I svaret till kommissionen angavs att det är ett krav enligt Swedacs föreskrifter (STAFS 2020:1) att certifieringsorgan ska ha en intern process för att ta emot överklaganden. Om det finns brister i dessa rutiner kan Swedac i vissa fall besluta om återkallelse av ackrediter- ing. Det angavs även att plan- och bygglagen inte innehåller bestäm- melser om överklagande av ett certifieringsorgans beslut eller något förbud mot ett sådant överklagande. Som ovan nämnts avser reger- ingen att lämna en proposition till riksdagen angående överklagande av certifieringsorganens beslut under våren 2026, förutsatt att proposi- tionen har beretts färdigt.33 I sammanhanget finns även skäl att poängtera att regeringen i förarbetena till lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt har bedömt att bl.a. beslut från organ för be- dömning av överensstämmelse – vilka kan vara privata organ – enligt EU:s cybersäkerhetsakt innefattar en prövning som faller inom tillämpningsområdet för artikel 6.1. i Europakonventionen.34 Lagstiftaren föreslog av det skälet att ett beslut av ett organ för be- dömning av överensstämmelse enligt EU:s cybersäkerhetsakt ska få överklagas till allmän förvaltningsdomstol. Bestämmelsen finns i 20 § lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt. 32 Regeringskansliet, Utrikesdepartementet, dnr UD2022/17114, Svar på Europeiska kom- missionens skrivelse gällande klagomål om Sveriges påstådda överträdelse av artikel 47 i Europeiska unionens stadga om de grundläggande rättigheterna – Rätt till ett effektivt rättsmedel. 33 Regeringskansliet, Utrikesdepartementet, 2025-06-26, dnr UD2025/07449, s. 6 f. 34 Prop. 2020/21:86, s. 52. 710 SOU 2025:101 Övriga nödvändiga åtgärder Anmälda organs beslut bör få överklagas till allmän förvaltningsdomstol Det saknas alltså en enhetlig systematik i både EU-rättsakter och svensk rätt beträffande frågan om anmälda organs beslut bör få över- klagas. Bestämmelsen i artikel 44.3 andra stycket i AI-förordningen anger inte ett uttryckligt krav på ett effektivt rättsmedel och innehåller inte uttryckligen ett krav på överprövning. I stället anger bestämmelsen att det ska finnas ett förfarande för överklagande av de anmälda organ- ens beslut. De uppgifter som de anmälda organen utför kan utmynna i beslut som får verkningar för en enskild och som därmed kan påverka dennes situation på ett inte obetydligt sätt, bl.a. på så sätt att det anmälda organet kan bevilja eller neka en leverantör ett intyg för bedömning av överensstämmelse. Ett nekande innebär i princip att AI-systemet inte kan släppas på EU:s inre marknad, vilket kan vara helt avgörande för en leverantörs möjlighet att bedriva näring. Detta talar med styrka för att det bör finnas ett förfarande för överklagande av anmälda organs beslut. Ytterligare en omständighet som talar i den riktningen är att beslut som IMY fattar när myndigheten fungerar som anmält organ får överklagas enligt allmänna förvaltningsrättsliga principer (se avsnittet ovan). Oavsett om det införs en möjlighet att överklaga anmälda organs beslut till förvaltningsdomstol eller inte så finns det utmaningar med ett överklaganderegelverk. Som utredningen har konstaterat ovan så saknas det nämligen regler om överklagande av anmälda organs beslut i förhållande till de rättsakter som framgår av bilaga IA till AI-förordningen. Artikel 43.3 i AI-förordningen anger att för AI- system med hög risk som omfattas av unionens harmoniseringslag- stiftning som förtecknas i bilaga IA ska leverantören följa det rele- vanta förfarande för bedömning av överensstämmelse som krävs enligt dessa rättsakter. Vid den bedömningen ska anmälda organ som har anmälts enligt de rättsakterna ha rätt att kontrollera att AI-systemen med hög risk överensstämmer med kraven i artiklarna 8–15 i AI- förordningen. Om det införs en möjlighet till överklagande av anmälda organs beslut kommer således parallella förfaranden för överklaganden att gälla beroende på vilken rättsakt som tillämpas. Om de anmälda 711 Övriga nödvändiga åtgärder SOU 2025:101 organens beslut enligt AI-förordningen får överklagas till förvalt- ningsmyndighet eller domstol medför det att anmälda organ i vissa fall kommer att behöva tillhandahålla ett förfarande för internt över- klagande och i andra fall att beslutet får överklagas till en myndighet, vilket inte är helt ändamålsenligt. Om det i stället inte införs en möjlighet till överklagande av an- mälda organs beslut kommer det att finnas två olika system för över- klagande enligt AI-förordningen, dvs. ett när IMY beslutar när myn- digheten fungerar som ett anmält organ och ett annat när ett privat organ beslutar. Ytterligare en aspekt är att det kan komma att finnas olika förfaranden enligt AI-förordningen och EU:s cyberresiliensför- ordning – två förordningar som har beröringspunkter med varandra. Utredningen anser att det bör vara möjligt att överklaga beslut från privata organ enligt AI-förordningen. Denna bedömning gör utredningen mot bakgrund av vad om har redovisats ovan under rubriken Något om rätten till prövning av privata organs beslut. Bedömningen görs också mot bakgrund av att lagstiftaren har an- sett att privata organs beslut ska få överklagas till allmän förvaltnings- domstol enligt lagen med kompletterande bestämmelser till EU:s cybersäkerhetsakt. Som skäl för regleringen bedömde regeringen, som tidigare redovisats, att privata organs beslut för bedömning av överensstämmelse enligt EU:s cybersäkerhetsakt innefattar en pröv- ning som faller inom tillämpningsområdet för artikel 6.1 i Europa- konventionen. Som utredningen har konstaterat skyddas rätten till effektiva rättsmedel även av artikel 47 i stadgan. Ytterligare ett skäl för bedömningen är att utredningen föreslår att IMY:s beslut, när myndigheten fungerar som ett anmält organ, bör få överklagas till allmän förvaltningsdomstol (se ovan). Att be- slut från privata anmälda organ får överklagas till allmän förvaltnings- domstol skapar således en enhetlig och rättssäker ordning som är förenlig med artikel 6 i Europakonventionen och artikel 47 i stadgan. Anmälda organ är, utöver när IMY ska fungera som ett anmält organ, typiskt sett inte förvaltningsmyndigheter i FL:s mening utan privata organ (se avsnitt 7.3). När det är privata organ som beslutar i egenskap av anmälda organ är FL inte tillämplig. Vid dessa privata organs beslut är i stället lagen (1986:1142) om överklagande av beslut av enskilda organ med offentliga förvaltningsuppgifter tillämplig. I denna lag regleras bl.a. hur beslut överklagas, överklagandetid och rättidsprövning. 712 SOU 2025:101 Övriga nödvändiga åtgärder Utredningen anser sammanfattningsvis att övervägande skäl talar för att det bör finnas en möjlighet att överklaga beslut från anmälda organ även när det är privata organ som beslutar. Utredningen före- slår därför att det ska införas en bestämmelse i kompletteringslagen som anger att beslut av anmälda organ får överklagas. 14.3.5 Partsställningen i domstol Förvaltningsmyndighet ska vara motpart AI-förordningen reglerar både enskildas och myndigheters använd- ning och utveckling m.m. av AI-system. Marknadskontroll ska därför utövas gentemot såväl enskilda som offentliga organ. Anmälande myndigheter ska bedriva tillsyn mot anmälda organ. Av 7 a § förvaltningsprocesslagen följer vem som är motpart vid överklagande av en enskild. Högsta förvaltningsdomstolen har därtill i HFD 2022 ref. 37 klargjort att en statlig förvaltningsmyndighet ska ha ställning som motpart i förvaltningsrätt när en kommun överklagar dess beslut. Det är emellertid inte givet att en förvaltningsmyndighet intar motpartsställning när en statlig myndighet överklagar en förvalt- ningsmyndighets beslut. Detta av det skälet att statliga myndigheter i princip inte får föra talan i domstol mot varandra (avsnitt 14.3.3). Sammanfattningsvis bör det, och för att undvika otydligheter om motpartsställningen, därför framgå av överklagandebestämmelsen att förvaltningsmyndigheten ska vara motpart i domstolen. Motparts- förhållandet gäller därmed i förhållande till samtliga klaganden, dvs. såväl enskilda som statliga, kommunala och regionala myndigheter. Det anmälda organet ska vara motpart Utredningen föreslår även att ett anmält organs beslut ska vara över- klagbart (se ovan). När IMY fungerar som anmält organ följer enligt 7 a § FL att IMY i egenskap av förvaltningsmyndighet intar motpartsställning om det är en enskild som överklagar. Enligt utredningens förslag ovan ska IMY också i egenskap av förvaltningsmyndighet vara mot- part vid ett överklagande även om det är en statlig, kommunal eller regional myndighet som överklagar beslutet. 713 Övriga nödvändiga åtgärder SOU 2025:101 Anmälda organ är dock ofta privaträttsliga organ. Av det skälet behöver ställningen som motpart vid ett överklagande för ett anmält organ som är ett privaträttsligt organ övervägas. Det finns visst stöd i rättspraxis för att privaträttsliga organ kan ges motpartsställning i förvaltningsdomstol, se HFD 2019 ref. 43 Det är dock inte en självklarhet att ett enskilt privaträttsligt organ intar sådan ställning i förvaltningsrätt, utan det tycks krävas ett till- räcklig kvalificerat intresse av att få delta i processen.35 I syfte att klargöra det privata organets intresse av att vara mot- part i förvaltningsdomstolsprocessen bör det privata organet i lag pekas ut som motpart i processen. Det har exempelvis gjorts beträf- fande arbetslöshetskassor enligt 108 § lagen (1997:239) om arbets- löshetskassor. I sammanhanget bör även nämnas att i förarbetena till lagen med kompletterande bestämmelser till EU:s cybersäkerhets- akt konstaterade regeringen att utredningens lagförslag inte reglerade frågan om vilken ställning ett privat organ har vid ett överklagande till domstol samt att det inte fanns beredningsunderlag för att över- väga en reglering om att privata organ skulle inta motpartsställning i domstol. Av det skälet föreslog lagstiftaren inte någon reglering av privata organs ställning vid överklagande till domstol.36 Utredningen gör bedömningen att en motsvarande oklarhet inte bör finnas i kom- pletteringslagen. Utredningen anser sammanfattningsvis att det finns övervägande skäl som talar för att det bör införas en bestämmelse som tydliggör att ett anmält organ är motpart i förvaltningsdomstol så att partsställ- ningen tydliggörs, oavsett om beslutande organ är en förvaltnings- myndighet som IMY eller ett privat organ. 14.3.6 Prövningstillstånd i kammarrätt Beslut av förvaltningsmyndigheter kan enligt 40 § FL överklagas till allmän förvaltningsdomstol. Av andra stycket följer att det krävs prövningstillstånd vid överklagande till kammarrätten. Enligt utredningen bör detsamma gälla även avseende beslut enligt AI-förordningen, kompletteringslagen eller föreskrift som har med- delats i anslutning till kompletteringslagen och beslut som fattas av 35 Jfr von Essen, Förvaltningsprocesslagen (5 mars 2025, JUNO) kommentaren till 7 a § under rubriken Motpartsställning utanför paragrafens tillämpningsområde. 36 Prop. 2020/21:186, s. 52 f. 714 SOU 2025:101 Övriga nödvändiga åtgärder anmälda organ, där FL inte är tillämplig. Det bör därför införas en bestämmelse i paragrafen om överklagande som anger att det krävs prövningstillstånd i kammarrätten. Beträffande det undantag som utredningen har föreslagit om att förvaltningsrätt i vissa frågor ska vara första instans (se avsnitt 10.7.4) så hänvisar den föreslagna bestämmelsen till produktsäkerhetslagens bestämmelser om prövning av frågor om sanktionsavgifter. Förvalt- ningsprocesslagen är tillämplig i förvaltningsdomstol. 34 a § förvalt- ningsprocesslagen anger att det krävs prövningstillstånd i kammar- rätten om det är särskilt föreskrivet. Någon sådan särskild före- skrift finns inte i någon av de ovan angivna sektorslagarna eller pro- duktsäkerhetslagen beträffande sanktionsavgifter.37 Förfarandet i domstolen enligt utredningens förslag omfattas inte heller av den nu föreslagna överklagandebestämmelsen. Det krävs därför inte pröv- ningstillstånd i kammarrätten i de fall som förvaltningsdomstol som första instans prövar frågor om sanktionsavgifter. 14.4 Klagomål till marknadskontrollmyndigheterna Utredningens bedömning: Det behövs inga kompletterande be- stämmelser i svensk rätt om rätten att lämna in klagomål. Av AI-förordningen följer inte någon skyldighet för marknads- kontrollmyndigheterna att handlägga sådana klagomål. Utan att det påverkar andra administrativa eller rättsliga rättsmedel får varje fysisk eller juridisk person som har skäl att anse att bestäm- melserna i AI-förordningen har överträtts lämna klagomål till den berörda marknadskontrollmyndigheten (artikel 85.1). Unionsrätten och nationell rätt anses ändå redan föreskriva effektiva rättsmedel för fysiska och juridiska personer vars rättigheter och friheter påverkas negativt av användningen av AI-system (skäl 170). I enlighet med EU:s marknadskontrollförordning ska sådana klagomål beaktas vid genomförandet av marknadskontrollen och 37 Se 33 § lagen om leksakers säkerhet, 31 § lagen om fritidsbåtar och vattenskotrar, 17 § radioutrustningslagen, 10 § lagen med kompletterande bestämmelser till EU:s förordning om personlig skyddsutrustning, 10 § lagen med kompletterande bestämmelser till EU:s förordning om gasanordningar och 44 § produktsäkerhetslagen. 715 Övriga nödvändiga åtgärder SOU 2025:101 hanteras i enlighet med de särskilda förfaranden som fastställts för detta av marknadskontrollmyndigheterna (artikel 85.2). Av artikel 11.3 b i EU:s marknadskontrollförordning följer att när beslut fattas om vilka kontroller som ska utföras på vilka typer av produkter och i vilken omfattning, ska marknadskontrollmyndig- heterna följa en riskbaserad metod med beaktande av bl.a. klagomål från konsumenter. Enligt artikel 11.7 a i EU:s marknadskontrollför- ordning ska marknadskontrollmyndigheterna också ha förfaranden för att följa upp klagomål vad avser produkter som omfattas av harmoniserad unionslagstiftning. Det finns i gällande svensk rätt inga uttryckliga bestämmelser om rätten att framföra klagomål till marknadskontrollmyndigheter. Artikel 85 i AI-förordningen ger en allmän rätt att lämna in klago- mål. Det krävs därför inte att den som klagar har klagointresse eller klagorätt enligt svensk rätt. AI-förordningen ger inte heller anled- ning att införa någon svensk reglering av rätten att ge in klagomål eftersom varje fysiska eller juridisk persons rätt att lämna in ett så- dant klagomål följer direkt av artikel 85.1 i AI-förordningen. Av AI-förordningen, med hänvisning till EU:s marknadskontroll- förordning, följer att marknadskontrollmyndigheterna ska beakta klagomål inom ramen för marknadskontrollen. Det finns enligt ut- redningen inte någon skyldighet för marknadskontrollmyndighet- erna att handlägga klagomål från fysiska eller juridiska personer enligt AI-förordningen. Utredningen lämnar därför inget författningsför- slag i dessa delar. 14.5 Tillståndsprövning enligt artikel 26.10 Utredningens bedömning: Det behöver finnas en tillstånds- process i svensk rätt för att tillhandahållare av ett AI-system med hög risk för biometrisk fjärridentifiering i efterhand på det sätt som närmare anges i artikel 26.10 i AI-förordningen ska få använda ett sådant system. Utredningen lämnar inte några förslag om en sådan process. Frågan om kompletterande bestämmelser till AI- förordningen beträffande en sådan tillståndsprocess bör utredas vidare. 716 SOU 2025:101 Övriga nödvändiga åtgärder Av artikel 26.10 i AI-förordningen framgår att tillhandahållare av ett AI-system med hög risk för biometrisk fjärridentifiering i efterhand ska begära tillstånd för användning av systemet, om det sker inom ramen för en utredning för målinriktad sökning av en person som misstänks ha begått ett brott eller som har dömts för att ha begått ett brott. Bestämmelsen förutsätter alltså att det finns en sådan till- ståndsprocess i svensk rätt, även om det är tillåtet för medlemsstat- erna att införa mer restriktiva lagar om användningen av system för biometrisk fjärridentifiering i efterhand än vad som föreskrivs i artikel 26.10. Vad som är ett system för biometrisk fjärridentifiering i efterhand definieras i artikel 3.43 (se även artikel 3.41 och 3.42). Möjligheten att kunna använda ett sådant system kan vara ett viktigt verktyg för brottsbekämpande myndigheter. Under utred- ningens gång har det framkommit att vissa aktörer redan använder verktyg som potentiellt kan träffas av tillämpningsområdet för artikel 26.10. Utredningen har uppfattat att Polismyndigheten anser att det är angeläget att lagstiftningen är på plats i god tid innan arti- kel 26.10 blir tillämplig, dvs. senast den 2 augusti 2026. Utredningen delar den bedömningen. Det framgår inte uttryckligen av utredningens direktiv att utred- ningen ska lämna några förslag om en tillståndsprocess enligt artikel 26.10. Frågan om en tillståndsprocess för biometrisk fjärr- identifiering i efterhand har emellertid tagits upp i sakkunnig- och expertgruppen, och utredningen har genomfört ett antal utrednings- åtgärder med anledning av artikeln. Utredningen har bl.a. genomfört möten med representanter från Polismyndigheten, Säkerhetspolisen, Tullverket, Justitiedepartementet38 samt Arbets- och näringsmini- steriet i Finland39. Utredningen har även närvarat vid ett möte i en undergrupp till AI-styrelsen där frågor om tolkningen av artikel 26.10 har diskuterats. Vid genomförandet av dessa utredningsåtgärder har – relativt sent i utredningens arbete – kommit fram att tolkningen av artikeln är 38 Justitiedepartementet har under tiden för denna utredning utrett och lagt fram ett förslag som möjliggör för Polismyndigheten och Säkerhetspolisen att använda sig av biometrisk fjärr- identifiering i realtid. Se Promemorian Polisens användning av AI för ansiktsigenkänning i realtid (Ds 2025:7), som publicerades den 20 mars 2025 och var ute på remiss fram till den 10 juni 2025. 39 I Finland har publicerats ett utkast till proposition med förslag till lag om ändring av lagen om tillsyn över vissa system för artificiell intelligens som innehåller en bestämmelse om en tillståndsprocess enligt artikel 26:10. Se https://www.lausuntopalvelu.fi/SV/Proposal/Participation?proposalId=b66adec9-be5a- 4b34-a856-71ec04f8e8e6 (hämtad 2025-07-25). 717 Övriga nödvändiga åtgärder SOU 2025:101 förenad med vissa svårigheter och att det är flera frågor som behöver övervägas för att det ska vara möjligt att lämna ett förslag om en till- ståndsprocess enligt artikel 26.10. Inledningsvis behöver artikelns tillämpningsområde klargöras. Detta arbete inkluderar på ett övergripande plan bl.a. att utreda vad som avses med ”en utredning för målinriktad sökning av en person som misstänks ha begått ett brott eller som har dömts för att ha be- gått ett brott” samt vad som avses med undantaget ”utom när det används för den inledande identifieringen av en potentiell misstänkt på grundval av objektiva och verifierbara fakta med direkt anknytning till brottet”. Därefter behöver övervägas hur en tillståndsprocess bör utformas. Detta arbete inkluderar bl.a. att ta ställning till vilka tillhandahållare som bör ges möjlighet att använda sig av metoden, vilken rättslig eller administrativ myndighet som bör besluta om ett tillstånd, hur tillståndsförfarandet ska gå till samt hur tillståndspro- cessen lämpligen ska regleras i författning. Eventuella följdändringar av ett förslag om en sådan tillståndsprocess behöver också utredas. AI-förordningen har en mycket kort anpassningstid och utred- ningen har haft många viktiga och stora frågor att hantera enligt ut- redningens direktiv. Alla viktiga och prioriterade frågor, den korta anpassningstiden till AI-förordningen och den begränsade tiden för utredningens genomförande har medfört att utredningen har behövt begränsa de frågor som utredningen kan lämna förslag och överväg- anden om. Det har sammanfattningsvis inte funnits tillräckliga resurser eller tid till att lämna ett fullgott beredningsunderlag beträf- fande den tillståndsprocess som krävs enligt artikel 26.10 i AI-för- ordningen. Utredningen lämnar därför inte några förslag om en sådan process. Utredningen anser dock att frågan om kompletter- ande bestämmelser till AI-förordningen beträffande en sådan till- ståndsprocess bör utredas vidare. 14.6 Behandling av personuppgifter 14.6.1 Kort om dataskyddsregleringen Vid handläggningen av ärenden enligt AI-förordningen kommer flera aktörer att behöva behandla personuppgifter. Det är därför nödvändigt att också analysera hur bestämmelserna i AI-förord- 718 SOU 2025:101 Övriga nödvändiga åtgärder ningen och de förslag som utredningen lämnar förhåller sig till be- fintlig dataskyddsreglering. I avsnitt 3.4.2 finns en översiktlig redogörelse för EU:s data- skyddsförordning och EU:s brottsdatadirektiv. Dessa regelverk ut- gör grunden för generell personuppgiftsbehandling inom EU. I svensk rätt kompletteras EU:s dataskyddsförordning av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) samt sektorsspecifika registerförfattningar. EU:s dataskyddsförordning gäller i princip för all automatiserad behand- ling, samt i vissa fall manuell behandling, av personuppgifter när ända- målen inte är brottsbekämpande. När det gäller behandling av person- uppgifter för brottsbekämpande ändamål ska EU:s brottsdatadirektiv tillämpas i stället för EU:s dataskyddsförordning. I Sverige har dir- ektivet i huvudsak genomförts genom brottsdatalagen (2018:1177). Utredningen redogör nedan översiktligt för innehållet i EU:s dataskyddsförordning. Detta eftersom utredningen bedömer att be- handlingen av personuppgifter till följd av AI-förordningen främst aktualiserar bestämmelserna i EU:s dataskyddsförordning (se närmare i avsnitt 14.6.2). EU:s brottsdatadirektiv innehåller i flera avseenden liknande bestämmelser, även om det också finns flera skillnader mellan regelverken. Några av bestämmelserna i EU:s brottsdatadirektiv tas särskilt upp nedan i avsnitt 14.6.2. Närmare om EU:s dataskyddsförordning Personuppgifter är varje upplysning som avser en identifierad eller identifierbar levande person. Typiska personuppgifter är person- nummer, namn och adress. Ett bolagsnummer är ofta inte en person- uppgift men kan vara det om det handlar om ett enmansföretag. Personuppgiftsbehandling innefattar alla former av åtgärder med personuppgifter, exempelvis insamling, användning, utlämnande, spridning eller förstöring. För att en behandling av personuppgifter ska vara laglig måste det finnas en rättslig grund för behandlingen. Personuppgifter får endast behandlas om minst ett av det villkor som anges i artikel 6.1 a–f i EU:s dataskyddsförordning är uppfyllt. Uppräkningen av vad som kan utgöra rättslig grund för behand- ling av personuppgifter i artikel 6.1 är uttömmande. Av intresse för 719 Övriga nödvändiga åtgärder SOU 2025:101 myndigheters verksamhet är artikel 6.1 c och e. Dessa bestämmelser ger stöd för behandling av personuppgifter om behandlingen är nöd- vändig för att fullgöra en rättslig förpliktelse som åvilar den person- uppgiftsansvarige (c) eller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den person- uppgiftsansvariges myndighetsutövning (e). De rättsliga grunder som avses i artikel 6.1 c och e måste enligt artikel 6.3 fastställas i enlighet med unionsrätten eller en medlems- stats nationella rätt. Enligt 2 kap. 1 och 2 §§ dataskyddslagen kan den rättsliga förpliktelsen eller uppgiften av allmänt intresse följa av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Enligt förarbetena till dataskyddslagen innebär artiklarna i EU:s dataskyddsförordning inte något krav på att själva behandlingen av personuppgifter måste regleras. Det är i stället den rättsliga förpliktelsen, uppgiften av all- mänt intresse, eller myndighetsutövningen som ska ha stöd i rätts- ordningen.40 I förarbetena till dataskyddslagen uttalar regeringen att alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse.41 Det är enligt artikel 9 i EU:s dataskyddsförordning som utgångs- punkt förbjudet att behandla känsliga personuppgifter. Sådana käns- liga personuppgifter får dock behandlas om vissa villkor som uppställs artikel 9.2 är tillämpliga, bl.a. enligt artikel 9.2 g om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt som ska upp- fylla vissa angivna krav. Enligt 3 kap. 3 § dataskyddslagen får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning om 1) uppgifterna har lämnats till myn- digheten och behandlingen krävs enligt lag, 2) om behandlingen är nödvändig för handläggningen av ett ärende, eller 3) i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. 40 Prop. 2017/18:105, s. 48 ff. 41 Prop. 2017/18:105, s. 56 f. 720 SOU 2025:101 Övriga nödvändiga åtgärder 14.6.2 Utredningens bedömning Utredningens bedömning: Bestämmelserna i AI-förordningen samt utredningens förslag kommer att innebära en utökad person- uppgiftsbehandling. Integritetsrisker aktualiseras som en följd av förslagen. Det finns stöd för personuppgiftsbehandlingen i befintlig dataskyddsreglering. Personuppgiftsbehandlingen ut- gör ett godtagbart integritetsintrång och är proportionerlig. Bestämmelserna i AI-förordningen samt utredningens förslag kommer att innebära en utökad personuppgiftsbehandling De nationella behöriga myndigheterna kommer att behandla person- uppgifter vid handläggning av ärenden till följd av AI-förordningen. Även myndigheterna som avses i artikel 77.1 kommer att behandla personuppgifter vid handläggning av ärenden till följd av AI-förord- ningen. Behandling av personuppgifter kommer också att behöva ut- föras av operatörer, bl.a. till följd av att de kommer att vara skyldiga att sammanställa och lämna ifrån sig uppgifter i samband med mark- nadskontroll. En del av behandlingen kan komma att avse känsliga personuppgifter. Det är svårt att uppskatta omfattningen av person- uppgiftsbehandlingen samt omfattningen av behandlingen av känsliga personuppgifter. Eftersom AI-system ofta tränas på och behandlar personuppgifter kan det dock antas att personuppgifter ofta kommer att förekomma i ärenden som hanteras enligt AI-förordningen, även om olika metoder för anonymisering också kan förväntas användas.42 Den utökade personuppgiftsbehandlingen för de behöriga myn- digheterna, myndigheterna som avses i artikel 77.1 samt operatörerna är i huvudsak en direkt följd av AI-förordningen. Utredningens för- slag i kapitel 9 om samverkan och samordning inom systemet för marknadsövervakning och kontroll kan därtill förväntas innebära en utökad personuppgiftsbehandling, i huvudsak hos marknads- kontrollmyndigheterna och primärt hos den samordnande marknads- kontrollmyndigheten. Utredningens förslag i kapitel 12 om sam- verkan och samordning inom ramen för en regulatorisk sandlåda 42 Processen med att anonymisera är också en form av behandling enligt dataskyddsregelverken, jfr artikel 4.2 i EU:s dataskyddsförordning respektive artikel 3.2 i EU:s brottsdatadirektiv. 721 Övriga nödvändiga åtgärder SOU 2025:101 för AI kan också förväntas innebära en utökad personuppgiftsbe- handling, i huvudsak hos marknadskontrollmyndigheterna. Aktörer som omfattas av brottsdatalagens bestämmelser kan vara operatörer enligt AI-förordningen. Behandlingen av person- uppgifter till följd av AI-förordningen bör dock huvudsakligen aktualisera bestämmelserna i EU:s dataskyddsförordning. Person- uppgiftsbehandlingen hos de nationella behöriga myndigheterna och myndigheterna som avses i artikel 77.1 kommer att ske inom tillämpningsområdet för EU:s dataskyddsförordning. Integritetsrisker aktualiseras som en följd av förslagen Tillämpningen av AI-förordningen och utredningens förslagna kom- pletteringsförfattningar riskerar att innebära intrång i den personliga integriteten. Det är svårt att förutse vilka personuppgifter som kommer att behandlas i ärenden enligt AI-förordningen. Med hän- syn till att AI-förordningen omfattar i princip alla sektorer i sam- hället, inklusive bl.a. brottsbekämpande myndigheters användning av AI-system, kan det inte uteslutas att personuppgifter som kräver särskilt skydd, såsom känsliga personuppgifter, personuppgifter som rör lagöverträdelser, personnummer och samordningsnummer, per- sonuppgifter som omfattas av sekretess till skydd för enskildas per- sonliga eller ekonomiska förhållanden och uppgifter om barn kan komma att behandlas hos bl.a. de behöriga myndigheterna. Behand- ling av sådana personuppgifter kan t.ex. komma att ske när operatörer överlämnar uppgifter till marknadskontrollmyndigheterna till följd av ett ärende om marknadskontroll eller till följd av en incident- rapportering enligt artikel 73 i AI-förordningen. Huvudsakligen bör behandling av personuppgifter i sådana fall ske hos en enskild mark- nadskontrollmyndighet och i vissa fall även i samverkan med andra marknadskontrollmyndigheter. Att personuppgifter som kräver sär- skilt skydd kan komma att behandlas innebär generellt sett utökade integritetsrisker. Hur stor del av personuppgiftsbehandlingen som kommer att utgöras av personuppgifter som kräver särskilt skydd är i nuläget svårt att uppskatta. Uppgifter som lämnas av brottsbekämpande myndigheter kommer enligt utredningens förslag i huvudsak att hanteras av IMY, som kan förväntas ha lämpliga rutiner m.m. för att hantera sådan information. 722 SOU 2025:101 Övriga nödvändiga åtgärder Även övriga föreslagna behöriga myndigheter kan förväntas ha lämp- liga rutiner m.m. för att hantera personuppgifter som kräver särskilt skydd. Behandlingen av personuppgifterna kommer vidare att ske inom ramen för kontroll av efterlevnad av AI-förordningen, inne- bärande att ett av de huvudsakliga ändamålen med behandlingen är att skydda enskildas grundläggande rättigheter. Syftet eller effekten med behandlingen är alltså inte en kartläggning eller övervakning av den enskilde eller att vidta åtgärder med negativa konsekvenser för den enskilde. Ändamålen med behandlingen medför alltså inte i sig en utökad integritetsrisk. Utredningens förslag om sekretessbrytande bestämmelser mellan marknadskontrollmyndigheterna (avsnitt 9.9.3) mellan enskilda och myndigheter inom ramen för en regulatorisk sandlåda för AI (av- snitt 12.8.3) och mellan marknadskontrollmyndigheterna och AI- byrån och den vetenskapliga panelen (avsnitt 13.5.2) innebär emeller- tid en risk för större spridning av personuppgifter, vilket generellt sett ökar integritetsriskerna. Spridningen av uppgifter kommer dock i huvudsak ske mellan marknadskontrollmyndigheterna. Samtidigt föreslår utredningen nya bestämmelser om sekretess och tystnads- plikt som innebär att sådana uppgifter i stor omfattning kommer att omfattas av sekretess enligt OSL och en för enskilda lagreglerad tystnadsplikt (avsnitt 9.9 och 12.8). Utredningens förslag om upp- giftsskyldigheter är också begränsade på så sätt att uppgifter bara får delas om det behövs för något av de i bestämmelserna angivna ändamålen eller om det inte är olämpligt, samt endast inom ramen för viss verksamhet (avsnitt 9.9.3 och 13.5.2). Utredningen bedömer att samtliga dessa förslag minskar riskerna för en större spridning och sammantaget minskar risken för onödigt intrång i den personliga integriteten. Det finns stöd för personuppgiftsbehandlingen i befintlig dataskyddsreglering Som konstaterats ovan så är det utredningens bedömning att den behandling av personuppgifter som aktualiseras vid tillämpning av bestämmelserna i AI-förordningen i huvudsak kommer att ske för ändamål som inte är brottsbekämpande. En grundläggande förut- sättning för att behandling av personuppgifter ska vara tillåten är vid sådana förhållanden att den ryms inom någon av de rättsliga 723 Övriga nödvändiga åtgärder SOU 2025:101 grunderna för behandling som finns i artikel 6.1 i EU:s dataskyddsför- ordning. I normalfallet utgör en myndighets uppdrag enligt författ- ning, instruktion eller regleringsbrev en rättslig grund för behandling av personuppgifter enligt artikel 6.1 e i EU:s dataskyddsförordning. Tydliga uppdrag att behandla personuppgifter i författning, kan också utgöra en rättslig förpliktelse enligt artikel 6.1 c i EU:s dataskydds- förordning. Det kan exempelvis handla om författningar som anger en skyldighet för en myndighet att lämna personuppgifter till en annan myndighet. De nationella behöriga myndigheterna kommer att utföra upp- gifter som är av allmänt intresse och som följer av AI-förordningen och nationell kompletteringsförfattning. De behöriga myndigheternas samordning och samverkan kommer enligt utredningens förslag vidare att författningsregleras, bl.a. genom förslag om uppgiftsskyldig- heter (avsnitt 9.9 och 13.5). AI-förordningen innehåller därtill ett fler- tal bestämmelser som medför en rättslig förpliktelse för de nationella behöriga myndigheterna att dela uppgifter, inklusive personuppgifter, med bl.a. myndigheterna som avses i artikel 77.1 i AI-förordningen. Dessa myndigheter kommer i sin tur att utföra uppgifter som är av allmänt intresse och som följer av AI-förordningen. Operatörer kom- mer vidare att behöva dela med sig av uppgifter, inklusive personupp- gifter, som en direkt följd av bestämmelser i AI-förordningen samt kompletteringslagen. Den rättsliga grunden för de behöriga myndigheternas person- uppgiftsbehandling är följaktligen att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som följer av lag eller annan författning eller av beslut som har meddelats med stöd av sådana föreskrifter (artikel 6.1 c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighets- utövning (artikel 6.1 e). Detsamma gäller för myndigheterna som avses i artikel 77.1. Den rättsliga grunden för den personuppgiftsbehandling som sker hos operatörerna är vidare att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som följer av lag i enlighet med artikel 6.1 c i EU:s dataskyddsförordning. De rättsliga grunderna kommer, genom regleringen i AI-förord- ningen och de föreslagna kompletteringsförfattningarna, att vara fastställda på det sätt som krävs enligt artikel 6.3 i EU:s dataskydds- förordning. 724 SOU 2025:101 Övriga nödvändiga åtgärder De personuppgifter som behandlas i ett ärende enligt AI-för- ordningen kan som tidigare nämnts även komma att utgöra känsliga personuppgifter enligt artikel 9 i EU:s dataskyddsförordning. I 3 kap. 3 § dataskyddslagen finns det en generell kompletterande reglering avseende känsliga personuppgifter för myndigheter. I andra stycket i den paragrafen finns ett förbud mot att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Utredningen bedömer att detta sökförbud, tillsammans med utred- ningens föreslagna reglering om sekretess och tystnadsplikt utgör tillräckliga skyddsåtgärder. Det finns därmed förutsättningar för de behöriga myndigheterna att även behandla känsliga personuppgifter. Sammantaget bedömer utredningen att det finns stöd i befintlig dataskyddsreglering för personuppgiftsbehandlingen. Närmare om regulatoriska sandlådor för AI Som framgår av avsnitt 12.2.2 och 12.6.1 ska det finnas en regulatorisk sandlåda för AI. Av artikel 59.2 i AI-förordningen följer att i syfte att förebygga, förhindra, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, under brottsbekämpande myndigheters överinseende och ansvar, ska be- handlingen av personuppgifter i regulatoriska sandlådor för AI baseras på specifik unionsrätt eller nationell rätt och omfattas av samma kumulativa villkor som dem som avses i artikel 59.1 i AI- förordningen. Det är alltså en förutsättning för brottsbekämpande myndigheters behandling av personuppgifter i sandlådan för brotts- bekämpande ändamål att det finns rättsligt stöd för detta. Brottsdatalagen innehåller övergripande och grundläggande be- stämmelser om brottsbekämpande myndigheters och domstolars behandling av personuppgifter som sker inom ramen för den brotts- bekämpande verksamheten samt för lagföring och straffverkställighet. En mer detaljerad reglering finns i de brottsbekämpande myndighet- ernas registerförfattningar. För andra uppgifter som inte direkt inne- bär brottsbekämpning gäller EU:s dataskyddsförordning. Enligt brottsdatalagen får personuppgifter behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra sin upp- gift att förebygga, förhindra eller upptäcka brottslig verksamhet, 725 Övriga nödvändiga åtgärder SOU 2025:101 utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Med en behörig myndig- hets uppgift avses en uppgift som framgår av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften. Utöver detta får personuppgifter behandlas om det är nödvändigt för diarieföring, eller uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och be- handlingen är nödvändig för myndighetens handläggning. I 2 kap. 4 § brottsdatalagen finns en reglering som anger att personuppgifter får behandlas för ett nytt ändamål, och att det då ska säkerställas att det finns en rättslig grund för den nya behandlingen, och det är nöd- vändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Det nya ändamålet ska ligga inom brottsdatalagens tillämpningsområde. Enligt 2 kap. 22 § brottsdatalagen finns en möj- lighet för vidarebehandling av personuppgifter utanför brottsdata- lagens tillämpningsområde. I sammanhanget kan nämnas vad Lagrådet har uttalat beträffande planering, uppföljning och utvärdering av en verksamhet. Lagrådet har uttryckt att sådana åtgärder är en integrerad del av själva verksam- heten och inte någon från denna fristående aktivitet som behöver regleras särskilt i registerförfattningar.43 I förarbetena till brottsdata- lagen hänvisades också till detta uttalande.44 Regeringen har tidigare i olika sammanhang uttalat att behandlingen av personuppgifter för teständamål är något som normalt inte brukar regleras i myndighet- ernas registerförfattningar som ett särskilt ändamål.45 Dessa uttalanden kan vara relevanta att beakta när det gäller frågan om brottsbekämpande myndigheters möjlighet att behandla personuppgifter vid utveckling m.m. av AI-system i den regulatoriska sandlådan för AI. När det gäller behandling av personuppgifter som sker i t.ex. utvecklings- och uppföljningssyfte framför Polismyndig- heten i en hemställan om översyn av polisens brottsdatalag att det ibland uppkommer just frågor om huruvida behandlingen av person- uppgifter som sker i sådant syfte faller under brottsdatalagens eller dataskyddsförordningens tillämpningsområde. I hemställan anför myndigheten vidare att även i de fall den gränsdragningen inte är svår att göra uppstår oklarheter om vad som gäller i vissa frågor. Enligt 43 Se t.ex. prop. 2004/05:164, s. 179 och prop. 2014/15:63, s. 63. 44 Prop. 2017/18:232, s. 118 f. 45 Se bl.a. prop. 2019/2020:113, s. 20 f. och prop. 2022/23:34, s. 205. 726 SOU 2025:101 Övriga nödvändiga åtgärder Polismyndigheten finns det behov av förtydliganden av de närmare rättsliga förutsättningarna när det gäller denna slags behandling.46 AI-förordningen ställer krav på att det ska inrättas en regulatorisk sandlåda. I detta betänkande föreslås därför att en sådan inrättas. Det kan i och för sig vara angeläget att brottsbekämpande myndigheter har möjlighet att använda sig av regulatoriska sandlådor för AI. För detta krävs att det finns rättsligt stöd för behandlingen av person- uppgifter i sandlådan. Frågan om huruvida det finns behov av att närmare förtydliga det dataskyddsrättsliga stödet genom eventuella författningsändringar är dock inte något som omfattas av utredning- ens uppdrag. Det lämnas därför inte några överväganden i denna del. Samlad nödvändighets- och proportionalitetsanalys Bestämmelserna i AI-förordningen samt utredningens förslag kom- mer att innebära en utökad personuppgiftsbehandling hos de behöriga myndigheterna, myndigheterna som avses i artikel 77.1 samt hos be- rörda operatörer. Merparten av personuppgiftsbehandlingen kommer att ske som en direkt följd av bestämmelserna i AI-förordningen. Ut- redningens förslag om att utse totalt tolv nationella behöriga myndig- heter innebär emellertid att flera myndigheter kommer att behandla personuppgifter till följd av AI-förordningen. Ett färre antal utsedda myndigheter hade inneburit att ett färre antal myndigheter hade be- hövt behandla personuppgifter till följd av AI-förordningen. Det hade i sig kunnat medföra en mer begränsad integritetsrisk. Utred- ningen har i kapitel 6 och 7 övervägt att utse ett färre antal myndig- heter men kommit fram till att det för en effektiv och rättssäker kontroll och efterlevnad av AI-förordningen är nödvändigt att utse tolv behöriga myndigheter. Utredningens förslag i kapitel 9 om samverkan och samordning inom systemet för marknadsövervakning och kontroll kan vidare förväntas innebära en utökad personuppgiftsbehandling, i huvudsak hos marknadskontrollmyndigheterna och primärt hos den samord- nande marknadskontrollmyndigheten. Utredningens förslag i kapi- tel 12 om samverkan och samordning inom ramen för en regulatorisk sandlåda för AI kan också förväntas innebära en utökad personupp- 46 Justitiedepartementets dnr Ju2024/02401 och Polismyndighetens hemställan med dnr A593.896/2024. 727 Övriga nödvändiga åtgärder SOU 2025:101 giftsbehandling, i huvudsak hos marknadskontrollmyndigheterna. Detta särskilt till följd av utredningens förslag om sekretessbrytande bestämmelser mellan marknadskontrollmyndigheterna (avsnitt 9.9.3) mellan enskilda och myndigheter inom ramen för en regulatorisk sandlåda för AI (avsnitt 12.8.3) och mellan marknadskontrollmyndig- heterna och AI-byrån och den vetenskapliga panelen (avsnitt 13.5.2). Utredningen har bedömt att dessa förslag är nödvändiga för en effek- tiv och rättssäker kontroll och efterlevnad av AI-förordningen. Syftet med AI-förordningen är att förbättra den inre marknadens funktion och att främja användningen av människocentrerad och till- förlitlig AI. Syftet är också att säkerställa en hög skyddsnivå för hälsa, säkerhet och grundläggande rättigheter som fastställs i stadgan, mot de skadliga effekterna av användning av AI-system i unionen, och att stödja innovation (artikel 1 i AI-förordningen). Utredningens förslag syftar till att anpassa svensk lagstiftning till bestämmelserna i AI-förordningen och säkerställa att unionsrätten får avsedd effekt. Det viktiga allmänna intresset av att myndigheterna ska kunna ut- föra sin verksamhet på ett korrekt, rättssäkert och effektivt sätt är ett grundläggande mål av generellt allmänt intresse. Åtgärderna som utredningen föreslår medför inte en oproportionerlig inskränkning av rätten till skydd för personuppgifter i förhållandet till det efter- strävade målet. Det finns enligt utredningen inte några mindre in- gripande sätt att uppnå syftet med AI-förordningen. Utredningen har föreslagit flera skyddsåtgärder för enskilda i form av sekretess- bestämmelser, bestämmelser om tystnadsplikt samt vissa begräns- ningar inom de sekretessbrytande bestämmelserna. Den behandling som föranleds av utredningens förslag är vidare avsedda att säker- ställa att grundläggande rättigheter, däribland rätten till privatliv, respekteras och upprätthålls. Tillämpningen av AI-förordningen och utredningens föreslagna kompletteringsförfattningar kommer att innebära intrång i den per- sonliga integriteten. Vikten av att genomföra de åtgärder som följer av AI-förordningen väger enligt utredningen sammantaget tyngre än skyddet för den personliga integriteten. Personuppgiftsbehandlingen utgör därför ett godtagbart integritetsintrång och är proportionerlig. 728 15 Ikraftträdande Utredningens förslag: Kompletteringslagen, kompletteringsför- ordningen och övriga författningsändringar som föreslås ska träda i kraft den 2 augusti 2026. De förslag som lämnas i betänkandet är föranledda av AI-förord- ningen. Förordningen trädde i kraft den 1 augusti 2024 och ska tillämpas i dess helhet från och med den 2 augusti 2026 (artikel 113). De allmänna bestämmelserna (kapitel I) och bestämmelserna om de förbjudna AI-användningsområdena (kapitel II) ska dock tillämpas från och med den 2 februari 2025. Vidare ska bestämmelserna om anmälande myndigheter och anmälda organ (kapitel III avsnitt 4), AI-modeller för allmänna ändamål (kapitel V), styrning (kapitel VII) och sanktioner (kapitel XII) samt konfidentialitetsbestämmelsen i artikel 78 tillämpas från och med den 2 augusti 2025. När det gäller sanktioner ska dock bestämmelsen om sanktionsavgifter för leveran- törer av AI-modeller för allmänna ändamål i artikel 101 tillämpas från och med den 2 augusti 2026. Slutligen gäller att artikel 6.1 (AI- system med hög risk som är relaterade till unionens harmoniserings- lagstiftning som tas upp i bilaga I) och motsvarande skyldigheter i AI-förordningen ska tillämpas från och med den 2 augusti 2027. Flera av utredningens förslag berör bestämmelser i AI-förord- ningen som började tillämpas den 2 augusti 2025. Detta gäller bl.a. förslagen om utseende av nationella behöriga myndigheter och de föreslagna bestämmelserna om tystnadsplikt och ändringarna i OSL och lagen (2011:791) om ackreditering och teknisk kontroll. Beträf- fande bestämmelserna om sanktioner och andra efterlevnadsåtgärder är det inte helt klart vilket datum som bestämmelserna ska börja gälla enligt förordningen. Artikel 113 b jämte artikel 99.2 i AI-förord- ningen kan antingen tolkas som om de ska börja gälla när övriga 729 Ikraftträdande SOU 2025:101 bestämmelser börjar tillämpas den 2 augusti 2026 eller den 2 au- gusti 2025. Utredningens författningsförslag bör mot denna bakgrund träda i kraft så snart som möjligt. Med hänsyn till att författningsförslagen ska remissbehandlas, beredas vidare inom Regeringskansliet, be- handlas av Lagrådet och därefter behandlas av riksdagen bedömer utredningen att det är rimligt att förvänta sig att bestämmelserna kan träda i kraft tidigast under andra halvan av 2026. Eftersom AI- förordningen i princip ska tillämpas i dess helhet från och med den 2 augusti 2026 anser utredningen att även kompletteringslagen, kom- pletteringsförordningen och övriga författningsändringar behöver träda i kraft samma datum, dvs. den 2 augusti 2026. Enligt artikel 70.2 skulle Sverige senast den 2 augusti 2025 med- dela kommissionen identiteten på de anmälande myndigheterna och marknadskontrollmyndigheterna och dessa myndigheters uppgifter. Vid samma tidpunkt skulle Sverige göra information om hur behör- iga myndigheter och gemensamma kontaktpunkter kan kontaktas genom elektroniska kommunikationsmedel allmänt tillgänglig. Ut- redningen anser därför att det finns skäl för regeringen att i vart fall tillfälligt utse marknadskontrollmyndigheter och anmälande myndig- heter redan under den fortsatta beredningen av utredningens författ- ningsförslag. Utredningens förslag avser bestämmelser inom ett område som inte tidigare är reglerat. Det saknas därför behov av övergångsbestäm- melser. 730 16 Konsekvensutredning 16.1 Inledning Av kommittéförordningen (1998:1474) framgår att en utredning ska redovisa vilka konsekvenser som de förslag som utredningen lämnar kan ha i flera olika avseenden. Om förslagen i ett betänkande med- för kostnadsökningar eller intäktsminskningar för staten, kommuner eller regioner, ska kommittén föreslå en finansiering som i första hand har anknytning till utredningens område och ange skäl för den föreslagna finansieringen (15 § kommittéförordningen). Utöver bestämmelserna i kommittéförordningen finns i förord- ningen (2024:183) om konsekvensutredningar bestämmelser om den konsekvensutredning som en utredning ska redovisa. Enligt 6 § för- ordningen om konsekvensutredningar ska konsekvensutredningen innehålla en redogörelse för 1. det aktuella problemet och vilken förändring som eftersträvas, 2. vilka konsekvenser som bedöms uppstå om ingen åtgärd vidtas, 3. de olika alternativ som finns för att uppnå förändringen och de fördelar respektive nackdelar som bedöms finnas med dessa, och 4. det eller de alternativ som bedöms lämpligast och av vilka skäl. Enligt 7 § förordningen om konsekvensutredningar ska konsekvens- utredningen vidare innehålla en analys av det förslag som lämnas. Analysen ska bestå av 1. en beskrivning och beräkning av förslagets eller beslutets kost- nader och intäkter för staten, kommuner, regioner, företag och andra enskilda, 2. en beskrivning och, om möjligt, en beräkning av andra relevanta konsekvenser än sådana som anges i punkten 1, 731 Konsekvensutredning SOU 2025:101 3. en redogörelse för vilka åtgärder som har vidtagits för att förslaget eller beslutet inte ska medföra mer långtgående kostnader eller begränsningar än vad som bedöms vara nödvändigt för att uppnå dess syfte, 4. en bedömning av om särskild hänsyn behöver tas när det gäller tidpunkten för ikraftträdande och om det finns behov av speciella informationsinsatser, och 5. en beskrivning av hur och när konsekvenserna av förslaget eller beslutet kan utvärderas. Av 15 § i förordningen om konsekvensutredningar framgår att Eko- nomistyrningsverket ska ansvara för metodutveckling, vägledning och utbildning med anledning av förordningen. Vid framtagandet av analysen bör hänsyn tas till denna vägledning. Om någon del av analysen inte kan göras ska detta motiveras. Om förslaget rör kommuner eller regioner ska konsekvensutred- ningen enligt 8 § första stycket förordningen om konsekvensutred- ningar innehålla en bedömning av om förslaget inskränker den kom- munala självstyrelsen. Enligt 9 § förordningen om konsekvensutredningar ska konse- kvensutredningen innehålla en bedömning av om förslaget överens- stämmer med eller går utöver de skyldigheter som följer av Sveriges anslutning till EU. 16.2 Utredningens uppdrag Utredningens direktiv Enligt utredningens direktiv ska utredaren särskilt redovisa förslagens konsekvenser för staten, kommuner, regioner, företag och andra rele- vanta aktörer som förväntas beröras av förordningen. Utredaren ska även beskriva och beräkna eventuella budgetära konsekvenser. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras. Utredaren ska redo- visa om förslaget har konsekvenser inom jämställdhetsområdet. Det är konsekvenserna av utredningens förslag till kompletter- ingslag och kompletteringsförordning samt förslagen till ändringar 732 SOU 2025:101 Konsekvensutredning i OSL och lagen (2011:791) om ackreditering och teknisk kontroll som ska bedömas. Konsekvenser av AI-förordningens direkt tillämpliga bestämmelser ligger utanför utredningens uppdrag AI-förordningens direkt tillämpliga bestämmelser kommer att leda till konsekvenser för såväl myndigheter, företag, organisationer som privatpersoner i Sverige. De största konsekvenserna av tillämpningen av AI-förordningen i Sverige för alla berörda är i huvudsak en följd av AI-förordningen och de skyldigheter som följer av den, och alltså inte av utredningens förslag. De konsekvenser som följer av de direkt tillämpliga bestämmelserna i AI-förordningen redovisas därför inte. Utredningen ser dock anledning att inledningsvis upplysa om kom- missionens konsekvensanalys av AI-förordningen. Kommissionens konsekvensanalys I samband med att det första förslaget till AI-förordning togs fram tog kommissionen fram en konsekvensanalys avseende AI-förord- ningen.1 I den konsekvensanalysen finns en närmare genomgång av förordningens ekonomiska, sociala och miljömässiga påverkan samt konsekvenser för små och medelstora företag. I konsekvensanalysen finns också en genomgång av AI-förordningens påverkan på grund- läggande rättigheter och säkerhet. Kommissionen konstaterar i sin konsekvensanalys att de övergrip- ande målen med förordningen bl.a. är att skapa förutsättningar för utveckling och användning av tillförlitlig AI inom unionen. Med AI- förordningen är det möjligt att skapa rättslig klarhet och förutsäg- barhet för företag, vilket ska stimulera investeringar och innovation. Målet är också att motverka fragmentering av den inre marknaden och stärka EU:s digitala suveränitet.2 I fråga om de alternativa lösningarna konstaterar kommissionen att alternativet med en horisontell EU-lagstiftning med bindande 1 Commission Staff Working Document Impact Assessment Accompanying the Proposal for a Regulation of the European Parliament and of the Council Laying Down Harmonised Rules on Artificial Intelligence (Artificial Intelligence Act) and Amending Certain Union Legislative Acts (Konsekvensanalysen). 2 Konsekvensanalysen, s. 32 f. 733 Konsekvensutredning SOU 2025:101 krav för AI-system med hög risk, kompletterat med frivilliga upp- förandekoder för AI-system som inte är hög risk, är det mest önsk- värda alternativet. Därtill ska vissa begränsade transparensskyldig- heter gälla. En alternativ lösning som har övervägts är att endast låta befintliga regler gälla med frivilliga initiativ och åtgärder. En annan är att införa en horisontell EU-lagstiftning med obligatoriska krav för alla AI-system.3 Vidare konstaterar kommissionen att införandet av AI-förord- ningen enligt det föredragna alternativet kommer att minska riskerna för medborgares säkerhet och grundläggande rättigheter. För leveran- törer av AI kommer det att skapa rättslig säkerhet och säkerställa att inga hinder för gränsöverskridande tillhandahållande av AI-relaterade tjänster och produkter uppstår. För företag som använder AI kommer det att främja förtroendet bland kunder. För nationella offentliga för- valtningar kommer det att främja allmänhetens förtroende för an- vändningen av AI och stärka tillsynsmekanismerna. Små och medelstora företag bedöms dra större nytta av ett högre allmänt förtroende för AI genom AI-förordningen jämfört med stora företag. Små och medelstora företag som utvecklar applikationer som klassificeras som hög risk skulle dock behöva bära liknande kostnader som stora företag. Med anledning av den höga skalbarheten hos digital teknik kan även små och medelstora företag nå en enorm räckvidd med sina AI-applikationer. Kommissionen anser därför att det skulle undergräva målet att öka förtroendet om små och medelstora företag undantas från tillämpningen av AI-förordningen. Regelverket kom- mer samtidigt att innehålla särskilda åtgärder, bl.a. regulatoriska sand- lådor, för att hjälpa små och medelstora företag att följa de nya reg- lerna, med hänsyn till deras särskilda behov.4 16.3 Övergripande om utredningens förslag Utredningens förslag syftar till att anpassa svensk lagstiftning till bestämmelserna i AI-förordningen och att säkerställa att unions- rätten får avsedd effekt. Utredningen lämnar förslag på vilka myndigheter som ska utses till att vara marknadskontrollmyndigheter enligt AI-förordningen 3 Konsekvensanalysen, s. 39 och 62. 4 Konsekvensanalysen, s. 71. 734 SOU 2025:101 Konsekvensutredning (kapitel 6). Vidare bedömer utredningen att en marknadskontroll- myndighet ska utses till samordnande marknadskontrollmyndighet samt lämnar förslag på vilken marknadskontrollmyndighet som ska utses till gemensam kontaktpunkt (kapitel 9). Utredningen lämnar också förslag på vilka myndigheter som ska utses till anmälande myn- digheter (kapitel 7). Utredningen lämnar även förslag på befogen- heter och ingripanden som ska finnas vid marknadskontroll och kon- troll av efterlevnad enligt AI-förordningen (kapitel 10). Vidare lämnar utredningen förslag om nationell registrering av AI- system med hög risk inom området kritisk infrastruktur (kapitel 11) och inrättandet av regulatoriska sandlådor för AI och testning av AI-system med hög risk under verkliga förhållanden (kapitel 12). Därtill lämnar utredningen förslag om stöd för tillämpning och efter- levnadskontroll (kapitel 13) samt förslag om övriga nödvändiga åt- gärder (kapitel 14). 16.4 Problem och förslag till lösningar Utredningen har löpande under arbetets gång övervägt olika alterna- tiv till lösningar vad avser systemet för marknadsövervakning, mark- nadskontroll och kontroll av efterlevnad enligt AI-förordningen samt vad avser behovet av andra anpassningar i svensk rätt med anledning av AI-förordningen. De överväganden som utredningen har gjort framgår av förslagen i kapitel 6–7 och 9–14. I det följande redovisar därför utredningen endast de huvudsakliga alternativa lösningarna och förslagen till lösningar. 16.4.1 Marknadskontrollmyndigheter Problembeskrivning och målformulering I det ursprungliga utkastet till AI-förordningen var utgångspunkten att det skulle finnas en central nationell myndighet i varje medlems- land.5 Den slutligt antagna AI-förordningen innefattar dock inte be- stämmelser om en central nationell myndighet. AI-förordningens utgångspunkt är i stället nära kopplad till vissa befintliga unionsrätts- 5 Se kommissionens förslag, artikel 59.2, https://eur-lex.europa.eu/legal- content/EN/TXT/?uri=celex:52021PC0206 (hämtad 2025-06-12). 735 Konsekvensutredning SOU 2025:101 akter om produktsäkerhet och vissa rättighetsbaserade unionsrätts- akter såsom EU:s dataskyddsförordning. Vissa bestämmelser i AI- förordningen anger en huvudregel om vilka myndigheter som bör ha roller enligt AI-förordningen. Med hänsyn till den befintliga orga- nisationen av marknadskontrollen och tillsynsansvaret för EU:s data- skyddsförordning i Sverige bör flera olika myndigheter som huvud- regel ha uppgifter enligt AI-förordningen. AI-förordningen utgör också ett omfattande materiellt regelverk, vilket kommer att ställa höga krav på marknadskontrollmyndighet- erna. Det följer av AI-förordningen att myndigheterna ska ha an- ställda med kompetens inom AI-teknik, data och databehandling m.m. (artikel 70.3). EU:s marknadskontrollförordning kommer samtidigt att vara tillämplig på alla AI-system som omfattas av AI- förordningen. Marknadskontroll av AI-system är något nytt och det saknas erfarenhet av en sådan marknadskontroll. Det kommer att finnas behov av kompetens såväl vad gäller tillsyn och marknads- kontroll i generella termer som inom specifika sektorer. I Sverige finns i dag 15 marknadskontrollmyndigheter som ut- övar marknadskontroll inom olika, men också delvis överlappande sektorer. Sverige har alltså en decentraliserad fördelning av marknads- kontrollansvaret. AI-förordningen är en horisontell rättsakt. En potentiell följd av Sveriges decentraliserade modell blir att flera s.k. sektorsmyndigheter kan behöva ha ett delat ansvar för marknads- kontroll enligt samma rättsakt. Utredningen har jämfört sina överväganden och förslag med andra medlemsstaters motsvarande överväganden och förslag om anpass- ningar med anledning av AI-förordningen. Utredningen har vid jäm- förelsen bl.a. kunnat konstatera att vissa medlemsstater har valt ett mer centraliserat ansvar till en nationell AI-myndighet medan andra medlemsstater har valt en mer decentraliserad modell där flera myn- digheter delar på marknadskontrollansvaret. Med hänsyn till olika medlemsstaters förvaltningsstruktur är det dock svårt att dra slut- satser av dessa jämförelser. Målet för utredningen vad gäller hur systemet för marknadsöver- vakning och kontroll ska organiseras, har varit att lämna förslag om en myndighetsstruktur som ska ge förutsättningar för att marknads- kontrollen enligt AI-förordningen ska bli så effektiv som möjligt, samtidigt som förordningen ska vara enkel att tillämpa för opera- törerna. 736 SOU 2025:101 Konsekvensutredning Alternativa lösningar, utredningens förslag till lösningar och nollalternativet Utredningen har övervägt tre huvudsakliga alternativ för organi- seringen av marknadskontrollmyndigheter enligt AI-förordningen (se avsnitt 6.4). Alternativen som utredningen har övervägt är 1) ett centraliserat system, 2) ett decentraliserat system eller 3) ett hybridalternativ. Med ett centraliserat system samlas marknadskontrollansvaret hos en myndighet. Fördelarna med det alternativet är en mer enhet- lig praxisbildning, tydligare vägledning och en effektivare kunskaps- uppbyggnad inom AI. Nackdelen är risken för bristande sektors- specifika kunskaper, då en central myndighet kommer sakna djupare förståelse för de produkter och områden den granskar. Med ett decentraliserat system får i stället flera myndigheter an- svar som marknadskontrollmyndighet utifrån sitt respektive sektors- ansvar. Fördelen med detta alternativ är att sektorsspecifik kunskap tas tillvara, vilket kan ge bättre marknadskontroll och övrig tillsyn inom respektive område. Nackdelarna är att det finns risk för en splittrad praxis, otydlig ansvarsfördelning mellan myndigheterna och svårigheter med samordning. Med en decentraliserad modell finns också en risk för att operatörer och andra aktörer får olika besked beroende på vilken myndighet de vänder sig till. Det tredje alternativet är en hybridmodell. Hybridmodellen inne- bär att en huvudsaklig expertmyndighet får ta ett övergripande mark- nadskontrollansvar för AI-förordningen. Om det inte finns starkt vägande skäl som talar för att en sektorsspecifik myndighet ska an- svara för ett visst område, bör marknadskontrollansvaret på så sätt samlas hos en myndighet med ett huvudsakligt ansvar för AI-förord- ningen. Utredningens förslag till lösning är att systemet för marknads- kontroll ska utformas som en hybridmodell (se avsnitt 6.4.2). Den föreslagna lösningen innebär en viss samling av marknadskontroll- ansvaret till en huvudsaklig marknadskontrollmyndighet, samtidigt som sektorsspecifik kunskap säkerställs vad gäller vissa produkter och områden. I fråga om vilken myndighet som ska utses till marknadskontroll- myndighet med huvudsakligt ansvar för AI-förordningen har utred- ningen framför allt övervägt PTS och IMY som en sådan myndighet. 737 Konsekvensutredning SOU 2025:101 Utredningen har därutöver även övervägt Digg, Finansinspek- tionen, Konsumentverket, Läkemedelsverket och MSB för ett större uppdrag som marknadskontrollmyndighet enligt AI-förordningen. Av de skäl som utredningen har redovisat (se avsnitt 6.4.3) har utred- ningen dock valt att inte gå vidare med dessa alternativ i fråga om det huvudsakliga ansvaret. När det gäller valet mellan PTS och IMY så har utredningen kommit fram till att fördelarna med att välja PTS är att den myndig- heten har lång erfarenhet av marknadskontroll och tillsyn av pro- dukter, teknisk standardisering och arbete på EU-nivå. Myndigheten har dessutom bred teknisk kompetens och är redan ansvarig inom flera av det digitala decenniets regleringar. Flera andra EU-länder har också valt motsvarande myndigheter som huvudansvariga för AI-förordningen, vilket kan underlätta en harmonisering på EU-nivå. Nackdelen med att välja PTS är att myndigheten i dagsläget främst är en sektorsmyndighet inom post och elektronisk kommunikation och saknar djupare erfarenhet av vissa tjänste- och rättighetsbaserade områden (se avsnitt 6.4.4). Fördelen med att välja IMY är myndighetens omfattande erfaren- het av tillsyn inom dataskydd och att myndigheten redan hanterar många frågor kopplade till AI och personuppgifter. Att ge IMY ett huvudsakligt ansvar skulle också skapa den största möjliga centrali- seringen av AI-förordningen eftersom IMY oavsett övriga förslag kommer att få en stor roll inom AI-förordningen. IMY saknar dock erfarenhet av marknadskontroll och tillsyn kopplad till produktsäker- het. IMY är också en mindre myndighet med begränsade resurser. Det finns även en potentiell målkonflikt mellan dataskyddsregler- ingens rättighetsfokus och AI-förordningens bredare mål om inno- vation och konkurrenskraft (se avsnitt 6.4.4). Utredningens förslag till lösning är att PTS ska utses till marknads- kontrollmyndighet med huvudsakligt ansvar för AI-förordningen. Både PTS och IMY besitter flera sakkunskaper som är relevanta för att kunna hantera ett större ansvar enligt AI-förordningen. Utred- ningen har sammanfattningsvis kommit fram till att PTS bör ges upp- draget. Samtidigt är utredningens förslag att IMY ska få ansvar för vissa särskilda områden där kompetens inom dataskydd och brottsdata- lagen är avgörande. 738 SOU 2025:101 Konsekvensutredning Enligt utredningens förslag ska även Finansinspektionen få ansvar över vissa särskilda områden som berör den finansiella sektorn inom AI-förordningen. Utredningens alternativa lösningar och förslag till lösningar vad avser ansvarsfördelningen mellan marknadskontroll- myndigheterna för högriskområdena i bilaga III, artikel 4, 5 och 50 i AI-förordningen framgår av avsnitt 6.5.1–6.5.8, 6.7.3, 6.8.3 och 6.9.2. Vad gäller bilaga IA till AI-förordningen omfattar den AI-system som är relaterade till produkter som redan regleras av särskilda unions- rättsakter på produktsäkerhetsområdet (t.ex. maskiner, leksaker, medicintekniska produkter och hissar). AI-förordningen utgår ifrån att befintliga marknadskontrollmyndigheter för dessa sektorer ska ansvara för AI-system inom sina respektive områden, men det går att göra undantag (artikel 74.3). I denna del har utredningen därför i huvudsak övervägt två alternativa lösningar. Den första alternativa lösningen innebär att marknadskontrollansvaret läggs på de myndig- heter som redan ansvarar för respektive unionsrättsakt i bilaga IA. Den andra alternativa lösningen som utredningen har övervägt är att centralisera ansvaret för bilaga IA till en enda myndighet (se av- snitt 6.6.4). Utredningens förslag till lösning är att befintliga sektorsmyndig- heter för de unionsrättsakter som förtecknas i bilaga IA får ansvar för marknadskontroll av AI-system med hög risk i den utsträckning som framgår av artikel 6.1 i AI-förordningen. Utredningen bedömer att det inte är lämpligt att centralisera ansvaret för bilaga IA till en enda myndighet, eftersom sektorsspecifik kunskap är nödvändig och AI-förordningen redan förutsätter att de befintliga myndigheterna får marknadskontrollansvaret (se avsnitt 6.6.4). AI-förordningen förutsätter att medlemsstaterna ska utse vilka myndigheter som ska vara marknadskontrollmyndigheter (arti- kel 70.1). Nollalternativet, dvs. att utredningen inte lämnar några förslag på vilka myndigheter som ska utses till marknadskontroll- myndigheter enligt AI-förordningen, är därför inte möjligt. 739 Konsekvensutredning SOU 2025:101 16.4.2 Anmälande myndigheter Problembeskrivning och målformulering AI-förordningen anger att medlemsstaterna ska utse minst en anmäl- ande myndighet som nationell behörig myndighet enligt AI-förord- ningen (artikel 70.1). Av kommittédirektivet framgår att utredningen ska lämna förslag på vilken eller vilka befintliga myndigheter som bör utses till anmälande myndigheter enligt AI-förordningen. I Sverige finns sedan tidigare två anmälande myndigheter, Swedac och Läkemedelsverket. Swedac är anmälande myndighet i samtliga fall med undantag för EU:s förordningar om medicintekniska pro- dukter där Läkemedelsverket är anmälande myndighet. Med hänsyn till de kriterier som AI-förordningen ställer upp på organisationen hos den anmälande myndigheten är det också möjligt att överväga andra myndigheter, se t.ex. artikel 28.7 och 70.3 i AI-förordningen. Utredningens målsättning är att lämna förslag på anmälande myn- digheter som har en organisation och kunskap om såväl anmälnings- förfaranden som tillämpning av unionsrättslig reglering. Alternativa lösningar, utredningens förslag till lösningar och nollalternativet Utredningen har övervägt i huvudsak två alternativa lösningar i fråga om vilka myndigheter som ska utses till anmälande myndigheter enligt AI-förordningen. Den första alternativa lösningen är att utse endast de två befintliga anmälande myndigheterna, dvs. Swedac och Läkemedelsverket. Den andra alternativa lösningen som utredningen har övervägt är att utse någon eller några av de föreslagna marknadskontrollmyn- digheterna även till anmälande myndighet, t.ex. PTS och IMY. Det som talar för förslaget att utse Swedac och Läkemedelsverket till anmälande myndigheter enligt AI-förordningen är att myndighet- erna redan är anmälande myndigheter. Swedac är också nationellt ackrediteringsorgan och utredningen bedömer att ackreditering även lämpar sig för AI-förordningen. Swedac anmäler också i dags- läget i princip alla organ oberoende av vilken sakkunskap som krävs. Mot bakgrund av den erfarenhet och kunskap Swedac besitter som anmälande myndighet har myndigheten därför goda förutsättningar 740 SOU 2025:101 Konsekvensutredning att vara anmälande myndighet även enligt AI-förordningen. Det som talar för att också utse Läkemedelsverket är att myndigheten i dags- läget ansvarar för uppgiften som anmälande myndighet i förhållande till EU:s förordningar om medicintekniska produkter, som omfattas av bilaga IA. Det som talar för alternativet att överväga PTS som anmälande myndighet är att myndigheten enligt utredningens förslag ska utses till marknadskontrollmyndighet med huvudsakligt ansvar för AI-för- ordningen (se avsnitt 6.4.4). Därmed kan kunskap om AI-system och AI-förordningen samlas på så få myndigheter som möjligt. Utifrån detta resonemang skulle även andra föreslagna marknadskontroll- myndigheter kunna övervägas som anmälande myndigheter, t.ex. IMY. Men varken PTS eller IMY har tidigare varit anmälande myn- digheter, vilket talar mot att utse någon av dessa. Antalet anmälande myndigheter i Sverige har också hittills begränsats till två av de skäl som utredningen har redogjort för i avsnitt 7.5. Utredningens förslag till lösning är därför att utse Swedac och Läkemedelsverket till anmälande myndigheter enligt AI-förordningen. AI-förordningen förutsätter att medlemsstaterna ska utse minst en anmälande myndighet. Nollalternativet, dvs. att utredningen inte lämnar några förslag på anmälande myndigheter enligt AI-förord- ningen, är därför inte möjligt. 16.4.3 Samordning och samverkan inom systemet för marknadsövervakning och kontroll Problembeskrivning och målformulering När det gäller samverkan och samordning mellan myndigheter har flera marknadskontrollmyndigheter gett uttryck för ett behov av kompetensutveckling inom AI och AI-förordningen samt efterfrågat en tydligare samverkan. En ökad samverkan bland de involverade myndigheterna enligt AI-förordningen är enligt utredningen nöd- vändig för att säkerställa samordning och kunskapsdelning mellan myndigheter. AI-förordningen saknar ett formaliserat samarbets- forum eller ett specificerat samordningsansvar för samverkan mellan nationella behöriga myndigheter. Det har i stor utsträckning lämnats till medlemsstaterna att avgöra hur samordning och samverkan inom systemet för marknadsövervakning och kontroll ska utformas. 741 Konsekvensutredning SOU 2025:101 Målet med utredningen vad gäller frågan om samordning och sam- verkan mellan de föreslagna myndigheterna är att lämna förslag om ett effektivt kontrollsystem. Alternativa lösningar, utredningens förslag till lösningar och nollalternativet Utredningen har konstaterat att det finns ett stort behov av sam- ordning och samverkan mellan de marknadskontrollmyndigheter som utredningen föreslår ska tilldelas ansvar för AI-förordningen. Eftersom ansvarsområdena överlappar och AI-system kan användas inom flera sektorer, krävs en tydlig struktur för att undvika dubbel- arbete, motstridiga besked och för att säkerställa en enhetlig tillämp- ning bland myndigheterna. Det förslag till lösning som utredningen har valt är att en marknadskontrollmyndighet ska utses till samord- nande marknadskontrollmyndighet med ett tydligt mandat att leda samordningen. Flera andra medlemsstater har valt liknande lösningar. Av AI-förordningen följer endast att medlemsstaterna behöver utse en gemensam kontaktpunkt (artikel 70.2) och inte en samord- nande marknadskontrollmyndighet. Utredningens förslag i detta av- seende är därför över miniminivån för de anpassningar som är nöd- vändiga med anledning av AI-förordningen. Alternativa lösningar som har övervägts är att låta myndigheterna själva samordna sig gemensamt eller att skapa ett kompetenscenter med delat ansvar. Utredningen bedömer dock att dessa alternativ riskerar att skapa otydlighet kring ansvarsfördelning och långsamma beslutsprocesser. Ett delat ansvar genom ett kompetenscenter med- för också svårigheter i praktiken, där en utmaning är att tydliggöra roller, ansvar och beslutsmandat (se avsnitt 9.4.1 och 9.5.1–9.5.3). Utredningens förslag är att PTS ska utses till samordnande mark- nadskontrollmyndighet för AI-förordningen och även till gemensam kontaktpunkt enligt artikel 70.2 i AI-förordningen. De bärande skälen för den föreslagna lösningen är att PTS utses till marknadskon- trollmyndighet med huvudsakligt ansvar för AI-förordningen och att PTS redan har erfarenhet av liknande samordningsuppdrag enligt andra EU-förordningar, t.ex. EU:s förordning om digitala tjänster. Vidare har utredningen bedömt att PTS som samordnande mark- nadskontrollmyndighet för AI-förordningen ska ges ett brett upp- drag innehållande flera uppgifter. Utredningen föreslår att ansvaret 742 SOU 2025:101 Konsekvensutredning som samordnande marknadskontrollmyndighet bl.a. ska innefatta att leda en samordningsfunktion där samtliga marknadskontrollmyndig- heter enligt AI-förordningen ska ingå, ansvara för att stödja andra myndigheter med AI-expertis och ansvara för att lämna generell väg- ledning om AI-förordningen. Utredningens alternativa lösningar och förslag till lösning vad gäller den samordnande marknadskontroll- myndighetens uppgifter beskrivs närmare i avsnitt 9.5. AI-förordningen kräver att medlemsstaterna utser en gemensam kontaktpunkt. Nollalternativet skulle vara att bara föreslå en sådan och att inte lämna förslag på en samordnande marknadskontroll- myndighet. Ett sådant alternativ skulle innebära att myndigheterna själva få lösa frågan om samordning och samverkan vad gäller AI- förordningen. Som utredningen har anfört ovan riskerar det dock att skapa en osäkerhet om ansvar och det blir dessutom tydligare om ansvaret läggs på en samordnande marknadskontrollmyndighet. 16.4.4 Befogenheter och ingripanden Problembeskrivning och målformulering Enligt artikel 74.1 i AI-förordningen är EU:s marknadskontrollför- ordning tillämplig på AI-system som omfattas av AI-förordningen, vilket bl.a. innefattar vissa befogenheter. I fråga om de befogenheter som marknadskontrollmyndigheterna ska ha enligt EU:s marknads- kontrollförordning så krävs dock att de tilldelas myndigheterna för att kunna utövas vid marknadskontroll. Vidare följer av artikel 99.1 i AI-förordningen att medlemsstaterna ska fastställa bestämmelser om sanktioner och andra efterlevnads- åtgärder som ska tillämpas vid operatörers överträdelser. Den närmare utformningen av systemet med sanktioner och andra efterlevnads- åtgärder, dvs. ingripanden, har dock överlämnats till medlemsstaterna att besluta om. Samtidigt följer det av artikel 99.4 i AI-förordningen att överträdelser av vissa skyldigheter som gäller specifikt för anmälda organ ska kunna medföra påförande av en sanktionsavgift. Utredningens målsättning i dessa avseenden har varit att lämna förslag som tar hänsyn främst till marknadskontrollmyndigheternas och operatörers olika intressen. Detta eftersom marknadskontroll- myndigheterna och de som klassificeras som operatörer enligt AI- förordningen kommer att vara de aktörer som framför allt påverkas 743 Konsekvensutredning SOU 2025:101 av förslagen om befogenheter och ingripanden. Utredningen har också haft som målsättning att lämna förslag om utformningen av systemet med befogenheter och ingripanden, som gör det möjligt för de nationella behöriga myndigheterna att på ett effektivt sätt kunna ingripa inom ramen för marknadskontrollen och kontrollen av efterlevnad enligt AI-förordningen. Alternativa lösningar, utredningens förslag till lösningar och nollalternativet I fråga om marknadskontrollmyndigheternas befogenheter vid marknadskontroll har utredningen föreslagit att de befogenheter som följer av artikel 14.4 i EU:s marknadskontrollförordning ska tilldelas myndigheterna. I denna del har utredningen inte sett något annat alternativ eftersom myndigheterna ska ha dessa befogenheter. Myndigheterna behöver därför tilldelas dessa befogenheter för att kunna utöva sin marknadskontroll (se avsnitt 10.2.1). Därtill följer vissa befogenheter vid marknadskontrollen direkt av AI-förordningen. För att lagstiftningen ska vara tydlig och förutsebar har utredningen bedömt att även dessa befogenheter bör anges upplysningsvis i kom- pletteringslagen (se avsnitt 10.2.2). Vad gäller utformningen av systemet med ingripanden vid över- trädelser av AI-förordningen har utredningen övervägt framför allt två alternativa lösningar. Den ena alternativa lösningen är att endast lämna förslag i enlighet med vad som följer direkt av AI-förordningen, dvs. att vid överträd- elser av vissa bestämmelser i AI-förordningen ska en sanktionsavgift kunna påföras (artikel 99.3–5). Fördelen med detta alternativ är att det blir ett enkelt sanktionssystem att förhålla sig till. Om de nationella behöriga myndigheterna och domstolarna endast har att använda sanktionsavgift som åtgärd vid överträdelser finns dock en risk för att de avstår från att ingripa vid överträdelser av AI-förordningen som är av mindre allvarlig karaktär. Det kan också finnas risk för att myndigheterna eller domstolarna påför en sank- tionsavgift för överträdelser som egentligen skulle ha lett till ett mildare ingripande, om alternativa ingripandemöjligheter hade funnits till hands. Den andra alternativa lösningen är ett system med olika ingrip- anden. Fördelen med detta alternativ är att det ingripande som är 744 SOU 2025:101 Konsekvensutredning mest proportionerligt med beaktande av överträdelsens allvarlighet och omfattning då kan användas i den enskilda situationen. Nack- delen med detta alternativ är att det i viss utsträckning kommer att vara oförutsägbart om vilket ingripande som kan beslutas mot en operatör i den enskilda situationen. Utredningens förslag till lösning är ett system med ingripanden som omfattar föreläggande med eller utan vite, anmärkning och sank- tionsavgift. I avsnitt 10.7.2 redogör utredningen för övervägandena i fråga om föreläggande med eller utan vite. I avsnitt 10.7.3 redogör utredningen för övervägandena i fråga om anmärkning och sanktions- avgifter. Eftersom det följer av AI-förordningen att det ska finnas sanktionsavgifter för överträdelser enligt vad som följer av artikel 99.3–5 i AI-förordningen bedömer utredningen att utredningens förslag om förelägganden med eller utan vite och anmärkning inte går ut- över miniminivån i det avseendet. Sanktionsavgift utgör ett strängare ingripande för en enskild operatör eller anmält organ jämfört med ett vitesföreläggande eller en anmärkning. Samtidigt har utredningen föreslagit att de nationella behöriga myndigheterna ska kunna vitesförelägga i fråga om alla tänkbara över- trädelser av AI-förordningen (se avsnitt 10.7.2). Utredningens för- slag i det avseendet kan hävdas vara över miniminivån vad avser nöd- vändiga anpassningar till AI-förordningen. Kommissionen har också gett uttryck för, i ett tolkningsunderlag för att stödja medlemsstat- erna i att uppfylla sina skyldigheter att fastställa bestämmelser om ingripanden, att medlemsstaterna bör införa bestämmelser om sank- tioner för alla tänkbara överträdelser av AI-förordningen. Det talar samtidigt mot att utredningens förslag skulle vara över miniminivån (se även avsnitt 10.7.3). Utredningen har också övervägt om myndigheter ska omfattas av förslagen om ingripandemöjligheter. Det som talar för att dessa offentliga organ ska omfattas är framför allt att det i stor utsträckning är myndigheter som agerar inom flera högriskområden i bilaga III till AI-förordningen. Konsekvenserna vid dessa offentliga organs överträdelser av AI-förordningen kan generellt sett också antas få större negativa konsekvenser för samhället och enskilda än privata organs överträdelser. Det som talar för alternativet att myndigheter inte ska omfattas är särskilt sanktioners bristande effektivitet när offentliga organ gör sig skyldiga till överträdelser. 745 Konsekvensutredning SOU 2025:101 Utredningens förslag är att myndigheter ska omfattas av systemet med sanktionsavgifter och andra ingripanden. Enligt utredningen kan det sända fel signaler till näringslivet om myndigheter skulle undantas från sanktioner. Av AI-förordningen följer att det är upp till medlemsstaterna att avgöra om sanktionsavgifter får påföras offentliga myndigheter och organ (artikel 99.8). Utredningens förslag i detta avseende är därför över miniminivån för de anpassningar i svensk rätt som är nödvändiga med anledning av AI-förordningen. Vad avser utredningens förslag om att vitesföreläggande och anmärkning också ska kunna riktas mot myndigheter så är det oklart om utredningens förslag kan anses gå utöver miniminivån eller inte. Detta beror på att kommissionen, i sitt tolkningsunderlag vad avser sanktioner och andra efterlevnadsåtgärder, dvs. ingripanden, har gett uttryck för att det behöver finnas sanktioner och andra efter- levnadsåtgärder på plats för överträdelser av AI-förordningen även i förhållande till offentliga organ. Om kommissionen anser att det både behöver finnas sanktioner och andra efterlevnadsåtgärder som inte kan betraktas som en sanktion eller om det är tillräckligt med andra efterlevnadsåtgärder är otydligt i tolkningsunderlaget. Enligt kommissionen är det endast i fråga om sanktionsavgifter som med- lemsstaterna har en valmöjlighet. Nollalternativet för utredningen skulle vara att inte lämna några författningsförslag vad avser systemet med befogenheter och ingrip- anden. Unionslagstiftaren har lämnat till medlemsstaterna att tilldela befogenheterna som följer av EU:s marknadskontrollförordning för att de ska kunna användas vid marknadskontrollen. Unionslagstift- aren har också lämnat till medlemsstaterna att utforma systemet med ingripanden. Därför bedömer utredningen att nollalternativet i dessa avseenden inte är ett möjligt alternativ. 16.4.5 Regulatoriska sandlådor för AI Problembeskrivning och målformulering Utredningen har konstaterat att det ännu inte är helt klarlagt hur de närmare arrangemangen och funktionssätten kring regulatoriska sandlådor för AI ska se ut. AI-förordningen anger att kommissionen ska anta genomförandeakter som specificerar de närmare arrange- 746 SOU 2025:101 Konsekvensutredning mangen för inrättande, utveckling, genomförande, drift och tillsyn av regulatoriska sandlådor för AI. Utredningen kan därför inte ut- tala sig närmare om hur regulatoriska sandlådor för AI i praktiken ska genomföras. I flera avseenden reglerar AI-förordningen att samverkan och involvering ska ske mellan myndigheter inom en regulatorisk sand- låda för AI. AI-förordningen uppställer bl.a. krav på att andra myndig- heter under vissa förhållanden är involverade i driften av en regula- torisk sandlåda för AI (artikel 57.10). Utredningen har dock haft svårt att avgöra vilka svenska myndigheter som kan anses omfattas av artikel 57.10 i AI-förordningen. Artikeln kan tolkas på olika sätt, både vad som avses med att vara involverad i driften och vilka myndig- heter som avses. Som utredningen också har kunnat konstatera kan regulatoriska sandlådor för AI inrättas på olika sätt, såväl horisontellt som vertikalt. För att inrätta en horisontell regulatorisk sandlåda för AI krävs flera myndigheters inblandning, dels för att kunna ge korrekt stöd och vägledning, dels för att kunna utöva tillsyn i den regulatoriska sandlådan för AI. Vidare är syftet med de regulatoriska sandlådorna bl.a. att de ska främja innovation och möjliggöra för AI-system att komma in på marknaden. För att utveckla, träna, testa och validera ett innovativt AI-system i en regulatorisk sandlåda för AI behöver en leverantör eller en potentiell leverantör, i förekommande fall tillsammans med en tillhandahållare eller potentiell tillhandahållare, ansöka till en regulatorisk sandlåda för AI och upprätta en sandlådeplan. Uppgift- erna blir då i regel allmänna handlingar och det finns inte några sekretessbestämmelser som särskilt omfattar verksamheten som kommer att bedrivas i regulatoriska sandlådor för AI. Utan ett sekretesskydd i en regulatorisk sandlåda kan företag och myndig- heter vara obenägna att använda sig av sandlådan för att testa AI- system. Utredningens målsättning i denna del är att lämna förslag om in- rättandet av en regulatorisk sandlåda för AI som kan fungera såväl horisontellt som vertikalt och som bidrar till syftet att främja inno- vation och konkurrenskraft. Avsikten är också att förslagen ska ske med beaktande av små- och medelstora företags, inbegripet uppstarts- företags, intressen och behov. 747 Konsekvensutredning SOU 2025:101 Alternativa lösningar, utredningens förslag till lösningar och nollalternativet Utredningen har lämnat förslag på en struktur som möjliggör inrät- tandet av en horisontell eller vertikal regulatorisk sandlåda för AI. Den föreslagna lösningen innebär att en myndighet utses till inrättande myndighet med ett övergripande ansvar för att organisera och driva sandlådan. Enligt förslaget ska andra nationella behöriga myndigheter med marknadskontrollansvar medverka i specifika sandlådeprojekt när dessa berör deras respektive ansvarsområden enligt AI-förord- ningen. Fördelen med utredningens förslag är att både horisontell tillgänglighet och nödvändig expertis inom olika sektorer kan säker- ställas. Strukturen möjliggör också att sandlådan kan vara öppen för alla sektorer, men att vägledning och tillsyn i det enskilda projektet kan ges av den myndighet som har bäst kunskaper inom området (se avsnitt 12.6.2–12.6.6). En alternativ lösning som utredningen har övervägt är att en en- sam myndighet ska kunna inrätta en horisontell sandlåda utan att be- höva involvera andra myndigheter. Detta har dock ansetts otillräck- ligt eftersom en sådan myndighet inte kan ge kvalificerad vägledning inom alla sektorer. En annan alternativ lösning som har övervägts har varit att alla nationella behöriga myndigheter ska ges ansvar att inrätta och driva en regulatorisk sandlåda tillsammans. Nackdelen med det förslaget är dock att samtliga myndigheter måste vara aktiva i någon utsträckning, vilket inte alltid är nödvändigt eller effektivt. Det skulle dessutom skapa oklarheter kring ansvarsfördelning. Ytterligare en alternativ lösning som utredningen har övervägt är en ordning där en inrättande myndighet får förelägga andra myndigheter att delta i sandlådan. Detta alternativ har utredningen emellertid bedömt som problematiskt i förhållande till myndigheternas självständighet enligt regeringsformen. Den lösning som utredningen föreslår är därför att en inrättande myndighet har huvudansvaret samtidigt som andra myn- digheter medverkar i de projekt där deras sektorsspecifika kunskaper behövs (se avsnitt 12.6.5). Vad avser frågan om samverkan har utredningen föreslagit att den inrättande myndigheten ska ha en skyldighet att informera myndig- heter vars ansvarsområde avses i artikel 57.10 i AI-förordningen om att ett specifikt sandlådeprojekt kan beröra deras ansvarsområde. Därefter ska myndigheten bedöma om AI-systemet omfattas av 748 SOU 2025:101 Konsekvensutredning dess ansvarsområde och, i så fall, medverka i det specifika sandlåde- projektet. En alternativ lösning som utredningen har övervägt har varit att i författning uttryckligen ange vilka myndigheter som om- fattas av artikel 57.10. Detta förslag är dock inte lämpligt eftersom det är svårt att upprätthålla en aktuell och fullständig förteckning. Utredningen har också övervägt nollalternativet i denna del, dvs. att enbart förlita sig på den generella samverkansskyldigheten i 8 § FL. Detta har dock bedömts som otillräckligt för att säkerställa den för- djupade samverkan som utredningen anser krävs enligt AI-förord- ningen (se avsnitt 12.6.8). Utredningen har föreslagit att PTS ska vara den myndighet som ska inrätta och organisera driften av minst en regulatorisk sandlåda för AI. De bärande skälen är att PTS redan har flera uppdrag inom det digitala decenniet och att utredningen föreslår att myndigheten ska få ett övergripande ansvar för AI-förordningen, genom rollen som marknadskontrollmyndighet med huvudsakligt ansvar för AI- förordningen och ha rollen som samordnande marknadskontroll- myndighet. Andra alternativa lösningar som har övervägts är att IMY, Läkemedelsverket eller Finansinspektionen ska utses till en inrätt- ande myndighet. Detta eftersom dessa myndigheter har erfarenhet av relevans för rollen som inrättande myndighet av en regulatorisk sandlåda för AI (se avsnitt 12.6.9). Vidare har utredningen lämnat förslag och presenterat alternativa lösningar vad avser en samordningsfunktion för en regulatorisk sand- låda för AI (se avsnitt 12.6.10) och avgifter för regulatoriska sandlådor (se avsnitt 12.6.11). För att regulatoriska sandlådor för AI ska få den innovationsfrämjande effekt som är avsedd i AI-förordningen så har utredningen även gjort överväganden om alternativa lösningar och lämnat förslag om införandet av nya sekretessbestämmelser i OSL (se avsnitt 12.8.1–12.8.3). Utredningens nollalternativ skulle vara att inte lämna några för- fattningsförslag om inrättandet av en regulatorisk sandlåda för AI. Av AI-förordningen följer dock att medlemsstaterna ska säkerställa att deras behöriga myndigheter inrättar minst en regulatorisk sand- låda för AI som ska vara i drift senast den 2 augusti 2026. Nollalterna- tivet har därför inte varit ett möjligt alternativ för utredningen. 749 Konsekvensutredning SOU 2025:101 16.5 Aktörer som berörs av förslagen Utredningens förslag berör framför allt de elva statliga myndigheter som enligt utredningens förslag ska utses till marknadskontrollmyn- digheter (se kapitel 6). Utredningens förslag berör också de två myn- digheter som enligt utredningens förslag ska utses till anmälande myndigheter. Förslagen om befogenheter och ingripanden (kapitel 10) berör också framför allt operatörer, dvs. leverantörer, produkttillverkare, tillhandahållare, ombud, importörer och distributörer av AI-system, som omfattas av skyldigheter enligt AI-förordningen. Det är dock inte möjligt för utredningen att uppskatta hur många fysiska eller juridiska personer som berörs av förslagen i egenskap av operatörer. Utredningens förslag om ingripanden berör också anmälda organ. Förslagen berör dessutom myndigheter i deras egenskap av opera- törer. Förslagen berör även domstolarna vad avser beslut som kan överklagas till allmän förvaltningsdomstol och i fråga om påförande av sanktionsavgifter. 16.6 Konsekvenser för marknadskontrollmyndigheter 16.6.1 Konsekvensanalyser på annat håll Kommissionen har i sin egen konsekvensutredning om AI-förord- ningen bedömt att de ansvariga myndigheterna kommer behöva för- stärka sina finansiella och personella resurser, sin expertis och kompe- tens inom AI-området, inbegripet grundläggande rättigheter och säkerhetsrisker kopplade till AI. Myndigheternas tillsyn bedöms kunna bygga på nuvarande ordning, t.ex. när det gäller organ för bedömning av överensstämmelser eller marknadsövervakning, men skulle kräva tillräcklig teknisk expertis. Beroende på medlemsstatens storlek och befintliga strukturer kan enligt kommissionen resurs- behovet variera från 1–25 årsarbetskrafter per medlemsstat.6 I en proposition avseende genomförandet av AI-förordningen i Finland anges att myndigheterna uppskattar resursbehoven till sammanlagt 44,5 årsarbetskrafter och cirka 825 000 euro för andra kostnader. Det sammanlagda resursbehovet bedöms uppgå till cirka 4,8 miljoner euro per år. Under själva uppbyggnadsfasen upp- 6 Konsekvensanalysen, s. 55 och 75. 750 SOU 2025:101 Konsekvensutredning skattas kostnaderna till 1,5 årsarbetskrafter och 1,76 miljoner euro, sammanlagt cirka 1,9 miljoner euro. Det konstateras i propositionen att resursbehoven i Finland är avsevärt större än kommissionens uppskattningar av konsekvenserna för medlemsstaterna.7 Det bör dock noteras att den finska propositionen endast avser en viss del av genomförandet av AI-förordningen. T.ex. ingår inte några förslag om inrättandet av regulatoriska sandlådor för AI. Det initiala behov i årsarbetskrafter som utredningen bedömer att de föreslagna marknadskontrollmyndigheterna sammantaget behöver med anledning av förslagen uppgår till cirka 60 årsarbets- krafter. Utredningens bedömning av de nationella behöriga myn- digheternas initiala resursbehov med anledning av den föreslagna ansvarsfördelningen är därför betydligt högre jämfört med kom- missionens konsekvensanalys. Kommissionens konsekvensanalys är dock från 2021 och avsåg inte den slutliga utformningen av för- ordningen. 16.6.2 Utgångspunkt från ansvarsfördelningen Det är utredningens bedömning att förslaget till fördelning av ansvar för uppgifterna enligt AI-förordningen kommer att få ekonomiska konsekvenser för marknadskontrollmyndigheterna. Med hänsyn till de osäkerhetsfaktorer som finns är det emellertid svårt att bedöma nivån på dessa konsekvenser för respektive föreslagen marknadskon- trollmyndighet. Trots denna utmaning har utredningen att göra en bedömning av de ekonomiska behov som väntas uppstå, i vilken ut- sträckning behoven kan tillgodoses inom befintliga ramar och i vilken utsträckning finansiering krävs. Utredningen gör en sammantagen bedömning som tar avstamp i hur många skyldigheter som varje myndighet föreslås få enligt utredningens förslag. I kapitel 6 före- slås att PTS utses till marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen. Även IMY föreslås få ett omfattande ansvar för AI-förordningen medan Finansinspektionens föreslås få ansvar för vissa områden. När behovet av nya resurser ska bedömas bör det beaktas att det kan finnas samordningsfördelar med myndigheternas befintliga verk- samheter. Myndigheterna i fråga bedriver redan i sin nuvarande verk- 7 RP 46/2025 rd., s. 106. 751 Konsekvensutredning SOU 2025:101 samhet tillsynsarbete inom flera sakområden som har beröringspunk- ter med AI-förordningen. Myndigheterna har tillgång till personal med juridisk, teknisk och annan relevant kompetens, som kan skalas upp genom exempelvis nyrekrytering. De kan utgöra en resurs vid marknadskontroll och processföring. Ingen av dessa myndigheter har dock för närvarande tillräckliga resurser som kan användas i tillsynsuppdraget som följer av den an- svarsfördelning som utredningen föreslår. Varken IMY eller Finans- inspektionen är sedan tidigare marknadskontrollmyndigheter. De uppdrag som föreslås ges till PTS, IMY och Finansinspektionen kommer att få budgetära konsekvenser för samtliga myndigheter i varierande grad. En utgångspunkt är att resursbehovet normalt sett är större under själva uppbyggnadsfasen av ett nytt tillsynsområde som i fallet med AI-förordningen jämfört med vad som sen kommer krävas i den för- valtande fasen. Om PTS, IMY och Finansinspektionen, som alla före- slås få ett större ansvar som marknadskontrollmyndigheter, inte får tillräckliga resurser för uppbyggnadsfasen så kan denna fas komma att ta lång tid. Det skulle få negativa konsekvenser för myndigheter- nas marknadskontroll enligt AI-förordningen. Framför allt under uppbyggnadsfasen kommer myndigheterna att behöva öka kompetensen om den nya regleringen, hur marknads- kontrollen av AI-system ska utföras och i olika utsträckning behöva rekrytera personal med relevanta kompetenser på AI-området. Efter- som AI-området är under snabb utveckling kan det också förväntas att uppbyggnadsfasen kommer att pågå längre jämfört med vad som är normalt. Myndigheterna kommer eventuellt också att behöva arbeta fram nya föreskrifter. De kommer även att behöva arbeta med extern kommunikation och vägledning om AI-förordningen utifrån sitt respektive ansvarsområde, ha dialoger med branschorganisationer, genomföra en översyn av möjligheterna till avgiftsuttag, se över in- terna rutiner samt ha löpande kontakter med övriga berörda myndig- heter och relevanta marknadsaktörer. Dessutom tillkommer i de flesta fall ett internationellt arbete, i såväl formella som informella arbets- grupper, med att ta fram kompletterande reglering och vägledningar samt erfarenhetsutbyte m.m. Vidare föreslår utredningen i kapitel 6 att Arbetsmiljöverket, Bo- verket, Elsäkerhetsverket, Kemikalieinspektionen, Konsumentverket, Läkemedelsverket, MSB och Transportstyrelsen ska utses till mark- 752 SOU 2025:101 Konsekvensutredning nadskontrollmyndigheter. För de flesta av dessa myndigheter kommer omfattningen av uppdraget som marknadskontrollmyndighet enligt AI-förordningen troligen – i vart fall initialt – att vara begränsat. Ut- redningens förslag kan ändå förväntas innebära ett visst ökat resurs- behov för dessa myndigheter. Det gäller särskilt för Läkemedelsverket med anledning av den omfattande utvecklingen av AI-lösningar på det medicintekniska området (se närmare i avsnitt 16.6.5). Utredningens bedömningar när det gäller de ekonomiska konse- kvenserna av förslagen är, som framgått, uppskattningar förenade med flera osäkerhetsfaktorer. Utredningen utesluter därför inte att kost- naderna kan falla ut på annat sätt och utgår från att berörda marknads- kontrollmyndigheter kan komma att belysa frågan inom ramen för den sedvanliga budgetprocessen. Utredningen bedömer också att resursbehovet redan har uppstått eftersom de nationella behöriga myndigheterna skulle ha utsetts senast den 2 augusti 2025. Detta gör att myndigheterna redan nu behöver förbereda sig inför uppdragen. Vissa bestämmelser i AI- förordningen började också gälla redan den 2 februari 2025. Efterhand, när marknadskontrollen har pågått under en tid, finns det sannolikt bättre möjligheter att utvärdera ansvarsfördelningen mellan de föreslagna myndigheterna och avgöra om ytterligare resurser behöver tillföras samt hur dessa i så fall bör finansieras (se även av- snitt 16.15). 16.6.3 Marknadskontroll av AI-system är något nytt De föreslagna marknadskontrollmyndigheternas ökade resursbehov vad avser bl.a. kompetenshöjande åtgärder om AI beror bl.a. på att marknadskontroll av AI-system är något nytt och att det saknas praktisk erfarenhet av området (se närmare i avsnitt 6.3.5). Kommerskollegium har i en artikel publicerad 2023 konstaterat att marknadskontroll av mjukvarubaserade produkter inte kommer att likna den klassiska och nuvarande marknadskontrollen av pro- dukter. Föränderligheten i mjukvarubaserade produkter gör bl.a. att det är betydligt mer utmanande för såväl företag som myndigheter att följa, kontrollera och verifiera vad som händer med produkters egenskaper över tid. Det får till följd att det krävs större fokus på 753 Konsekvensutredning SOU 2025:101 livscykelperspektivet i tillsynen eftersom digitala produkter alltid kommer att ändras över tid.8 I en rapport publicerad 2025 har forskare vid RISE gjort en kom- parativ studie mellan testning av AI-system och traditionell testning av mjukvara.9 I rapporten drar forskarna slutsatsen att testning av ett AI-system i flera avseenden avviker från traditionell testning av mjukvara och att testning av AI-system kräver AI-expertis på grund av de unika utmaningar som AI-system medför. AI-system kan inte testas effektivt med konventionella mjukvarutestningsmetoder. AI- system måste bl.a. utvärderas för rättvisa, förklarbarhet och robust- het, vilket innebär att testningen måste kunna hantera komplexa och dynamiska förändringar i systemets beteende. För att göra detta krävs enligt rapporten en djup förståelse för datavetenskap, maskininlärn- ingsarkitekturer och modellinterpretabilitet. En renodlad mjukvaru- testningsorienterad metod är otillräcklig eftersom AI-system kräver en djupare förståelse för deras lärandeprocesser och beslutsfattande mekanismer. AI-tester måste bl.a. kunna validera datakvalitet, genom- föra både s.k. white box- och black box-testning samt utföra system- nivåtestning för att säkerställa att AI-system uppfyller regulatoriska krav. Sammanfattningsvis kommer marknadskontroll och testning av AI-system att vara komplext och avvika från den klassiska marknads- kontrollen av produkter. Det medför att helt nya krav kommer att ställas på kompetensen hos marknadskontrollmyndigheterna för att kunna utföra marknadskontroll av AI-system. De marknadskontroll- myndigheter som föreslås få ett större ansvar för AI-förordningen kommer därför ha ett stort behov av kompetenshöjande åtgärder och olika behov av nyrekrytering. Generellt sett saknar de föreslagna marknadskontrollmyndigheterna i dag personal med tillräcklig AI- expertis för att kunna genomföra marknadskontroll av AI-system. Det finns i dagsläget dessutom en begränsad kompetent arbets- kraft inom AI-området, både i Sverige och inom EU, och det är stor konkurrens om denna arbetskraft (se avsnitt 6.4.2). Att rekrytera personal med tillräcklig kompetens kan därför förväntas bli kostsamt. 8 Innovation, AI, Technical Regulation and Trade, Questioning the Invisible Hand in the Digital Economy, Kommerskollegium, 2023. 9 Testing AI in relation to Traditional Software Testing: A Comparative Overview, Kabir Fahria and Nishat Mowla, RISE Report 2025:40. 754 SOU 2025:101 Konsekvensutredning 16.6.4 Finansiering När det gäller frågan om hur det ökade resursbehovet ska finansi- eras så saknar AI-förordningen en uttrycklig möjlighet att inrätta finansieringsmekanismer baserade på en avgift vid marknadskontroll enligt AI-förordningen. Inom marknadskontrollområdet finns möjlighet för marknads- kontrollmyndigheterna att ta ut avgifter för kontrollen av de pro- dukter som omfattas av de unionsrättsakter som anges i bilaga I till EU:s marknadskontrollförordning. Utredningen har också bedömt att det generella bemyndigandet i lagen (2014:140) med bemyndig- ande att meddela vissa föreskrifter om marknadskontroll av varor och annan närliggande tillsyn gör det möjligt för regeringen eller den myndighet som regeringen bestämmer att föreskriva om avgifter för marknadskontrollen av AI-system (se avsnitt 10.2.4). I vilken utsträckning befintliga marknadskontrollmyndigheter finansierar marknadskontrollen genom att ta ut avgifter av ekono- miska aktörer varierar stort. Transportstyrelsen kan t.ex. ta ut av- gifter vid marknadskontroll inom järnvägs-, luftfarts, sjöfarts- och vägtrafikområdet.10 Kemikalieinspektionen kan också ta ut avgifter i vissa fall vid marknadskontrollen enligt vad som följer av förord- ningen (1998:940) om avgifter för prövning och tillsyn enligt miljö- balken. Däremot tar t.ex. inte PTS eller Konsumentverket ut avgifter vid marknadskontroll enligt radioutrustningslagen (2016:392) respek- tive lagen (2011:579) om leksakers säkerhet. På längre sikt bör där- för marknadskontrollen av AI-system i vart fall delvis kunna finan- sieras genom avgiftsuttag. De avgifter som marknadskontrollmyndigheterna ska kunna ta ut av operatörer omfattar dock inte kostnader för bl.a. kompetens- höjande åtgärder och nyrekrytering, vilket myndigheterna kommer att ha i olika grad initialt sett. Dessutom är ärendemängden för myn- digheterna i ett initialt skede svår att förutse och vilket behov av att finansiera marknadskontrollen genom avgifter som faktiskt kommer föreligga. Utredningens bedömning är att erfarenheten av marknads- kontrollen av AI-system på sikt kan ge ett underlag för fortsatta överväganden om i vilken utsträckning myndigheterna bör kunna finansiera marknadskontrollen genom ett avgiftsuttag. 10 TSFS 2024:78 Transportstyrelsens föreskrifter om avgifter. 755 Konsekvensutredning SOU 2025:101 Utredningen har även föreslagit att PTS ska få möjlighet att ta ut avgifter för regulatoriska sandlådor för AI. AI-förordningen be- gränsar emellertid sådant avgiftsuttag på så sätt att små och medel- stora företag ska ha gratis tillgång till regulatoriska sandlådor för AI. Avgifter får alltså endast tas ut av andra leverantörer än små och medel- stora företag. Dessutom är syftet med sandlådorna framför allt att ge små och medelstora företag tillgång till regulatorisk vägledning. Ut- redningen bedömer därför att avgifterna endast till viss del kan finan- siera driften och organisationen av regulatoriska sandlådor för AI. Sammanfattningsvis är utredningens bedömning att finansiering huvudsakligen behöver ske via anslag, åtminstone till dess en utvärder- ing kan göras utifrån de parametrar som blivit kända genom tillämp- ning av AI-förordningen. Utredningen har mot bakgrund av ovan- stående inom ramen för det här uppdraget ingen möjlighet att föreslå annan finansiering än utökade anslag för de föreslagna marknads- kontrollmyndigheterna. 16.6.5 Bedömning Konsekvenser för PTS Utredningens bedömning: Förslagen innebär utökade och nya arbetsuppgifter för PTS. Det medför initialt ett ökat finansierings- behov motsvarande 35 miljoner kronor för år 2026 och 68 miljoner kronor årligen från 2027. Finansieringen bör, åtminstone initialt, ske genom att myndig- hetens anslag ökas. Utredningens förslag innebär att PTS ska utses till marknadskontroll- myndighet med huvudsakligt ansvar för AI-förordningen. PTS kom- mer därför få ett omfattande ansvar för marknadskontroll enligt AI- förordningen. Ansvaret kommer att sträcka sig över alla samhällets sektorer. Ansvaret som marknadskontrollmyndighet kommer att om- fatta flera högriskområden (punkterna 2, 3, 4, 5 a och 5 d i bilaga III), kravet på AI-kunnighet i artikel 4 och de flesta transparensskyldig- heterna enligt artikel 50. Dessutom kommer PTS ha ett visst ansvar vad avser de förbjudna AI-användningsområden enligt artikel 5. PTS kommer också ha ett övergripande ansvar för att ge vägledning och 756 SOU 2025:101 Konsekvensutredning genomföra medvetandehöjande åtgärder gentemot andra myndig- heter, operatörer och andra aktörer. Behovet av vägledning bedöms som stort, i synnerhet vad avser små och medelstora företag. PTS föreslås även utses till samordnande marknadskontrollmyn- dighet för AI-förordningen och vara gemensam kontaktpunkt enligt artikel 70.2 i AI-förordningen. PTS ska i den rollen ansvara för att säkerställa samordning på nationell nivå och bidra till en effektiv och konsekvent marknadskontroll enligt AI-förordningen. Vidare ska PTS enligt utredningens förslag ansvara för att AI- system med hög risk inom området kritisk infrastruktur (punkten 2 i bilaga III) registreras enligt artikel 49.5 i AI-förordningen. Således kommer PTS behöva inrätta en databas eller annan lösning för att informationen om dessa AI-system ska finnas dokumenterat på ett strukturerat sätt. Utredningen föreslår också att PTS ska ansvara för att inrätta minst en regulatorisk sandlåda för AI. Enligt utredningens förslag ska den regulatoriska sandlådan fungera både horisontellt och vertikalt, där andra nationella behöriga myndigheter med marknads- kontrollansvar kan behöva medverka i specifika sandlådeprojekt. Även om PTS har erfarenhet av marknadskontroll och har ett brett ansvar för flera unionsrättsakter inom det digitala decenniet så innebär utredningens förslag utökade och flera nya arbetsuppgifter för myndigheten. PTS saknar också erfarenhet av att inrätta, utveckla och sköta driften av en regulatorisk sandlåda eller motsvarande inno- vationsmiljö. PTS har också för utredningen uppgett att myndighet- ens bedömning är att användningen av AI inom myndighetens före- slagna ansvarsområden kommer att öka i snabb takt, vilket medför att behovet av marknadskontroll kommer att öka. Initialt behöver samordningsuppdraget förberedas och etableras, metodstöd behöver utarbetas tillsammans med övriga marknadskon- trollmyndigheter och formerna för samordningsfunktionen utarbetas. Efter det initiala skedet kommer det löpande samordningsuppdraget att kontinuerligt kräva resurser och eventuellt öka. Till detta kommer uppdragen att inrätta ett system för registrering av AI-system med hög risk inom området kritisk infrastruktur och att inrätta, utveckla och sköta driften av en regulatorisk sandlåda för AI. Alla dessa upp- gifter kommer att kräva att PTS har personal med en hög grad av tekniska och juridiska kunskaper om AI. PTS kommer även att behöva ökade resurser för arbete med stan- darder, riktlinjer och vägledningar m.m. PTS har för utredningen 757 Konsekvensutredning SOU 2025:101 uppgett att det är av yttersta vikt att tillräckliga resurser ges för kunskapshöjande insatser för att undvika att innovation hämmas inom AI-området. Enligt utredningens förslag ska PTS få ta ut avgifter för verksam- heten i den regulatoriska sandlådan för AI. Undantag ska gälla för små- och medelstora företag inbegripet uppstartsföretag. Utred- ningen anser därför att det är förenat med stor osäkerhet i vilken utsträckning som den regulatoriska sandlådan faktiskt kan finansieras genom avgifter. Detta särskilt som små och medelstora företag, in- begripet uppstartsföretag, ska ha prioriterad tillgång till regulatoriska sandlådor för AI. Dessutom kommer PTS initialt att ha behov av finansiering för inrättandet och organiseringen av den föreslagna regulatoriska sandlådan för AI. Finansiering kommer därefter också att behövas för själva upprätthållandet och driften av sandlådan som sådan. Dessa delar kommer inte att kunna finansieras genom avgifter. PTS har också för utredningen uppgett att det inte är sannolikt att någon del av det tillkommande ansvaret kan finansieras genom av- gifter annat än marginellt. Enligt PTS bör dessutom ett eventuellt avgiftsuttag vad avser marknadskontrollen m.m. harmoniseras på europeisk nivå. För rollen som marknadskontrollmyndighet med huvudsakligt ansvar för AI-förordningen, samordnande marknadskontrollmyndig- het, gemensam kontaktpunkt, ansvaret för att inrätta en regulatorisk sandlåda för AI och ansvaret för nationell registrering av AI-system med hög risk inom området kritisk infrastruktur, krävs resurser för nyrekrytering och en omfattande kompetensuppbyggnad. För dessa ansvarsområden kommer PTS även behöva utveckla eller upphandla nya stödsystem och andra lösningar. PTS har för utredningen uppgett att myndigheten också har ambitionen att självt nyttja AI för mark- nadskontrollen och för det innovationsfrämjande uppdraget, vilket också kommer att medföra utvecklingskostnader. På längre sikt kom- mer PTS även att ha behov av att ta in externa konsulter och andra tjänster för bl.a. driften av den regulatoriska sandlådan för AI och för spetskompetens inom AI. PTS resursbehov kan också komma att påverkas av det faktum att kommissionen genom att anta delegerade akter kan ändra bilaga III genom att lägga till eller ändra användningsfall för AI-system med högrisk under vissa förutsättningar (artikel 7). Enligt utredningens 758 SOU 2025:101 Konsekvensutredning förslag ska PTS nämligen, som huvudsakligt ansvarig marknadskon- trollmyndighet, ansvara för eventuellt tillkommande användningsfall. Vidare innebär utredningens förslag att PTS får ett ansvar att ut- öva marknadskontroll över AI-system som är relaterade till produkter som omfattas av EU:s radioutrustningsdirektiv, som omfattas av bilaga IA till AI-förordningen. Enligt utredningens bedömning med- för detta ansvar ett visst ytterligare resursbehov för PTS. PTS har för utredningen uppgett att myndigheten i sin egen be- dömning av resursbehovet inte har sett möjlighet att finansiera upp- gifterna via befintliga medel. Myndigheten anser att erfarenheter från liknande uppdrag kan vara till stöd under uppbyggnadsfasen, men att resurser inte kan omfördelas. Enligt PTS kommer också den kompe- tens som kommer krävas för det föreslagna ansvaret som marknads- kontrollmyndighet sannolikt att vara eftersökt på marknaden och ha ett högre kostnadsläge än det normala. Utredningen gör mot bakgrund av det ovanstående och under- lag från PTS den sammantagna bedömningen att cirka 38 årsarbets- krafter krävs från och med 2027 för uppdragets genomförande men anser samtidigt att den bedömningen är förenad med stor osäkerhet. Resursbehovet kan inte finansieras inom befintlig ram och myndig- heten beräknas initialt behöva tillföras 35 miljoner kronor för år 2026 och med en permanent ökning av anslaget med 68 miljoner kronor från och med 2027. Konsekvenser för IMY Utredningens bedömning: Förslagen innebär utökade och nya arbetsuppgifter för Integritetsskyddsmyndigheten. Det medför initialt ett ökat finansieringsbehov med – 5 miljoner kronor år 2026 – 12 miljoner kronor år 2027 – 17 miljoner kronor år 2028 Finansieringen bör, åtminstone initialt, ske genom att myndig- hetens anslag ökas. 759 Konsekvensutredning SOU 2025:101 Utredningens förslag innebär att IMY kommer att ges ett omfattande ansvar som marknadskontrollmyndighet för AI-förordningen. An- svaret kommer att sträcka sig över i princip alla samhällets sektorer. Ansvaret som marknadskontrollmyndighet kommer att omfatta flera högriskområden (punkterna 1, 5 b, 6, 7 och 8 i bilaga III), ett huvud- sakligt ansvar för de förbjudna AI-användningsområdena i artikel 5 samt ett visst ansvar för transparensskyldigheterna i artikel 50. IMY ska enligt utredningens förslag även fungera som anmält organ enligt AI-förordningen. Dessutom kan myndigheten komma att behöva medverka i specifika sandlådeprojekt i regulatoriska sandlådor för AI mot bakgrund av artikel 57.10 i AI-förordningen. IMY utövar redan i dag tillsyn inom dataskyddsområdet, vilket har tydliga beröringspunkter med AI-förordningen. Eftersom IMY tidigt kunde se att AI-förordningen indirekt pekar ut myndigheten i flera avseenden har myndigheten redan börjat förbereda sig inför vad den rollen kan komma att innebära (artikel 74.8).11 I myndighet- ens årsredovisning för 2024 framgår bl.a. att myndigheten har tillsatt en arbetsgrupp som analyserar och hanterar olika delar av AI-förord- ningen samt att myndigheten genomfört särskilda utbildningsinsatser för chefer och medarbetare för att höja kunskapen om AI och de nya krav som ställs i AI-förordningen.12 Enligt utredningens bedömning är IMY därför väl rustat för det ansvar för AI-förordningen som ut- redningen föreslår att myndigheten ska få. Genom de utbildnings- insatser som IMY har vidtagit får också förutsättas att myndigheten i viss utsträckning redan har AI-kompetent personal. Samtidigt innebär utredningens förslag både utökade och flera nya arbetsuppgifter för IMY. Flera av de nya uppgifterna är också av en karaktär som myndigheten tidigare inte har utfört, vilket skapar ett behov av verksamhetsutveckling. IMY saknar tidigare erfarenhet av att bedriva marknadskontroll och tillsyn inom produktsäkerhets- området. I rollen som marknadskontrollmyndighet kommer IMY också få nya och utökade befogenheter. Dessutom ska enligt utred- ningens bedömning IMY ingå i marknadskontrollrådet. Vad gäller vissa uppgifter kommer inte IMY heller självt att råda över uppgiftens omfattning eller ärendeflödets storlek, särskilt vad gäller den före- slagna regulatoriska sandlådan för AI. Det är också omöjligt att upp- 11 Se https://www.imy.se/om-oss/aktuellt-fran-oss/imy-och-ai/ (hämtad 2025-04-21). 12 Integritetsskyddsmyndighetens årsredovisning 2024, s. 53. 760 SOU 2025:101 Konsekvensutredning skatta antalet projekt i den regulatoriska sandlådan för AI där IMY kommer att behöva medverka. Enligt utredningens bedömning kommer myndigheten därför att ha behov av förstärkning i form av fortsatt kompetensuppbyggnad och viss nyrekrytering. IMY har för utredningen uppgett att myndig- heten har en förhoppning om att kunna hålla låga metodutvecklings- kostnader genom att lära av andra myndigheter och dra erfarenheter av myndighetens vana att arbeta med tillsyn och omfattande ärende- hantering. Utredningen gör mot bakgrund av det ovanstående och underlag från IMY den sammantagna bedömningen att cirka 5 årsarbetskrafter krävs initialt för uppdragets genomförande men vill betona att be- dömningen är förenad med stor osäkerhet. Resursbehovet kan inte finansieras inom befintlig ram och myndigheten beräknas initialt be- höva tillföras 34 miljoner kronor under åren 2026 – 2028. I denna upp- skattning är IMY:s behov av anslag med anledning av promemorian Ds 2025:7 Polisens användning av AI för ansiktsigenkänning i realtid inte inkluderat. I promemorian föreslås IMY få 3 miljoner kronor år- ligen från 2027.13 Konsekvenser för Finansinspektionen Utredningens bedömning: Förslagen innebär utökade och nya arbetsuppgifter för Finansinspektionen. Det medför initialt ett ökat finansieringsbehov motsvarande 6 miljoner kronor per år från 2026. Finansieringen bör, åtminstone initialt, ske genom att myndig- hetens anslag ökas. Utredningens förslag innebär att Finansinspektionen kommer få ett förhållandevis stort ansvar som marknadskontrollmyndighet för AI-förordningen. Ansvaret som marknadskontrollmyndighet kom- mer att omfatta AI-system med hög risk som är avsedda att användas för att utvärdera fysiska personers kreditvärdighet eller fastställa deras kreditbetyg inom myndighetens område för tillsyn, regelgivning, till- ståndsprövning och registrering som rör finansiella marknader och 13 Ds 2025:7 Polisens användning av AI för ansiktsigenkänning i realtid, s. 144. 761 Konsekvensutredning SOU 2025:101 finansiella företag (punkten 5 b i bilaga III). Ansvaret kommer också att omfatta AI-system med hög risk som används inom området för liv- och sjukförsäkringar (punkten 5 c i bilaga III). Finansinspek- tionen ska även ansvara för att kontrollera att operatörer inom myn- dighetens ansvarsområden kopplat till bilaga III i AI-förordningen inte överträder de förbjudna AI-användningsområdena enligt artikel 5. I enlighet med utredningens förslag kommer Finansinspektionen också att behöva samverka med PTS i vissa sandlådeprojekt i den regulatoriska sandlådan för AI. Finansinspektionen är en myndighet med erfarenhet av tillsyn på finansområdet. Finansområdet är ett område som till stora delar styrs av EU-regleringar och Finansinspektionen har omfattande erfaren- het av arbete på EU-nivå. Finanssektorn är också i hög grad digitali- serad och inom finanssektorn har olika AI-tekniker använts under lång tid. Finansinspektionen har mot den bakgrunden byggt upp en god kunskap kring digitalisering, data och AI. Finansinspektionen har sedan 2017 ett innovationscenter som har i uppdrag att analysera innovationer och den digitala utvecklingen inom finanssektorn, och ska även bedöma riskerna med utvecklingen. Utredningen anser även att det finns samordningsvinster eftersom Finansinspektionen redan är tillsynsmyndighet över närliggande unionsrättsakter, bl.a. enligt NIS-lagen för sektorerna bankverksamhet och finansmarknadsinfra- struktur. Finansinspektionen föreslås få fortsatt ansvar för dessa om- råden enligt NIS 2-direktivet.14 Enligt utredningens bedömning kan Finansinspektionen därför anses vara väl förberett för det ansvar över AI-förordningen som utredningen föreslår att myndigheten ska få. Även om Finansinspektionen redan har omfattande erfarenhet av tillsyn inom det finansiella området och över EU-rättsakter samt goda kunskaper inom AI-området, så innebär utredningens förslag utökade och nya arbetsuppgifter för myndigheten. Finansinspektionen saknar särskilt erfarenhet av att utöva marknadskontroll. I rollen som mark- nadskontrollmyndighet kommer Finansinspektionen få delvis nya och utökade befogenheter. Dessutom har utredningen bedömt att Finansinspektionen bör ingå i marknadskontrollrådet. Enligt utred- ningens bedömning kommer myndigheten därför vara i behov av fortsatt kompetensuppbyggnad och viss nyrekrytering. 14 Lagrådsremissen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag, s. 118 f. 762 SOU 2025:101 Konsekvensutredning Finansinspektionen har för utredningen uppgett att myndigheten inte har några möjligheter att omfördela resurser från annan del av myndighetens verksamhet med anledning av utredningens förslag. Finansinspektionen kommer själv att behöva bygga upp den AI-kom- petens som krävs för att hantera de komplicerade ärenden som upp- kommer inom de föreslagna ansvarsområdena, och avsätta resurser för det. Utredningen gör mot bakgrund av det ovanstående och under- lag från Finansinspektionen den sammantagna bedömningen att cirka 4 årsarbetskrafter krävs initialt för uppdragets genomförande men vill betona att bedömningen är förenad med stor osäkerhet. Resursbehovet kan inte finansieras inom befintlig ram och myndig- heten beräknas initialt behöva tillföras 6 miljoner kronor per år. Finansinspektionen har för utredningen uppgett att myndigheten inte ser att någon del av det föreslagna ansvaret enligt AI-förord- ningen kan finansieras genom avgifter. Konsekvenser för Läkemedelsverket Utredningens bedömning: Förslagen innebär utökade och nya arbetsuppgifter för Läkemedelsverket. Det medför initialt ett ökat finansieringsbehov motsvarande 6 miljoner kronor per år från 2026. Finansieringen bör, åtminstone initialt, ske genom att myndig- hetens anslag ökas. Enligt utredningens förslag ska Läkemedelsverket få ansvar att utöva marknadskontroll över AI-system med hög risk inom sitt ansvars- område för EU:s förordningar om medicintekniska produkter. Läke- medelsverket föreslås också utses till anmälande myndighet enligt AI-förordningen vad avser EU:s förordningar om medicintekniska produkter (se närmare i avsnitt 16.7). Läkemedelsverket utgör redan både marknadskontrollmyndighet och anmälande myndighet vad avser produkter som omfattas av EU:s förordningar om medicintekniska produkter. Det finns därför tydliga samordningsvinster utifrån Läkemedelsverkets befintliga ansvar. Enligt en vägledning från Läkemedelsverket om användning av AI i svensk sjukvård kan AI tillämpas inom ett brett spektrum av 763 Konsekvensutredning SOU 2025:101 processer i sjukvården. Utvecklingen är också snabb inom fältet varför fler potentiella AI-applikationer förväntas tillkomma i rask takt.15 Den växande användningen av AI-applikationer inom det medicintekniska området kan förväntas påverka omfattningen av Läkemedelsverkets marknadskontroll av AI-system med hög risk som omfattas av AI-förordningen. Enligt utredningen innebär förslaget ett visst ökat resursbehov för Läkemedelsverket initialt sett. Myndigheten kommer att behöva förbereda uppdraget som marknadskontrollmyndighet över AI- för ordningen på det medicintekniska området. Läkemedelsverket kommer att ha behov av kompetensuppbyggnad och viss nyrekry- tering. Utredningen bedömer också att resursbehovet för Läkemedels- verket är mer omfattande initialt jämfört med de andra myndigheter som föreslås få ansvar för marknadskontroll av AI-system inom sina befintliga ansvarsområden vad avser de unionsrättsakter som anges i bilaga IA till AI-förordningen. Det beror på den redan omfattande och växande användningen av AI-lösningar inom det medicintekniska området. Det uppdrag som utredningen föreslår att Läkemedelsverket ska få som anmälande myndighet avser att utse och övervaka anmälda organ beträffande AI-system med hög risk relaterade till produkter som omfattas av EU:s förordningar om medicintekniska produkter, dvs inom myndighetens befintliga ansvarsområde som anmälande myndighet. För närvarande finns dock endast två anmälda organ på det medicintekniska området. I dagsläget har inte heller några befint- liga organ anmält intresse om att vara anmält organ enligt AI-förord- ningen. För rollen som anmälande myndighet får Läkemedelsverket därför anses ha endast ett mindre resursbehov initialt sett, främst vad avser kompetenshöjande åtgärder (se närmare i avsnitt 16.7). Läkemedelsverket har för utredningen uppgett att myndigheten uppskattar det initiala resursbehovet till cirka 12,8 miljoner kronor och de löpande, årliga kostnaderna till cirka 17,2 miljoner kronor från 2027. Enligt Läkemedelsverket avser de initiala kostnaderna bl.a. kostnader för kompetensutveckling, nyrekryteringar och informa- tionsinsatser. Faktorer som enligt Läkemedelsverket kan påverka de löpande, årliga kostnaderna är bl.a. frekvensen i tillsynen, behovet av externa konsulter och behovet av nya samt uppdaterade IT-system. 15 Läkemedelsverket, Vägledning rörande användning av artificiell intelligens i svensk sjukvård, 12 september 2023, s. 5. 764 SOU 2025:101 Konsekvensutredning Enligt utredningens bedömning får Läkemedelsverkets kostnadsupp- skattning anses vara väl tilltagen. Även om antalet AI-applikationer redan är omfattande och stadigt växande inom det medicintekniska området så anser utredningen att Läkemedelsverket inte kan anses vara i behov av en så pass hög ramanslagshöjning som myndigheten har bedömt. Tillämpningen av AI-förordningen i egenskap av mark- nadskontrollmyndighet kommer också att aktualiseras för Läke- medelsverket först från och med den 2 augusti 2027 (artikel 113 c). Sammantaget gör utredningen bedömningen att cirka 4 årsarbets- krafter får anses vara tillräckligt för uppdragets genomförande initialt sett. Bedömningen är dock förenad med stor osäkerhet. Resursbe- hovet för ansvaret som marknadskontrollmyndighet kan inte finan- sieras inom befintlig ram och myndigheten beräknas initialt behöva tillföras 6 miljoner kronor per år. För ansvaret som anmälande myn- dighet bedömer dock utredningen att det initiala resursbehovet kan finansieras inom befintlig ram (se även avsnitt 16.7). Erfarenheten av rollen som dels marknadskontrollmyndighet, dels anmälande myndighet enligt AI-förordningen kan på sikt ge underlag för fortsatta överväganden om Läkemedelsverkets framtida behov av anslag. I vilken utsträckning Läkemedelsverket kan finansiera ansvaret som marknadskontrollmyndighet enligt AI-förordningen genom av- giftsuttag är dock högst osäkert. Läkemedelsverket tar för närvarande inte ut avgifter vid marknadskontrollen av medicintekniska produkter som omfattas av EU:s förordningar av medicintekniska produkter. I fråga om konsekvenserna för anmälande myndigheter har ut- redningen gjort överväganden i avsnitt 16.7 med utgångspunkt från ansvarsfördelningen och resonerat om behovet av finansiering för Swedac och Läkemedelsverket. Konsekvenser för övriga myndigheter enligt bilaga IA Utredningens bedömning: Förslagen kommer att innebära något utökade och delvis nya arbetsuppgifter för Arbetsmiljöverket, Boverket, Elsäkerhetsverket, Kemikalieinspektionen, Konsument- verket, MSB och Transportstyrelsen. Det medför initialt ett ökat finansieringsbehov motsvarande 2 miljoner kronor per år från 2026 för respektive myndighet. 765 Konsekvensutredning SOU 2025:101 Finansieringen bör, åtminstone initialt, ske genom att myndig- heternas anslag ökas. Utredningens förslag innebär att Arbetsmiljöverket, Boverket, El- säkerhetsverket, Kemikalieinspektionen, Konsumentverket, Läke- medelsverket, MSB, PTS och Transportstyrelsen får ansvar att utöva marknadskontroll över AI-system inom sina respektive ansvarsom- råden i unionsrättsakterna som omfattas av bilaga IA till AI-förord- ningen. I fråga om PTS och Läkemedelsverket har utredningen ovan gjort samlade överväganden om de ekonomiska konsekvenserna för dessa myndigheter. Nedanstående överväganden avser därför Arbets- miljöverket, Boverket, Elsäkerhetsverket, Kemikalieinspektionen, Konsumentverket, MSB och Transportstyrelsen. Samtliga dessa myndigheter utövar redan i dag marknadskontroll inom de områden där utredningen nu föreslår att myndigheterna också ska utöva marknadskontroll över AI-system som omfattas av AI-förordningen. Det finns därför tydliga samordningsvinster uti- från myndigheternas befintliga marknadskontrollansvar. Samtidigt kommer det ansvar som utredningen föreslår att myn- digheterna ska få att kräva en hög kompetens om AI-förordningen och om AI-teknik, vilket antagligen inte finns för närvarande vid myndigheterna. Detta för att kunna bedöma om kraven och skyldig- heterna i AI-förordningen är uppfyllda. Flera av myndigheterna har befintlig personal med hög kompetens för att bedöma mekaniska och fysiska risker vad avser produkter. Risker kopplade till AI-system ställer andra krav på personalens kompetens. Utredningen gör därför bedömningen att förslagen innebär ett visst ökat resursbehov för myndigheterna i fråga. Myndigheterna kommer att behöva förbereda uppdraget som marknadskontroll- myndighet enligt AI-förordningen. De kommer därför ha behov av kompetensuppbyggnad och flera av myndigheterna kan behöva re- krytera ny personal. Myndigheterna kommer också i viss utsträck- ning behöva delta när samordningsfunktionen som PTS ansvarar för ska utarbetas. Hur stora kostnaderna blir för dessa myndigheter är enligt utred- ningen förenade med stora osäkerhetsfaktorer. Det är särskilt svårt att förutse hur stort antal ärenden dessa myndigheter kommer be- höva hantera. För närvarande är det förhållandevis ovanligt med AI- system som utgör säkerhetskomponenter i produkter eller där AI- 766 SOU 2025:101 Konsekvensutredning system i sig utgör produkter inom de sektorer där dessa myndigheter utövar marknadskontroll, t.ex. leksaker och personlig skyddsutrust- ning. Därtill kommer tillämpningen av AI-förordningen att aktuali- seras för dessa myndigheter först från och med den 2 augusti 2027 (artikel 113 c). Utredningens sammantagna bedömning är att cirka 1 till 2 års- arbetskrafter krävs initialt sett för dessa myndigheters uppdrag från 2026 men vill betona att bedömningen är förenad med stor osäkerhet. Resursbehovet kan inte finansieras inom myndigheternas befintliga ram och de behöver initialt tillföras två miljoner kronor per år. Vid denna bedömning har utredningen beaktat underlag från myndighet- erna om resursbehovet med anledning av den föreslagna ansvarsför- delningen. Utredningens bedömning är samtidigt att erfarenheten av mark- nadskontrollen på sikt kan ge underlag för fortsatta överväganden om dessa myndigheters behov av ökade anslag. Finansieringen av myndig- heternas marknadskontroll kan i viss utsträckning också komma att täckas genom avgiftsuttag, vilket skulle minska behovet av att öka anslagen. 16.7 Konsekvenser för anmälande myndigheter 16.7.1 Utgångspunkt från ansvarsfördelningen Det är utredningens bedömning att förslaget till fördelning av ansvar för uppgifterna enligt AI-förordningen kommer att få vissa ekonom- iska konsekvenser för de anmälande myndigheterna. Med hänsyn till de osäkerhetsfaktorer som finns är det emellertid svårt att bedöma nivån på dessa konsekvenser för de två myndigheter som föreslås utses till anmälande myndigheter. Trots denna utmaning har utred- ningen att göra en bedömning av de ekonomiska behov som väntas uppstå, i vilken utsträckning behoven kan tillgodoses inom befintliga ramar och i vilken utsträckning finansiering krävs. Utredningen gör en sammantagen bedömning som tar avstamp i ansvarsfördelningen mellan de två föreslagna anmälande myndigheterna. I kapitel 7 be- dömer utredningen att Swedac ska vara anmälande myndighet och att styrelsen ska bedöma och övervaka anmälda organ enligt AI-förord- ningen genom ackreditering. I det kapitlet föreslås att även Läke- medelsverket ska vara anmälande myndighet och att verket ska utse 767 Konsekvensutredning SOU 2025:101 och anmäla organ för AI-system med hög risk som är relaterade till produkter som omfattas av EU:s förordningar om medicintekniska produkter. När behovet av nya resurser ska bedömas bör det beaktas att det kan finnas samordningsfördelar med myndigheternas befintliga verk- samheter. Swedac och Läkemedelsverket är de två befintliga anmäl- ande myndigheterna i Sverige. Myndigheterna har därför en organi- sation och personal med kompetens om såväl anmälandeförfaranden som tillämpning av unionsrättslig reglering. Dessa befintliga kompe- tenser kommer myndigheterna att kunna använda i förhållande till det ansvar som myndigheterna föreslås få som anmälande myndig- heter enligt AI-förordningen. Det är enligt utredningen oklart hur många anmälda organ enligt AI-förordningen som kan komma att utses och som myndigheterna kommer behöva utöva tillsyn över. Utredningens bedömning är att myndigheterna för närvarande får anses ha resurser som vid behov kan användas i tillsynsuppdraget. Samtidigt kommer myndigheterna att behöva förbereda uppdraget som anmälande myndighet enligt AI- förordningen. Det medför behov av kompetenshöjande åtgärder inom AI-området. Utredningen bedömer också att myndigheternas resursbehov redan har uppstått eftersom de nationella behöriga myndigheterna, vilka inkluderar de anmälande myndigheterna, skulle ha utsetts senast den 2 augusti 2025. Detta gör att myndigheterna redan nu behöver förbereda sig inför uppdragen. Utredningens bedömningar vad gäller de ekonomiska konsekvens- erna för Swedac och Läkemedelsverket är dock uppskattningar som är förenade med flera osäkerhetsfaktorer. Utredningen utesluter därför inte att kostnaderna kan falla ut på annat sätt och utgår från att myndigheterna kan komma att belysa frågan inom ramen för den sedvanliga budgetprocessen. Efterhand, när det har blivit mer klarlagt hur många anmälda organ som aktualiseras avseende AI-förordningen, finns sannolikt bättre möjligheter att utvärdera om ytterligare resurser behöver till- föras samt hur dessa i så fall bör finansieras (se även avsnitt 16.15). I avsnitt 16.6.5 presenterar utredningen sin bedömning av de samlade ekonomiska konsekvenserna för Läkemedelsverket med an- ledning av att myndigheten föreslås utses till både marknadskontroll- 768 SOU 2025:101 Konsekvensutredning myndighet och anmälande myndighet enligt AI-förordningen. De ekonomiska konsekvenserna för Swedac redovisas nedan. 16.7.2 Finansiering När det gäller frågan om hur det ökade resursbehovet ska finansieras så gäller enligt 20 § i lagen om ackreditering och teknisk kontroll att ackrediterade organ, eller andra organ som bedöms enligt lagen, ska betala en avgift till Swedac för att täcka kostnaderna för ackredi- tering, tillsyn och bedömning. Av 16 § förordningen (2011:811) om ackreditering och teknisk kontroll följer samtidigt att Swedac får meddela föreskrifter om de avgifter för ackreditering, bedömning och tillsyn som avses i lagen om ackreditering och teknisk kontroll. Swedac har utfärdat föreskrifter om avgifter för ackreditering. Dessa föreskrifter reglerar de närmare kostnaderna för ackreditering, be- dömning och tillsyn av organ som är eller ansöker om ackreditering. Föreskrifterna finns i Swedacs författningssamling (STAFS).16 För ansökan om att utses till anmält organ m.m. enligt lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter så ska en avgift enligt 4 kap. 1 § i samma lag betalas. Anmälda organ som har utsetts av Läkemedels- verket ska enligt 4 kap. 2 § också betala en årsavgift. En avgift ska även betalas till Läkemedelsverket av ett anmält organ som begär yttranden eller rådgivning av myndigheten, enligt 4 kap. 3 §. De närmare föreskrifterna om avgifter finns i förordningen (2021:988) om avgifter i ärenden om medicintekniska produkter. Av Swedacs årsredovisning för 2024 följer att ackrediteringen i förhållandevis stor utsträckning finansieras genom avgifter men att myndigheten fortfarande är i behov av anslag för den del av verk- samheten som avser ackreditering.17 Av Läkemedelsverkets årsredo- visning för 2024 framgår att myndighetens verksamhet vad avser ärenden om medicintekniska produkter finansieras till största delen av avgifter och bidrag men också till viss del genom anslag.18 Enligt utredningens bedömning bör därför ackrediteringen, be- dömningen och tillsynen av anmälda organ enligt AI-förordningen, 16 Se t.ex. Styrelsen för ackreditering och teknisk kontrolls föreskrifter (STAFS 2022:14) om avgifter för ackrediterade organ m.m. 17 Swedacs årsredovisning 2024, s. 38. 18 Läkemedelsverkets årsredovisning 2024, s. 114. 769 Konsekvensutredning SOU 2025:101 som görs av Swedac, i förhållandevis stor utsträckning kunna finan- sieras genom avgiftsuttag. Läkemedelsverkets befintliga möjligheter att ta ut avgifter enligt lagen med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter och förordningen om avgifter i ärenden om medicintekniska produkter omfattar emel- lertid inte att ta ut avgifter inom ramen för Läkemedelsverkets före- slagna uppdrag som anmälande myndighet enligt AI-förordningen. Utredningen har som närmare framgår av kapitel 2 behövt be- gränsa de frågor som utredningen kan lämna förslag och överväg- anden kring. Utredningen har därför inte lämnat några förslag om att Läkemedelsverket ska kunna ta ut avgifter till följd av myndig- hetens förslagna uppdrag som anmälande myndighet enligt AI-för- ordningen. Detta innebär att utredningen, inom ramen för det här uppdraget, inte har någon möjlighet att föreslå annan finansiering än anslag vad avser Läkemedelsverkets föreslagna uppdrag som an- mälande myndighet enligt AI-förordningen. Vidare är Swedac respektive Läkemedelsverkets befintliga roll som anmälande myndighet i sig anslagsfinansierad. Myndigheterna saknar mandat för att ta ut avgifter för uppgiften som anmälande myndighet. Sammantaget bedömer utredningen följande. Bedömningen av ett anmält organs kompetens och tillsynen av dessa föreslås ske genom ackreditering som är avgiftsfinansierad, varför någon ytter- ligare finansiering inte krävs i den delen. Vad gäller Swedacs uppgifter i övrigt är dessa finansierade genom anslag. 16.7.3 Konsekvenser för Swedac Utredningens bedömning: Förslagen förväntas leda till något ökade kostnader för Swedac. Kostnadsökningarna bedöms i vart fall initialt kunna hanteras inom befintligt ramanslag. Utredningens förslag innebär att Swedac kommer att utses till an- mälande myndighet enligt AI-förordningen på samtliga områden, förutom på det medicintekniska området. Ansvaret kan komma att sträcka sig över alla samhällets sektorer med anledning av AI-för- ordningens breda tillämpning. Samtidigt är det osäkert hur många anmälda organ som kan bli aktuella avseende AI-förordningen. 770 SOU 2025:101 Konsekvensutredning Utredningen har föreslagit att IMY – i sin roll som marknadskontroll- myndighet som avses i artikel 74.8 – ska fungera som anmält organ enligt AI-förordningen. IMY ska dock enligt utredningens bedöm- ning inte stå under tillsyn av Swedac inom ramen för Swedacs roll som anmälande myndighet (se avsnitt 7.5.5). Swedac har redan en generell befogenhet som anmälande myndig- het i Sverige. Det enda undantaget gäller för organ för bedömning av överensstämmelse som utses och anmäls enligt EU:s förordningar om medicintekniska produkter. Swedac har arbetat med frågor om ackreditering sedan 1989. Swedac är även centralt samordningskontor i Sverige för marknadskontroll och leder marknadskontrollrådet. Genom Swedacs funktioner som anmälande myndighet, ackrediter- ingsorgan, tillsynsmyndighet samt samordnare för marknadskon- trollen i Sverige besitter Swedac redan bred erfarenhet och kunskap i sådana frågor som kommer aktualiseras i rollen som anmälande myn- dighet enligt AI-förordningen. Genom Swedacs myndighetsdagar 2024 har myndigheten också haft fokus på digitalisering och där- igenom ökat kunskapen om digitaliseringens möjligheter bland be- fintliga medarbetare.19 Enligt utredningens bedömning kan Swedac därför anses vara väl förberett för det ansvar över AI-förordningen som utredningen föreslår att myndigheten ska få. För rollen som den huvudsakliga an- mälande myndigheten kommer Swedac ändå att behöva vissa resurser för framför allt kompetensuppbyggnad inom AI-området. Swedac har också för utredningen uppgett att myndigheten ser ett potentiellt ökat resursbehov för samordningen och samverkan med de andra föreslagna myndigheterna. Som utredningen har konstaterat ovan kommer ackrediteringen, bedömningen och tillsynen av anmälda organ enligt AI-förordningen i förhållandevis stor utsträckning kunna finansieras genom avgifts- uttag. De avgifter som Swedac bör kunna ta ut av anmälda organ enligt AI-förordningen omfattar dock inte de kostnader för kompetens- höjande åtgärder som myndigheten kommer att ha initialt sett. Utredningen gör mot denna bakgrund bedömningen att Swedacs initiala resursbehov kan finansieras inom befintlig ram. Bedömningen är dock förenad med stor osäkerhet. Detta beror särskilt på att det är oklart hur många anmälda organ som det kan bli fråga om avseende AI-förordningen. 19 Swedacs årsredovisning 2024, s. 12. 771 Konsekvensutredning SOU 2025:101 Erfarenheten av uppdraget som anmälande myndighet enligt AI- förordningen kan på sikt ge underlag för fortsatta överväganden om i vilken utsträckning Swedac kan ha behov av ett ökat ramanslag. 16.8 Konsekvenser för företagen 16.8.1 Ekonomiska konsekvenser Utredningens bedömning: Förslagen kan medföra vissa ökade kostnader och administrativa bördor för enskilda företag som ut- gör operatörer enligt AI-förordningen. Konsekvensanalys i andra sammanhang AI-förordningen innehåller ett stort antal olika krav och skyldig- heter för operatörer av AI-system. Operatör definieras som en leverantör, en produkttillverkare, en tillhandahållare, ett ombud, en importör eller en distributör (artikel 3.8). AI-förordningen har också en bred tillämpning och kommer att träffa i princip alla sam- hällets sektorer. Vilka företag som kommer att omfattas av AI-för- ordningen och vilka åtgärder som de ska vidta är i allt väsentligt en följd av förordningens utformning. Det får anses stå klart att AI-för- ordningen kommer att innebära ökade kostnader och administrativa bördor för alla företag som kommer att utgöra operatörer, om deras AI-system träffas av förordningens bestämmelser. Kommissionen har uppskattat att utgifterna för de företag som omfattas av AI-förordningen vad avser AI-system med hög risk kommer att uppgå till högst cirka 6 000–7 000 euro för varje AI- system. Det bedöms motsvara cirka 4–5 procent av den genomsnitt- liga utvecklingskostnaden för ett AI-system (cirka 170 000 euro). Dessa kostnader avser dock endast mjukvaran som sådan och kost- naderna bedöms bli betydligt högre om AI-systemet är integrerad i hårdvara. Samtidigt bedömer kommissionen att endast 5–15 procent av alla AI-tillämpningar kommer omfattas av skyldigheterna som gäller systemen med hög risk. Enligt kommissionens uppskattning kommer den totala kostnaden för företagen i EU vad avser AI-system med hög risk att uppgå till 100–500 miljoner euro år 2025. För AI- system med hög risk som utgör säkerhetskomponenter i produkter 772 SOU 2025:101 Konsekvensutredning bedöms det också tillkomma kostnader för tredjepartsbedömning med cirka 3 000–7 500 euro per system.20 I en proposition som avser viss del av genomförandet av AI-för- ordningen i Finland framhålls att fullgörandet av skyldigheterna i förordningen kan orsaka företagen kostnader och en administrativ börda. Det kan höja tröskeln för att släppa ut AI-system på mark- naden och viljan att skapa nya affärsverksamheter. I propositionen hänvisas det till en utredning som det finska Arbets- och närings- ministeriet låtit göra där ministeriet kunde se att storleken på sank- tionsavgifterna som följer av AI-förordningen upplevs som ett hot. Samtidigt framhävs betydelsen av att företag är medvetna om vad de får och inte får göra.21 Konsekvenser av utredningens förslag De förslag som utredningen lämnar i detta betänkande om utseendet av marknadskontrollmyndigheter och anmälande myndigheter antas i sig inte medföra några direkta ekonomiska konsekvenser för opera- törer. Som utredningen har belyst ovan är det framför allt konse- kvenserna av att behöva efterleva kraven och skyldigheterna i AI-för- ordningen som kommer att medföra ökade kostnader för de företag som kommer att träffas av AI-förordningen. Hybridmodellen vad gäller ansvarsfördelningen mellan marknads- kontrollmyndigheterna kan förväntas bidra till en effektiv och förut- sebar marknadskontroll för operatörer. Begränsningen av antalet marknadskontrollmyndigheter förväntas både förenkla operatörers kontakter med myndigheterna och minska antalet sådana kontakter. Om regeringen eller marknadskontrollmyndigheterna meddelar föreskrifter om avgifter vid marknadskontrollen av AI-system som omfattas av AI-förordningen (se avsnitt 10.2.4) så kommer det på sikt att få ekonomiska konsekvenser för de operatörer som blir föremål för dessa avgifter. Vidare har utredningen föreslagit att en inrättande myndighet ska få ta ut avgifter för medverkan i regulatoriska sandlådor för AI, med undantag för små- och medelstora företag, inbegripet uppstartsföretag (se avsnitt 12.6.11). Enligt utredningen kan större företags eventuella 20 Konsekvensanalysen, s. 67 f. 21 RP 46/2025 rd., s. 113. 773 Konsekvensutredning SOU 2025:101 projekt i sandlådan därför medföra kostnader. Samtidigt är syftet med de regulatoriska sandlådorna för AI att främja innovation och konkurrenskraft för i första hand små och medelstora företag samt uppstartsföretag. Mest troligt kommer större företags deltagande i regulatoriska sandlådor för AI att vara begränsat. Större företag har som utgångspunkt ekonomiska förutsättningar att finansiera utveck- ling, träning, testning och validering av AI-system på andra sätt än genom regulatoriska sandlådor. Eftersom utredningen inte lämnar några förslag på avgiftsnivåer för medverkan i projekt i regulatoriska sandlådor för AI så är det i nuläget inte möjligt att kvantifiera kost- nadspåverkan för företagen i detta avseende. När det gäller kravet på att anmäla AI-system med hög risk inom området kritisk infrastruktur (punkten 2 i bilaga III) kan skyldig- heten att göra en anmälan, bl.a. med hänvisning till vilken arbetstid som kan komma i fråga för att genomföra denna åtgärd, generellt sett endast bli fråga om mindre kostnader för operatörer inom detta område. Eftersom det inte är möjligt att i nuläget uppskatta hur många företag som kommer att omfattas av denna skyldighet och hur omfattande anmälningsskyldigheten kommer vara så kan inte utredningen kvantifiera kostnadspåverkan för företagen i detta av- seende. Utredningen har också föreslagit att anmälda organs beslut enligt AI-förordningen ska få överklagas till allmän förvaltningsdomstol och att det anmälda organet i dessa fall ska vara motpart i domstolen. Enligt utredningen kan detta komma att medföra en viss kostnads- påverkan för de företag som kommer utgöra anmälda organ enligt AI-förordningen. Det är dock inte möjligt att i nuläget kvantifiera denna kostnadspåverkan eftersom det för närvarande är osäkert hur många företag som kommer utses till anmälda organ enligt AI-för- ordningen och hur många ärenden som kan tänkas komma att över- klagas till förvaltningsdomstolarna. 774 SOU 2025:101 Konsekvensutredning 16.8.2 Andra relevanta konsekvenser Konsekvenser för konkurrensen Ansvarsfördelningen mellan marknadskontrollmyndigheterna och konsekvenser för konkurrensen Att marknadskontrollen enligt AI-förordningen till stor del centrali- seras till PTS kan leda till mer enhetliga och förutsägbara beslut vid marknadskontroll enligt AI-förordningen. Även IMY föreslås få ett stort ansvar enligt AI-förordningen. Detta minskar risken för att företag i liknande situationer behandlas olika beroende på vilken myndighet som utövar marknadskontroll, vilket annars kan sned- vrida konkurrensen. Genom att samla marknadskontrollansvaret hos PTS som en huvudsakligt ansvarig myndighet minskar också risken för att företag utsätts för parallella eller motstridiga beslut från olika myndigheter. Detta kan annars leda till ökade kostnader och osäkerhet för företagen och särskilt missgynna mindre företag, vilket skulle påverka konkurrensen på marknaden negativt. Vidare kan en större, central myndighet som PTS bygga upp re- surser och kompetens inom AI, vilket kan leda till effektivare och snabbare processer vid marknadskontrollen. Det kan minska tiden för företag att få klarhet i frågor om marknadskontroll och därmed minska osäkerheten om utvecklingen och användningen av AI-lös- ningar, vilket är positivt för konkurrensen. Flera andra medlemsstater överväger också en liknande modell som den utredningen föreslår, där en myndighet får ett huvudsakligt ansvar för AI-förordningen. Utredningens förslag kan därför under- lätta för svenska företag att konkurrera på unionsmarknaden, genom att kontrollen blir mer likartad över nationsgränserna. Samtidigt kommer PTS, i vart fall i det initiala skedet, att sakna sektorsspecifik kunskap inom flera av de högriskområden som ut- redningen föreslår att myndigheten ska ansvara för. Det finns därför en risk för att PTS riktar in sin marknadskontroll på de sektorer där myndigheten redan har goda kunskaper om, så som högriskområdet kritisk infrastruktur (bilaga III, punkten 2 till AI-förordningen). Det kan snedvrida konkurrensen till nackdel för företag inom de sektorer där PTS är van att utöva tillsyn inom, som blir föremål för en mer intensiv marknadskontroll avseende AI-förordningen jämfört med företag i andra sektorer. 775 Konsekvensutredning SOU 2025:101 Genom att PTS kommer att sakna mer djupgående sektorsspecifik kunskap om vissa branscher eller AI-system riskerar också marknads- kontrollen att bli mindre träffsäker och korrekt inom vissa områden. Företag inom dessa sektorer kan missgynnas om kontrollen inte tar tillräcklig hänsyn till sektorsspecifika förutsättningar. Det kan sned- vrida konkurrensen till fördel för aktörer i de sektorer där PTS har en bättre förståelse. Enligt utredningen kommer PTS därför att behöva samarbeta i stor utsträckning med olika sektorsspecifika myndigheter samt vara transparent mot marknaden om hur marknadskontrollen fördelar sig mellan olika sektorer och områden. Det finns också en risk för att ett huvudsakligt ansvar för en myn- dighet som PTS föreslås få, kan resultera i långsamma och ineffektiva tillsynsprocesser. Det kan försena företags möjligheter att lansera och använda nya AI-lösningar, vilket kan hämma konkurrensen för särskilt små företag, inbegripet uppstartsföretag. Denna risk kan mildras genom att PTS får ett omfattande utökat anslag för bl.a. kompetenshöjande åtgärder och nyrekryteringar (se närmare i av- snitt 16.6.5). Regulatoriska sandlådor för AI och snedvridning av konkurrensen Utredningens förslag om en struktur som möjliggör inrättandet av en horisontell regulatorisk sandlåda för AI (se avsnitt 12.6.2–12.6.6) kan påverka konkurrensförhållandena mellan företag på ett positivt sätt. En horisontell sandlåda kommer att innebära att företag oavsett sektor eller bransch kan ansöka om att delta, vilket kan främja en bredare konkurrens mellan företag och möjliggöra tvärsektoriell innovation. Det kan skapa en innovationsmiljö där olika typer av företag kan dra fördelar av vägledning och stöd av myndigheterna, vilket kan leda till ökad konkurrens mellan företag från olika sektorer. En alternativ lösning som utredningen har övervägt är att endast lämna förslag på inrättandet av minst en regulatorisk sandlåda som är vertikal. Detta skulle ha en negativ inverkan på konkurrensförhål- landena eftersom företag inom andra sektorer då inte skulle få samma möjlighet att testa och utveckla AI-system i en kontrollerad testmiljö. Att endast inrätta en sektorsspecifik regulatorisk sandlåda kan således hämma innovation och konkurrens på marknaden som helhet. 776 SOU 2025:101 Konsekvensutredning En vertikal sandlåda kan samtidigt innebära att de företag som är verksamma inom den aktuella sektorn får tillgång till mer specialiserad vägledning och stöd. Det är dock inte rimligt att anta att alla företag inom en sektor som ansöker till en sektorsspecifik sandlåda kommer få tillgång till sandlådan. De företag som antas till den sektorsspeci- fika sandlådan skulle därför få en konkurrensfördel inom sin sektor. Vidare har utredningen föreslagit att PTS ska få ansvar att inrätta, samordna och sköta driften av en regulatorisk sandlåda för AI (se av- snitt 12.6.9). PTS har sedan tidigare erfarenhet inom digital infra- struktur, cybersäkerhet och data. Detta kan bidra till att den horison- tella regulatoriska sandlådan för AI får en hög teknisk kvalitet. Det kan i sin tur skapa förtroende bland företagen och öka viljan att delta i sandlådan, vilket gynnar konkurrensen. Samtidigt finns det en risk för att PTS huvudsakligen prioriterar projekt inom sina ansvarsområden såsom kritisk infrastruktur i ur- valsprocessen för den regulatoriska sandlådan. Det kan leda till att företag inom andra sektorer får svårare att få tillgång sandlådan, vilket kan snedvrida konkurrensen mellan företag från olika sektorer. Ut- redningen ser särskilt denna risk när det gäller de högriskområden där andra marknadskontrollmyndigheter ska ansvara. Det skulle medföra att den horisontella sandlådan i praktiken blir en vertikal sandlåda. Enligt utredningen kommer det därför vara viktigt att PTS säkerställer transparens och likabehandling i urvalsprocessen. Det ska härvid noteras att frågan om hur denna urvalsprocess ska göras kan komma att påverkas av de genomförandeakter som kommissionen ska anta enligt artikel 58 i AI-förordningen. Utredningens förslag om nya bestämmelser om sekretess och tystnadsplikt med avseende på verksamheten inom regulatoriska sandlådor för AI kommer också att ha flera positiva effekter på kon- kurrensförhållandena (se avsnitt 12.8.2–12.8.4). Ett starkt sekretess- kydd för uppgifter om juridiska personers affärs- och driftförhåll- anden kommer att vara helt avgörande för att företag ska vilja delta i sandlådan, utan risk för att affärskritisk information röjs till konkur- renter eller allmänheten. Detta gäller särskilt för immateriella rättig- heter så som patenterbara uppfinningar, vilka kan utgöra kärnan i ett uppstartsföretags konkurrensfördel på marknaden. Det kommer också vara av vikt att företags företagshemligheter och know-how skyddas i den regulatoriska sandlådan. 777 Konsekvensutredning SOU 2025:101 Om företag inte kan förlita sig på att t.ex. uppfinningar och affärs- hemligheter skyddas i den regulatoriska sandlådan för AI kan de generellt sett förväntas avstå från att delta i sandlådan, vilket skulle hämma innovation och minska konkurrensen. Genom att införa sekretessbestämmelser med omvänt skaderekvisit för enskildas per- sonliga och ekonomiska förhållanden vad avser regulatoriska sand- lådor för AI, skapas förutsättningar för att företag tryggt kan utveckla och testa sina AI-system i sandlådan. Sekretesskyddet blir därför en förutsättning för att företag ska våga delta i projekt inom ramen för den regulatoriska sandlådan för AI. Konsekvenser av förslagen om samverkan och samordning mellan myndigheterna Utredningens förslag om en förstärkt samverkan och samordning mellan myndigheterna kan förväntas ha positiva effekter för opera- törer och andra berörda företag. Genom förslaget om en samordnande marknadskontrollmyndighet skapas en central kontaktpunkt för frågor och vägledning om AI-för- ordningen från myndighetshåll. Detta innebär att operatörer men även andra företag får en ”en-väg -in” till marknadskontrollmyndig- heterna, vilket minskar risken för oklarhet om var man kan vända sig med frågor (se avsnitt 9.5.4). En samlad portal eller digital kanal hos den samordnande marknadskontrollmyndigheten kan också underlätta för företag att på ett enkelt sätt hitta rätt information och vägledning om AI-förordningen. Det gäller särskilt för små och medelstora företag, inbegripet uppstartsföretag, som ofta har be- gränsade resurser för att navigera komplexa regelverk. En förstärkt samverkan och samordning mellan marknadskontroll- myndigheterna kan minska risken för motstridiga besked eller varier- ande tolkningar av AI-förordningen. Det bidrar till att företag får en mer likvärdig behandling oavsett vilken marknadskontrollmyndig- het som företagen är i kontakt med. Detta skapar mer lika konkur- rensvillkor på marknaden. Genom att marknadskontrollmyndigheterna delar information och expertis mellan sig kan också marknadskontrollen bli mer effek- tiv. Särskilt utredningens förslag om en samordnad hantering av överlappande ärenden (se avsnitt 9.5.2) kommer att minska risken för att samma AI-system granskas parallellt av flera myndigheter, 778 SOU 2025:101 Konsekvensutredning vilken annars riskerar att skapa onödig administration och osäkerhet för företag. Enligt utredningens förslag ska den samordnande marknadskon- trollmyndigheten också ansvara för att anordna medvetandehöjande åtgärder, utbildningar och generell vägledning om AI-förordningen (se avsnitt 9.5.4). Detta kommer att vara särskilt värdefullt för mindre företag och uppstartsföretag som behöver hjälp att förstå och efterleva regelverket, och som inte kommer ha samma ekonomiska resurser som större företag att lägga på konsulter m.m. Om samverkan och samordningen mellan marknadskontroll- myndigheterna inte fungerar smidigt kan det dock leda till att före- tagen drabbas av längre handläggningstider och mer byråkrati. Det kan finnas en risk för att frågor och ärenden kommer fastna i sam- ordningsprocesser mellan dessa myndigheter. Det kan fördröja viktiga beslut för företag som är beroende av snabba besked i utvecklingen av nya AI-lösningar. I uppbyggnadsfasen avseende samverkan mellan marknadskon- trollmyndigheterna kan det också förväntas uppstå osäkerhet om roller och ansvar, särskilt eftersom flera av myndigheterna saknar djup kompetens inom AI-teknik. Detta kan resultera i en inkonse- kvent marknadskontroll och vägledning under en övergångsperiod. Ett ökat informationsutbyte mellan myndigheterna kan i praktiken också leda till att företag lämnar ut känslig information till flera myn- digheter. Det kan skapa oro hos företag i fråga om bl.a. företags- hemligheter och know-how som företagen inte vill ska spridas vidare än strikt nödvändigt. En risk kan därför vara att vissa företag und- viker att vända sig till myndigheterna för vägledning om AI-förord- ningen vid utvecklingen av AI-system. Myndigheterna kommer där- för behöva vara transparenta gentemot företagen om hur ett enskilt företags information kan komma att delas med andra myndigheter. Konsekvenser av myndigheternas dubbla roller Enligt utredningens förslag ska PTS utses till marknadskontroll- myndighet med huvudsakligt ansvar för AI-förordningen. Samtidigt föreslås PTS inrätta och sköta driften av en regulatorisk sandlåda för AI, som ska främja innovation och konkurrenskraft. Utredningen ser att det kan finnas risk för att PTS kan hamna in en intressekonflikt 779 Konsekvensutredning SOU 2025:101 mellan sitt marknadskontrolluppdrag och sitt innovationsfrämjande uppdrag. Utredningens förslag innebär också att de andra föreslagna mark- nadskontrollmyndigheterna kan behöva involveras i specifika sand- lådeprojekt i den regulatoriska sandlådan för AI. Samtliga föreslagna marknadskontrollmyndigheter kan därför hamna i en intressekonflikt mellan att främja innovation och deras respektive uppdrag som mark- nadskontrollmyndighet. Det kan göra att företag upplever osäkerhet om t.ex. informa- tion som delas i ett specifikt sandlådeprojekt kan komma att an- vändas mot dem senare i ett marknadskontrollärende. Det skulle minska företags incitament att delta i projekt i den regulatoriska sandlådan för AI. Om företag upplever att myndigheterna inte tydligt kan särskilja sina roller, kan det leda till minskat förtroende och vilja att delta i projekt i den regulatoriska sandlådan, vilket skulle motverka syftet att främja innovation och konkurrenskraft. Enligt utredningen kom- mer särskilt PTS men även de andra föreslagna marknadskontroll- myndigheterna behöva överväga hur de ska organisera dessa olika funktioner och ha lämpliga rutiner för att hantera dessa funktioner. Utredningen har också föreslagit att IMY bl.a. ska fungera som anmält organ enligt AI-förordningen, vilket är en annan roll än den som marknadskontrollmyndighet. Dessa olika roller kan påverka före- tags vilja att vara transparenta och öppna med information när IMY ska göra en bedömning av överensstämmelse i egenskap av anmält organ. De olika roller som IMY föreslås inneha och har direkt enligt AI-förordningen kan därför medföra att myndigheten behöver göra överväganden om hur den ska organisera sina olika roller enligt AI- förordningen. Konsekvenser av marknadskontrollmyndigheternas befogenheter Utredningens förslag att marknadskontrollmyndigheterna ska till- delas befogenheter att besluta om åtgärder enligt artikel 14.4 i EU:s marknadskontrollförordning kan komma att ställa krav på operatörers medverkan. I vilken utsträckning som operatörers medverkan kom- mer att krävas beror dock på hur marknadskontrollmyndigheterna 780 SOU 2025:101 Konsekvensutredning väljer att utnyttja sina tilldelade befogenheter. Förslaget innebär också till viss del att företag påförs ytterligare krav som kan komma att medföra konsekvenser. Kostnaderna för att bistå marknadskon- trollmyndigheterna bör dock som utgångspunkt vara begränsade. Samtidigt kan en effektiv och ändamålsenlig marknadskontroll för- väntas gynna företag och leda till en förbättrad och rättvisare kon- kurrens inom de berörda sektorerna. Utredningens förslag i detta avseende följer den befintliga ordningen på marknadskontrollom- rådet. Av det skälet är regeringens konsekvensanalys vad avser kon- sekvenser för företagen i prop. 2021/22:238 relevant även här.22 Konsekvenser av bestämmelser om ingripanden Det följer av AI-förordningen att medlemsstaterna ska fastställa be- stämmelser om sanktioner och andra efterlevnadsåtgärder för över- trädelser av AI-förordningen. Utredningen föreslår därför att de nationella behöriga myndigheterna ska kunna ingripa genom före- lägganden med eller utan vite, anmärkning eller sanktionsavgift för att beivra överträdelser av AI-förordningen. För operatörer och anmälda organ som följer AI-förordningens bestämmelser kommer förslagen om ingripanden inte leda till några ökade kostnader. För operatörer och anmälda organ som brister i efterlevnaden av AI-förordningen kommer utredningens förslag om sanktionsavgifter att medföra ökade kostnader. En sanktionsavgift kan påverka före- tags likviditet, resultat och i förlängningen även deras konkurrens- kraft på marknaden. För mindre företag och uppstartsföretag kan en sanktionsavgift vara särskilt betungande och även hota verksamhetens fortlevnad. Utredningens förslag om sanktionsavgifter är dock ett resultat av de krav som ställs upp i AI-förordningen om att det ska finnas sanktionsavgifter för att säkerställa regelefterlevnad av förord- ningen. Samtidigt bör, i enlighet med utredningens förslag, anmärkning utgöra ett alternativt ingripande till sanktionsavgift vid överträdelser av AI-förordningen som är av mindre allvarlig karaktär. En anmärk- ning som ingripande innebär en betydligt mildare ekonomisk konse- kvens för ett företag jämfört med en sanktionsavgift. En anmärkning 22 Prop. 2021/22:238, s. 216 f. 781 Konsekvensutredning SOU 2025:101 blir en form av formell tillsägelse. Företaget slipper den omedelbara kostnaden som en sanktionsavgift innebär, vilket kan ha stor betydelse för små och medelstora företag. En anmärkning ger också företag möjlighet att åtgärda brister utan att direkt drabbas av en ekonomiskt betungande avgift. Det kan främja en mer lärande och utvecklingsinriktad regelefterlevnad. De nationella behöriga myndigheterna föreslås också kunna före- lägga vid vite vid utövandet av befogenheterna enligt artikel 14.4 i EU:s marknadskontrollförordning och befogenheterna som följer av AI-förordningen samt i fråga om alla överträdelser av AI-förord- ningen. Om ett företag inte följer ett vitesföreläggande kan vitet dömas ut, vilket skulle innebära ekonomiska konsekvenser för före- taget i fråga. För företagen kommer det därför innebära ett starkt incitament att omedelbart rätta sig efter myndighetens krav. 16.9 Konsekvenser för kommuner och regioner 16.9.1 Ekonomiska konsekvenser Utredningens bedömning: Förslagen förväntas inte leda till ökade kostnader för kommuner och regioner. Den kommunala finansieringsprincipen innebär att kommuner och regioner ska kompenseras för statligt beslutade åtgärder som direkt tar sikte på den kommunala verksamheten. Principen gäller när riks- dagen, regeringen eller en myndighet fattar bindande beslut om ändrade regler för verksamhet. Utredningens förslag på nationella bestämmelser som ska kom- plettera AI-förordningen innebär inte några skyldigheter eller med- för något ansvar för kommunerna eller regionerna. Förslagen innebär emellertid att kommunala- och regionala myndigheter ska omfattas av systemet med ingripanden (se avsnitt 10.8). Om en kommunal- eller regional myndighet brister i efterlevnaden av AI-förordningen kan de därför drabbas av kostnader i form av sanktionsavgifter (se avsnitt 10.8.1). Utredningen har samtidigt föreslagit att anmärkning ska kunna användas som ett alternativt ingripande till sanktionsav- gifter, vilket också föreslås vara tillämpligt gentemot kommunala och regionala myndigheter (se avsnitt 10.8.1). Sannolikt kommer det med- 782 SOU 2025:101 Konsekvensutredning föra att antalet beslut om sanktionsavgifter som behöver riktas mot kommunala och regionala myndigheter blir lägre. Sammantaget bedöms utredningens förslag inte innebära några kostnader som kräver ytterligare finansiering enligt den kommunala finansieringsprincipen. 16.9.2 Förslagens konsekvenser för det kommunala självstyret Utredningens bedömning: Förslagen har ingen påverkan på den kommunala självstyrelsen. Förslagen innebär inga förändringar av kommunala befogenheter eller skyldigheter, grunderna för kommunernas eller regionernas organisation eller verksamhetsformer. Förslagen medför således inga skyldigheter i förhållande till kommunerna eller regionerna. Enligt utredningens bedömning kan förslagen därför inte anses innebära några särskilda konsekvenser för den kommunala själv- styrelsen. 16.10 Konsekvenser för domstolarna Utredningens bedömning: Förslagen förväntas leda till något ökade kostnader för de allmänna förvaltningsdomstolarna. Kost- nadsökningarna bedöms i vart fall initialt kunna hanteras inom befintliga ekonomiska ramar. Utredningens förslag innebär att flera olika överklagbara beslut kan komma att fattas av framför allt de myndigheter som ska utöva mark- nadskontroll enligt AI-förordningen. Även beslut av anmälda organ kan komma att överklagas. Utredningen föreslår att en förvaltningsmyndighets beslut enligt AI-förordningen, kompletteringslagen eller föreskrifter som har meddelats i anslutning till lagen får överklagas till allmän förvaltnings- domstol (se avsnitt 14.3.3). Det är dock svårt att på förhand bedöma hur stort antal mål det kan bli fråga om. Utredningens förslag kan förväntas leda till ett visst ökat antal överklaganden av myndigheter- 783 Konsekvensutredning SOU 2025:101 nas beslut, i vart fall inledningsvis innan vägledande praxis etableras inom området. Vidare ska beslut av anmälda organ som inte är myndigheter också få överklagas till allmän förvaltningsdomstol (se avsnitt 14.3.4). Det är dock osäkert hur många anmälda organ som kommer finnas avse- ende AI-förordningen. Beslut av anmälda organ bedöms därför, i vart fall initialt sett, komma att överklagas endast i ett begränsat antal fall. Utredningen har också föreslagit att allmän förvaltningsdomstol ska pröva frågor om påförande av sanktionsavgift som första instans i vissa undantagsfall (se avsnitt 10.7.4). Även detta förslag kan tänkas komma att innebära en viss mindre måltillströmning till domstolarna. Sammantaget bedöms utredningens förslag innebära en något ökad måltillströmning till de allmänna förvaltningsdomstolarna och däri- genom något ökade kostnader för de allmänna förvaltningsdomstol- arna. Det är dock svårt att bedöma eventuella merkostnader för dom- stolarna eftersom det är osäkert hur stor måltillströmningen kommer att bli och målens komplexitet. Enligt utredningens bedömning bör de initiala kostnaderna för domstolarna rymmas inom befintliga an- slagsramar. Efterhand, när marknadskontrollen enligt AI-förord- ningen har pågått under en period kan det vara lämpligt att följa upp domstolarnas eventuellt ökade arbetsbörda till följd av förslagen. 16.11 Konsekvenser för andra myndigheter 16.11.1 Myndigheters medverkan i projekt i regulatoriska sandlådor för AI Utredningens förslag innebär att även andra tillsynsmyndigheter än nationella behöriga myndigheter kan komma att behöva medverka i specifika sandlådeprojekt inom ramen för den föreslagna regulator- iska sandlådan för AI när det specifika projektet gäller en viss myndig- hets ansvarsområde (se avsnitt 12.6.8). Detta kan medföra att dessa tillsynsmyndigheter kan behöva ha viss beredskap för medverkan i regulatoriska sandlådor för AI, främst i form av personalresurser med rätt kompetenser. Det skulle kunna innebära ökade kostnader för dessa myndigheter. Dessa tillkommande kostnader är dock inte möjliga att uppskatta i nuläget eftersom det är osäkert dels vilka myndigheter som kan komma att involveras, dels 784 SOU 2025:101 Konsekvensutredning hur många sandlådeprojekt som kommer att antas till den regulator- iska sandlådan för AI. 16.11.2 Konsekvenser för Polismyndigheten Polismyndigheten ska redan i dag enligt sektorslagarna till de unions- rättsakter som omfattas av EU:s marknadskontrollförordning lämna biträde åt marknadskontrollmyndigheter, främst för att få tillträde till lokaler och liknande i samband med inspektioner. Marknads- kontrollmyndigheterna som utredningen talat med har uppgett att möjligheten att begära Polismyndighetens hjälp sällan används. Ut- redningens förslag att Polismyndigheten på begäran av en marknads- kontrollmyndighet i vissa fall ska lämna den hjälp som behövs när marknadskontrollmyndigheten vidtar åtgärder enligt artikel 14.4 i EU:s marknadskontrollförordning bedöms därför inte medföra några nämnvärda ekonomiska konsekvenser för Polismyndighetens verksamhet (se avsnitt 10.2.3). 16.12 Övriga konsekvenser 16.12.1 Förslagens överensstämmelse med EU-rätten Utredningens bedömning: Förslagen syftar till att uppnå en effektiv, enhetlig och ändamålsenlig tillämpning av AI-förord- ningen. Förslagen bedöms förenliga med EU-rätten. Utredningens huvudsakliga uppdrag enligt direktiven har varit att analysera och lämna förslag på behovet av nationell anpassning med anledning av AI-förordningen. Utredningen bedömer att förslagen inte påverkar det materiella innehållet i AI-förordningen. Förslagen kan också genomföras utan att Sveriges förpliktelser enligt EU-rätten i övrigt påverkas. 785 Konsekvensutredning SOU 2025:101 16.12.2 Förslagens konsekvenser för jämställdheten Utredningens bedömning: Förslagen förväntas inte få några konsekvenser för jämställdheten mellan kvinnor och män. Utredningens förslag bedöms inte få några konsekvenser för jäm- ställdheten mellan kvinnor och män. Det är dock svårt att bedöma om förslagen i praktiken kommer att få några konkreta konsekvenser för jämställdheten och hur stora de i sådana fall kan bli. 16.13 Åtgärder som vidtagits för proportionalitet Här beskrivs åtgärder som utredningen har vidtagit för att förslagen inte ska medföra mer långtgående kostnader eller begränsningar än vad som bedöms vara nödvändigt för att uppnå dess syfte. Utredningen har bedrivits i nära samarbete med de experter som förordnats. Utredningen har haft ett stort antal möten och kontakter med, samt inhämtat synpunkter och upplysningar från, berörda myn- digheter, branschorganisationer, universitet och högskolor, företag och andra relevanta aktörer. Det har funnits en funktionsbrevlåda som har varit öppen för inspel från enskilda. Utredningen har även inhämtat information och kunskap samt rapporter från bl.a. berörda myndigheter och departement inom Regeringskansliet. Dessutom har utredningen tagit del av relevant forskning samt betänkanden från andra utred- ningar som analyserat frågor som är närliggande till utredningens uppdrag. Utredningen har inhämtat den information och dokumenta- tion som funnits tillgänglig om AI-förordningen. Utredningen har utifrån detta arbete övervägt olika alternativa lösningar och förslag. Genom de kontakter som tagits, inspel som utredningen fått från berörda aktörer samt expertgruppens möjlighet att ge synpunkter på utredningens förslag har det säkerställts att förslagen är propor- tionerliga. 786 SOU 2025:101 Konsekvensutredning 16.14 Ikraftträdande och informationsinsatser Av AI-förordningen följer att medlemsstaterna senast den 2 augusti 2025 ska ha utsett nationella behöriga myndigheter, dvs. marknads- kontrollmyndigheter och anmälande myndigheter. Beträffande be- stämmelserna om ingripanden är det inte helt klart vilket datum som bestämmelserna ska börja gälla enligt AI-förordningen. Artikel 113 b jämte artikel 99.2 i AI-förordningen kan antingen tolkas som att de ska börja gälla när övriga bestämmelser börjar tillämpas den 2 augusti 2026 eller den 2 augusti 2025.Vidare ska medlemsstaterna säkerställa att de behöriga myndigheterna har inrättat minst en regulatorisk sandlåda för AI på nationell nivå, som ska vara i drift senast den 2 augusti 2026, när AI-förordningen börjar gälla i sin helhet. Utred- ningen har således kunnat konstatera att ett snabbt genomförande av AI-förordningen är av stor vikt. Utredningen föreslår därför att författningsförslagen ska träda i kraft den 2 augusti 2026. Det är enligt utredningen viktigt att för- fattningsförslagen är på plats i samband med att AI-förordningen börjar gälla i sin helhet, dvs. den 2 augusti 2026. Utredningen anser vidare att det finns skäl för regeringen att i vart fall tillfälligt utse marknadskontrollmyndigheter och anmälande myndigheter redan under den fortsatta beredningen av utredningens lagförslag. Utredningen bedömer att inga speciella informationsinsatser behövs. Flera förslag kräver någon form av informationsinsats vid genomförande på sedvanligt sätt genom de myndigheter som före- slås få ansvar för AI-förordningen. 16.15 Utvärdering av förslagens konsekvenser Utredningen har i detta kapitel redogjort för de olika konsekvenser som utredningen bedömer att förslagen kommer att medföra. De faktiska konsekvenserna av förslagen bör utvärderas på lämpligt sätt. En sådan utvärdering bör inkludera hur förslagen har påverkat myn- digheternas och företagens kostnader. Det bör härvid beaktas att bestämmelserna i AI-förordningen börjar gälla i etapper, där kraven och skyldigheterna för vissa AI- system med hög risk gäller först från den 2 augusti 2027. Av be- tydelse har också att kommissionen senast den 2 augusti 2028 ska utvärdera och lämna den första rapporten till Europaparlamentet 787 Konsekvensutredning SOU 2025:101 och rådet om bl.a. behovet av ändringar som utvidgar befintliga om- rådesrubriker eller lägger till nya områdesrubriker i bilaga III, dvs. vad avser AI-system med hög risk. Dessutom kan de genomförande- akter som kommissionen ska anta påverka tillämpningen av nationella bestämmelser. Kommissionen ska också senast den 2 augusti 2029 överlämna en första rapport om utvärderingen och översynen av förordningen till Europaparlamentet och rådet. Utredningen bedömer därför att förslagens konsekvenser bör utvärderas en första gång under 2029, med beaktande av kommis- sionens rapport som ska lämnas senast i augusti det året. 788 17 Författningskommentar 17.1 Förslaget till lag med kompletterande bestämmelser till EU:s förordning om artificiell intelligens 1 kap. Inledande bestämmelser Lagen kompletterar en EU-förordning 1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förord- ning om artificiell intelligens). Förordningen (EU) 2024/1689 benämns i denna lag AI-förordningen. Paragrafen är en upplysningsbestämmelse. Övervägandena finns i avsnitt 5.2.1. Av första stycket framgår att lagen kompletterar AI-förordningen. Eftersom lagen kompletterar AI-förordningen ska den läsas tillsam- mans med förordningen och kan inte tillämpas fristående. Hänvisningar till förordningen är i huvudsak dynamiska. Det innebär att hänvisningen avser AI-förordningen i den vid varje tid- punkt gällande lydelsen. I 4 kap. 4 § görs dock hänvisningen till AI- förordningen i den ursprungliga lydelsen. Av andra stycket framgår att nämnda förordning i denna lag be- nämns AI-förordningen. 789 Författningskommentar SOU 2025:101 Uttryck i lagen 2 § Ord och uttryck i denna lag har samma betydelse som i AI-förordningen. Paragrafen innehåller en bestämmelse om ord och uttryck. Överväg- andena finns i avsnitt 5.2.2. Av bestämmelsen framgår att ord och uttryck som används i lagen ska förstås på samma sätt som i AI-förordningen. Det innebär att definitionerna i artikel 3 i AI-förordningen även gäller vid tillämp- ning av lagen. Också sådana ord som används i AI-förordningen utan att definieras där ska tolkas på samma sätt när de förekommer i lagen. I lagen görs dock vissa anpassningar till svensk rättsordning, vilket innebär att andra uttryck används i vissa fall. Exempelvis införs an- märkning som en form av ingripande, trots att begreppet inte om- nämns i AI-förordningen. Se kommentaren till 4 kap. 4 §. 2 kap. Marknadskontroll Bestämmelser om marknadskontroll 1 § Bestämmelser om marknadskontroll finns i Europaparlamentets och rådets förordning (EU) 2019/1020 av den 20 juni 2019 om marknadskontroll och överensstämmelse för produkter och om ändring av direktiv 2004/42/EG och förordningarna (EG) nr 765/2008 och (EU) nr 305/2011 samt i AI-förord- ningen. Paragrafen innehåller en upplysning om att bestämmelser om mark- nadskontroll finns i EU:s marknadskontrollförordning och i AI-för- ordningen. Övervägandena finns i avsnitt 10.2.1 och 10.2.2. Marknadskontrollmyndigheter 2 § Den myndighet som regeringen bestämmer ska vara marknadskontroll- myndighet enligt AI-förordningen. Det framgår av AI-förordningen att en marknadskontrollmyndighet är nationell behörig myndighet enligt förordningen. Paragrafen innehåller upplysningar. Övervägandena finns i av- snitt 6.4.5. I första stycket upplyses om att den myndighet som regeringen bestämmer ska vara marknadskontrollmyndighet enligt AI-förord- 790 SOU 2025:101 Författningskommentar ningen. Marknadskontrollmyndighet definieras i artikel 3.26 i AI- förordningen och artikel 3.4 i EU:s marknadskontrollförordning. Regeringen kan utse en eller flera marknadskontrollmyndigheter. Det regleras i förordning som kompletterar denna lag. I andra stycket upplyses om att det framgår av AI-förordningen att en marknadskontrollmyndighet är nationell behörig myndighet enligt förordningen. Bestämmelser i AI-förordningen, denna lag och föreskrifter som har meddelats i anslutning till lagen som rör en natio- nell behörig myndighet gäller således för den myndighet som har ut- setts till marknadskontrollmyndighet. 3 § Den myndighet som regeringen bestämmer ska vara samordnande mark- nadskontrollmyndighet. Den samordnande marknadskontrollmyndigheten ska vara gemensam kontaktpunkt enligt artikel 70.2 i AI-förordningen. Regeringen bestämmer vilka uppgifter som den samordnande marknads- kontrollmyndigheten i övrigt ska ha. Paragrafen innehåller bestämmelser om samordnande marknads- kontrollmyndighet och gemensam kontaktpunkt. Övervägandena finns i avsnitt 9.4.1. Av första stycket framgår att den myndighet som regeringen be- stämmer ska vara samordnande marknadskontrollmyndighet. Det regleras i förordning som kompletterar denna lag. Av andra stycket framgår att den samordnande marknadskontroll- myndigheten ska vara gemensam kontaktpunkt enligt artikel 70.2 i AI-förordningen. Av tredje stycket framgår att regeringen bestämmer vilka uppgifter som den samordnande marknadskontrollmyndigheten i övrigt ska ha. Dessa uppgifter regleras i förordning som kompletterar denna lag. Närmare överväganden kring uppgifterna finns i avsnitt 9.5. Befogenheter 4 § Vid marknadskontroll enligt förordning (EU) 2019/1020 har marknads- kontrollmyndigheten befogenhet 1. att enligt artikel 14.4 a–c kräva att operatörer ska tillhandahålla hand- lingar, specifikationer, data eller uppgifter, 2. att enligt artikel 14.4 d utföra oanmälda inspektioner på plats och fysiska kontroller av AI-system, 3. att enligt artikel 14.4 e få tillträde till lokaler, mark eller transportmedel, 791 Författningskommentar SOU 2025:101 4. att enligt artikel 14.4 f inleda undersökningar på eget initiativ, 5. att enligt artikel 14.4 g kräva att operatörer ska vidta lämpliga åtgärder för att få en bristande överensstämmelse att upphöra eller att eliminera en risk, 6. att enligt artikel 14.4 h själv vidta åtgärder, 7. att enligt artikel 14.4 j införskaffa, inspektera och demontera varuprover, och 8. att enligt artikel 14.4 k kräva att innehåll på ett onlinegränssnitt ska avlägsnas, att en varning ska visas eller att åtkomsten ska begränsas. Marknadskontrollmyndigheten får införskaffa ett varuprov under dold identitet enligt artikel 14.4 j i förordning (EU) 2019/1020 endast om det är nödvändigt för att syftet med kontrollen ska uppnås. Myndigheten ska under- rätta operatören om att införskaffandet har skett under dold identitet, så snart det går utan att syftet med åtgärden går förlorat. Befogenheten enligt första stycket 8 gäller inte i fråga om databaser som om- fattas av tryckfrihetsförordningens eller yttrandefrihetsgrundlagens skydd. När ändrade förhållanden ger anledning till det, ska marknadskontroll- myndigheten besluta att en sådan skyldighet som avses i första stycket 8 inte längre ska gälla. Paragrafen reglerar marknadskontrollmyndigheternas befogenheter enligt EU:s marknadskontrollförordning vid marknadskontroll av AI- system som omfattas av AI-förordningen. Paragrafen har utformats med regleringen i sektorslagarna till de unionsrättsakter som omfattas av EU:s marknadskontrollförordning som förebild. Lagstiftarens överväganden vad gäller anpassningarna till EU:s marknadskontroll- förordning är därför relevanta även vad gäller den här paragrafen.1 Övervägandena finns i avsnitt 10.2.1. Alla hänvisningar till en ekonomisk aktör enligt EU:s marknads- kontrollförordning ska förstås som hänvisningar som omfattar alla operatörer som identifieras i artikel 2.1 i AI-förordningen (arti- kel 74.1 a i AI-förordningen). Operatör definieras i artikel 3.8 i AI- förordningen. Alla hänvisningar till en produkt enligt EU:s marknadskontroll- förordning ska förstås som hänvisningar som omfattar alla AI-system som omfattas av AI-förordningen (artikel 74.1 b i AI-förordningen). Beslut med anledning av befogenheterna kan gälla omedelbart, se 6 §. 1 Prop. 2021/22:238, s. 219 ff. 792 SOU 2025:101 Författningskommentar 5 § Det framgår av AI-förordningen att marknadskontrollmyndigheten har befogenheter vid marknadskontroll enligt artiklarna 74.5, 74.12 och 74.13 i för- ordningen. Paragrafen upplyser om marknadskontrollmyndigheternas befogen- heter vid marknadskontroll av AI-system som följer direkt av AI- förordningen. Övervägandena finns i avsnitt 10.2.2. Utöver dessa befogenheter har marknadskontrollmyndigheterna även de befogen- heter som tilldelas myndigheterna genom 4 §. Av artikel 74.5 i AI-förordningen följer att marknadskontroll- myndigheterna har rätt att utöva befogenheterna enligt artikel 14.4 d och j i EU:s marknadskontrollförordning på distans och när så är lämpligt. Befogenheterna enligt artikel 14.4 d och j i EU:s marknads- kontrollförordning tilldelas myndigheterna genom 4 §. Av artikel 74.12 i AI-förordningen följer att leverantörer ska be- vilja marknadskontrollmyndigheterna fullständig åtkomst till den dokumentation och de tränings-, validerings- och testdataset som an- vänds för utvecklingen av AI-system med hög risk, inbegripet, när så är lämpligt och med förbehåll för säkerhetsgarantier, genom appli- kationsprogrammeringsgränssnitt (API) eller andra relevanta tekniska medel och verktyg som möjliggör fjärråtkomst. Av artikel 74.13 i AI-förordningen följer att marknadskontroll- myndigheterna ska beviljas tillgång till källkoden för AI-systemet med hög risk på motiverad begäran och endast om de i bestämmelsen angivna villkoren är uppfyllda. Beslut med anledning av befogenheterna kan gälla omedelbart, se 6 §. 6 § En marknadskontrollmyndighet får bestämma att dess beslut enligt 4 eller 5 § ska gälla omedelbart. Paragrafen innehåller en bestämmelse om omedelbar verkställighet. Paragrafen har utformats med regleringen i sektorslagarna till de unionsrättsakter som omfattas av EU:s marknadskontrollförord- ning som förebild. Övervägandena finns i avsnitt 10.10. Bestämmelsen innebär att en marknadskontrollmyndighet får bestämma att dess beslut enligt 4 eller 5 § ska gälla omedelbart. Bestämmelsen ska tillämpas i det enskilda fallet och kan t.ex. an- vändas om ett visst AI-system medför en risk för skada eller det är 793 Författningskommentar SOU 2025:101 angeläget att förhindra att ett AI-system fortsätter att tillhandahållas efter ett beslut om ett försäljningsförbud. Hjälp av Polismyndigheten 7 § Polismyndigheten ska på begäran av en marknadskontrollmyndighet lämna den hjälp som behövs för att myndigheten ska kunna vidta åtgärder enligt 4 § om 1. det på grund av särskilda omständigheter kan befaras att åtgärden inte kan utföras utan att en polismans särskilda befogenheter enligt 10 § polislagen (1984:387) behöver tillgripas, eller 2. det annars finns synnerliga skäl. Paragrafen innehåller bestämmelser om under vilka förutsättningar Polismyndigheten ska hjälpa en marknadskontrollmyndighet att vidta åtgärder för marknadskontroll. Paragrafen har utformats med regleringen i sektorslagarna till de unionsrättsakter som omfattas av EU:s marknadskontrollförordning som förebild. Övervägandena finns i avsnitt 10.2.3. Paragrafen innebär att Polismyndigheten på begäran av marknads- kontrollmyndigheten ska lämna den hjälp som behövs för att en marknadskontrollmyndighet ska kunna vidta åtgärder enligt 4 §, dvs. enligt artikel 14.4 a–h samt 14.4 j och k i EU:s marknadskon- trollförordning (se kommentaren till 4 § ovan). En förutsättning för en begäran är att det på grund av särskilda omständigheter kan befaras att en åtgärd inte kan utföras utan att en polismans särskilda befogenheter enligt 10 § polislagen behöver användas, eller det annars finns synnerliga skäl. Det är marknads- kontrollmyndigheten som har att bedöma om det finns förutsätt- ningar för att begära hjälp av Polismyndigheten. Hjälp från Polismyndigheten bör endast kunna begäras i sådana situationer där det finns ett verkligt behov av polisens särskilda be- fogenheter att använda våld. En marknadskontrollmyndighet kan t.ex. behöva begära hjälp av Polismyndigheten om en operatör vägrar tillträde till dennes lokaler. Synnerliga skäl kan t.ex. föreligga om det finns en överhängande risk för att handlingar kommer att förstöras och myndigheten inte kan avvakta att verkställigheten löses på annat sätt.2 2 Jfr prop. 2021/22:238, s. 224 f. och prop. 2010/11:65, s. 67 f. och 110 f. 794 SOU 2025:101 Författningskommentar I paragrafen görs inte någon hänvisning till 5 §. Det innebär att en marknadskontrollmyndighet inte har möjlighet att begära hjälp av Polismyndigheten med anledning av de befogenheter som upp- lyses om där, dvs. enligt artikel 74.5, 74.12 eller 74.13 i AI-förord- ningen. Tystnadsplikt 8 § Den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i ett ärende om marknadskontroll enligt AI-förordningen får inte obehörigen röja eller utnyttja uppgift som han eller hon tagit del av i ett sådant ärende. I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400). I paragrafen finns bestämmelser om tystnadsplikt i samband med ärenden om marknadskontroll. Övervägandena finns i avsnitt 9.9.5. Bestämmelsen i första stycket reglerar tystnadsplikt för sådana privaträttsliga organ som inte omfattas av OSL. I marknadskontroll- ärenden kan privaträttsliga organ delta, t.ex. genom utredning eller testning av produkter. Av bestämmelsen framgår att den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i ett ärende om marknadskontroll enligt AI-förordningen inte får obehörigen röja eller utnyttja uppgift som han eller hon tagit del av i ett sådant ärende. Det kan t.ex. handla om att en extern tjänsteleverantör ut- för produktkontroll för en marknadskontrollmyndighets räkning och i denna verksamhet får kännedom om uppgifter om en enskild operatörs ekonomiska förhållanden eller uppgift om en offentlig operatörs säkerhets- eller bevakningsåtgärder. Det kan också handla om uppgifter om personliga eller ekonomiska förhållanden om en- skilda vars uppgifter används i AI-systemen och förekommer inom ramen för ärendet om marknadskontroll. Operatör definieras i artikel 3.8 i AI-förordningen. Tystnadsplikten gäller såväl under som efter någons deltagande i verksamhet som omfattas av bestämmelsens tillämpningsområde. Tillämpningsområdet begränsas av att en person inte obehörigen får röja eller utnyttja sådana uppgifter. Den som bryter mot tystnads- plikten kan dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken. 795 Författningskommentar SOU 2025:101 Bestämmelsen i andra stycket upplyser om att OSL gäller i det allmännas verksamhet. Det innefattar den verksamhet som en mark- nadskontrollmyndighet bedriver. Enligt OSL råder det förbud att röja eller utnyttja en uppgift som omfattas av sekretess. Det förbudet gäller också för en person som har fått kännedom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet på grund av anställning eller uppdrag hos myndigheten, tjänsteplikt eller annan liknande grund (se 2 kap. 1 § andra stycket OSL). 3 kap. Anmälande myndigheter och anmälda organ Bestämmelser om anmälande myndigheter och anmälda organ 1 § Bestämmelser om anmälande myndigheter och anmälda organ finns i AI-förordningen och i lagen (2011:791) om ackreditering och teknisk kontroll. Det framgår av AI-förordningen att en anmälande myndighet är nationell behörig myndighet enligt förordningen. Paragrafen innehåller upplysningar. Övervägandena finns i av- snitt 7.5.3. Första stycket upplyser om att bestämmelser om anmälande myn- digheter och anmälda organ finns i AI-förordningen och i lagen om ackreditering och teknisk kontroll. Av 1 § andra stycket 1 lagen om ackreditering och teknisk kontroll framgår att lagen tillämpas beträff- ande organ som anmäls till kommissionen och de andra medlems- staterna för uppgifter i samband med bedömning av överensstäm- melse enligt harmoniserad unionslagstiftning. Anmälande myndighet och anmält organ definieras i artiklarna 3.19 och 3.22 i AI-förordningen. De flesta bestämmelser om anmälande myndigheter och anmälda organ finns i artiklarna 28–39. I artik- larna 43–45 finns bestämmelser om bedömning av överensstämmelse, intyg och anmälda organs informationsskyldighet. I lagen om ackreditering och teknisk kontroll finns bestämmelser om organ som ska anmälas till kommissionen och de andra medlems- staterna i 7–9 a §§. Av angivna bestämmelser följer att Swedac är anmälande myndighet med undantag för vad som framgår av 9 a §. Vilken myndighet som är anmälande myndighet i de fall som anges i 9 a § framgår av förordning. 796 SOU 2025:101 Författningskommentar Ytterligare bestämmelser om anmälda organ finns i 10, 18, 19 och 21 §§ i samma lag samt i föreskrifter som har meddelats med stöd av lagen. Andra stycket upplyser om att det framgår av AI-förordningen att en anmälande myndighet är nationell behörig myndighet enligt förordningen. Bestämmelser i AI-förordningen, denna lag och föreskrifter som har meddelats i anslutning till lagen som rör en nationell behörig myndighet gäller således för den myndighet som har utsetts till anmälande myndighet. 2 § Den marknadskontrollmyndighet som avses i artikel 74.8 i AI-förord- ningen ska fungera som anmält organ enligt artikel 43.1 tredje stycket i förord- ningen. Paragrafen innehåller en bestämmelse om anmält organ. Övervägan- dena finns i avsnitt 7.5.5. Artikel 74.8 anger att för AI-system med hög risk som förtecknas i punkten 1 i bilaga III till AI-förordningen ska medlemsstaterna, i den mån systemen används för brottsbekämpande ändamål, gräns- förvaltning och rättvisa och demokrati, och för AI-system med hög risk som förtecknas i punkterna 6–8 i bilaga III till förordningen, till marknadskontrollmyndigheter för tillämpning av förordningen utse antingen de behöriga tillsynsmyndigheterna för dataskydd enligt EU:s dataskyddsförordning eller EU:s brottsdatadirektiv, eller någon annan myndighet som utsetts enligt de villkor som fastställs i artiklarna 41–44 i EU:s brottsdatadirektiv. Artikel 43.1 reglerar valmöjligheter för en leverantör beträffande förfaranden för bedömning av överensstämmelse när det gäller AI- system med hög risk som förtecknas i punkten 1 i bilaga III till AI- förordningen. Enligt artikel 43.1 tredje stycket gäller för det förfar- ande för bedömning av överensstämmelse som avses i bilaga VII att leverantören får välja fritt mellan de anmälda organen. Om ett AI- system med hög risk är avsett att tas i bruk av brottsbekämpande myndigheter, migrationsmyndigheter eller asylmyndigheter eller av unionens institutioner, organ eller byråer ska den marknadskontroll- myndighet som avses i artikel 74.8 eller 74.9, beroende på vad som är tillämpligt, fungera som anmält organ. Av 2 kap. 2 § första stycket framgår att den myndighet som reger- ingen bestämmer ska vara marknadskontrollmyndighet enligt AI- förordningen. Av det följer att regeringen bestämmer vilken myndig- 797 Författningskommentar SOU 2025:101 het som är den marknadskontrollmyndighet som avses i artikel 74.8 i AI-förordningen. Av paragrafen framgår att den marknadskontrollmyndighet som avses i artikel 74.8 i AI-förordningen ska fungera som anmält organ enligt artikel 43.1 tredje stycket i förordningen. Vilken myndighet som ska fungera som anmält organ framgår i förordning som kompletterar denna lag. Tystnadsplikt 3 § Den som deltar i verksamhet som utförs av ett privat anmält organ i enlighet med AI-förordningen får inte obehörigen röja eller utnyttja det som han eller hon fått kännedom om under det att uppgifterna utfördes. I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400). I paragrafen finns bestämmelser om tystnadsplikt. Övervägandena finns i avsnitt 9.9.5. Bestämmelsen i första stycket reglerar tystnadsplikt för privaträtts- liga organ. Anmälda organ är typiskt sett privaträttsliga organ som inte omfattas av bestämmelserna i OSL. Av bestämmelsen framgår att den som deltar i verksamhet som utförs av ett privat anmält organ i enlighet med AI-förordningen inte får obehörigen röja eller utnyttja det som han eller hon fått känne- dom om under det att uppgifterna utfördes. Ett anmält organ defini- eras i artikel 3.22 i AI-förordningen. Tystnadsplikten gäller såväl under som efter någons deltagande i verksamhet som omfattas av bestämmelsens tillämpningsområde. Den som bryter mot tystnads- plikten kan dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken. Bestämmelsen i andra stycket upplyser om att OSL gäller i det allmännas verksamhet. Det innefattar den verksamhet som bedrivs av offentliga anmälda organ samt av den myndighet som ska fungera som anmält organ enligt artikel 43.1 tredje stycket i AI-förordningen. Bestämmelser om sekretess och tystnadsplikt beträffande det all- männas verksamhet finns i OSL, se kommentaren till 2 kap. 8 §. 798 SOU 2025:101 Författningskommentar Föreskrifter 4 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om förfarandena för bedömning, utseende och anmälan av anmälda organ och för övervakning av dessa, beträffande anmälda organ för AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är relaterade till produkter som omfattas av – Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upp- hävande av rådets direktiv 90/385/EEG och 93/42/EEG, eller – Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitro-diagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU. Paragrafen innehåller en bestämmelse om föreskriftsrätt. Överväg- andena finns i avsnitt 7.5.6. Genom bestämmelsen bemyndigas regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om förfarandena för bedömning, utseende och anmälan av anmälda organ och för över- vakning av dessa, beträffande anmälda organ för AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är relaterade till produkter som omfattas av EU:s förordningar om medicintekniska produkter. Av artikel 28.1 i AI-förordningen framgår att varje medlemsstat ska utse eller inrätta minst en anmälande myndighet med ansvar för att fastställa och genomföra de förfaranden som krävs för bedömning, utseende och anmälan av anmälda organ och för övervakning av dessa samt att dessa förfaranden ska utvecklas i samarbete mellan de anmälande myndigheterna i alla medlemsstater. Närmare föreskrifter kan t.ex. meddelas om hur dessa förfaran- den enligt AI-förordningen förhåller sig till befintliga förfaranden för bedömning, utseende och anmälan enligt EU:s förordningar om medicintekniska produkter eller föreskrifter som har meddelats med stöd av lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter. 5 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om anmälda organs informationsskyldighet enligt artikel 45 i AI- förordningen, beträffande anmälda organ för AI-system med hög risk som av- ses i artikel 6.1 i AI-förordningen och som är relaterade till produkter som omfattas av förordning (EU) 2017/745 eller förordning (EU) 2017/746. 799 Författningskommentar SOU 2025:101 Paragrafen innehåller en bestämmelse om föreskriftsrätt. Överväg- andena finns i avsnitt 7.5.6. Genom bestämmelsen bemyndigas regeringen eller den myndig- het som regeringen bestämmer att meddela föreskrifter om anmälda organs informationsskyldighet enligt artikel 45 i AI-förordningen, beträffande anmälda organ för AI-system med hög risk som avses i artikel 6.1 i AI-förordningen och som är relaterade till produkter som omfattas av EU:s förordningar om medicintekniska produkter. Av artikel 45 framgår att anmälda organ i olika avseenden har en informationsskyldighet i förhållande till den anmälande myndigheten. Bl.a. ska anmälda organ informera den anmälande myndigheten om alla eventuella unionsintyg om bedömning av teknisk dokumentation, tillägg till dessa intyg och godkännanden av kvalitetsstyrningssystem som utfärdats i enlighet med kraven i bilaga VII till AI-förordningen (artikel 54.1 a) samt eventuella avslag, begränsningar, tillfälliga åter- kallelser eller tillbakadraganden av ett unionsintyg om bedömning av teknisk dokumentation eller av ett godkännande av kvalitetsstyrnings- system som utfärdats i enlighet med kraven i bilaga VII till AI-förord- ningen (artikel 54.1 b). Närmare föreskrifter kan t.ex. meddelas om hur förfarandena för informationsskyldigheten enligt artikel 54.1 a och b i AI-förordningen förhåller sig till liknande förfaranden enligt EU:s förordningar om medicintekniska produkter eller föreskrifter som har meddelats med stöd av lagen med kompletterande bestämmelser till EU:s förord- ningar om medicintekniska produkter. 4 kap. Ingripanden Förelägganden 1 § En nationell behörig myndighet får besluta de förelägganden som behövs för att AI-förordningen, förordning (EU) 2019/1020, denna lag eller före- skrifter som har meddelats med stöd av AI-förordningen eller lagen ska följas. En nationell behörig myndighet får förena ett föreläggande med vite. Ett vitesföreläggande får även riktas mot en myndighet. Paragrafen innehåller bestämmelser om förelägganden. Övervägan- dena finns i avsnitt 10.7.2. Med nationella behöriga myndigheter förstås marknadskontrollmyndigheter och anmälande myndigheter (se vidare i kommentarerna till 2 kap. 2 § och 3 kap. 1 §). 800 SOU 2025:101 Författningskommentar Bestämmelsen i första stycket förtydligar de möjligheter som de nationella behöriga myndigheterna har vid marknadskontroll och annan tillsynsverksamhet att besluta om förelägganden. Befogen- heten att meddela förelägganden vid marknadskontroll eller annan tillsyn följer redan av bestämmelserna om myndigheters utrednings- ansvar i FL. Ett föreläggande kan avse såväl ett påbud att vidta en viss åtgärd som ett förbud mot att vidta en åtgärd. Av bestämmelsen framgår att de nationella behöriga myndighet- erna har befogenhet att besluta om de förelägganden som behövs för att AI-förordningen ska följas. Ett föreläggande kan utgöra en första lämplig ingripandeåtgärd för att förmå en operatör eller ett anmält organ att åtgärda en pågående överträdelse av AI-förord- ningen. Av bestämmelsen framgår även att de nationella behöriga myndig- heter som utgör marknadskontrollmyndigheter har befogenhet att besluta om de förelägganden som behövs för att EU:s marknads- kontrollförordning ska följas. Av bestämmelsen framgår vidare att de nationella behöriga myn- digheterna har befogenhet att besluta om de förelägganden som be- hövs för att denna lag eller föreskrifter som har meddelats med stöd av AI-förordningen eller lagen ska följas. Bestämmelsen i andra stycket innebär att förelägganden får förenas med vite. Lagen (1985:206) om viten är då tillämplig. Av bestäm- melsen följer också att ett vitesföreläggande får riktas mot en myndig- het. Övervägandena finns i avsnitt 10.8.1. Andra stycket har utformats med lagrådsremissen Ett starkt skydd för nätverks- och informations- system – en ny cybersäkerhetslag som förebild. I den lagrådsremissen föreslås att ett vitesföreläggande även ska kunna riktas mot staten. Med myndighet avses detsamma som i 5 §, se kommentaren till den paragrafen. 2 § En marknadskontrollmyndighet får när den fattar beslut enligt 1 § be- stämma att beslutet ska gälla omedelbart. Paragrafen reglerar omedelbar verkställighet av beslut enligt 1 §. Övervägandena finns i avsnitt 10.10. Bestämmelsen innebär att en marknadskontrollmyndighet får be- stämma att beslutet om föreläggande enligt 1 § ska gälla omedelbart. 801 Författningskommentar SOU 2025:101 Eftersom bestämmelsen är begränsad till de nationella behöriga myndigheter som utgör marknadskontrollmyndigheter så omfattar den inte anmälande myndigheter. En anmälande myndighets beslut om föreläggande enligt 1 § gäller därför inte omedelbart. För de anmälande myndigheterna gäller i stället huvudregeln i 35 § första stycket FL. 3 § Ett föreläggande enligt 1 § ska inte beslutas mot en domstol inom ramen för dess dömande verksamhet. I paragrafen regleras ett undantag för domstolarnas dömande verksamhet. Övervägandena finns i avsnitt 10.8.2. Undantaget innebär att en marknadskontrollmyndighets möjlig- het att besluta om ett föreläggande enligt 1 § inte ska omfatta dom- stolarnas dömande verksamhet. Av artikel 74.8 i AI-förordningen framgår att marknadskontrollen inte på något sätt ska påverka rätts- liga myndigheters oberoende eller på annat sätt inkräkta på deras verksamhet när de agerar inom ramen för sin dömande verksamhet. Syftet med bestämmelsen är att garantera domstolarnas oberoende när de utför sina rättsliga uppgifter. Anmärkning och sanktionsavgift 4 § En anmärkning eller en sanktionsavgift får beslutas mot en operatör eller ett anmält organ vid överträdelser av AI-förordningen i dess ursprung- liga lydelse när det gäller 1. förbudet mot de AI-användningsområden som avses i artikel 5, 2. leverantörers skyldigheter enligt artikel 16, 3. ombuds skyldigheter enligt artikel 22, 4. importörers skyldigheter enligt artikel 23, 5. distributörers skyldigheter enligt artikel 24, 6. tillhandahållares skyldigheter enligt artikel 26, 7. kraven och skyldigheterna för anmälda organ enligt artiklarna 31, 33.1, 33.3, 33.4 eller 34, eller 8. transparensskyldigheterna för leverantörer och tillhandahållare enligt artikel 50. En anmärkning eller en sanktionsavgift får även beslutas mot en operatör eller ett anmält organ för tillhandahållande av oriktig, ofullständig eller vilse- ledande information till ett anmält organ eller en nationell behörig myndighet som svar på en begäran. 802 SOU 2025:101 Författningskommentar Paragrafen reglerar vid vilka överträdelser som en nationell behörig myndighet får ingripa mot operatörer eller anmälda organ genom be- slut om en anmärkning eller en sanktionsavgift. De överträdelser det är fråga om är sådana överträdelser som omnämns i artikel 99.3–5 i AI-förordningen. Övervägandena finns i avsnitt 10.7.3. Paragrafen gäller i förhållande till de organ som utgör en operatör eller ett anmält organ enligt AI-förordningen. Med operatör förstås enligt AI-förordningen en leverantör, en produkttillverkare, en till- handahållare, ett ombud, en importör eller en distributör (artikel 3.8). Med anmält organ förstås ett organ för bedömning av överensstäm- melse som har anmälts enligt AI-förordningen och annan relevant unionsharmoniseringslagstiftning (artikel 3.22). I artikel 99.3–5 i AI-förordningen regleras de högsta nivåerna för sanktionsavgifter i förhållande till operatörer och anmälda organ som utgör privaträttsliga organ. För myndigheter gäller 6 §. Anmärkning ska förstås som ett alternativt och mildare ingrip- ande än en sanktionsavgift. Anmärkning bör användas när det inte finns något att åtgärda med anledning av en överträdelse av AI- förordningen, men där överträdelsen bör medföra ett ingripande. Av proportionalitetsprincipen (avsnitt 10.6.1) följer att en nationell behörig myndighet i varje enskilt fall ska pröva om det är tillräckligt att besluta om en anmärkning i stället för en sanktionsavgift. Myndig- heten ska enligt den principen även pröva om det finns skäl att avstå från att ingripa med anledning av en överträdelse av AI-förordningen. Det följer av artikel 99.7 i AI-förordningen att en helhetsbedöm- ning ska göras. Av artikeln framgår att vid beslut om en sanktions- avgift ska åläggas och om storleken på sanktionsavgiften ska alla relevanta omständigheter i den specifika situationen beaktas. Veder- börlig hänsyn ska, i förekommande fall, tas till ett antal olika faktorer som räknas upp i artikel 99.7. En motsvarande skyldighet följer av 5 § tredje stycket och 23 § FL samt av den s.k. omsorgsprincipen, vilka regler och principer således gäller såväl vid beslut om sanktionsavgift som vid beslut om anmärkning. Av första stycket framgår att en anmärkning eller en sanktions- avgift får beslutas mot en operatör eller ett anmält organ vid över- trädelser av vissa bestämmelser i AI-förordningen. Bestämmelsen har utformats med utgångspunkt i artikel 99.3 och 99.4 i AI-förord- ningen. I punkterna 1–8 hänvisas till de bestämmelser i AI-förord- ningen som kan leda till en anmärkning eller en sanktionsavgift om 803 Författningskommentar SOU 2025:101 en operatör eller ett anmält organ överträder någon av de angivna bestämmelserna i AI-förordningen. Hänvisningen till artiklarna i AI-förordningen är statisk. Det innebär att AI-förordningens ur- sprungliga lydelse gäller vid tillämpning av bestämmelsen. Av andra stycket framgår att en anmärkning eller en sanktions- avgift även får beslutas mot en operatör eller ett anmält organ för tillhandahållande av oriktig, ofullständig eller vilseledande informa- tion till ett anmält organ eller en nationell behörig myndighet som svar på en begäran. Bestämmelsen har utformats med utgångspunkt i artikel 99.5 i AI-förordningen. 5 § En anmärkning eller en sanktionsavgift enligt 4 § får beslutas mot en myndighet. En anmärkning eller en sanktionsavgift ska dock inte beslutas mot en domstol inom ramen för dess dömande verksamhet. Paragrafen reglerar att beslut om en anmärkning eller en sanktions- avgift även kan beslutas mot en myndighet. Paragrafen har sin grund i artikel 99.8 i AI-förordningen, enligt vilken det är upp till varje med- lemsstat att fastställa bestämmelser om i vilken utsträckning admini- strativa sanktionsavgifter får påföras offentliga myndigheter och organ som är inrättade i medlemsstaten. Övervägandena finns i avsnitt 10.8.1. Av första stycket följer att en anmärkning eller en sanktionsavgift för överträdelser av AI-förordningen enligt 4 §, även får beslutas mot en myndighet. Med myndighet förstås statliga myndigheter, vilket omfattar statliga förvaltningsmyndigheter och domstolar samt kom- munala- och regionala myndigheter. Därmed undantas de beslutande församlingarna, dvs. riksdagen och kommun- och regionfullmäktige. Andra stycket innehåller ett undantag för domstolarnas dömande verksamhet på motsvarande sätt som i 3 § vad avser förelägganden. Övervägandena finns i avsnitt 10.8.2. Undantaget innebär bl.a. att en marknadskontrollmyndighet saknar möjlighet att besluta om en anmärkning eller en sanktionsavgift mot en domstol i dess dömande verksamhet. Syftet med bestämmelsen är att garantera domstolarnas oberoende när de utför sina rättsliga uppgifter. 6 § Sanktionsavgiften för en myndighet ska bestämmas till högst – 20 000 000 kronor vid överträdelser som avses i 4 § första stycket 1, – 10 000 000 kronor vid överträdelser som avses i 4 § första stycket 2–8, och – 5 000 000 kronor vid överträdelser som avses i 4 § andra stycket. 804 SOU 2025:101 Författningskommentar Paragrafen innehåller bestämmelser om högsta nivåer för sanktions- avgifter mot en myndighet. Övervägandena finns i avsnitt 10.8.1. Med myndighet avses detsamma som i 5 §, se kommentaren till den paragrafen. I fråga om högsta nivåer för sanktionsavgifter i förhållande till operatörer och anmälda organ som utgör privaträttsliga organ gäller de beloppsnivåer som följer direkt av artikel 99.3–5 i AI-förordningen. Bolag, ekonomiska föreningar och andra juridiska personer som huvudsakligen kontrolleras av staten, en kommun eller en region eller dessa offentliga organ tillsammans ska förstås som privaträttsliga organ och omfattas således av regleringen av sanktionsavgifter i artikel 99.3–5 i AI-förordningen. Av paragrafen följer att den högsta nivån för en sanktionsavgift mot en myndighet beror på vilken typ av överträdelse av AI-förord- ningen som det är fråga om. I fråga om överträdelser av förbudet mot de AI-användningsområden som avses i artikel 5 i AI-förordningen gäller att sanktionsavgiften kan uppgå till högst 20 000 000 kronor för en myndighet. I fråga om överträdelser av bestämmelserna i 4 § första stycket 2–8 gäller att sanktionsavgiften kan uppgå till högst 10 000 000 kronor. I fråga om tillhandahållande av oriktig, ofullständig eller vilseledande information så är den högsta nivån 5 000 000 kronor. Vid bestämmande av sanktionsavgiftens storlek ska alla relevanta omständigheter i den specifika situationen beaktas. Vederbörlig hän- syn ska, i förekommande fall, tas till ett antal olika faktorer som listas i artikel 99.7 i AI-förordningen. Att de nationella behöriga myndigheterna ska beakta alla relevanta omständigheter vid beslut om sanktionsavgift följer även av FL (se kommentaren till 4 §). 7 § En nationell behörig myndighet får besluta om en anmärkning eller en sanktionsavgift. Fråga om en sanktionsavgift ska dock prövas av allmän förvaltningsdomstol efter ansökan av en marknadskontrollmyndighet om prövningen av sanktions- avgiften samtidigt grundar sig i en överträdelse av 4 § och någon av bestäm- melserna som anges i – 32 § första stycket lagen (2011:579) om leksakers säkerhet, – 30 § första stycket lagen (2016:96) om fritidsbåtar och vattenskotrar, – 16 § första stycket radioutrustningslagen (2016:392), – 9 § första stycket lagen (2018:125) med kompletterande bestämmelser till EU:s förordning om personlig skyddsutrustning, eller – 9 § första stycket lagen (2018:1178) med kompletterande bestämmelser till EU:s förordning om gasanordningar. 805 Författningskommentar SOU 2025:101 I fråga om sanktionsavgift enligt andra stycket ska i övrigt 37 § andra stycket och 39–43 §§ produktsäkerhetslagen (2004:451) tillämpas. Paragrafen innehåller bestämmelser om nationella behöriga myndig- heters befogenhet att besluta om en anmärkning eller en sanktions- avgift. Övervägandena finns i avsnitt 10.7.4. Av första stycket framgår att det som huvudregel är en nationell behörig myndighet som beslutar om en anmärkning eller en sank- tionsavgift för överträdelser av AI-förordningen. Av undantagsbestämmelsen i andra stycket framgår i vilka fall som en sanktionsavgift i stället ska beslutas av allmän förvaltningsdomstol efter ansökan av en marknadskontrollmyndighet. Av undantagsbe- stämmelsen följer att, när det gäller de fem sektorsspecifika lagarna som räknas upp i bestämmelsen, allmän förvaltningsdomstol efter ansökan av en marknadskontrollmyndighet ska besluta om en sank- tionsavgift som första instans. Detta under förutsättning att över- trädelsen grundar sig samtidigt i 4 § och någon av de bestämmelser i sektorslagarna som hänvisas till i paragraferna som räknas upp i bestämmelsen. Om det endast är fråga om en överträdelse av AI- förordningen – även om AI-systemet finns i någon av de sektors- specifika produkterna – följer således av huvudregeln i första stycket att det är marknadskontrollmyndigheten som beslutar om sanktions- avgift som första instans. Av tredje stycket framgår att 37 § andra stycket och 39–43 §§ produktsäkerhetslagen är tillämpliga vid en prövning enligt undan- tagsbestämmelsen i andra stycket. Detta innebär att de processuella bestämmelser som räknas upp där är tillämpliga vid prövning av sank- tionsavgifter till följd av överträdelser av både AI-förordningen och någon av de bestämmelser som hänvisas till i bestämmelserna som anges i andra stycket. I förvaltningsdomstolen är förvaltningsprocess- lagen (1971:291) tillämplig. I dessa fall finns det, till skillnad från vad som gäller enligt huvudregeln i första stycket när en myndighet beslutar om en anmärkning eller en sanktionsavgift (se 7 kap. 2 § fjärde stycket), inte något krav på prövningstillstånd i kammarrätten (jfr 34 a § förvaltningsprocesslagen och 44 § produktsäkerhetslagen). 8 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande med vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet. 806 SOU 2025:101 Författningskommentar Paragrafen innehåller en bestämmelse om förbud mot dubbelpröv- ning. Övervägandena finns i avsnitt 10.9. Bestämmelsen syftar till att förhindra att en överträdelse blir före- mål för både en sanktionsavgift och en ansökan om utdömande av ett vite. Bestämmelsen innebär att en nationell behörig myndighet är förhindrad att besluta om en sanktionsavgift mot en operatör eller ett anmält organ, om överträdelsen ligger till grund för en an- sökan om utdömande av ett tidigare förelagt vite. 9 § En sanktionsavgift får inte beslutas om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum. Ett beslut om sanktionsavgift ska delges. Paragrafen reglerar preskription av sanktionsavgift, dvs. den bortre tidsgränsen för när en sanktionsavgift får beslutas, och delgivning av sanktionsavgift. Övervägandena finns i avsnitt 10.11. Första stycket innebär att en sanktionsavgift som en myndighet får besluta om (se 7 § första stycket) inte får beslutas om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum. Myndigheten har en skyldighet enligt 25 § FL att kommunicera med den som sanktionsavgiften avser. Om den som ett ärende om sanktionsavgift avser emellertid inte har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum så följer det av bestämmelsen att en sanktionsavgift inte får beslutas. När i stället allmän förvaltningsdomstol beslutar om sanktionsavgift efter ansökan av en marknadskontrollmyndighet (se kommentaren till 7 § andra och tredje stycket) så regleras preskription av 42 § produktsäkerhetslagen. Av andra stycket följer att ett beslut om sanktionsavgift ska delges den avgiftsskyldige, vilket innebär att en nationell behörig myndig- het ska använda sig av de metoder för delgivning som regleras i del- givningslagen (2010:1932) för att säkerställa att den som beslutet gäller får del av underrättelsen. 10 § En sanktionsavgift ska betalas till den myndighet som regeringen be- stämmer inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. En sanktionsavgift tillfaller staten. 807 Författningskommentar SOU 2025:101 Paragrafen innehåller bestämmelser om betalning och indrivning av sanktionsavgifter. Övervägandena finns i avsnitt 10.11. 11 § En sanktionsavgift faller bort, om den inte har verkställts inom fem år från det att beslutet fick laga kraft. Paragrafen reglerar preskription efter det att en sanktionsavgift har beslutats. Övervägandena finns i avsnitt 10.11. Av paragrafen följer att skyldigheten att betala en sanktionsavgift faller bort om den inte har kunnat verkställas inom fem år från det att beslutet fick laga kraft. Bestämmelsen gäller i de fall där en nationell behörig myndighet, enligt huvudregeln i 7 § första stycket, beslutar om sanktionsavgift som första instans. Av 7 § andra stycket följer dock att i vissa undan- tagsfall ska i stället allmän förvaltningsdomstol besluta i fråga om sanktionsavgift (se kommentaren till 7 §). I de undantagsfallen kommer bestämmelsen om preskription av sanktionsavgift i 42 § produktsäkerhetslagen att vara tillämplig. 5 kap. Regulatoriska sandlådor för AI och testning av AI-system med hög risk under verkliga förhållanden Ansvarsfördelning i regulatoriska sandlådor för AI 1 § Den myndighet som regeringen bestämmer ska inrätta och organisera driften av en regulatorisk sandlåda för AI enligt artiklarna 57–59 i AI-förord- ningen (en inrättande myndighet). Paragrafen reglerar förutsättningarna för en myndighet att bli en inrättande myndighet för en regulatorisk sandlåda för AI. Över- vägandena finns i avsnitt 12.6.2. Regulatorisk sandlåda för AI definieras i artikel 3.55 som en kontrollerad ram som inrättats av en behörig myndighet och som erbjuder leverantörer eller potentiella leverantörer av AI-system möjlighet att utveckla, träna, validera och testa, när så är lämpligt under verkliga förhållanden, ett innovativt AI-system, enligt en specifik sandlådeplan för en begränsad tid under regulatorisk till- syn. En sandlådeplan definieras i artikel 3.54 som ett dokument om vilket den deltagande leverantören och den behöriga myndigheten har kommit överens och som beskriver målen, villkoren, tidsplanen, 808 SOU 2025:101 Författningskommentar metoden och kraven för den verksamhet som ska bedrivas i sand- lådan. Av paragrafen framgår att regeringen ska bestämma den myndig- het som ska inrätta och organisera driften av en regulatorisk sand- låda för AI enligt artiklarna 57–59. Bestämmelsen utgör grunden för ansvarsfördelningen mellan nationella behöriga myndigheter i en regulatorisk sandlåda för AI. Den myndighet som regeringen be- stämmer får de uppgifter som följer av att vara en inrättande myn- dighet. Det kan vara en eller flera inrättande myndigheter. Vilken myndighet som ska vara inrättande myndighet regleras i förordning som kompletterar denna lag. 2 § När ett projekt i en regulatorisk sandlåda för AI berör en nationell be- hörig myndighets ansvarsområde för marknadskontroll enligt AI-förordningen ska myndigheten medverka i verksamheten i sandlådeprojektet. Paragrafen reglerar under vilka förutsättningar som en annan natio- nell behörig myndighet än en inrättande myndighet ska medverka i projekt i regulatoriska sandlådor för AI. Övervägandena finns i av- snitt 12.6.2. Enligt bestämmelsen ska en nationell behörig myndighet med- verka i verksamheten i ett sandlådeprojekt i en regulatorisk sand- låda för AI när ett projekt berör myndighetens ansvarsområde för marknadskontroll enligt AI-förordningen. De närmare uppgifter som detta innebär regleras i förordning som kompletterar denna lag. Innehållet i ett sandlådeprojekt bestäms i princip av sandlådeplanen (se kommentaren till 1 §). Ett ärende inleds när en ansökan om att få delta i en regulatorisk sandlåda ges in och avslutas när projektet avbryts eller är färdigt och en slutrapport tillhandahålls. 3 § En ansökan om att få delta i en regulatorisk sandlåda för AI ska lämnas in till en inrättande myndighet. Paragrafen reglerar att en ansökan om att få delta i en regulatorisk sandlåda för AI ska lämnas till en inrättande myndighet. Överväg- andena finns i avsnitt 12.6.3. 809 Författningskommentar SOU 2025:101 Testning av AI-system med hög risk under verkliga förhållanden 4 § Den marknadskontrollmyndighet som regeringen bestämmer ska godkänna testning under verkliga förhållanden utanför regulatoriska sandlådor för AI och säkerställa en säker utveckling av testningen enligt artiklarna 60 och 61 i AI-förordningen. Marknadskontrollmyndigheten ska ha befogenhet att 1. enligt artikel 60.6 i AI-förordningen utföra oanmälda inspektioner på distans, 2. enligt artikel 60.6 i AI-förordningen utföra kontroller av utförandet av testningen under verkliga förhållanden och tillhörande AI-system med hög risk, 3. enligt artikel 76.3 a i AI-förordningen tillfälligt avbryta eller avsluta test- ningen under verkliga förhållanden, och 4. enligt artikel 76.3 b i AI-förordningen kräva att leverantören eller den potentiella leverantören och tillhandahållaren eller den potentiella tillhanda- hållaren ändrar någon aspekt av testningen under verkliga förhållanden. Paragrafen innehåller bestämmelser om godkännande samt tillsyn och befogenheter över testning under verkliga förhållanden. Över- vägandena finns i avsnitt 12.7.3 och 12.7.4. Testning av AI-system med hög risk under verkliga förhållanden utanför regulatoriska sandlådor för AI regleras i artiklarna 60 och 61 i AI-förordningen. Testning under verkliga förhållanden definieras enligt artikel 3.57 som tillfällig testning av ett AI-system med avse- ende på dess avsedda ändamål under verkliga förhållanden utanför ett laboratorium eller en på annat sätt simulerad miljö i syfte att samla in tillförlitliga och robusta data och bedöma och kontrollera AI-systemets överensstämmelse med kraven i AI-förordningen, som inte innebär att AI-systemet släpps ut på marknaden eller tas i bruk i den mening som avses i AI-förordningen förutsatt att alla villkor i artikel 57 eller 60 är uppfyllda. Av första stycket framgår att regeringen ska bestämma vilken mark- nadskontrollmyndighet som ska godkänna testning under verkliga förhållanden utanför regulatoriska sandlådor för AI och säkerställa en säker utveckling av testningen enligt artiklarna 60 och 61 i för- ordningen. Vilken myndighet som ska få dessa uppgifter regleras i förordning som kompletterar denna lag. Närmare bestämmelser om förutsättningarna och kraven på aktörer som ska testa AI-systemen framgår av artiklarna 60 och 61. Av andra stycket framgår att en marknadskontrollmyndighet ska ha befogenhet att enligt artikel 60.6 i AI-förordningen utföra oan- 810 SOU 2025:101 Författningskommentar mälda inspektioner på distans och utföra kontroller av utförandet av testningen under verkliga förhållanden och tillhörande AI-system med hög risk. Det framgår vidare att marknadskontrollmyndigheten ska ha befogenhet enligt artikel 76.3 a att tillfälligt avbryta eller av- sluta testningen under verkliga förhållanden och enligt artikel 76.3 b kräva att leverantören eller den potentiella leverantören och tillhanda- hållaren eller den potentiella tillhandahållaren ändrar någon aspekt av testningen. Avgifter 5 § En inrättande myndighet får ta ut avgifter för sin verksamhet inom en regulatorisk sandlåda för AI. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om avgifter. Paragrafen reglerar förutsättningarna för att ta ut avgifter i en regula- torisk sandlåda för AI. Övervägandena finns i avsnitt 12.6.11. I första stycket anges att en inrättande myndighet får ta ut avgifter för sin verksamhet inom en regulatorisk sandlåda för AI. I huvud- regel ska myndigheten ta ut avgifter som täcker kostnaderna för en regulatorisk sandlåda för AI. Detta bör tolkas på så sätt att avgiften ska täcka kostnaden för det aktuella specifika sandlådeprojektet. Av artikel 58.2 d framgår att tillgången till regulatoriska sandlådor ska vara kostnadsfri för små och medelstora företag, inbegripet upp- startsföretag, utan att det påverkar exceptionella kostnader som nationella behöriga myndigheter får återkräva på ett rättvist och proportionellt sätt. En inrättande myndighet får inte ta ut avgift från sådana företag. I andra stycket bemyndigas regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om avgifter för regula- toriska sandlådor för AI. 6 § Den marknadskontrollmyndighet som regeringen bestämmer får ta ut avgifter för testning under verkliga förhållanden utanför regulatoriska sand- lådor för AI och för att säkerställa en säker utveckling av testningen enligt artiklarna 60 och 61 i AI-förordningen. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om avgifter. 811 Författningskommentar SOU 2025:101 Paragrafen anger förutsättningarna för att ta ut avgifter för testning under verkliga förhållanden utanför en regulatorisk sandlåda för AI och för att säkerställa en säker utveckling av testningen. Övervägan- dena finns i avsnitt 12.7.5. I första stycket anges att en inrättande myndighet får ta ut avgifter för att godkänna testning under verkliga förhållanden utanför regula- toriska sandlådor för AI och för att säkerställa en säker utveckling av testningen enligt artiklarna 60 och 61. I huvudregel ska myndig- heten ta ut avgifter som täcker kostnaderna. I andra stycket bemyndigas regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om avgifter för god- kännande av testning under verkliga förhållanden utanför regulator- iska sandlådor för AI och för att säkerställa en säker utveckling av testningen enligt artiklarna 60 och 61. Tystnadsplikt 7 § Den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i verksamhet i en regulatorisk sandlåda för AI och som tar del av uppgift om enskilds personliga eller ekonomiska förhållanden eller uppgift som hänför sig till en myndighets utveckling, träning, testning eller validering av ett AI-system i sådan verksamhet får inte obehörigen röja eller utnyttja dessa uppgifter. I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400). I paragrafen finns bestämmelser om tystnadsplikt. Övervägandena finns i avsnitt 12.8.4. Första stycket reglerar tystnadsplikt för privaträttsliga organ. Av bestämmelsen framgår att den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i verksamhet i en regula- torisk sandlåda för AI och som tar del av uppgift om enskilds per- sonliga eller ekonomiska förhållanden eller uppgift som hänför sig till en myndighets utveckling, träning, testning eller validering av ett AI-system i sådan verksamhet inte får obehörigen röja eller utnyttja dessa uppgifter. Tystnadsplikten innebär att sådana personer inte får avslöja eller utnyttja det han eller hon fått kännedom om under det att uppgifterna utfördes. Tystnadsplikten gäller såväl under som efter någons deltagande i verksamhet som omfattas av bestämmel- sens tillämpningsområde. Innebörden av bestämmelsen är att en 812 SOU 2025:101 Författningskommentar person inte obehörigen får röja eller utnyttja sådana uppgifter. Tyst- nadsplikten gäller vidare för enskilds personliga och ekonomiska för- hållanden och uppgift som hänför sig till en myndighets utveckling, träning, testning eller validering av ett AI-system. Anställda m.fl. i bolag, föreningar, samfälligheter eller stiftelser där staten utövar be- stämmande inflytande, och som alltså inte omfattas av OSL, omfattas av tystnadsplikten enligt första stycket. Den som bryter mot tystnadsplikten kan dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken. Av andra stycket framgår att OSL gäller i det allmännas verksamhet. Det gäller bl.a. när myndigheter agerar inom en regulatorisk sandlåda för AI. Bestämmelser om sekretess och tystnadsplikt beträffande det allmännas verksamhet finns i OSL, se kommentaren till 2 kap. 8 §. Föreskrifter 8 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om regulatoriska sandlådor för AI. Paragrafen innehåller en bestämmelse om föreskriftsrätt. Överväg- andena finns i avsnitt 12.6.3. Genom bestämmelsen bemyndigas regeringen eller den myndig- het som regeringen bestämmer att meddela föreskrifter. Föreskrift- erna kan avse bl.a. ansökningssystemets utformning, behörighets- och urvalskriterier och i princip samtliga frågor som kan behöva föreskrifter. 6 kap. Nationell registrering av vissa AI-system med hög risk Ansvarig myndighet 1 § Den myndighet som regeringen bestämmer ska ansvara för att AI-system med hög risk som förtecknas i punkten 2 i bilaga III till AI-förordningen regi- streras i enlighet med artikel 49.5 i AI-förordningen. Paragrafen innehåller en upplysning om att regeringen utser den myndighet som ska ansvara för att AI-system med hög risk som förtecknas i punkten 2 i bilaga III till AI-förordningen registreras i 813 Författningskommentar SOU 2025:101 enlighet med artikel 49.5 i AI-förordningen. Övervägandena finns i avsnitt 11.5.2. Anmälningsskyldighet 2 § Följande operatörer har en skyldighet att anmäla sig och sitt AI-system till den myndighet som avses i 1 §. – Leverantörer eller, i tillämpliga fall, ombud, av AI-system med hög risk som förtecknas i punkten 2 i bilaga III som avser att släppa ut eller ta i bruk ett sådant AI-system. – Leverantörer eller, i tillämpliga fall, ombud, som avser att släppa ut eller ta i bruk ett AI-system för vilket leverantören har fastställt att det inte är ett AI- system med hög risk som förtecknas i punkten 2 i bilaga III enligt artikel 6.3 i AI-förordningen. – Leverantörer eller potentiella leverantörer av AI-system med hög risk som förtecknas i punkten 2 i bilaga III som avser att utföra testning under verkliga förhållanden i enlighet med artikel 60 i AI-förordning. – Tillhandahållare av AI-system med hög risk som förtecknas i punkten 2 i bilaga III, som är offentliga myndigheter, unionens institutioner, byråer eller organ eller personer som agerar på deras vägnar, som avser att ta i bruk eller använda ett sådant AI-system. Paragrafen innehåller bestämmelser om anmälningsskyldighet. Över- vägandena finns i avsnitt 11.5.3. Av paragrafen framgår att vissa angivna operatörer har en skyl- dighet att anmäla sig och sitt AI-system till den myndighet som avses i 1 §. Dessa är leverantörer eller, i tillämpliga fall, ombud, av AI-system med hög risk som förtecknas i punkten 2 i bilaga III som avser att släppa ut eller ta i bruk ett sådant AI-system, leverantörer eller, i tillämpliga fall, ombud, som avser att släppa ut eller ta i bruk ett AI- system för vilket leverantören har fastställt att det inte är ett AI- system med hög risk som förtecknas i punkten 2 i bilaga III enligt artikel 6.3 i AI-förordningen, leverantörer eller potentiella leveran- törer av AI-system med hög risk som förtecknas i punkten 2 i bi- laga III som avser att utföra testning under verkliga förhållanden i enlighet med artikel 60 i AI-förordning, samt tillhandahållare av AI- system med hög risk som förtecknas i punkten 2 i bilaga III, som är offentliga myndigheter, unionens institutioner, byråer eller organ eller personer som agerar på deras vägnar, som avser att ta i bruk eller använda ett sådant AI-system. 814 SOU 2025:101 Författningskommentar Omfattningen av operatörer efterliknar de operatörer som om- fattas av registreringsskyldigheten i EU-databasen enligt artikel 49 i AI-förordningen samt registreringsskyldigheten för leverantörer eller potentiella leverantörer enligt artikel 60.3 c i AI-förordningen, men gäller specifikt beträffande AI-system med hög risk som förtecknas i punkten 2 i bilaga III. Leverantör, tillhandahållare, ombud och operatör definieras i artikel 3.3–5 respektive 3.8 i AI-förordningen. Utsläppande på mark- naden, tillhandahållande på marknaden samt ibruktagande definieras i artikel 3.9–11. 3 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka uppgifter som ska framgå av anmälan enligt 2 §. Paragrafen innehåller en bestämmelse om föreskriftsrätt. Överväg- andena finns i avsnitt 11.5.3. Av paragrafen framgår att regeringen eller den myndighet som regeringen bestämmer bemyndigas att meddela föreskrifter om vilka uppgifter som ska framgå av anmälan enligt 2 §. Föreskrifterna kan avse bl.a. skyldigheter för angivna operatörer att anmäla sina kontakt- uppgifter och en beskrivning av AI-systemet. 4 § Skyldighet att lämna uppgifter i anmälan enligt 2 § gäller inte för uppgifter som är säkerhetsskyddsklassificerade enligt säkerhetsskyddslagen (2018:585). Paragrafen reglerar ett undantag från anmälningsskyldigheten en- ligt 2 §. Övervägandena finns i avsnitt 11.5.4. Paragrafen innebär att en operatör inte är skyldig att inom ramen för sin anmälan enligt 2 § lämna ut säkerhetsskyddsklassificerade uppgifter. Med säkerhetsskyddsklassificerade uppgifter avses det- samma som i 1 kap. 2 § säkerhetsskyddslagen, dvs. uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekre- tess enligt OSL eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig. 815 Författningskommentar SOU 2025:101 7 kap. Övriga bestämmelser Bevarande av dokumentation 1 § Den dokumentation som avses i artikel 18.1 i AI-förordningen ska hållas tillgänglig för de nationella behöriga myndigheterna under den tid som anges i den bestämmelsen även om leverantören eller dennes ombud försätts i konkurs, går i likvidation eller upphör med sin verksamhet. Leverantören eller dennes ombud ska i sådana fall anmäla till den myn- dighet som regeringen bestämmer vem som ansvarar för bevarandet av doku- mentationen och var den förvaras. Paragrafen innehåller bestämmelser om bevarande av viss dokumen- tation. Övervägandena finns i avsnitt 14.2. Av första stycket följer bl.a. att dokumentationen som avses i artikel 18.1 i AI-förordningen ska hållas tillgänglig för de nationella behöriga myndigheterna. Bevarandeskyldigheten enligt artikel 18 i AI-förordningen gäller leverantörer av AI-system med hög risk under en period om tio år efter det att AI-systemet med hög risk släpptes ut på marknaden eller togs i bruk. I artikel 3.3 definieras leverantör. I andra stycket regleras att leverantören eller dennes ombud ska anmäla vem som ansvarar för bevarandeskyldigheten enligt artikel 18 i AI-förordningen. Den myndighet som ska ta emot dessa anmäl- ningar regleras i förordning som kompletterar denna lag. Överklagande 2 § Ett beslut av en förvaltningsmyndighet eller ett anmält organ enligt AI- förordningen, denna lag eller föreskrift som har meddelats i anslutning till denna lag får överklagas till allmän förvaltningsdomstol. En myndighet får överklaga en förvaltningsmyndighets eller ett anmält organs beslut. Förvaltningsmyndigheten eller det anmälda organet ska vid överklagande vara motpart i domstolen. Prövningstillstånd krävs vid överklagande till kammarrätten. Paragrafen innehåller en bestämmelse om överklagande. Överväg- andena finns i avsnitt 14.3. Av första stycket följer att ett beslut av en förvaltningsmyndighet eller ett anmält organ enligt AI-förordningen, denna lag eller en före- skrift som har meddelats i anslutning till denna lag får överklagas 816 SOU 2025:101 Författningskommentar till allmän förvaltningsdomstol. Enligt bestämmelsen får både offent- liga och privaträttsliga organ överklaga en förvaltningsmyndighets eller ett anmält organs beslut. Överklaganderätten av förvaltnings- myndighets beslut avser även IMY:s beslut när myndigheten fun- gerar som ett anmält organ enligt artikel 43.1 tredje stycket i AI-för- ordningen. För förvaltningsmyndigheters beslut gäller FL och vid överklagande av besluten gäller förvaltningsprocesslagen. Anmälda organ brukar i Sverige vara privaträttsliga organ. Beträf- fande beslut av privaträttsliga, dvs. enskilda organ, som alltså inte är förvaltningsmyndigheter gäller inte FL utan vid överklagande av dessa privaträttsliga organs beslut gäller i stället lagen (1986:1142) om överklagande av beslut av enskilda organ med offentliga förvalt- ningsuppgifter. Överklaganderätten gäller för beslut som fattas enligt denna lag och föreskrift som har meddelats i anslutning till lagen. Hänvisningen avser såväl föreskrifter som har meddelats med direkt eller indirekt stöd av lagen som föreskrifter som har meddelats med stöd av reger- ingens restkompetens eller rätten att meddela verkställighetsföre- skrifter. Av andra stycket följer att en myndighet får överklaga beslut från en förvaltningsmyndighet eller ett anmält organ. Av tredje stycket följer att förvaltningsmyndigheten eller det an- mälda organet ska vid överklagande vara motpart i domstol. Av fjärde stycket följer att det krävs prövningstillstånd i kammar- rätten. Kravet på prövningstillstånd gäller vid beslut som anges i första stycket. Beträffande prövningstillstånd i fråga om sanktions- avgift där förvaltningsrätt är första instans enligt 4 kap. 7 § andra och tredje stycket, se kommentaren till de bestämmelserna. Övriga föreskrifter 3 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om incidentrapportering enligt artikel 73 i AI-förordningen. Paragrafen innehåller en bestämmelse om föreskriftsrätt. Övervägan- dena finns i avsnitt 9.6.1. Genom bestämmelsen bemyndigas regeringen eller den myndig- het som regeringen bestämmer att meddela föreskrifter om incident- rapportering enligt artikel 73 i AI-förordningen. Närmare föreskrifter 817 Författningskommentar SOU 2025:101 kan t.ex. meddelas om till vilka myndigheter som leverantörer ska ge in sina incidentrapporter och formerna för hur incidentrapporter- ingen ska genomföras. 4 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om verkställighet av denna lag. Paragrafen innehåller en upplysning om att det finns en möjlighet för regeringen eller den myndighet som regeringen bestämmer att med- dela verkställighetsföreskrifter. Övervägandena finns i avsnitt 9.6.2. 17.2 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400) 10 kap. Regulatoriska sandlådor för AI 2 b § Sekretess hindrar inte att en uppgift lämnas till en enskild eller annan myndighet för utveckling, träning, testning och validering av ett AI-system i en regulatorisk sandlåda för AI enligt Europaparlamentets och rådets förord- ning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för arti- ficiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828, om det med hänsyn till omständigheterna inte är olämpligt att uppgiften lämnas ut. Paragrafen, som är ny, innehåller en sekretessbrytande bestämmelse. Rubriken har utformats för att tydliggöra att det rör sig om den verk- samhet som bedrivs i regulatoriska sandlådor för AI. Övervägandena finns i 12.8.3. Av paragrafen följer att sekretess inte hindrar att en uppgift lämnas till en enskild eller annan myndighet för utveckling, träning, testning och validering av ett AI-system i en regulatorisk sandlåda för AI. Med regulatorisk sandlåda för AI avses definitionen i artikel 3.55 i AI-förordningen. Såväl enskilda som offentliga organ kan medverka i regulatoriska sandlådor för AI. Den sekretessbrytande bestämmel- sen möjliggör för en myndighet att lämna ut uppgifter utan hinder av sekretess till enskilda och andra myndigheter. En uppgift får lämnas 818 SOU 2025:101 Författningskommentar ut för utveckling, träning, testning och validering av AI-systemet. Begreppen utveckling, träning, testning och validering är desamma som i artikel 57 i AI-förordningen. En uppgift får inte lämnas ut om det med hänsyn till omständig- heterna är olämpligt. Det innebär att en myndighet, innan en uppgift lämnas ut, ska pröva om det finns skäl som talar mot att uppgiften lämnas ut. De omständigheter som ska beaktas är som utgångspunkt sådana som har koppling till den utlämnande myndigheten och till uppgiftsmottagaren likväl som till de uppgifter som är eller kan bli föremål för utlämnande. Det ska alltså göras en allsidig prövning av samtliga omständigheter som är relevanta i det enskilda fallet. Reger- ingen har i prop. 2022/23:97, s. 17, i förhållande till bestämmelsen i 10 kap. 2 a § OSL, utvecklat vilka omständigheter som kan ha betyd- else för prövningen. Motsvarande överväganden gör sig gällande även i detta avseende. Prövningen ska göras såväl när den utlämnande myndigheter vill lämna uppgifter till en regulatorisk sandlåda för AI som när den ut- lämnande myndigheten vill lämna uppgifter inom ett specifikt projekt i en regulatorisk sandlåda för AI. När den utlämnande myndigheten arbetar inom ett projekt i sandlådan är det i majoriteten av fallen lämpligt att uppgifter lämnas ut till de andra deltagarna. 18 kap. 8 e § Sekretess gäller för uppgift i en incidentrapport enligt artikel 73 i Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 samt för uppgift om vilka åtgärder som en leverantör enligt artikel 3.3 i samma förordning har vidtagit till följd av incidenten, om det inte står klart att uppgiften kan röjas utan att den rapporterande leverantörens framtida verksamhet skadas eller syftet med vidtagen åtgärd motverkas. För uppgift i en allmän handling gäller sekretessen i högst fyrtio år. Paragrafen, som är ny, innehåller bestämmelser om sekretess för uppgifter i incidentrapporter enligt AI-förordningen och om vilka åtgärder som har vidtagits till följd av incidenterna. Övervägandena finns i avsnitt 9.9.6. 819 Författningskommentar SOU 2025:101 Enligt första stycket skyddas uppgifter i incidentrapporter enligt artikel 73 i AI-förordningen och uppgifter om vilka åtgärder som en leverantör har vidtagit med anledning av sådana incidenter som har rapporterats. Bestämmelsen har ett omvänt skaderekvisit, vilket innebär att en uppgift inte ska lämnas ut om det inte står klart att uppgiften kan röjas utan att den rapporterande leverantörens fram- tida verksamhet skadas eller syftet med den vidtagna åtgärden mot- verkas. Leverantör definieras i artikel 3.3 i AI-förordningen. Enligt andra stycket framgår att sekretesstiden för uppgift i allmän handling är högst 40 år. 19 kap. Verksamhet inom regulatoriska sandlådor för AI och testning under verkliga förhållanden 12 § Sekretess gäller för uppgift som hänför sig till en myndighets utveckling, träning, testning eller validering av ett AI-system i verksamhet som avses i artiklarna 57.5–8 och 58.4 i Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelli- gens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828, om det kan antas att syftet med myndighetens framtida användning av AI-systemet motverkas eller att någon gynnas på myndighetens bekostnad om uppgiften röjs. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Paragrafen, som är ny, innehåller en bestämmelse om sekretess för uppgifter i myndighets verksamhet inom regulatoriska sandlådor för AI. Rubriken avser 12 och 13 §§ och tydliggör att bestämmelserna gäller verksamhet inom regulatoriska sandlådor för AI och testning under verkliga förhållanden. Övervägandena finns i avsnitt 12.8.3. Av första stycket följer att sekretess gäller för uppgift som hänför sig till en myndighets utveckling, träning, testning och validering av ett AI-system i verksamhet som avses i artiklarna 57.5–8 och 58.4 i AI-förordningen. Med regulatorisk sandlåda för AI avses definitionen i artikel 3.55 i AI-förordningen. Begreppen utveckling, träning, test- ning och validering av ett AI-system är samma som i artikel 57 i AI- förordningen. Bestämmelsen har ett rakt skaderekvisit, dvs. det råder presumtion för offentlighet. Skaderekvisitet är utformat för att skydda 820 SOU 2025:101 Författningskommentar myndigheternas framtida verksamhet och affärsverksamhet från in- syn från konkurrenters sida. Av andra stycket följer att sekretesstiden för uppgift i allmän handling är högst 20 år. 13 § Sekretess gäller för myndighets uppgift som hänför sig till testning under verkliga förhållanden enligt artiklarna 60 och 61 i Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828, om det kan antas att syftet med myndighetens framtida använd- ning av AI-systemet motverkas eller att någon gynnas på myndighetens bekost- nad om uppgiften röjs. För uppgift i allmän handling gäller sekretessen i högst tjugo år. Paragrafen, som är ny, innehåller en bestämmelse om sekretess för myndighets uppgift vid testning under verkliga förhållanden. Över- vägandena finns i avsnitt 12.8.5. Av första stycket följer att sekretess gäller för myndighets uppgift som hänför sig till testning under verkliga förhållanden enligt artik- larna 60 och 61 i AI-förordningen. Sekretessen omfattar således alla uppgifter som hänför sig till testningen. Definitionen av testning under verkliga förhållanden framgår av artikel 3.57. Sekretessen om- fattar uppgifter som ges in i samband med ansökan och uppgifter i korrespondens kring ansökan eller testningen. Bestämmelsen har ett rakt skaderekvisit, dvs. det råder presumtion för offentlighet. Skade- rekvisitet är utformat för att skydda myndigheternas framtida verk- samhet och affärsverksamhet från insyn från konkurrenters sida. Av andra stycket följer att sekretesstiden för uppgift i allmän hand- ling är högst 20 år. 40 kap. Verksamhet inom regulatoriska sandlådor för AI och testning under verkliga förhållanden 9 § Sekretess gäller i verksamhet som avses i artiklarna 57.5–8 och 58.4 i Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, 821 Författningskommentar SOU 2025:101 (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828, för uppgift om enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. För uppgift i en allmän handling beträffande personliga förhållanden gäller sekretessen i högst sjuttio år. För uppgift i allmän handling beträffande ekono- miska förhållanden gäller sekretessen i högst tjugo år. Paragrafen, som är ny, innehåller en bestämmelse om sekretess för enskild inom regulatoriska sandlådor för AI. Rubriken avser 9 och 10 §§ och tydliggör att bestämmelserna avser verksamhet inom regula- toriska sandlådor för AI och testning under verkliga förhållanden. Övervägandena finns i avsnitt 12.8.2. Av första stycket följer att sekretess gäller i verksamhet som avses i artiklarna 57.5–8 och 58.4 i AI-förordningen för uppgift om enskilds personliga eller ekonomiska förhållanden. En regulatorisk sandlåda för AI definieras i artikel 3.55 i AI-förordningen. Bestämmelsen skyddar uppgifter om enskilda aktörer inom sandlådeprojekt och uppgifter som används för att exempelvis träna ett AI-system. Be- stämmelsen är utformad med ett omvänt skaderekvisit, dvs. det råder presumtion för sekretess. Av andra stycket följer att sekretesstiden för uppgift beträffande personliga förhållanden är högst 70 år och ekonomiska förhållanden är högst 20 år. 10 § Sekretess gäller för uppgift om affärs- eller driftförhållanden som avser en operatör enligt artikel 3.8 i Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 vid test- ning under verkliga förhållanden enligt artiklarna 60 och 61 i samma förord- ning, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. För uppgift i allmän handling gäller sekretessen i högst tjugo år. Paragrafen, som är ny, innehåller en bestämmelse om sekretess vid testning under verkliga förhållanden. Övervägandena finns i av- snitt 12.8.5. Av första stycket följer att sekretess gäller för uppgift om affärs- eller driftförhållanden som avser en operatör enligt artikel 3.8 i AI- förordningen. Med operatör avses leverantör, produkttillverkare, 822 SOU 2025:101 Författningskommentar tillhandahållare, ombud, importör eller distributör. Sekretesskyddet gäller vid testning under verkliga förhållanden enligt artiklarna 60 och 61 i AI-förordningen. Definitionen av testning under verkliga förhållanden framgår av artikel 3.57. Bestämmelsen omfattar upp- gifter om affärs- eller driftförhållanden som ges in i samband med ansökan och uppgifter i korrespondens kring ansökan eller testningen. Bestämmelsen har ett omvänt skaderekvisit, dvs. det råder presumtion för sekretess. Av andra stycket följer att sekretesstiden för uppgift i allmän hand- ling är högst 20 år. 17.3 Förslaget till lag om ändring i lagen (2011:791) om ackreditering och teknisk kontroll 9 a § Bestämmelserna i 7–9 §§ gäller inte organ för bedömning av överens- stämmelse som utses och anmäls enligt Europaparlamentets och rådets för- ordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och för- ordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/ EEG och 93/42/EEG och Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitro- diagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU. Bestämmelser om dessa organ och myndigheter med ansvar för anmälda organ finns i stället i dessa EU-förordningar. Bestämmelserna i 7–9 §§ gäller inte heller organ för bedömning av överens- stämmelse som utses och anmäls enligt Europaparlamentets och rådets förord- ning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för arti- ficiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 beträffande organ för AI-system med hög risk som avses i artikel 6.1 i förordning (EU) 2024/1689 och som är relaterade till produkter som omfattas av förordning (EU) 2017/745 eller förordning (EU) 2017/746. Bestämmelser om dessa organ och anmälande myndigheter finns i stället i förordning (EU) 2024/1689. Paragrafen reglerar undantag från bestämmelserna i 7–9 §§. Överväg- andena finns i avsnitt 7.5.3. Ett nytt andra stycke läggs till i paragrafen. Det nya stycket tydlig- gör att förfarandet för att utse och anmäla organ enligt 7–9 §§ inte gäller för organ för bedömning av överensstämmelse som utses och anmäls enligt AI-förordningen beträffande organ för AI-system 823 Författningskommentar SOU 2025:101 med hög risk som avses i artikel 6.1 i förordningen och som är rela- terade till produkter som omfattas av EU:s förordningar om medicin- tekniska produkter. I AI-förordningen finns bestämmelser om anmälande myndigheter och anmälda organ i huvudsak i artiklarna 28–39. I artiklarna 43–45 finns därtill bestämmelser om bedömning av överensstämmelse, intyg och anmälda organs informationsskyldighet. Den myndighet som ska vara anmälande myndighet för sådana organ som omfattas av andra stycket utses i förordning. 824 Bilaga 1 Kommittédirektiv 2024:83 Trygg och tillförlitlig användning av AI Beslut vid regeringssammanträde den 19 september 2024 Sammanfattning Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/ 2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens) trädde i kraft den 1 augusti 2024. En särskild utredare ska se över behovet av nationella anpassningar till följd av EU:s förordning om artificiell intelligens (AI-förordningen). Utredaren ska bl.a. • lämna förslag på hur systemet för marknadsövervakning, mark- nadskontroll, styrning och kontroll av efterlevnad ska utformas, • kartlägga övriga behov av nationell anpassning till följd av AI- förordningen och föreslå hur sådana behov ska tillgodoses, och • lämna nödvändiga författningsförslag. Uppdraget ska slutredovisas senast den 30 september 2025. AI-förordningen Syftet med AI-förordningen är att förbättra den inre marknadens funk- tion genom att fastställa en enhetlig rättslig ram för bl.a. utveckling, utsläppande på marknaden och användning av system för artificiell 825 Bilaga 1 SOU 2025:101 intelligens (AI-system) i EU i enlighet med unionens värden och genom att främja användningen av människocentrerad och tillförlitlig arti- ficiell intelligens (AI). Förordningen ska samtidigt säkerställa en hög skyddsnivå för hälsa, säkerhet och grundläggande rättigheter enligt Europeiska unionens stadga om de grundläggande rättigheterna. AI-system kan användas inom ett stort antal sektorer och i många delar av samhället, inklusive över EU:s gränser. Eftersom olika natio- nella regler kan leda till fragmentering av den inre marknaden och minska rättssäkerheten för leverantörer och tillhandahållare som ut- vecklar, importerar eller använder AI-system, är det viktigt med en- hetlighet inom unionen. Genom fastställandet av harmoniserade regler för AI samt åtgärder till stöd för innovation, med särskild inriktning på små och medelstora företag, syftar AI-förordningen till att upp- fylla EU:s mål att främja den europeiska människocentrerade AI- strategin och att bli världsledande inom utvecklingen av säker, till- förlitlig och etisk AI. AI-förordningens regelsystem har utarbetats utifrån en riskbaserad metod för att skapa en strukturerad uppdelning mellan olika typer av AI-system och deras användningsområden. Vissa AI-användnings- områden anses så riskabla att de förbjuds enligt förordningen. För andra användningsområden gäller vissa restriktioner och krav i form av bl.a. kontroll av efterlevnad och registrering hos ansvarig myn- dighet. De AI-system som anses innebära liten eller ingen risk får med vissa undantag användas utan restriktioner. Utöver risknivån ställs det krav beroende på vilken roll och vilket ansvar en aktör har i AI- systemets värdekedja. Ett system för marknadsövervakning, mark- nadskontroll, styrning och kontroll av efterlevnad ska införas både på nationell nivå och på EU-nivå. Vidare ställs krav på etableringen av s.k. regulatoriska sandlådor i syfte att främja innovation och effek- tivisera regelefterlevnad för AI-system som ska sättas på marknaden. AI-förordningen är direkt tillämplig i medlemsstaterna men för- utsätter kompletterande nationella bestämmelser. Förordningen trädde i kraft den 1 augusti 2024 men bestämmelserna ska börja tillämpas vid olika tidpunkter. Merparten av AI-förordningens bestämmelser ska börja tillämpas 24 månader efter ikraftträdandet. De förbud som gäller för vissa an- vändningsområden och de allmänna bestämmelserna i förordningen ska börja tillämpas 6 månader efter ikraftträdandet. Efterlevnaden av förbuden kommer dock att kontrolleras först efter inrättandet av 826 SOU 2025:101 Bilaga 1 den styrning och kontroll av efterlevnad som enligt förordningen ska ha skett inom 12 månader från ikraftträdandet. Vid den tidpunkten ska bl.a. förordningens bestämmelser om anmälda organ och styr- ningsstruktur börja tillämpas. Även bestämmelser om sanktioner börjar tillämpas 24 månader från förordningens ikraftträdande. Vissa bestämmelser, bl.a. om harmonisering av viss annan unionslagstift- ning, ska börja tillämpas 36 månader efter ikraftträdandet. Uppdraget att lämna förslag på hur systemet för marknadsövervakning, marknadskontroll, styrning och kontroll av efterlevnad ska utformas AI-förordningen ställer krav på ett system för marknadsövervakning, marknadskontroll, styrning och kontroll av efterlevnad på nationell nivå och EU-nivå. Varje medlemsstat ska utse minst en anmälande myndighet och minst en marknadskontrollmyndighet som nationella behöriga myndigheter. Medlemsstaterna kan besluta att utse valfri typ av offentligt organ för att utföra de nationella behöriga myndighet- ernas uppgifter. För att öka den organisatoriska effektiviteten ska varje medlemsstat även utse en marknadskontrollmyndighet som ska fungera som gemensam kontaktpunkt för kontakterna med allmän- heten, och andra motparter på nationell nivå och EU-nivå. Av AI-förordningen framgår det vidare att efterlevnaden av för- ordningen ska säkerställas genom beslut om sanktioner och genom- förande av andra verkställighetsåtgärder. Medlemsstaterna ska vidta alla nödvändiga åtgärder för att säkerställa att bestämmelserna i för- ordningen genomförs, bl.a. genom att fastställa effektiva, proportio- nella och avskräckande sanktioner vid överträdelser av förordning- ens bestämmelser. Artikel 5 i förordningen specificerar vilka användningsområden för AI-system som är förbjudna. Ett sådant användningsområde är biometrisk fjärridentifiering i realtid för brottsbekämpande ändamål (artikel 5.1 h). Artikeln ger dock utrymme för medlemsstaterna att lagstifta om att det för vissa syften och under vissa förutsättningar är tillåtet att göra undantag från ett sådant förbud. Huvudregeln är att användningen i så fall ska föregås av en tillståndsprövning. I pro- memorian Förbättrade möjligheter för polisen att använda kamera- bevakning lämnas förslag om för vilka syften Polismyndigheten och 827 Bilaga 1 SOU 2025:101 Säkerhetspolisen ska få använda system för biometrisk fjärridenti- fiering i realtid för brottsbekämpande ändamål (Ds 2024:11). Förslaget, och nödvändiga kompletteringar till detta, bereds för närvarande inom Regeringskansliet och genomförandet av artikel 5.1 h såvitt avser Polismyndigheten och Säkerhetspolisen omfattas därför inte av detta uppdrag. Det finns dock andra delar i AI-förordningen som kan påverka brottsbekämpande verksamheter, t.ex. artikel 26.10 om biometrisk fjärridentifiering i efterhand. I den mån utredarens överväganden eller förslag berör sådana bestämmelser ska, utöver intresset att värna den personliga integriteten, intresset av en effektiv brottsbekämpning beaktas. Utredaren ska därför • lämna förslag på vilken eller vilka befintliga myndigheter som bör utses till anmälande myndigheter enligt AI-förordningen, • lämna förslag på vilken eller vilka befintliga myndigheter som bör utses till nationella behöriga myndigheter enligt AI-förordningen, • lämna förslag på vilken befintlig myndighet som bör utses till den marknadskontrollmyndighet som ska vara gemensam kontakt- punkt enligt AI-förordningen, • analysera och, vid behov, föreslå vilken eller vilka ytterligare befint- liga myndigheter som bör utses som ansvariga för att säkerställa en fungerande marknadsövervakning, marknadskontroll, styrning och kontroll av efterlevnad i enlighet med AI-förordningen, • analysera och, vid behov, lämna förslag på sådan nationell anpass- ning som krävs för att de föreslagna myndigheterna och andra be- rörda offentliga organ ska kunna utföra sina skyldigheter enligt AI-förordningen på ett effektivt och rättssäkert sätt, • analysera och lämna förslag på vad som behövs för att uppfylla kravet på sanktioner vid överträdelser av förordningen, samt • lämna nödvändiga författningsförslag. 828 SOU 2025:101 Bilaga 1 Uppdraget att kartlägga behoven av nationell anpassning som följer av AI-förordningen AI-förordningen reglerar AI-system genom att införa vissa krav och skyldigheter för relevanta marknadsaktörer som släpper ut dem på marknaden, tar dem i bruk eller använder dem i EU. Skyldigheterna gäller särskilt för leverantörer och tillhandahållare av AI-system med hög risk. Även vissa AI-system som anses utgöra liten risk när syste- men når marknaden omfattas av särskilda regler om transparens. AI är en teknik i snabb utveckling som kräver tillsyn och ett säkert och kontrollerat område för experiment, med säkerställande av an- svarsfull innovation och integrering av ändamålsenliga skydds- och riskbegränsningsåtgärder. För att säkerställa en rättslig ram för detta ändamål ställs krav på att medlemsstaterna ska inrätta åtminstone en regulatorisk sandlåda för AI på nationell nivå, för att underlätta ut- veckling och testning av innovativa AI-system under strikt tillsyn innan dessa system släpps ut på marknaden eller på annat sätt tas i bruk. Medlemsstaterna kan också fullgöra denna skyldighet genom att delta i redan befintliga regulatoriska sandlådor eller gemensamt inrätta en sandlåda med en eller flera medlemsstater, i den mån detta deltagande ger de deltagande medlemsstaterna likvärdig nationell täckning. Regula- toriska sandlådor för AI kan inrättas i fysisk eller digital form eller i hybridform och kan rymma både fysiska och digitala produkter. Utöver regulatoriska sandlådor inkluderar förordningen andra im- plementeringsstöd och innovationsfrämjande åtgärder, som testning av AI-system med hög risk under verkliga förhållanden utanför regu- latoriska sandlådor. För att främja innovation ingår även inrättandet av en EU-databas för AI-system med hög risk, medlemsstaternas till- gång till poolen av experter i den vetenskapliga panel som ska inrättas och inrättandet av ett rådgivande forum. Som del i styrningsfunktion som också ska främja innovation ingår inrättandet av en AI-styrelse samt den sedan tidigare inrättade AI-byrån som bl.a. har i uppdrag att bidra till genomförandet av unionsrätten om AI. Utredaren ska därför • analysera och lämna förslag på vad som behövs för att kunna in- rätta en eller flera regulatoriska sandlådor i Sverige och ta ställning till vilken eller vilka befintliga myndigheter eller andra aktörer som bör utses för att uppfylla de krav som föreslås, 829 Bilaga 1 SOU 2025:101 • analysera och, vid behov, föreslå i vilken utsträckning Sverige bör delta i AI-förordningens föreslagna implementeringsstöd och inno- vationsfrämjande åtgärder samt på vilket sätt det ska ske, och • lämna de författningsförslag och förslag på övriga åtgärder som är nödvändiga för att uppfylla kraven i AI-förordningen. Konsekvensbeskrivningar Utredaren ska analysera och redovisa konsekvenserna av förslagen i enlighet med kommittéförordningen (1998:1474) och förordningen (2024:183) om konsekvensutredningar. Utredaren ska särskilt redo- visa förslagens konsekvenser för staten, kommuner, regioner, företag och andra relevanta aktörer som förväntas beröras av förordningen, samt utforma förslagen så att de ger så låga administrativa kostnader och andra fullgörandekostnader som möjligt. Utredaren ska även be- skriva och beräkna eventuella budgetära konsekvenser. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska ut- redaren föreslå hur dessa ska finansieras. Utredaren ska redovisa om förslaget har konsekvenser inom jämställdhetsområdet. Kontakter och redovisning av uppdraget Utredaren ska hålla sig informerad om och beakta annat relevant arbete som pågår inom Regeringskansliet och inom EU, så som arbetet inom AI-byrån och AI-styrelsen samt inom grupper för genomförandet av förordningen i enlighet med delegerade akter och genomförandeakter. Utredaren ska följa implementeringsarbetet för AI-förordningen i de berörda nordiska länderna och i andra länder som utredaren be- dömer vara av intresse. Utredaren ska i den utsträckning det är lämpligt inhämta synpunk- ter från berörda myndigheter, organisationer och företag. Utredaren ska bl.a. hålla sig informerad om arbetet i och resultatet av utred- ningen om ett implementeringsråd för genomförande av EU-rätts- akter med konsekvenser för företag i Sverige (dir. 2024:51) respek- tive utredningen om förstärkt AI-förmåga i Sverige (dir. 2023:164). Uppdraget ska slutredovisas senast den 30 september 2025. (Finansdepartementet) 830 Bilaga 2 AI-förordningen 831 Bilaga 2 SOU 2025:101 Europeiska unionens SV officiella tidning L-serien 2024/1689 12.7.2024 EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens) (Text av betydelse för EES) EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 16 och 114, med beaktande av Europeiska kommissionens förslag, efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten, med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1), med beaktande av Europeiska centralbankens yttrande (2), med beaktande av Regionkommitténs yttrande (3), i enlighet med det ordinarie lagstiftningsförfarandet (4), och av följande skäl: (1) Syftet med denna förordning är att förbättra den inre marknadens funktion genom att fastställa en enhetlig rättslig ram för i synnerhet utveckling, utsläppande på marknaden, ibruktagande och användning av system för artificiell intelligens (AI-system) i unionen i enlighet med unionens värden, främja användningen av människocentrerad och tillförlitlig artificiell intelligens (AI) och samtidigt säkerställa en hög skyddsnivå för hälsa, säkerhet och grundläggande rättigheter såsom fastställs i Europeiska unionens stadga om de grundläggande rättigheterna (stadgan), inbegripet demokrati, rättsstatens principer och miljöskydd, skydda mot skadliga effekter av AI-system i unionen, och stödja innovation. Denna förordning säkerställer fri rörlighet över gränserna för AI-baserade varor och tjänster, och förhindrar således att medlemsstaterna inför begränsningar av utvecklingen, saluföringen och användningen av AI- system, om sådana inte uttryckligen tillåts enligt denna förordning. (2) Denna förordning bör tillämpas i enlighet med unionens värden, som fastställs i stadgan, och underlätta skyddet av fysiska personer, företag, demokratin, rättsstatens principer och miljöskyddet, och samtidigt främja innovation och sysselsättning och göra unionen ledande när det gäller användningen av tillförlitlig AI. (3) AI-system kan enkelt utnyttjas inom ett stort antal olika ekonomiska sektorer och i många delar av samhället, inklusive över gränser, och kan enkelt cirkulera i hela unionen. Vissa medlemsstater har redan undersökt antagandet av nationella regler för att säkerställa att AI är tillförlitligt och säkert samt utvecklas och används i enlighet med skyldigheter som rör grundläggande rättigheter. Skiljaktiga nationella regler kan leda till fragmentering av den inre marknaden och minska rättssäkerheten för operatörer som utvecklar, importerar eller använder AI-system. En enhetlig och hög skyddsnivå bör därför säkerställas i hela unionen för att tillförlitlig AI ska uppnås, medan skillnader som hindrar den fria rörligheten för samt innovation inom och användning och spridning av AI-system och relaterade produkter och tjänster på den inre marknaden bör förhindras genom fastställande av enhetliga (1) EUT C 517, 22.12.2021, s. 56. (2) EUT C 115, 11.3.2022, s. 5. (3) EUT C 97, 28.2.2022, s. 60. (4) Europaparlamentets ståndpunkt av den 13 mars 2024 (ännu inte offentliggjord i EUT) och rådets beslut av den 21 maj 2024. 832 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 skyldigheter för operatörer och garanterande av ett enhetligt skydd för tvingande hänsyn till allmänintresset och personers rättigheter på hela den inre marknaden på grundval av artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). I den utsträckning som denna förordning omfattar särskilda regler för skydd av individer när det gäller behandling av personuppgifter avseende begränsning av användningen av AI-system för biometrisk fjärridentifiering för brottsbekämpande ändamål, av användningen av AI-system för riskbedömningar av fysiska personer för brottsbekämpande ändamål och av användningen av AI-system för biometrisk kategorisering för brottsbekämpande ändamål, är det, när det gäller dessa särskilda regler, lämpligt att grunda denna förordning på artikel 16 i EUF-fördraget. Mot bakgrund av dessa särskilda regler och användningen av artikel 16 i EUF-fördraget är det lämpligt att samråda med Europeiska dataskyddsstyrelsen. (4) AI ingår i en teknikfamilj under snabb utveckling som bidrar till en mängd ekonomiska, miljömässiga och samhälleliga vinster över hela spektrumet av näringslivssektorer och samhällsverksamheter. Genom att förbättra förutsägelserna, optimera verksamheter och resurstilldelning och individanpassa de digitala lösningar som är tillgängliga för enskilda och organisationer kan användningen av AI ge företag viktiga konkurrensfördelar och stödja socialt och miljömässigt fördelaktiga utfall, exempelvis inom hälso- och sjukvård, jordbruk, livsmedelssäkerhet, utbildning, media, sport, kultur, infrastrukturförvaltning, energi, transport och logistik, offentliga tjänster, säkerhet, rättsväsende, resurs- och energieffektivitet. Miljöövervakning, bevarande och återställande av biologisk mångfald och ekosystem samt begränsning av och anpassning till klimatförändringar. (5) Samtidigt kan AI, beroende på omständigheterna kring den specifika tillämpningen, användningen och den tekniska utvecklingsnivån, ge upphov till risker och skada allmänna intressen och grundläggande rättigheter som skyddas av unionsrätten. Dessa skador kan vara materiella eller immateriella, inbegripet fysiska, psykologiska, samhälleliga eller ekonomiska skador. (6) Med tanke på den stora inverkan som AI kan ha på samhället, och behovet av att bygga upp förtroende, är det mycket viktigt att AI och dess regelverk utvecklas i enlighet med unionens värden såsom de fastställs i artikel 2 i fördraget om Europeiska unionen (EU-fördraget), de grundläggande rättigheter och friheter som fastställs i fördragen och, enligt artikel 6 i EU-fördraget, stadgan. En förutsättning är att AI bör vara en människocentrerad teknik. Den bör fungera som ett verktyg för människor, med slutmålet att öka människors välbefinnande. (7) För att säkerställa en konsekvent och hög skyddsnivå för allmänintressen på områdena hälsa, säkerhet och grundläggande rättigheter bör gemensamma regler fastställas för AI-system med hög risk. Dessa regler bör vara förenliga med stadgan, icke-diskriminerande och i linje med unionens internationella handelsåtaganden. De bör också ta hänsyn till den europeiska förklaringen om digitala rättigheter och principer för det digitala decenniet och de etiska riktlinjerna för tillförlitlig AI från högnivåexpertgruppen för artificiell intelligens (AI-expertgruppen). (8) Därmed behövs en rättslig ram för unionen som fastställer harmoniserade regler för AI för att främja utvecklingen, användningen och spridningen av AI på den inre marknaden, varigenom samtidigt en hög skyddsnivå uppnås för allmänintressen, såsom hälsa, säkerhet och skydd av grundläggande rättigheter, inbegripet demokrati, rättsstatens principer och miljöskydd, såsom erkänns och skyddas enligt unionsrätten. För att uppnå detta syfte bör det fastställas regler som reglerar utsläppandet på marknaden, ibruktagandet och användningen av vissa AI-system, för att på så sätt säkerställa en väl fungerande inre marknad och göra det möjligt för dessa system att omfattas av principen om fri rörlighet för varor och tjänster. Dessa regler bör vara tydliga och robusta när det gäller att skydda grundläggande rättigheter, stödja nya innovativa lösningar, möjliggöra ett europeiskt ekosystem av offentliga och privata aktörer som skapar AI-system i linje med unionens värden och ta tillvara den digitala omställningens potential i hela unionen. Genom fastställandet av dessa regler, och åtgärder till stöd för innovation med särskild inriktning på små och medelstora företag, inbegripet uppstartsföretag, stöder denna förordning unionens mål att främja den europeiska människocentrerade AI-strategin och att bli världsledande inom utvecklingen av säker, tillförlitlig och etisk AI, såsom fastställts av Europeiska rådet (5), och den säkerställer skyddet av etiska principer, vilket särskilt har begärts av Europaparlamentet (6). (5) Europeiska rådet, extra möte i Europeiska rådet (den 1 och 2 oktober 2020) – Slutsatser, EUCO 13/20, 2020, s. 6. (6) Europaparlamentets resolution av den 20 oktober 2020 med rekommendationer till kommissionen om en ram för etiska aspekter av artificiell intelligens, robotteknik och tillhörande teknik (2020/2012(INL)). 833 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 (9) Harmoniserade regler som är tillämpliga på utsläppande på marknaden, ibruktagande och användning av AI-system med hög risk bör fastställas i enlighet med Europaparlamentets och rådets förordning (EG) nr 765/2008 (7), Europaparlamentets och rådets beslut nr 768/2008/EG (8) och Europaparlamentets och rådets förordning (EU) 2019/1020 (9) (den nya lagstiftningsramen). De harmoniserade regler som fastställs i den här förordningen bör gälla i alla sektorer och bör, i linje med den nya lagstiftningsramen, inte påverka befintlig unionsrätt, särskilt om dataskydd, konsumentskydd, grundläggande rättigheter, sysselsättning och skydd för arbetstagare, samt produktsäkerhet, vilken den här förordningen kompletterar. Alla rättigheter och rättsmedel som föreskrivs genom sådan unionsrätt för konsumenter, och andra personer som AI-system kan ha en negativ inverkan på, inbegripet när det gäller ersättning för eventuella skador enligt rådets direktiv 85/374/EEG (10), förblir som en följd av detta opåverkade och fullt tillämpliga. Vidare bör den här förordningen, när det gäller anställning och skydd för arbetstagare, därför inte påverka unionsrätten om socialpolitik och nationell arbetsrätt, i överensstämmelse med unionsrätten, om anställnings-och arbetsvillkor, inbegripet hälsa och säkerhet på arbetsplatsen och förhållandet mellan arbetsgivare och arbetstagare. Den här förordningen bör inte heller påverka utövandet av grundläggande rättigheter som erkänns i medlemsstaterna och på unionsnivå, inbegripet rätten eller friheten att strejka eller att vidta annan åtgärd som ingår i medlemsstaternas respektive arbetsmarknadsmodell, eller rätten att förhandla om, ingå och tillämpa kollektivavtal eller vidta kollektiva åtgärder i enlighet med nationell rätt. Den här förordningen bör inte påverka de bestämmelser som syftar till att förbättra arbetsvillkoren för plattformsarbete som fastställs i ett direktiv från Europaparlamentet och rådet om bättre arbetsvillkor för plattformsarbete. Dessutom syftar den här förordningen till att stärka effektiviteten hos sådana befintliga rättigheter och rättsmedel genom att särskilda krav och skyldigheter fastställs, bland annat när det gäller transparens, teknisk dokumentation och loggning avseende AI-system. Vidare bör de skyldigheter som åläggs olika operatörer som ingår i AI-värdekedjan enligt den här förordningen tillämpas utan att det påverkar nationell rätt i överensstämmelse med unionsrätten, med verkan att användningen av vissa AI-system begränsas när sådan rätt inte omfattas av den här förordningen eller eftersträvar andra legitima mål av allmänt intresse än dem som eftersträvas genom den här förordningen. Till exempel bör nationell arbetsrätt och nationell rätt om skydd av minderåriga, dvs. personer under 18 år, med beaktande av allmän kommentar nr 25 (2021) till FN:s barnkonvention om barns rättigheter i den digitala miljön, i den mån de inte är specifika för AI-system och eftersträvar andra legitima mål av allmänt intresse, inte påverkas av den här förordningen. (10) Den grundläggande rätten till skydd av personuppgifter garanteras särskilt genom Europaparlamentets och rådets förordningar (EU) 2016/679 (11) och (EU) 2018/1725 (12) samt Europaparlamentets och rådets direktiv (EU) 2016/680 (13). Europaparlamentets och rådets direktiv 2002/58/EG (14) skyddar dessutom privatlivet och konfidentialitet vid kommunikation, bland annat genom att villkor föreskrivs för all lagring av personuppgifter och icke-personuppgifter i, och för åtkomst från, terminalutrustning. De unionsrättsakterna ger grunden för en hållbar och ansvarsfull databehandling, även i de fall då dataset innehåller en blandning av personuppgifter och icke-personuppgifter. Den här förordningen syftar inte till att påverka tillämpningen av befintlig unionsrätt om behandling av personuppgifter, inbegripet uppgifter och befogenheter för de oberoende tillsynsmyndigheter som är behöriga att övervaka efterlevnaden av dessa instrument. Den påverkar inte heller de skyldigheter som leverantörer och tillhandahållare av AI-system har i sin roll som personuppgiftsansvariga eller personuppgiftsbiträden enligt unionsrätten eller nationell rätt om skydd av personuppgifter, i den mån utformningen, utvecklingen eller användningen av AI-system inbegriper behandling av personuppgifter. Det är också lämpligt att klargöra att (7) Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30). (8) Europaparlamentets och rådets beslut nr 768/2008/EG av den 9 juli 2008 om en gemensam ram för saluföring av produkter och upphävande av rådets beslut 93/465/EEG (EUT L 218, 13.8.2008, s. 82). (9) Europaparlamentets och rådets förordning (EU) 2019/1020 av den 20 juni 2019 om marknadskontroll och överensstämmelse för produkter och om ändring av direktiv 2004/42/EG och förordningarna (EG) nr 765/2008 och (EU) nr 305/2011 (EUT L 169, 25.6.2019, s. 1). (10) Rådets direktiv 85/374/EEG av den 25 juli 1985 om tillnärmning av medlemsstaternas lagar och andra författningar om skadeståndsansvar för produkter med säkerhetsbrister (EGT L 210, 7.8.1985, s. 29). (11) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1). (12) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39). (13) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89). (14) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (Direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37). 834 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 registrerade fortsätter att åtnjuta alla de rättigheter och garantier som de tillerkänns genom sådan unionsrätt, inbegripet de rättigheter som rör uteslutande automatiserat individuellt beslutsfattande, inbegripet profilering. Harmoniserade regler för utsläppande på marknaden, ibruktagande och användning av AI-system som inrättas enligt den här förordningen bör underlätta ett effektivt genomförande och göra det möjligt för de registrerade att utöva sina rättigheter och andra rättsmedel som garanteras enligt unionsrätten om skydd av personuppgifter och av andra grundläggande rättigheter. (11) Denna förordning bör inte påverka tillämpningen av bestämmelserna om ansvar för leverantörer av förmedlingstjänster i Europaparlamentets och rådets förordning (EU) 2022/2065 (15). (12) Begreppet AI-system i denna förordning bör vara tydligt definierat och nära anpassat till det arbete som utförs av internationella organisationer som arbetar med AI för att säkerställa rättssäkerhet, underlätta internationell konvergens och bred acceptans, och samtidigt ge flexibilitet för att hantera den snabba tekniska utvecklingen på detta område. Dessutom bör definitionen baseras på centrala egenskaper hos AI-system som skiljer det från enklare traditionella programvarusystem eller programmeringsmetoder och inte omfatta system som bygger på de regler som fastställs endast av fysiska personer för att automatiskt utföra operationer. En viktig egenskap hos AI-system är deras förmåga att dra slutsatser. Denna slutsatsförmåga avser processen att erhålla utdata, såsom förutsägelser, innehåll, rekommendationer eller beslut, som kan påverka fysiska och virtuella miljöer och AI-systemens förmåga att härleda modeller eller algoritmer, eller både och, från indata eller data. De tekniker som gör inferens möjlig när ett AI-system byggs upp inbegriper metoder för maskininlärning för inlärning genom data om hur vissa mål uppnås, och logik- och kunskapsbaserade strategier som drar slutsatser av kodad kunskap om eller symbolisk representation av den uppgift som ska lösas. Ett AI-systems kapacitet att dra slutsatser går utöver grundläggande databehandling genom att möjliggöra inlärning, resonemang eller modellering. Termen maskinbaserad avser det faktum att AI-system körs på maskiner. Hänvisningen till uttryckliga eller underförstådda mål understryker att AI-system kan fungera enligt uttryckliga definierade mål eller underförstådda mål. AI-systemets mål kan skilja sig från AI-systemets avsedda ändamål i ett specifikt sammanhang. Vid tillämpningen av denna förordning bör miljöer förstås som de sammanhang där AI-systemen är i drift, medan utdata som genereras av AI-systemet återspeglar olika funktioner som utförs av AI-system och inbegriper förutsägelser, innehåll, rekommendationer eller beslut. AI-system är utformade för att fungera med varierande grad av autonomi, vilket innebär att de är oberoende av mänsklig kontroll i viss mån och har förmåga att fungera utan mänskligt ingripande. Den anpassningsförmåga som ett AI-system kan uppvisa när det införts avser förmågan till självlärande, vilket gör det möjligt för systemet att förändras under sin användning. AI-system kan användas fristående eller som komponent i en produkt, oavsett om systemet är fysiskt integrerat i produkten (inbyggt) eller tjänar produktens funktioner utan att vara integrerat i produkten (icke-inbyggt). (13) Begreppet tillhandahållare, som det hänvisas till i denna förordning, bör tolkas som varje fysisk eller juridisk person, inbegripet en offentlig myndighet, offentlig byrå eller ett annat organ, som under eget överinseende använder ett AI-system, med undantag för om AI-systemet används under personlig icke-yrkesmässig verksamhet. Beroende på typen av AI-system kan användningen av systemet påverka andra personer än tillhandahållaren. (14) Begreppet biometriska uppgifter som används i denna förordning bör tolkas mot bakgrund av begreppet biometriska uppgifter enligt definitionen i artikel 4.14 i förordning (EU) 2016/679, artikel 3.18 i förordning (EU) 2018/1725 och artikel 3.13 i direktiv (EU) 2016/680. Biometriska uppgifter kan ge möjlighet till autentisering, identifiering och kategorisering av fysiska personer och igenkänning av fysiska personers känslor. (15) Begreppet biometrisk identifiering, som det hänvisas till i denna förordning, bör definieras som automatiserad igenkänning av fysiska, fysiologiska och beteendemässiga mänskliga särdrag såsom ansikte, ögonrörelser, kroppsform, röst, prosodi, gång, hållning, hjärtfrekvens, blodtryck, lukt eller tangenttryckningskarakteristik för att fastställa en enskild persons identitet genom att jämföra denna individs biometriska uppgifter med lagrade biometriska uppgifter tillhörande individer i en referensdatabas, oavsett om individen har givit sitt medgivande eller inte. Detta utesluter AI-system som är avsedda att användas för biometrisk verifiering, vilket inbegriper autentisering, vars enda syfte är att bekräfta att en specifik fysisk person är den person som denne utger sig för att vara och att bekräfta identiteten på en fysisk person med det enda syftet att få åtkomst till en tjänst, låsa upp en enhet eller ha säker tillgång till lokaler. (15) Europaparlamentets och rådets förordning (EU) 2022/2065 av den 19 oktober 2022 om en inre marknad för digitala tjänster och om ändring av direktiv 2000/31/EG (förordningen om digitala tjänster) (EUT L 277, 27.10.2022, s. 1). 835 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 (16) Begreppet biometrisk kategorisering, som det hänvisas till i denna förordning, bör definieras som att fysiska personer hänförs till särskilda kategorier på grundval av deras biometriska uppgifter. Sådana särskilda kategorier kan avse aspekter som kön, ålder, hårfärg, ögonfärg, tatueringar, beteende- eller personlighetsdrag, språk, religion, tillhörighet till nationell minoritet, sexuell läggning eller politisk åskådning. Detta omfattar inte system för biometrisk kategorisering som har en ren extrafunktion som är oupplösligt kopplad till en annan kommersiell tjänst, vilket innebär att funktionen av objektiva tekniska skäl inte kan användas utan den huvudsakliga tjänsten, och integreringen av denna funktion är inte ett sätt att kringgå tillämpligheten av reglerna i denna förordning. Filter som kategoriserar ansikts- eller kroppsegenskaper som används på marknadsplatser online kan till exempel utgöra en sådan extrafunktion, eftersom de kan användas endast i förhållande till den huvudsakliga tjänsten, som är att sälja en produkt genom att göra det möjligt för konsumenten att i förväg se produkten på sig själv och hjälpa konsumenten att fatta ett köpbeslut. Filter som används på sociala nätverkstjänster online och som kategoriserar ansikts-eller kroppsfunktioner för att göra det möjligt för användare att lägga till eller ändra bilder eller videor kan också betraktas som extrafunktioner, eftersom ett sådant filter inte kan användas utan den huvudsakliga tjänsten hos de sociala nätverkstjänsterna som utgörs av delning av innehåll online. (17) Begreppet system för biometrisk fjärridentifiering, som det hänvisas till i denna förordning, bör definieras utifrån funktion, som ett AI-system avsett för identifiering av fysiska personer utan deras aktiva medverkan, vanligtvis på distans, genom jämförelse mellan en persons biometriska uppgifter och biometriska uppgifter i en referensdatabas, oavsett den specifika teknik, process eller typ av biometriska uppgifter som används. Sådana system för biometrisk fjärridentifiering används vanligtvis för att samtidigt uppfatta flera personer eller deras beteende för att avsevärt underlätta identifieringen av fysiska personer utan deras aktiva medverkan. Detta utesluter AI-system som är avsedda att användas för biometrisk verifiering, vilket inbegriper autentisering, vars enda syfte är att bekräfta att en specifik fysisk person är den person som denne utger sig för att vara, och system som används för att bekräfta identiteten på en fysisk person med det enda syftet att få åtkomst till en tjänst, låsa upp en enhet eller ha säker tillgång till lokaler. Detta uteslutande motiveras av att sådana system sannolikt har mindre inverkan på fysiska personers grundläggande rättigheter än de system för biometrisk fjärridentifiering som kan användas för behandling av biometriska uppgifter om ett stort antal personer utan deras aktiva medverkan. När det gäller system i realtid sker insamlingen av biometriska uppgifter, jämförelsen och identifieringen omedelbart, näst intill omedelbart eller under alla omständigheter utan betydande dröjsmål. I detta avseende bör det inte finnas något utrymme för att kringgå denna förordnings regler om användning i realtid av de berörda AI-systemen genom att medge mindre fördröjningar. Realtidssystem involverar direktupptagningar eller näst intill direktupptagningar av material, såsom videoupptagningar, genererade med kamera eller annan utrustning med liknande funktion. Efterhandssystem baseras däremot på redan insamlade biometriska uppgifter och jämförelsen och identifieringen sker med en betydande fördröjning. Detta involverar sådant material som bilder eller videoupptagningar som genereras genom övervakningskameror (CCTV) eller privat utrustning och som har genererats före användningen av systemet avseende de berörda fysiska personerna. (18) Begreppet system för känsloigenkänning, som det hänvisas till i denna förordning, bör definieras som ett AI-system vars syfte är att identifiera eller uttyda fysiska personers känslor eller avsikter på grundval av deras biometriska uppgifter. Begreppet avser känslor eller avsikter som lycka, sorg, ilska, överraskning, avsky, förlägenhet, sinnesrörelse, skam, förakt, nöjdhet och förnöjelse. Det omfattar inte fysiska tillstånd, såsom smärta eller trötthet, inbegripet till exempel system som används för att upptäcka trötthetstillståndet hos yrkespiloter eller yrkeschaufförer i syfte att förebygga olyckor. Detta omfattar inte heller enbart upptäckt av lätt skönjbara uttryck, gester eller rörelser, såvida de inte används för att identifiera eller dra slutsatser om känslor. De uttrycken kan vara grundläggande ansiktsuttryck såsom en sur min eller ett leende, eller gester som rörelser av händer, armar eller huvud, eller egenskaper hos en persons röst, till exempel höjd röst eller viskningar. (19) I denna förordning bör begreppet allmänt tillgänglig plats förstås som varje fysisk plats som är tillgänglig för ett obestämt antal fysiska personer och oberoende av om platsen i fråga är privatägd eller offentligägd, oberoende av den verksamhet för vilken platsen får användas, såsom handel, till exempel för affärer, restauranger, kaféer, för tjänster, till exempel banker, yrkesverksamhet, besöksnäring, för idrott, till exempel simbassänger, gym, arenor, för transport, till exempel buss-, tunnelbane- och järnvägsstationer, flygplatser, transportmedel, för underhållning, till exempel biografer, teatrar, museer, konsert- och konferenslokaler, eller för fritidsändamål eller annat, till exempel allmänna vägar och torg, parker, skogar, lekplatser. En plats bör även klassificeras som allmänt tillgänglig om tillträdet, oavsett potentiella kapacitets- eller säkerhetsbegränsningar, omfattas av vissa på förhand fastställda villkor som kan uppfyllas av ett obestämt antal personer, såsom köp av en biljett, förhandsregistrering eller en viss ålder. Däremot bör en plats inte anses vara allmänt tillgänglig om åtkomsten är begränsad till specifika och definierade fysiska personer antingen genom unionsrätt eller nationell rätt med direkt anknytning till allmän säkerhet eller säkerhet eller genom att den person som har relevant befogenhet avseende platsen tydligt uttrycker sin vilja. Den 836 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 faktiska möjligheten till tillträde, till exempel en olåst dörr, en öppen grind i ett stängsel, innebär inte att platsen är allmänt tillgänglig om det finns indikationer eller omständigheter som tyder på motsatsen, till exempel skyltar som förbjuder eller begränsar tillträde. Företags- och fabrikslokaler samt kontor och arbetsplatser till vilka avsikten är att endast berörda anställda och tjänsteleverantörer ska ha tillträde är platser som inte är allmänt tillgängliga. Allmänt tillgängliga platser bör inte omfatta fängelser eller gränskontrollområden. Vissa andra områden kan bestå av både områden som är allmänt tillgängliga och områden som inte är allmänt tillgängliga, såsom en korridor i ett privat bostadshus som krävs för tillträde till en läkarmottagning eller en flygplats. Onlineplatser omfattas inte eftersom de inte är fysiska platser. Det bör dock avgöras från fall till fall om en viss plats är tillgänglig för allmänheten, med beaktande av den individuella situationens särdrag. (20) För att dra största möjliga nytta av AI-system och samtidigt skydda grundläggande rättigheter, hälsa och säkerhet och möjliggöra demokratisk kontroll bör AI-kunnighet förse leverantörer, tillhandahållare och berörda personer med de begrepp som krävs för att fatta välgrundade beslut om AI-system. Dessa begrepp kan variera med avseende på det relevanta sammanhanget och kan inbegripa förståelse av den korrekta tillämpningen av tekniska delar under AI-systemets utvecklingsfas, de åtgärder som ska tillämpas under dess användning, lämpliga sätt att tolka AI-systemets utdata och, när det gäller berörda personer, den kunskap som krävs för att förstå hur beslut som fattas med hjälp av AI kommer att påverka dem. I samband med tillämpningen av denna förordning bör AI-kunnighet ge alla relevanta aktörer i AI-värdekedjan de insikter som krävs för att säkerställa lämplig efterlevnad och korrekt efterlevnadskontroll. Dessutom kan ett brett genomförande av åtgärder för AI-kunnighet och införandet av lämpliga uppföljningsåtgärder bidra till att förbättra arbetsvillkoren och i slutändan upprätthålla konsolideringen av och innovationsbanan för tillförlitlig AI i unionen. Den europeiska styrelsen för artificiell intelligens (styrelsen) bör stödja kommissionen för att främja AI-kunnighet, allmänhetens medvetenhet om och förståelse av fördelar, risker, skyddsåtgärder, rättigheter och skyldigheter i samband med användningen av AI-system. I samarbete med berörda parter bör kommissionen och medlemsstaterna underlätta utarbetandet av frivilliga uppförandekoder för att öka AI-kunnigheten hos personer som arbetar med utveckling, drift och användning av AI. (21) För att säkerställa lika villkor och ett effektivt skydd av individers rättigheter och friheter i hela unionen bör de regler som fastställs genom denna förordning tillämpas på leverantörer av AI-system på ett icke-diskriminerande sätt, oavsett om de är etablerade i unionen eller i ett tredjeland, och på tillhandahållare av AI-system som är etablerade i unionen. (22) Mot bakgrund av deras digitala natur bör vissa AI-system omfattas av denna förordning även om de inte släpps ut på marknaden, tas i bruk eller används i unionen. Detta är exempelvis fallet om en operatör som är etablerad i unionen lägger ut vissa tjänster på entreprenad hos en operatör som är etablerad i ett tredjeland i fråga om en aktivitet som ska utföras av ett AI-system som skulle klassificeras som AI-system med hög risk. Under dessa omständigheter kan det AI-system som används i ett tredjeland av operatören behandla data som på lagligt sätt samlats in och överförts från unionen och förse den avtalsslutande operatören i unionen med utdata från detta AI-system som är resultatet av denna behandling, utan att det berörda AI-systemet släpps ut på marknaden, tas i bruk eller används i unionen. För att förhindra att denna förordning kringgås och säkerställa ett effektivt skydd av fysiska personer som befinner sig i unionen, bör denna förordning också tillämpas på leverantörer och tillhandahållare av AI-system som är etablerade i tredjeländer, i den utsträckning som de utdata som produceras av dessa AI-system är avsedda att användas i unionen. För att ta hänsyn till befintliga arrangemang och särskilda behov av framtida samarbete med utländska partner med vilka information och bevis utbyts, bör denna förordning dock inte tillämpas på offentliga myndigheter i ett tredjeland eller internationella organisationer som agerar inom ramen för samarbete eller internationella avtal som ingåtts på unionsnivå eller nationell nivå och som avser brottsbekämpande och rättsligt samarbete med unionen eller medlemsstaterna, förutsatt att det tredjeland eller den internationella organisation som berörs erbjuder tillräckliga skyddsåtgärder vad avser skyddet av enskildas grundläggande rättigheter och friheter. I relevanta fall kan detta omfatta verksamhet som bedrivs av enheter som av tredjeländerna fått i uppdrag att utföra särskilda uppgifter till stöd för sådant brottsbekämpande och rättsligt samarbete. Sådana ramar för samarbete eller avtal har fastställts bilateralt mellan medlemsstater och tredjeländer eller mellan Europeiska unionen, Europol och andra unionsbyråer och tredjeländer och internationella organisationer. De myndigheter som är behöriga att utöva tillsyn över brottsbekämpande och rättsliga myndigheter enligt denna förordning bör bedöma huruvida dessa ramar för samarbete eller internationella avtal innehåller lämpliga skyddsåtgärder med avseende på skyddet av enskildas 837 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 grundläggande rättigheter och friheter. Mottagande nationella myndigheter och unionsinstitutioner, unionsbyråer och unionsorgan som använder sådana utdata i unionen förblir ansvariga för att säkerställa att användningen av dessa är förenlig med unionsrätten. När dessa internationella avtal ses över eller när nya ingås i framtiden bör de avtalsslutande parterna göra sitt yttersta för att anpassa dessa avtal till kraven i denna förordning. (23) Denna förordning bör också tillämpas på unionens institutioner, organ och byråer när de agerar som leverantör eller tillhandahållare av ett AI-system. (24) Om och i den mån AI-system släpps ut på marknaden, tas i bruk eller används med eller utan ändringar av sådana system för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet, bör dessa undantas från denna förordnings tillämpningsområde, oberoende av vilken typ av enhet som bedriver denna verksamhet, till exempel huruvida det är en offentlig eller privat enhet. När det gäller militära ändamål och försvarsändamål motiveras ett sådant undantagande både av artikel 4.2 i EU-fördraget och av särdragen i medlemsstaternas och unionens gemensamma försvarspolitik som omfattas av kapitel 2 i avdelning V i EU-fördraget och som omfattas av folkrätten, som därför är den lämpligaste rättsliga ramen för reglering av AI-system i samband med användning av dödligt våld och andra AI-system inom ramen för militär verksamhet och försvarsverksamhet. När det gäller ändamål som rör nationell säkerhet motiveras undantagandet både av att nationell säkerhet helt och hållet faller under medlemsstaternas ansvarsområde i enlighet med artikel 4.2 i EU-fördraget och av den särskilda karaktär och de operativa behov som verksamheten avseende nationell säkerhet har samt av de särskilda nationella regler som är tillämpliga på denna verksamhet. Om ett AI-system som utvecklas, släpps ut på marknaden, tas i bruk eller används för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet tillfälligt eller permanent används för andra ändamål, till exempel civila eller humanitära ändamål, eller ändamål som rör brottsbekämpning eller allmän säkerhet, skulle ett sådant system ändå omfattas av denna förordning. I så fall bör den enhet som använder AI-systemet för andra ändamål än militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet säkerställa att AI-systemet överensstämmer med denna förordning, såvida inte systemet redan är förenligt med denna förordning. AI-system som släpps ut på marknaden eller tas i bruk för ett ändamål som är undantaget, dvs. militärt eller som rör försvar eller nationell säkerhet, och ett eller flera icke-undantagna ändamål, såsom civila ändamål eller brottsbekämpning, omfattas av denna förordning, och leverantörer av dessa system bör säkerställa efterlevnad av denna förordning. I dessa fall bör det faktum att ett AI-system kan omfattas av denna förordning inte påverka möjligheten för enheter som bedriver verksamhet inom nationell säkerhet, försvarsverksamhet och militär verksamhet, oavsett vilken typ av enhet som bedriver denna verksamhet, att använda AI-system för nationell säkerhet, militära ändamål och försvarsändamål, vars användning är undantagen från denna förordnings tillämpningsområde. Ett AI-system som släpps ut på marknaden för civila eller brottsbekämpande ändamål och som används med eller utan ändringar för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet bör inte omfattas av denna förordning, oavsett vilken typ av enhet som bedriver denna verksamhet. (25) Denna förordning bör stödja innovation, respektera forskningens frihet och inte underminera forsknings- och utvecklingsverksamhet. Det är därför nödvändigt att från dess tillämpningsområde undanta AI-system och AI-modeller som särskilt utvecklats och tagits i bruk enbart för vetenskaplig forskning och utveckling. Det är dessutom nödvändigt att säkerställa att denna förordning inte på annat sätt påverkar vetenskaplig forsknings- och utvecklingsverksamhet avseende AI-system eller AI-modeller innan dessa släpps ut på marknaden eller tas i bruk. Inte heller när det gäller produktorienterad forsknings-, testnings- och utvecklingsverksamhet avseende AI-system eller AI-modeller bör bestämmelserna i denna förordning tillämpas innan dessa system och modeller tas i bruk eller släpps ut på marknaden. Detta undantagande påverkar inte skyldigheten att följa denna förordning om ett AI-system som faller inom tillämpningsområdet för denna förordning släpps ut på marknaden eller tas i bruk till följd av sådan forsknings- och utvecklingsverksamhet eller tillämpningen av bestämmelser om regulatoriska sandlådor för AI och testning under verkliga förhållanden. Utan att det påverkar tillämpningen av undantagandet av AI-system som särskilt utvecklats och tagits i bruk enbart för vetenskaplig forskning och utveckling bör andra AI-system som kan användas för att genomföra forsknings- och utvecklingsverksamhet även fortsättningsvis omfattas av bestämmel- serna i denna förordning. All forsknings- och utvecklingsverksamhet bör under alla omständigheter genomföras i enlighet med erkända etiska och yrkesmässiga standarder för vetenskaplig forskning och bör bedrivas i enlighet med tillämplig unionsrätt. (26) För att införa en proportionell och effektiv uppsättning bindande regler för AI-system bör en tydligt definierad riskbaserad metod användas. Denna metod bör innebära att dessa reglers art och innehåll anpassas till intensiteten och omfattningen av de risker som AI-systemen kan generera. Det är därför nödvändigt att förbjuda vissa oacceptabla AI-användningsområden, fastställa vissa krav för AI-system med hög risk och skyldigheter för berörda operatörer samt fastställa transparensskyldigheter för vissa AI-system. 838 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 (27) Den riskbaserade metoden utgör grunden för en proportionell och effektiv uppsättning bindande regler, men det är viktigt att påminna om de etiska riktlinjer för tillförlitlig AI från 2019 som utarbetats av den oberoende AI-expertgruppen, som utsetts av kommissionen. I dessa riktlinjer utarbetade AI-expertgruppen sju icke-bindande etiska principer för AI som bör bidra till att säkerställa att AI är tillförlitlig och etiskt sund. De sju principerna omfattar mänskligt agentskap och mänsklig tillsyn, teknisk robusthet och säkerhet, integritet och dataförvaltning, transparens, mångfald, icke-diskriminering och rättvisa, samhällets och miljöns välbefinnande samt ansvarsskyldig- het. Utan att det påverkar de rättsligt bindande kraven i denna förordning och annan tillämplig unionsrätt bidrar dessa riktlinjer till utformningen av konsekvent, tillförlitlig och människocentrerad AI, i linje med stadgan och de värden som unionen bygger på. Enligt AI-expertgruppens riktlinjer innebär mänskligt agentskap och mänsklig tillsyn att AI-system utvecklas och används som ett verktyg som tjänar människor, respekterar mänsklig värdighet och personlig självständighet och ska fungera så att de på ett lämpligt sätt kan kontrolleras och övervakas av människor. Teknisk robusthet och säkerhet innebär att AI-system ska utvecklas och användas på ett sätt som möjliggör robusthet i händelse av problem och resiliens mot försök att ändra AI-systemets användning eller prestanda för att möjliggöra olaglig användning från tredje parters sida, och minimerar oavsiktlig skada. Integritet och dataförvaltning innebär att AI-system utvecklas och används i enlighet med integritets- och dataskyddsregler, samtidigt som data som uppfyller höga standarder i fråga om kvalitet och integritet behandlas. Transparens innebär att AI-system utvecklas och används på ett sätt som möjliggör lämplig spårbarhet och förklarbarhet, samtidigt som människor informeras om att de kommunicerar eller interagerar med ett AI-system och att tillhandahållare vederbörligen informeras om AI-systemets kapacitet och begränsningar samt att personer som påverkas informeras om sina rättigheter. Mångfald, icke-diskriminering och rättvisa innebär att AI-system utvecklas och används på ett sätt som inkluderar olika aktörer och främjar lika tillgång, jämställdhet och kulturell mångfald, samtidigt som diskriminerande effekter och oskäliga biaser, som är förbjudna enligt unionsrätten eller nationell rätt undviks. Samhällets och miljöns välbefinnande innebär att AI-system utvecklas och används på ett hållbart och miljövänligt sätt samt för att gynna alla människor, samtidigt som de långsiktiga effekterna för individen, samhället och demokratin övervakas och bedöms. Tillämpningen av dessa principer bör, när så är möjligt, omsättas i utformningen och användningen av AI-modeller. De bör under alla omständigheter ligga till grund för utarbetandet av uppförandekoder inom ramen för denna förordning. Alla berörda parter, inbegripet industrin, den akademiska världen, det civila samhället och standardiseringsorganisationer, uppmanas att på lämpligt sätt beakta de etiska principerna för utveckling av frivillig bästa praxis och standarder. (28) Vid sidan av de många nyttiga användningsområdena för AI kan den också missbrukas och tillhandahålla nya och kraftfulla verktyg för manipulation, utnyttjande och social kontroll. Sådana användningsområden är särskilt skadliga och kränkande och bör förbjudas eftersom de strider mot unionens värden och respekten för människans värdighet, frihet, jämlikhet, demokrati och rättsstatens principer samt grundläggande rättigheter som fastställs i stadgan, inbegripet rätten till icke-diskriminering, dataskydd och personlig integritet samt barnets rättigheter. (29) AI-baserad manipulativ teknik kan användas för att övertyga personer att ägna sig åt oönskat beteende, eller för att vilseleda dem genom att driva dem till beslut på ett sätt som undergräver och försämrar deras autonomi, beslutsfattande och fria val. Utsläppandet på marknaden, ibruktagandet eller användningen av vissa AI-system med målet eller följden att det mänskliga beteendet väsentligt påverkas och som sannolikt kan medföra betydande skador, i synnerhet med tillräckligt betydande negativa konsekvenser för den fysiska eller psykiska hälsan eller ekonomiska intressen, är särskilt farliga och bör därför förbjudas. Sådana AI-system utnyttjar subliminala komponenter såsom ljud-, bild-och videostimuli som människor inte kan uppfatta, eftersom dessa stimuli ligger utanför människans uppfattningsförmåga, eller annan manipulativ eller vilseledande teknik som undergräver eller försämrar människors autonomi, beslutsfattande eller fria val på sätt där människor inte är medvetna om denna teknik, eller om de är medvetna om den, fortfarande kan vilseledas eller inte kan kontrollera eller stå emot den. Detta kan underlättas av till exempel maskin–hjärna-gränssnitt eller virtuell verklighet eftersom det möjliggör en högre grad av kontroll av vilka stimuli som personer utsätts för, i den mån som de väsentligt kan påverka deras beteende på ett betydande skadligt sätt. Dessutom kan AI-system också på annat sätt utnyttja sårbarheterna hos en person eller en viss grupp av personer på grund av ålder, funktionsnedsättning i den mening som avses i Europaparlamentets och rådets direktiv (EU) 2019/882 (16) eller en specifik social eller ekonomisk situation som sannolikt kommer att göra dessa personer mer sårbara för utnyttjande, såsom personer som lever i extrem fattigdom, etniska minoriteter eller religiösa minoriteter. Sådana AI-system kan släppas ut på marknaden, tas i bruk eller användas med målet eller verkan att väsentligt påverka en persons beteende och på ett sätt som orsakar eller med rimlig sannolikhet kommer att orsaka betydande skada för den personen eller en annan person eller grupper av personer, inbegripet skador som kan (16) Europaparlamentets och rådets direktiv (EU) 2019/882 av den 17 april 2019 om tillgänglighetskrav för produkter och tjänster (EUT L 151, 7.6.2019, s. 70). 839 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 ackumuleras över tid, och bör därför förbjudas. Det är kanske inte möjligt att anta att det finns en avsikt att påverka beteendet, om påverkan beror på faktorer utanför AI-systemet som ligger utanför leverantörens eller tillhandahållarens kontroll, dvs. faktorer som kanske inte är rimligen förutsebara och därför inte kan begränsas av leverantören eller tillhandahållaren av AI-systemet. I alla händelser är det inte nödvändigt att leverantören eller tillhandahållaren har för avsikt att orsaka den betydande skadan, förutsatt att sådan skada beror på de manipulativa eller utnyttjande AI-baserade användningsområdena. Förbuden mot sådana AI-användningsområden kompletterar bestämmelserna i Europaparlamentets och rådets direktiv 2005/29/EG (17), särskilt att otillbörliga affärsmetoder som leder till ekonomisk eller finansiell skada för konsumenter är förbjudna under alla omständigheter, oavsett om de har införts genom AI-system eller på annat sätt. Förbuden mot manipulativa och utnyttjande användningsområden i denna förordning bör inte påverka lagliga användningsområden i samband med medicinsk behandling, såsom psykologisk behandling av en psykisk sjukdom eller fysisk rehabilitering, när denna användning sker i enlighet med tillämplig lag och tillämpliga medicinska normer, till exempel de enskilda personernas eller deras ombuds uttryckliga samtycke. Dessutom bör vanliga och legitima affärsmetoder, till exempel på reklamområdet, som är förenliga med tillämplig rätt inte i sig anses utgöra skadliga manipulativa AI-baserade metoder. (30) System för biometrisk kategorisering som baseras på fysiska personers biometriska uppgifter, såsom en enskild persons ansikte eller fingeravtryck, för att härleda eller dra slutsatser om en persons politiska åsikter, medlemskap i fackförening, religiösa eller filosofiska övertygelse, ras, sexualliv eller sexuella läggning bör förbjudas. Detta förbud omfattar inte laglig märkning, filtrering eller kategorisering av biometriska dataset som förvärvats i enlighet med unionsrätten eller nationell rätt på grundval av biometriska uppgifter, såsom sortering av bilder enligt hår- eller ögonfärg, som till exempel kan användas inom brottsbekämpning. (31) AI-system som tillhandahåller offentliga eller privata aktörers sociala poängsättning av fysiska personer kan medföra diskriminering och uteslutning av vissa grupper. De kan strida mot rätten till värdighet och icke-diskriminering och värdena jämlikhet och rättvisa. Sådana AI-system utvärderar eller klassificerar fysiska personer eller grupper av sådana på grundval av flera datapunkter relaterade till deras sociala beteende i olika sammanhang eller kända, uttydda eller förutsedda personliga egenskaper eller personlighetsegenskaper under vissa tidsperioder. Den sociala poängsättning som erhålls från sådana AI-system kan leda till negativ eller ogynnsam behandling av fysiska personer eller hela grupper av fysiska personer i sociala sammanhang som saknar koppling till det sammanhang där berörda data ursprungligen genererades eller samlades in, eller till en negativ behandling som är oproportionerlig eller omotiverad i förhållande till hur allvarligt deras sociala beteende är. AI-system som medför sådana oacceptabla poängsättningsmetoder och som leder till sådana negativa eller ogynnsamma resultat bör därför förbjudas. Detta förbud bör inte påverka lagliga metoder för bedömning av fysiska personer som utförs för ett specifikt ändamål i enlighet med unionsrätten och nationell rätt. (32) Användningen av system för biometrisk fjärridentifiering i realtid av fysiska personer på allmänt tillgängliga platser för brottsbekämpande ändamål inkräktar särskilt på de berörda personernas rättigheter och friheter, i och med att denna användning kan påverka privatlivet för en stor del av befolkningen, kan skapa en känsla av konstant övervakning och indirekt avskräcka från utövande av mötesfrihet och andra grundläggande rättigheter. Tekniska brister i AI-system som är avsedda för biometrisk fjärridentifiering av fysiska personer kan leda till biaser i resultat och medföra diskriminerande effekter. Sådana eventuella biaser i resultat och diskriminerande effekter är särskilt relevanta när det gäller ålder, etnicitet, ras, kön eller funktionsnedsättning. De omedelbara effekterna och de begränsade möjligheterna till ytterligare kontroll eller korrigering när det gäller användningen av sådana system som fungerar i realtid innebär ökade risker för rättigheterna och friheterna för berörda personer i samband med, eller som påverkas av, brottsbekämpande verksamhet. (33) Användningen av sådana system för brottsbekämpning bör därför vara förbjuden, utom i de snävt definierade situationer som anges i den uttömmande förteckningen, i de fall då användningen är strikt nödvändig för att uppnå ett väsentligt allmänintresse vars betydelse är större än riskerna. Dessa situationer inbegriper sökandet efter vissa brottsoffer, inklusive försvunna personer, vissa hot mot fysiska personers liv eller fysiska säkerhet eller hot om en terroristattack, och lokalisering eller identifiering av gärningsmän till eller misstänkta för brott som förtecknas i en bilaga till denna förordning, om dessa brott i den berörda medlemsstaten kan leda till fängelse eller annan (17) Europaparlamentets och rådets direktiv 2005/29/EG av den 11 maj 2005 om otillbörliga affärsmetoder som tillämpas av näringsidkare gentemot konsumenter på den inre marknaden och om ändring av rådets direktiv 84/450/EEG och Europaparlamentets och rådets direktiv 97/7/EG, 98/27/EG och 2002/65/EG samt Europaparlamentets och rådets förordning (EG) nr 2006/2004 (direktiv om otillbörliga affärsmetoder) (EUT L 149, 11.6.2005, s. 22). 840 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 frihetsberövande åtgärd under en längsta tidsperiod på minst fyra år och i enlighet med fastställda brottsrekvisit för dessa brott i den medlemsstatens nationella rätt. En sådan tröskel för påföljden fängelse eller annan frihetsberövande åtgärd i enlighet med nationell rätt bidrar till att säkerställa att brottet är allvarligt nog för att potentiellt motivera användningen av system för biometrisk fjärridentifiering i realtid. Vidare grundas förteckningen över brott i en bilaga till denna förordning på de 32 brott som förtecknas i rådets rambeslut 2002/584/RIF (18), med beaktande av att vissa av dessa brott i praktiken sannolikt kommer att vara mer relevanta än andra, i och med att det kommer att variera mycket hur nödvändig och proportionell användningen av biometrisk fjärridentifiering i realtid kan förutses vara för det praktiska arbetet med lokalisering eller identifiering av gärningsmän eller misstänkta när det gäller brott som anges i förteckningen, och med beaktande av de sannolika skillnaderna vad gäller allvarlighetsgrad, sannolikhet och omfattning på skadan eller de möjliga negativa konsekvenserna. Ett överhängande hot mot en persons liv eller fysiska säkerhet kan också vara följden av en allvarlig driftsstörning vid kritisk infrastruktur enligt definitionen i artikel 2.4 i Europaparlamentets och rådets direktiv (EU) 2022/2557 (19), om en driftsstörning vid eller förstörelse av sådan kritisk infrastruktur skulle leda till en omedelbar fara för en persons liv eller fysiska säkerhet, inbegripet genom allvarlig skada på tillhandahållandet av basförnödenheter till befolkningen eller på utövandet av statens kärnfunktion. Dessutom bör denna förordning bevara möjligheten för brottsbekämpande myndigheter, gräns- kontrollmyndigheter, immigrations-eller asylmyndigheter att utföra identitetskontroller i närvaro av den berörda personen i enlighet med villkoren i unionsrätten och nationell rätt för sådana kontroller. I synnerhet bör brottsbekämpande myndigheter, gränskontrollmyndigheter, migrationsmyndigheter eller asylmyndigheter kunna använda informationssystem, i enlighet med unionsrätten eller nationell rätt, för att identifiera personer som under en identitetskontroll antingen vägrar att identifieras eller inte kan ange eller bevisa sin identitet, utan att det enligt denna förordning krävs förhandstillstånd. Detta kan till exempel röra sig om en person som är inblandad i ett brott, är ovillig eller på grund av en olycka eller ett medicinskt tillstånd är oförmögen att uppge sin identitet för brottsbekämpande myndigheter. (34) För att säkerställa att dessa system används på ett ansvarsfullt och proportionellt sätt är det också viktigt att fastställa att hänsyn bör tas till vissa faktorer i var och en av de snävt definierade situationerna i den uttömmande förteckningen, i synnerhet vad gäller arten av den situation som ger upphov till begäran och användningens konsekvenser för alla berörda personers rättigheter och friheter samt de skyddsåtgärder och villkor som föreskrivs i samband med användningen. Användningen av system för biometrisk fjärridentifiering i realtid på allmänt tillgänglig plats för brottsbekämpande ändamål bör utnyttjas endast för att bekräfta identiteten på den individ som särskilt avses och bör begränsas till vad som är strikt nödvändigt vad gäller tidsperiod samt det geografiska tillämpningsområdet och de personer som omfattas, med särskild hänsyn till bevis eller indikationer vad gäller hoten, offren eller gärningsmännen. Användningen av systemet för biometrisk fjärridentifiering i realtid på allmänt tillgänglig plats bör tillåtas endast om den relevanta brottsbekämpande myndigheten har slutfört en konsekvensbedömning avseende grundläggande rättigheter och, om inte annat föreskrivs i denna förordning, har registrerat systemet i den databas som föreskrivs i denna förordning. Referensdatabasen över personer bör vara ändamålsenlig för varje användningsfall i var och en av de situationer som anges ovan. (35) Varje användning av system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål bör vara föremål för ett uttryckligt och specifikt tillstånd som lämnas av en rättslig myndighet eller en oberoende administrativ myndighet i en medlemsstat vars beslut är bindande. Dessa tillstånd bör i princip erhållas innan AI-systemet används för att identifiera en eller flera personer. Undantag från denna regel bör tillåtas av hänsyn till vederbörligen motiverade brådskande situationer, dvs. situationer då behovet av att använda de ifrågavarande systemen är sådant att det i praktiken är objektivt omöjligt att erhålla ett tillstånd innan användningen av AI-systemet inleds. I sådana brådskande situationer bör användningen av AI-systemet begränsas till det absoluta minimum som är nödvändigt och bör omfattas av lämpliga skyddsmekanismer och villkor som fastställs i nationell rätt och som specificeras av den berörda brottsbekämpande myndigheten i samband med varje enskilt fall av brådskande användning. Dessutom bör den brottsbekämpande myndigheten i sådana situationer begära ett sådant tillstånd samtidigt som den anger skälen till att den inte har kunnat begära det tidigare, utan oskäligt dröjsmål och senast inom 24 timmar. Om ett sådant tillstånd nekas bör användningen av system för biometrisk identifiering i realtid som är kopplade till det tillståndet stoppas med omedelbar verkan och alla uppgifter som rör sådan användning bör förstöras och raderas. Sådana data omfattar indata som erhållits direkt av ett AI-system i samband (18) Rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna (EGT L 190, 18.7.2002, s. 1). (19) Europaparlamentets och rådets direktiv (EU) 2022/2557 av den 14 december 2022 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG (EUT L 333, 27.12.2022, s. 164). 841 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 med användningen av ett sådant system samt resultat och utdata från den användning som är kopplad till det tillståndet. Det bör inte omfatta indata som lagligen förvärvats i enlighet med annan unionsrätt eller nationell rätt. Under inga omständigheter bör beslut som har negativa rättsliga följder för en person fattas enbart på grundval av utdata från systemet för biometrisk fjärridentifiering. (36) För att kunna utföra sina uppgifter i enlighet med kraven i denna förordning och i nationella regler bör den berörda marknadskontrollmyndigheten och den nationella dataskyddsmyndigheten underrättas om varje användning av systemet för biometrisk identifiering i realtid. Marknadskontrollmyndigheterna och de nationella dataskyddsmyndig- heter som har underrättats bör lämna in en årlig rapport till kommissionen om användningen av system för biometrisk identifiering i realtid. (37) Det är också lämpligt att, inom den uttömmande ram som fastställs genom denna förordning, föreskriva att en sådan användning på en medlemsstats territorium i enlighet med denna förordning endast bör vara möjlig i de fall och i den utsträckning som den berörda medlemsstaten har beslutat att uttryckligen föreskriva möjligheten att tillåta sådan användning i sina närmare bestämmelser i nationell rätt. Enligt denna förordning behåller alltså medlemsstaterna sin frihet att inte alls föreskriva någon sådan möjlighet eller att endast föreskriva en sådan möjlighet med avseende på några av de syften som kan motivera användning som tillåten enligt denna förordning. Sådana nationella bestämmelser bör anmälas till kommissionen senast 30 dagar efter det att de har antagits. (38) Användningen av system för biometrisk fjärridentifiering i realtid av fysiska personer på allmänt tillgängliga platser för brottsbekämpande ändamål involverar med nödvändighet behandling av biometriska uppgifter. Reglerna i denna förordning som med vissa undantag förbjuder sådan användning, och som baseras på artikel 16 i EUF-fördraget, bör tillämpas som lex specialis med avseende på de regler om behandling av biometriska uppgifter som anges i artikel 10 i direktiv (EU) 2016/680, och reglerar därmed sådan användning och behandling av berörda biometriska uppgifter på ett uttömmande sätt. Därför bör sådan användning och behandling vara möjlig endast i den utsträckning som den är förenlig med den ram som fastställs i denna förordning, utan att de behöriga myndigheterna har något utrymme, då de agerar för brottsbekämpande ändamål, att utanför den ramen använda sådana system och behandla sådana data i samband med detta av de skäl som förtecknas i artikel 10 i direktiv (EU) 2016/680. I det sammanhanget är denna förordning inte avsedd att tillhandahålla en rättslig grund för behandling av personuppgifter enligt artikel 8 i direktiv (EU) 2016/680. Användningen av system för biometrisk fjärridentifiering i realtid på allmänt tillgänglig plats för andra ändamål än brottsbekämpning, inbegripet av behöriga myndigheter, bör inte omfattas av den särskilda ram för sådan användning för brottsbekämpande ändamål som fastställs i denna förordning. Sådan användning för andra ändamål än brottsbekämpning bör därför inte omfattas av kravet på tillstånd enligt denna förordning och de tillämpliga närmare bestämmelser i nationell rätt som kan ge verkan åt det tillståndet. (39) Användning av biometriska uppgifter och andra personuppgifter i samband med användningen av AI-system för biometrisk identifiering som inte sker i samband med användning av system för biometrisk fjärridentifiering i realtid på allmänt tillgänglig plats för brottsbekämpande ändamål som regleras av denna förordning bör även fortsättningsvis uppfylla alla krav som följer av artikel 10 i direktiv (EU) 2016/680. För andra ändamål än brottsbekämpning förbjuds enligt artikel 9.1 i förordning (EU) 2016/679 och artikel 10.1 i förordning (EU) 2018/1725 behandling av biometriska uppgifter med förbehåll för begränsade undantag enligt de artiklarna. Med tillämpning av artikel 9.1 i förordning (EU) 2016/679 har användningen av biometrisk fjärridentifiering för andra ändamål än brottsbekämpning redan förbjudits av nationella dataskyddsmyndigheter. (40) I enlighet med artikel 6a i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till EU-fördraget och EUF-fördraget, är Irland inte bundet av reglerna i artikel 5.1 första stycket g i den mån den är tillämplig på system för biometrisk kategorisering inom polissamarbete och straffrättsligt samarbete, artikel 5.1 första stycket d i den mån den är tillämplig på användning av AI-system som omfattas av den bestämmelsen, artikel 5.1 första stycket h samt artiklarna 5.2–5.6 och 26.10 i denna förordning som antagits på grundval av artikel 16 i EUF-fördraget och som avser medlemsstaternas behandling av personuppgifter när de bedriver verksamhet som omfattas av avdelning V kapitel 4 eller 5 i tredje delen av EUF-fördraget i det fall då Irland inte är bundet av bestämmelserna om formerna för straffrättsligt samarbete eller polissamarbete inom ramen för vilka de bestämmelser måste iakttas som fastställs på grundval av artikel 16 i EUF-fördraget. (41) I enlighet med artiklarna 2 och 2a i protokoll nr 22 om Danmarks ställning, fogat till EU-fördraget och EUF-fördraget, är Danmark inte bundet av reglerna i artikel 5.1 första stycket g i den mån den är tillämplig på användning av system för biometrisk kategorisering inom polissamarbete och straffrättsligt samarbete, artikel 5.1 första stycket d i den mån den är tillämplig på användning av AI-system som omfattas av den bestämmelsen, artikel 5.1 första stycket h samt artiklarna 5.2–5.6 och 26.10 i denna förordning som antagits på grundval av 842 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 artikel 16 i EUF-fördraget, eller tillämpningen av dessa, som avser medlemsstaternas behandling av personuppgifter när dessa utövar verksamhet som omfattas av tillämpningsområdet för avdelning V kapitel 4 eller 5 i tredje delen av EUF-fördraget. (42) I enlighet med presumtionen för oskuld bör fysiska personer i unionen alltid bedömas utifrån sitt faktiska beteende. Fysiska personer bör aldrig bedömas på grundval av genom AI förutsett beteende enbart grundat på deras profilering, personlighetsdrag eller egenskaper, såsom nationalitet, födelseort, bostadsort, antal barn, skuldsättning eller typ av bil, utan rimlig misstanke om att personen är inblandad i en brottslig verksamhet på grundval av objektiva, kontrollerbara fakta och utan mänsklig bedömning av detta. Därför bör riskbedömningar som genomförs med avseende på fysiska personer för att bedöma sannolikheten för att de begår brott eller för att förutsäga förekomsten av ett faktiskt eller potentiellt brott enbart på grundval av deras profilering eller en bedömning av deras personlighetsdrag och egenskaper förbjudas. I vilket fall som helst avser eller berör förbudet inte riskanalyser som inte baseras på profilering av enskilda personer eller på enskilda personers personlighetsdrag och egenskaper, såsom AI-system som använder riskanalyser för att bedöma sannolikheten för ekonomiska bedrägerier från företags sida på grundval av misstänkta transaktioner eller riskanalysverktyg för förutsägelser om sannolikheten för tullmyndigheters lokalisering av narkotika eller olagliga varor, till exempel på grundval av kända smugglingsvägar. (43) Utsläppande på marknaden, ibruktagande för detta specifika ändamål eller användningen av AI-system som skapar eller utvidgar databaser för ansiktsigenkänning genom oriktad skrapning av ansiktsbilder från internet eller övervakningskameror bör förbjudas, eftersom metoden ökar känslan av att det förekommer massövervakning och kan leda till grova kränkningar av grundläggande rättigheter, inbegripet rätten till integritet. (44) Det råder allvarlig oro över den vetenskapliga grunden för AI-system som syftar till att identifiera eller uttyda känslor, särskilt som uttryck för känslor varierar avsevärt mellan olika kulturer och situationer och till och med hos en och samma individ. Några av de största bristerna i sådana system är begränsad tillförlitlighet, brist på specificitet och begränsad generaliserbarhet. AI-system som identifierar eller uttyder fysiska personers känslor eller avsikter på grundval av deras biometriska uppgifter kan därför leda till diskriminerande resultat och kan inkräkta på de berörda personernas rättigheter och friheter. Med tanke på maktobalansen i fråga om arbete eller utbildning, i kombination med dessa systems inkräktande karaktär, kan sådana system leda till skadlig eller ogynnsam behandling av vissa fysiska personer eller hela grupper av fysiska personer. Därför bör utsläppande på marknaden, ibruktagande eller användning av AI-system som är avsedda att användas för att upptäcka känslomässiga förhållanden hos enskilda personer i situationer som rör arbetsplats och utbildning förbjudas. Förbudet bör inte omfatta AI-system som släpps ut på marknaden uteslutande av medicinska skäl eller säkerhetsskäl, såsom system som är avsedda för terapeutisk användning. (45) Metoder som är förbjudna enligt unionsrätten, inbegripet dataskyddslagstiftning, lagstiftning om icke-diskriminer- ing, konsumentskyddslagstiftning och konkurrensrätt, bör inte påverkas av denna förordning. (46) AI-system med hög risk bör endast släppas ut på unionsmarknaden eller tas i bruk om de uppfyller vissa obligatoriska krav. Dessa krav bör säkerställa att AI-system med hög risk vilka finns tillgängliga i unionen eller vars utdata på annat sätt används i unionen inte utgör någon oacceptabel risk för viktiga allmänna intressen för unionen som erkänns och skyddas av unionsrätten. Baserat på den nya lagstiftningsramen, som klargörs i kommissionens meddelande 2022 års blåbok om genomförandet av EU:s produktbestämmelser (20), är den allmänna regeln att mer än en rättsakt inom unionens harmoniseringslagstiftning, exempelvis Europaparlamentets och rådets förordningar (EU) 2017/745 (21) och (EU) 2017/746 (22) eller Europaparlamentets och rådets direktiv 2006/42/EG (23), kan äga tillämpning med avseende på en produkt, eftersom tillhandahållandet eller ibruktagandet endast kan ske när produkten överensstämmer med all tillämplig unionsharmoniseringslagstiftning. För att säkerställa samstämmighet (20) EUT C 247, 29.6.2022, s. 1. (21) Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG (EUT L 117, 5.5.2017, s. 1). (22) Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitro-diagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU (EUT L 117, 5.5.2017, s. 176). (23) Europaparlamentets och rådets direktiv 2006/42/EG av den 17 maj 2006 om maskiner och om ändring av direktiv 95/16/EG (EUT L 157, 9.6.2006, s. 24). 843 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 och undvika onödig administrativ börda eller onödiga kostnader bör leverantörer av en produkt som innehåller ett eller flera AI-system med hög risk som omfattas av kraven i den här förordningen och i unionens harmoniseringslagstiftning som förtecknas i en bilaga till den här förordningen ha flexibilitet när det gäller operativa beslut om hur det ska säkerställas att en produkt som innehåller ett eller flera AI-system uppfyller alla tillämpliga krav i unionens harmoniseringslagstiftning på ett optimalt sätt. AI-system som identifieras som AI-system med hög risk bör begränsas till sådana som har en betydande skadlig inverkan på hälsa, säkerhet och grundläggande rättigheter för personer i unionen och denna avgränsning bör minimera de potentiella begränsningarna av den internationella handeln. (47) AI-system kan ha negativa effekter för människors hälsa och säkerhet, i synnerhet när sådana system fungerar som säkerhetskomponenter i produkter. I enlighet med syftena för unionens harmoniseringslagstiftning, som är att främja den fria rörligheten för produkter på den inre marknaden och säkerställa att endast säkra produkter som uppfyller kraven släpps ut på marknaden, är det viktigt att de säkerhetsrisker som kan genereras av produkten som helhet på grund av dess digitala komponenter, inklusive AI-system, förhindras och begränsas. Robotar som blir allt mer autonoma, oavsett om det är i samband med tillverkning eller personlig assistans och vård, bör också kunna arbeta säkert och utföra sina funktioner i komplexa miljöer. Inom vårdsektorn, där liv och hälsa i särskilt hög grad kan påverkas, bör de allt mer sofistikerade diagnossystemen och systemen som stöder mänskliga beslut vara tillförlitliga och noggranna. (48) Omfattningen av de negativa effekter som AI-systemet har på de grundläggande rättigheter som skyddas av stadgan har särskilt stor betydelse när ett AI-system klassificeras som AI-system med hög risk. Dessa rättigheter innefattar rätten till människans värdighet, respekt för privatlivet och familjelivet, skydd av personuppgifter, yttrandefrihet och informationsfrihet, mötesfrihet och organisationsfrihet, rätten till icke-diskriminering, rätten till utbildning, konsumentskydd, arbetstagares rättigheter, rättigheter för personer med funktionsnedsättning, jämställdhet, immateriella rättigheter, rätten till ett effektivt rättsmedel och till en opartisk domstol, rätten till försvar och presumtionen för oskuld och rätten till god förvaltning. Vid sidan av dessa rättigheter är det viktigt att lyfta fram den omständigheten att barn har särskilda rättigheter i enlighet med artikel 24 i stadgan och Förenta nationernas konvention om barnets rättigheter, som vidareutvecklas i allmän kommentar nr 25 till FN:s barnkonvention vad gäller den digitala miljön, som båda kräver att barns utsatthet beaktas och att de ges ett sådant skydd och sådan omsorg som krävs för deras välbefinnande. Även den grundläggande rättigheten till en hög nivå av miljöskydd, som också ingår i stadgan och genomförs i unionspolitik, bör beaktas vid bedömningen av allvarlighetsgraden i den skada som ett AI-system kan orsaka, inbegripet vad gäller människors hälsa och säkerhet. (49) När det gäller AI-system med hög risk som är säkerhetskomponenter i produkter eller system, eller som i sig själva utgör produkter eller system som omfattas av Europaparlamentets och rådets förordning (EG) nr 300/2008 (24), Europaparlamentets och rådets förordning (EU) nr 167/2013 (25), Europaparlamentets och rådets förordning (EU) nr 168/2013 (26), Europaparlamentets och rådets direktiv 2014/90/EU (27), Europaparlamentets och rådets direktiv (EU) 2016/797 (28), Europaparlamentets och rådets förordning (EU) 2018/858 (29), Europaparlamentets och rådets (24) Europaparlamentets och rådets förordning (EG) nr 300/2008 av den 11 mars 2008 om gemensamma skyddsregler för den civila luftfarten och om upphävande av förordning (EG) nr 2320/2002 (EUT L 97, 9.4.2008, s. 72). (25) Europaparlamentets och rådets förordning (EU) nr 167/2013 av den 5 februari 2013 om godkännande och marknadstillsyn av jordbruks- och skogsbruksfordon (EUT L 60, 2.3.2013, s. 1). (26) Europaparlamentets och rådets förordning (EU) nr 168/2013 av den 15 januari 2013 om godkännande av och marknadstillsyn för två- och trehjuliga fordon och fyrhjulingar (EUT L 60, 2.3.2013, s. 52). (27) Europaparlamentets och rådets direktiv 2014/90/EU av den 23 juli 2014 om marin utrustning och om upphävande av rådets direktiv 96/98/EG (EUT L 257, 28.8.2014, s. 146). (28) Europaparlamentets och rådets direktiv (EU) 2016/797 av den 11 maj 2016 om driftskompatibiliteten hos järnvägssystemet inom Europeiska unionen (EUT L 138, 26.5.2016, s. 44). (29) Europaparlamentets och rådets förordning (EU) 2018/858 av den 30 maj 2018 om godkännande av och marknadskontroll över motorfordon och släpfordon till dessa fordon samt av system, komponenter och separata tekniska enheter som är avsedda för sådana fordon, om ändring av förordningarna (EG) nr 715/2007 och (EG) nr 595/2009 samt om upphävande av direktiv 2007/46/EG (EUT L 151, 14.6.2018, s. 1). 844 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 förordning (EU) 2018/1139 (30) och Europaparlamentets och rådets förordning (EU) 2019/2144 (31), är det lämpligt att ändra de akterna för att säkerställa att kommissionen, på grundval av de tekniska och regleringsmässiga särdragen för varje sektor och utan att inkräkta på befintliga mekanismer för styrelseformer, för kontroll av överensstämmelse och för kontroll av efterlevnad och myndigheter som inrättats inom ramen för dessa, beaktar de obligatoriska krav för AI-system med hög risk som fastställs i den här förordningen när de antar relevanta delegerade akter eller genomförandeakter på grundval av de akterna. (50) När det gäller AI-system som är säkerhetskomponenter i produkter, eller som i sig själva utgör produkter, vilka omfattas av viss unionsharmoniseringslagstiftning som förtecknas i en bilaga till denna förordning, är det lämpligt att klassificera dessa som AI-system med hög risk enligt denna förordning om den berörda produkten genomgår förfarandet för bedömning av överensstämmelse hos ett tredjepartsorgan för bedömning av överensstämmelse enligt relevant unionsharmoniseringslagstiftning. Det handlar närmare bestämt om sådana produkter som maskiner, leksaker, hissar, utrustning och skyddssystem avsedda för användning i potentiellt explosionsfarliga omgivningar, radioutrustning, tryckutrustning, utrustning för fritidsfartyg, linbaneanläggningar, anordningar för förbränning av gasformiga bränslen, medicintekniska produkter, medicintekniska produkter för in vitro-diagnostik, fordon och luftfart. (51) En klassificering av ett AI-system som AI-system med hög risk enligt denna förordning bör inte nödvändigtvis innebära att den produkt vars säkerhetskomponent utgörs av AI-systemet, eller AI-systemet i sig självt som produkt, anses utgöra ett system med hög risk enligt de kriterier som fastställs i den relevanta unionsharmoniseringslag- stiftning som är tillämplig på produkten. Detta gäller i synnerhet för förordningarna (EU) 2017/745 och (EU) 2017/746, i vilka tredjepartsbedömning av överensstämmelse föreskrivs för produkter med medelhög risk och hög risk. (52) När det gäller fristående AI-system, det vill säga andra AI-system med hög risk än sådana som utgör säkerhetskomponenter i produkter, eller som i sig själva utgör produkter, är det lämpligt att klassificera dem som AI-system med hög risk om de mot bakgrund av sitt avsedda ändamål utgör en hög risk för skada på personers hälsa och säkerhet eller grundläggande rättigheter, med beaktande både den möjliga skadans allvarlighetsgrad och sannolikheten för att den ska uppstå, och de används på ett antal specifikt fördefinierade områden som anges i denna förordning. Identifieringen av sådana system baseras på samma metoder och kriterier som även är avsedda att användas för framtida ändringar av förteckningen över AI-system med hög risk som kommissionen bör ges befogenhet att anta genom delegerade akter, för att ta hänsyn till den snabba tekniska utvecklingen samt potentiella förändringar i användningen av AI-system. (53) Det är också viktigt att klargöra att det kan finnas särskilda fall där AI-system som det hänvisas till inom fördefinierade områden som anges i denna förordning inte leder till en betydande risk för skada för de rättsliga intressen som skyddas inom dessa områden, eftersom de inte väsentligt påverkar beslutsfattandet eller inte skadar dessa intressen väsentligt. Vid tillämpningen av denna förordning bör ett AI-system som inte väsentligt påverkar resultatet av beslutsfattande förstås som ett AI-system som inte påverkar innehållet, och därmed resultatet, av beslutsfattande, oavsett om det är mänskligt eller automatiserat. Ett AI-system som inte väsentligt påverkar resultatet av beslutsfattande kan omfatta situationer där ett eller flera av nedanstående villkor är uppfyllda. Det första sådana villkoret bör vara att AI-systemet är avsett att utföra en snäv processuell uppgift, såsom ett AI-system som omvandlar ostrukturerade data till strukturerade data, ett AI-system som klassificerar inkommande handlingar i kategorier eller ett AI-system som används för att upptäcka dubbletter bland ett stort antal applikationer. Dessa uppgifter är av så snäv och begränsad art att de endast medför begränsade risker som inte ökar genom användning av ett AI-system i ett sammanhang som förtecknas som användning med hög risk i en bilaga till denna förordning. (30) Europaparlamentets och rådets förordning (EU) 2018/1139 av den 4 juli 2018 om fastställande av gemensamma bestämmelser på det civila luftfartsområdet och inrättande av Europeiska unionens byrå för luftfartssäkerhet, och om ändring av Europaparlamentets och rådets förordningar (EG) nr 2111/2005, (EG) nr 1008/2008, (EU) nr 996/2010, (EU) nr 376/2014 och direktiv 2014/30/EU och 2014/53/EU, samt om upphävande av Europaparlamentets och rådets förordningar (EG) nr 552/2004 och (EG) nr 216/2008 och rådets förordning (EEG) nr 3922/91, (EUT L 212, 22.8.2018, s. 1). (31) Europaparlamentets och rådets förordning (EU) 2019/2144 av den 27 november 2019 om krav för typgodkännande av motorfordon och deras släpvagnar samt de system, komponenter och separata tekniska enheter som är avsedda för sådana fordon, med avseende på deras allmänna säkerhet och skydd för personer i fordonet och oskyddade trafikanter, om ändring av Europaparlamentets och rådets förordning (EU) 2018/858 och om upphävande av Europaparlamentets och rådets förordningar (EG) nr 78/2009, (EG) nr 79/2009 och (EG) nr 661/2009 samt kommissionens förordningar (EG) nr 631/2009, (EU) nr 406/2010, (EU) nr 672/2010, (EU) nr 1003/2010, (EU) nr 1005/2010, (EU) nr 1008/2010, (EU) nr 1009/2010, (EU) nr 19/2011, (EU) nr 109/2011, (EU) nr 458/2011, (EU) nr 65/2012, (EU) nr 130/2012, (EU) nr 347/2012, (EU) nr 351/2012, (EU) nr 1230/2012 och (EU) 2015/166 (EUT L 325, 16.12.2019, s. 1). 845 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 Det andra villkoret bör vara att den uppgift som utförs av AI-systemet är avsedd att förbättra resultatet av tidigare slutförd mänsklig verksamhet som kan vara relevant för den användning med hög risk som förtecknas i en bilaga till denna förordning. Med tanke på dessa egenskaper tillhandahåller AI-systemet endast ett extra skikt till mänsklig verksamhet och innebär följaktligen lägre risk. Detta villkor skulle till exempel tillämpas på AI-system som är avsedda att förbättra det språk som används i tidigare utarbetade dokument, till exempel när det gäller yrkesmässig ton eller akademisk språkstil eller genom att anpassa texten till ett visst varumärkesbudskap. Det tredje villkoret bör vara att AI-systemet är avsett att upptäcka beslutsmönster eller avvikelser från tidigare beslutsmönster. Risken skulle minska eftersom användningen av AI-systemet följer en tidigare slutförd mänsklig bedömning som den inte avser ersätta eller påverka utan ordentlig mänsklig granskning. Sådana AI-system omfattar till exempel system som, med tanke på en viss lärares betygsättningsmönster, kan användas för att i efterhand kontrollera om läraren har avvikit från betygsättningsmönstret för att på så sätt uppmärksamma potentiella inkonsekvenser eller avvikelser. Det fjärde villkoret bör vara att AI-systemet är avsett att utföra en uppgift som endast är förberedande för en bedömning som är relevant för de AI-system som förtecknas i en bilaga till denna förordning, så att den möjliga effekten av systemets utdata blir mycket låg när det gäller att utgöra en risk för den bedömning som ska följa. Detta villkor omfattar bland annat smarta lösningar för ärendehandläggning som omfattar olika funktioner såsom indexering, sökning, text- och talbehandling eller länkning av data till andra datakällor, eller AI-system som används för översättning av ursprungliga dokument. Under alla omständigheter bör AI-system som används i användningsfall med hög risk som förtecknas i en bilaga till denna förordning anses utgöra en betydande risk för skada på hälsa, säkerhet eller grundläggande rättigheter om AI-systemet innebär profilering i den mening som avses i artikel 4.4 i förordning (EU) 2016/679 eller artikel 3.4 i direktiv (EU) 2016/680 eller artikel 3.5 i förordning (EU) 2018/1725. För att säkerställa spårbarhet och transparens bör en leverantör som anser att ett AI-system inte är ett AI-system med hög risk på grundval av de villkor som avses ovan upprätta dokumentation om bedömningen innan systemet släpps ut på marknaden eller tas i bruk och bör på begäran tillhandahålla den dokumentationen till de nationella behöriga myndigheterna. En sådan leverantör bör vara skyldig att registrera AI-systemet i den EU-databas som inrättas enligt den här förordningen. I syfte att ge ytterligare vägledning för det praktiska genomförandet av de villkor enligt vilka AI-system som förtecknas i en bilaga till denna förordning undantagsvis inte är förenade med hög risk bör kommissionen, efter samråd med styrelsen, tillhandahålla riktlinjer som specificerar detta praktiska genomförande, kompletterat med en omfattande förteckning över praktiska exempel på fall av användning av AI-system som medför hög risk och fall av användning som inte medför hög risk. (54) Eftersom biometriska uppgifter utgör en särskild kategori av personuppgifter är det lämpligt att klassificera flera kritiska användningsfall av biometriska system som användningsfall med hög risk, i den mån användningen av dem är tillåten enligt relevant unionsrätt och nationell rätt. Tekniska brister i AI-system som är avsedda för biometrisk fjärridentifiering av fysiska personer kan leda till biaser i resultat och medföra diskriminerande effekter. Risken för sådana biaser i resultat och diskriminerande effekter är särskilt relevant när det gäller ålder, etnicitet, ras, kön eller funktionsnedsättning. System för biometrisk fjärridentifiering bör därför klassificeras som system med hög risk med tanke på de risker de medför. En sådan klassificering utesluter AI-system som är avsedda att användas för biometrisk verifiering, inbegripet autentisering, vars enda syfte är att bekräfta att en specifik fysisk person är den som vederbörande utger sig för att vara och för att bekräfta identiteten på en fysisk person med det enda syftet att få åtkomst till en tjänst, låsa upp en enhet eller ha säker tillgång till lokaler. Dessutom bör AI-system som är avsedda att användas för biometrisk kategorisering enligt känsliga attribut eller egenskaper som skyddas enligt artikel 9.1 i förordning (EU) 2016/679 på grundval av biometriska uppgifter, i den mån dessa inte är förbjudna enligt den här förordningen, och system för känsloigenkänning som inte är förbjudna enligt den här förordningen, klassificeras som AI-system med hög risk. Biometriska system som är avsedda att användas enbart för att möjliggöra cybersäkerhet och åtgärder för skydd av personuppgifter bör inte betraktas som AI-system med hög risk. (55) När det gäller förvaltning och drift av kritisk infrastruktur är det lämpligt att som AI-system med hög risk klassificera AI-system avsedda att användas som säkerhetskomponenter i förvaltningen och driften av kritisk digital infrastruktur enligt förteckningen i punkt 8 i bilagan till direktiv (EU) 2022/2557, vägtrafik och tillhandahållandet av vatten, gas, uppvärmning och el, eftersom funktionsavbrott eller funktionsstörning i sådana system kan medföra risk för personers liv och hälsa i stor skala och leda till märkbara störningar av det normala bedrivandet av social och ekonomisk verksamhet. Säkerhetskomponenter i kritisk infrastruktur, inbegripet kritisk digital infrastruktur, är system som används för att direkt skydda kritisk infrastrukturs fysiska integritet eller människors hälsa och säkerhet och egendom, men som inte är nödvändiga för att systemet ska fungera. Funktionsavbrott eller funktionsstörning 846 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 i sådana komponenter kan direkt leda till risker för den kritiska infrastrukturens fysiska integritet och därmed till risker för människors hälsa och säkerhet och egendom. Komponenter som är avsedda att användas enbart för cybersäkerhetsändamål bör inte betraktas som säkerhetskomponenter. Exempel på säkerhetskomponenter i sådan kritisk infrastruktur kan omfatta system för övervakning av vattentryck eller styrsystem för brandlarm vid centrum för molntjänster. (56) Införandet av AI-system inom utbildning är viktigt för att främja digital utbildning av hög kvalitet och göra det möjligt för alla studerande och lärare att förvärva och dela de digitala färdigheter och kompetenser som krävs, inbegripet mediekunnighet, och kritiskt tänkande, för att aktivt delta i ekonomin, samhället och i demokratiska processer. AI-system som används för yrkesutbildning eller annan utbildning, i synnerhet när det gäller fastställandet av personers tillgång till eller antagning till institutioner för yrkesutbildning eller annan utbildning eller program på alla nivåer, för utvärdering av personers läranderesultat, för bedömning av en persons lämpliga utbildningsnivå och för väsentlig påverkan av den utbildningsnivå som personer kommer att få eller kommer kunna få tillgång till, eller för övervakning och upptäckt av förbjudet beteende bland studerande under provtillfällen, bör klassificeras som AI-system med hög risk eftersom de kan avgöra en persons utbildningsväg och yrkeskarriär och därmed påverka en persons försörjningsmöjligheter. När sådana system utformas och används på otillbörligt sätt kan de vara särskilt inkräktande och kan innebära en kränkning av rätten till utbildning liksom rätten att inte utsättas för diskriminering eller för en fortsättning på historiska diskrimineringsmönster mot till exempel kvinnor, vissa åldersgrupper, personer med funktionsnedsättning eller personer av vissa etniska ursprung eller av viss sexuell läggning. (57) AI-system som används för anställning, arbetsledning och tillgång till egenföretagande, i synnerhet när det gäller rekrytering eller urval av personer, för beslutsfattande som påverkar villkoren för arbetsrelaterad befordran, eller uppsägning av arbetsrelaterade avtalsförhållanden, för fördelning av uppgifter på grundval av individuellt beteende eller personlighetsdrag och egenskaper och för övervakning eller utvärdering av personer i arbetsrelaterade avtalsförhållanden, bör också klassificeras som AI-system med hög risk, eftersom dessa system märkbart kan påverka framtida karriärutsikter och försörjning för dessa personer samt arbetstagares rättigheter. Relevanta arbetsrelaterade avtalsförhållanden bör på ett meningsfullt sätt innefatta arbetstagare och personer som tillhandahåller tjänster via plattformar enligt kommissionens arbetsprogram för 2021. Under hela rekryterings- förfarandet och vid utvärdering, befordran eller bibehållande av personer i arbetsrelaterade avtalsförhållanden, kan sådana system reproducera historiska mönster av diskriminering, exempelvis mot kvinnor, vissa åldersgrupper, personer med funktionsnedsättning eller mot personer på grund av ras, etniskt ursprung eller sexuell läggning. AI-system som används för att övervaka sådana personers prestation och beteende kan också undergräva deras grundläggande rätt till dataskydd och personlig integritet. (58) Ett annat område där användningen av AI-system förtjänar särskild vaksamhet är när det gäller tillgång till och åtnjutande av vissa väsentliga privata och offentliga tjänster och förmåner som är nödvändiga för att människor fullt ut ska kunna delta i samhället eller förbättra sin levnadsstandard. I synnerhet är fysiska personer som ansöker om eller får viktiga offentliga bidragsförmåner och tjänster från offentliga myndigheter, nämligen hälso- och sjukvårdstjänster, sociala trygghetsförmåner, sociala tjänster som tillhandahåller skydd i fall som moderskap, sjukdom, arbetsolyckor, vårdbehov eller ålderdom och arbetslöshet samt socialbidrag och bostadsbidrag, vanligtvis beroende av dessa förmåner och tjänster och befinner sig i en utsatt situation i förhållande till de ansvariga myndigheterna. Om AI-system används för att avgöra om sådana förmåner och tjänster ska beviljas, vägras, minskas, upphävas eller återkallas av myndigheterna, inbegripet huruvida mottagarna är legitimt berättigade till sådana förmåner eller tjänster, kan dessa system ha en betydande inverkan på personers försörjning och kan inkräkta på deras grundläggande rättigheter, såsom rätten till socialt skydd, icke-diskriminering, mänsklig värdighet eller ett effektivt rättsmedel och bör där klassificeras som AI-system med hög risk. Denna förordning bör dock inte hämma utvecklingen och användningen av innovativa metoder inom offentlig förvaltning, som kan gagnas av en bredare användning av säkra AI-system som uppfyller kraven, förutsatt att dessa system inte medför hög risk för juridiska och fysiska personer. Dessutom bör AI-system som används för att utvärdera fysiska personers kreditbetyg eller kreditvärdighet klassificeras som AI-system med hög risk, eftersom de avgör de berörda personernas tillgång till ekonomiska resurser eller väsentliga tjänster som bostad, el och telekommunikationstjänster. AI-system som används för dessa ändamål kan medföra diskriminering av personer eller grupper och kan reproducera sådana historiska diskrimineringsmönster som det som baseras på rasmässigt eller etniskt ursprung, kön, funktionsnedsättning, ålder eller sexuell läggning, eller skapa nya former av diskriminerande effekter. AI-system som föreskrivs i unionsrätten i syfte att upptäcka bedrägerier i samband med tillhandahållande av finansiella tjänster och för tillsynsändamål för att beräkna kreditinstituts och försäkringsföretags kapitalkrav bör dock inte betraktas som AI-system med hög risk enligt denna förordning. Vidare kan AI-system som är avsedda att användas för riskbedömning och prissättning när 847 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 det gäller fysiska personer av sjuk- och livförsäkring också ha en betydande inverkan på människors försörjningsmöjligheter och kan, om de inte utformas, utvecklas och används på rätt sätt, inkräkta på deras grundläggande rättigheter och leda till allvarliga konsekvenser för människors liv och hälsa, inbegripet ekonomisk utestängning och diskriminering. Slutligen bör även AI-system som används för att utvärdera och klassificera nödsamtal från fysiska personer eller för att sända ut eller fastställa prioriteringsordning för utsändning av larmtjänster, inbegripet av polis, brandkår och sjukvård, samt av patientsorteringssystem för akutsjukvård klassificeras som AI-system med hög risk, eftersom dessa system fattar beslut i situationer som är mycket kritiska för personers liv, hälsa och egendom. (59) Med tanke på brottsbekämpande myndigheters roll och ansvar kännetecknas deras åtgärder, när de omfattar vissa typer av användning av AI-system, av en betydande grad av maktobalans och kan leda till övervakning, gripande eller frihetsberövande av en fysisk person, liksom annan negativ inverkan på grundläggande rättigheter som garanteras i stadgan. AI-system kan – i synnerhet om de inte tränats med data av hög kvalitet, inte uppfyller lämpliga krav i fråga om prestanda, riktighet eller robusthet, eller inte har utformats och testats tillräckligt innan de släpps ut på marknaden eller på annat sätt tas i bruk – peka ut människor på ett diskriminerande eller på ett annat oriktigt eller orättvist sätt. Dessutom kan utövandet av viktiga processuella grundläggande rättigheter, såsom rätten till ett effektivt rättsmedel och till en opartisk domstol samt rätten till försvar och presumtionen för oskuld, hämmas, i synnerhet i de fall då AI-systemen inte är tillräckligt transparenta, förklarade och dokumenterade. Det är därför lämpligt att, i den mån deras användning är tillåten enligt relevant unionsrätt och nationell rätt, som AI-system med hög risk klassificera ett antal AI-system som är avsedda att användas i brottsbekämpningssammanhang där det är särskilt viktigt med riktighet, tillförlitlighet och transparens för att undvika negativa effekter, upprätthålla allmänhetens förtroende och säkerställa ansvarsskyldighet och effektiv rättslig prövning. Mot bakgrund av åtgärdernas art och relaterade risker bör dessa AI-system med hög risk i synnerhet inbegripa AI-system avsedda att användas av brottsbekämpande myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer till stöd för brottsbekämpande myndigheter vid bedömning av risken för att en fysisk person ska falla offer för brott, som lögndetektorer och liknande verktyg, för utvärdering av bevisens tillförlitlighet i samband med utredning eller lagföring av brott, och, i den mån det inte är förbjudet enligt denna förordning, för bedömning av risken för att en fysisk person begår brott eller återfaller i brott inte enbart på grundval av profilering av fysiska personer eller en bedömning av personlighetsdrag och egenskaper eller tidigare brottsligt beteende hos fysiska personer eller grupper, för profilering i samband med upptäckt, utredning eller lagföring av brott. AI-system som är specifikt avsedda att användas av skattemyndigheter och tullmyndigheter för administrativa förfaranden samt av finansunderrättelseen- heter som utför administrativa uppgifter för analys av information enligt unionsrätt på området penningtvätt bör inte klassificeras som AI-system med hög risk som används av brottsbekämpande myndigheter i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra brott. Användningen av AI-verktyg av brottsbekämpande myndigheter och andra relevanta myndigheter bör inte bli en faktor som bidrar till ojämlikhet, sociala klyftor eller utestängning. Den inverkan som användningen av AI-verktyg har på misstänktas rätt till försvar bör inte ignoreras, särskilt svårigheten att få meningsfull information om hur dessa system fungerar och den därav följande svårigheten att överklaga resultaten i domstol, särskilt för fysiska personer som är under utredning. (60) AI-system som används i samband med migration, asyl och gränskontrollförvaltning påverkar människor som ofta är i en särskilt utsatt situation och som är beroende av resultatet av de behöriga offentliga myndigheternas åtgärder. Det är därmed särskilt viktigt att de AI-system som används i dessa sammanhang är tillförlitliga, icke- diskriminerande och transparenta, för att garantera iakttagandet av de påverkade personernas grundläggande rättigheter, särskilt deras rätt till fri rörlighet, icke-diskriminering, skydd av privatliv och personuppgifter, internationellt skydd och god förvaltning. I den mån deras användning är tillåten enligt relevant unionsrätt och nationell rätt är det därför lämpligt att som AI-system med hög risk klassificera AI-system som är avsedda att användas som lögndetektorer eller liknande verktyg av behöriga offentliga myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer som anförtrotts uppgifter på områdena migration, asyl och gränskontrollförvaltning, för bedömning av vissa risker som fysiska personer som reser in till en medlemsstats territorium eller som ansöker om visering eller asyl medför, för att bistå behöriga offentliga myndigheter i granskningen, inbegripet den relaterade bedömningen av bevisens tillförlitlighet, av ansökningar om asyl, visering och uppehållstillstånd och därmed förbundna klagomål med avseende på syftet att fastställa om den ansökande fysiska personen uppfyller kraven för denna status, i syfte att upptäcka, känna igen eller identifiera fysiska personer i samband med migration, asyl och gränskontrollförvaltning, med undantag för kontroll av resehandlingar. AI-system på området migration, asyl och gränskontrollförvaltning vilka omfattas av denna förordning bör uppfylla de relevanta förfarandemässiga krav som fastställs i Europaparlamentets och rådets förordning (EG) nr 810/2009 (32), (32) Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex) (EUT L 243, 15.9.2009, s. 1). 848 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 Europaparlamentets och rådets direktiv 2013/32/EU (33) och annan relevant unionsrätt. AI-system som används i samband med migration, asyl och gränskontrollförvaltning bör under inga omständigheter användas av medlemsstater eller unionens institutioner, organeller byråer som ett medel för att kringgå sina internationella skyldigheter enligt FN-konventionen om flyktingars rättsliga ställning, som undertecknades i Genève den 28 juli 1951 i dess ändrade lydelse genom protokollet av den 31 januari 1967. De bör inte heller användas för att på något sätt bryta mot principen om non-refoulement eller neka säkra och effektiva lagliga vägar in på unionens territorium, inbegripet rätten till internationellt skydd. (61) Vissa AI-system som är avsedda för rättsskipning och demokratiska processer bör klassificeras som AI-system med hög risk, mot bakgrund av deras potentiellt betydande inverkan på demokrati, rättsstatens principer, individuella friheter och rätten till ett effektivt rättsmedel och till en opartisk domstol. För att motverka riskerna för potentiella biaser, felaktigheter och bristande insyn är det i synnerhet lämpligt att som AI-system med hög risk klassificera sådana AI-system som är avsedda att användas av en rättslig myndighet eller på dess vägnar för att hjälpa de rättsliga myndigheterna att efterforska och tolka fakta och lagstiftning och att tillämpa denna lagstiftning på en konkret uppsättning fakta. AI-system som är avsedda att användas av organ för alternativ tvistlösning för dessa ändamål bör också anses vara förenade med hög risk när resultaten av förfarandena för alternativ tvistlösning har rättsverkan för parterna. Användningen av AI-verktyg kan stödja domarnas beslutanderätt eller rättsväsendets oberoende men bör inte ersätta det: det slutliga beslutsfattandet måste förbli en människodriven verksamhet. Klassificeringen av AI-system som AI-system med hög risk bör dock inte omfatta AI-system som är avsedda för rent administrativa stödfunktioner som inte påverkar den faktiska rättskipningen i enskilda fall, exempelvis anonymisering eller pseudonymisering av rättsliga beslut, handlingar eller data, kommunikation mellan anställda, administrativa uppgifter. (62) Utan att det påverkar de regler som föreskrivs i Europaparlamentets och rådets förordning (EU) 2024/900 (34) och för att hantera riskerna för otillbörlig extern inblandning i rösträtten enligt artikel 39 i stadgan och negativa följder för demokrati och rättsstatens principer bör AI-system som är avsedda att användas för att påverka resultatet av ett val eller en folkomröstning eller fysiska personers röstbeteende vid val eller folkomröstningar klassificeras som AI-system med hög risk, med undantag för AI-system vars utdata fysiska personer inte är direkt exponerade för, såsom verktyg som används för att organisera, optimera och strukturera politiska kampanjer ur administrativ och logistisk synvinkel. (63) Det faktum att ett AI-system klassificerats som ett AI-system med hög risk enligt denna förordning bör inte tolkas som att användningen av det systemet är laglig enligt andra unionsrättsliga akter eller enligt nationell rätt som är förenlig med unionsrätten, exempelvis vad gäller skydd av personuppgifter, användning av lögndetektorer och liknande verktyg eller andra system för att läsa av fysiska personers känslomässiga tillstånd. All sådan användning bör även fortsättningsvis endast ske i enlighet med de tillämpliga krav som följer av stadgan eller av tillämpliga rättsakter i unionens sekundärrätt och nationell rätt. Denna förordning bör inte tolkas som att den omfattar en rättslig grund för behandling av personuppgifter, inbegripet särskilda kategorier av personuppgifter, i förekommande fall, såvida inte annat uttryckligen föreskrivs i denna förordning. (64) För att begränsa riskerna med AI-system med hög risk som släpps ut på marknaden eller tas i bruk och för att säkerställa hög tillförlitlighet bör vissa obligatoriska krav gälla för AI-system med hög risk, med beaktande av AI-systemets avsedda ändamål och det sammanhang i vilket det används samt enligt det riskhanteringssystem som ska upprättas av leverantören. De åtgärder som antas av leverantörerna för att uppfylla de obligatoriska kraven i denna förordning bör ta hänsyn till den allmänt erkända senaste utvecklingen när det gäller AI och vara proportionella och effektiva för att uppnå målen i denna förordning. På grundval av den nya lagstiftningsramen, som klargörs i kommissionens meddelande 2022 års blåbok om genomförandet av EU:s produktbestämmelser, är den allmänna regeln att mer än en rättsakt inom unionens harmoniseringslagstiftning kan vara tillämplig på en produkt, eftersom tillhandahållandet eller ibruktagandet endast kan ske först när produkten överensstämmer med alla tillämpliga delar av unionens harmoniseringslagstiftning. Riskerna med AI-system som omfattas av kraven i denna förordning rör andra aspekter än unionens befintliga harmoniseringslagstiftning, och därför skulle kraven i denna förordning komplettera det befintliga innehållet i unionens harmoniseringslagstiftning. Maskiner eller medicintek- niska produkter som innehåller ett AI-system kan till exempel utgöra risker som inte hanteras genom de grundläggande hälso- och säkerhetskrav som fastställs i berörd unionsharmoniseringslagstiftning, eftersom denna (33) Europaparlamentets och rådets direktiv 2013/32/EU av den 26 juni 2013 om gemensamma förfaranden för att bevilja och återkalla internationellt skydd (EUT L 180, 29.6.2013, s. 60). (34) Europaparlamentets och rådets direktiv (EU) 2024/900 av den 13 mars 2024 om transparens och inriktning när det gäller politisk reklam (EUT L, 2024/900, 20.3.2024, ELI: http://data.europa.eu/eli/reg/2024/900/oj). 849 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 sektorsspecifika lagstiftning inte behandlar risker som är specifika för AI-system. Det krävs därför att de olika lagstiftningsakterna tillämpas samtidigt och komplementärt. För att säkerställa samstämmighet och undvika en onödig administrativ börda eller onödiga kostnader bör leverantörer av en produkt som innehåller ett eller flera AI-system med hög risk som omfattas av kraven i denna förordning eller i unionens harmoniseringslagstiftning som bygger på den nya lagstiftningsramen och som förtecknas i en bilaga till denna förordning ha flexibilitet när det gäller operativa beslut om hur det på bästa sätt ska säkerställas att en produkt som innehåller ett eller flera AI-system uppfyller alla tillämpliga krav i unionens harmoniseringslagstiftning på ett optimalt sätt. Denna flexibilitet kan till exempel innebära att leverantören beslutar att integrera en del av de nödvändiga testnings- och rapporterings- processer, den information och den dokumentation som krävs enligt denna förordning i dokumentation och förfaranden som redan finns och som krävs enligt befintlig unionsharmoniseringslagstiftning som bygger på den nya lagstiftningsramen och som förtecknas i en bilaga till denna förordning. Detta bör dock inte på något sätt undergräva leverantörens skyldighet att uppfylla alla tillämpliga krav. (65) Riskhanteringssystemet bör bestå av en kontinuerlig iterativ process som planeras och löper under hela livscykeln för ett AI-system med hög risk. Den processen bör syfta till att identifiera och begränsa de relevanta riskerna med AI-system för hälsa, säkerhet och grundläggande rättigheter. Riskhanteringssystemet bör regelbundet ses över och uppdateras för att säkerställa dess fortsatta effektivitet samt motivet för och dokumentationen av alla viktiga beslut och åtgärder som vidtas i enlighet med denna förordning. Denna process bör säkerställa att leverantören identifierar risker eller negativa effekter och genomför begränsningsåtgärder för de kända och rimligen förutsebara riskerna med AI-system för hälsa, säkerhet och grundläggande rättigheter mot bakgrund av deras avsedda ändamål och rimligen förutsebar felaktig användning, inbegripet de möjliga risker som uppstår till följd av interaktionen mellan AI-systemet och den miljö där det är i drift. Riskhanteringssystemet bör välja de lämpligaste riskhanterings- åtgärderna mot bakgrund av den senaste utvecklingen inom AI. Vid identifieringen av de lämpligaste riskhanteringsåtgärderna bör leverantören dokumentera och förklara de val som gjorts och, när så är relevant, involvera experter och externa berörda parter. Vid identifieringen av den rimligen förutsebara felaktiga användningen av AI-system med hög risk bör leverantören inkludera användningar av AI-system som, även om de inte direkt täcks av det avsedda ändamålet och anges i bruksanvisningen, ändå rimligen kan förväntas bli resultatet av ett lätt förutsägbart mänskligt beteende i samband med det specifika AI-systemets särskilda egenskaper och användning. Varje känd eller förutsebar omständighet med anknytning till användningen av AI-systemet med hög risk i enlighet med dess avsedda ändamål eller under förhållanden där det kan förekomma rimligen förutsebar felaktig användning som kan leda till risker för hälsa och säkerhet eller grundläggande rättigheter bör ingå i den bruksanvisning som leverantören tillhandahåller. Syftet med detta är att säkerställa att tillhandahållaren är medveten om och tar hänsyn till dessa när AI-systemet med hög risk används. Identifiering och genomförande av riskbegränsningsåtgärder för förutsebar felaktig användning enligt denna förordning bör inte kräva särskild ytterligare träning för AI-systemet med hög risk från leverantörens sida för att hantera förutsebar felaktig användning. Leverantörerna uppmanas dock att överväga sådana ytterligare träningsåtgärder för att begränsa rimligen förutsebar felaktig användning om de är nödvändiga och lämpliga. (66) Kraven bör tillämpas på AI-system med hög risk när det gäller riskhantering, kvaliteten på och relevansen av använda dataset, teknisk dokumentation och loggning, transparens och information till tillhandahållare, mänsklig kontroll samt robusthet, riktighet och cybersäkerhet. Dessa krav är nödvändiga för att på ett effektivt sätt begränsa riskerna för hälsa, säkerhet och grundläggande rättigheter. Eftersom inga andra åtgärder som är mindre handelsbegränsande finns rimligen tillgängliga så utgör dessa krav inte omotiverade begränsningar av handeln. (67) Data av hög kvalitet och tillgång till data av hög kvalitet spelar en avgörande roll när det gäller att tillhandahålla struktur och att säkerställa många AI-systems prestanda, i synnerhet vid användning av teknik som förutsätter träning av modeller för att säkerställa att AI-system med hög risk fungerar säkert och på avsett sätt och inte blir en källa till diskriminering som är förbjuden enligt unionsrätten. Högkvalitativa dataset för träning, validering och testning förutsätter genomförande av lämpliga metoder för dataförvaltning och datahantering. Dataset för träning, validering och testning, inbegripet märkningarna, bör vara relevanta, tillräckligt representativa och i största möjliga utsträckning fria från fel och fullständiga med tanke på systemets avsedda ändamål. För att underlätta efterlevnaden av unionens dataskyddslagstiftning, såsom förordning (EU) 2016/679, bör dataförvaltnings- och datahanterings- metoderna när det gäller personuppgifter inbegripa transparens om det ursprungliga syftet med uppgiftsinsam- lingen. Dataseten bör också ha lämpliga statistiska egenskaper, även när det gäller de personer eller grupper av personer i fråga om vilka AI-systemet med hög risk är avsett att användas, med särskild uppmärksamhet på att begränsa eventuella biaser i dataseten som sannolikt påverkar människors hälsa och säkerhet, inverkar negativt på grundläggande rättigheter eller leder till diskriminering som är förbjuden enligt unionsrätten, särskilt när utdata 850 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 påverkar indata för framtida operationer (återföring). Biaser kan exempelvis vara inneboende i underliggande dataset, särskilt när historiska data används eller genereras när systemen tillämpas i verkliga sammanhang. De resultat som AI-system ger kan påverkas av sådana inneboende biaser som tenderar att gradvis öka och därigenom vidmakthålla och förstärka befintliga diskriminering, särskilt för personer som tillhör vissa sårbara grupper, inbegripet rasgrupper eller etniska grupper. Kravet på att dataseten i största möjliga utsträckning ska vara fullständiga och fria från fel bör inte påverka användningen av integritetsbevarande teknik i samband med utveckling och testning av AI-system. I synnerhet bör dataset, i den mån som krävs för deras avsedda ändamål, beakta funktioner, särdrag eller element som är specifika för den särskilda geografiska, kontextuella, beteendemässiga eller funktionsmässiga situation där AI-systemet är avsett att användas. De krav som rör dataförvaltning kan uppfyllas genom att tredje parter anlitas som erbjuder certifierade tjänster för uppfyllelse av kraven, inbegripet kontroll av dataförvaltning, datasetens integritet och metoder för träning, validering och testning av data, i den mån överensstämmelse med uppgiftskraven i denna förordning säkerställs. (68) För utvecklingen och bedömningen av AI-system med hög risk bör vissa aktörer, såsom leverantörer, anmälda organ och andra berörda enheter – exempelvis europeiska digitala innovationsknutpunkter, test- och experimentfaciliteter och forskare – kunna få åtkomst till och använda dataset av hög kvalitet inom sina respektive verksamhetsområden som är relaterade till denna förordning. Gemensamma europeiska dataområden som inrättas av kommissionen och främjande av datadelning mellan företag och med offentlig förvaltning i allmänhetens intresse kommer att vara avgörande för tillhandahållandet av förtroendefull, ansvarsskyldig och icke-diskriminerande åtkomst till högkvalitativa data för träning, validering och testning av AI-system. På exempelvis hälsoområdet kommer det europeiska hälsodataområdet att främja icke-diskriminerande åtkomst till hälsodata och träning av AI-algoritmer på dessa dataset, på ett sätt som bevarar den personliga integriteten och är säkert, snabbt, transparent och tillförlitligt och med lämpliga institutionella styrelseformer. Berörda behöriga myndigheter, även sektorsbaserade sådana, som tillhandahåller eller stöder åtkomst till data får också stödja tillhandahållandet av högkvalitativa data för träning, validering och testning av AI-system. (69) Rätten till integritet och skydd av personuppgifter måste garanteras under AI-systemets hela livscykel. I detta avseende är principerna om uppgiftsminimering och inbyggt dataskydd och dataskydd som standard, i enlighet med unionens dataskyddslagstiftning, tillämpliga när personuppgifter behandlas. De åtgärder som leverantörer vidtar för att säkerställa efterlevnaden av dessa principer kan omfatta inte bara anonymisering och kryptering, utan även användning av teknik som gör det möjligt att föra in algoritmer i data och möjliggöra träning av AI-system utan överföring mellan parter eller kopiering av rådata eller strukturerade data i sig, utan att det påverkar tillämpningen av de krav på dataförvaltning som föreskrivs i denna förordning. (70) För att skydda andras rätt att slippa diskriminering som kan följa av bias i AI-system bör leverantörerna undantagsvis, i den utsträckning det är absolut nödvändigt för att säkerställa upptäckt och korrigering av bias i samband med AI-systemen med hög risk, med förbehåll för lämpliga skyddsåtgärder för fysiska personers grundläggande rättigheter och friheter och enligt tillämpningen av alla tillämpliga villkor som fastställs i denna förordning och i förordningarna (EU) 2016/679, (EU) 2018/1725 och (EU) nr 2016/680, kunna behandla även särskilda kategorier av personuppgifter, av hänsyn till ett viktigt allmänt intresse i den mening som avses i artikel 9.2 g i förordning (EU) 2016/679 och artikel 10.2 g i förordning (EU) 2018/1725. (71) Det är mycket viktigt att ha begriplig information om hur AI-system med hög risk har utvecklats och hur de presterar under hela sin livstid, för att möjliggöra att dessa system är spårbara, kontrollera att kraven enligt denna förordning uppfylls samt kunna utföra övervakning av deras drift och övervakning efter utsläppande på marknaden. Detta förutsätter arkivering och tillgång till teknisk dokumentation som innehåller den information som krävs för att bedöma om AI-systemet uppfyller de berörda kraven och underlätta övervakning efter utsläppande på marknaden. Denna information bör innefatta systemets allmänna egenskaper, kapacitet och begränsningar samt algoritmer, data, de förfaranden som används för träning, testning och validering samt dokumentation av relevanta riskhanterings- system och ha utformats i tydlig och begriplig form. Den tekniska dokumentationen bör vara lämpligt uppdaterad under hela AI-systemets livstid. AI-system med hög risk bör dessutom tekniskt möjliggöra automatisk registrering av händelser genom loggar under systemets livstid. 851 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 (72) För att ta itu med farhågor som hör samman med den bristande insynen och komplexiteten i vissa AI-system och göra det lättare för tillhandahållare att fullgöra sina skyldigheter enligt denna förordning bör transparens krävas för AI-system med hög risk innan de släpps ut på marknaden eller tas i bruk. AI-system med hög risk bör utformas på ett sätt som gör det möjligt för tillhandahållare att förstå hur AI-systemet fungerar, utvärdera dess funktionalitet och förstå dess styrkor och begränsningar. AI-system med hög risk bör åtföljas av lämplig information i form av bruksanvisningar. Sådan information bör omfatta AI-systemets egenskaper, kapacitet och prestandabegränsningar. Dessa skulle omfatta information om eventuella kända och förutsebara omständigheter som har samband med användningen av AI-systemet med hög risk, inbegripet tillhandahållares åtgärder som kan påverka systemets beteende och prestanda, under vilka AI-systemet kan leda till risker för hälsa, säkerhet och grundläggande rättigheter, om de förändringar som på förhand har fastställts och bedömts för överensstämmelse av leverantören och om relevanta åtgärder för mänsklig kontroll, inbegripet åtgärderna för att underlätta tillhandahållarnas tolkning av AI-systemets utdata. Transparens, inklusive åtföljande bruksanvisningar bör hjälpa tillhandahållare att använda systemet och stödja deras välgrundade beslutsfattande. Tillhandahållare bör bland annat ha bättre förutsättningar att göra rätt val av vilket system de avser att använda mot bakgrund av de skyldigheter som gäller för dem, få kunskap om avsedd och utesluten användning samt använda AI-systemet korrekt och när så är lämpligt. För att förbättra läsbarheten och tillgängligheten för den information som ingår i bruksanvisningen bör, när så är lämpligt, belysande exempel om exempelvis begränsningar och om avsedd och utesluten användning av AI-systemet inkluderas. Leverantörer bör säkerställa att all dokumentation, inbegripet bruksanvisningen, innehåller meningsfull, heltäckande, tillgänglig och begriplig information, med beaktande av de behov och den förmodade kunskap som de tillhandahållare som man riktar sig till har. Bruksanvisningen bör tillhandahållas på ett språk som lätt kan förstås av de tillhandahållare som man riktar sig till, i enlighet med vad som fastställs av den berörda medlemsstaten. (73) AI-system med hög risk bör utformas och utvecklas på ett sådant sätt att fysiska personer kan övervaka deras funktionssätt, säkerställa att de används som avsett och att deras effekter hanteras under systemets livscykel. För det ändamålet bör lämpliga åtgärder för mänsklig kontroll identifieras av leverantören av systemet innan detta släpps ut på marknaden eller tas i bruk. Sådana åtgärder bör i synnerhet, när så är lämpligt, garantera att systemet är föremål för inbyggda operativa begränsningar som inte kan åsidosättas av systemet självt och som lyder den mänskliga operatören, och att de fysiska personer som anförtros uppgiften att utöva mänsklig kontroll har den kompetens, utbildning och auktoritet som de behöver för att utföra sina uppgifter. Det är också viktigt, beroende på vad som är lämpligt, att säkerställa att AI-system med hög risk innehåller mekanismer för att vägleda och informera den fysiska person som anförtros uppgiften att utöva mänsklig kontroll när det gäller att fatta välgrundade beslut om, när och hur ett ingripande ska ske för att undvika negativa konsekvenser eller risker eller stoppa systemet om det inte fungerar som avsett. Med tanke på de betydande konsekvenserna för personer vid vissa biometriska identifierings- systems felaktiga träffar är det lämpligt att föreskriva ett förstärkt krav på mänsklig kontroll för dessa system så att tillhandahållaren inte kan vidta åtgärder eller fatta beslut på grundval av den identifiering som systemet ger upphov till såvida inte detta har verifierats och bekräftats separat av minst två fysiska personer. Dessa personer kan komma från en eller flera enheter och inbegripa den person som driver eller använder systemet. Detta krav bör inte medföra onödiga bördor eller förseningar och det kan vara tillräckligt att de olika personernas separata kontroller automatiskt registreras i de loggar som genereras av systemet. Med tanke på särdragen inom brottsbekämpning, migration, gränskontroll och asyl bör detta krav inte tillämpas i fall där tillämpningen av detta krav enligt unionsrätten eller nationell rätt betraktas som oproportionerlig. (74) AI-system med hög risk bör fungera konsekvent under hela sin livscykel och uppnå en lämplig nivå av riktighet, robusthet och cybersäkerhet mot bakgrund av sitt avsedda ändamål och i enlighet med den allmänt erkända senaste utvecklingen. Kommissionen och relevanta organisationer och berörda parter uppmanas att ta vederbörlig hänsyn till riskbegränsning och AI-systemets negativa konsekvenser. Den förväntade graden av prestandamått bör anges i den medföljande bruksanvisningen. Leverantörer uppmanas att förmedla denna information till tillhandahållare på ett tydligt och lättbegripligt sätt, utan missförstånd eller vilseledande uttalanden. Unionsrätten om legal metrologi, inbegripet Europaparlamentets och rådets direktiv 2014/31/EU (35) och 2014/32/EU (36), syftar till att säkerställa mätningarnas noggrannhet och att bidra till öppenhet och rättvisa i handelstransaktioner. I detta sammanhang bör kommissionen, i samarbete med relevanta berörda parter och organisationer, såsom metrologi- och riktmärknings- myndigheter, vid behov uppmuntra utvecklingen av riktmärken och mätmetoder för AI-system. Därvid bör kommissionen följa och samarbeta med internationella partner som arbetar med metrologi och relevanta mätindikatorer som rör AI. (35) Europaparlamentets och rådets direktiv 2014/31/EU av den 26 februari 2014 om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av icke-automatiska vågar (EUT L 96, 29.3.2014, s. 107). (36) Europaparlamentets och rådets direktiv 2014/32/EU av den 26 februari 2014 om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av mätinstrument (EUT L 96, 29.3.2014, s. 149). 852 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 (75) Teknisk robusthet är ett nyckelkrav för AI-system med hög risk. De bör vara resilienta mot skadligt eller på annat sätt oönskat beteende som kan bero på begränsningar inom de system eller den miljö där systemen fungerar (t.ex. felaktigheter, funktionsfel, inkonsekvenser, oväntade situationer). Därför bör tekniska och organisatoriska åtgärder vidtas för att säkerställa robustheten i AI-system med hög risk, till exempel genom att utforma och utveckla lämpliga tekniska lösningar för att förebygga eller minimera skadligt eller på annat sätt oönskat beteende. Dessa tekniska lösningar kan till exempel omfatta mekanismer som gör det möjligt för systemet att på ett säkert sätt avbryta sin drift (felsäkra planer) vid vissa avvikelser eller när driften sker utanför vissa på förhand fastställda gränser. Bristande skydd mot dessa risker kan leda till säkerhetskonsekvenser eller inverka negativt på grundläggande rättigheter, exempelvis på grund av felaktiga beslut eller felaktigheter eller bias i den utdata som genereras av AI-systemet. (76) Cybersäkerhet har avgörande betydelse för att säkerställa att AI-system är resilienta mot försök att ändra deras användning, beteende eller prestanda eller att undergräva deras säkerhetsegenskaper genom tredje parter med avsikt att vålla skada som utnyttjar systemets svagheter. Cyberattacker mot AI-system kan riktas mot AI-specifika tillgångar, såsom träningsdataset (t.ex. dataförgiftning) eller tränade modeller (t.ex. antagonistiska attacker eller medlems- kapsinferens), eller utnyttja sårbarheter i AI-systemets digitala tillgångar eller i den underliggande IKT-infrastruktu- ren. För att säkerställa en cybersäkerhetsnivå som är anpassad till riskerna bör lämpliga åtgärder såsom säkerhetskontroller därför vidtas av leverantörerna av AI-system med hög risk, även med beaktande av den underliggande IKT-infrastrukturen när så är lämpligt. (77) Utan att det påverkar de krav avseende robusthet och riktighet som fastställs i denna förordning kan AI-system med hög risk som omfattas av tillämpningsområdet för en förordning från Europaparlamentet och rådet om övergripande cybersäkerhetskrav för produkter med digitala element i enlighet med den förordningen visa överensstämmelse med cybersäkerhetskraven i den här förordningen genom att uppfylla de grundläggande cybersäkerhetskrav som anges i den förordningen. Om AI-system med hög risk uppfyller de grundläggande kraven i en förordning från Europaparlamentet och rådet om övergripande cybersäkerhetskrav för produkter med digitala element, bör de anses uppfylla de cybersäkerhetskrav som fastställs i den här förordningen, i den mån uppfyllandet av dessa krav visas i den EU-försäkran om överensstämmelse eller delar av den som utfärdats enligt den förordningen. I detta syfte bör den bedömning av cybersäkerhetsrisker som är förknippade med en produkt med digitala element som klassificeras som AI-system med hög risk enligt den här förordningen och som utförs enligt en förordning från Europaparlamentet och rådet om övergripande cybersäkerhetskrav för produkter med digitala element, beakta risker för ett AI-systems cyberresiliens när det gäller obehöriga tredje parters försök att ändra dess användning, beteende eller prestanda, inbegripet AI-specifika sårbarheter såsom dataförgiftning eller antagonistiska attacker, samt, i relevanta fall, risker för grundläggande rättigheter i enlighet med kraven i den här förordningen. (78) Det förfarande för bedömning av överensstämmelse som föreskrivs i denna förordning bör tillämpas på de grundläggande cybersäkerhetskraven för en produkt med digitala element som omfattas av en förordning från Europaparlamentet och rådet om övergripande cybersäkerhetskrav för produkter med digitala element och som klassificeras som ett AI-system med hög risk enligt den här förordningen. Denna regel bör dock inte leda till att den nödvändiga assuransnivån sänks för kritiska produkter med digitala element som omfattas av en förordning från Europaparlamentet och rådet om övergripande cybersäkerhetskrav för produkter med digitala element. Genom undantag från denna regel omfattas därför också AI-system med hög risk som omfattas av den här förordningen och som också kategoriseras som viktiga eller kritiska produkter med digitala element enligt en förordning från Europaparlamentet och rådet om övergripande cybersäkerhetskrav för produkter med digitala element, och på vilka förfarandet för bedömning av överensstämmelse baserat på intern kontroll enligt en bilaga till den här förordningen är tillämpligt, av bestämmelserna om bedömning av överensstämmelse i en förordning från Europaparlamentet och rådet om övergripande cybersäkerhetskrav för produkter med digitala element i den mån som de grundläggande cybersäkerhetskraven i den förordningen berörs. Om så är fallet bör de respektive bestämmelserna om bedömning av överensstämmelse på grundval av intern kontroll i en bilaga till den här förordningen gälla för alla andra aspekter som omfattas av den här förordningen. Med utgångspunkt i Enisas kunskap och expertis om den cybersäkerhets- policy och de uppgifter som tilldelats Enisa enligt Europaparlamentets och rådets förordning (EU) 2019/881 (37) bör kommissionen samarbeta med Enisa i frågor som rör cybersäkerhet i AI-system. (37) Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (EUT L 151, 7.6.2019, s. 15). 853 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 (79) Det är lämpligt att en specifik fysisk eller juridisk person, definierad som leverantören, tar ansvaret för utsläppande på marknaden eller ibruktagandet av ett AI-system med hög risk, oavsett om denna fysiska eller juridiska person är den person som utformat eller utvecklat systemet. (80) Som signatärer av FN:s konvention om rättigheter för personer med funktionsnedsättning är unionen och alla medlemsstater rättsligt förpliktigade att skydda personer med funktionsnedsättning från diskriminering och främja deras jämlikhet, att säkerställa att personer med funktionsnedsättning på lika villkor som andra har tillgång till informations- och kommunikationsteknik och informations- och kommunikationssystem samt att säkerställa att integriteten hos personer med funktionsnedsättning respekteras. Med tanke på den ökande betydelsen och användningen av AI-system bör tillämpningen av universella konstruktionsprinciper för all ny teknik och alla nya tjänster säkerställa fullständig och jämlik tillgång för alla som potentiellt påverkas av eller använder AI-teknik, inbegripet personer med funktionsnedsättning, på ett sätt som tar full hänsyn till deras inneboende värdighet och mångfald. Det är därför viktigt att leverantörer säkerställer full överensstämmelse med tillgänglighetskrav, inbegripet Europaparlamentets och rådets direktiv (EU) 2016/2102 (38) och direktiv (EU) 2019/882. Leverantörer bör säkerställa att dessa krav uppfylls genom utformning. Därför bör de nödvändiga åtgärderna i så stor utsträckning som möjligt integreras i utformningen av AI-systemet med hög risk. (81) Leverantören bör inrätta ett sunt kvalitetsstyrningssystem, säkerställa att det föreskrivna förfarandet för bedömning av överensstämmelse genomförs, utarbeta den relevanta dokumentationen och inrätta ett robust system för övervakning efter utsläppande på marknaden. Leverantörer av AI-system med hög risk som omfattas av skyldigheter avseende kvalitetsstyrningssystem enligt relevant sektorsspecifik unionsrätt bör ha möjlighet att inkludera delarna av det kvalitetsstyrningssystem som föreskrivs i denna förordning som en del av befintliga kvalitetsstyrningssystem som föreskrivs i denna andra sektorsspecifika unionsrätt. Komplementariteten mellan denna förordning och befintlig sektorsspecifik unionsrätt bör också beaktas i framtida standardiseringsverksamhet eller vägledning som antas av kommissionen. Offentliga myndigheter som för egen användning tar i bruk AI-system med hög risk kan anta och genomföra reglerna för kvalitetsstyrningssystem som en del av det kvalitetsstyrningssystem som införs på nationell eller regional nivå, beroende på vad som är lämpligt, med beaktande av sektorns särdrag och den berörda offentliga myndighetens kompetensområde och organisation. (82) För att möjliggöra kontroll av efterlevnaden av denna förordning och skapa lika villkor för operatörer, och med beaktande av de olika formerna för att tillhandahålla digitala produkter, är det viktigt att säkerställa att en person som är etablerad i unionen under alla omständigheter kan förse myndigheterna med all nödvändig information om AI-systemens överensstämmelse. Innan leverantörer etablerade i tredjeländer tillhandahåller sina AI-system i unionen bör de genom skriftlig fullmakt utse ett ombud som är etablerat i unionen. Detta ombud har en central roll för att säkerställa att de AI-system med hög risk som släpps ut på marknaden eller tas i bruk av de leverantörer som inte är etablerade i unionen uppfyller kraven och för att fungera som leverantörernas kontaktperson etablerad i unionen. (83) Mot bakgrund av karaktären hos och komplexiteten i värdekedjan för AI-system och i linje med den nya lagstiftningsramen är det viktigt att säkerställa rättssäkerhet och underlätta efterlevnaden av denna förordning. Det är därför nödvändigt att klargöra rollen och de särskilda skyldigheterna för berörda operatörer längs den värdekedjan, såsom importörer och distributörer som kan bidra till utvecklingen av AI-system. I vissa situationer kan dessa operatörer agera i mer än en roll samtidigt och bör därför kumulativt fullgöra alla relevanta skyldigheter med anknytning till dessa roller. En operatör kan till exempel samtidigt agera som distributör och importör. (84) För att säkerställa rättssäkerhet är det nödvändigt att klargöra att under vissa särskilda villkor bör varje distributör, importör, tillhandahållare eller annan tredje part betraktas som leverantör av ett AI-system med hög risk och därför åta sig alla relevanta skyldigheter. Detta skulle vara fallet om den parten sätter sitt namn eller varumärke på ett AI-system med hög risk som redan släppts ut på marknaden eller tagits i bruk, utan att det påverkar avtalsarrangemang som föreskriver att skyldigheterna tilldelas på annat sätt. Detta skulle även vara fallet om den parten gör en väsentlig ändring av ett AI-system med hög risk som redan släppts ut på marknaden eller redan tagits i bruk på ett sätt som innebär att det förblir ett AI-system med hög risk i enlighet med denna förordning, eller om den ändrar det avsedda ändamålet med ett AI-system, inbegripet ett AI-system för allmänna ändamål, som inte har klassificerats som system med hög risk och som redan släppts ut på marknaden eller tagits i bruk, på ett sätt som innebär att AI-systemet blir ett AI-system med hög risk i enlighet med denna förordning. Dessa bestämmelser bör tillämpas utan att det påverkar tillämpningen av mer specifika bestämmelser som fastställs i vissa delar av unionens harmoniseringslagstiftning som bygger på den nya lagstiftningsramen, med vilken denna förordning bör tillämpas (38) Europaparlamentets och rådets direktiv (EU) 2016/2102 av den 26 oktober 2016 om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer (EUT L 327, 2.12.2016, s. 1). 854 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 gemensamt. Till exempel bör artikel 16.2 i förordning (EU) 2017/745, där det fastställs att vissa ändringar inte bör anses vara en ändring av en produkt som kan påverka dess överensstämmelse med de tillämpliga kraven, fortsätta att tillämpas på AI-system med hög risk som är medicintekniska produkter i den mening som avses i den förordningen. (85) AI-system för allmänna ändamål kan själva användas som AI-system med hög risk eller kan vara komponenter i andra AI-system med hög risk. Därför bör leverantörerna av sådana system, på grund av systemens särskilda karaktär och för att säkerställa en rättvis ansvarsfördelning längs AI-värdekedjan, oavsett om systemen som sådana kan användas som AI-system med hög risk av andra leverantörer eller som komponenter i AI-system med hög risk och utom i de fall annat föreskrivs i denna förordning, ha ett nära samarbete med leverantörerna av de berörda AI-systemen med hög risk för att göra det möjligt för dem att uppfylla de relevanta skyldigheterna enligt denna förordning och rätta sig efter de behöriga myndigheter som inrättats enligt denna förordning. (86) Om den leverantör som ursprungligen släppte ut AI-systemet på marknaden eller tog det i bruk, i enlighet med de villkor som fastställs i denna förordning, inte längre bör anses vara leverantör vid tillämpning av denna förordning, och om denna leverantör inte uttryckligen har uteslutit omvandlingen av AI-systemet till ett AI-system med hög risk, bör den förstnämnda leverantören detta till trots ha ett nära samarbete och tillgängliggöra den nödvändiga informationen och tillhandahålla den rimligen förväntade tekniska åtkomsten och annat stöd som krävs för att fullgöra de skyldigheter som fastställs i denna förordning, särskilt när det gäller efterlevnaden av bedömningen av överensstämmelse för AI-system med hög risk. (87) Om ett AI-system med hög risk som ingår som säkerhetskomponent i en produkt som omfattas av unionens harmoniseringslagstiftning som bygger på den nya lagstiftningsramen inte släpps ut på marknaden och inte heller tas i bruk fristående från produkten, bör den produkttillverkare som definieras i den lagstiftningen fullgöra de leverantörsskyldigheter som fastställs i denna förordning och i synnerhet säkerställa att det AI-system som ingår i slutprodukten uppfyller kraven i denna förordning. (88) Längs AI-värdekedjan tillhandahåller flera parter ofta AI-system, verktyg och tjänster, men även komponenter eller processer som leverantören integrerar i AI-systemet för olika ändamål som bland annat omfattar träning, omträning, testning och utvärdering av modeller samt integrering i programvara eller andra aspekter av modellutveckling. Dessa parter har en viktig roll i värdekedjan gentemot leverantören av AI-systemet med hög risk i vilken deras AI-system, verktyg, tjänster, komponenter eller processer är integrerade, och bör genom skriftligt avtal tillhandahålla denna leverantör nödvändig information, kapacitet, teknisk åtkomst och annat stöd baserat på den allmänt erkända senaste utvecklingen, för att göra det möjligt för leverantören att fullt ut uppfylla de skyldigheter som fastställs i denna förordning, utan att äventyra sina egna immateriella rättigheter eller företagshemligheter. (89) Tredje parter som för allmänheten tillgängliggör andra verktyg, tjänster, processer eller AI-komponenter än AI-modeller för allmänna ändamål bör inte åläggas att uppfylla krav som är inriktade på ansvarsområdena längs AI-värdekedjan, särskilt gentemot den leverantör som har använt eller integrerat dem, när dessa verktyg, tjänster, processer eller AI-komponenter görs tillgängliga med en kostnadsfri licens med öppen källkod. Utvecklare av kostnadsfria verktyg, tjänster eller processer med öppen källkod, eller andra AI-modeller än AI-modeller för allmänna ändamål, bör uppmuntras att tillämpa allmänt vedertagen dokumentationspraxis, såsom modellkort och datablad, som ett sätt att påskynda informationsutbytet längs AI-värdekedjan, vilket gör det möjligt att främja tillförlitliga AI-system i unionen. (90) Kommissionen kan utveckla och rekommendera frivilliga standardavtalsvillkor mellan leverantörer av AI-system med hög risk och tredje parter som tillhandahåller verktyg, tjänster, komponenter eller processer som används eller är integrerade i AI-system med hög risk för att underlätta samarbetet längs värdekedjan. Vid utarbetandet av frivilliga standardavtalsvillkor bör kommissionen också ta hänsyn till eventuella avtalskrav som är tillämpliga inom specifika sektorer eller affärsförhållanden. (91) Mot bakgrund av AI-systemens natur och de risker för säkerhet och grundläggande rättigheter som kan vara förknippade med användningen av dem, inbegripet när det gäller behovet av att säkerställa en korrekt övervakning av ett AI-systems prestanda under verkliga förhållanden, är det lämpligt att fastställa särskilda ansvarsområden för tillhandahållare. Tillhandahållare bör i synnerhet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att de använder AI-system med hög risk i enlighet med bruksanvisningarna, och vissa andra skyldigheter bör föreskrivas när det gäller övervakning av AI-systemens funktionssätt och i fråga om loggning, på lämpligt sätt. 855 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 Tillhandahållare bör dessutom säkerställa att de personer som anförtros uppgiften att implementera bruksanvis- ningarna och mänsklig kontroll enligt denna förordning har den kompetens som krävs, särskilt en lämplig nivå av AI-kunnighet, utbildning och befogenhet för att korrekt fullgöra dessa uppgifter. Dessa skyldigheter bör inte påverka andra skyldigheter för tillhandahållare i samband med AI-system med hög risk enligt unionsrätten eller nationell rätt. (92) Denna förordning påverkar inte arbetsgivares skyldigheter att informera eller att informera och samråda med arbetstagare eller deras företrädare enligt unionsrätten eller nationell rätt och praxis, inbegripet Europaparlamentets och rådets direktiv 2002/14/EG (39), avseende beslut att ta i bruk eller använda AI-system. Det måste fortfarande säkerställas att arbetstagarna och deras företrädare informeras om det planerade införandet av AI-system med hög risk på arbetsplatsen om villkoren för dessa informations- eller informations- och samrådsskyldigheter i andra rättsliga instrument inte är uppfyllda. Denna rätt till information är dessutom kompletterande och nödvändig för att skydda de grundläggande rättigheter som ligger till grund för denna förordning. Därför bör ett informationskrav för detta fastställas i denna förordning utan att det påverkar arbetstagares befintliga rättigheter. (93) Risker med anknytning till AI-system kan ha att göra med hur systemen utformas, men de kan även härröra från hur dessa AI-system används. Tillhandahållare av AI-system med hög risk spelar därför en avgörande roll när det gäller att säkerställa att grundläggande rättigheter skyddas, och kompletterar leverantörens skyldigheter vid utvecklingen av AI-systemet. Tillhandahållare har bäst förutsättningar att förstå hur AI-system med hög risk kommer att användas i praktiken och kan därför fastställa potentiella risker som inte har förutsetts under utvecklingsfasen, tack vare mer exakt kunskap om sammanhanget för användningen och de personer eller grupper av personer som sannolikt kommer att påverkas, däribland sårbara grupper. Tillhandahållare av AI-system med hög risk som förtecknas i en bilaga till denna förordning spelar också en avgörande roll när det gäller att informera fysiska personer och bör när de fattar beslut eller hjälper till att fatta beslut som rör fysiska personer i förekommande fall informera de fysiska personerna om att de är föremål för användning av AI-systemet med hög risk. Denna information bör omfatta det avsedda ändamålet och typen av beslut som det fattar. Tillhandahållaren bör också informera fysiska personer om deras rätt till en förklaring enligt denna förordning. När det gäller AI-system med hög risk som används för brottsbekämpande ändamål bör denna skyldighet genomföras i enlighet med artikel 13 i direktiv (EU) 2016/680. (94) All behandling av biometriska uppgifter som ingår i användningen av AI-system för biometrisk identifiering för brottsbekämpning måste vara förenlig med artikel 10 i direktiv (EU) 2016/680, som medger sådan behandling endast när det är absolut nödvändigt, med förbehåll för lämpliga skyddsåtgärder för den registrerades rättigheter och friheter, och när detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt. När sådan användning är tillåten måste den också respektera de principer som fastställs i artikel 4.1 i direktiv (EU) 2016/680, inbegripet laglighet, rättvisa och öppenhet, ändamålsbegränsning, korrekthet och lagringsbegränsning. (95) Utan att det påverkar tillämplig unionsrätt, särskilt förordning (EU) 2016/679 och direktiv (EU) 2016/680, bör användningen av system för biometrisk fjärridentifiering i efterhand omfattas av skyddsåtgärder, med tanke på den inkräktande karaktären hos system för biometrisk fjärridentifiering i efterhand. System för biometrisk fjärridentifiering i efterhand bör alltid användas på ett sätt som är proportionellt, legitimt och strikt nödvändigt, och därmed målinriktat, när det gäller de personer som ska identifieras, plats och tidsmässig omfattning samt baserat på ett slutet dataset av lagligen förvärvade videoupptagningar. Under alla omständigheter bör system för biometrisk fjärridentifiering i efterhand inte användas inom ramen för brottsbekämpning för att leda till urskillningslös övervakning. Villkoren för biometrisk fjärridentifiering i efterhand bör under inga omständigheter utgöra en grund för att kringgå villkoren för förbudet och de strikta undantagen för biometrisk fjärridentifiering i realtid. (96) För att effektivt säkerställa att grundläggande rättigheter skyddas bör tillhandahållare av AI-system med hög risk som är offentligrättsliga organ, eller privata enheter som tillhandahåller offentliga tjänster och tillhandahållare av vissa AI-system med hög risk som förtecknas i en bilaga till denna förordning, såsom bank- eller försäkringsenheter, genomföra en konsekvensbedömning avseende grundläggande rättigheter innan systemen tas i bruk. Tjänster som är viktiga för enskilda personer och som är av offentlig karaktär kan också tillhandahållas av privata enheter. Privata enheter som tillhandahåller offentliga tjänster är kopplade till uppgifter av allmänt intresse, såsom inom utbildning, hälso- och sjukvård, sociala tjänster, bostäder och rättsskipning. Syftet med konsekvensbedömningen avseende grundläggande rättigheter är att tillhandahållaren ska identifiera de specifika riskerna för rättigheterna för enskilda personer eller grupper av enskilda personer som sannolikt kommer att beröras och identifiera åtgärder som ska (39) Europaparlamentets och rådets direktiv 2002/14/EG av den 11 mars 2002 om inrättande av en allmän ram för information till och samråd med arbetstagare i Europeiska gemenskapen (EGT L 80, 23.3.2002, s. 29). 856 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 vidtas om dessa risker förverkligas. Konsekvensbedömningen bör göras innan AI-systemet med hög risk införs och bör uppdateras när tillhandahållaren anser att någon av de relevanta faktorerna har förändrats. Konsekvensbedöm- ningen bör identifiera tillhandahållarens relevanta processer där AI-systemet med hög risk kommer att användas i linje med dess avsedda ändamål, och bör innehålla en beskrivning av den tidsperiod under vilken och den frekvens med vilken systemet är avsett att användas samt av specifika kategorier av fysiska personer och grupper som sannolikt kommer att påverkas i det specifika användningssammanhanget. Bedömningen bör också omfatta identifiering av särskilda risker för skada som sannolikt kommer att påverka dessa personers eller gruppers grundläggande rättigheter. Vid utförandet av denna bedömning bör tillhandahållaren beakta information som är relevant för en korrekt konsekvensbedömning, inbegripet men inte begränsat till den information som tillhandahålls av leverantören av AI-systemet med hög risk i bruksanvisningen. Mot bakgrund av de risker som identifierats bör tillhandahållare fastställa vilka åtgärder som ska vidtas om dessa risker förverkligas, inbegripet till exempel styrningsformer i det specifika användningssammanhanget, såsom arrangemang för mänsklig kontroll i enlighet med bruksanvisningen eller klagomålshanteringsförfaranden och prövningsförfaranden, eftersom de kan vara avgörande för att bidra till att begränsa riskerna för grundläggande rättigheter i konkreta användningsfall. Efter att ha utfört denna konsekvensbedömning bör tillhandahållaren underrätta den berörda marknadskontrollmyndigheten. För att samla in relevant information som är nödvändig för att utföra konsekvensbedömningen kan tillhandahållare av AI-system med hög risk, särskilt när AI-system används i den offentliga sektorn, involvera relevanta berörda parter, inbegripet företrädare för grupper av personer som sannolikt kommer att påverkas av AI-systemet, oberoende experter och organisationer i det civila samhället i genomförandet av sådana konsekvensbedömningar och utformningen av åtgärder som ska vidtas om riskerna förverkligas. Europeiska byrån för artificiell intelligens (AI-byrån) bör utarbeta en mall för ett frågeformulär för att underlätta efterlevnad och minska den administrativa bördan för tillhandahållare. (97) För att skapa rättssäkerhet bör begreppet AI-modeller för allmänna ändamål definieras tydligt och särskiljas från begreppet AI-system. Definitionen bör baseras på de viktigaste funktionella egenskaperna hos en AI-modell för allmänna ändamål, generaliteten och förmågan att på ett kompetent sätt utföra ett stort antal olika uppgifter. Dessa modeller tränas vanligtvis med stora mängder data genom olika metoder, såsom självövervakad inlärning, oövervakad inlärning eller återkopplingsinlärning. AI-modeller för allmänna ändamål får släppas ut på marknaden på olika sätt, bland annat genom bibliotek, gränssnitt för applikationsprogrammering, som direkt nedladdning eller som fysisk kopia. Dessa modeller kan ändras ytterligare eller finjusteras till nya modeller. Även om AI-modeller är väsentliga komponenter i AI-system utgör de inte AI-system i sig. AI-modeller kräver tillägg av ytterligare komponenter, till exempel ett användargränssnitt, för att bli AI-system. AI-modeller är vanligtvis integrerade i och utgör en del av AI-system. I denna förordning fastställs särskilda regler för AI-modeller för allmänna ändamål och för AI-modeller för allmänna ändamål som medför systemrisker, vilka bör gälla även när dessa modeller är integrerade eller ingår i ett AI-system. Det bör förstås att skyldigheterna för leverantörer av AI-modeller för allmänna ändamål bör gälla när AI-modellerna för allmänna ändamål släpps ut på marknaden. När leverantören av en AI-modell för allmänna ändamål integrerar en egen modell i sitt eget AI-system som tillhandahålls på marknaden eller tas i bruk, bör den modellen anses ha släppts ut på marknaden, och skyldigheterna i denna förordning för modeller bör därför fortsätta att gälla utöver skyldigheterna för AI-system. De skyldigheter som föreskrivs för modeller bör under alla omständigheter inte gälla när en egen modell används för rent interna processer som inte är väsentliga för att tillhandahålla en produkt eller tjänst till tredje parter och fysiska personers rättigheter inte påverkas. Med tanke på att de har potentiellt betydande negativa effekter bör AI-modeller för allmänna ändamål med systemrisk alltid omfattas av de relevanta skyldigheterna enligt denna förordning. Definitionen bör inte omfatta AI-modeller som används innan de släpps ut på marknaden enbart för forsknings-, utvecklings- och prototypverksamhet. Detta påverkar inte skyldigheten att följa denna förordning när en modell släpps ut på marknaden efter sådan verksamhet. (98) En modells generalitet kan, bland annat, också bestämmas av ett antal parametrar, men modeller med minst en miljard parametrar som tränats med en stor mängd data med hjälp av självövervakning i stor skala bör anses uppvisa betydande generalitet och på ett kompetent sätt utföra ett brett spektrum av olika uppgifter. (99) Stora generativa AI-modeller är ett typiskt exempel på en AI-modell för allmänna ändamål, eftersom de möjliggör flexibel generering av innehåll, exempelvis i form av text, ljud, bilder eller video, som lätt kan rymma ett brett spektrum av olika uppgifter. (100) När en AI-modell för allmänna ändamål integreras i eller ingår i ett AI-system bör detta system anses vara ett AI-system för allmänna ändamål när systemet, på grund av denna integrering, har förmåga att tjäna en rad olika ändamål. Ett AI-system för allmänna ändamål kan användas direkt eller integreras i andra AI-system. 857 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 (101) Leverantörer av AI-modeller för allmänna ändamål har en särskild roll och ett särskilt ansvar i AI-värdekedjan, eftersom de modeller som de tillhandahåller kan utgöra grunden för en rad system i efterföljande led, som ofta tillhandahålls av leverantörer i efterföljande led, vilka behöver ha god kunskap om modellerna och deras kapacitet, både för att möjliggöra integrering av sådana modeller i sina produkter och för att fullgöra sina skyldigheter enligt denna eller andra förordningar. Därför bör proportionella transparensåtgärder föreskrivas, inbegripet utarbetande och uppdatering av dokumentation och tillhandahållande av information om AI-modellen för allmänna ändamål för dess användning av leverantörer i efterföljande led. Den tekniska dokumentationen bör utarbetas och hållas uppdaterad av leverantören av AI-modellen för allmänna ändamål så att den på begäran kan tillhandahållas AI-byrån och de nationella behöriga myndigheterna. Den minimiuppsättning element som ska ingå i sådan dokumentation bör anges i särskilda bilagor till denna förordning. Kommissionen bör ges befogenhet att ändra dessa bilagor genom delegerade akter mot bakgrund av ny teknisk utveckling. (102) Programvara och data, inbegripet modeller, som släpps ut med en kostnadsfri licens med öppen källkod som gör det möjligt att dela dem öppet och där användarna fritt kan få tillgång till, använda, modifiera och omdistribuera dem eller ändrade versioner av dem, kan bidra till forskning och innovation på marknaden och ge betydande tillväxtmöjligheter för unionens ekonomi. AI-modeller för allmänna ändamål som släpps ut med kostnadsfria licenser med öppen källkod bör övervägas för att säkerställa en hög grad av transparens och öppenhet om modellernas parametrar, inbegripet vikter, information om modellarkitekturen samt information om modellanvänd- ning görs allmänt tillgängliga. Licensen bör betraktas som kostnadsfri licens med öppen källkod även när den gör det möjligt för användare att köra, kopiera, distribuera, studera, ändra och förbättra programvara och data, inbegripet modeller under förutsättning att den ursprungliga leverantören av modellen krediteras och att identiska eller jämförbara distributionsvillkor respekteras. (103) Kostnadsfria AI-komponenter med öppen källkod omfattar programvara och data, inbegripet modeller och AI-modeller för allmänna ändamål, verktyg, tjänster eller processer i ett AI-system. Kostnadsfria AI-komponenter med öppen källkod kan tillhandahållas genom olika kanaler, inbegripet utveckling av dem i öppna databaser. Vid tillämpningen av denna förordning bör AI-komponenter som tillhandahålls mot en kostnad eller på annat sätt monetariseras, inbegripet genom tillhandahållande av tekniskt stöd eller andra tjänster, inbegripet genom en programvaruplattform, som rör AI-komponenten, eller användning av personuppgifter av andra skäl än uteslutande för att förbättra programvarans säkerhet, kompatibilitet eller interoperabilitet, med undantag för transaktioner mellan mikroföretag, inte omfattas av de undantag som föreskrivs för kostnadsfria AI-komponenter med öppen källkod. Det faktum att AI-komponenter tillhandahålls via öppna databaser bör inte i sig utgöra en monetarisering. (104) Leverantörer av AI-modeller för allmänna ändamål som släpps ut med en kostnadsfri licens med öppen källkod och vars parametrar, inbegripet vikter, information om modellarkitekturen och information om modellanvändning, görs allmänt tillgängliga bör omfattas av undantag från de transparensrelaterade krav som gäller för AI-modeller för allmänna ändamål, såvida de inte kan anses utgöra en systemrisk, i vilket fall den omständigheten att modellen är transparent och åtföljs av en licens med öppen källkod inte bör anses vara ett tillräckligt skäl för att utesluta efterlevnad av skyldigheterna enligt denna förordning. Med tanke på att utsläppandet av AI-modeller för allmänna ändamål med en kostnadsfri licens med öppen källkod inte nödvändigtvis avslöjar väsentlig information om det dataset som används för träning eller finjustering av modellen och om hur efterlevnaden av upphovsrätten därmed säkerställdes, bör det undantag som föreskrivs för AI-modeller för allmänna ändamål från efterlevnad av transparensrelaterade krav under alla omständigheter inte avse skyldigheten att utarbeta en sammanfattning av det innehåll som används för modellträning och skyldigheten att införa en policy för efterlevnad av unionens upphovsrättsliga lagstiftning, särskilt för att identifiera och efterleva förbehållet för rättigheter enligt artikel 4.3 i Europaparlamentets och rådets direktiv (EU) 2019/790 (40). (105) AI-modeller för allmänna ändamål, särskilt stora generativa AI-modeller, som kan generera text, bilder och annat innehåll, erbjuder unika innovationsmöjligheter men utgör även utmaningar för konstnärer, författare och andra upphovsmän och för det sätt på vilket deras kreativa innehåll skapas, distribueras, används och konsumeras. Utvecklingen och träningen av sådana modeller kräver tillgång till stora mängder text, bilder, videor och andra data. Text- och datautvinningstekniker kan användas i stor utsträckning i detta sammanhang för hämtning och analys av sådant innehåll, som kan vara skyddat av upphovsrätt och närstående rättigheter. All användning av upphovsrättsligt skyddat innehåll kräver tillstånd från den berörda rättsinnehavaren, såvida inte relevanta upphovsrättsliga undantag och inskränkningar tillämpas. Genom direktiv (EU) 2019/790 infördes undantag och inskränkningar som tillåter mångfaldigande av och utdrag ur verk eller andra alster, för text- och datautvinningsändamål, på vissa villkor. Enligt (40) Europaparlamentets och rådets direktiv (EU) 2019/790 av den 17 april 2019 om upphovsrätt och närstående rättigheter på den digitala inre marknaden och om ändring av direktiven 96/9/EG och 2001/29/EG (EUT L 130, 17.5.2019, s. 92). 858 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 dessa regler får rättsinnehavare välja att rättigheterna till deras verk eller andra alster ska förbehållas dem för att förhindra text- och datautvinning, såvida detta inte sker för forskningsändamål. Om undantaget har förbehållits uttryckligen på lämpligt sätt måste leverantörer av AI-modeller för allmänna ändamål erhålla ett tillstånd från rättsinnehavarna om de vill utföra text- och datautvinning från sådana verk. (106) Leverantörer som släpper ut AI-modeller för allmänna ändamål på unionsmarknaden bör säkerställa efterlevnad av de relevanta skyldigheterna i denna förordning. För detta ändamål bör leverantörer av AI-modeller för allmänna ändamål införa en policy för efterlevnad av unionsrätten om upphovsrätt och närstående rättigheter, särskilt för att identifiera och efterleva förbehåll om rättigheter som uttryckts av rättsinnehavare enligt artikel 4.3 i direktiv (EU) 2019/790. Alla leverantörer som släpper ut en AI-modell för allmänna ändamål på unionsmarknaden bör uppfylla denna skyldighet, oavsett i vilken jurisdiktion de upphovsrättsligt relevanta handlingar som ligger till grund för träningen av dessa AI-modeller för allmänna ändamål äger rum. Detta är nödvändigt för att säkerställa lika villkor för leverantörer av AI-modeller för allmänna ändamål, så att ingen leverantör får en konkurrensfördel på unionsmarknaden genom att tillämpa lägre upphovsrättsstandarder än de som tillhandahålls i unionen. (107) För att öka transparensen när det gäller de data som används i förträning och träning av AI-modeller för allmänna ändamål, inbegripet text och data som skyddas av upphovsrätt, är det lämpligt att leverantörer av sådana modeller utarbetar en tillräckligt detaljerad sammanfattning av det innehåll som används för att träna AI-modellen för allmänna ändamål och gör denna allmänt tillgänglig. Samtidigt som vederbörlig hänsyn tas till behovet av att skydda företagshemligheter och konfidentiell affärsinformation bör denna sammanfattning ha en allmän omfattning med avseende på tillämpningsområde i stället för att vara tekniskt detaljerad, så att det blir det lättare för parter med legitima intressen, inbegripet upphovsrättsinnehavare, att utöva och hävda sina rättigheter enligt unionsrätten, till exempel genom att förteckna de viktigaste datauppsättningarna eller dataseten som ingick i träningen av modellen, såsom stora privata eller offentliga databaser eller dataarkiv, och genom att tillhandahålla en beskrivande förklaring om andra datakällor som använts. Det är lämpligt att AI-byrån tillhandahåller en mall för sammanfattningen, som bör vara enkel och effektiv och göra det möjligt för leverantören att tillhandahålla den sammanfattning som krävs i beskrivande form. (108) När det gäller de skyldigheter som åläggs leverantörer av AI-modeller för allmänna ändamål att införa en policy för efterlevnad av unionens upphovsrättslagstiftning och göra en sammanfattning av det innehåll som används för träningen allmänt tillgänglig, bör AI-byrån övervaka huruvida leverantören har uppfyllt dessa skyldigheter utan att kontrollera eller gå vidare till en bedömning verk för verk av träningsdata när det gäller efterlevnaden av upphovsrätten. Denna förordning påverkar inte kontrollen av efterlevnaden av upphovsrättsliga bestämmelser enligt unionsrätten. (109) Efterlevnaden av de skyldigheter som är tillämpliga på leverantörer av AI-modeller för allmänna ändamål bör stå i proportion till typen av modelleverantör, vilket utesluter behovet av efterlevnad för personer som utvecklar eller använder modeller för icke-yrkesmässiga ändamål eller vetenskapliga forskningsändamål, vilka dock bör uppmuntras att frivilligt uppfylla dessa krav. Utan att det påverkar tillämpningen av unionens upphovsrättslag- stiftning bör fullgörandet av dessa skyldigheter ta vederbörlig hänsyn till leverantörens storlek och möjliggöra förenklade efterlevnadsmetoder för små och medelstora företag, inbegripet uppstartsföretag, som inte bör innebära en alltför stor kostnad och inte avskräcka från användningen av sådana modeller. Vid ändring eller finjustering av en modell bör skyldigheterna för leverantörer av AI-modeller för allmänna ändamål begränsas till den ändringen eller finjusteringen, till exempel genom att komplettera den redan befintliga tekniska dokumentationen med information om ändringarna, inbegripet nya träningsdatakällor, som ett sätt att uppfylla de skyldigheter avseende värdekedjan som föreskrivs i denna förordning. (110) AI-modeller för allmänna ändamål kan medföra systemrisker som omfattar, men inte är begränsade till, faktiska eller rimligen förutsebara negativa effekter i samband med allvarliga olyckor, störningar i kritiska sektorer och allvarliga konsekvenser för folkhälsan och säkerheten, alla faktiska eller rimligen förutsebara negativa effekter på demokratiska processer, allmän och ekonomisk säkerhet, och spridning av olagligt, falskt eller diskriminerande innehåll. Det bör antas att systemrisker ökar med modellkapacitet och modellräckvidd, kan uppstå under modellens hela livscykel och påverkas av förhållanden med felaktig användning, modellens tillförlitlighet, rättvisa och säkerhet, dess grad av autonomi, tillgång till verktyg, nya eller kombinerade metoder, strategier för utsläppande och distribution, potentialen att avlägsna skyddsmekanismer och andra faktorer. I synnerhet har internationella strategier hittills identifierat behovet av att ägna uppmärksamhet åt risker till följd av potentiellt avsiktlig felaktig användning eller oavsiktliga kontrollproblem i samband med anpassning till mänsklig avsikt, kemiska, biologiska, radiologiska och nukleära risker, såsom de sätt på vilka inträdeshindren kan minskas, inbegripet för utveckling, konstruktion, förvärv 859 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 eller användning av vapen, offensiv cyberkapacitet, såsom de sätt på vilka upptäckt, utnyttjande eller operativ användning av sårbarheter kan möjliggöras, effekterna av interaktion och verktygsanvändning, inklusive till exempel kapaciteten att styra fysiska system och störa kritisk infrastruktur, risker med modeller för framställning av kopior av dem själva eller självreplikering eller träning av andra modeller, de sätt på vilka modeller kan ge upphov till skadlig bias och diskriminering med risker för enskilda personer, grupper eller samhällen, underlättandet av desinformation eller skada på integritet med hot mot demokratiska värden och mänskliga rättigheter, och risk för att en viss händelse kan leda till en kedjereaktion med betydande negativa effekter som kan påverka upp till en hel stad, en hel domäns verksamhet eller ett helt lokalsamhälle. (111) En metod bör fastställas för klassificering av AI-modeller för allmänna ändamål som AI-modeller för allmänna ändamål med systemrisker. Eftersom systemrisker härrör från särskilt hög kapacitet bör en AI-modell för allmänna ändamål anses medföra systemrisker om den har kapacitet med hög påverkansgrad, utvärderad på grundval av lämpliga tekniska verktyg och metoder, eller har betydande inverkan på den inre marknaden på grund av sin räckvidd. Med kapacitet med hög påverkansgrad i AI-modeller för allmänna ändamål avses kapacitet som motsvarar eller överstiger den kapacitet som registrerats i de mest avancerade AI-modellerna för allmänna ändamål. Hela spektrumet av kapacitet i en modell kan förstås bättre efter det att den släppts ut på marknaden eller när tillhandahållare interagerar med modellen. Enligt den senaste utvecklingen vid tidpunkten för denna förordnings ikraftträdande är den sammanlagda beräkningsmängd som används för träning av AI-modellen för allmänna ändamål, mätt i flyttalsberäkningar, en av de relevanta approximationerna för modellkapacitet. Den sammanlagda beräkningsmängd som används för träning inkluderar den beräkning som används för de verksamheter och metoder som är avsedda att förbättra modellens kapacitet före införandet, såsom förträning, generering av syntetiska data och finjustering. Därför bör ett inledande tröskelvärde för flyttalsberäkningar fastställas som, om det uppfylls av en AI-modell för allmänna ändamål, leder till en presumtion om att modellen är en AI-modell för allmänna ändamål med systemrisker. Detta tröskelvärde bör justeras med tiden för att återspegla tekniska och industriella förändringar, såsom algoritmiska förbättringar eller ökad hårdvarueffektivitet, och bör kompletteras med riktmärken och indikatorer för modellkapacitet. För att ta fram underlag för detta bör AI-byrån samarbeta med forskarsamhället, industrin, det civila samhället och andra experter. Tröskelvärden, liksom verktyg och riktmärken för bedömning av kapacitet med hög påverkansgrad, bör vara kraftfulla prediktorer för generalitet, dess kapacitet och tillhörande systemrisk hos AI-modeller för allmänna ändamål, och kan ta hänsyn till hur modellen kommer att släppas ut på marknaden eller hur många användare den kan påverka. För att komplettera detta system bör kommissionen ha möjlighet att fatta enskilda beslut om att utse en AI-modell för allmänna ändamål till en AI-modell för allmänna ändamål med systemrisk, om det konstateras att en sådan modell har en kapacitet eller en inverkan som är likvärdig med den som blir resultatet med det fastställda tröskelvärdet. Det beslutet bör fattas på grundval av en övergripande bedömning av de kriterier för utseende av en AI-modell för allmänna ändamål med systemrisk som förtecknas i en bilaga till denna förordning, såsom kvaliteten på eller storleken på träningsdatasetet, antalet företags- och slutanvändare, dess metoder för in- och utdata, dess grad av autonomi och skalbarhet, eller de verktyg som det har tillgång till. På motiverad begäran av en leverantör vars modell har betecknats som en AI-modell för allmänna ändamål med systemrisk bör kommissionen beakta begäran och kan besluta att ompröva huruvida AI-modellen för allmänna ändamål fortfarande kan anses medföra systemrisker. (112) En metod bör fastställas för klassificeringen av AI-modeller för allmänna ändamål som AI-modeller för allmänna ändamål med systemrisker. En AI-modell för allmänna ändamål som uppfyller det tillämpliga tröskelvärdet för kapacitet med hög påverkansgrad bör antas vara en AI-modell för allmänna ändamål med systemrisk. Leverantören bör underrätta AI-byrån senast två veckor efter det att kraven har uppfyllts eller det blir känt att en AI-modell för allmänna ändamål kommer att uppfylla de krav som leder till presumtionen. Detta är särskilt relevant när det gäller tröskelvärdet för flyttalsberäkningar, eftersom träning av AI-modeller för allmänna ändamål kräver betydande planering, vilket inbegriper förhandstilldelning av beräkningskraftsresurser, och därför kan leverantörer av AI-modeller för allmänna ändamål veta om deras modell skulle uppfylla tröskelvärdet innan träningen avslutas. I samband med denna underrättelse bör leverantören kunna visa att en AI-modell för allmänna ändamål på grund av sina särskilda egenskaper undantagsvis inte medför några systemrisker och att den därför inte bör klassificeras som en AI-modell för allmänna ändamål med systemrisker. Denna information är värdefull för att AI-byrån ska kunna förutse utsläppandet på marknaden av AI-modeller för allmänna ändamål med systemrisker, och leverantörerna kan börja samarbeta med AI-byrån i ett tidigt skede. Den informationen är särskilt viktig när det gäller AI-modeller för 860 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 allmänna ändamål som planeras att släppas ut med öppen källkod, med tanke på att de åtgärder som krävs för att säkerställa efterlevnaden av skyldigheterna enligt denna förordning kan vara svårare att genomföra efter att modellen med öppen källkod har släppts ut. (113) Om kommissionen får kännedom om att en AI-modell för allmänna ändamål uppfyller kraven för att klassificeras som en AI-modell för allmänna ändamål med systemrisk, som antingen inte tidigare varit känd eller som den berörda leverantören inte har underrättat kommissionen om, bör kommissionen ges befogenhet att beteckna den som sådan. Ett system med kvalificerade varningar bör säkerställa att den vetenskapliga panelen uppmärksammar AI-byrån på AI-modeller för allmänna ändamål som eventuellt bör klassificeras som AI-modeller för allmänna ändamål med systemrisk, utöver AI-byråns övervakningsverksamhet. (114) Utöver de skyldigheter som föreskrivs för leverantörer av AI-modeller för allmänna ändamål bör leverantörer av AI-modeller för allmänna ändamål som medför systemrisker omfattas av skyldigheter som syftar till att identifiera och begränsa dessa risker och säkerställa en lämplig nivå av cybersäkerhetsskydd, oavsett om den tillhandahålls som en fristående modell eller inbyggd i ett AI-system eller en produkt. För att uppnå dessa mål bör det genom denna förordning krävas att leverantörer utför nödvändiga utvärderingar av modeller, särskilt innan de släpps ut på marknaden för första gången, vilket bör inbegripa att genomföra och dokumentera antagonistiska tester av modeller, även när så är lämpligt genom intern eller oberoende extern testning. Dessutom bör leverantörer av AI-modeller för allmänna ändamål med systemrisker kontinuerligt bedöma och begränsa systemriskerna, bland annat genom att införa riskhanteringspolicyer, såsom processer för ansvarsskyldighet och styrning, genomföra övervakning efter utsläppande på marknaden, vidta lämpliga åtgärder längs hela modellens livscykel och samarbeta med relevanta aktörer längs AI-värdekedjan. (115) Leverantörer av AI-modeller för allmänna ändamål med systemrisker bör bedöma och begränsa eventuella systemrisker. Om utvecklingen eller användningen av modellen, trots insatser för att identifiera och förebygga risker i samband med en AI-modell för allmänna ändamål som kan medföra systemrisker, orsakar en allvarlig incident, bör leverantören av AI-modellen för allmänna ändamål utan oskäligt dröjsmål bevaka incidenten och rapportera all relevant information och möjliga korrigerande åtgärder till kommissionen och de nationella behöriga myndigheterna. Dessutom bör leverantörer säkerställa en lämplig nivå av cybersäkerhetsskydd för modellen och dess fysiska infrastruktur, om så är lämpligt, under modellens hela livscykel. Cybersäkerhetsskydd som avser systemrisker i samband med skadlig användning eller attacker bör ta vederbörlig hänsyn till oavsiktligt modelläckage, otillåtet utsläppande, kringgående av säkerhetsåtgärder och försvar mot cyberattacker, obehörig åtkomst eller modellstöld. Detta skydd kan underlättas genom att modellvikter, algoritmer, servrar och dataset säkras, exempelvis genom operativa säkerhetsåtgärder för informationssäkerhet, särskilda cybersäkerhetspolicyer, lämpliga tekniska och etablerade lösningar samt kontroller av cyberåtkomst och fysisk åtkomst som är lämpliga för de relevanta omständigheterna och riskerna i samband med detta. (116) AI-byrån bör uppmuntra och underlätta utarbetandet, översynen och anpassningen av förfarandekoder, med beaktande av internationella strategier. Alla leverantörer av AI-modeller för allmänna ändamål kan bjudas in att delta. För att säkerställa att förfarandekoderna återspeglar den senaste utvecklingen och tar vederbörlig hänsyn till en rad olika perspektiv bör AI-byrån samarbeta med relevanta nationella behöriga myndigheter och kan, när så är lämpligt, samråda med det civila samhällets organisationer och andra relevanta intressenter och experter, inbegripet den vetenskapliga panelen, för att utarbeta sådana koder. Förfarandekoder bör omfatta skyldigheter för leverantörer av AI-modeller för allmänna ändamål och AI-modeller för allmänna ändamål som medför systemrisker. När det gäller systemrisker bör förfarandekoder dessutom bidra till att fastställa en risktaxonomi för systemriskernas typ och art på unionsnivå, inbegripet källorna till dem. Förfarandekoder bör också inriktas på särskilda riskbedömnings- och riskbegränsningsåtgärder. (117) Förfarandekoderna bör utgöra ett centralt verktyg för korrekt fullgörande av de skyldigheter som föreskrivs i denna förordning för leverantörer av AI-modeller för allmänna ändamål. Leverantörerna bör kunna förlita sig på förfarandekoder för att visa att skyldigheterna fullgörs. Genom genomförandeakter kan kommissionen besluta att godkänna en förfarandekod och ge den en allmän giltighet inom unionen, eller alternativt att tillhandahålla gemensamma regler för genomförandet av de relevanta skyldigheterna, om en förfarandekod vid den tidpunkt då denna förordning blir tillämplig inte kan färdigställas eller inte anses vara lämplig av AI-byrån. När en harmoniserad 861 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 standard har offentliggjorts och bedömts vara lämplig för att täcka AI-byråns relevanta skyldigheter bör efterlevnad av en europeisk harmoniserad standard ge leverantörer presumtion om överensstämmelse. Leverantörer av AI-modeller för allmänna ändamål bör dessutom kunna påvisa efterlevnad med hjälp av alternativa lämpliga sätt, om förfarandekoder eller harmoniserade standarder inte finns tillgängliga, eller om de väljer att inte förlita sig på dessa. (118) Denna förordning reglerar AI-system och AI-modeller genom att införa vissa krav och skyldigheter för relevanta marknadsaktörer som släpper ut dem på marknaden, tar dem i bruk eller använder dem i unionen, och kompletterar därigenom skyldigheterna för leverantörer av förmedlingstjänster som bygger in sådana system eller modeller i sina tjänster som regleras genom förordning (EU) 2022/2065. I den mån sådana system eller modeller är inbyggda i utsedda mycket stora onlineplattformar eller mycket stora onlinesökmotorer omfattas de av den riskhanteringsram som föreskrivs i förordning (EU) 2022/2065. Följaktligen bör motsvarande skyldigheter i den här förordningen förutsättas vara uppfyllda, såvida inte betydande systemrisker som inte omfattas av förordning (EU) 2022/2065 uppstår och identifieras i sådana modeller. Inom denna ram är leverantörer av mycket stora onlineplattformar och mycket stora onlinesökmotorer skyldiga att bedöma potentiella systemrisker som härrör från utformningen, funktionen och användningen av deras tjänster, inbegripet hur utformningen av algoritmiska system som används i tjänsten kan bidra till sådana risker, samt systemrisker som härrör från potentiell felaktig användning. Dessa leverantörer är också skyldiga att vidta lämpliga riskbegränsningsåtgärder med respekt för grundläggande rättigheter. (119) Med tanke på den snabba innovationstakten och den tekniska utvecklingen av digitala tjänster som omfattas av olika unionsrättsliga instrument, särskilt med tanke på mottagarnas användning och uppfattning, kan de AI-system som omfattas av denna förordning tillhandahållas som förmedlingstjänster eller delar av sådana i den mening som avses i förordning (EU) 2022/2065, som bör tolkas på ett teknikneutralt sätt. AI-system kan till exempel användas för att tillhandahålla onlinesökmotorer, särskilt i den mån ett AI-system såsom en onlinechatbot gör sökningar på, i princip, alla webbplatser, sedan införlivar resultaten i sin befintliga kunskap och använder den uppdaterade kunskapen för att generera ett enda resultat som kombinerar olika informationskällor. (120) Dessutom är de skyldigheter som åläggs leverantörer och tillhandahållare av vissa AI-system i denna förordning för att det ska vara möjligt att upptäcka och visa att utdata från dessa system genereras eller manipuleras artificiellt särskilt relevanta för att underlätta ett effektivt genomförande av förordning (EU) 2022/2065. Detta gäller särskilt i fråga om skyldigheterna för leverantörer av mycket stora onlineplattformar eller mycket stora onlinesökmotorer att identifiera och begränsa systemrisker som kan uppstå till följd av spridning av innehåll som genererats eller manipulerats artificiellt, särskilt risken för faktiska eller förutsebara negativa effekter på demokratiska processer, samhällsdebatten och valprocesser, inbegripet genom desinformation. (121) Standardisering bör ha en nyckelroll för att förse leverantörer med tekniska lösningar för att säkerställa efterlevnaden av denna förordning i linje med den senaste utvecklingen, för att främja innovation samt konkurrenskraft och tillväxt på den inre marknaden. Överenstämmelse med harmoniserade standarder enligt definitionen i artikel 2.1 c i Europaparlamentets och rådets förordning (EU) nr 1025/2012 (41), som normalt förväntas återspegla den senaste utvecklingen, bör vara ett sätt för leverantörer att visa att de uppfyller kraven i den här förordningen. En balanserad representation av intressen som involverar alla berörda parter i utarbetandet av standarder, särskilt små och medelstora företag, konsumentorganisationer samt miljö- och arbetstagarintressenter i enlighet med artiklarna 5 och 6 i förordning (EU) nr 1025/2012, bör därför uppmuntras. För att underlätta efterlevnaden bör begäranden om standardisering utfärdas av kommissionen utan oskäligt dröjsmål. När kommissionen utarbetar en begäran om standardisering bör den samråda med det rådgivande forumet och styrelsen för att samla in relevant expertis. I avsaknad av relevanta hänvisningar till harmoniserade standarder bör kommissionen dock, genom genom- förandeakter och efter samråd med det rådgivande forumet, kunna fastställa gemensamma specifikationer för vissa krav enligt den här förordningen. Den gemensamma specifikationen bör vara en exceptionell reservlösning för att underlätta leverantörens skyldighet att uppfylla kraven i den här förordningen, när begäran om standardisering inte har godtagits av någon av de europeiska standardiseringsorganisationerna eller när de relevanta harmoniserade standarderna inte i tillräcklig utsträckning behandlar frågor om grundläggande rättigheter, eller när de harmoniserade standarderna inte överensstämmer med begäran, eller när antagandet av en lämplig harmoniserad (41) Europaparlamentets och rådets förordning (EU) nr 1025/2012 av den 25 oktober 2012 om europeisk standardisering och om ändring av rådets direktiv 89/686/EEG och 93/15/EEG samt av Europaparlamentets och rådets direktiv 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG och 2009/105/EG samt om upphävande av rådets beslut 87/95/EEG och Europaparlamentets och rådets beslut 1673/2006/EG (EUT L 316, 14.11.2012, s. 12). 862 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 standard försenas. Om en sådan försening av antagandet av en harmoniserad standard beror på den tekniska komplexiteten hos den standarden bör kommissionen beakta detta innan den överväger att fastställa gemensamma specifikationer. Vid utarbetandet av gemensamma specifikationer uppmanas kommissionen att samarbeta med internationella partner och internationella standardiseringsorgan. (122) Utan att det påverkar användningen av harmoniserade standarder och gemensamma specifikationer är det lämpligt att leverantörer av ett AI-system med hög risk som har tränats och testats på data som återspeglar den specifika geografiska, beteendemässiga, kontextuella eller funktionella situation där AI-systemet är avsett att användas, förutsätts följa den relevanta åtgärd som föreskrivs enligt kravet på dataförvaltning i denna förordning. Utan att det påverkar de krav avseende robusthet och riktighet som fastställs i denna förordning, i enlighet med artikel 54.3 i förordning (EU) 2019/881, bör AI-system med hög risk som har certifierats eller för vilka en försäkran om överensstämmelse har utfärdats inom ramen för en cybersäkerhetsordning i enligt den förordningen och till vilka hänvisningar har offentliggjorts i Europeiska unionens officiella tidning förutsättas uppfylla cybersäkerhetskravet i den här förordningen i den mån cybersäkerhetscertifikatet eller försäkran om överensstämmelse eller delar därav omfattar cybersäkerhetskravet i den här förordningen. Detta påverkar inte cybersäkerhetsordningens frivilliga karaktär. (123) För att säkerställa en hög nivå av tillförlitlighet för AI-system med hög risk bör sådana system vara föremål för en bedömning av överensstämmelse innan de släpps ut på marknaden eller tas i bruk. (124) För att minimera bördan för operatörer och förhindra allt eventuellt dubbelarbete är det, för AI-system med hög risk som är relaterade till produkter som omfattas av befintlig unionsharmoniseringslagstiftning som bygger på den nya lagstiftningsramen, lämpligt att bedöma dessa AI-systems uppfyllande av kraven i denna förordning inom ramen för den bedömning av överensstämmelse som redan föreskrivs i den lagstiftningen. Tillämpligheten för kraven i denna förordning bör därmed inte påverka den specifika logiken, metoden eller allmänna strukturen för bedömningen av överensstämmelse enligt relevant unionsharmoniseringslagstiftning. (125) Med tanke på komplexiteten hos AI-system med hög risk och de risker som är förknippade med dem är det viktigt att utveckla ett lämpligt förfarande för bedömning av överensstämmelse för AI-system med hög risk som involverar anmälda organ, så kallad tredjepartsbedömning av överensstämmelse. Mot bakgrund av den nuvarande erfarenheten hos professionella certifieringsorgan före utsläppandet på marknaden på området produktsäkerhet och de olika typer av risker som är involverade är det dock lämpligt att, åtminstone i den inledande fasen av denna förordnings tillämpning, begränsa tillämpningsområdet för tredjepartsbedömning av överensstämmelse när det gäller andra AI-system med hög risk än dem som är relaterade till produkter. Därför bör bedömningen av överensstämmelse för sådana system som en allmän regel utföras av leverantören på eget ansvar, med det enda undantaget för AI-system som är avsedda att användas för biometri. (126) För genomförandet av tredjepartsbedömningar av överensstämmelse när så krävs, bör anmälda organ anmälas enligt denna förordning av de nationella behöriga myndigheterna, under förutsättning att de uppfyller ett antal krav, i synnerhet vad gäller oberoende, kompetens, avsaknad av intressekonflikter samt lämpliga krav för cybersäkerhet. De nationella behöriga myndigheterna bör skicka anmälan av dessa organ till kommissionen och de övriga medlemsstaterna med hjälp av det elektroniska anmälningsverktyg som utvecklats och förvaltas av kommissionen enligt artikel R23 i bilaga I till beslut nr 768/2008/EG. (127) I linje med unionens åtaganden enligt Världshandelsorganisationens avtal om tekniska handelshinder är det lämpligt att underlätta ömsesidigt erkännande av resultat av bedömningar av överensstämmelse som tagits fram av behöriga organ för bedömning av överensstämmelse som är oberoende av det territorium där de är etablerade, förutsatt att dessa organ för bedömning av överensstämmelse som inrättats enligt ett tredjelands rätt uppfyller de tillämpliga kraven i denna förordning och att unionen har ingått ett avtal om detta. I detta sammanhang bör kommissionen aktivt undersöka möjliga internationella instrument för detta ändamål och särskilt sträva efter att ingå avtal om ömsesidigt erkännande med tredjeländer. (128) Vid varje ändring som kan påverka efterlevnaden av denna förordning för ett AI-system med hög risk (t.ex. en ändring av operativsystem eller programvaruarkitektur) eller vid ändring av systemets avsedda ändamål är det lämpligt att AI-systemet, i linje med det vedertagna begreppet väsentlig ändring som avser produkter som regleras genom unionens harmoniseringslagstiftning, anses vara ett nytt AI-system som bör genomgå en ny bedömning av överensstämmelse. Ändringar av algoritmen och prestandan i AI-system som fortsätter sin inlärning efter att de släppts ut på marknaden eller tagits i bruk, dvs. automatiskt anpassar hur funktionerna utförs, bör dock inte utgöra väsentliga ändringar, förutsatt att dessa ändringar på förhand har fastställts av leverantören och bedömts vid tidpunkten för bedömning av överensstämmelse. 863 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 (129) AI-system med hög risk bör vara försedda med en CE-märkning som visar att de överensstämmer med denna förordning, så att de kan omfattas av den fria rörligheten på den inre marknaden. För AI-system med hög risk som är inbyggda i en produkt bör en fysisk CE-märkning anbringas, och den kan kompletteras med en digital CE-märkning. För AI-system med hög risk som endast tillhandahålls digitalt bör en digital CE-märkning användas. Medlemsstaterna bör inte sätta upp omotiverade hinder för utsläppandet på marknaden eller ibruktagandet av AI-system med hög risk som uppfyller kraven i denna förordning och är försedda med en CE-märkning. (130) Under vissa omständigheter kan en snabb tillgång till innovativ teknik vara avgörande för människors hälsa och säkerhet, miljöskyddet och klimatförändringarna och för samhället som helhet. Det är därför lämpligt att marknadskontrollmyndigheterna, när det föreligger exceptionella skäl som rör allmän säkerhet eller skydd av fysiska personers liv och hälsa, miljöskydd och skydd av viktiga industriella och infrastrukturella tillgångar, har möjlighet att tillåta utsläppandet på marknaden eller ibruktagandet av AI-system som inte har genomgått en bedömning av överensstämmelse. I vederbörligen motiverade situationer enligt denna förordning kan brottsbekämpande myndigheter eller civilskyddsmyndigheter ta ett specifikt AI-system med hög risk i bruk utan marknadskontrol- lmyndighetens tillstånd, förutsatt att ett sådant tillstånd begärs under eller efter användningen utan oskäligt dröjsmål. (131) För att underlätta kommissionens och medlemsstaternas arbete på AI-området och öka transparensen gentemot allmänheten, bör leverantörer av andra AI-system med hög risk än dem som är relaterade till produkter som faller inom tillämpningsområdet för relevant befintlig unionsharmoniseringslagstiftning, samt leverantörer som anser att ett AI-system som förtecknas under användningsfall med hög risk i en bilaga till denna förordning inte är ett AI-system med hög risk på grundval av ett undantag, åläggas att registrera sig själva och information om sina AI-system i en EU-databas som ska upprättas och förvaltas av kommissionen. Innan ett AI-system som förtecknas under användningsfall med hög risk i en bilaga till denna förordning används bör tillhandahållare av AI-system med hög risk som är offentliga myndigheter, byråer eller organ registrera sig i en sådan databas och välja det system som de avser att använda. Andra tillhandahållare bör ha rätt att göra detta frivilligt. Denna del av EU-databasen bör vara kostnadsfritt åtkomlig för allmänheten, och det bör vara lätt att navigera i informationen, som bör vara begriplig och maskinläsbar. EU-databasen bör också vara användarvänlig, till exempel genom att sökfunktioner, inbegripet genom nyckelord, tillhandahålls som gör det möjligt för allmänheten att hitta relevant information som ska lämnas in vid registreringen av AI-system med hög risk och om det användningsfall av AI-system med hög risk som anges i en bilaga till denna förordning som AI-systemen med hög risk motsvarar. Alla väsentliga ändringar av AI-system med hög risk bör också registreras i EU-databasen. För AI-system med hög risk på området brottsbekämpning, migration, asyl och gränskontrollförvaltning bör registreringsskyldigheterna uppfyllas i en säker icke-offentlig del av EU-databasen. Åtkomsten till den säkra icke-offentliga delen bör strikt begränsas till kommissionen och till marknadskontrollmyndigheterna när det gäller deras nationella del av databasen. AI-system med hög risk på området kritisk infrastruktur bör endast registreras på nationell nivå. Kommissionen bör vara personuppgiftsansva- rig för EU-databasen i enlighet med förordning (EU) 2018/1725. För att säkerställa att EU-databasen är fullt funktionell när den börjar utnyttjas, bör förfarandet för inrättandet av databasen innefatta funktionsspecifikationer som utvecklas av kommissionen samt en oberoende revisionsrapport. Kommissionen bör ta hänsyn till cybersäkerhetsrisker när den utför sina uppgifter som personuppgiftsansvarig i EU-databasen. För att allmänheten ska få så stor tillgång till och kunna använda EU-databasen så mycket som möjligt bör EU-databasen, och den information som tillgängliggörs genom den, uppfylla kraven i direktiv (EU) 2019/882. (132) Vissa AI-system avsedda för att interagera med fysiska personer eller generera innehåll kan utgöra särskilda risker för identitetsmissbruk eller vilseledning oavsett om de kategoriseras som AI-system med hög risk eller inte. Under vissa omständigheter bör därför användningen av dessa system omfattas av särskilda transparensskyldigheter utan att det påverkar kraven eller skyldigheterna för AI-system med hög risk och omfattas av riktade undantag för att ta hänsyn till brottsbekämpningens särskilda behov. I synnerhet bör fysiska personer underrättas om att de interagerar med ett AI-system, såvida detta inte är uppenbart för en fysisk person som är normalt informerad och skäligen uppmärksam och medveten med beaktande av omständigheterna kring och sammanhanget för användningen. Vid genomförandet av den skyldigheten bör det som kännetecknar fysiska personer som tillhör sårbara grupper på grund av ålder eller funktionsnedsättning beaktas i den mån AI-systemet även är avsett att interagera med dessa grupper. Dessutom bör fysiska personer underrättas när de utsätts för AI-system som genom att behandla deras biometriska uppgifter kan identifiera eller härleda dessa personers känslor eller avsikter eller hänföra dem till särskilda kategorier. Sådana särskilda kategorier kan avse aspekter som kön, ålder, hårfärg, ögonfärg, tatueringar, personlighetsdrag, etniskt ursprung, personliga preferenser och intressen. Sådan information och sådana underrättelser bör tillhandahållas i format som är tillgängliga för personer med funktionsnedsättning. 864 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 (133) En rad olika AI-system kan generera stora mängder syntetiskt innehåll som blir allt svårare för människor att skilja från mänskligt genererat och autentiskt innehåll. Dessa systems breda tillgänglighet och ökande kapacitet har en betydande inverkan på integriteten och förtroendet för informationsekosystemet, vilket medför nya risker för felaktig information och manipulering i stor skala, bedrägeri, identitetsmissbruk och vilseledande av konsumenter. Mot bakgrund av denna inverkan, den snabba tekniska takten och behovet av nya metoder och tekniker för att spåra ursprunget till information är det lämpligt att kräva att leverantörer av dessa system integrerar tekniska lösningar som möjliggör märkning i maskinläsbart format och upptäckt av att utdata har genererats eller manipulerats av ett AI-system och inte av en människa. Sådana tekniker och metoder bör vara tillräckligt tillförlitliga, driftskompatibla, effektiva och robusta i den mån det är tekniskt möjligt, med beaktande av tillgänglig teknik eller en kombination av sådana tekniker, såsom vattenmärken, metadataidentifiering, krypteringsmetoder för att bevisa innehållets härkomst och äkthet, loggningsmetoder, fingeravtryck eller annan teknik, beroende på vad som är lämpligt. När denna skyldighet fullgörs bör leverantörer även beakta särdragen och begränsningarna hos olika typer av innehåll, och den relevanta tekniska utvecklingen och marknadsutvecklingen på området, såsom detta återspeglas i den allmänt erkända senaste utvecklingen. Sådana tekniker och metoder kan genomföras på AI-systemnivå eller AI-modellnivå, inbegripet i fråga om AI-modeller för allmänna ändamål som genererar innehåll, för att därigenom underlätta fullgörandet av denna skyldighet av AI-systemets leverantör i efterföljande led. För att förbli proportionell är det lämpligt att föreskriva att denna märkningsskyldighet inte bör omfatta AI-system som i första hand utför en hjälpfunktion för vanlig redigering eller AI-system som inte väsentligt ändrar de indata som tillhandahålls av tillhandahållaren eller deras semantik. (134) Med hänsyn till de tekniska lösningar som används av leverantörerna av AI-systemet bör tillhandahållare som använder ett AI-system för att generera eller manipulera bilder eller ljud- eller videoinnehåll som på ett märkbart sätt liknar befintliga personer, föremål, platser, enheter eller händelser, och som för en person felaktigt kan framstå som autentiska eller sanningsenliga (deepfake), även på ett tydligt och urskiljbart sätt upplysa om att innehållet har skapats artificiellt eller manipulerats genom märkning av de utdata som producerats med AI i enlighet med det och upplysa om dess artificiella ursprung. Fullgörandet av denna transparensskyldighet bör inte tolkas som att användningen av AI-systemet eller dess utdata hindrar rätten till yttrandefrihet och konstens och vetenskapens frihet, som garanteras i stadgan, särskilt när innehållet ingår i ett uppenbart kreativt, satiriskt, konstnärligt, skönlitterärt eller liknande verk eller program, med förbehåll för lämpliga garantier för tredje parters rättigheter och friheter. I dessa fall är den transparensskyldighet för deepfake som fastställs i denna förordning begränsad till en upplysning om förekomsten av sådant genererat eller manipulerat innehåll på ett lämpligt sätt som inte hindrar visningen eller åtnjutandet av verket, inbegripet dess normala utnyttjande och användning, samtidigt som verkets nytta och kvalitet upprätthålls. Det är också lämpligt att föreskriva en liknande upplysningsskyldighet när det gäller AI-genererad eller AI-manipulerad text i den mån den offentliggörs i syfte att informera allmänheten om frågor av allmänt intresse, såvida inte det AI-genererade innehållet har genomgått en process för mänsklig granskning eller redaktionell kontroll och en fysisk eller juridisk person har redaktionellt ansvar för offentliggörandet av innehållet. (135) Utan att det påverkar transparensskyldigheternas obligatoriska karaktär och fullständiga tillämplighet kan kommissionen också uppmuntra och underlätta utarbetandet av förfarandekoder på unionsnivå för att underlätta ett effektivt genomförande av skyldigheterna avseende upptäckt och märkning av artificiellt genererat eller manipulerat innehåll, bland annat för att stödja praktiska arrangemang för att, när så är lämpligt, göra mekanismerna för upptäckt tillgängliga och underlätta samarbetet med andra aktörer längs värdekedjan, sprida innehåll eller kontrollera dess autenticitet och ursprung för att göra det möjligt för allmänheten att på ett effektivt sätt urskilja AI-genererat innehåll. (136) Dessutom är de skyldigheter som åläggs leverantörer och tillhandahållare av vissa AI-system i denna förordning för att det ska vara möjligt att upptäcka och visa att utdata från dessa system är artificiellt genererade eller manipulerade vara särskilt relevanta för att underlätta ett effektivt genomförande av förordning (EU) 2022/2065. Detta gäller särskilt i fråga om skyldigheterna för leverantörer av mycket stora onlineplattformar eller mycket stora onlinesökmotorer att identifiera och begränsa systemrisker som kan uppstå till följd av spridning av innehåll som genererats eller manipulerats artificiellt, särskilt risken för faktiska eller förutsebara negativa effekter på demokratiska processer, samhällsdebatten och valprocesser, inbegripet genom desinformation. Kravet på märkning av innehåll som genereras av AI-system enligt den här förordningen påverkar inte skyldigheten i artikel 16.6 i förordning (EU) 2022/2065 för leverantörer av värdtjänster att behandla anmälningar om olagligt innehåll som mottagits enligt artikel 16.1 i den förordningen och bör inte påverka bedömningen och beslutet om det specifika innehållets olaglighet. Denna bedömning bör göras endast med hänsyn till de regler som reglerar innehållets lagenlighet. 865 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 (137) Fullgörandet av transparensskyldigheterna för AI-system som omfattas av denna förordning bör inte tolkas som att användningen av AI-systemet eller dess utdata är laglig enligt denna förordning eller annan unionsrätt och nationell rätt i medlemsstaterna och bör inte påverka andra transparensskyldigheter för tillhandahållare av AI-system som fastställs i unionsrätten eller nationell rätt. (138) AI är en teknikfamilj i snabb utveckling som kräver tillsyn och ett säkert och kontrollerat område för experiment, med säkerställande av ansvarsfull innovation och integrering av ändamålsenliga skydds- och riskbegränsnings- åtgärder. För att säkerställa en rättslig ram som främjar innovation och är framtidssäkrad och resilient mot störningar, bör medlemsstaterna säkerställa att deras nationella behöriga myndigheter inrättar åtminstone en regulatorisk sandlåda för AI på nationell nivå, för att underlätta utveckling och testning av innovativa AI-system under strikt tillsyn innan dessa system släpps ut på marknaden eller på annat sätt tas i bruk. Medlemsstaterna kan också fullgöra denna skyldighet genom att delta i redan befintliga regulatoriska sandlådor eller gemensamt inrätta en sandlåda med en eller flera medlemsstaters behöriga myndigheter, i den mån detta deltagande ger de deltagande medlemsstaterna likvärdig nationell täckning. Regulatoriska sandlådor för AI kan inrättas i fysisk eller digital form eller i hybridform och kan rymma både fysiska och digitala produkter. Inrättandet av myndigheter bör också säkerställa att de regulatoriska sandlådorna för AI har tillräckliga resurser för sin funktion, inbegripet ekonomiska och mänskliga resurser. (139) Målen med dessa regulatoriska sandlådor för AI bör vara att främja AI-innovation genom inrättande av en kontrollerad experiment- och testmiljö vid utveckling och under fasen före utsläppandet på marknaden, med sikte på att säkerställa att de innovativa AI-systemen är förenliga med denna förordning och annan relevant unionsrätt och nationell rätt. Dessutom bör regulatoriska sandlådor för AI syfta till att öka rättssäkerheten för innovatörer och förbättra de behöriga myndigheternas tillsyn och förståelse av möjligheterna, de nya riskerna och effekterna av AI-användning, att underlätta regulatoriskt lärande för myndigheter och företag, även med tanke på framtida anpassningar av den rättsliga ramen, att stödja samarbete och utbyte av bästa praxis med de myndigheter som deltar i regulatoriska sandlådan för AI och att påskynda tillträdet till marknader, bland annat genom att undanröja hinder för små och medelstora företag, inbegripet uppstartsföretag. Regulatoriska sandlådor för AI bör vara tillgängliga i bred omfattning i hela unionen, och särskild uppmärksamhet bör ägnas åt deras tillgänglighet för små och medelstora företag, inbegripet uppstartsföretag. Deltagandet i den regulatoriska sandlådan för AI bör inriktas på problem som skapar rättsosäkerhet för leverantörer och potentiella leverantörer när de ska vara innovativa, experimentera med AI i unionen och bidra till evidensbaserat regulatoriskt lärande. Tillsynen av AI-systemen i den regulatoriska sandlådan för AI bör därför omfatta deras utveckling, träning, testning och validering innan systemen släpps ut på marknaden eller tas i bruk, samt begreppet och förekomsten av väsentlig ändring som kan kräva ett nytt förfarande för bedömning av överensstämmelse. Alla betydande risker som upptäcks under utvecklingen och testningen av sådana AI-system bör leda till omedelbar riskbegränsning och, om detta inte är möjligt, leda till att utvecklings- och testningsprocessen tillfälligt avbryts. När så är lämpligt bör nationella behöriga myndigheter som inrättar regulatoriska sandlådor för AI samarbeta med andra relevanta myndigheter, inbegripet dem som övervakar skyddet av grundläggande rättigheter, och de skulle kunna tillåta deltagande av andra aktörer inom AI-ekosystemet, såsom nationella eller europeiska standardiseringsorganisationer, anmälda organ, test- och experimentfaciliteter, forsknings- och experimentlaboratorier, europeiska digitala innovationsknutpunkter och relevanta organisationer för berörda parter och för det civila samhället. För att säkerställa ett enhetligt genomförande i hela unionen och stordriftsfördelar är det lämpligt att fastställa gemensamma regler för införandet av regulatoriska sandlådor för AI och en samarbetsram för de berörda myndigheter som deltar i tillsynen över sådana sandlådor. Regulatoriska sandlådor för AI som inrättas enligt denna förordning bör inte påverka annan rätt som tillåter inrättande av andra sandlådor som syftar till att säkerställa överensstämmelse med annan rätt än denna förordning. När så är lämpligt bör relevanta behöriga myndigheter som ansvarar för dessa andra regulatoriska sandlådor överväga fördelarna med att använda dessa sandlådor även i syfte att säkerställa AI-systemens överensstämmelse med denna förordning. Efter överenskommelse mellan de nationella behöriga myndigheterna och deltagarna i den regulatoriska sandlådan för AI kan testning under verkliga förhållanden också genomföras och övervakas inom ramen för den regulatoriska sandlådan för AI. (140) Denna förordning bör erbjuda den rättsliga grunden för att leverantörer och potentiella leverantörer i den regulatoriska sandlådan för AI använder personuppgifter som samlats in för andra ändamål för att utveckla vissa AI-system i allmänhetens intresse inom regulatoriska sandlådor för AI, endast på de angivna villkoren, i enlighet med artiklarna 6.4 och 9.2 g i förordning (EU) 2016/679 och artiklarna 5, 6 och 10 i förordning (EU) 2018/1725, och utan att det påverkar tillämpningen av artiklarna 4.2 och 10 i direktiv (EU) 2016/680. Alla andra skyldigheter för personuppgiftsansvariga och de registrerades rättigheter enligt förordningarna (EU) 2016/679 och (EU) 2018/1725 och direktiv (EU) 2016/680 förblir tillämpliga. I synnerhet bör den här förordningen inte utgöra en rättslig grund i den mening som avses i artikel 22.2 b i förordning (EU) 2016/679 och artikel 24.2 b i förordning (EU) 2018/1725. 866 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 Leverantörer och potentiella leverantörer i den regulatoriska sandlådan för AI bör säkerställa ändamålsenliga skyddsåtgärder och samarbeta med de behöriga myndigheterna, vilket omfattar att följa deras vägledning och agera snabbt och i god tro för att på lämpligt sätt begränsa eventuella identifierade väsentliga risker för säkerhet, hälsa och grundläggande rättigheter som kan uppstå i samband med utvecklings-, testnings- och experimentverksamhet i den sandlådan. (141) För att påskynda utvecklingen och utsläppandet på marknaden av de AI-system med hög risk som förtecknas i en bilaga till denna förordning är det viktigt att leverantörer eller potentiella leverantörer av sådana system också kan dra nytta av en särskild ordning för testning av dessa system under verkliga förhållanden, utan att delta i en regulatorisk sandlåda för AI. I sådana fall bör det, med beaktande av de möjliga konsekvenserna av sådan testning för enskilda personer, dock säkerställas att lämpliga och tillräckliga garantier och villkor införs genom denna förordning för leverantörer eller potentiella leverantörer. Sådana garantier bör bland annat inbegripa en begäran om informerat samtycke från fysiska personer att delta i testning under verkliga förhållanden, med undantag för brottsbekämpning om inhämtandet av informerat samtycke skulle hindra AI-systemet från att testas. Försökspersonernas samtycke till att delta i sådan testning enligt denna förordning skiljer sig från och påverkar inte de registrerades samtycke till behandling av deras personuppgifter enligt relevant dataskyddslagstiftning. Det är också viktigt att minimera riskerna och göra det möjligt för behöriga myndigheter att utöva tillsyn, och därför kräva att potentiella leverantörer har en plan för testning under verkliga förhållanden som lämnas in till den behöriga marknadskontrollmyndigheten och att de registrerar testningen i särskilda delar av EU-databasen med vissa begränsade undantag, samt att fastställa begränsningar för den period under vilken testningen kan utföras och kräva ytterligare skyddsåtgärder för personer som tillhör vissa sårbara grupper, liksom ett skriftligt avtal som definierar rollerna och ansvarsområdena för potentiella leverantörer och tillhandahållare samt formerna för en effektiv tillsyn av personal med lämplig kompetens som deltar i testningen under verkliga förhållanden. Det är dessutom lämpligt att överväga ytterligare skyddsåtgärder för att säkerställa att AI-systemets förutsägelser, rekommendationer eller beslut effektivt kan upphävas och ignoreras och att personuppgifter skyddas och raderas när försökspersonerna har dragit tillbaka sitt samtycke till att delta i testningen, utan att det påverkar deras rättigheter som registrerade enligt unionens dataskyddslagstiftning. När det gäller överföring av uppgifter är det också lämpligt att förutse att uppgifter som samlats in och behandlats för testning under verkliga förhållanden bör överföras till tredjeländer endast om lämpliga och tillämpliga skyddsåtgärder enligt unionsrätten vidtas, särskilt i enlighet med grunderna för överföring av personuppgifter enligt unionsrätten om dataskydd, medan det i fråga om icke-personuppgifter införs lämpliga skyddsåtgärder i enlighet med unionsrätten, såsom Europaparlamentets och rådets förordningar (EU) 2022/868 (42) och (EU) 2023/2854 (43). (142) För att säkerställa att AI leder till socialt och miljömässigt fördelaktiga utfall uppmuntras medlemsstaterna att stödja och främja forskning och utveckling av AI-lösningar till stöd för socialt och miljömässigt fördelaktiga utfall, såsom AI-baserade lösningar för att öka tillgängligheten för personer med funktionsnedsättning, ta itu med socioekonomiska ojämlikheter eller uppnå miljömål, genom att anslå tillräckliga resurser, inbegripet offentlig finansiering och unionsfinansiering, och, när så är lämpligt och förutsatt att behörighets- och urvalskriterierna är uppfyllda, genom att särskilt beakta projekt som eftersträvar sådana mål. Projekten bör grunda sig på principen om interdisciplinärt samarbete mellan AI-utvecklare, experter på ojämlikhet och icke-diskriminering, tillgänglighet, konsument- och miljörättigheter samt digitala rättigheter, och akademiker. (143) För att främja och skydda innovation är det viktigt att särskild hänsyn tas till intressena hos små och medelstora företag, inbegripet uppstartsföretag, som är leverantörer eller tillhandahållare av AI-system. För det ändamålet bör medlemsstaterna ta fram initiativ som riktar sig till dessa operatörer, bland annat vad gäller medvetandehöjande och information. Medlemsstaterna bör ge små och medelstora företag, inbegripet uppstartsföretag, som har ett säte eller en filial i unionen prioriterad tillgång till de regulatoriska sandlådorna för AI, förutsatt att de uppfyller behörighetskraven och urvalskriterierna och utan att andra leverantörer och potentiella leverantörer hindras från att få tillgång till sandlådorna, förutsatt att samma krav och kriterier är uppfyllda. Medlemsstaterna bör använda befintliga kanaler och, när så är lämpligt, inrätta nya särskilda kanaler för kommunikation med små och medelstora företag, inbegripet uppstartsföretag, tillhandahållare, andra innovatörer och, i förekommande fall, lokala offentliga myndigheter i syfte att stödja små och medelstora företag under deras utveckling genom att ge vägledning och svara på frågor om genomförandet av denna förordning. Där så är lämpligt bör dessa kanaler samarbeta för att skapa synergier och säkerställa homogenitet i sin vägledning till små och medelstora företag, inbegripet uppstartsföretag, och tillhandahållare. Medlemsstaterna bör dessutom underlätta små och medelstora företags och andra berörda parters deltagande i processerna för standardiseringsutveckling. De särskilda intressena och behoven hos (42) Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten) (EUT L 152, 3.6.2022, s. 1). (43) Europaparlamentets och rådets förordning (EU) 2023/2854 av den 13 december 2023 om harmoniserade regler för skälig åtkomst till och användning av data och om ändring av förordning (EU) 2017/2394 och direktiv (EU) 2020/1828 (dataförordningen) (EUT L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj). 867 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 leverantörer som är små och medelstora företag, inbegripet uppstartsföretag, bör också beaktas när anmälda organ fastställer avgifterna för bedömning av överensstämmelse. Kommissionen bör regelbundet bedöma kostnaderna för certifiering och efterlevnad för små och medelstora företag, inbegripet uppstartsföretag, genom transparenta samråd, och samarbeta med medlemsstaterna för att sänka sådana kostnader. Till exempel kan kostnaderna för översättning av obligatorisk dokumentation och kommunikation med myndigheter utgöra betydande kostnader för leverantörer och andra operatörer, i synnerhet mer småskaliga sådana. Medlemsstaterna bör eventuellt säkerställa att ett av de språk som fastställs och godtas av dem för relevant dokumentation från leverantörer och för kommunikation med operatörer är ett språk som i huvudsak förstås av största möjliga antal tillhandahållare i gränsöverskridande situationer. För att tillgodose de särskilda behoven hos små och medelstora företag, inbegripet uppstartsföretag, bör kommissionen på styrelsens begäran tillhandahålla standardiserade mallar för de områden som omfattas av denna förordning. Kommissionen bör dessutom komplettera medlemsstaternas insatser genom att tillhandahålla en enda informationsplattform med information om denna förordning som är lätt att använda för alla leverantörer och tillhandahållare, genom att anordna lämpliga kommunikationskampanjer i syfte att öka medvetenheten om de skyldigheter som följer av denna förordning och genom att utvärdera och främja konvergens av bästa praxis i förfaranden för offentlig upphandling när det gäller AI-system. Medelstora företag som fram till nyligen betraktades som små företag i den mening som avses i bilagan till kommissionens rekommendation 2003/361/EG (44) bör ha tillgång till dessa stödåtgärder, eftersom dessa nya medelstora företag ibland saknar de rättsliga resurser och den utbildning som krävs för att säkerställa en korrekt förståelse och efterlevnad av denna förordning. (144) För att främja och skydda innovation bör plattformen för efterfrågestyrd AI samt alla relevanta unionsfinansie- ringsprogram och unionsprojekt, såsom programmet för ett digitalt Europa och Horisont Europa, som genomförs av kommissionen och medlemsstaterna på unionsnivå eller nationell nivå i förekommande fall bidra till att målen i denna förordning uppnås. (145) För att minimera risker för genomförandet som följer av bristande kunskap och expertis på marknaden, och för att främja leverantörernas, särskilt små och medelstora företags, inbegripet uppstartsföretags, och de anmälda organens uppfyllande av sina skyldigheter enligt denna förordning, bör plattformen för efterfrågestyrd AI, de europeiska digitala innovationsknutpunkterna och de test- och experimentfaciliteter som inrättas av kommissionen och medlemsstaterna på unionsnivå eller nationell nivå bidra till genomförandet av denna förordning. Inom sina respektive uppdrag och kompetensområden kan plattformen för efterfrågestyrd AI, de europeiska digitala innovationsknutpunkterna och test- och experimentfaciliteterna i synnerhet tillhandahålla tekniskt och vetenskapligt stöd till leverantörer och anmälda organ. (146) Med tanke på vissa operatörers mycket begränsade storlek och för att säkerställa proportionalitet när det gäller innovationskostnader, bör dessutom mikroföretag tillåtas att fullgöra en av de mest kostsamma skyldigheterna, nämligen inrättandet av ett kvalitetsstyrningssystem, på ett förenklat sätt som skulle minska den administrativa bördan och kostnaderna för dessa företag utan att skyddsnivån och behovet av efterlevnad av kraven för AI-system med hög risk påverkas. Kommissionen bör utarbeta riktlinjer för att specificera de delar av kvalitetsstyrningssystemet som mikroföretag bör fullgöra på detta förenklade sätt. (147) Det är lämpligt att kommissionen i möjligaste mån underlättar tillgången till test-och experimentfaciliteter för organ, grupper eller laboratorier som inrättats eller ackrediterats enligt relevant unionsharmoniseringslagstiftning och som utför uppgifter inom ramen för bedömning av överensstämmelse för produkter eller utrustning som omfattas av den unionsharmoniseringslagstiftningen. Detta gäller i synnerhet för expertpaneler, expertlaboratorier och referenslaboratorier på området medicintekniska produkter enligt förordningarna (EU) 2017/745 och (EU) 2017/746. (148) Denna förordning bör fastställa en styrningsram som gör det möjligt såväl att samordna och stödja tillämpningen av denna förordning på nationell nivå som att bygga upp kapacitet på unionsnivå och involvera berörda parter på AI-området. Ett effektivt genomförande och en effektiv kontroll av efterlevnaden av denna förordning kräver en styrningsram som gör det möjligt att samordna och bygga upp central expertis på unionsnivå. AI-byrån inrättades genom ett kommissionsbeslut (45) och har som uppdrag att utveckla unionens expertis och kapacitet på AI-området och att bidra till genomförandet av unionsrätten om AI. Medlemsstaterna bör underlätta AI-byråns uppgifter med målet att stödja utvecklingen av unionens expertis och kapacitet på unionsnivå och stärka den digitala inre marknadens funktion. Det bör dessutom inrättas en styrelse bestående av företrädare för medlemsstaterna, en vetenskaplig panel för att involvera forskarsamhället och ett rådgivande forum för att genom synpunkter från berörda parter bidra till genomförandet av denna förordning, på unionsnivå och nationell nivå. Utvecklingen av (44) Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (EUT L 124, 20.5.2003, s. 36). (45) Kommissionens beslut av den 24 januari 2024 om inrättande av Europeiska byrån för artificiell intelligens C(2024) 390. 868 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 unionens expertis och kapacitet bör också inbegripa användning av befintliga resurser och befintlig expertis, särskilt genom synergier med strukturer som byggts upp i samband med efterlevnaden av annan rätt på unionsnivå och synergier med därmed sammanhängande initiativ på unionsnivå, såsom det gemensamma företaget EuroHPC och test- och experimentfaciliteter för AI inom ramen för programmet för ett digitalt Europa. (149) För att främja ett smidigt, effektivt och harmoniserat genomförande av denna förordning bör en styrelse inrättas. Styrelsen bör återspegla AI-ekosystemets olika intressen och bestå av företrädare för medlemsstaterna. Styrelsen bör ansvara för ett antal rådgivande uppgifter, däribland att utfärda yttranden, rekommendationer, råd eller bidra till vägledning om frågor som rör genomförandet av denna förordning, inbegripet när det gäller frågor som rör kontroll av efterlevnad, tekniska specifikationer eller befintliga standarder avseende kraven i denna förordning och råd till kommissionen, medlemsstaterna och deras nationella behöriga myndigheter om specifika frågor som rör AI. För att ge medlemsstaterna viss flexibilitet när de utser sina företrädare i styrelsen kan sådana företrädare utgöras av alla personer som tillhör offentliga enheter och som bör ha relevant kompetens och relevanta befogenheter för att underlätta samordningen på nationell nivå och bidra till att styrelsens uppgifter fullgörs. Styrelsen bör inrätta två ständiga undergrupper för att tillhandahålla en plattform för samarbete och utbyte mellan marknadskontrol- lmyndigheter och anmälande myndigheter i frågor som rör marknadskontroll respektive anmälda organ. Den ständiga arbetsgruppen för marknadskontroll bör fungera som grupp för administrativt samarbete (Adco-grupp) för denna förordning i den mening som avses i artikel 30 i förordning (EU) 2019/1020. I enlighet med artikel 33 i den förordningen bör kommissionen stödja verksamheten i den ständiga arbetsgruppen för marknadskontroll genom att genomföra marknadsutvärderingar eller marknadsstudier, särskilt i syfte att identifiera aspekter av den här förordningen som kräver särskild och brådskande samordning mellan marknadskontrollmyndigheter. Styrelsen får inrätta andra ständiga eller tillfälliga undergrupper när så är lämpligt i syfte att granska specifika frågor. Styrelsen bör också, när så är lämpligt, samarbeta med relevanta unionsorgan, unionsexpertgrupper och unionsnätverk som är verksamma inom ramen för relevant unionsrätt, särskilt de som är verksamma inom ramen för relevant unionsrätt om data, digitala produkter och tjänster. (150) För att säkerställa berörda parters deltagande i genomförandet och tillämpningen av denna förordning bör ett rådgivande forum inrättas för att ge råd till och tillhandahålla teknisk expertis till styrelsen och kommissionen. För att säkerställa en varierad och balanserad representation av berörda parter i fråga om kommersiella och icke-kommersiella intressen samt, inom kategorin kommersiella intressen, med avseende på små och medelstora företag och andra företag, bör det rådgivande forumet bland annat omfatta industrin, uppstartsföretag, små och medelstora företag, den akademiska världen, det civila samhället, inbegripet arbetsmarknadens parter, samt Europeiska unionens byrå för grundläggande rättigheter, Enisa, Europeiska standardiseringskommittén (CEN), Europeiska kommittén för elektroteknisk standardisering (Cenelec) och Europeiska institutet för telekommunika- tionsstandarder (Etsi). (151) För att stödja genomförandet och kontrollen av efterlevnaden av denna förordning, särskilt AI-byråns övervakningsverksamhet avseende AI-modeller för allmänna ändamål, bör en vetenskaplig panel av oberoende experter inrättas. De oberoende experter som ingår i den vetenskapliga panelen bör väljas ut på grundval av aktuell vetenskaplig eller teknisk expertis på AI-området och bör utföra sina uppgifter opartiskt och objektivt samt säkerställa att den information och de uppgifter som de erhåller vid utförandet av sina uppgifter och sin verksamhet behandlas konfidentiellt. För att göra det möjligt att stärka den nationella kapacitet som krävs för en effektiv kontroll av efterlevnaden av denna förordning bör medlemsstaterna kunna begära stöd för sin verksamhet avseende efterlevnadskontroll från poolen av experter i den vetenskapliga panelen. (152) För att stödja en lämplig kontroll av efterlevnaden i fråga om AI-system och för att stärka medlemsstaternas kapacitet bör unionsstödstrukturer för testning av AI inrättas och göras tillgängliga för medlemsstaterna. (153) Medlemsstaterna har en central roll i tillämpningen och kontrollen av efterlevnaden av denna förordning. I detta hänseende bör varje medlemsstat till nationella behöriga myndigheter utse minst en anmälande myndighet och minst en marknadskontrollmyndighet för att utöva tillsyn avseende tillämpningen och genomförandet av denna förordning. Medlemsstaterna kan besluta att utse valfri typ av offentlig enhet för att utföra de nationella behöriga myndigheternas uppgifter i den mening som avses i denna förordning, i enlighet med sina specifika nationella organisatoriska särdrag och behov. För att öka den organisatoriska effektiviteten från medlemsstaternas sida och inrätta en gemensam kontaktpunkt för kontakterna med allmänheten och andra motparter på medlemsstatsnivå och unionsnivå bör varje medlemsstat utse en marknadskontrollmyndighet som ska fungera som gemensam kontaktpunkt. 869 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 (154) De nationella behöriga myndigheterna bör utöva sina befogenheter på ett oberoende, objektivt och opartiskt sätt för att säkerställa principen om objektivitet i sin verksamhet och sina uppgifter och för att säkerställa tillämpningen och genomförandet av denna förordning. Personalen vid dessa myndigheter bör avhålla sig från varje handling som är oförenlig med deras uppdrag och bör omfattas av bestämmelserna om konfidentialitet enligt denna förordning. (155) För att säkerställa att leverantörer av AI-system med hög risk kan beakta erfarenheterna från användning av AI-system med hög risk för att förbättra sina system och utformnings- och utvecklingsprocessen, eller kan vidta eventuella korrigerande åtgärder i rätt tid, bör alla leverantörer ha infört ett system för övervakning efter utsläppande på marknaden. I förekommande fall bör övervakningen efter utsläppande på marknaden omfatta en analys av interaktionen med andra AI-system, inbegripet andra enheter och programvara. Övervakningen efter utsläppande på marknaden bör inte omfatta känsliga operativa uppgifter om tillhandahållare som är brottsbekämpande myndigheter. Detta system är också viktigt för att säkerställa att eventuella risker som härrör från AI-system som fortsätter sin inlärning efter att de släppts ut på marknaden eller tagits i bruk kan hanteras på ett mer effektivt sätt och i rätt tid. I detta sammanhang bör leverantörer också åläggas att ha ett system för rapportering till de berörda myndigheterna av alla allvarliga incidenter som orsakas av användningen av deras AI-system, varmed avses en incident eller en funktionsstörning som leder till dödsfall eller allvarlig skada för hälsan, en allvarlig och oåterkallelig störning av förvaltningen och driften av kritisk infrastruktur, överträdelser av skyldigheter enligt unionsrätten avsedda att skydda grundläggande rättigheter eller allvarlig skada för egendom eller för miljön. (156) För att säkerställa ändamålsenlig och effektiv kontroll av att de krav och skyldigheter som fastställs i denna förordning och som utgör en del av unionens harmoniseringslagstiftning efterlevs bör det system för marknadskontroll och överensstämmelse för produkter som inrättas genom förordning (EU) 2019/1020 gälla i sin helhet. Marknadskontrollmyndigheter som utsetts enligt den här förordningen bör ha alla de befogenheter som fastställs i den här förordningen och i förordning (EU) 2019/1020 vad gäller kontroll av efterlevnad och bör utöva sina befogenheter och utföra sina uppgifter oberoende, objektivt och opartiskt. Även om majoriteten av AI-systemen inte omfattas av särskilda krav och skyldigheter enligt den här förordningen kan marknadskontrollmyndigheterna vidta åtgärder med avseende på alla AI-system när de utgör en risk i enlighet med den här förordningen. På grund av den särskilda karaktären hos unionens institutioner, byråer och organ som omfattas av den här förordningen bör Europeiska datatillsynsmannen utses till behörig marknadskontrollmyndighet för dem. Detta bör inte påverka medlemsstaternas utseende av nationella behöriga myndigheter. Marknadskontrollen bör inte påverka förmågan hos de enheter som står under tillsyn att utföra sina uppgifter på ett oberoende sätt, när ett sådant oberoende krävs enligt unionsrätten. (157) Denna förordning påverkar inte behörigheten, uppgifterna, befogenheterna och oberoendet för relevanta nationella offentliga myndigheter eller organ som övervakar tillämpningen av unionsrätten till skydd för grundläggande rättigheter, inbegripet jämställdhetsorgan och dataskyddsmyndigheter. När det är nödvändigt för dessa nationella offentliga myndigheters eller organs uppdrag bör de också ha tillgång till all dokumentation som skapas enligt denna förordning. Ett särskilt förfarande för skyddsåtgärder bör fastställas för att säkerställa adekvat och snabb kontroll av efterlevnaden gentemot AI-system som utgör en risk för hälsa, säkerhet och grundläggande rättigheter. Förfarandet för sådana AI-system som utgör en risk bör tillämpas på AI-system med hög risk som utgör en risk, på förbjudna system som har släppts ut på marknaden, tagits i bruk eller använts i strid med de bestämmelser om förbjudna användningsområden som fastställs i denna förordning och på AI-system som har gjorts tillgängliga i strid med de transparenskrav som fastställs i denna förordning och som utgör en risk. (158) Unionsrätten om finansiella tjänster omfattar regler och krav för interna styrelseformer och riskhantering som är tillämpliga på reglerade finansinstitut i samband med tillhandahållandet av dessa tjänster, även när de använder AI-system. För att säkerställa en enhetlig tillämpning och kontroll av efterlevnaden av skyldigheterna enligt denna förordning och relevanta regler och krav i unionsrättsakter om finansiella tjänster, bör de myndigheter som är behöriga för tillsynen och kontrollen av efterlevnaden av dessa rättsakter, i synnerhet behöriga myndigheter enligt definitionen i Europaparlamentets och rådets förordning (EU) nr 575/2013 (46) och Europaparlamentets och rådets direktiv 2008/48/EG (47), 2009/138/EG (48), 2013/36/EU (49), 2014/17/EU (50) och (EU) 2016/97 (51), inom ramen för (46) Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och om ändring av förordning (EU) nr 648/2012 (EUT L 176, 27.6.2013, s. 1). (47) Europaparlamentets och rådets direktiv 2008/48/EG av den 23 april 2008 om konsumentkreditavtal och om upphävande av rådets direktiv 87/102/EEG (EUT L 133, 22.5.2008, s. 66). (48) Europaparlamentets och rådets direktiv 2009/138/EG av den 25 november 2009 om upptagande och utövande av försäkrings- och återförsäkringsverksamhet (Solvens II) (EUT L 335, 17.12.2009, s. 1). (49) Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut och värdepappersföretag, om ändring av direktiv 2002/87/EG och om upphävande av direktiv 2006/48/EG och 2006/49/EG (EUT L 176, 27.6.2013, s. 338). (50) Europaparlamentets och rådets direktiv 2014/17/EU av den 4 februari 2014 om konsumentkreditavtal som avser bostadsfastighet och om ändring av direktiven 2008/48/EG och 2013/36/EU och förordning (EU) nr 1093/2010 (EUT L 60, 28.2.2014, s. 34). (51) Europaparlamentets och rådets direktiv (EU) 2016/97 av den 20 januari 2016 om försäkringsdistribution (EUT L 26, 2.2.2016, s. 19). 870 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 sina respektive befogenheter, utses till behöriga myndigheter för tillsynen över genomförandet av den här förordningen, även med avseende på marknadskontroll, när det gäller AI-system som tillhandahålls eller används av finansinstitut som är reglerade och står under tillsyn, såvida inte medlemsstaterna beslutar att utse en annan myndighet att utföra dessa marknadskontrolluppgifter. Dessa behöriga myndigheter bör ha alla befogenheter enligt den här förordningen och förordning (EU) 2019/1020 för att genomdriva kraven och skyldigheterna i den här förordningen, inbegripet befogenheter att utföra efterhandskontroll av marknaden som, när så är lämpligt, kan integreras i deras befintliga tillsynsmekanismer och tillsynsförfaranden enligt relevant unionsrätt om finansiella tjänster. Det är lämpligt att de nationella myndigheter som ansvarar för tillsynen av kreditinstitut som regleras genom direktiv 2013/36/EU och som deltar i den gemensamma tillsynsmekanism som inrättats genom rådets förordning (EU) nr 1024/2013 (52), när de agerar som marknadskontrollmyndigheter enligt den här förordningen, utan dröjsmål till Europeiska centralbanken rapporterar all information som identifierats i samband med deras marknadskontroll och som kan vara av potentiellt intresse för Europeiska centralbankens tillsynsuppgifter enligt den förordningen. För att ytterligare öka samstämmigheten mellan den här förordningen och de regler som är tillämpliga på kreditinstitut som regleras genom direktiv 2013/36/EU är det också lämpligt att i de befintliga skyldigheterna och förfarandena enligt direktiv 2013/36/EU integrera några av leverantörernas förfarandemässiga skyldigheter vad gäller riskhantering, övervakning av produkter som släppts ut på marknaden och dokumentation. För att undvika överlappningar bör begränsade undantag också förutses när det gäller leverantörers kvalitetsstyrningssystem och de övervakningsskyldigheter som gäller för tillhandahållare av AI-system med hög risk i den utsträckning som dessa är tillämpliga på kreditinstitut som regleras genom direktiv 2013/36/EU. Samma ordning bör tillämpas på försäkrings- och återförsäkringsföretag och försäkringsholdingbolag enligt direktiv 2009/138/EG och försäkringsförmedlare enligt direktiv (EU) 2016/97 och andra typer av finansinstitut som omfattas av krav avseende interna styrelseformer, arrangemang eller processer som inrättats enligt relevant unionsrätt om finansiella tjänster för att säkerställa samstämmighet och likabehandling inom finanssektorn. (159) Varje marknadskontrollmyndighet för AI-system med hög risk på biometriområdet, enligt förteckningen i en bilaga till denna förordning, bör, i den mån dessa system används för brottsbekämpning, migration, asyl och gränskontrollförvaltning eller för rättskipning och demokratiska processer, ha effektiva utredningsbefogenheter och korrigerande befogenheter, inbegripet åtminstone befogenhet att få tillgång till alla personuppgifter som behandlas och till all information som krävs för att den ska kunna utföra sina uppgifter. Marknadskontrollmyndigheterna bör vara fullständigt oberoende i utövandet av sina befogenheter. Eventuella begränsningar av deras tillgång till känsliga operativa uppgifter enligt denna förordning bör inte påverka de befogenheter som de tilldelas genom direktiv (EU) 2016/680. Inget undantag när det gäller utlämnande av uppgifter till nationella dataskyddsmyndigheter enligt denna förordning bör påverka dessa myndigheters nuvarande eller framtida befogenheter utanför denna förordnings tillämpningsområde. (160) Marknadskontrollmyndigheterna och kommissionen bör kunna föreslå gemensamma aktiviteter, inbegripet gemensamma utredningar, som ska genomföras av marknadskontrollmyndigheterna själva eller av marknadskon- trollmyndigheter tillsammans med kommissionen, och som syftar till att främja överensstämmelse, identifiera bristande överensstämmelse, öka medvetenheten och ge vägledning om denna förordning med avseende på specifika kategorier av AI-system med hög risk som befinns utgöra en allvarlig risk i två eller flera medlemsstater. Gemensamma aktiviteter för att främja överensstämmelse bör genomföras i enlighet med artikel 9 i förordning (EU) 2019/1020. AI-byrån bör tillhandahålla samordningsstöd för gemensamma utredningar. (161) Det är nödvändigt att klargöra ansvarsområdena och befogenheterna på unionsnivå och nationell nivå när det gäller AI-system som bygger på AI-modeller för allmänna ändamål. När ett AI-system bygger på en AI-modell för allmänna ändamål och modellen och systemet tillhandahålls av samma leverantör bör, i syfte att undvika överlappande (52) Rådets förordning (EU) nr 1024/2013 av den 15 oktober 2013 om tilldelning av särskilda uppgifter till Europeiska centralbanken i fråga om politiken för tillsyn över kreditinstitut (EUT L 287, 29.10.2013, s. 63). 871 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 befogenheter, tillsynen ske på unionsnivå genom AI-byrån, som bör ha befogenheter som marknadskontrol- lmyndighet i den mening som avses i förordning (EU) 2019/1020 för detta ändamål. I alla andra fall förblir de nationella marknadskontrollmyndigheterna ansvariga för tillsynen av AI-system. När det gäller AI-system för allmänna ändamål som kan användas direkt av tillhandahållare för minst ett ändamål som klassificeras som AI-system med hög risk bör marknadskontrollmyndigheterna dock samarbeta med AI-byrån för att utföra bedömningar av överensstämmelse och informera styrelsen och andra marknadskontrollmyndigheter om detta. Dessutom bör marknadskontrollmyndigheterna kunna begära bistånd från AI-byrån om marknadskontrollmyndig- heten inte kan slutföra en utredning avseende ett AI-system med hög risk på grund av att den inte får tillgång till viss information om den AI-modell för allmänna ändamål som AI-systemet med hög risk bygger på. I sådana fall bör förfarandet för ömsesidig assistans i gränsöverskridande fall i kapitel VI i förordning (EU) 2019/1020 gälla i tillämpliga delar. (162) I syfte att på bästa sätt utnyttja unionens centraliserade sakkunskap och synergier på unionsnivå bör befogenheterna avseende tillsyn och kontroll av efterlevnaden av skyldigheterna för leverantörer av AI-modeller för allmänna ändamål omfattas av kommissionens behörighet. AI-byrån bör kunna vidta alla nödvändiga åtgärder för att övervaka det effektiva genomförandet av denna förordning när det gäller AI-modeller för allmänna ändamål. Den bör kunna utreda eventuella överträdelser av reglerna för leverantörer av AI-modeller för allmänna ändamål, både på eget initiativ, baserat på resultaten av dess övervakningsverksamhet, eller på begäran av marknadskontrollmyndigheterna i enlighet med villkoren i denna förordning. I syfte att stödja en effektiv övervakning genom AI-byrån bör det föreskrivas en möjlighet för leverantörer i efterföljande led att lämna in klagomål om eventuella överträdelser av reglerna för leverantörer av AI-modeller och AI-system för allmänna ändamål. (163) I syfte att komplettera styrningssystemen för AI-modeller för allmänna ändamål bör den vetenskapliga panelen stödja AI-byråns övervakningsverksamhet och får, i vissa fall, tillhandahålla kvalificerade varningar till AI-byrån som utlöser uppföljningar, såsom utredningar. Detta bör vara fallet om den vetenskapliga panelen har skäl att misstänka att en AI-modell för allmänna ändamål utgör en konkret och identifierbar risk på unionsnivå. Detta bör dessutom vara fallet om den vetenskapliga panelen har skäl att misstänka att en AI-modell för allmänna ändamål uppfyller kriterierna för att klassificeras som en AI-modell för allmänna ändamål med systemrisk. I syfte att förse den vetenskapliga panelen med den information som krävs för utförandet av dessa uppgifter bör det finnas en mekanism genom vilken den vetenskapliga panelen kan uppmana kommissionen att begära dokumentation eller information från en leverantör. (164) AI-byrån bör kunna vidta nödvändiga åtgärder för att övervaka det faktiska genomförandet och efterlevnaden av de skyldigheter för leverantörer av AI-modeller för allmänna ändamål som fastställs i denna förordning. AI-byrån bör kunna utreda eventuella överträdelser i enlighet med de befogenheter som föreskrivs i denna förordning, bland annat genom att begära dokumentation och information, genom att genomföra utvärderingar och genom att kräva åtgärder från leverantörer av AI-modeller för allmänna ändamål. Vid genomförandet av utvärderingar bör AI-byrån, i syfte att utnyttja oberoende sakkunskap, kunna anlita oberoende experter som kan utföra utvärderingarna för dess räkning. Efterlevnaden av skyldigheterna bör kunna verkställas, bland annat genom begäranden om att vidta lämpliga åtgärder, inbegripet riskbegränsningsåtgärder i händelse av identifierade systemrisker samt begränsning av tillhandahållandet på marknaden, tillbakadragande eller återkallande av modellen. Som en skyddsåtgärd, när detta behövs utöver de processuella rättigheter som föreskrivs i denna förordning, bör leverantörer av AI-modeller för allmänna ändamål ha de processuella rättigheter som föreskrivs i artikel 18 i förordning (EU) 2019/1020, som bör gälla i tillämpliga delar, utan att det påverkar de mer specifika processuella rättigheter som föreskrivs i den här förordningen. (165) Utvecklingen av andra AI-system än AI-system med hög risk i enlighet med kraven i denna förordning kan leda till en ökad användning av etisk och tillförlitlig AI i unionen. Leverantörer av AI-system som inte är AI-system med hög risk bör uppmuntras att ta fram uppförandekoder, inbegripet tillhörande styrningsmekanismer, avsedda att främja en frivillig tillämpning av vissa eller alla av de obligatoriska krav som gäller för AI-system med hög risk, anpassade med hänsyn till systemens avsedda ändamål och den lägre risk som de medför och med beaktande av tillgängliga tekniska lösningar och bästa branschpraxis, såsom modellkort och datakort. Leverantörer och, i förekommande fall, tillhandahållare av alla AI-system, med eller utan hög risk, och AI-modeller bör också uppmuntras att på frivillig grund tillämpa ytterligare krav avseende exempelvis inslagen i unionens etiska riktlinjer för tillförlitlig AI, 872 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 miljömässig hållbarhet, åtgärder för AI-kunnighet, inkluderande och diversifierad utformning och utveckling av AI-system, inbegripet uppmärksamhet för sårbara personer och tillgänglighet för personer med funktionsnedsätt- ning, berörda parters deltagande med medverkan, i förekommande fall, av sådana berörda parter som näringslivsorganisationer och det civila samhällets organisationer, den akademiska världen, forskningsorganisationer, fackföreningar och konsumentskyddsorganisationer i utformningen och utvecklingen av AI-system samt mångfald i utvecklingsteamen, inbegripet en jämn könsfördelning. För att säkerställa att de frivilliga uppförandekoderna är effektiva bör de grunda sig på tydliga mål och centrala resultatindikatorer för att mäta uppnåendet av dessa mål. De bör också utvecklas på ett inkluderande sätt, när så är lämpligt, med deltagande av berörda parter såsom näringslivsorganisationer och det civila samhällets organisationer, den akademiska världen, forskningsorganisationer, fackföreningar och konsumentskyddsorganisationer. Kommissionen kan utveckla initiativ, även på sektorsbasis, för att minska de tekniska hindren för gränsöverskridande utbyte av data för AI-utveckling, däribland vad gäller infrastruktur för dataåtkomst samt semantisk och teknisk interoperabilitet för olika typer av data. (166) Det är viktigt att AI-system som är relaterade till produkter som inte är AI-system med hög risk enligt denna förordning och som därmed inte måste uppfylla kraven på AI-system med hög risk ändå är säkra när de släpps ut på marknaden eller tas i bruk. För att bidra till detta mål skulle Europaparlamentets och rådets förordning (EU) 2023/988 (53) tillämpas som ett skyddsnät. (167) För att säkerställa ett förtroendefullt och konstruktivt samarbete mellan behöriga myndigheter på unionsnivå och nationell nivå bör alla parter som är involverade i tillämpningen av denna förordning säkerställa konfidentiell behandling av information och data som de erhåller i utförandet av sina uppgifter, i enlighet med unionsrätten eller nationell rätt. De bör utföra sina uppgifter och bedriva sin verksamhet på ett sådant sätt att de i synnerhet skyddar immateriella rättigheter, konfidentiell affärsinformation och företagshemligheter, det effektiva genomförandet av denna förordning, allmänna och nationella säkerhetsintressen, integriteten i straffrättsliga och administrativa förfaranden samt integriteten hos säkerhetsskyddsklassificerade uppgifter. (168) Efterlevnaden av denna förordning bör kunna verkställas genom åläggande av sanktioner och andra verkställig- hetsåtgärder. Medlemsstaterna bör vidta alla nödvändiga åtgärder för att säkerställa att bestämmelserna i denna förordning genomförs, bland annat genom att fastställa effektiva, proportionella och avskräckande sanktioner för åsidosättande av dem, och för att iaktta principen ne bis in idem. För att stärka och harmonisera de administrativa sanktionerna för överträdelser av denna förordning bör det fastställas övre gränser för fastställande av administrativa sanktionsavgifter för vissa specifika överträdelser. Vid bedömningen av storleken på sanktionsavgifterna bör medlemsstaterna i varje enskilt fall beakta alla relevanta omständigheter i den specifika situationen, med vederbörlig hänsyn särskilt till överträdelsens art, svårighetsgrad och varaktighet och dess konsekvenser samt till leverantörens storlek, särskilt om leverantören tillhör kategorin små och medelstora företag, inbegripet uppstartsföretag. Europeiska datatillsynsmannen bör ha befogenhet att ålägga böter för unionens institutioner, byråer och organ som omfattas av denna förordning. (169) Efterlevnaden av de skyldigheter för leverantörer av AI-modeller för allmänna ändamål som införs enligt denna förordning bör kunna verkställas bland annat genom sanktionsavgifter. I detta syfte bör lämpliga nivåer på sanktionsavgifterna också fastställas för överträdelser av dessa skyldigheter, inbegripet åsidosättande av de åtgärder som kommissionen begär i enlighet med denna förordning, med förbehåll för lämpliga preskriptionstider i enlighet med proportionalitetsprincipen. Alla beslut som kommissionen fattar enligt denna förordning kan prövas av Europeiska unionens domstol i enlighet med EUF-fördraget, inbegripet domstolens obegränsade behörighet när det gäller sanktioner enligt artikel 261 i EUF-fördraget. (170) Unionsrätten och nationell rätt föreskriver redan effektiva rättsmedel för fysiska och juridiska personer vars rättigheter och friheter påverkas negativt av användningen av AI-system. Utan att det påverkar dessa rättsmedel bör varje fysisk eller juridisk person som har skäl att anse att denna förordning har överträtts ha rätt att lämna in klagomål till den berörda marknadskontrollmyndigheten. (171) Berörda personer bör ha rätt att få en förklaring om en tillhandahållares beslut huvudsakligen grundar sig på utdata från vissa AI-system med hög risk som omfattas av denna förordning och om det beslutet har rättslig verkan eller på liknande sätt i betydande grad påverkar dessa personer på ett sätt som de anser ha en negativ inverkan på deras hälsa, (53) Europaparlamentets och rådets förordning (EU) 2023/988 av den 10 maj 2023 om allmän produktsäkerhet, ändring av Europaparlamentets och rådets förordning (EU) nr 1025/2012 och Europaparlamentets och rådets direktiv (EU) 2020/1828 och om upphävande av Europaparlamentets och rådets direktiv 2001/95/EG och rådets direktiv 87/357/EEG (EUT L 135, 23.5.2023, s. 1). 873 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 säkerhet eller grundläggande rättigheter. Den förklaringen bör vara tydlig och meningsfull och bör tillhandahålla en grund på vilken de berörda personerna kan utöva sina rättigheter. Rätten att få en förklaring bör inte tillämpas på sådan användning av AI-system som enligt unionsrätten eller nationell rätt omfattas av undantag eller begränsningar och bör endast tillämpas i den mån denna rätt inte redan föreskrivs i unionsrätten. (172) Personer som agerar som visselblåsare när det gäller överträdelser av denna förordning bör skyddas enligt unionsrätten. Europaparlamentets och rådets direktiv (EU) 2019/1937 (54) bör därför tillämpas på rapportering av överträdelser av denna förordning och skydd för personer som rapporterar sådana överträdelser. (173) För att säkerställa att regelverket vid behov kan anpassas bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget delegeras till kommissionen när det gäller ändring av de villkor enligt vilka ett AI-system inte ska betraktas som ett AI-system med hög risk, förteckningen över AI-system med hög risk, bestämmelserna om teknisk dokumentation, innehållet i EU-försäkran om överensstämmelse, bestämmelserna om förfaranden för bedömning av överensstämmelse, bestämmelserna om fastställande av de AI-system med hög risk som omfattas av det förfarande för bedömning av överensstämmelse som baseras på en bedömning av kvalitetsstyrningssystemet och en bedömning av den tekniska dokumentationen, tröskelvärdet, riktmärkena och indikatorerna, inbegripet genom komplettering av dessa riktmärken och indikatorer, i reglerna för klassificering av AI-modeller för allmänna ändamål med systemrisk, kriterierna för utseende av AI-modeller för allmänna ändamål med systemrisk, den tekniska dokumentationen för leverantörer av AI-modeller för allmänna ändamål och transparensinformationen för leverantörer av AI-modeller för allmänna ändamål. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning (55). För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter erhåller Europaparlamentet och rådet alla handlingar samtidigt som medlemsstaternas experter, och deras experter ges systematiskt tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter. (174) Med tanke på den snabba tekniska utvecklingen och den tekniska expertis som krävs för en effektiv tillämpning av denna förordning bör kommissionen utvärdera och se över denna förordning senast den 2 augusti 2029 och därefter vart fjärde år samt rapportera till Europaparlamentet och rådet. Dessutom bör kommissionen, med beaktande av konsekvenserna för denna förordnings tillämpningsområde, en gång om året göra en bedömning av behovet av att ändra förteckningen över AI-system med hög risk och förteckningen över förbjudna användningsområden. Senast den 2 augusti 2028 och därefter vart fjärde år bör kommissionen dessutom utvärdera och till Europaparlamentet och rådet rapportera om behovet av att ändra förteckningen över högriskområdesrubriker i bilagan till denna förordning, de AI-system som omfattas av transparensskyldigheterna, tillsyns-och styrningssystemets effektivitet och framstegen med utvecklingen av standardiseringsprodukter för energieffektiv utveckling av AI-modeller för allmänna ändamål, inbegripet behovet av ytterligare åtgärder eller insatser. Senast den 2 augusti 2028 och därefter vart tredje år bör kommissionen slutligen utvärdera inverkan och effektiviteten hos de frivilliga uppförandekoder som syftar till att främja tillämpningen av de krav som fastställs för AI-system med hög risk när det gäller andra AI-system än AI-system med hög risk och eventuellt andra ytterligare krav för sådana AI-system. (175) För att säkerställa enhetliga villkor för genomförandet av denna förordning, bör kommissionen tilldelas genomförandebefogenheter. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (56). (176) Eftersom målet för denna förordning, nämligen att förbättra den inre marknadens funktion och främja användningen av människocentrerad och tillförlitlig AI, samtidigt som en hög skyddsnivå säkerställs för hälsa, säkerhet och grundläggande rättigheter som fastställs i stadgan, inbegripet demokrati, rättsstatens principer och miljöskydd, mot de skadliga effekterna av AI-system i unionen, och att stödja innovation, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av åtgärdens omfattning och verkningar, kan (54) Europaparlamentets och rådets direktiv (EU) 2019/1937 av den 23 oktober 2019 om skydd för personer som rapporterar om överträdelser av unionsrätten (EUT L 305, 26.11.2019, s. 17). (55) EUT L 123, 12.5.2016, s. 1. (56) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13). 874 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i EU-fördraget. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål. (177) För att säkerställa rättssäkerhet, säkerställa en lämplig anpassningsperiod för operatörer och undvika störningar på marknaden, bland annat genom att säkerställa kontinuitet i användningen av AI-system, bör denna förordning tillämpas på AI-system med hög risk som har släppts ut på marknaden eller tagits i bruk före det allmänna tillämpningsdatumet för denna förordning, endast om dessa system från och med den dagen genomgår betydande ändringar av sin utformning eller sitt avsedda ändamål. Det är lämpligt att klargöra att begreppet betydande ändring i detta avseende bör tolkas som att det i sak är likvärdigt med begreppet väsentlig ändring, som endast används med avseende på AI-system med hög risk enligt denna förordning. I undantagsfall och mot bakgrund av offentlig ansvarsskyldighet bör operatörer av AI-system som är komponenter i de stora it-system som inrättats genom de rättsakter som förtecknas i en bilaga till denna förordning respektive operatörer av AI-system med hög risk som är avsedda att användas av offentliga myndigheter vidta nödvändiga åtgärder för att uppfylla kraven i denna förordning senast i slutet av 2030 och senast den 2 augusti 2030. (178) Leverantörer av AI-system med hög risk uppmuntras att på frivillig basis börja fullgöra de relevanta skyldigheterna i denna förordning redan under övergångsperioden. (179) Denna förordning bör tillämpas från och med den 2 augusti 2026. Med hänsyn till den oacceptabla risk som är förknippad med användning av AI på vissa sätt bör dock förbuden och de allmänna bestämmelserna i denna förordning redan tillämpas från och med den 2 februari 2025. Även om dessa förbuds fulla verkan följer av inrättandet av styrningen och kontrollen av efterlevnaden av denna förordning, är det viktigt att föregripa tillämpningen av förbuden för att ta hänsyn till oacceptabla risker och påverka andra förfaranden, såsom civilrättsliga förfaranden. Vidare bör infrastrukturen för styrning och systemet för bedömning av överensstämmelse vara operativa före den 2 augusti 2026, varför bestämmelserna om anmälda organ och styrningsstruktur bör tillämpas från och med den 2 augusti 2025. Med tanke på den snabba takten inom tekniska framsteg och införandet av AI-modeller för allmänna ändamål bör skyldigheterna för leverantörer av AI-modeller för allmänna ändamål gälla från och med 2 augusti 2025. Förfarandekoder bör vara klara senast den 2 maj 2025 för att leverantörer ska kunna visa efterlevnad i tid. AI-byrån bör säkerställa att klassificeringsregler och klassificeringsförfaranden är aktuella mot bakgrund av teknisk utveckling. Medlemsstaterna bör också fastställa och meddela kommissionen reglerna om sanktioner, inklusive administrativa sanktionsavgifter, och säkerställa att de genomförs korrekt och effektivt senast den dag då denna förordning börjar tillämpas. Därför bör bestämmelserna om sanktioner tillämpas från och med den 2 augusti 2025. (180) Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen har hörts i enlighet med artikel 42.1 och 42.2 i förordning (EU) 2018/1725 och avgav sitt gemensamma yttrande den 18 juni 2021. HÄRIGENOM FÖRESKRIVS FÖLJANDE. KAPITEL I ALLMÄNNA BESTÄMMELSER Artikel 1 Innehåll 1. Syftet med denna förordning är att förbättra den inre marknadens funktion och främja användningen av människocentrerad och tillförlitlig artificiell intelligens (AI), samtidigt som en hög skyddsnivå säkerställs för hälsa, säkerhet och grundläggande rättigheter som fastställs i stadgan, inbegripet demokrati, rättsstatens principer och miljöskydd, mot de skadliga effekterna av AI-system i unionen, och att stödja innovation. 2. I denna förordning fastställs a) harmoniserade regler för utsläppande på marknaden, ibruktagande och användning av AI-system i unionen, 875 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 b) förbud mot vissa AI-användningsområden, c) särskilda krav för AI-system med hög risk och skyldigheter för operatörer av sådana system, d) harmoniserade transparensregler för vissa AI-system, e) harmoniserade regler för utsläppande på marknaden av AI-modeller för allmänna ändamål, f) regler om marknadsövervakning, marknadskontroll, styrning och kontroll av efterlevnad, g) åtgärder till stöd för innovation med särskild inriktning på små och medelstora företag, inbegripet uppstartsföretag. Artikel 2 Tillämpningsområde 1. Denna förordning är tillämplig på a) leverantörer som släpper ut AI-system på marknaden eller tar sådana i bruk eller släpper ut AI-modeller för allmänna ändamål på marknaden i unionen, oavsett om dessa leverantörer är etablerade eller befinner sig i unionen eller i ett tredjeland, b) tillhandahållare av AI-system som har sin etableringsort eller befinner sig i unionen, c) leverantörer och tillhandahållare av AI-system som har sin etableringsort eller befinner sig i ett tredjeland, om de utdata som produceras av AI-systemet används i unionen, d) importörer och distributörer av AI-system, e) produkttillverkare som på marknaden släpper ut eller som tar i bruk ett AI-system tillsammans med sin produkt och i eget namn eller under eget varumärke, f) ombud för leverantörer som inte är etablerade i unionen, g) berörda personer som befinner sig i unionen. 2. För AI-system som klassificeras som AI-system med hög risk enligt artikel 6.1 och som är relaterade till produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt B i bilaga I är endast artiklarna 6.1, 102-109 och 112 tillämpliga. Artikel 57 är endast tillämplig i den mån som kraven för AI-system med hög risk enligt denna förordning har integrerats i den unionsharmoniseringslagstiftningen. 3. Denna förordning är inte tillämplig på områden som inte omfattas av unionsrättens tillämpningsområde och ska under alla omständigheter inte påverka medlemsstaternas befogenheter när det gäller nationell säkerhet, oavsett vilken typ av enhet som av medlemsstaterna har anförtrotts uppgiften i fråga om dessa befogenheter. Denna förordning är inte tillämplig på AI-system om och i den mån de släpps ut på marknaden, tas i bruk eller används med eller utan ändring uteslutande för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet, oavsett vilken typ av enhet som bedriver denna verksamhet. Denna förordning är inte tillämplig på AI-system som inte släpps ut på marknaden eller tas i bruk i unionen, om utdata används i unionen uteslutande för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet, oavsett vilken typ av enhet som bedriver denna verksamhet. 4. Denna förordning är inte tillämplig på offentliga myndigheter i ett tredjeland, eller på internationella organisationer som omfattas av denna förordnings tillämpningsområde enligt punkt 1, om dessa myndigheter eller organisationer använder AI-system inom ramen för internationellt samarbete eller internationella avtal om brottsbekämpande och rättsligt samarbete med unionen eller med en eller flera medlemsstater, förutsatt att ett sådant tredjeland eller en sådan internationell organisation erbjuder lämpliga skyddsåtgärder med avseende på skyddet av enskildas grundläggande rättigheter och friheter. 5. Denna förordning påverkar inte tillämpningen av bestämmelserna om ansvar för leverantörer av förmedlingstjänster i kapitel II i förordning (EU) 2022/2065. 876 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 6. Denna förordning är inte tillämplig på AI-system eller AI-modeller, inbegripet deras utdata, som specifikt utvecklas och tas i bruk enbart i vetenskapligt forsknings- och utvecklingssyfte. 7. Unionsrätt om skydd av personuppgifter, integritet och konfidentialitet vid kommunikation är tillämplig på personuppgifter som behandlas i samband med de rättigheter och skyldigheter som fastställs i denna förordning. Denna förordning påverkar inte förordning (EU) 2016/679 eller (EU) 2018/1725 eller direktiv 2002/58/EG eller (EU) 2016/680, utan att det påverkar tillämpningen av artiklarna 10.5 och 59 i den här förordningen. 8. Denna förordning är inte tillämplig på forsknings-, testnings- eller utvecklingsverksamhet för AI-system eller AI-modeller innan de släpps ut på marknaden eller tas i bruk. Sådan verksamhet ska bedrivas i enlighet med tillämplig unionsrätt. Testning under verkliga förhållanden omfattas inte av detta undantag. 9. Denna förordning påverkar inte tillämpningen av de regler som fastställs genom andra unionsrättsakter om konsumentskydd och produktsäkerhet. 10. Denna förordning är inte tillämplig på skyldigheter för tillhandahållare som är fysiska personer och som använder AI-system inom ramen för en rent personlig icke-yrkesmässig verksamhet. 11. Denna förordning hindrar inte unionen eller medlemsstaterna från att behålla eller införa lagar och andra författningar som är förmånligare för arbetstagare när det gäller att skydda deras rättigheter i fråga om arbetsgivares användning av AI-system, eller att uppmuntra eller tillåta tillämpning av kollektivavtal som är förmånligare för arbetstagare. 12. Denna förordning är inte tillämplig på AI-system som släpps ut med kostnadsfria licenser med öppen källkod, såvida de inte släpps ut på marknaden eller tas i bruk som ett AI-system med hög risk eller som ett AI-system som omfattas av artikel 5 eller 50. Artikel 3 Definitioner I denna förordning gäller följande definitioner: 1. AI-system: ett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras. 2. risk: kombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. 3. leverantör: en fysisk eller juridisk person, en offentlig myndighet, en byrå eller ett annat organ som utvecklar ett AI-system eller en AI-modell för allmänna ändamål eller som har ett AI-system eller en AI-modell för allmänna ändamål och släpper ut det eller den på marknaden eller tar AI-systemet i bruk i eget namn eller under eget varumärke, antingen mot betalning eller kostnadsfritt. 4. tillhandahållare: en fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. 5. ombud: en fysisk eller juridisk person som befinner sig eller är etablerad i unionen och som har fått och godtagit en skriftlig fullmakt från en leverantör av ett AI-system eller av en AI-modell för allmänna ändamål för att för dennes räkning fullgöra respektive genomföra de skyldigheter och förfaranden som fastställs i denna förordning. 6. importör: en fysisk eller juridisk person som befinner sig eller är etablerad i unionen och som släpper ut ett AI-system på marknaden som bär namnet på eller varumärket för en fysisk eller juridisk person som är etablerad i ett tredjeland. 7. distributör: en annan fysisk eller juridisk person i leveranskedjan än leverantören eller importören, som tillhandahåller ett AI-system på unionsmarknaden. 8. operatör: en leverantör, en produkttillverkare, en tillhandahållare, ett ombud, en importör eller en distributör. 877 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 9. utsläppande på marknaden: den första gången ett AI-system eller en AI-modell för allmänna ändamål tillhandahålls på unionsmarknaden. 10. tillhandahållande på marknaden: leveransen av ett AI-system eller en AI-modell för allmänna ändamål för distribution eller användning på unionsmarknaden i samband med kommersiell verksamhet, mot betalning eller kostnadsfritt. 11. ibruktagande: leverans av ett AI-system för första användning direkt till tillhandahållaren eller för eget bruk i unionen för dess avsedda ändamål. 12. avsett ändamål: den användning för vilken ett AI-system är avsett av leverantören, inbegripet det specifika användningssammanhanget och de specifika användningsvillkoren, enligt specifikationerna i de uppgifter som tillhandahålls av leverantören i bruksanvisningen, reklam- eller försäljningsmaterial och uttalanden samt i den tekniska dokumentationen. 13. rimligen förutsebar felaktig användning: användning av ett AI-system på ett sätt som inte överensstämmer med dess avsedda ändamål, men som kan vara resultatet av rimligen förutsebart mänskligt beteende eller interaktion med andra system, inbegripet andra AI-system. 14. säkerhetskomponent: en komponent som finns i en produkt eller i ett AI-system och som fyller en säkerhetsfunktion för den produkten eller det AI-systemet eller som, om den upphör att fungera eller fungerar felaktigt, medför fara för människors hälsa och säkerhet eller för egendom. 15. bruksanvisning: information som tillhandahålls av leverantören för att informera tillhandahållaren om, i synnerhet, ett AI-systems avsedda ändamål och korrekta användning. 16. återkallelse av ett AI-system: varje åtgärd som syftar till att få till stånd ett återlämnande till leverantören, ett urdrifttagande eller en avaktivering av användningen av ett AI-system som tillhandahållits för tillhandahållare. 17. tillbakadragande av ett AI-system: varje åtgärd som syftar till att förhindra att ett AI-system i leveranskedjan tillhandahålls på marknaden. 18. ett AI-systems prestanda: ett AI-systems förmåga att uppnå sitt avsedda ändamål. 19. anmälande myndighet: den nationella myndighet som ansvarar för inrättandet och genomförandet av de förfaranden som krävs för bedömning, utseende och anmälan av organ för bedömning av överensstämmelse och för övervakning av dessa. 20. bedömning av överensstämmelse: processen att visa om kraven i kapitel III avsnitt 2 avseende ett AI-system med hög risk har uppfyllts. 21. organ för bedömning av överensstämmelse: organ som utför tredjepartsbedömning av överensstämmelse, inbegripet testning, certifiering och inspektion. 22. anmält organ: organ för bedömning av överensstämmelse som anmälts i enlighet med denna förordning och annan relevant unionsharmoniseringslagstiftning. 23. väsentlig ändring: en ändring av ett AI-system efter dess utsläppande på marknaden eller ibruktagande som inte förutsetts eller planerats i leverantörens ursprungliga bedömning av överensstämmelse och som leder till att AI-systemets uppfyllelse av kraven i kapitel III avsnitt 2 påverkas eller leder till en ändring av det avsedda ändamål för vilket AI-systemet har bedömts. 24. CE-märkning: märkning genom vilken en leverantör anger att ett AI-system överensstämmer med kraven i kapitel III avsnitt 2 och annan tillämplig unionsharmoniseringslagstiftning som föreskriver att den anbringas. 25. system för övervakning efter utsläppande på marknaden: all verksamhet som bedrivs av leverantörer av AI-system för att samla in och granska erfarenheter från användningen av AI-system som de släpper ut på marknaden eller tar i bruk, i syfte att fastställa ett eventuellt behov av att omedelbart vidta eventuella nödvändiga korrigerande eller förebyggande åtgärder. 26. marknadskontrollmyndighet: den nationella myndighet som utför aktiviteter och vidtar åtgärder enligt förordning (EU) 2019/1020. 878 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 27. harmoniserad standard: en harmoniserad standard enligt definitionen i artikel 2.1 c i förordning (EU) nr 1025/2012. 28. gemensam specifikation: en uppsättning tekniska specifikationer enligt definitionen i artikel 2.4 i förordning (EU) nr 1025/2012 som ger förutsättningar för att uppfylla vissa krav som fastställts enligt den här förordningen. 29. träningsdata: data som används för att träna ett AI-system genom anpassning av dess inlärningsbara parametrar. 30. valideringsdata: data som används för att tillhandahålla en utvärdering av det tränade AI-systemet och för att stämma av dess icke-inlärningsbara parametrar och dess inlärningsprocess för att bland annat förhindra under- eller överanpassning. 31. valideringsdataset: ett separat dataset eller en separat del av träningsdatasetet, antingen som en fast eller variabel uppdelning. 32. testdata: data som används för att tillhandahålla en oberoende utvärdering av AI-systemet för att bekräfta systemets förväntade prestanda innan det släpps ut på marknaden eller tas i bruk. 33. indata: data som lämnas till eller anskaffas direkt av ett AI-system och som utgör den grund på vilken systemet producerar utdata. 34. biometriska uppgifter: personuppgifter som erhållits genom särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken, såsom ansiktsbilder eller fingeravtrycksuppgifter. 35. biometrisk identifiering: automatiserad igenkänning av fysiska, fysiologiska, beteendemässiga eller psykologiska mänskliga drag för att fastställa en fysisk persons identitet genom jämförelse av personens biometriska uppgifter med biometriska uppgifter om enskilda personer som lagrats i en databas. 36. biometrisk verifiering: automatiserad en-till-en-verifiering, inklusive autentisering, av fysiska personers identitet genom jämförelse av deras biometriska uppgifter med tidigare lämnade biometriska uppgifter. 37. särskilda kategorier av personuppgifter: de kategorier av personuppgifter som avses i artikel 9.1 i förordning (EU) 2016/679, artikel 10 i direktiv (EU) 2016/680 och artikel 10.1 i förordning (EU) 2018/1725. 38. känsliga operativa uppgifter: operativa uppgifter som rör verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra brott och vars röjande skulle kunna äventyra straffrättsliga förfarandens integritet. 39. system för känsloigenkänning: ett AI-system vars syfte är att identifiera eller uttyda fysiska personers känslor eller avsikter på grundval av deras biometriska uppgifter. 40. system för biometrisk kategorisering: ett AI-system för hänförande av fysiska personer till särskilda kategorier på grundval av deras biometriska uppgifter, om det inte utgör en extrafunktion till en annan kommersiell tjänst och är strikt nödvändigt av objektiva tekniska skäl. 41. system för biometrisk fjärridentifiering: ett AI-system vars syfte är att identifiera fysiska personer utan deras aktiva medverkan, vanligtvis på distans, genom jämförelse av en persons biometriska uppgifter med de biometriska uppgifterna i en referensdatabas. 42. system för biometrisk fjärridentifiering i realtid: ett system för biometrisk fjärridentifiering där infångning av biometriska uppgifter, jämförelse och identifiering sker utan betydande dröjsmål, som omfattar inte bara omedelbar identifiering utan även begränsade korta fördröjningar för att undvika kringgående. 43. system för biometrisk fjärridentifiering i efterhand: ett annat system för biometrisk fjärridentifiering än ett system för biometrisk fjärridentifiering i realtid. 44. allmänt tillgänglig plats: varje offentlig- eller privatägd fysisk plats som är tillgänglig för ett obestämt antal fysiska personer, utan hänsyn till om vissa villkor eller omständigheter för tillträde kan gälla, och oberoende av eventuella kapacitetsbegränsningar. 879 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 45. brottsbekämpande myndighet: a) en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, eller b) ett annat organ eller en annan enhet som genom medlemsstaternas nationella rätt har anförtrotts myndighets- utövning för att förebygga, förhindra, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. 46. brottsbekämpning: verksamhet som genomförs av brottsbekämpande myndigheter eller på deras vägnar för att förebygga, förhindra, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. 47. AI-byrån: kommissionens funktion att bidra till genomförandet, övervakningen och tillsynen av AI-system samt AI-modeller för allmänna ändamål, och AI-styrning, enligt kommissionens beslut av den 24 januari 2024; hänvisningar i denna förordning till AI-byrån ska anses som hänvisningar till kommissionen. 48. nationell behörig myndighet: en anmälande myndighet eller en marknadskontrollmyndighet; när det gäller AI-system som tas i bruk eller används av unionens institutioner, byråer och organ ska hänvisningar till nationella behöriga myndigheter eller marknadskontrollmyndigheter i denna förordning anses som hänvisningar till Europeiska datatillsynsmannen. 49. allvarlig incident: en incident eller ett fel i ett AI-system som direkt eller indirekt orsakar något av följande: a) Dödsfall eller allvarlig skada på en persons hälsa. b) En allvarlig och oåterkallelig störning av förvaltningen eller driften av kritisk infrastruktur. c) Åsidosättande av skyldigheter enligt unionsrätten avsedda att skydda grundläggande rättigheter. d) Allvarlig skada på egendom eller på miljön. 50. personuppgifter: personuppgifter enligt definitionen i artikel 4.1 i förordning (EU) 2016/679. 51. icke-personuppgifter: andra uppgifter än personuppgifter enligt definitionen i artikel 4.1 i förordning (EU) 2016/679. 52. profilering: profilering enligt definitionen i artikel 4.4 i förordning (EU) 2016/679. 53. plan för testning under verkliga förhållanden: ett dokument som beskriver målen och metoden för samt den geografiska, befolkningsmässiga och tidsmässiga omfattningen, övervakningen, organisationen samt genomförandet av testning under verkliga förhållanden. 54. sandlådeplan: ett dokument om vilket den deltagande leverantören och den behöriga myndigheten har kommit överens och som beskriver målen, villkoren, tidsplanen, metoden och kraven för den verksamhet som ska bedrivas i sandlådan. 55. regulatorisk sandlåda för AI: en kontrollerad ram som inrättats av en behörig myndighet och som erbjuder leverantörer eller potentiella leverantörer av AI-system möjlighet att utveckla, träna, validera och testa, när så är lämpligt under verkliga förhållanden, ett innovativt AI-system, enligt en specifik sandlådeplan för en begränsad tid under regulatorisk tillsyn. 56. AI-kunnighet: kompetens, kunskap och förståelse som gör det möjligt för leverantörer, tillhandahållare och berörda personer att, med hänsyn till deras respektive rättigheter och skyldigheter i samband med denna förordning, införa AI-system på ett välgrundat sätt samt bli medvetna om möjligheterna och riskerna med AI, och den potentiella skada den kan vålla. 880 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 57. testning under verkliga förhållanden: tillfällig testning av ett AI-system med avseende på dess avsedda ändamål under verkliga förhållanden utanför ett laboratorium eller en på annat sätt simulerad miljö i syfte att samla in tillförlitliga och robusta data och bedöma och kontrollera AI-systemets överensstämmelse med kraven i denna förordning, som inte innebär att AI-systemet släpps ut på marknaden eller tas i bruk i den mening som avses i denna förordning förutsatt att alla villkor i artikel 57 eller 60 är uppfyllda. 58. försöksperson: vid testning under verkliga förhållanden en fysisk person som deltar i testning under verkliga förhållanden. 59. informerat samtycke: en försökspersons frivilliga, specifika, informerade och otvetydiga uttryck för sin vilja att delta i en viss testning under verkliga förhållanden, efter att ha informerats om alla aspekter av testningen som är relevanta för försökspersonens beslut att delta. 60. deepfake: AI-genererat eller AI-manipulerat bild-, ljud- eller videoinnehåll som liknar existerande personer, föremål, platser, enheter eller händelser och som för en person felaktigt kan framstå som autentiskt eller sanningsenligt. 61. utbredd överträdelse: varje handling eller underlåtenhet som strider mot unionsrätten om skydd av enskilda personers intressen och som a) har skadat eller sannolikt kommer att skada de kollektiva intressena för enskilda personer som är bosatta i minst två andra medlemsstater än den där i) handlingen eller underlåtenheten hade sitt ursprung eller ägde rum, ii) den berörda leverantören befinner sig eller är etablerad eller, i tillämpliga fall, dess ombud befinner sig eller är etablerat, eller iii) tillhandahållaren är etablerad, i de fall där överträdelsen begås av tillhandahållaren, b) har orsakat, orsakar eller sannolikt kommer att orsaka skada på enskilda personers kollektiva intressen och uppvisar gemensamma drag, till exempel genom att innebära bruk av samma olagliga metoder eller åsidosättande av samma intresse, samt begås av samma operatör och begås samtidigt i minst tre medlemsstater. 62. kritisk infrastruktur: kritisk infrastruktur enligt definitionen i artikel 2.4 i direktiv (EU) 2022/2557. 63. AI-modell för allmänna ändamål: en AI-modell, även när en sådan AI-modell tränas med en stor mängd data med hjälp av självövervakning i stor skala, som uppvisar betydande generalitet och på ett kompetent sätt kan utföra ett brett spektrum av distinkta uppgifter oavsett hur modellen släppts ut på marknaden och som kan integreras i en rad system eller tillämpningar i efterföljande led, utom AI-modeller som används för forsknings-, utvecklings- eller prototypverksamhet innan de släpps ut på marknaden. 64. kapacitet med hög påverkansgrad: kapacitet som motsvarar eller överstiger den kapacitet som registrerats i de mest avancerade AI-modellerna för allmänna ändamål. 65. systemrisk: en risk som är specifikt kopplad till den kapacitet för hög påverkansgrad som finns hos AI-modeller för allmänna ändamål och som påverkar unionsmarknaden i betydande grad på grund av sin räckvidd eller på grund av faktiska eller rimligen förutsebara negativa effekter på folkhälsa, säkerhet, allmän säkerhet, grundläggande rättigheter eller samhället som helhet, och som kan spridas i stor skala i hela värdekedjan. 66. AI-system för allmänna ändamål: ett AI-system som bygger på en AI-modell för allmänna ändamål och som har kapacitet att tjäna en rad olika ändamål, både för direkt användning och för integrering i andra AI-system. 67. flyttalsberäkning: varje matematisk operation eller tilldelning som inbegriper flyttal, som är en delmängd av de reella talen som typiskt representeras på datorer genom ett heltal med fast precision multiplicerad med en heltalsexponent med en fast talbas. 68. leverantör i efterföljande led: en leverantör av ett AI-system, inbegripet ett AI-system för allmänna ändamål, som integrerar en AI-modell, oavsett om AI-modellen levereras av dem själva och integreras vertikalt eller levereras av en annan enhet på grundval av avtalsförhållanden. 881 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 Artikel 4 AI-kunnighet Leverantörer och tillhandahållare av AI-system ska vidta åtgärder för att i största möjliga mån säkerställa att deras personal och andra personer som för deras räkning arbetar med drift och användning av AI-system har tillräcklig AI-kunnighet, med beaktande av deras tekniska kunskaper, erfarenhet och utbildning samt det sammanhang i vilket AI-systemen ska användas, och med hänsyn till de personer eller grupper av personer på vilka AI-systemen ska användas. KAPITEL II FÖRBJUDNA AI-ANVÄNDNINGSOMRÅDEN Artikel 5 Förbjudna AI-användningsområden 1. Följande AI-användningsområden ska vara förbjudna: a) Utsläppande på marknaden, ibruktagande eller användning av ett AI-system som utnyttjar subliminala tekniker som människor inte är medvetna om eller avsiktligt manipulerande eller vilseledande tekniker som syftar eller leder till en väsentlig påverkan på en persons eller en grupp av personers beteende genom att avsevärt försämra deras förmåga att fatta ett välgrundat beslut, vilket får dem att fatta ett beslut som de annars inte skulle ha fattat, på ett sätt som orsakar eller med rimlig sannolikhet kommer att orsaka betydande skada för den personen, en annan person eller en grupp av personer. b) Utsläppande på marknaden, ibruktagande eller användning av ett AI-system som utnyttjar en sårbarhet hos en fysisk person eller en specifik grupp av personer som härrör från ålder, funktionsnedsättning eller en specifik social eller ekonomisk situation, med målet eller verkan att väsentligt påverka beteendet hos den personen eller en person som tillhör den gruppen på ett sätt som orsakar eller med rimlig sannolikhet kommer att orsaka betydande skada för den personen eller en annan person. c) Utsläppande på marknaden, ibruktagande eller användning av AI-system för utvärdering eller klassificering av fysiska personer eller grupper av personer under en viss tidsperiod på grundval av deras sociala beteende eller kända, uttydda eller förutsedda personliga eller personlighetsrelaterade egenskaper, med en social poängsättning som leder till det ena eller båda av följande: i) Skadlig eller ogynnsam behandling av vissa fysiska personer eller grupper av personer i sociala sammanhang som saknar koppling till de sammanhang i vilka berörda data ursprungligen genererades eller samlades in. ii) Skadlig eller ogynnsam behandling av vissa fysiska personer eller grupper av personer som är omotiverad eller oproportionerlig i förhållande till personernas sociala beteende eller till hur allvarligt beteendet är. d) Utsläppande på marknaden, ibruktagande för detta specifika ändamål eller användning av ett AI-system för riskbedömningar av fysiska personer i syfte att bedöma eller förutse risken för att en fysisk person begår ett brott, uteslutande grundat på profileringen av en fysisk person eller på en bedömning av deras personlighetsdrag och egenskaper. Detta förbud är inte tillämpligt på AI-system som används för att stödja mänsklig bedömning av en persons inblandning i brottslig verksamhet, som redan grundas på objektiva och verifierbara fakta med direkt anknytning till brottslig verksamhet. e) Utsläppande på marknaden, ibruktagande för detta specifika ändamål eller användning av AI-system som skapar eller utvidgar databaser för ansiktsigenkänning genom oriktad skrapning av ansiktsbilder från internet eller övervaknings- kameror. f) Utsläppande på marknaden, ibruktagande för detta specifika ändamål eller användning av AI-system för att uttyda en fysisk persons känslor på arbetsplatsen eller vid utbildningsinstitutioner, såvida inte AI-systemets användning är avsett att införas eller släppas ut på marknaden av medicinska skäl eller säkerhetsskäl. 882 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 g) Utsläppande på marknaden, ibruktagande för detta specifika ändamål eller användning av system för biometrisk kategorisering som kategoriserar fysiska personer individuellt på grundval av deras biometriska uppgifter för att härleda eller dra slutsatser om en persons ras, politiska åsikter, medlemskap i fackförening, religiösa eller filosofiska övertygelse, sexualliv eller sexuella läggning. Detta förbud omfattar inte märkning eller filtrering av lagligen förvärvade biometriska dataset, såsom bilder, grundat på biometriska uppgifter eller kategorisering av biometriska uppgifter på området för brottsbekämpning. h) Användning av system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål, om inte och endast i den mån sådan användning är absolut nödvändig för något av följande syften: i) Målinriktad sökning efter specifika offer för människorov, människohandel eller sexuellt utnyttjande av människor, samt sökning efter försvunna personer. ii) Förhindrande av ett specifikt, betydande och överhängande hot mot fysiska personers liv eller fysiska säkerhet eller ett verkligt och aktuellt eller verkligt och förutsebart hot om en terroristattack. iii) Lokalisering eller identifiering av en person som misstänks ha begått ett brott, i syfte att genomföra en brottsutredning eller lagföring för brott eller verkställande av en straffrättslig påföljd för brott som avses i bilaga II och som i den berörda medlemsstaten kan leda till fängelse eller annan frihetsberövande åtgärd under en längsta tidsperiod på minst fyra år. Första stycket h påverkar inte artikel 9 i förordning (EU) 2016/679 vad gäller behandling av biometriska uppgifter för andra ändamål än brottsbekämpning. 2. Användningen av system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål för något av de syften som avses i punkt 1 första stycket h ska införas för de ändamål som anges i det ledet endast för att bekräfta identiteten på den individ som särskilt avses och ska ta hänsyn till följande faktorer: a) Arten av den situation som ger upphov till den eventuella användningen, särskilt hur allvarlig, sannolik och omfattande skadan skulle bli om systemet inte användes. b) Konsekvenserna av användningen av systemet för alla berörda personers rättigheter och friheter, särskilt vad gäller hur allvarliga, sannolika och omfattande dessa konsekvenser är. Dessutom ska användningen av system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål för något av de syften som avses i punkt 1 första stycket h i denna artikel vara förenlig med nödvändiga och proportionella skyddsåtgärder och villkor avseende användningen i enlighet med nationell rätt som tillåter användning av dessa, särskilt vad gäller tidsmässiga och geografiska begränsningar samt personbegränsningar. Användningen av systemet för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser ska tillåtas endast om den brottsbekämpande myndigheten har slutfört en konsekvensbedömning avseende grundläggande rättigheter såsom föreskrivs i artikel 27 och har registrerat systemet i EU-databasen enligt artikel 49. I vederbörligen motiverade brådskande fall får dock användningen av sådana system påbörjas utan registrering i EU-databasen, förutsatt att denna registrering slutförs utan oskäligt dröjsmål. 3. Vid tillämpning av punkt 1 första stycket h och punkt 2 ska det för varje användning för brottsbekämpande ändamål av ett system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser krävas ett förhandstillstånd från en rättslig myndighet eller en oberoende administrativ myndighet vars beslut är bindande i den medlemsstat där användningen ska äga rum, utfärdat på motiverad begäran och i enlighet med de närmare bestämmelser i nationell rätt som avses i punkt 5. I vederbörligen motiverade brådskande situationer får dock användningen av ett sådant system påbörjas utan tillstånd, förutsatt att ett sådant tillstånd begärs utan oskäligt dröjsmål och senast inom 24 timmar. Om ett sådant tillstånd nekas ska användningen stoppas med omedelbar verkan och alla uppgifter samt resultat och utdata som rör denna användning förstöras och raderas. Den behöriga rättsliga myndigheten eller en oberoende administrativ myndighet vars beslut är bindande ska bevilja tillståndet endast om den, på grundval av objektiva bevis eller tydliga indikationer som lagts fram för den, har förvissat sig om att användningen av det berörda systemet för biometrisk fjärridentifiering i realtid är nödvändig och proportionell för att uppnå ett av de syften som anges i punkt 1 första stycket h, i enlighet med vad som anges i begäran och, i synnerhet, 883 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 förblir begränsad till vad som är strikt nödvändigt när det gäller tidsperioden samt det geografiska tillämpningsområdet och de personer som omfattas. Vid beslut om begäran ska den myndigheten beakta de faktorer som avses i punkt 2. Inget beslut som har negativa rättsliga följder för en person får fattas enbart på grundval av utdata från systemet för biometrisk fjärridentifiering i realtid. 4. Utan att det påverkar punkt 3 ska varje användning av ett system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål anmälas till den berörda marknadskontrollmyndigheten och den nationella dataskyddsmyndigheten i enlighet med de nationella regler som avses i punkt 5. Anmälan ska åtminstone innehålla den information som specificeras enligt punkt 6 och får inte inbegripa känsliga operativa uppgifter. 5. En medlemsstat får besluta att föreskriva en möjlighet att helt eller delvis tillåta användning av system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål inom de gränser och på de villkor som anges i punkt 1 första stycket h samt punkterna 2 och 3. De berörda medlemsstaterna ska i sin nationella rätt fastställa de nödvändiga närmare reglerna för begäran om, utfärdande av och utövande av samt tillsyn över och rapportering om de tillstånd som avses i punkt 3. I dessa regler ska det också anges för vilka av de syften som förtecknas i punkt 1 första stycket h, inbegripet för vilka av de brott som avses i led h iii i den punkten, de behöriga myndigheterna kan få tillstånd att använda dessa system för brottsbekämpande ändamål. Medlemsstaterna ska till kommissionen anmäla dessa regler senast 30 dagar efter deras antagande. Medlemsstaterna får införa mer restriktiva lagar om användningen av system för biometrisk fjärridentifiering i enlighet med unionsrätten. 6. Medlemsstaternas nationella marknadskontrollmyndigheter och nationella dataskyddsmyndigheter som har under- rättats om användningen av system för biometrisk fjärridentifiering i realtid på allmänt tillgänglig plats för brottsbekämpande ändamål enligt punkt 4 ska lämna in årliga rapporter till kommissionen om sådan användning. För detta ändamål ska kommissionen förse medlemsstaterna och de nationella marknadskontrollmyndigheterna och dataskyddsmyndigheterna med en mall som inkluderar information om antalet beslut som fattats av behöriga rättsliga myndigheter eller en oberoende administrativ myndighet vars beslut är bindande gällande ansökningar om tillstånd i enlighet med punkt 3 och resultatet av dessa. 7. Kommissionen ska offentliggöra årliga rapporter om användningen av system för biometrisk fjärridentifiering i realtid på allmänt tillgänglig plats för brottsbekämpande ändamål på grundval av aggregerade data från medlemsstaterna baserat på de årliga rapporter som avses i punkt 6. Dessa årliga rapporter får inte omfatta känsliga operativa uppgifter som rör relaterad brottsbekämpande verksamhet. 8. Denna artikel påverkar inte de förbud som är tillämpliga när ett AI-användningsområde strider mot annan unionsrätt. KAPITEL III AI-SYSTEM MED HÖG RISK AVSNITT 1 Klassificering av AI-system som AI-system med hög risk Artikel 6 Klassificeringsregler för AI-system med hög risk 1. Oavsett om ett AI-system släpps ut på marknaden eller tas i bruk oberoende av de produkter som avses i leden a och b ska detta AI-system betraktas som ett AI-system med hög risk om båda följande villkor är uppfyllda: a) AI-systemet är avsett att användas som en säkerhetskomponent i en produkt, eller AI-systemet är i sig en produkt, som omfattas av unionens harmoniseringslagstiftning som förtecknas i bilaga I. b) Den produkt vars säkerhetskomponent enligt led a är AI-systemet, eller själva AI-systemet som en produkt, omfattas av krav på att genomgå en tredjepartsbedömning av överensstämmelse för att den produkten ska kunna släppas ut på marknaden eller tas i bruk enligt unionens harmoniseringslagstiftning som förtecknas i bilaga I. 2. Utöver de AI-system med hög risk som avses i punkt 1 ska AI-system som avses i bilaga III också betraktas som AI-system med hög risk. 884 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 3. Genom undantag från punkt 2 ska ett AI-system som avses i bilaga III inte betraktas som ett AI-system med hög risk om det inte utgör en betydande risk för skada på fysiska personers hälsa, säkerhet eller grundläggande rättigheter, inbegripet genom att det inte materiellt påverkar resultatet av beslutsfattande. Första stycket ska vara tillämpligt om något av följande villkor är uppfyllt: a) AI-systemet är avsett att utföra en snäv processuell uppgift, b) AI-systemet är avsett att förbättra resultatet av tidigare slutförd mänsklig verksamhet, c) AI-systemet är avsett att upptäcka beslutsmönster eller avvikelser från tidigare beslutsmönster och är inte avsett att ersätta eller påverka tidigare slutförd mänsklig bedömning, utan ordentlig mänsklig granskning, eller d) AI-systemet är avsett att utföra en förberedande uppgift för en bedömning som är relevant för de användningsfall som förtecknas i bilaga III. Utan hinder av första stycket ska ett AI-system som avses i bilaga III alltid anses vara ett AI-system med hög risk om det utför profilering av fysiska personer. 4. En leverantör som anser att ett AI-system som avses i bilaga III inte är ett AI-system med hög risk ska upprätta dokumentation för sin bedömning innan systemet släpps ut på marknaden eller tas i bruk. Sådana leverantörer ska omfattas av de registreringsskyldigheter som föreskrivs i artikel 49.2. På begäran av nationella behöriga myndigheter ska leverantören tillhandahålla den dokumentation som legat till grund för bedömningen. 5. Efter samråd med den europeiska styrelsen för artificiell intelligens (styrelsen) ska kommissionen senast den 2 februari 2026 tillhandahålla riktlinjer som specificerar det praktiska genomförandet av denna artikel i överensstämmelse med artikel 96, och som innefattar en omfattande förteckning över praktiska exempel på användningsfall av AI-system som innebär hög risk och användningsfall som inte innebär hög risk. 6. Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 97 för att ändra punkt 3 andra stycket i den här artikeln genom att lägga till nya villkor utöver dem som föreskrivs i det stycket eller genom att ändra dem, om det finns konkreta och tillförlitliga bevis på förekomst av AI-system som omfattas av tillämpningsområdet för bilaga III men som inte utgör en betydande risk för skada på fysiska personers hälsa, säkerhet eller grundläggande rättigheter. 7. Kommissionen ska anta delegerade akter i enlighet med artikel 97 för att ändra punkt 3 andra stycket i den här artikeln genom att stryka något av de villkor som föreskrivs i det stycket, om det finns konkreta och tillförlitliga bevis för att detta är nödvändigt för att upprätthålla den skyddsnivå för hälsa, säkerhet och grundläggande rättigheter som föreskrivs i denna förordning. 8. Eventuella ändringar av villkoren i punkt 3 andra stycket som antas i enlighet med punkterna 6 och 7 i denna artikel får inte sänka den allmänna skyddsnivå för hälsa, säkerhet och grundläggande rättigheter som föreskrivs i denna förordning och ska säkerställa samstämmighet med de delegerade akter som antagits enligt artikel 7.1 samt ta hänsyn till marknadsutveckling och tekniska utveckling. Artikel 7 Ändringar av Bilaga III 1. Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 97 med avseende på att ändra bilaga III genom att lägga till eller ändra användningsfall för AI-system med hög risk om båda följande villkor är uppfyllda: a) AI-systemen är avsedda att användas inom något av de områden som förtecknas i bilaga III. b) AI-systemen utgör en risk för skada på hälsa och säkerhet, eller för negativ inverkan på grundläggande rättigheter, och denna risk är likvärdig med eller större än den risk för skada eller negativ inverkan som förorsakas av de AI-system med hög risk som redan anges i bilaga III. 885 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 2. Vid bedömningen av villkoret i punkt 1 b ska kommissionen beakta följande kriterier: a) Det avsedda ändamålet med AI-systemet. b) I vilken utsträckning ett AI-system har använts eller sannolikt kommer att användas. c) Typen och mängden data som behandlas och används av AI-systemet, i synnerhet huruvida särskilda kategorier av personuppgifter behandlas. d) I vilken utsträckning AI-systemet agerar självständigt och om det är möjligt för en människa att åsidosätta ett beslut eller rekommendationer som kan leda till potentiell skada. e) I vilken utsträckning användningen av ett AI-system redan har orsakat skada på hälsa och säkerhet, har haft negativ inverkan på grundläggande rättigheter eller har gett upphov till betydande farhågor när det gäller sannolikheten för sådan skada eller negativ inverkan, vilket till exempel framgår av rapporter eller dokumenterade anklagelser som lämnats till nationella behöriga myndigheter, eller, i förekommande fall, av andra rapporter. f) Den potentiella omfattningen av sådan skada eller sådan negativ inverkan, särskilt i fråga om intensitet och förmåga att påverka en stor mängd personer eller att i oproportionerlig utsträckning påverka en viss grupp av personer. g) I vilken utsträckning potentiellt skadade eller negativt påverkade personer är beroende av det resultat som producerats med ett AI-system, särskilt till följd av att det av praktiska eller juridiska skäl inte rimligen är möjligt att undantas från detta resultat. h) I vilken utsträckning det föreligger en obalans i fråga om makt, eller potentiellt skadade eller negativt påverkade personer befinner sig i ett utsatt läge i förhållande till tillhandahållaren av ett AI-system, särskilt på grund av status, auktoritet, kunskap, ekonomiska eller sociala omständigheter eller ålder. i) I vilken utsträckning det resultat som produceras med medverkan av ett AI-system är lätt att korrigera eller upphäva, med beaktande av tillgängliga tekniska lösningar som möjliggör dess korrigering eller upphävande, varvid resultat med en negativ påverkan på hälsa, säkerhet eller grundläggande rättigheter inte ska anses vara lätta att korrigera eller upphäva. j) Omfattningen av och sannolikheten för nyttan med införandet av AI-systemet för enskilda personer, grupper eller samhället i stort, inbegripet eventuella förbättringar av produktsäkerheten. k) I vilken utsträckning befintlig unionsrätt föreskriver i) effektiva åtgärder för rättslig prövning med hänsyn till de risker som ett AI-system medför, med undantag för skadeståndsanspråk, ii) effektiva åtgärder för att förebygga eller avsevärt minimera dessa risker. 3. Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 97 med avseende på att ändra förteckningen i bilaga III genom att låta AI-system med hög risk utgå om båda följande villkor är uppfyllda: a) Det berörda AI-systemet medför inte längre någon betydande risk för grundläggande rättigheter, hälsa eller säkerhet, med beaktande av kriterierna i punkt 2. b) Strykningen sänker inte den övergripande nivån på skyddet för hälsa, säkerhet och grundläggande rättigheter enligt unionsrätten. AVSNITT 2 Krav på AI-system med hög risk Artikel 8 Förenlighet med kraven 1. AI-system med hög risk ska uppfylla kraven i detta avsnitt, med beaktande av deras avsedda ändamål samt den allmänt erkända senaste utvecklingen inom AI och AI-relaterad teknik. Det riskhanteringssystem som avses i artikel 9 ska beaktas när förenligheten med dessa krav säkerställs. 886 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 2. Om en produkt innehåller ett AI-system som omfattas av kraven i denna förordning och kraven i unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I, ska leverantörer ansvara för att säkerställa att deras produkt uppfyller alla tillämpliga krav i tillämplig unionsharmoniseringslagstiftning. Vid säkerställandet av att AI-system med hög risk som avses i punkt 1 överensstämmer med kraven i detta avsnitt, och för att säkerställa samstämmighet, motverka dubbelarbete och minimera ytterligare bördor, ska leverantörer kunna välja att, beroende på vad som är lämpligt, integrera de nödvändiga test-och rapporteringsprocesserna, den information och den dokumentation som de tillhandahåller med avseende på sin produkt i dokumentation och förfaranden som redan finns och som krävs enligt unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I. Artikel 9 Riskhanteringssystem 1. Ett riskhanteringssystem ska inrättas, genomföras, dokumenteras och underhållas för AI-system med hög risk. 2. Riskhanteringssystemet ska förstås som en kontinuerlig iterativ process som planeras och löper under hela livscykeln för ett AI-system med hög risk, med krav på regelbunden och systematisk översyn och uppdatering. Det ska innehålla följande steg: a) Identifiering och analys av de kända och rimligen förutsebara risker som AI-systemet med hög risk kan medföra för hälsa, säkerhet och grundläggande rättigheter när AI-systemet med hög risk används i enlighet med sitt avsedda ändamål. b) Uppskattning och utvärdering av de risker som kan uppstå när AI-systemet med hög risk används i enlighet med sitt avsedda ändamål och under förhållanden där det kan förekomma rimligen förutsebar felaktig användning. c) Utvärdering av andra risker som eventuellt kan uppstå på grundval av en analys av data som samlats in från det system för övervakning efter utsläppande på marknaden som avses i artikel 72. d) Antagande av lämpliga och riktade riskhanteringsåtgärder utformade för att hantera de risker som identifierats enligt led a. 3. De risker som avses i denna artikel ska endast avse de risker som rimligen kan begränsas eller elimineras genom utveckling eller utformning av AI-systemet med hög risk eller tillhandahållande av adekvat teknisk information. 4. I de riskhanteringsåtgärder som avses i punkt 2 d ska vederbörlig hänsyn tas till de effekter och den möjliga interaktion som följer av den kombinerade tillämpningen av kraven i detta avsnitt, i syfte att minimera riskerna mer effektivt och samtidigt uppnå en lämplig balans i genomförandet av åtgärderna för att uppfylla dessa krav. 5. De riskhanteringsåtgärder som avses i punkt 2 d ska vara sådana att relevanta kvarvarande risker förknippade med varje fara samt den totala kvarvarande risken i AI-systemen med hög risk bedöms vara acceptabla. Vid fastställandet av de lämpligaste riskhanteringsåtgärderna ska följande säkerställas: a) Eliminering eller minskning av risker som identifierats och utvärderats enligt punkt 2 så långt som tekniskt möjligt genom lämplig konstruktion och utveckling av AI-systemet med hög risk. b) När det är lämpligt, genomförande av lämpliga begränsnings- och kontrollåtgärder för att hantera risker som inte kan elimineras. c) Tillhandahållande av den information som krävs enligt artikel 13 och, i förekommande fall, utbildning för tillhandahållare. För att eliminera eller minska risker i samband med användningen av AI-systemet med hög risk ska vederbörlig hänsyn tas till den tekniska kunskap, erfarenhet och utbildning som tillhandahållaren förväntas ha och det förmodade sammanhang i vilket systemet är avsett att användas. 887 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 6. AI-system med hög risk ska testas i syfte att identifiera de lämpligaste och bäst riktade riskhanteringsåtgärderna. Testerna ska säkerställa att AI-system med hög risk fungerar konsekvent för sitt avsedda ändamål och att de uppfyller kraven i detta avsnitt. 7. Testningsförfarandena får omfatta testning under verkliga förhållanden i enlighet med artikel 60. 8. Testning av AI-systemen med hög risk ska utföras, beroende på vad som är lämpligt, när som helst under hela utvecklingsprocessen och i alla händelser innan de släpps ut på marknaden eller tas i bruk. Testning ska utföras på grundval av i förväg definierade mått och sannolikhetsgränser som är lämpliga för det avsedda ändamålet med AI-systemet med hög risk. 9. Vid genomförandet av det riskhanteringssystem som föreskrivs i punkterna 1–7 ska leverantörer ta hänsyn till huruvida AI-systemet med hög risk, med tanke på dess avsedda ändamål, sannolikt kommer att ha en negativ påverkan på personer som är yngre än 18 år och, i förekommande fall, andra sårbara grupper. 10. För leverantörer av AI-system med hög risk som omfattas av krav avseende interna riskhanteringsprocesser enligt andra relevanta bestämmelser i unionsrätten får de aspekter som regleras i punkterna 1–9 ingå i, eller kombineras med, de riskhanteringsförfaranden som fastställs enligt den unionsrätten. Artikel 10 Data och dataförvaltning 1. AI-system med hög risk som använder teknik som inbegriper träning av AI-modeller med data ska utvecklas på grundval av tränings-, validerings- och testdataset som uppfyller de kvalitetskriterier som avses i punkterna 2–5 när sådana dataset används. 2. Tränings-, validerings- och testdataset ska omfattas av metoder för dataförvaltning och datahantering som är lämpliga för det avsedda ändamålet med AI-systemet med hög risk. Dessa metoder ska särskilt avse a) relevanta utformningsval, b) datainsamlingsprocesser och uppgifternas ursprung samt, när det gäller personuppgifter, datainsamlingens ursprungliga ändamål, c) relevanta åtgärder för datapreparering, såsom annotation, märkning, rensning, uppdatering, förädling och aggregering, d) formulering av antaganden, särskilt när det gäller den information som berörda data förväntas beskriva och representera, e) en bedömning av tillgängligheten, mängden och lämpligheten avseende de dataset som behövs, f) undersökning med avseende på eventuella biaser som sannolikt kommer att påverka människors hälsa och säkerhet, inverka negativt på grundläggande rättigheter eller leda till diskriminering som är förbjuden enligt unionsrätten, särskilt när utdata påverkar indata för framtida drift, g) lämpliga åtgärder för att upptäcka, förebygga och begränsa eventuella biaser som identifierats enligt led f, h) identifiering av relevanta dataluckor eller brister som hindrar efterlevnad av denna förordning, och hur dessa luckor och brister kan åtgärdas. 3. Tränings-, validerings- och testdataset ska vara relevanta, tillräckligt representativa, och så långt som möjligt fria från fel och fullständiga i förhållande till det avsedda ändamålet. De ska ha lämpliga statistiska egenskaper, inbegripet, i förekommande fall, vad gäller de personer eller grupper av personer med avseende på vilka AI-systemet med hög risk är avsett att användas. Egenskaperna hos dessa dataset kan uppfyllas på nivån för enskilda dataset eller på nivån av en kombination av dessa. 4. Dataseten ska, i den mån som krävs med hänsyn till det avsedda ändamålet, beakta de egenskaper eller element som är utmärkande för just den specifika geografiska, kontextuella, beteendemässiga eller funktionsmässiga situation där AI-systemet med hög risk är avsett att användas. 888 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 5. I den utsträckning det är absolut nödvändigt för att säkerställa upptäckt och korrigering av bias i samband med AI-systemen med hög risk i enlighet med punkt 2 f och g i denna artikel får leverantörer av sådana system undantagsvis behandla särskilda kategorier av personuppgifter, med förbehåll för lämpliga skyddsåtgärder för fysiska personers grundläggande rättigheter och friheter. Utöver bestämmelserna i förordningarna (EU) 2016/679 och (EU) 2018/1725 och direktiv (EU) 2016/680 måste samtliga följande villkor vara uppfyllda för att sådan behandling ska kunna äga rum: a) Upptäckt och korrigering av bias kan inte uppnås på ett effektivt sätt genom behandling av andra data, inbegripet syntetiska eller anonymiserade data. b) De särskilda kategorierna av personuppgifter omfattas av tekniska begränsningar för vidareutnyttjande av personuppgifter samt säkerhetsåtgärder och integritetsbevarande åtgärder på en nivå som motsvarar den senaste utvecklingen, inbegripet pseudonymisering. c) De särskilda kategorierna av personuppgifter omfattas av åtgärder för att säkerställa att de personuppgifter som behandlas är säkra, skyddade, omfattas av lämpliga skyddsåtgärder, inbegripet strikta kontroller och dokumentation av åtkomsten, för att undvika missbruk och säkerställa att endast personer som är behöriga har tillgång till dessa personuppgifter med lämpliga konfidentialitetsskyldigheter. d) De särskilda kategorierna av personuppgifter får inte översändas, överföras eller på annat sätt göras tillgängliga för andra parter. e) De särskilda kategorierna av personuppgifter raderas när biasen har korrigerats eller personuppgifternas lagringstid har löpt ut, beroende på vilket som inträffar först. f) Registren över behandling enligt förordningarna (EU) 2016/679 och (EU) 2018/1725 och direktiv (EU) 2016/680 innehåller skälen till varför behandlingen av särskilda kategorier av personuppgifter var absolut nödvändig för att upptäcka och korrigera biaser och varför detta mål inte kunde uppnås genom behandling av andra data. 6. För utvecklingen av AI-system med hög risk som inte använder teknik som inbegriper träning av AI-modeller är punkterna 2–5 endast tillämpliga på testdataset. Artikel 11 Teknisk dokumentation 1. Den tekniska dokumentationen för ett AI-system med hög risk ska upprättas innan systemet släpps ut på marknaden eller tas i bruk och ska hållas uppdaterad. Den tekniska dokumentationen ska upprättas på ett sådant sätt att det visas att AI-systemet med hög risk är förenligt med kraven i detta avsnitt, och så att nationella behöriga myndigheter och anmälda organ får den information som krävs i klar och begriplig form för att bedöma om AI-systemet uppfyller dessa krav. Den ska minst innehålla de delar som anges i bilaga IV. Små och medelstora företag, inbegripet uppstartsföretag, får tillhandahålla de delar av den tekniska dokumentation som anges i bilaga IV på ett förenklat sätt. För detta ändamål ska kommissionen upprätta ett förenklat formulär för teknisk dokumentation som är inriktat på små företags och mikroföretags behov. Om ett litet eller medelstort företag, inbegripet ett uppstartsföretag, väljer att tillhandahålla den information som krävs enligt bilaga IV på ett förenklat sätt ska det använda det formulär som avses i denna punkt. Anmälda organ ska godta formuläret för bedömning av överensstämmelse. 2. Om ett AI-system med hög risk som är kopplat till en produkt, som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I, släpps ut på marknaden eller tas i bruk ska en enda teknisk uppsättning dokumentation upprättas som innehåller all den information som anges i punkt 1 samt den information som krävs enligt dessa rättsakter. 3. Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 97 för att ändra bilaga IV när så krävs för att säkerställa att den tekniska dokumentationen, mot bakgrund av teknisk utveckling, innehåller all information som krävs för att bedöma systemets förenlighet med kraven i detta avsnitt. 889 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 Artikel 12 Loggning 1. AI-system med hög risk ska tekniskt möjliggöra automatisk registrering av händelser (loggar) under hela systemets livstid. 2. För att säkerställa en spårbarhetsnivå för funktionen hos ett AI-system med hög risk som är lämplig för systemets avsedda ändamål ska loggningskapaciteten möjliggöra registrering av händelser som är relevanta för a) identifiering av situationer som kan resultera i att AI-systemet med hög risk utgör en risk i den mening som avses i artikel 79.1 eller i en väsentlig ändring, b) underlättande av den övervakning efter utsläppande på marknaden som avses i artikel 72, och c) övervakning av driften av AI-system med hög risk som avses i artikel 26.5. 3. För AI-system med hög risk som avses i punkt 1 a i bilaga III ska loggningsfunktionerna åtminstone tillhandahålla följande: a) Registrering av perioden för varje användning av systemet (startdatum och starttidpunkt samt slutdatum och sluttidpunkt för varje användning). b) Den referensdatabas mot vilken indata har kontrollerats av systemet. c) Indata för vilka sökningen har lett till en träff. d) Identifiering av de fysiska personer som deltar i kontrollen av resultaten enligt artikel 14.5. Artikel 13 Transparens och tillhandahållande av information till tillhandahållare 1. AI-system med hög risk ska utformas och utvecklas på ett sådant sätt att driften av dem är tillräckligt transparent för att tillhandahållare ska kunna tolka systemets utdata och använda dem på lämpligt sätt. En lämplig typ och grad av transparens ska säkerställas, i syfte att uppnå uppfyllelse av leverantörens och tillhandahållarens relevanta skyldigheter enligt avsnitt 3. 2. AI-system med hög risk ska åtföljas av en bruksanvisning i ett lämpligt digitalt eller annat format som inbegriper kortfattad, fullständig, korrekt och tydlig information som är relevant, tillgänglig och begriplig för tillhandahållare. 3. Bruksanvisningen ska minst innehålla följande information: a) Identitet och kontaktuppgifter för leverantören och i tillämpliga fall för dennes ombud. b) Egenskaperna, kapaciteten och prestandabegränsningarna hos AI-systemet med hög risk, inbegripet i) dess avsedda ändamål, ii) den nivå avseende riktighet, inbegripet mätningarna av denna, robusthet och cybersäkerhet som avses i artikel 15 mot vilken AI-systemet med hög risk har testats och validerats och som kan förväntas, samt alla kända och förutsebara omständigheter som kan påverka den förväntade riktighets-, robusthets- och cybersäkerhetsnivån, iii) varje känd eller förutsebar omständighet, som har samband med användningen av AI-systemet med hög risk i enlighet med dess avsedda ändamål eller under förhållanden där det kan förekomma rimligen förutsebar felaktig användning, som kan leda till risker för hälsa och säkerhet eller grundläggande rättigheter som avses i artikel 9.2, iv) i tillämpliga fall, den tekniska kapaciteten och de tekniska egenskaperna hos AI-systemet med hög risk med avseende på att tillhandahålla information som är relevant för att förklara dess utdata, 890 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 v) när så är lämpligt, dess prestanda vad gäller specifika personer eller grupper av personer som omfattas av den avsedda användningen av systemet, vi) i tillämpliga fall, specifikationer för indata, eller annan relevant information i fråga om de tränings-, validerings- och testdataset som används, med beaktande av det avsedda ändamålet för AI-systemet med hög risk. vii) i tillämpliga fall, information som gör det möjligt för tillhandahållare att tolka utdata från AI-systemet med hög risk och använda dem på lämpligt sätt. c) Eventuella ändringar av AI-systemet med hög risk och dess prestanda som leverantören på förhand har fastställt vid tidpunkten för den inledande bedömningen av överensstämmelse. d) De åtgärder för mänsklig kontroll som avses i artikel 14, inbegripet de tekniska åtgärder som införts för att underlätta tillhandahållarnas tolkning av utdata från AI-systemet med hög risk. e) De data- och maskinvaruresurser som krävs, den förväntade livstiden för AI-systemet med hög risk och alla nödvändiga underhålls- och omsorgsåtgärder, inbegripet deras frekvens, för att säkerställa att AI-systemet fungerar korrekt, även när det gäller programvaruuppdateringar. f) I förekommande fall, en beskrivning av de mekanismer som ingår i AI-systemet med hög risk vilka gör det möjligt för tillhandahållarna att korrekt samla in, lagra och tolka loggarna i enlighet med artikel 12. Artikel 14 Mänsklig kontroll 1. AI-system med hög risk ska utformas och utvecklas på ett sådant sätt, inbegripet med lämpliga verktyg för människa– maskin-gränssnitt, att fysiska personer på ett effektivt sätt kan utöva kontroll över dem när de används. 2. Mänsklig kontroll ska syfta till att förebygga eller minimera de risker för hälsa, säkerhet eller grundläggande rättigheter som kan uppstå när ett AI-system med hög risk används i enlighet med sitt avsedda ändamål eller under förhållanden där det kan förekomma rimligen förutsebar felaktig användning, särskilt när sådana risker kvarstår trots tillämpningen av andra krav i detta avsnitt. 3. Tillsynsåtgärderna ska stå i proportion till riskerna, graden av autonomi och användningssammanhang för AI-systemet med hög risk, och ska säkerställas genom en eller båda av följande typer av åtgärder: a) Åtgärder som leverantören har fastställt och, när det är tekniskt möjligt, byggt in i AI-systemet med hög risk innan det släpps ut på marknaden eller tas i bruk. b) Åtgärder som leverantörer har fastställt innan AI-systemet med hög risk släpps ut på marknaden eller tas i bruk och som är lämpliga att genomföras av tillhandahållaren. 4. Vid genomförandet av punkterna 1, 2 och 3 ska AI-systemet med hög risk tillhandahållas tillhandahållaren på ett sådant sätt att fysiska personer som fått i uppdrag att utöva mänsklig kontroll ges möjlighet, enligt vad som är lämpligt och proportionellt, att a) korrekt förstå den relevanta kapaciteten och begränsningarna hos AI-systemet med hög risk och på vederbörligt sätt kunna övervaka dess drift, bland annat i syfte att upptäcka och ta itu med avvikelser, funktionsstörningar och oväntad prestanda, b) förbli medvetna om den möjliga tendensen att automatiskt eller i alltför hög grad lita på de utdata som produceras av ett AI-system med hög risk (automation bias), särskilt när det gäller AI-system med hög risk som används för att tillhandahålla information eller rekommendationer för beslut som ska fattas av fysiska personer, c) korrekt kunna tolka utdata från AI-systemet med hög risk, med beaktande av till exempel tillgängliga tolkningsverktyg och tolkningsmetoder, 891 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 d) i vissa situationer besluta att inte använda AI-systemet med hög risk eller på annat sätt bortse från, åsidosätta eller reversera de resultat som AI-systemet med hög risk genererar, e) ingripa i driften av AI-systemet med hög risk eller stoppa systemet med en stoppknapp eller ett liknande förfarande som gör det möjligt för systemet att stoppas i ett säkert läge. 5. För AI-system med hög risk som avses i punkt 1 a i bilaga III ska de åtgärder som avses i punkt 3 i denna artikel dessutom vara sådana att de säkerställer att ingen åtgärd och inget beslut vidtas respektive fattas av tillhandahållaren på grundval av den identifiering som systemet resulterar i, såvida inte denna identifiering har kontrollerats och bekräftats separat av minst två fysiska personer med nödvändig kompetens, utbildning och auktoritet. Kravet på en separat kontroll av minst två fysiska personer är inte tillämpligt på AI-system med hög risk som används inom områdena brottsbekämpning, migration, gränskontroll eller asyl, om en tillämpning av detta krav enligt unionsrätten eller nationell rätt skulle betraktas som oproportionell. Artikel 15 Riktighet, robusthet och cybersäkerhet 1. AI-system med hög risk ska utformas och utvecklas på ett sådant sätt att de uppnår en lämplig nivå avseende riktighet, robusthet och cybersäkerhet och presterar väl i dessa avseenden under hela sin livscykel. 2. För att hantera de tekniska aspekterna av hur de lämpliga nivåer av riktighet och robusthet som anges i punkt 1 och andra relevanta prestandamått mäts ska kommissionen i samarbete med relevanta berörda parter och organisationer, såsom metrologi-och riktmärkningsmyndigheter, vid behov, uppmuntra utvecklingen av riktmärken och mätmetoder. 3. Riktighetsnivåerna och relevanta riktighetsmått för AI-system med hög risk ska anges i de medföljande bruksanvisningarna. 4. AI-system med hög risk ska vara så resilienta som möjligt mot felaktigheter, funktionsfel eller inkonsekvenser som kan uppstå inom det system eller den miljö där systemet är i drift, särskilt på grund av deras interaktion med fysiska personer eller andra system. Tekniska och organisatoriska åtgärder ska vidtas i detta avseende. Robustheten hos AI-system med hög risk kan uppnås genom lösningar med teknisk redundans, som kan omfatta backup eller felsäkra planer. AI-system med hög risk som fortsätter att lära sig efter det att de har släppts ut på marknaden eller tagits i bruk ska utvecklas på ett sådant sätt att risken för att eventuella biaser i utdata påverkar indata för framtida drift (återföring) elimineras eller minskas så mycket som möjligt och så att det säkerställs att sådan återföring hanteras på vederbörligt sätt med lämpliga kompenserande åtgärder. 5. AI-system med hög risk ska vara resilienta mot försök av obehöriga tredje parter att ändra deras användning, utdata eller prestanda genom att utnyttja systemets sårbarheter. De tekniska lösningar som syftar till att säkerställa cybersäkerhet i AI-system med hög risk ska vara anpassade till de relevanta omständigheterna och riskerna. De tekniska lösningarna för att hantera AI-specifika sårbarheter ska, när det är lämpligt, inbegripa åtgärder för att förebygga, upptäcka, reagera på, komma till rätta med och bekämpa attacker som försöker manipulera träningsdatasetet (dataförgiftning) eller förtränade komponenter som används i träningen (modellförgiftning), indata som är utformade för att få AI-modellen att göra ett misstag (antagonistiska exempel eller modellkringgående), sekretessangrepp eller modellfel. 892 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 AVSNITT 3 Skyldigheter för leverantörer och tillhandahållare av AI-system med hög risk samt andra parter Artikel 16 Skyldigheter för leverantörer av AI-system med hög risk Leverantörer av AI-system med hög risk ska a) säkerställa att deras AI-system med hög risk uppfyller kraven i avsnitt 2, b) på AI-systemet med hög risk eller, om detta inte är möjligt, på dess förpackning eller i dess åtföljande dokumentation, beroende på vad som är tillämpligt, ange sitt namn, registrerade firmanamn eller registrerade varumärke, den adress där de kan kontaktas, c) ha ett kvalitetsstyrningssystem som uppfyller kraven i artikel 17, d) förvara den dokumentation som avses i artikel 18, e) spara de loggar som genereras automatiskt av deras AI-system med hög risk enligt artikel 19, när loggarna står under deras kontroll, f) säkerställa att AI-systemet med hög risk genomgår det relevanta förfarande för bedömning av överensstämmelse som avses i artikel 43 innan det släpps ut på marknaden eller tas i bruk, g) utarbeta en EU-försäkran om överensstämmelse i enlighet med artikel 47, h) anbringa CE-märkningen på AI-systemet med hög risk eller, om detta inte är möjligt, på dess förpackning eller i dess åtföljande dokumentation, för att påvisa överensstämmelse med denna förordning i enlighet med artikel 48, i) fullgöra de registreringsskyldigheter som avses i artikel 49.1, j) vidta nödvändiga korrigerande åtgärder och tillhandahålla den information som krävs enligt artikel 20, k) på motiverad begäran av en nationell behörig myndighet visa att AI-systemet med hög risk uppfyller kraven i avsnitt 2, l) säkerställa att AI-systemet med hög risk uppfyller tillgänglighetskraven i enlighet med direktiven (EU) 2016/2102 och (EU) 2019/882. Artikel 17 Kvalitetsstyrningssystem 1. Leverantörer av AI-system med hög risk ska inrätta ett kvalitetsstyrningssystem som säkerställer efterlevnad av denna förordning. Systemet ska dokumenteras på ett systematiskt och ordnat sätt i form av skriftliga riktlinjer, förfaranden och instruktioner och ska omfatta åtminstone följande aspekter: a) En strategi för efterlevnad av regelverket, inklusive efterlevnad av förfaranden för bedömning av överensstämmelse och för hantering av ändringar av AI-systemet med hög risk. b) Tekniker, förfaranden och systematiska åtgärder som ska användas för utformning av AI-systemet med hög risk samt för kontroll och verifikation av utformningen. c) Tekniker, förfaranden och systematiska åtgärder som ska användas för utveckling, kvalitetskontroll och kvalitetssäkring av AI-systemet med hög risk. d) Undersöknings-, test- och valideringsförfaranden som ska utföras före, under och efter utvecklingen av AI-systemet med hög risk och hur ofta de ska utföras. 893 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 e) Tekniska specifikationer, inbegripet standarder, som ska tillämpas och, om de relevanta harmoniserade standarderna inte tillämpas fullt ut, eller inte omfattar alla relevanta krav i avsnitt 2, de medel som ska användas för att säkerställa att AI-systemet med hög risk uppfyller dessa krav. f) System och förfaranden för datahantering, inbegripet datafångst, datainsamling, dataanalys, datamärkning, datalagring, datafiltrering, datautvinning, dataaggregering, lagring av uppgifter och varje annan åtgärd som avser data och som utförs före och med avseende på utsläppandet på marknaden eller ibruktagandet av AI-system med hög risk. g) Det riskhanteringssystem som avses i artikel 9. h) Upprättande, genomförande och underhåll av ett system för övervakning efter utsläppande på marknaden i enlighet med artikel 72. i) Förfaranden som berör rapportering av en allvarlig incident i enlighet med artikel 73. j) Hantering av kommunikation med nationella behöriga myndigheter, andra relevanta myndigheter, inbegripet de som tillhandahåller eller stöder tillgången till uppgifter, anmälda organ, andra operatörer, kunder eller andra berörda parter. k) System och förfaranden för arkivering av all relevant dokumentation och information. l) Resurshantering, inbegripet åtgärder som berör försörjningstrygghet. m) En ram för ansvarsutkrävande som fastställer ledningens och övrig personals ansvar vad gäller samtliga aspekter som anges i denna punkt. 2. Genomförandet av de aspekter som avses i punkt 1 ska stå i proportion till storleken på leverantörens organisation. Leverantörer ska i alla händelser iaktta den grad av noggrannhet och den skyddsnivå som krävs för att säkerställa att deras AI-system med hög risk står i överensstämmelse med denna förordning. 3. Leverantörer av AI-system med hög risk som omfattas av skyldigheter avseende kvalitetsstyrningssystem eller en likvärdig funktion enligt relevant sektorsspecifik unionsrätt får inkludera de aspekter som anges i punkt 1 i de kvalitetsstyrningssystem som fastställs enligt den unionsrätten. 4. För leverantörer som är finansinstitut som omfattas av krav avseende interna styrelseformer, arrangemang eller processer enligt unionsrätten om finansiella tjänster ska skyldigheten att införa ett kvalitetsstyrningssystem, med undantag för punkt 1 g, h och i) i denna artikel, anses vara uppfylld genom att reglerna om interna styrelseformer, arrangemang eller processer efterlevs enligt relevant unionsrätt om finansiella tjänster. I detta syfte ska alla harmoniserade standarder som avses i artikel 40 beaktas. Artikel 18 Bevarande av dokumentation 1. Leverantören ska under en period på 10 år efter det att AI-systemet med hög risk har släppts ut på marknaden eller tagits i bruk, för de nationella behöriga myndigheternas räkning hålla tillgängligt a) den tekniska dokumentation som avses i punkt 11, b) den dokumentation avseende kvalitetsstyrningssystemet som det hänvisas till i artikel 17, c) i tillämpliga fall, dokumentation om de ändringar som godkänts av anmälda organ, d) i tillämpliga fall, de beslut och andra handlingar som utfärdats av de anmälda organen, e) EU-försäkran om överensstämmelse enligt artikel 47. 894 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 2. Varje medlemsstat ska fastställa på vilka villkor den dokumentation som avses i punkt 1 ska hållas tillgänglig för de nationella behöriga myndigheterna under den period som anges i den punkten i de fall då en leverantör eller dennes ombud som är etablerad på dess territorium går i konkurs eller upphör med sin verksamhet före utgången av denna period. 3. Leverantörer som är finansinstitut som omfattas av krav avseende sina interna styrelseformer, arrangemang eller processer enligt unionsrätten om finansiella tjänster ska bevara den tekniska dokumentationen som en del av den dokumentation som ska bevaras enligt relevant unionsrätt om finansiella tjänster. Artikel 19 Automatiskt genererade loggar 1. Leverantörer av AI-system med hög risk ska spara de loggar enligt artikel 12.1 som genereras automatiskt av deras AI-system med hög risk, i den mån sådana loggar står under deras kontroll. Utan att det påverkar tillämplig unionsrätt eller nationell rätt ska loggarna sparas under en period som är lämplig för det avsedda ändamålet med AI-systemet med hög risk, dock i minst sex månader, om inte annat föreskrivs i tillämplig unionsrätt eller nationell rätt, i synnerhet unionsrätten om skydd av personuppgifter. 2. Leverantörer som är finansinstitut som omfattas av krav avseende sina interna styrelseformer, arrangemang eller processer enligt unionsrätten om finansiella tjänster ska bevara de loggar som genereras automatiskt av deras AI-system med hög risk som en del av den dokumentation som ska bevaras enligt relevant rätt om finansiella tjänster. Artikel 20 Korrigerande åtgärder och informationsplikt 1. Leverantörer av AI-system med hög risk som anser eller har skäl att tro att ett AI-system med hög risk som de har släppt ut på marknaden eller tagit i bruk inte överensstämmer med denna förordning ska omedelbart vidta de korrigerande åtgärder som krävs för att, beroende på vad som är lämpligt, få systemet att överensstämma med kraven, dra tillbaka det, inaktivera det eller återkalla det. De ska underrätta distributörerna av det berörda AI-systemet med hög risk och, i förekommande fall, tillhandahållarna, ombudet och importörerna om detta. 2. Om AI-systemet med hög risk utgör en risk i den mening som avses i artikel 79.1 och leverantören blir medveten om denna risk, ska den omedelbart utreda orsakerna, i samarbete med den rapporterande tillhandahållaren, i tillämpliga fall, och informera de marknadskontrollmyndigheter som är behöriga för det berörda AI-systemet med hög risk och, i tillämpliga fall, det anmälda organ som utfärdat ett intyg för detta AI-system med hög risk i enlighet med artikel 44, särskilt om typen av bristande överensstämmelse och om eventuella relevanta korrigerande åtgärder som vidtagits. Artikel 21 Samarbete med behöriga myndigheter 1. Leverantörer av AI-system med hög risk ska på motiverad begäran av en behörig myndighet förse den myndigheten med all information och dokumentation som krävs för att visa att AI-systemet med hög risk överensstämmer med kraven i avsnitt 2, på ett språk som är lätt att förstå för myndigheten och som är ett av unionsinstitutionernas officiella språk som anges av den berörda medlemsstaten. 2. På motiverad begäran av en behörig myndighet ska leverantörer också ge den begärande behöriga myndigheten, i tillämpliga fall, tillgång till de automatiskt genererade loggar för AI-systemet med hög risk som avses i artikel 12.1, i den mån sådana loggar står under deras kontroll. 3. All information som en behörig myndighet har erhållit enligt denna artikel ska behandlas i enlighet med de konfidentialitetskrav som anges i artikel 78. 895 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 Artikel 22 Ombud för leverantörer av AI-system med hög risk 1. Innan leverantörer etablerade i tredjeländer tillhandahåller sina AI-system med hög risk på unionsmarknaden ska de genom skriftlig fullmakt utse ett ombud som är etablerat i unionen. 2. Leverantören ska göra det möjligt för sitt ombud att utföra de uppgifter som anges i fullmakten från leverantören. 3. Ombudet ska utföra de uppgifter som anges i fullmakten från leverantören. Ombudet ska på begäran lämna en kopia av fullmakten till marknadskontrollmyndigheterna på ett av unionsinstitutionernas officiella språk som anges av den behöriga myndigheten. Vid tillämpning av denna förordning ska fullmakten ge ombudet befogenhet att utföra följande uppgifter: a) Kontrollera att den EU-försäkran om överensstämmelse som avses i artikel 47 och den tekniska dokumentation som avses i artikel 11 har upprättats och att leverantören har utfört ett lämpligt förfarande för bedömning av överensstämmelse. b) Under en period på tio år efter det att AI-systemet med hög risk har släppts ut på marknaden eller tagits i bruk hålla kontaktuppgifterna till den leverantör som utsåg ombudet, en kopia av den EU-försäkran om överensstämmelse som avses i artikel 47, den tekniska dokumentationen och, i tillämpliga fall, det intyg som utfärdats av det anmälda organet tillgängliga för de behöriga myndigheter och nationella myndigheter eller organ som avses i artikel 74.10. c) På motiverad begäran ge en behörig myndighet all information och dokumentation, inbegripet den som avses i led b i detta stycke, som är nödvändig för att visa att ett AI-system med hög risk överensstämmer med kraven i avsnitt 2, inbegripet tillgång till de loggar enligt artikel 12.1 som automatiskt genereras av AI-systemet med hög risk, i den mån sådana loggar står under leverantörens kontroll. d) På motiverad begäran samarbeta med behöriga myndigheter i eventuella åtgärder som dessa vidtar med avseende på AI-systemet med hög risk, i synnerhet för att minska och begränsa de risker som AI-systemet med hög risk utgör. e) I tillämpliga fall, fullgöra de registreringsskyldigheter som avses i artikel 49.1 eller, om registreringen utförs av leverantören själv, säkerställa att den information som avses i avsnitt A punkt 3 i bilaga VIII är korrekt. Fullmakten ska ge ombudet befogenhet att utöver eller i stället för leverantören stå till förfogande inför de behöriga myndigheterna, i alla frågor som rör efterlevnaden av denna förordning. 4. Ombudet ska säga upp fullmakten om denne anser eller har skäl att tro att leverantören agerar i strid med sina skyldigheter enligt denna förordning. I sådana fall ska det omedelbart underrätta den berörda marknadskontrollmyndig- heten samt, i tillämpliga fall, det berörda anmälda organet om uppsägningen av fullmakten och skälen till detta. Artikel 23 Importörers skyldigheter 1. Innan importörer släpper ut ett AI-system med hög risk på marknaden ska de säkerställa att systemet överensstämmer med denna förordning genom att kontrollera att a) det tillämpliga förfarandet för bedömning av överensstämmelse enligt artikel 43 har utförts av leverantören av AI-systemet med hög risk, b) leverantören har upprättat den tekniska dokumentationen i enlighet med artikel 11 och bilaga IV, c) systemet är försett med erforderlig CE-märkning och åtföljs av den EU-försäkran om överensstämmelse som avses i artikel 47 och bruksanvisning, d) leverantören har utsett ett ombud i enlighet med artikel 22.1. 896 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 2. Om en importör har tillräckliga skäl att tro att ett AI-system med hög risk inte överensstämmer med denna förordning, är förfalskat eller åtföljs av förfalskad dokumentation får den inte släppa ut systemet på marknaden förrän det har bringats i överensstämmelse med kraven. Om AI-systemet med hög risk utgör en risk i den mening som avses i artikel 79.1 ska importören informera leverantören av systemet, ombudet och marknadskontrollmyndigheterna om detta. 3. Importörer ska ange sitt namn, sitt registrerade firmanamn eller sitt registrerade varumärke och en kontaktadress på AI-systemet med hög risk och på dess förpackning eller i dess åtföljande dokumentation, i tillämpliga fall. 4. Importörer ska så länge de har ansvar för ett AI-system med hög risk säkerställa att lagrings- eller transportförhållanden, i förekommande fall, inte äventyrar dess överensstämmelse med kraven i avsnitt 2. 5. Importörer ska under en period på tio år efter det att AI-systemet med hög risk har släppts ut på marknaden eller tagits i bruk bevara en kopia av det intyg som utfärdats av det anmälda organet, i tillämpliga fall, av bruksanvisningen och av den EU-försäkran om överensstämmelse som avses i artikel 47. 6. Importörer ska på motiverad begäran ge berörda behöriga myndigheter all information och dokumentation som är nödvändig, inbegripet den som avses i punkt 5, för att visa att ett AI-system med hög risk överensstämmer med kraven i avsnitt 2 på ett språk som lätt kan förstås av dem. I detta syfte ska de också säkerställa att den tekniska dokumentationen kan göras tillgänglig för dessa myndigheter. 7. Importörer ska samarbeta med de berörda behöriga myndigheterna i alla åtgärder som dessa myndigheter vidtar med avseende på ett AI-system med hög risk som importörerna har släppt ut på marknaden, i synnerhet för att minska och begränsa de risker som det utgör. Artikel 24 Distributörers skyldigheter 1. Innan distributörer tillhandahåller ett AI-system med hög risk på marknaden ska de kontrollera att det är försett med erforderlig CE-märkning, att det åtföljs av en kopia av den EU-försäkran om överensstämmelse som avses i artikel 47 och bruksanvisningen och att leverantören och importören av det systemet, beroende på vad som är tillämpligt, har uppfyllt sina respektive skyldigheter enligt artiklarna 16 b och c samt 23.3. 2. Om en distributör – på grundval av den information som denne har kännedom om – anser eller har skäl att tro att ett AI-system med hög risk inte överensstämmer med kraven i avsnitt 2, får distributören inte tillhandahålla AI-systemet med hög risk på marknaden förrän systemet har bringats i överensstämmelse med dessa krav. Om AI-systemet med hög risk utgör en risk i den mening som avses i artikel 79.1 ska distributören dessutom informera leverantören eller importören av systemet, beroende på vad som är tillämpligt, om detta. 3. Distributörer ska så länge de har ansvar för ett AI-system med hög risk säkerställa att lagrings- eller transportförhållanden, i förekommande fall, inte äventyrar systemets överensstämmelse med kraven i avsnitt 2. 4. En distributör som – på grundval av den information som denne har kännedom om – anser eller har skäl att tro att ett AI-system med hög risk som denne har tillhandahållit på marknaden inte överensstämmer med kraven i avsnitt 2 ska vidta de korrigerande åtgärder som krävs för att bringa systemet i överensstämmelse med dessa krav, dra tillbaka det eller återkalla det, eller ska säkerställa att leverantören, importören eller någon berörd operatör, beroende på vad som är lämpligt, vidtar dessa korrigerande åtgärder. Om AI-systemet med hög risk utgör en risk i den mening som avses i artikel 79.1 ska distributören omedelbart informera leverantören eller importören av systemet och de myndigheter som är behöriga för det berörda AI-systemet med hög risk om detta och lämna uppgifter särskilt om den bristande överensstämmelsen och om eventuella korrigerande åtgärder som vidtagits. 5. På motiverad begäran av en berörd behörig myndighet ska distributörer av ett AI-system med hög risk förse den myndigheten med all information och dokumentation om deras åtgärder enligt punkterna 1–4 som är nödvändig för att visa att det systemet uppfyller kraven i avsnitt 2. 6. Distributörer ska samarbeta med de berörda behöriga myndigheterna i alla åtgärder som dessa myndigheter vidtar med avseende på ett AI-system med hög risk som distributörerna har gjort tillgängligt på marknaden, i synnerhet för att minska eller begränsa den risk som det utgör. 897 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 Artikel 25 Ansvar längs AI-värdekedjan 1. Varje distributör, importör, tillhandahållare eller annan tredje part ska vid tillämpningen av denna förordning anses vara en leverantör av ett AI-system med hög risk och ha de skyldigheter som leverantören har enligt artikel 16, under någon av följande omständigheter: a) De sätter sitt namn eller varumärke på ett AI-system med hög risk som redan släppts ut på marknaden eller tagits i bruk, utan att det påverkar avtalsarrangemang som föreskriver att skyldigheterna ska fördelas på annat sätt. b) De gör en väsentlig ändring av ett AI-system med hög risk som redan har släppts ut på marknaden eller redan har tagits i bruk på ett sådant sätt att det fortfarande är ett AI-system med hög risk enligt artikel 6. c) De ändrar det avsedda ändamålet för ett AI-system, inklusive ett AI-system för allmänna ändamål, som inte har klassificerats som ett AI-system med hög risk och som redan har släppts ut på marknaden eller tagits i bruk på ett sådant sätt att det berörda AI-systemet blir ett AI-system med hög risk i enlighet med artikel 6. 2. Om de omständigheter som avses i punkt 1 uppstår, ska den leverantör som ursprungligen släppte ut AI-systemet på marknaden eller tog det i bruk inte längre anses vara en leverantör av det specifika AI-systemet vid tillämpningen av denna förordning. Den ursprungliga leverantören ska nära samarbeta med nya leverantörer och tillgängliggöra den nödvändiga informationen och tillhandahålla den rimligen förväntade tekniska åtkomsten och annat stöd som krävs för att fullgöra de skyldigheter som fastställs i denna förordning, särskilt när det gäller efterlevnaden av bedömningen av överensstämmelse för AI-system med hög risk. Denna punkt är inte tillämplig i fall där den ursprungliga leverantören tydligt har angett att dess AI-system inte får omvandlas till ett AI-system med hög risk och därför inte omfattas av skyldigheten att överlämna dokumentationen. 3. När det gäller AI-system med hög risk som är säkerhetskomponenter i produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I, ska produkttillverkaren anses vara leverantören av AI-systemet med hög risk och omfattas av de skyldigheter som avses i artikel 16 under någon av följande omständigheter: a) AI-systemet med hög risk släpps ut på marknaden tillsammans med produkten under produkttillverkarens namn eller varumärke. b) AI-systemet med hög risk tas i bruk under produkttillverkarens namn eller varumärke efter det att produkten släppts ut på marknaden. 4. Leverantören av ett AI-system med hög risk och den tredje part som tillhandahåller ett AI-system, verktyg, tjänster, komponenter eller processer som används eller integreras i ett AI-system med hög risk ska genom ett skriftligt avtal ange den nödvändiga informationen, kapaciteten och tekniska åtkomsten samt det andra stödet, baserat på den allmänt erkända senaste utvecklingen, för att göra det möjligt för leverantören av AI-systemet med hög risk att fullt ut uppfylla de skyldigheter som fastställs i denna förordning. Denna punkt är inte tillämplig på tredje parter som för allmänheten tillgängliggör andra verktyg, tjänster, processer eller komponenter än AI-modeller för allmänna ändamål, med en kostnadsfri licens med öppen källkod. AI-byrån får utveckla och rekommendera frivilliga standardvillkor för avtal mellan leverantörer av AI-system med hög risk och tredje parter som tillhandahåller verktyg, tjänster, komponenter eller processer som används för eller är integrerade i AI-system med hög risk. Vid utarbetandet av dessa frivilliga standardvillkor ska AI-byrån ta hänsyn till eventuella avtalskrav som är tillämpliga inom specifika sektorer eller affärsförhållanden. De frivilliga standardvillkoren ska offentliggöras och vara tillgängliga kostnadsfritt i ett lättanvänt elektroniskt format. 5. Punkterna 2 och 3 påverkar inte behovet av att iaktta och skydda immateriella rättigheter, konfidentiell affärsinformation och företagshemligheter i enlighet med unionsrätten och nationell rätt. Artikel 26 Skyldigheter för tillhandahållare av AI-system med hög risk 1. Tillhandahållare av AI-system med hög risk ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att de använder sådana system i enlighet med de bruksanvisningar som åtföljer systemen, enligt punkterna 3 och 6. 898 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 2. Tillhandahållare ska tilldela fysiska personer som har nödvändig kompetens, utbildning och auktoritet samt nödvändigt stöd uppgiften att utöva mänsklig kontroll. 3. De skyldigheter som fastställs i punkterna 1 och 2 påverkar inte andra skyldigheter för tillhandahållare enligt unionsrätten eller nationell rätt eller tillhandahållarens frihet att organisera sina egna resurser och sin egen verksamhet i syfte att genomföra de åtgärder för mänsklig kontroll som leverantören anger. 4. Utan att det påverkar tillämpningen av punkterna 1 och 2 ska tillhandahållaren, i den mån tillhandahållaren utövar kontroll över indata, säkerställa att indata är relevanta och tillräckligt representativa med tanke på det avsedda ändamålet med AI-systemet med hög risk. 5. Tillhandahållare ska övervaka driften av AI-systemet med hög risk på grundval av bruksanvisningen och, i förekommande fall, informera leverantörerna i enlighet med artikel 72. Om tillhandahållare har skäl att tro att användningen av AI-systemet med hög risk i enlighet med instruktionerna kan leda till att AI-systemet utgöra en risk i den mening som avses i artikel 79.1 ska de, utan oskäligt dröjsmål, informera leverantören eller distributören och den berörda marknadskontrollmyndigheten och tillfälligt avbryta användningen av det systemet. Om tillhandahållare har fastställt en allvarlig incident ska de också omedelbart informera först leverantören och sedan importören eller distributören och de berörda marknadskontrollsmyndigheterna om den incidenten. Om tillhandahållaren inte kan nå leverantören ska artikel 73 gälla i tillämpliga delar. Denna skyldighet omfattar inte känsliga operativa uppgifter om tillhandahållare av AI-system som är brottsbekämpande myndigheter. För tillhandahållare som är finansinstitut som omfattas av krav avseende sina interna styrelseformer, arrangemang eller processer enligt unionsrätten om finansiella tjänster ska övervakningsskyldigheten i första stycket anses vara uppfylld genom att reglerna om interna styrelseformer, arrangemang, processer och mekanismer enligt relevant unionsrätt om finansiella tjänster följs. 6. Tillhandahållare av AI-system med hög risk ska spara de loggar som genereras automatiskt av det AI-systemet med hög risk, i den mån sådana loggar står under deras kontroll, under en period som är lämplig för det avsedda ändamålet med AI-systemet med hög risk, dock i minst sex månader, om inte annat föreskrivs i tillämplig unionsrätt eller nationell rätt, i synnerhet unionsrätten om skydd av personuppgifter. Tillhandahållare som är finansinstitut som omfattas av krav avseende sina interna styrelseformer, arrangemang eller processer enligt unionsrätten om finansiella tjänster ska bevara loggar som en del av den dokumentation som ska bevaras enligt relevant unionsrätt om finansiella tjänster. 7. Innan ett AI-system med hög risk tas i bruk eller används på en arbetsplats ska tillhandahållare som är arbetsgivare informera arbetstagarrepresentanterna och de berörda arbetstagarna om att de kommer att vara föremål för användning av AI-systemet med hög risk. Denna information ska, i tillämpliga fall, tillhandahållas i enlighet med de regler och förfaranden som fastställs i unionsrätten och nationell rätt samt praxis i fråga om information till arbetstagare och deras representanter. 8. Tillhandahållare av AI-system med hög risk som är offentliga myndigheter eller unionens institutioner, organ eller byråer ska fullgöra de registreringsskyldigheter som avses i artikel 49. Om dessa tillhandahållare finner att det AI-system med hög risk som de avser att använda inte har registrerats i den EU-databas som avses i artikel 71 får de inte använda det systemet och ska informera leverantören eller distributören. 9. I tillämpliga fall ska tillhandahållare av AI-system med hög risk använda den information som tillhandahålls enligt artikel 13 i denna förordning för att fullgöra sin skyldighet att genomföra en konsekvensbedömning avseende dataskydd enligt artikel 35 i förordning (EU) 2016/679 eller artikel 27 i direktiv (EU) 2016/680. 10. Inom ramen för en utredning för målinriktad sökning av en person som misstänks ha begått ett brott eller som har dömts för att ha begått ett brott ska tillhandahållaren av ett AI-system med hög risk för biometrisk fjärridentifiering i efterhand, utan att det påverkar tillämpningen av direktiv (EU) 2016/680, på förhand eller utan oskäligt dröjsmål och senast inom 48 timmar, av en rättslig myndighet eller en administrativ myndighet vars beslut är bindande och föremål för rättslig prövning begära tillstånd för användning av det systemet, utom när det används för den inledande identifieringen av en potentiell misstänkt på grundval av objektiva och verifierbara fakta med direkt anknytning till brottet. Varje användning ska begränsas till vad som är absolut nödvändigt för att utreda ett specifikt brott. Om det tillstånd som begärts enligt första stycket nekas ska användningen av det system för biometrisk fjärridentifiering i efterhand som är kopplat till det begärda tillståndet upphöra med omedelbar verkan, och de personuppgifter som är kopplade till användningen av det AI-system med hög risk för vilket tillståndet begärdes ska raderas. 899 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 Under inga omständigheter får ett sådant AI-system med hög risk för biometrisk fjärridentifiering i efterhand användas för brottsbekämpande ändamål på ett icke målinriktat sätt, utan koppling till ett brott, ett straffrättsligt förfarande, ett verkligt och aktuellt eller verkligt och förutsebart hot om ett brott eller sökning efter en specifik försvunnen person. Det ska säkerställas att inget beslut som har negativa rättsliga följder för en person får fattas av de brottsbekämpande myndigheterna enbart på grundval av utdata från sådana system för biometrisk fjärridentifiering i efterhand. Denna punkt påverkar inte tillämpningen av artikel 9 i förordning (EU) 2016/679 och artikel 10 i direktiv (EU) 2016/680 avseende behandling av biometriska uppgifter. Oavsett ändamål eller tillhandahållare ska varje användning av sådana AI-system med hög risk dokumenteras i den relevanta polisakten och på begäran göras tillgänglig för den berörda marknadskontrollmyndigheten och den nationella dataskyddsmyndigheten, med undantag för utlämnande av känsliga operativa uppgifter som rör brottsbekämpning. Detta stycke påverkar inte de befogenheter som tilldelas tillsynsmyndigheterna genom direktiv (EU) 2016/680. Tillhandahållare ska lämna in årliga rapporter till de berörda marknadskontrollmyndigheterna och nationella dataskyddsmyndigheterna om sin användning av system för biometrisk fjärridentifiering i efterhand, med undantag för utlämnande av känsliga operativa uppgifter som rör brottsbekämpning. Rapporterna får aggregeras för att täcka mer än en användning. Medlemsstaterna får införa mer restriktiva lagar om användningen av system för biometrisk fjärridentifiering i efterhand i enlighet med unionsrätten. 11. Utan att det påverkar tillämpningen av artikel 50 i denna förordning ska tillhandahållare av AI-system med hög risk som avses i bilaga III och som fattar beslut eller hjälper till att fatta beslut som rör fysiska personer informera de fysiska personerna om att de är föremål för användning av AI-systemet med hög risk. När det gäller AI-system med hög risk som används för brottsbekämpande ändamål ska artikel 13 i direktiv (EU) 2016/680 tillämpas. 12. Tillhandahållare ska samarbeta med de berörda behöriga myndigheterna i alla åtgärder som dessa myndigheter vidtar med avseende på AI-systemet med hög risk i syfte att genomföra denna förordning. Artikel 27 Konsekvensbedömning avseende grundläggande rättigheter när det gäller AI-system med hög risk 1. Innan ett AI-system med hög risk som avses i artikel 6.2, med undantag för AI-system med hög risk som är avsedda att användas inom det område som anges i punkt 2 i bilaga III, införs ska tillhandahållare som är offentligrättsliga organ eller som är privata enheter som tillhandahåller offentliga tjänster, och tillhandahållare av AI-system med hög risk som avses i punkt 5 b och c i bilaga III, göra en bedömning av den inverkan på grundläggande rättigheter som användningen av ett sådant system kan ge upphov till. För detta ändamål ska tillhandahållare göra en bedömning bestående av följande: a) En beskrivning av tillhandahållarens processer där AI-systemet med hög risk kommer att användas i linje med dess avsedda ändamål. b) En beskrivning av den tidsperiod inom vilken och den frekvens med vilken varje AI-system med hög risk är avsett att användas. c) De kategorier av fysiska personer och grupper som sannolikt kommer att påverkas av användningen av systemet i det specifika sammanhanget. d) De specifika risker för skada som sannolikt kommer att påverka de kategorier av fysiska personer eller grupper av personer som har identifierats enligt led c i denna punkt, med beaktande av den information som leverantören har tillhandahållit enligt artikel 13. e) En beskrivning av genomförandet av åtgärder för mänsklig kontroll, i enlighet med bruksanvisningen. f) De åtgärder som ska vidtas om dessa risker förverkligas, inbegripet arrangemangen för intern styrning och klagomålsmekanismer. 900 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 2. Den skyldighet som fastställs i punkt 1 gäller för den första användningen av AI-systemet med hög risk. Tillhandahållaren får i liknande fall förlita sig på tidigare genomförda konsekvensbedömningar avseende grundläggande rättigheter eller befintliga konsekvensbedömningar som har utförts av leverantören. En tillhandahållare som under användningen av AI-systemet med hög risk anser att något av de element som anges i punkt 1 har ändrats eller inte längre är aktuellt ska vidta nödvändiga åtgärder för att uppdatera informationen. 3. När den bedömning som avses i punkt 1 i denna artikel har utförts ska tillhandahållaren underrätta marknadskontrollmyndigheten om sina resultat, inbegripet lämna in den ifyllda mall som avses i punkt 5 i denna artikel som en del av underrättelsen. I det fall som avses i artikel 46.1 får tillhandahållare undantas från den underrättelseskyldigheten. 4. Om någon av de skyldigheter som fastställs i denna artikel redan uppfylls genom den konsekvensbedömning avseende dataskydd som genomförs enligt artikel 35 i förordning (EU) 2016/679 eller artikel 27 i direktiv (EU) 2016/680, ska den konsekvensbedömning avseende grundläggande rättigheter som avses i punkt 1 i den här artikeln komplettera den konsekvensbedömningen avseende dataskydd. 5. AI-byrån ska utarbeta en mall för ett frågeformulär, inbegripet genom ett automatiserat verktyg, för att underlätta för tillhandahållare att på ett förenklat sätt fullgöra sina skyldigheter enligt denna artikel. AVSNITT 4 Anmälande myndigheter och anmälda organ Artikel 28 Anmälande myndigheter 1. Varje medlemsstat ska utse eller inrätta minst en anmälande myndighet med ansvar för att fastställa och genomföra de förfaranden som krävs för bedömning, utseende och anmälan av organ för bedömning av överensstämmelse och för övervakning av dessa. Dessa förfaranden ska utvecklas i samarbete mellan de anmälande myndigheterna i alla medlemsstater. 2. Medlemsstaterna får bestämma att den bedömning och övervakning som avses i punkt 1 ska utföras av ett nationellt ackrediteringsorgan i den mening som avses i, och i enlighet med, förordning (EG) nr 765/2008. 3. Anmälande myndigheter ska vara inrättade och organiserade och fungera på ett sådant sätt att det inte uppstår någon intressekonflikt med organen för bedömning av överensstämmelse och att det garanteras att deras verksamhet är objektiv och opartisk. 4. Anmälande myndigheter ska vara organiserade på ett sådant sätt att beslut som rör anmälan av organ för bedömning av överensstämmelse fattas av annan behörig personal än den som har gjort bedömningen av dessa organ. 5. Anmälande myndigheter får varken erbjuda eller utföra sådan verksamhet som utförs av organ för bedömning av överensstämmelse eller erbjuda eller utföra konsulttjänster på kommersiell eller konkurrensmässig grund. 6. Anmälande myndigheter ska säkerställa att den information som de erhåller behandlas konfidentiellt, i enlighet med artikel 78. 7. Anmälande myndigheter ska förfoga över tillräckligt med personal med lämplig kompetens för att kunna utföra sina uppgifter. Kompetent personal ska, i tillämpliga fall, ha nödvändig sakkunskap med tanke på sin funktion, på områden som informationsteknik, AI och juridik, inbegripet övervakning av grundläggande rättigheter. Artikel 29 Ansökan om anmälan från ett organ för bedömning av överensstämmelse 1. Organ för bedömning av överensstämmelse ska lämna in en ansökan om anmälan till den anmälande myndigheten i den medlemsstat där de är etablerade. 901 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 2. Ansökan om anmälan ska åtföljas av en beskrivning av de bedömningar av överensstämmelse, den eller de moduler för bedömning av överensstämmelse och de typer av AI-system som organet för bedömning av överensstämmelse anser sig ha kompetens för samt ett ackrediteringsintyg, om sådant finns, som ska ha utfärdats av ett nationellt ackrediteringsorgan och i vilket det intygas att organet för bedömning av överensstämmelse uppfyller kraven i artikel 31. Alla giltiga dokument som rör fall av befintliga utseenden av det ansökande anmälda organet enligt annan unionsharmoniseringslagstiftning ska läggas till. 3. Om det berörda organet för bedömning av överensstämmelse inte kan uppvisa något ackrediteringsintyg ska det ge den anmälande myndigheten alla skriftliga underlag som krävs för kontroll, erkännande och regelbunden övervakning av att det uppfyller kraven i artikel 31. 4. För anmälda organ som utsetts enligt annan unionsharmoniseringslagstiftning får alla dokument och intyg kopplade till dessa fall av utseende användas som stöd för deras utseendeförfarande enligt denna förordning, beroende på vad som är lämpligt. Det anmälda organet ska uppdatera den dokumentation som avses i punkterna 2 och 3 i denna artikel när det sker relevanta ändringar, för att myndigheten med ansvar för anmälda organ ska kunna övervaka och kontrollera att samtliga krav som föreskrivs i artikel 31 alltid uppfylls. Artikel 30 Anmälningsförfarande 1. Anmälande myndigheter får endast anmäla de organ för bedömning av överensstämmelse som uppfyller kraven i artikel 31. 2. Anmälande myndigheter ska till kommissionen och övriga medlemsstater, med hjälp av det elektroniska anmälningsverktyg som har utvecklats och förvaltas av kommissionen, anmäla varje organ för bedömning av överensstämmelse som avses i punkt 1. 3. Den anmälan som avses i punkt 2 i denna artikel ska innehålla fullständiga uppgifter om bedömningarna av överensstämmelse, modulen eller modulerna för bedömning av överensstämmelse, de berörda typerna av AI-system samt ett relevant intyg om kompetens. Om en anmälan inte grundar sig på ett sådant ackrediteringsintyg som avses i artikel 29.2 ska den anmälande myndigheten ge kommissionen och övriga medlemsstater styrkande handlingar som visar att organet för bedömning av överensstämmelse har tillräcklig kompetens och att de system har inrättats som behövs för att säkerställa att organet övervakas regelbundet och fortsätter att uppfylla kraven i artikel 31. 4. Det berörda organet för bedömning av överensstämmelse får bedriva verksamhet som anmält organ endast om kommissionen och övriga medlemsstater inte har gjort några invändningar inom två veckor från en anmälan från en anmälande myndighet, i de fall ett ackrediteringsintyg enligt artikel 29.2 används, eller inom två månader från anmälan från den anmälande myndigheten, i de fall då styrkande handlingar som avses i artikel 29.3 används. 5. Om invändningar görs ska kommissionen utan dröjsmål inleda samråd med de berörda medlemsstaterna och organet för bedömning av överensstämmelse. Med beaktande av detta ska kommissionen besluta om tillståndet är motiverat eller inte. Kommissionen ska rikta sitt beslut till den berörda medlemsstaten och till det berörda organet för bedömning av överensstämmelse. Artikel 31 Krav avseende anmälda organ 1. Ett anmält organ ska inrättas enligt en medlemsstats nationella rätt och ska vara en juridisk person. 2. Anmälda organ ska uppfylla de organisatoriska krav och krav på kvalitetsstyrning, resurser och processer som är nödvändiga för att de ska kunna fullgöra sina uppgifter, samt lämpliga cybersäkerhetskrav. 3. Det anmälda organets organisationsstruktur, ansvarsfördelning, rapporteringsvägar och driftsätt ska säkerställa förtroende för dess prestationer och för resultaten av de aktiviteter avseende bedömning av överensstämmelse som det anmälda organet bedriver. 902 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 4. Anmälda organ ska vara oberoende av den leverantör av AI-system med hög risk som är föremål för dess bedömning av överensstämmelse. Anmälda organ ska också vara oberoende av varje annan operatör som har ett ekonomiskt intresse i AI-system med hög risk som bedöms samt av eventuella konkurrenter till leverantören. Detta hindrar inte att bedömda AI-system med hög risk som är nödvändiga för verksamheten inom organet för bedömning av överensstämmelse används, eller att sådana AI-system med hög risk används för personligt bruk. 5. Varken ett organ för bedömning av överensstämmelse, dess högsta ledning eller den personal som ansvarar för att utföra bedömningen av överensstämmelse får vara direkt delaktig i konstruktionen, utvecklingen, saluföringen eller användningen av AI-system med hög risk, och de får inte heller företräda de parter som bedriver sådan verksamhet. De får inte delta i någon verksamhet som kan påverka deras objektivitet eller integritet i samband med den bedömning av överensstämmelse för vilken de har anmälts. Detta ska särskilt gälla konsulttjänster. 6. Anmälda organ ska vara organiserade och drivas på ett sådant sätt att deras verksamhet är oberoende, objektiv och opartisk. Anmälda organ ska dokumentera och genomföra en struktur och förfaranden som garanterar opartiskheten och främjar och tillämpar principerna om opartiskhet i hela organisationen, hos alla anställda och i all bedömningsverksamhet. 7. Anmälda organ ska ha infört dokumenterade förfaranden som ska säkerställa att deras personal, kommittéer, dotterbolag, underentreprenörer och andra associerade organ eller personal vid externa organ i enlighet med artikel 78 upprätthåller konfidentialiteten för den information som organen får kännedom om i samband med bedömning av överensstämmelse, utom när informationen måste lämnas ut enligt lag. De anmälda organens personal ska omfattas av tystnadsplikt i fråga om all information som de erhåller under utförandet av sina uppgifter enligt denna förordning, utom gentemot de anmälande myndigheterna i den medlemsstat där deras verksamhet utförs. 8. Anmälda organ ska ha förfaranden som gör det möjligt för organet att utöva sin verksamhet med vederbörlig hänsyn tagen till en leverantörs storlek, sektor och struktur samt det berörda AI-systemets komplexitet. 9. Anmälda organ ska teckna en lämplig ansvarsförsäkring för sin verksamhet avseende bedömningar av överensstämmelse, såvida inte den medlemsstat i vilken de är etablerade tar på sig ansvaret i överensstämmelse med nationell rätt eller den medlemsstaten är direkt ansvarig för bedömningen av överensstämmelse. 10. Anmälda organ ska kunna utföra alla sina uppgifter enligt denna förordning med största möjliga yrkesmässiga integritet och nödvändig kompetens på det specifika området, oavsett om dessa uppgifter utförs av de anmälda organen själva eller av annan part för deras räkning och under deras ansvar. 11. Anmälda organ ska ha tillräcklig intern kompetens för att effektivt kunna utvärdera de uppgifter som utförs av externa parter å organens vägnar. Det anmälda organet ska ha permanent tillgång till tillräcklig administrativ, teknisk, juridisk och vetenskaplig personal med erfarenhet av och kunskaper om de relevanta typerna av AI-system, relevanta data och relevant databehandling och om de krav som fastställs i avsnitt 2. 12. Anmälda organ ska delta i den samordningsverksamhet som avses i artikel 38. De ska också delta direkt, eller vara företrädda i, europeiska standardiseringsorganisationer, eller säkerställa att de är medvetna om och har aktuella kunskaper om relevanta standarder. Artikel 32 Presumtion om överensstämmelse med krav som rör anmälda organ För ett organ för bedömning av överensstämmelse som kan visa att det uppfyller kriterierna i de relevanta harmoniserade standarderna eller delar av dem, till vilka hänvisningar har offentliggjorts i Europeiska unionens officiella tidning, ska en presumtion om överensstämmelse med kraven i artikel 31 gälla, på villkor att dessa krav omfattas av de tillämpliga harmoniserade standarderna. 903 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 Artikel 33 Dotterbolag till anmälda organ och underentreprenad 1. Om det anmälda organet lägger ut specifika uppgifter med anknytning till bedömningen av överensstämmelse på underentreprenad eller anlitar ett dotterbolag ska det säkerställa att underentreprenören eller dotterbolaget uppfyller kraven i artikel 31 och informera den anmälande myndigheten om detta. 2. Anmälda organ ska ta det fulla ansvaret för de uppgifter som utförs av underentreprenörer eller dotterbolag. 3. Verksamhet får läggas ut på underentreprenad eller utföras av ett dotterbolag endast om leverantören samtycker till det. Anmälda organ ska offentliggöra en förteckning över sina dotterbolag. 4. De relevanta dokumenten rörande bedömningen av underentreprenörens eller dotterbolagets kvalifikationer och det arbete som dessa har utfört enligt denna förordning ska hållas tillgängliga för den anmälande myndigheten under en period av fem år från och med dagen för avslutandet av underentreprenaden. Artikel 34 Anmälda organs operativa skyldigheter 1. Anmälda organ ska kontrollera överensstämmelsen hos AI-system med hög risk i enlighet med de förfaranden för bedömning av överensstämmelse som föreskrivs i artikel 43. 2. Anmälda organ ska motverka uppkomsten av onödiga administrativa bördor för leverantörer när de utövar sin verksamhet och ta vederbörlig hänsyn till en leverantörs storlek, den sektor där denna är verksam, dess struktur samt komplexiteten i det berörda AI-systemet med hög risk, särskilt i syfte att minimera de administrativa bördorna och efterlevnadskostnaderna för mikroföretag och småföretag i den mening som avses i rekommendation 2003/361/EG. Det anmälda organet ska emellertid respektera den grad av noggrannhet och den skyddsnivå som krävs för att AI-systemet med hög risk ska överensstämma med kraven i denna förordning. 3. Anmälda organ ska tillhandahålla och på begäran lämna över all relevant dokumentation, inbegripet leverantörens dokumentation, till den anmälande myndighet som avses i artikel 28, så att denna myndighet kan utföra sin verksamhet avseende bedömning, utseende, anmälan och övervakning och för att underlätta den bedömning som beskrivs i detta avsnitt. Artikel 35 Identifikationsnummer och förteckningar över anmälda organ 1. Kommissionen ska tilldela varje anmält organ ett enda identifikationsnummer, även om ett organ anmäls enligt mer än en unionsakt. 2. Kommissionen ska offentliggöra förteckningen över de organ som anmälts enligt denna förordning, inklusive deras identifikationsnummer och den verksamhet som de har anmälts för. Kommissionen ska säkerställa att förteckningen hålls uppdaterad. Artikel 36 Ändringar i anmälan 1. Den anmälande myndigheten ska underrätta kommissionen och övriga medlemsstater om alla relevanta ändringar beträffande anmälan av ett anmält organ via det elektroniska anmälningsverktyg som avses i artikel 30.2. 2. De förfaranden som föreskrivs i artiklarna 29 och 30 ska tillämpas på utvidgningar av anmälans tillämpningsområde. När det gäller andra ändringar av anmälan än utvidgningar av dess tillämpningsområde ska de förfaranden som fastställs i punkterna 3–9 tillämpas. 904 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 3. Om ett anmält organ beslutar att upphöra med sin verksamhet avseende bedömning av överensstämmelse, ska det så snart som möjligt och, om upphörandet är planerat, minst ett år innan det upphör med verksamheten underrätta den anmälande myndigheten och de berörda leverantörerna om detta. Det anmälda organets intyg får förbli giltiga under en period på nio månader efter det att det anmälda organets verksamhet upphört på villkor att ett annat anmält organ skriftligen har bekräftat att det kommer att åta sig ansvaret för de AI-system med hög risk som omfattas av intygen. Det sistnämnda anmälda organet ska utföra en fullständig bedömning av de AI-system med hög risk det gäller före utgången av denna niomånadersperiod, innan det utfärdar nya intyg för dem. Om det anmälda organet har upphört med sin verksamhet ska den anmälande myndigheten återkalla utseendet. 4. Om en anmälande myndighet har tillräckliga skäl att anse att ett anmält organ inte längre uppfyller de krav som anges i artikel 31 eller att det underlåter att fullgöra sina skyldigheter, ska den anmälande myndigheten utan dröjsmål undersöka frågan med största möjliga omsorg. I detta sammanhang ska den anmälande myndigheten underrätta det berörda anmälda organet om de invändningar som framförts och ge det möjlighet att framföra sina synpunkter. Om den anmälande myndigheten drar slutsatsen att ett anmält organ inte längre uppfyller de krav som anges i artikel 31 eller att det underlåter att fullgöra sina skyldigheter, ska den anmälande myndigheten, beroende på hur allvarlig underlåtenheten att uppfylla kraven eller fullgöra skyldigheterna är, begränsa utseendet, tillfälligt återkalla det eller återkalla det slutgiltigt beroende på vad som är lämpligt. Myndigheten ska omedelbart informera kommissionen och de andra medlemsstaterna om detta. 5. Om utseendet av ett anmält organ har återkallats tillfälligt eller begränsats, eller helt eller delvis återkallats slutgiltigt, ska det anmälda organet underrätta de berörda leverantörerna inom tio dagar. 6. I händelse av begränsningar eller tillfällig eller slutgiltig återkallelse av ett utseende ska den anmälande myndigheten vidta lämpliga åtgärder för att säkerställa att det berörda anmälda organets dokumentation bevaras och göra den tillgänglig för de anmälande myndigheterna i andra medlemsstater och för marknadskontrollmyndigheterna på deras begäran. 7. I händelse av begränsningar eller tillfällig eller slutgiltig återkallelse av ett utseende ska den anmälande myndigheten a) bedöma påverkan på de intyg som det anmälda organet har utfärdat, b) överlämna en rapport om sina iakttagelser till kommissionen och de andra medlemsstaterna senast tre månader efter att ha anmält ändringarna av utseendet, c) ålägga det anmälda organet att, inom en rimlig tid som myndigheten fastställer, tillfälligt eller slutgiltigt dra tillbaka intyg som utfärdats på felaktiga grunder för att säkerställa fortsatt överensstämmelse för AI-system med hög risk på marknaden, d) informera kommissionen och medlemsstaterna om intyg som den har krävt ska dras tillbaka tillfälligt eller slutgiltigt, e) förse de nationella behöriga myndigheterna i den medlemsstat där leverantören har sitt säte med all relevant information om de intyg den har krävt ska dras tillbaka tillfälligt eller slutgiltigt. Denna myndighet ska vidta lämpliga åtgärder, om så är nödvändigt för att undvika en potentiell risk för hälsa, säkerhet eller grundläggande rättigheter. 8. Med undantag för intyg som utfärdats på felaktiga grunder, och om ett utseende har återkallats tillfälligt eller begränsats, ska intygen vara fortsatt giltiga i något av följande fall: a) Om den anmälande myndigheten inom en månad från den tillfälliga återkallelsen eller begränsningarna har bekräftat att det inte finns någon risk för hälsa, säkerhet eller grundläggande rättigheter när det gäller intyg som berörs av den tillfälliga återkallelsen eller begränsningarna, och den anmälande myndigheten har angett en tidsfrist för åtgärder som ska leda till att den tillfälliga återkallelsen eller begränsningarna hävs. b) Om den anmälande myndigheten har bekräftat att inga intyg av betydelse för den tillfälliga återkallelsen ska utfärdas, ändras eller utfärdas på nytt under den tid som den tillfälliga återkallelsen eller begränsningarna gäller, och anger huruvida det anmälda organet har kapacitet att fortsätta att övervaka och ansvara för de befintliga intyg som utfärdats för den period som den tillfälliga återkallelsen eller begränsningarna gäller. Om den anmälande myndigheten fastställer att det anmälda organet inte har kapacitet att upprätthålla befintliga utfärdade intyg, ska leverantören av det system som omfattas av intyget inom tre månader efter den tillfälliga återkallelsen eller begränsningarna skriftligen bekräfta för de nationella behöriga myndigheterna i den medlemsstat där leverantören har sitt säte att ett annat kvalificerat anmält organ tillfälligt tar på sig det anmälda organets uppgifter att övervaka och fortsätta att ansvara för intygen under den tid som den tillfälliga återkallelsen eller begränsningarna gäller. 905 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 9. Med undantag för intyg som utfärdats på felaktiga grunder och fall där ett utseende har återkallats ska intygen fortsätta att vara giltiga i nio månader under följande omständigheter: a) Den nationella behöriga myndigheten i den medlemsstat där leverantören av det AI-system med hög risk som omfattas av intyget har sitt säte har bekräftat att det inte finns någon risk för hälsa, säkerhet eller grundläggande rättigheter i samband med de berörda AI-systemen med hög risk. b) Ett annat anmält organ har bekräftat skriftligen att det omedelbart kommer att åta sig ansvaret för dessa AI-system och att det slutför sin bedömning inom tolv månader från det att utseendet har återkallats slutgiltigt. Under de omständigheter som avses i första stycket får den nationella behöriga myndigheten i den medlemsstat där leverantören av det system som omfattas av intyget har sitt säte förlänga intygens provisoriska giltighet med ytterligare perioder av tre månader i taget, dock längst i tolv månader sammanlagt. Den nationella behöriga myndighet eller det anmälda organ som tagit på sig de uppgifter som skulle utföras av det anmälda organ som berörs av ändringen av utseendet ska omedelbart informera kommissionen, de andra medlemsstaterna och de andra anmälda organen om ändringen av dessa uppgifter. Artikel 37 Ifrågasättande av anmälda organs kompetens 1. Kommissionen ska vid behov undersöka alla fall där det finns skäl att betvivla att ett anmält organ har tillräcklig kompetens eller att ett anmält organ fortsätter att uppfylla kraven i artikel 31 och fullgöra sitt tillämpliga ansvar. 2. Den anmälande myndigheten ska på begäran ge kommissionen all relevant information om anmälan eller upprätthållandet av det berörda anmälda organets kompetens. 3. Kommissionen ska säkerställa att all känslig information som den erhåller under sina undersökningar enligt denna artikel behandlas konfidentiellt i enlighet med artikel 78. 4. Om kommissionen konstaterar att ett anmält organ inte uppfyller eller inte längre uppfyller kraven för anmälan ska den informera den anmälande medlemsstaten om detta och anmoda den att vidta nödvändiga korrigerande åtgärder, inbegripet att om så är nödvändigt återkalla anmälan tillfälligt eller slutgiltigt. Om medlemsstaten inte vidtar nödvändiga korrigerande åtgärder får kommissionen genom en genomförandeakt begränsa utseendet eller återkalla det tillfälligt eller slutgiltigt. Den genomförandeakten ska antas i enlighet med det granskningsförfarande som avses i artikel 98.2. Artikel 38 Samordning av anmälda organ 1. Kommissionen ska för AI-system med hög risk säkerställa att lämplig samordning och ett lämpligt samarbete införs mellan de anmälda organ som är verksamma i förfaranden för bedömning av överensstämmelse enligt denna förordning och att samordningen och samarbetet bedrivs på ett tillfredsställande sätt genom en sektorsspecifik grupp av anmälda organ. 2. Varje anmälande myndighet ska säkerställa att de organ som den har anmält deltar i arbetet i en grupp som avses i punkt 1 direkt eller genom utsedda representanter. 3. Kommissionen ska se till att det förekommer utbyte av kunskap och bästa praxis mellan anmälande myndigheter. 906 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 Artikel 39 Organ för bedömning av överensstämmelse i tredjeländer Organ för bedömning av överensstämmelse som inrättats enligt ett tredjelands rätt med vilket unionen har ingått ett avtal får bemyndigas att utföra den verksamhet som bedrivs av anmälda organ enligt denna förordning, förutsatt att de uppfyller kraven i artikel 31 eller säkerställer en likvärdig nivå av överensstämmelse. AVSNITT 5 Standarder, bedömning av överensstämmelse, intyg, registrering Artikel 40 Harmoniserade standarder och standardiseringsprodukter 1. AI-system med hög risk eller AI-modeller för allmänna ändamål som överensstämmer med harmoniserade standarder eller delar av dem till vilka hänvisningar har offentliggjorts i Europeiska unionens officiella tidning i enlighet med förordning (EU) nr 1025/2012, ska förutsättas överensstämma med de krav som fastställs i avsnitt 2 i detta kapitel eller, i tillämpliga fall, skyldigheterna i kapitel V avsnitten 2 och 3 i den här förordningen, i den utsträckning som de standarderna omfattar dessa krav eller skyldigheter. 2. I enlighet med artikel 10 i förordning (EU) nr 1025/2012 ska kommissionen utan oskäligt dröjsmål utfärda begäranden om standardisering som omfattar alla krav i avsnitt 2 i detta kapitel och, i tillämpliga fall, begäranden om standardisering som omfattar skyldigheterna i kapitel V avsnitten 2 och 3 i den här förordningen. I begäran om standardisering ska det också begäras produkter för rapporterings- och dokumentationsprocesser i syfte att förbättra AI-systemens resursprestanda, till exempel genom att minska förbrukningen av energi och andra resurser hos AI-systemet med hög risk under dess livscykel, och för energieffektiv utveckling av AI-modeller för allmänna ändamål. När kommissionen utarbetar en begäran om standardisering ska den samråda med styrelsen och relevanta berörda parter, inklusive det rådgivande forumet. När kommissionen utfärdar en begäran om standardisering till europeiska standardiseringsorganisationer ska den ange att standarderna måste vara tydliga, samstämmiga, inbegripet med de standarder som utvecklas i de olika sektorerna för produkter som omfattas av den befintliga unionsharmoniseringslagstiftning som förtecknas i bilaga I, och syfta till att säkerställa att AI-system med hög risk eller AI-modeller för allmänna ändamål som släpps ut på marknaden eller tas i bruk i unionen uppfyller relevanta krav eller skyldigheter i denna förordning. Kommissionen ska kräva att de europeiska standardiseringsorganisationerna påvisar att de har gjort sitt yttersta för att uppnå de mål som avses i första och andra styckena i denna punkt i enlighet med artikel 24 i förordning (EU) nr 1025/2012. 3. Deltagarna i standardiseringsprocessen ska sträva efter att främja investeringar och innovation inom AI, inbegripet genom ökad rättssäkerhet, samt konkurrenskraften och tillväxten på unionsmarknaden, att bidra till att stärka det globala samarbetet om standardisering och ta hänsyn till befintliga internationella standarder på AI-området som är förenliga med unionens värden, grundläggande rättigheter och intressen, och att stärka flerpartsstyrningen i syfte att säkerställa en balanserad representation av intressen och ett faktiskt deltagande av alla relevanta berörda parter i enlighet med artiklarna 5, 6 och 7 i förordning (EU) nr 1025/2012. Artikel 41 Gemensamma specifikationer 1. Kommissionen får anta genomförandeakter om fastställande av gemensamma specifikationer för de krav som anges i avsnitt 2 i detta kapitel eller, i tillämpliga fall, för de skyldigheter som anges i kapitel V avsnitten 2 och 3, om följande villkor är uppfyllda: a) Kommissionen har enligt artikel 10.1 i förordning (EU) nr 1025/2012 begärt att en eller flera europeiska standardiseringsorganisationer ska utarbeta en harmoniserad standard för de krav som anges i avsnitt 2 i detta kapitel eller, i tillämpliga fall, för de skyldigheter som anges i kapitel V avsnitten 2 och 3, och i) begäran har inte godtagits av någon av de europeiska standardiseringsorganisationerna, eller 907 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 ii) de harmoniserade standarder som tillgodoser begäran har inte lämnats inom den tidsfrist som fastställts i enlighet med artikel 10.1 i förordning (EU) nr 1025/2012, eller iii) de relevanta harmoniserade standarderna tar inte i tillräckligt hög grad hänsyn till frågor som rör grundläggande rättigheter, eller iv) de harmoniserade standarderna överensstämmer inte med begäran, och b) ingen hänvisning till harmoniserade standarder som omfattar de krav som anges i avsnitt 2 i detta kapitel eller, i tillämpliga fall, de skyldigheter som anges i kapitel V avsnitten 2 och 3, har offentliggjorts i Europeiska unionens officiella tidning i enlighet med förordning (EU) nr 1025/2012, och ingen sådan hänvisning förväntas offentliggöras inom rimlig tid. Vid utarbetandet av de gemensamma specifikationerna ska kommissionen samråda med det rådgivande forum som avses i artikel 67. De genomförandeakter som avses i första stycket i denna punkt ska antas i enlighet med det granskningsförfarande som avses i artikel 98.2. 2. Innan kommissionen utarbetar ett utkast till genomförandeakt ska den informera den kommitté som avses i artikel 22 i förordning (EU) nr 1025/2012 om att den anser att villkoren i punkt 1 i den här artikeln är uppfyllda. 3. AI-system med hög risk eller AI-modeller för allmänna ändamål som överensstämmer med de gemensamma specifikationer som avses i punkt 1, eller delar av dessa specifikationer, ska förutsättas överensstämma med de krav som anges i avsnitt 2 i detta kapitel eller, i tillämpliga fall, fullgöra de skyldigheter som anges i kapitel V avsnitten 2 och 3, i den omfattning som de gemensamma specifikationerna omfattar dessa krav eller skyldigheter. 4. Om en harmoniserad standard antas av en europeisk standardiseringsorganisation och föreslås för kommissionen för offentliggörande av hänvisningen till den i Europeiska unionens officiella tidning, ska kommissionen bedöma den harmoniserade standarden i enlighet med förordning (EU) nr 1025/2012. När en hänvisning till en harmoniserad standard offentliggörs i Europeiska unionens officiella tidning ska kommissionen upphäva de genomförandeakter som avses i punkt 1, eller delar av dem som omfattar samma krav som anges i avsnitt 2 i detta kapitel eller, i tillämpliga fall, samma skyldigheter som anges i kapitel V avsnitten 2 och 3. 5. Om leverantörer av AI-system med hög risk eller AI-modeller för allmänna ändamål inte följer de gemensamma specifikationer som avses i punkt 1 ska de vederbörligen motivera att de har antagit tekniska lösningar som uppfyller de krav som anges i avsnitt 2 i detta kapitel eller, i tillämpliga fall, fullgör de skyldigheter som anges i kapitel V avsnitten 2 och 3, till en nivå som åtminstone är likvärdig med dem. 6. Om en medlemsstat anser att en gemensam specifikation inte helt uppfyller de krav som anges i avsnitt 2 eller, i tillämpliga fall, de skyldigheter som anges i kapitel V avsnitten 2 och 3, ska den underrätta kommissionen om detta med en detaljerad förklaring. Kommissionen ska bedöma denna information och när så är lämpligt ändra genomförandeakten om fastställande av den berörda gemensamma specifikationen. Artikel 42 Presumtion om överensstämmelse med vissa krav 1. AI-system med hög risk som har tränats och testats på data som återspeglar den specifika geografiska, beteendemässiga, kontextuella eller funktionella miljö inom vilken de är avsedda att användas ska förutsättas uppfylla de relevanta kraven i artikel 10.4. 2. AI-system med hög risk som har certifierats, eller för vilka en försäkran om överensstämmelse har utfärdats inom ramen för en ordning för cybersäkerhetscertifiering enligt förordning (EU) 2019/881, och till vilka hänvisningar har offentliggjorts i Europeiska unionens officiella tidning, ska förutsättas uppfylla de cybersäkerhetskrav som anges i artikel 15 i den här förordningen, förutsatt att cybersäkerhetscertifikatet eller försäkran om överensstämmelse eller delar därav omfattar dessa krav. 908 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 Artikel 43 Bedömning av överensstämmelse 1. För AI-system med hög risk som förtecknas i punkt 1 i bilaga III ska leverantören, när den vill visa att ett AI-system med hög risk uppfyller kraven i avsnitt 2 och den har tillämpat de harmoniserade standarder som avses i artikel 40 eller, i tillämpliga fall, de gemensamma specifikationer som avses i artikel 41, välja ett av följande förfaranden för bedömning av överensstämmelse grundat på a) intern kontroll som avses i bilaga VI, eller b) en bedömning av kvalitetsstyrningssystemet och en bedömning av den tekniska dokumentationen, med deltagande av ett anmält organ, som avses i bilaga VII. När leverantören vill visa att ett AI-system med hög risk uppfyller de krav som fastställs i avsnitt 2 ska leverantören följa det förfarande för bedömning av överensstämmelse som fastställs i bilaga VII i följande fall: a) De harmoniserade standarder som avses i artikel 40 saknas, och de gemensamma specifikationer som avses i artikel 41 är inte tillgängliga. b) Leverantören har inte tillämpat eller har endast tillämpat en del av den harmoniserade standarden. c) De gemensamma specifikationer som avses i led a finns men leverantören har inte tillämpat dem. d) En eller flera av de harmoniserade standarder som avses i led a har offentliggjorts med en begränsning och endast för den del av standarden som begränsades. För det förfarande för bedömning av överensstämmelse som avses i bilaga VII får leverantören välja vilket av de anmälda organen som helst. Om AI-systemet med hög risk är avsett att tas i bruk av brottsbekämpande myndigheter, migrationsmyndigheter eller asylmyndigheter eller av unionens institutioner, organ eller byråer ska dock den marknadskontrollmyndighet som avses i artikel 74.8 eller 74.9, beroende på vad som är tillämpligt, fungera som anmält organ. 2. För de AI-system med hög risk som avses i punkterna 2–8 i bilaga III ska leverantörer följa det förfarande för bedömning av överensstämmelse grundat på intern kontroll som avses i bilaga VI, vilket inte föreskriver att ett anmält organ ska delta. 3. För AI-system med hög risk som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I ska leverantören följa det relevanta förfarande för bedömning av överensstämmelse som krävs enligt dessa rättsakter. Kraven i avsnitt 2 i detta kapitel ska tillämpas på de AI-systemen med hög risk och ska ingå i den bedömningen. Punkterna 4.3, 4.4 och 4.5 och punkt 4.6 femte stycket i bilaga VII ska också tillämpas. Vid denna bedömning ska anmälda organ som har anmälts enligt de rättsakterna ha rätt att kontrollera att AI-systemen med hög risk överensstämmer med kraven i avsnitt 2, förutsatt att dessa anmälda organs överensstämmelse med kraven i artikel 31.4, 31.5, 31.10 och 31.11 har bedömts i samband med anmälningsförfarandet inom ramen för dessa rättsakter. Om en rättsakt som förtecknas i avsnitt A i bilaga I gör det möjligt för produkttillverkaren att välja att inte delta i en tredjepartsbedömning av överensstämmelse får tillverkaren, om den har tillämpat alla harmoniserade standarder som omfattar alla relevanta krav, använda detta alternativ endast om den också har tillämpat harmoniserade standarder eller, i tillämpliga fall, de gemensamma specifikationer som avses i artikel 41, som omfattar samtliga krav som anges i avsnitt 2 i detta kapitel. 4. AI-system med hög risk som redan har varit föremål för ett förfarande för bedömning av överensstämmelse ska genomgå ett nytt förfarande för bedömning av överensstämmelse i fall av en väsentlig ändring, oavsett om det ändrade systemet är avsett att distribueras vidare eller fortsätter att användas av den nuvarande tillhandahållaren. När det gäller AI-system med hög risk som fortsätter att lära sig efter att det har släppts ut på marknaden eller tagits i bruk, ska sådana ändringar av AI-systemet med hög risk och dess prestanda som leverantören på förhand har fastställt vid tidpunkten för den inledande bedömningen av överensstämmelse och som är en del av den information som ingår i den tekniska dokumentation som avses i punkt 2 f i bilaga IV inte utgöra en väsentlig ändring. 5. Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 97 för att ändra bilagorna VI och VII genom att uppdatera dem mot bakgrund av teknisk utveckling. 909 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 6. Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 97 för att ändra punkterna 1 och 2 i den här artikeln i syfte att låta de AI-system med hög risk som avses i punkterna 2–8 i bilaga III omfattas av det förfarande för bedömning av överensstämmelse som avses i bilaga VII eller delar därav. Kommissionen ska anta sådana delegerade akter med beaktande av hur ändamålsenligt förfarandet för bedömning av överensstämmelse grundat på intern kontroll enligt bilaga VI är när det gäller att förebygga eller minimera de risker för hälsa, säkerhet och skyddet av grundläggande rättigheter som sådana system medför samt vilken tillgång det finns till tillräcklig kapacitet och tillräckliga resurser bland anmälda organ. Artikel 44 Intyg 1. De intyg som anmälda organ utfärdar i enlighet med bilaga VII ska vara upprättade på ett språk som är lätt att förstå för de relevanta myndigheterna i den medlemsstat där det anmälda organet är etablerat. 2. Intyg ska gälla under den tid som anges i dem och högst i fem år för AI-system som omfattas av bilaga I, och fyra år för AI-system som omfattas av bilaga III. På begäran av leverantören får intygets giltighet förlängas med högst fem år i taget för AI-system som omfattas av bilaga I, och fyra år för AI-system som omfattas av bilaga III, på grundval av en ny bedömning i enlighet med det tillämpliga förfarandet för bedömning av överensstämmelse. Eventuella tillägg till ett intyg ska vara giltiga, förutsatt att intyget är giltigt. 3. Om ett anmält organ konstaterar att ett AI-system inte längre uppfyller de krav som fastställs i avsnitt 2, ska det, med beaktande av proportionalitetsprincipen, tillfälligt eller slutligt återkalla det utfärdade intyget eller införa begränsningar för det, om det inte säkerställs att dessa krav uppfylls genom att systemleverantören vidtar lämpliga korrigerande åtgärder inom en rimlig tidsgräns som fastställts av det anmälda organet. Det anmälda organet ska motivera sitt beslut. Det ska finnas ett förfarande för överklagande av de anmälda organens beslut, inbegripet om utfärdade intyg om överensstämmelse. Artikel 45 Anmälda organs informationsskyldighet 1. Anmälda organ ska informera den anmälande myndigheten om följande: a) Alla eventuella unionsintyg om bedömning av teknisk dokumentation, tillägg till dessa intyg samt godkännanden av kvalitetsstyrningssystem som utfärdats i enlighet med kraven i bilaga VII. b) Eventuella avslag, begränsningar, tillfälliga återkallelser eller tillbakadraganden av ett unionsintyg om bedömning av teknisk dokumentation eller av ett godkännande av kvalitetsstyrningssystem som utfärdats i enlighet med kraven i bilaga VII. c) Omständigheter som inverkar på omfattningen av eller villkoren för anmälan. d) Begäranden från marknadskontrollmyndigheterna om information om bedömningar av överensstämmelse. e) På begäran, bedömningar av överensstämmelse som gjorts inom ramen för anmälan och all annan verksamhet, inklusive gränsöverskridande verksamhet och underentreprenad. 2. Varje anmält organ ska underrätta de övriga anmälda organen om följande: a) Godkännanden av kvalitetsstyrningssystem som det har vägrat utfärda eller tillfälligt återkallat eller dragit tillbaka och, på begäran, godkännanden av kvalitetsstyrningssystem som det har utfärdat. b) Unionsintyg om bedömning av teknisk dokumentation eller tillägg till dessa intyg som det har avslagit, tillfälligt återkallat eller dragit tillbaka eller på annat sätt begränsat och, på begäran, de intyg och/eller tillägg till dessa som det har utfärdat. 910 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 3. Varje anmält organ ska ge de andra anmälda organ som utför liknande bedömningar av överensstämmelse avseende samma typer av AI-system relevant information om frågor som rör negativa och, på begäran, positiva resultat av bedömningar av överensstämmelse. 4. Anmälda organ ska säkerställa att den information som de erhåller behandlas konfidentiellt, i enlighet med artikel 78. Artikel 46 Undantag från förfarandena för bedömning av överensstämmelse 1. Genom undantag från artikel 43 och på vederbörligen motiverad begäran får varje marknadskontrollmyndighet, av exceptionella skäl som rör allmän säkerhet eller skydd av människors liv och hälsa, miljöskydd eller skydd av viktiga industriella och infrastrukturella tillgångar, tillåta att specifika AI-system med hög risk släpps ut på marknaden eller tas i bruk inom den berörda medlemsstatens territorium. Tillståndet ska gälla under en begränsad period, medan de nödvändiga förfarandena för bedömning av överensstämmelse genomförs, med beaktande av de exceptionella skäl som motiverar undantaget. Dessa förfaranden ska slutföras utan oskäligt dröjsmål. 2. I en vederbörligen motiverad brådskande situation får brottsbekämpande myndigheter eller civilskyddsmyndigheter av exceptionella skäl som rör allmän säkerhet eller vid ett specifikt, betydande och överhängande hot mot fysiska personers liv eller fysiska säkerhet ta ett specifikt AI-system med hög risk i bruk utan det tillstånd som avses i punkt 1, förutsatt att ett sådant tillstånd begärs under eller efter användningen utan oskäligt dröjsmål. Om det tillstånd som avses i punkt 1 nekas ska användningen av AI-systemet med hög risk avbrytas med omedelbar verkan, och alla resultat och utdata från sådan användning ska omedelbart kasseras. 3. Det tillstånd som avses i punkt 1 ska utfärdas endast om marknadskontrollmyndigheten konstaterar att AI-systemet med hög risk uppfyller kraven i avsnitt 2. Marknadskontrollmyndigheten ska informera kommissionen och de andra medlemsstaterna om eventuella tillstånd som utfärdats enligt punkterna 1 och 2. Denna skyldighet omfattar inte känsliga operativa uppgifter som rör de brottsbekämpande myndigheternas verksamhet. 4. Tillståndet ska anses vara motiverat om ingen medlemsstat eller kommissionen har gjort någon invändning inom 15 kalenderdagar från mottagandet av den information som avses i punkt 3 om ett tillstånd utfärdat av en marknadskon- trollmyndighet i en medlemsstat i enlighet med punkt 1. 5. Om en medlemsstat inom 15 kalenderdagar från mottagandet av den anmälan som avses i punkt 3 gör en invändning mot ett tillstånd som utfärdats av en marknadskontrollmyndighet i en annan medlemsstat, eller om kommissionen anser att tillståndet strider mot unionsrätten, eller att medlemsstatens slutsats om systemets överensstämmelse som avses i punkt 3 är ogrundad, ska kommissionen utan dröjsmål inleda samråd med den berörda medlemsstaten. De berörda operatörerna ska rådfrågas och ha möjlighet att framföra sina åsikter. Med beaktande av detta ska kommissionen besluta om tillståndet är motiverat eller inte. Kommissionen ska rikta sitt beslut till den berörda medlemsstaten och till de berörda operatörerna. 6. Om kommissionen anser att tillståndet är omotiverat ska det dras tillbaka av den berörda medlemsstatens marknadskontrollmyndighet. 7. För AI-system med hög risk som är relaterade till produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I ska endast de undantag från bedömningen av överensstämmelse som fastställs i den unionsharmoniseringslagstiftningen tillämpas. Artikel 47 EU-försäkran om överensstämmelse 1. Leverantören ska upprätta en skriftlig maskinläsbar, fysisk eller elektroniskt undertecknad EU-försäkran om överensstämmelse för varje AI-system med hög risk och kunna uppvisa den för de nationella behöriga myndigheterna i tio år efter det att AI-systemet med hög risk har släppts ut på marknaden eller tagits i bruk. I EU-försäkran om överensstämmelse ska det anges för vilket AI-system med hög risk den har upprättats. En kopia av EU-försäkran om överensstämmelse ska på begäran lämnas in till de berörda nationella behöriga myndigheterna. 911 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 2. I EU-försäkran om överensstämmelse ska det anges att det berörda AI-systemet med hög risk uppfyller kraven i avsnitt 2. EU-försäkran om överensstämmelse ska innehålla den information som anges i bilaga V och ska översättas till ett språk som är lätt att förstå för de nationella behöriga myndigheterna i de medlemsstater där AI-systemet med hög risk släpps ut på marknaden eller tillhandahålls. 3. Om AI-system med hög risk omfattas av annan unionsharmoniseringslagstiftning som också kräver en EU-försäkran om överensstämmelse ska en enda EU-försäkran om överensstämmelse upprättas med avseende på all unionsrätt som är tillämplig på AI-systemet med hög risk. Försäkran ska innehålla all information som krävs för att identifiera vilken unionsharmoniseringslagstiftning som försäkran gäller. 4. Genom att upprätta EU-försäkran om överensstämmelse ska leverantören ta på sig ansvaret för att kraven i avsnitt 2 uppfylls. Leverantören ska hålla EU-försäkran om överensstämmelse uppdaterad på lämpligt sätt. 5. Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 97 i för att ändra bilaga V genom att uppdatera innehållet i den EU-försäkran om överensstämmelse som anges i den bilagan, för att introducera element som blir nödvändiga mot bakgrund av teknisk utveckling. Artikel 48 CE-märkning 1. CE-märkningen ska omfattas av de allmänna principer som fastställs i artikel 30 i förordning (EG) nr 765/2008. 2. För AI-system med hög risk som tillhandahålls digitalt ska en digital CE-märkning användas endast om den lätt kan nås via det gränssnitt från vilket det systemet är tillgängligt eller via en lättillgänglig maskinläsbar kod eller andra elektroniska medel. 3. CE-märkningen ska anbringas på AI-system med hög risk så att den är synlig, läsbar och outplånlig. Om detta inte är möjligt eller lämpligt på grund av arten av AI-system med hög risk, ska märkningen anbringas på förpackningen eller den medföljande dokumentationen, beroende på vad som är lämpligt. 4. CE-märkningen ska i tillämpliga fall åtföljas av identifikationsnumret för det anmälda organ som ansvarar för de förfaranden för bedömning av överensstämmelse som föreskrivs i artikel 43. Det anmälda organets identifikationsnummer ska anbringas av organet självt eller, enligt organets anvisningar, av leverantören eller av leverantörens ombud. Identifikationsnumret ska också anges i reklammaterial där det nämns att AI-systemet med hög risk uppfyller kraven för CE-märkning. 5. Om AI-system med hög risk omfattas av annan unionsrätt som också föreskriver anbringande av CE-märkning ska CE-märkningen visa att AI-systemet med hög risk också uppfyller kraven i den andra lagstiftningen. Artikel 49 Registrering 1. Innan ett AI-system med hög risk som förtecknas i bilaga III, med undantag för AI-system med hög risk som avses i punkt 2 i bilaga III, släpps ut på marknaden eller tas i bruk ska leverantören eller, i tillämpliga fall, ombudet registrera sig självt och systemet i den EU-databas som avses i artikel 71. 2. Innan ett AI-system för vilket leverantören har fastställt att det inte är ett AI-system med hög risk enligt artikel 6.3 släpps ut på marknaden eller tas i bruk ska leverantören eller, i tillämpliga fall, ombudet registrera sig självt och detta system i den EU-databas som avses i artikel 71. 3. Innan ett AI-system med hög risk som förtecknas i bilaga III, med undantag för AI-system med hög risk som förtecknas i punkt 2 i bilaga III, tas i bruk eller används, ska tillhandahållare som är offentliga myndigheter, unionens institutioner, byråer eller organ eller personer som agerar på deras vägnar, registrera sig, välja systemet och registrera dess användning i den EU-databas som avses i artikel 71. 912 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 4. För AI-system med hög risk som avses i punkterna 1, 6 och 7 i bilaga III, på områdena brottsbekämpning, migration, asyl och gränskontrollförvaltning, ska den registrering som avses i punkterna 1, 2 och 3 i denna artikel vara i en säker, icke-offentlig del av den EU-databas som avses i artikel 71 och ska, beroende på vad som är tillämpligt, omfatta endast följande information som avses i a) avsnitt A punkterna 1–10 i bilaga VIII, med undantag för punkterna 6, 8 och 9, b) avsnitt B punkterna 1–5, 8 och 9 i bilaga VIII, c) avsnitt C punkterna 1–3 i bilaga VIII, d) punkterna 1, 2, 3 och 5 i bilaga IX. Endast kommissionen och de nationella myndigheter som avses i artikel 74.8 ska ha åtkomst till de respektive begränsade delar av EU-databasen som förtecknas i första stycket i denna punkt. 5. De AI-system med hög risk som avses i punkt 2 i bilaga III ska registreras på nationell nivå. KAPITEL IV TRANSPARENSSKYLDIGHETER FÖR LEVERANTÖRER OCH TILLHANDAHÅLLARE AV VISSA AI-SYSTEM Artikel 50 Transparensskyldigheter för leverantörer och tillhandahållare av vissa AI-system 1. Leverantörer ska säkerställa att AI-system som är avsedda att interagera direkt med fysiska personer utformas och utvecklas på ett sådant sätt att de berörda fysiska personerna informeras om att de interagerar med ett AI-system, såvida detta inte är uppenbart för en fysisk person som är normalt informerad och skäligen uppmärksam och medveten, med beaktande av användningens omständigheter och sammanhang. Denna skyldighet är inte tillämplig på AI-system som enligt lag får upptäcka, förebygga, förhindra, utreda eller lagföra brott, med förbehåll för lämpliga garantier för tredje parters rättigheter och friheter, såvida inte dessa system är tillgängliga för allmänheten för att anmäla ett brott. 2. Leverantörer av AI-system, inbegripet AI-system för allmänna ändamål, som genererar syntetiskt ljud-, bild-, video- eller textinnehåll ska säkerställa att AI-systemets utdata är märkta i ett maskinläsbart format och kan upptäckas som artificiellt genererade eller manipulerade. Leverantörer ska säkerställa att deras tekniska lösningar är effektiva, interoperabla, robusta och tillförlitliga i den mån det är tekniskt möjligt, med beaktande av särdragen och begränsningarna hos olika typer av innehåll, genomförandekostnaderna och den allmänt erkända senaste utvecklingen, vilket kan återspeglas i relevanta tekniska standarder. Denna skyldighet är inte tillämplig i den mån AI-systemen utför en hjälpfunktion för vanlig redigering eller inte väsentligt ändrar de indata som tillhandahålls av tillhandahållaren eller deras semantik, eller om systemen enligt lag får upptäcka, förebygga, förhindra, utreda eller lagföra brott. 3. Tillhandahållare av ett system för känsloigenkänning eller ett system för biometrisk kategorisering ska informera de fysiska personer som exponeras för systemet om systemets drift, och ska behandla personuppgifter i enlighet med förordningarna (EU) 2016/679 och (EU) 2018/1725 och direktiv (EU) 2016/680, beroende på vad som är tillämpligt. Denna skyldighet är inte tillämplig på AI-system som används för biometrisk kategorisering och känsloigenkänning och som enligt lag får upptäcka, förebygga eller utreda brott, med förbehåll för lämpliga garantier för tredje parters rättigheter och friheter, och i enlighet med unionsrätten. 4. Tillhandahållare av ett AI-system som genererar eller manipulerar bild-, ljud- eller videoinnehåll som utgör en deepfake ska upplysa om att innehållet har genererats artificiellt eller manipulerats. Denna skyldighet är inte tillämplig om användningen enligt lag är tillåten för att upptäcka, förebygga, förhindra, utreda eller lagföra brott. Om innehållet utgör en del av ett uppenbart konstnärligt, kreativt, satiriskt, skönlitterärt eller liknande verk eller program, ska de transparenskrav som anges i denna punkt begränsas till att upplysa om förekomsten av sådant genererat eller manipulerat innehåll på ett lämpligt sätt som inte hindrar visningen eller åtnjutandet av verket. Tillhandahållare av ett AI-system som genererar eller manipulerar text som offentliggörs i syfte att informera allmänheten om frågor av allmänt intresse ska upplysa om att texten har genererats artificiellt eller manipulerats. Denna skyldighet är inte tillämplig om användningen enligt lag är tillåten för att upptäcka, förebygga, förhindra, utreda eller lagföra brott eller om det AI-genererade innehållet har genomgått en process med mänsklig granskning eller redaktionell kontroll och om en fysisk eller juridisk person bär det redaktionella ansvaret för offentliggörandet av innehållet. 913 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 5. Den information som avses i punkterna 1–4 ska lämnas till de berörda fysiska personerna på ett tydligt och urskiljbart sätt senast vid tidpunkten för den första interaktionen eller exponeringen. Informationen ska uppfylla de tillämpliga tillgänglighetskraven. 6. Punkterna 1–4 påverkar inte de krav och skyldigheter som fastställs i kapitel III, och påverkar inte andra transparensskyldigheter som fastställs i unionsrätten eller nationell rätt för tillhandahållare av AI-system. 7. AI-byrån ska uppmuntra och underlätta utarbetandet av förfarandekoder på unionsnivå för att underlätta ett effektivt genomförande av skyldigheterna avseende upptäckt och märkning av artificiellt skapat eller manipulerat innehåll. Kommissionen får anta genomförandeakter för att godkänna dessa förfarandekoder i enlighet med förfarandet i artikel 56.6. Om kommissionen anser att förfarandekoden inte är lämplig får den anta en genomförandeakt som specificerar gemensamma regler för genomförandet av dessa skyldigheter i enlighet med det granskningsförfarande som fastställs i artikel 98.2. KAPITEL V AI-MODELLER FÖR ALLMÄNNA ÄNDAMÅL AVSNITT 1 Klassificeringsregler Artikel 51 Klassificering av AI-modeller för allmänna ändamål som AI-modeller för allmänna ändamål med systemrisk 1. En AI-modell för allmänna ändamål ska klassificeras som en AI-modell för allmänna ändamål med systemrisk om den uppfyller något av följande villkor: a) Den har kapacitet med hög påverkansgrad som utvärderats på grundval av lämpliga tekniska verktyg och metoder, inbegripet indikatorer och riktmärken. b) Den har, baserat på ett beslut av kommissionen, på eget initiativ eller efter en kvalificerad varning från den vetenskapliga panelen, kapacitet eller inverkan som motsvarar den som avses i led a med beaktande av kriterierna i bilaga XIII. 2. En AI-modell för allmänna ändamål ska förutsättas ha kapacitet med hög påverkansgrad enligt punkt 1 a om den sammanlagda beräkningsmängd som används för dess träning mätt i flyttalsberäkningar är större än 1025. 3. Kommissionen ska anta delegerade akter i enlighet med artikel 97 för att ändra de tröskelvärden som anges i punkterna 1 och 2 i den här artikeln samt för att komplettera riktmärken och indikatorer mot bakgrund av teknisk utveckling, såsom algoritmiska förbättringar eller ökad hårdvarueffektivitet, när så krävs för att dessa tröskelvärden ska återspegla den senaste utvecklingen. Artikel 52 Förfarande 1. Om en AI-modell för allmänna ändamål uppfyller det villkor som avses i artikel 51.1 a ska den berörda leverantören underrätta kommissionen utan dröjsmål och under alla omständigheter inom två veckor efter att kravet är uppfyllt eller det blir känt att det kommer att uppfyllas. Anmälan ska innehålla den information som krävs för att visa att det relevanta kravet har uppfyllts. Om kommissionen får kännedom om en AI-modell för allmänna ändamål som medför systemrisker och som den inte har underrättats om får den besluta att klassificera den som en modell med systemrisk. 2. Leverantören av en AI-modell för allmänna ändamål som uppfyller de villkor som avses i artikel 51.1 a får tillsammans med sin anmälan lägga fram tillräckligt underbyggda argument för att visa att AI-modellen för allmänna ändamål, även om den uppfyller det kravet, i detta undantagsfall inte medför systemrisker på grund av sina särskilda egenskaper och därför inte bör klassificeras som en AI-modell för allmänna ändamål med systemrisk. 914 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 3. Om kommissionen konstaterar att de argument som lagts fram enligt punkt 2 inte är tillräckligt underbyggda och att den berörda leverantören inte har kunnat visa att AI-modellen för allmänna ändamål, på grund av sina särskilda egenskaper, inte medför systemrisker ska den avvisa dessa argument, och AI-modellen för allmänna ändamål ska anses vara en AI-modell för allmänna ändamål med systemrisk. 4. Kommissionen får, på eget initiativ eller efter en kvalificerad varning från den vetenskapliga panelen enligt artikel 90.1 a, klassificera en AI-modell för allmänna ändamål som en AI-modell för allmänna ändamål med systemrisk, på grundval av kriterierna i bilaga XIII. Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 97 för att ändra bilaga XIII genom att specificera och uppdatera kriterierna i den bilagan. 5. På motiverad begäran av en leverantör vars modell har klassificerats som en AI-modell för allmänna ändamål med systemrisk enligt punkt 4 ska kommissionen beakta begäran och kan besluta att ompröva huruvida AI-modellen för allmänna ändamål fortfarande kan anses medföra systemrisker på grundval av kriterierna i bilaga XIII. En sådan begäran ska innehålla objektiva, detaljerade och nya skäl som har tillkommit sedan klassificeringsbeslutet fattades. Leverantörer får begära en ny bedömning tidigast sex månader efter klassificeringsbeslutet. Om kommissionen efter sin nya bedömning beslutar att behålla klassificeringen som en AI-modell för allmänna ändamål med systemrisk får leverantörerna begära en ny bedömning tidigast sex månader efter det beslutet. 6. Kommissionen ska säkerställa att en förteckning över AI-modeller för allmänna ändamål med systemrisk offentliggörs och ska hålla denna förteckning uppdaterad, utan att det påverkar behovet av att respektera och skydda immateriella rättigheter och konfidentiell affärsinformation eller företagshemligheter i enlighet med unionsrätten och nationell rätt. AVSNITT 2 Skyldigheter för leverantörer av AI-modeller för allmänna ändamål Artikel 53 Skyldigheter för leverantörer av AI-modeller för allmänna ändamål 1. Leverantörer av AI-modeller för allmänna ändamål ska a) utarbeta och uppdatera den tekniska dokumentationen för modellen, inbegripet tränings- och testningsförfarandet samt resultaten av utvärderingen, som åtminstone ska innehålla de uppgifter som anges i bilaga XI, i syfte att på begäran lägga fram den för AI-byrån och de nationella behöriga myndigheterna, b) utarbeta, uppdatera och göra information och dokumentation tillgänglig för leverantörer av AI-system som avser att integrera AI-modellen för allmänna ändamål i sina AI-system; utan att det påverkar behovet av att respektera och skydda immateriella rättigheter och konfidentiell affärsinformation eller företagshemligheter i enlighet med unionsrätten och nationell rätt ska informationen och dokumentationen i) göra det möjligt för leverantörer av AI-system att ha en god förståelse av kapaciteten och begränsningarna hos AI-modellen för allmänna ändamål och att fullgöra sina skyldigheter enligt denna förordning, och ii) minst innehålla de uppgifter som anges i bilaga XII, c) införa en policy för att följa unionsrätten om upphovsrätt och närstående rättigheter, och i synnerhet för att identifiera och efterleva, inbegripet med hjälp av den senaste tekniken, ett förbehåll för rättigheter som uttryckts enligt artikel 4.3 i direktiv (EU) 2019/790, d) utarbeta och göra en tillräckligt detaljerad sammanfattning av det innehåll som använts för träning av AI-modellen för allmänna ändamål allmänt tillgänglig, i enlighet med en mall som tillhandahålls av AI-byrån. 915 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 2. De skyldigheter som anges i punkt 1 a och b är inte tillämpliga på leverantörer av AI-modeller som släpps ut med en kostnadsfri licens med öppen källkod som möjliggör åtkomst, användning, ändring och distribution av modellen, och vars parametrar, inbegripet vikter, information om modellarkitekturen och information om modellanvändning, görs allmänt tillgängliga. Detta undantag är inte tillämpligt på AI-modeller för allmänna ändamål med systemrisker. 3. Leverantörer av AI-modeller för allmänna ändamål ska vid behov samarbeta med kommissionen och de nationella behöriga myndigheterna vid utövandet av sin behörighet och sina befogenheter enligt denna förordning. 4. Leverantörer av AI-modeller för allmänna ändamål får förlita sig på förfarandekoder i den mening som avses i artikel 56 för att visa att de fullgjort de skyldigheter som anges i punkt 1 i den här artikeln, till dess att en harmoniserad standard har offentliggjorts. Efterlevnad av europeiska harmoniserade standarder ger leverantörer presumtion om överensstämmelse i den utsträckning som de standarderna omfattar dessa skyldigheter. Leverantörer av AI-modeller för allmänna ändamål som inte följer en godkänd förfarandekod eller en europeisk harmoniserad standard ska uppvisa alternativa lämpliga sätt att uppfylla skyldigheterna, vilka ska bedömas av kommissionen. 5. I syfte att underlätta efterlevnaden av bilaga XI, särskilt punkt 2 d och e i den bilagan, ges kommissionen befogenhet att anta delegerade akter i enlighet med artikel 97 för att närmare specificera mät-och beräkningsmetoder i syfte att möjliggöra jämförbar och verifierbar dokumentation. 6. Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 97.2 för att ändra bilagorna XI och XII mot bakgrund av pågående teknisk utveckling. 7. All information eller dokumentation som har erhållits enligt denna artikel, inbegripet företagshemligheter, ska behandlas i enlighet med de konfidentialitetskrav som anges i artikel 78. Artikel 54 Ombud för leverantörer av AI-modeller för allmänna ändamål 1. Innan leverantörer som är etablerade i tredjeländer släpper ut en AI-modell för allmänna ändamål på unionsmarknaden ska de genom skriftlig fullmakt utse ett ombud som är etablerat i unionen. 2. Leverantören ska göra det möjligt för sitt ombud att utföra de uppgifter som anges i fullmakten från leverantören. 3. Ombudet ska utföra de uppgifter som anges i fullmakten från leverantören. Ombudet ska på begäran lämna en kopia av fullmakten till AI-byrån på ett av unionsinstitutionernas officiella språk. Vid tillämpningen av denna förordning ska fullmakten ge ombudet befogenhet att utföra följande uppgifter: a) Kontrollera att den tekniska dokumentation som anges i bilaga XI har upprättats och att alla skyldigheter som avses i artiklarna 53 och, i tillämpliga fall, 55 har fullgjorts av leverantören. b) Kunna uppvisa en kopia av den tekniska dokumentation som anges i bilaga XI för AI-byrån och de nationella behöriga myndigheterna under en period på 10 år efter det att AI-modellen för allmänna ändamål har släppts ut på marknaden, och kontaktuppgifter för den leverantör som utsett ombudet. c) På motiverad begäran förse AI-byrån med all information och dokumentation, inbegripet den som avses i led b, som krävs för att visa att den fullgör skyldigheterna i detta kapitel. d) Samarbeta med AI-byrån och behöriga myndigheter, på motiverad begäran, när det gäller alla åtgärder som de vidtar med avseende på AI-modellen för allmänna ändamål, inbegripet när modellen är integrerad i AI-system som släpps ut på marknaden eller tas i bruk i unionen. 4. Fullmakten ska ge ombudet befogenhet att utöver eller i stället för leverantören stå till förfogande inför AI-byrån eller de behöriga myndigheterna, i alla frågor som rör efterlevnaden av denna förordning. 916 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 5. Ombudet ska säga upp fullmakten om denne anser eller har skäl att tro att leverantören agerar i strid med sina skyldigheter enligt denna förordning. I sådana fall ska det också omedelbart informera AI-byrån om uppsägningen av fullmakten och skälen till detta. 6. Den skyldighet som anges i denna artikel är inte tillämpligt på leverantörer av AI-modeller för allmänna ändamål som släpps ut med en kostnadsfri licens med öppen källkod som möjliggör åtkomst, användning, ändring och distribution av modellen, och vars parametrar, inbegripet vikter, information om modellarkitekturen och information om modellanvänd- ning, görs allmänt tillgängliga, såvida inte AI-modellen för allmänna ändamål medför systemrisker. AVSNITT 3 Skyldigheter för leverantörer av AI-modeller för allmänna ändamål med systemrisk Artikel 55 Skyldigheter för leverantörer av AI-modeller för allmänna ändamål med systemrisk 1. Utöver de skyldigheter som förtecknas i artiklarna 53 och 54 ska leverantörer av AI-modeller för allmänna ändamål med systemrisk a) genomföra utvärderingar av modeller i enlighet med standardiserade protokoll och verktyg som återspeglar den aktuella tekniska nivån, inbegripet genomförande och dokumentation av antagonistisk testning av modellen i syfte att identifiera och minska systemrisker, b) bedöma och minska eventuella systemrisker på unionsnivå, inbegripet källorna till dem, som kan härröra från utveckling, utsläppande på marknaden eller användning av AI-modeller för allmänna ändamål med systemrisk, c) bevaka, dokumentera och utan oskäligt dröjsmål rapportera till AI-byrån och, i förekommande fall, till nationella behöriga myndigheter, relevant information om allvarliga incidenter och möjliga korrigerande åtgärder för att hantera dem, d) säkerställa en lämplig nivå av cybersäkerhetsskydd för AI-modellen för allmänna ändamål med systemrisk och modellens fysiska infrastruktur. 2. Leverantörer av AI-modeller för allmänna ändamål med systemrisk får förlita sig på förfarandekoder i den mening som avses i artikel 56 för att visa att de fullgjort de skyldigheter som anges i punkt 1 i den här artikeln, till dess att en harmoniserad standard har offentliggjorts. Efterlevnad av europeiska harmoniserade standarder ger leverantörer presumtion om överensstämmelse i den utsträckning som de standarderna omfattar dessa skyldigheter. Leverantörer av AI-modeller för allmänna ändamål med systemrisker som inte följer en godkänd förfarandekod eller en europeisk harmoniserad standard ska uppvisa alternativa lämpliga sätt att uppfylla skyldigheterna, vilka ska bedömas av kommissionen. 3. All information eller dokumentation som har erhållits enligt denna artikel, inbegripet företagshemligheter, ska behandlas i enlighet med de konfidentialitetskrav som anges i artikel 78. AVSNITT 4 Förfarandekoder Artikel 56 Förfarandekoder 1. AI-byrån ska uppmuntra och underlätta utarbetandet av förfarandekoder på unionsnivå för att bidra till en korrekt tillämpning av denna förordning, med beaktande av internationella strategier. 2. AI-byrån och styrelsen ska sträva efter att säkerställa att förfarandekoderna åtminstone omfattar de skyldigheter som fastställs i artiklarna 53 och 55, inbegripet följande aspekter: 917 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 a) Metoder för att säkerställa att den information som avses i artikel 53.1 a och b hålls uppdaterad mot bakgrund av marknadsutveckling och tekniska utveckling. b) Lämplig detaljnivå för sammanfattningen av det innehåll som använts för träning. c) Identifiering av systemriskernas typ och art på unionsnivå, inbegripet källorna till dem, när så är lämpligt. d) Åtgärderna, förfarandena och formerna för bedömning och hantering av systemriskerna på unionsnivå, inbegripet dokumentationen av dessa, som ska stå i proportion till riskerna samt ta hänsyn till deras allvar och sannolikhet och till de särskilda utmaningarna med att hantera dessa risker mot bakgrund av de möjliga sätt på vilka sådana risker kan uppstå och bli verklighet längs AI-värdekedjan. 3. AI-byrån får uppmana alla leverantörer av AI-modeller för allmänna ändamål, samt relevanta nationella behöriga myndigheter, att delta i utarbetandet av förfarandekoder. Det civila samhällets organisationer, industrin, den akademiska världen och andra berörda parter, såsom leverantörer i efterföljande led och oberoende experter, får stödja processen. 4. AI-byrån och styrelsen ska sträva efter att säkerställa att förfarandekoderna innehåller tydligt angivna specifika mål samt åtaganden eller åtgärder, inbegripet centrala resultatindikatorer när så är lämpligt, för att säkerställa att dessa mål uppnås, och att de tar vederbörlig hänsyn till alla intressenters, inbegripet berörda personers, behov och intressen på unionsnivå. 5. AI-byrån ska sträva efter att säkerställa att deltagarna i förfarandekoderna regelbundet rapporterar till AI-byrån om genomförandet av åtagandena samt de åtgärder som vidtagits och deras resultat, även i förhållande till de centrala resultatindikatorerna när så är lämpligt. Centrala resultatindikatorer och rapporteringsåtaganden ska återspegla skillnader i storlek och kapacitet mellan olika deltagare. 6. AI-byrån och styrelsen ska regelbundet övervaka och utvärdera hur deltagarna uppnår förfarandekodernas mål och hur de bidrar till en korrekt tillämpning av denna förordning. AI-byrån och styrelsen ska bedöma huruvida förfarandekoderna omfattar de skyldigheter som fastställs i artiklarna 53 och 55, och ska regelbundet övervaka och utvärdera om målen i dem uppnås. De ska offentliggöra sin bedömning av förfarandekodernas lämplighet. Kommissionen får genom en genomförandeakt godkänna en förfarandekod och ge den allmän giltighet inom unionen. Genomförandeakten ska antas i enlighet med det granskningsförfarande som avses i artikel 98.2. 7. AI-byrån får uppmana alla leverantörer av AI-modeller för allmänna ändamål att följa förfarandekoderna. För leverantörer av AI-modeller för allmänna ändamål som inte medför systemrisker får denna efterlevnad begränsas till de skyldigheter som föreskrivs i artikel 53, såvida de inte uttryckligen förklarar att de vill ansluta sig till den fullständiga koden. 8. AI-byrån ska, när så är lämpligt, också uppmuntra och underlätta översynen och anpassningen av förfarandekoderna, särskilt mot bakgrund av nya standarder. AI-byrån ska bistå vid bedömningen av tillgängliga standarder. 9. Förfarandekoder ska vara utarbetade senast den 2 maj 2025. AI-byrån ska vidta nödvändiga åtgärder, bland annat genom att uppmana leverantörer enligt punkt 7. Om en förfarandekod inte kan färdigställas senast den 2 augusti 2025, eller om AI-byrån efter sin bedömning enligt punkt 6 i denna artikel anser att den inte är lämplig, får kommissionen genom genomförandeakter fastställa gemensamma regler för genomförandet av de skyldigheter som föreskrivs i artiklarna 53 och 55, inbegripet de aspekter som anges i punkt 2 i den här artikeln. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 98.2. 918 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 KAPITEL VI ÅTGÄRDER TILL STÖD FÖR INNOVATION Artikel 57 Regulatoriska sandlådor för AI 1. Medlemsstaterna ska säkerställa att deras behöriga myndigheter inrättar minst en regulatorisk sandlåda för AI på nationell nivå, som ska vara i drift senast den 2 augusti 2026. Denna sandlåda får också inrättas tillsammans med de behöriga myndigheterna i andra medlemsstater. Kommissionen får tillhandahålla tekniskt stöd, rådgivning och verktyg för inrättande och drift av regulatoriska sandlådor för AI. Skyldigheten enligt första stycket får också fullgöras genom deltagande i en befintlig sandlåda i den mån deltagandet ger en likvärdig nivå av nationell täckning för de deltagande medlemsstaterna. 2. Ytterligare regulatoriska sandlådor för AI får också inrättas på regional eller lokal nivå eller tillsammans med andra medlemsstaters behöriga myndigheter. 3. Europeiska datatillsynsmannen får också inrätta en regulatorisk sandlåda för AI för unionens institutioner, organ och byråer och får utöva de nationella behöriga myndigheternas roller och uppgifter i enlighet med detta kapitel. 4. Medlemsstaterna ska säkerställa att de behöriga myndigheter som avses i punkterna 1 och 2 anslår tillräckliga resurser för att uppfylla kraven i denna artikel, på ett ändamålsenligt sätt och i god tid. När så är lämpligt ska de nationella behöriga myndigheterna samarbeta med andra relevanta myndigheter, och de får tillåta deltagande av andra aktörer inom AI-ekosystemet. Denna artikel påverkar inte andra regulatoriska sandlådor som inrättats enligt unionsrätten eller nationell rätt. Medlemsstaterna ska säkerställa lämpligt samarbete mellan de myndigheter som utövar tillsyn över dessa andra sandlådor och de nationella behöriga myndigheterna. 5. Regulatoriska sandlådor för AI som inrättats enligt punkt 1 ska tillhandahålla en kontrollerad miljö som främjar innovation och underlättar utveckling, träning, testning och validering av innovativa AI-system under en begränsad tid innan de släpps ut på marknaden eller tas i bruk i enlighet med en särskild sandlådeplan som leverantörerna eller de potentiella leverantörerna och den behöriga myndigheten kommer överens om. Sådana sandlådor får omfatta testning under verkliga förhållanden under tillsyn i sandlådorna. 6. De behöriga myndigheterna ska, beroende på vad som är lämpligt, tillhandahålla vägledning, tillsyn och stöd inom den regulatoriska sandlådan för AI i syfte att identifiera risker, särskilt när det gäller grundläggande rättigheter, hälsa och säkerhet, testning, riskreducerande åtgärder och deras effektivitet i förhållande till skyldigheterna och kraven i denna förordning samt, i förekommande fall, annan unionsrätt och nationell rätt som är föremål för tillsyn inom sandlådan. 7. De behöriga myndigheterna ska ge leverantörer och potentiella leverantörer som deltar i den regulatoriska sandlådan för AI vägledning om rättsliga förväntningar och hur de krav och skyldigheter som fastställs i denna förordning ska uppfyllas. På begäran av leverantören eller den potentiella leverantören av AI-systemet ska den behöriga myndigheten tillhandahålla ett skriftligt bevis på den verksamhet som framgångsrikt utförts i sandlådan. Den behöriga myndigheten ska också tillhandahålla en slutrapport med uppgifter om den verksamhet som bedrivs i sandlådan och tillhörande resultat och lärdomar. Leverantörer får använda sådan dokumentation för att visa att de uppfyller kraven i denna förordning genom förfarandet för bedömning av överensstämmelse eller relevant marknadskontroll. I detta avseende ska marknadskontrol- lmyndigheter och anmälda organ beakta slutrapporterna och de skriftliga bevis som tillhandahålls av den nationella behöriga myndigheten på ett positivt sätt, i syfte att påskynda förfaranden för bedömning av överensstämmelse i rimlig utsträckning. 8. Om inte annat följer av konfidentialitetsbestämmelserna i artikel 78 och med godkännande från leverantören eller den potentiella leverantören ska kommissionen och styrelsen ha rätt att få tillgång till slutrapporterna och ska beakta dem, på lämpligt sätt, när de utför sina uppgifter enligt denna förordning. Om både leverantören eller den potentiella leverantören och den nationella behöriga myndigheten uttryckligen samtycker får slutrapporten göras allmänt tillgänglig via den enda informationsplattform som avses i den här artikeln. 9. Inrättandet av regulatoriska sandlådor för AI ska syfta till att bidra till följande mål: a) Förbättra rättssäkerheten för att uppnå efterlevnad av denna förordning eller, i förekommande fall, annan tillämplig unionsrätt och nationell rätt. 919 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 b) Stödja utbyte av bästa praxis genom samarbete med de myndigheter som deltar i den regulatoriska sandlådan för AI. c) Främja innovation och konkurrenskraft och underlätta utvecklingen av ett AI-ekosystem. d) Bidra till evidensbaserat regulatoriskt lärande. e) Underlätta och påskynda tillträdet till unionsmarknaden för AI-system, särskilt när de tillhandahålls av små och medelstora företag, inbegripet uppstartsföretag. 10. I den mån de innovativa AI-systemen inbegriper behandling av personuppgifter eller på annat sätt faller inom tillsynsområdet för andra nationella myndigheter eller behöriga myndigheter som tillhandahåller eller stöder åtkomst till data ska de nationella behöriga myndigheterna säkerställa att de nationella dataskyddsmyndigheterna och dessa andra nationella eller behöriga myndigheter är involverade i driften av den regulatoriska sandlådan för AI och i tillsynen över dessa aspekter så långt deras respektive uppgifter och befogenheter sträcker sig. 11. De regulatoriska sandlådorna för AI påverkar inte tillsynsbefogenheterna eller de korrigerande befogenheterna för de behöriga myndigheter som utövar tillsyn över sandlådorna, inbegripet på regional eller lokal nivå. Alla betydande risker för hälsa och säkerhet och grundläggande rättigheter som upptäcks under utvecklingen och testningen av sådana AI-system ska leda till adekvata begränsningsåtgärder. De nationella behöriga myndigheterna ska ha befogenhet att tillfälligt eller permanent avbryta testprocessen eller deltagandet i sandlådan om inga verkningsfulla begränsningsåtgärder är möjliga och ska informera AI-byrån om ett sådant beslut. De nationella behöriga myndigheterna ska utöva sina tillsynsbefogenheter inom ramen för relevant rätt, med användning av sitt utrymme för skönsmässig bedömning när de genomför rättsliga bestämmelser för ett specifikt regulatoriskt sandlådeprojekt för AI, i syfte att stödja innovation inom AI i unionen. 12. Leverantörer och potentiella leverantörer som deltar i den regulatoriska sandlådan för AI ska förbli ansvariga, enligt tillämplig unionsrätt och nationell rätt om ansvar för skada som åsamkas tredje part till följd av de experiment som äger rum i sandlådan. Under förutsättning att de potentiella leverantörerna följer den särskilda planen och villkoren för deras deltagande samt i god tro följer de riktlinjer som den nationella behöriga myndigheten ger, ska myndigheterna dock inte ålägga några administrativa sanktionsavgifter för överträdelser av denna förordning. Om andra behöriga myndigheter med ansvar för annan unionsrätt och nationell rätt aktivt deltog i tillsynen av AI-systemet i sandlådan och tillhandahöll vägledning för efterlevnad ska inga administrativa sanktionsavgifter åläggas avseende den rätten. 13. De regulatoriska sandlådorna för AI ska utformas och genomföras på ett sådant sätt att de i relevanta fall underlättar gränsöverskridande samarbete mellan de nationella behöriga myndigheterna. 14. De nationella behöriga myndigheterna ska samordna sin verksamhet och samarbeta inom ramen för styrelsen. 15. De nationella behöriga myndigheterna ska informera AI-byrån och styrelsen om inrättandet av en sandlåda och får begära stöd och vägledning av dem. AI-byrån ska göra en förteckning över planerade och befintliga sandlådor allmänt tillgänglig och hålla den uppdaterad för att uppmuntra till mer interaktion i regulatoriska sandlådor för AI och gränsöverskridande samarbete. 16. De nationella behöriga myndigheterna ska lämna årliga rapporter till AI-byrån och styrelsen, från och med ett år efter att den regulatoriska sandlådan för AI har inrättats och därefter varje år fram till dess att den avslutas samt en slutrapport. Dessa rapporter ska innehålla information om framstegen och resultaten av genomförandet av dessa sandlådor, inbegripet bästa praxis, incidenter, tillvaratagna erfarenheter och rekommendationer om deras etablering och, i relevanta fall, om tillämpningen och en eventuell översyn av denna förordning, inbegripet dess delegerade akter och genomförandeakter, och om tillämpningen av annan unionsrätt som står under tillsyn av de berörda myndigheterna inom sandlådan. De nationella behöriga myndigheterna ska göra dessa årliga rapporter eller sammanfattningar av dessa tillgängliga för allmänheten online. Kommissionen ska, när så är lämpligt, beakta årsrapporterna när den utför sina uppgifter enligt denna förordning. 17. Kommissionen ska utveckla ett gemensamt och särskilt gränssnitt som innehåller all relevant information om regulatoriska sandlådor för AI för att göra det möjligt för berörda parter att interagera med regulatoriska sandlådor för AI och ta upp frågor med behöriga myndigheter samt söka icke-bindande vägledning om överensstämmelse för innovativa produkter, tjänster och affärsmodeller med inbäddad AI-teknik, i enlighet med artikel 62.1 c. Kommissionen ska proaktivt säkerställa samordning med nationella behöriga myndigheter, där så är relevant. 920 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 Artikel 58 Närmare arrangemang och funktionssätt för regulatoriska sandlådor för AI 1. För att undvika fragmentering i hela unionen ska kommissionen anta genomförandeakter som specificerar de närmare arrangemangen för inrättande, utveckling, genomförande, drift och tillsyn av regulatoriska sandlådor för AI. Dessa genomförandeakter ska innehålla gemensamma principer i följande frågor: a) Behörighets- och urvalskriterier för deltagande i den regulatoriska sandlådan för AI. b) Förfarandet för tillämpning, deltagande, övervakning, utträde ur och avslutande av den regulatoriska sandlådan för AI, inbegripet sandlådeplanen och slutrapporten. c) De villkor som gäller för deltagarna. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 98.2. 2. De genomförandeakter som avses i punkt 1 ska säkerställa att a) regulatoriska sandlådor för AI är öppna för alla ansökande leverantörer eller potentiella leverantörer av ett AI-system som uppfyller behörighets- och urvalskriterier, som ska vara transparenta och rättvisa, och nationella behöriga myndigheter ska informera sökande om sitt beslut inom tre månader efter ansökan, b) regulatoriska sandlådor för AI möjliggör bred och likvärdig tillgång och håller jämna steg med efterfrågan på deltagande; leverantörer och potentiella leverantörer får också lämna in ansökningar i partnerskap med tillhandahållare och andra relevanta tredje parter, c) närmare arrangemang och villkor för regulatoriska sandlådor för AI i möjligaste mån stöder de nationella behöriga myndigheternas flexibilitet att inrätta och driva sina regulatoriska sandlådor för AI, d) tillgången till regulatoriska sandlådor för AI är kostnadsfri för små och medelstora företag, inbegripet uppstartsföretag, utan att det påverkar exceptionella kostnader som nationella behöriga myndigheter får återkräva på ett rättvist och proportionellt sätt, e) de, genom lärdomar från de regulatoriska sandlådorna för AI, gör det lättare för leverantörer och potentiella leverantörer att fullgöra skyldigheterna avseende bedömning av överensstämmelse enligt denna förordning och den frivilliga tillämpningen av de uppförandekoder som avses i artikel 95, f) regulatoriska sandlådor för AI underlättar deltagandet av andra relevanta aktörer inom AI-ekosystemet, såsom anmälda organ och standardiseringsorganisationer, små och medelstora företag, inbegripet uppstartsföretag och andra företag, innovatörer, test- och experimentfaciliteter, forsknings- och experimentlaboratorier och europeiska digitala innova- tionsknutpunkter, kompetenscentrum samt enskilda forskare, för att möjliggöra och underlätta samarbete med den offentliga och privata sektorn, g) förfaranden, processer och administrativa krav för ansökan och urval till, deltagande i och utträde ur den regulatoriska sandlådan för AI ska vara enkla, lättbegripliga och tydligt kommunicerade för att underlätta deltagandet av små och medelstora företag, inbegripet uppstartsföretag, med begränsad rättslig och administrativ kapacitet och strömlinjeformas i hela unionen i syfte att undvika fragmentering, och att deltagande i en regulatorisk sandlåda för AI som inrättats av en medlemsstat eller av Europeiska datatillsynsmannen erkänns ömsesidigt och enhetligt och har samma rättsliga verkan i hela unionen, h) deltagandet i den regulatoriska sandlådan för AI är begränsat till en period som är lämplig med tanke på projektets komplexitet och omfattning, vilken får förlängas av den nationella behöriga myndigheten, i) de regulatoriska sandlådorna för AI underlättar utvecklingen av verktyg och infrastruktur för testning, riktmärkning, bedömning och förklaring av de aspekter av AI-systemen som är relevanta för regulatoriskt lärande, såsom riktighet, robusthet och cybersäkerhet samt minimering av riskerna för grundläggande rättigheter och samhället i stort. 3. Potentiella leverantörer i regulatoriska sandlådor för AI, särskilt små och medelstora företag och uppstartsföretag, ska, när så är relevant, hänvisas till tjänster före införandet, såsom vägledning om genomförandet av denna förordning, andra mervärdestjänster såsom hjälp med standardiseringsdokument och certifiering, test-och experimentfaciliteter, europeiska digitala innovationsknutpunkter och kompetenscentrum. 921 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 4. När nationella behöriga myndigheter överväger att godkänna testning under verkliga förhållanden som står under tillsyn inom ramen för en regulatorisk sandlåda för AI som ska inrättas enligt denna artikel, ska de särskilt komma överens med deltagarna om villkoren för sådan testning och i synnerhet om lämpliga garantier, i syfte att skydda grundläggande rättigheter, hälsa och säkerhet. När så är lämpligt ska de samarbeta med andra nationella behöriga myndigheter i syfte att säkerställa enhetlig praxis i hela unionen. Artikel 59 Ytterligare behandling av personuppgifter för utveckling av vissa AI-system i allmänhetens intresse i den regulatoriska sandlådan för AI 1. Personuppgifter som lagligen samlats in för andra ändamål får behandlas i den regulatoriska sandlådan för AI enbart i syfte att utveckla, träna och testa vissa AI-system i sandlådan om samtliga följande villkor är uppfyllda: a) AI-systemen ska utvecklas för att ett viktigt allmänt intresse ska skyddas av en offentlig myndighet eller annan fysisk eller juridisk person på ett eller flera av följande områden: i) Allmän säkerhet och folkhälsa, inbegripet upptäckt, diagnostisering, förebyggande, bekämpning och behandling av sjukdomar och förbättring av hälso- och sjukvårdssystemen. ii) En hög nivå av skydd och förbättring av miljöns kvalitet, skydd av den biologiska mångfalden, skydd mot föroreningar, åtgärder för grön omställning samt begränsning av och anpassning till klimatförändringar. iii) Energihållbarhet. iv) Säkerhet och resiliens när det gäller transportsystem och mobilitet, kritisk infrastruktur och nätverk. v) Den offentliga förvaltningens och de offentliga tjänsternas effektivitet och kvalitet. b) De data som behandlas är nödvändiga för att uppfylla ett eller flera av de krav som avses i kapitel III avsnitt 2 i fall där dessa krav inte kan uppfyllas effektivt genom behandling av anonymiserade eller syntetiska data eller andra icke-personuppgifter. c) Det finns effektiva övervakningsmekanismer för att fastställa om experimenten i sandlådan kan medföra höga risker för de registrerades rättigheter och friheter, enligt artikel 35 i förordning (EU) 2016/679 och artikel 39 i förordning (EU) 2018/1725, samt en svarsmekanism för att snabbt begränsa dessa risker och, vid behov, stoppa behandlingen. d) Alla personuppgifter som ska behandlas inom ramen för sandlådan befinner sig i en funktionellt separat, isolerad och skyddad databehandlingsmiljö under den potentiella leverantörens kontroll, och endast behöriga personer har tillgång till dessa uppgifter. e) Leverantörer kan endast dela vidare de ursprungligen insamlade uppgifterna i enlighet med unionens dataskyddslag- stiftning. Personuppgifter som skapats i sandlådan får inte delas utanför sandlådan. f) Behandling av personuppgifter i samband med sandlådan ska varken leda till åtgärder eller beslut som påverkar de registrerade eller påverka tillämpningen av deras rättigheter enligt unionsrätten om skydd av personuppgifter. g) Alla personuppgifter som behandlas inom ramen för sandlådan ska skyddas genom lämpliga tekniska och organisatoriska åtgärder och raderas när deltagandet i sandlådan har avslutats eller personuppgifternas lagringstid har löpt ut. h) Loggarna över behandlingen av personuppgifter inom ramen för sandlådan ska bevaras under den tid som deltagandet i sandlådan varar, om inte annat föreskrivs i unionsrätten eller nationell rätt, i) En fullständig och detaljerad beskrivning av processen och motiveringen för träning, testning och validering av AI-systemet bevaras tillsammans med testresultaten som en del av den tekniska dokumentation som avses i bilaga IV. 922 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 j) En kort sammanfattning av AI-projektet som utvecklats i sandlådan, dess mål och förväntade resultat offentliggörs på den behöriga myndighetens webbplats. Denna skyldighet omfattar inte känsliga operativa uppgifter som rör brottsbekämpande myndigheters, gränskontrollmyndigheters, migrationsmyndigheters eller asylmyndigheters verksam- het. 2. I syfte att förebygga, förhindra, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, under brottsbekämpande myndigheters överinseende och ansvar, ska behandlingen av personuppgifter i regulatoriska sandlådor för AI baseras på specifik unionsrätt eller nationell rätt och omfattas av samma kumulativa villkor som dem som avses i punkt 1. 3. Punkt 1 påverkar inte tillämpningen av unionsrätt eller nationell rätt som utesluter behandling av personuppgifter för andra ändamål än dem som uttryckligen anges i den rätten eller av unionsrätt eller nationell rätt som fastställer grunden för behandling av personuppgifter som är nödvändig för att utveckla, testa eller träna innovativa AI-system, eller av någon annan rättslig grund, i överensstämmelse med unionsrätten om skydd av personuppgifter. Artikel 60 Testning av AI-system med hög risk under verkliga förhållanden utanför regulatoriska sandlådor för AI 1. Testning av AI-system med hög risk under verkliga förhållanden utanför regulatoriska sandlådor för AI får utföras av leverantörer eller potentiella leverantörer av AI-system med hög risk som förtecknas i bilaga III, i enlighet med denna artikel och den plan för testning under verkliga förhållanden som avses i denna artikel, utan att det påverkar förbuden enligt artikel 5. Kommissionen ska genom genomförandeakter specificera de närmare inslagen i planen för testning under verkliga förhållanden. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 98.2. Denna punkt påverkar inte tillämpningen av unionsrätten eller nationell rätt om testning under verkliga förhållanden av AI-system med hög risk som är relaterade till produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i bilaga I. 2. Leverantörer eller potentiella leverantörer får på egen hand eller i partnerskap med en eller flera tillhandahållare eller potentiella tillhandahållare utföra testning under verkliga förhållanden av AI-system med hög risk som avses i bilaga III när som helst innan AI-systemet släpps ut på marknaden eller tas i bruk. 3. Testning av AI-system med hög risk under verkliga förhållanden enligt denna artikel påverkar inte etisk granskning som krävs enligt nationell rätt eller unionsrätten. 4. Leverantörer eller potentiella leverantörer får utföra testningen under verkliga förhållanden endast om samtliga följande villkor är uppfyllda: a) Leverantören eller den potentiella leverantören har utarbetat en plan för testning under verkliga förhållanden och lämnat in den till marknadskontrollmyndigheten i den medlemsstat där testningen under verkliga förhållanden ska utföras. b) Marknadskontrollmyndigheten i den medlemsstat där testningen under verkliga förhållanden ska utföras har godkänt testningen under verkliga förhållanden och planen för testning under verkliga förhållanden. Om marknadskontrol- lmyndigheten inte har lämnat något svar inom 30 dagar ska testningen under verkliga förhållanden och planen för testning under verkliga förhållanden betraktas som godkänd. Om det i nationell rätt inte föreskrivs något tyst godkännande, ska testningen under verkliga förhållanden fortfarande förutsätta ett tillstånd. c) Leverantören eller den potentiella leverantören, med undantag för leverantörer eller potentiella leverantörer av AI-system med hög risk som avses i punkterna 1, 6 och 7 i bilaga III på områdena brottsbekämpning, migration, asyl och gränskontrollförvaltning samt AI-system med hög risk som avses i punkt 2 i bilaga III, har registrerat testning under verkliga förhållanden i enlighet med artikel 71.4 med ett unikt unionsomfattande identifieringsnummer och med den information som anges i bilaga IX. Leverantören eller den potentiella leverantören av AI-system med hög risk som avses i punkterna 1, 6 och 7 i bilaga III på områdena brottsbekämpning, migration, asyl och gränskontrollförvaltning, har registrerat testning under verkliga förhållanden i den säkra icke-offentliga delen av EU-databasen enligt artikel 49.4 d med ett unikt unionsomfattande identifieringsnummer och med den information som anges däri. Leverantören eller den potentiella leverantören av AI-system med hög risk som avses i punkt 2 i bilaga III har registrerat testning under verkliga förhållanden i enlighet med artikel 49.5. 923 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 d) Den leverantör eller potentiella leverantör som utför testningen under verkliga förhållanden är etablerad i unionen eller har utsett ett juridiskt ombud som är etablerat i unionen. e) Uppgifter som samlats in och behandlats för testning under verkliga förhållanden ska överföras till tredjeländer endast om lämpliga och tillämpliga skyddsåtgärder enligt unionsrätten vidtas. f) Testningen under verkliga förhållanden varar inte längre än vad som är nödvändigt för att uppnå dess mål och under inga omständigheter längre än sex månader, med möjlighet till förlängning med ytterligare sex månader om leverantören eller den potentiella leverantören gör en förhandsanmälan till marknadskontrollmyndigheten, som ska åtföljas av en förklaring av behovet av en sådan förlängning. g) Försökspersoner i testningen under verkliga förhållanden som tillhör sårbara grupper på grund av ålder eller funktionsnedsättning skyddas på lämpligt sätt. h) Om en leverantör eller potentiell leverantör organiserar testningen under verkliga förhållanden i samarbete med en eller flera tillhandahållare eller potentiella tillhandahållare, har dessa informerats om alla aspekter av testningen som är relevanta för deras beslut att delta och fått den relevanta bruksanvisningen för det AI-system som avses i artikel 13. Leverantören eller den potentiella leverantören och tillhandahållaren eller den potentiella tillhandahållaren ska ingå ett avtal som anger deras roller och ansvar i syfte att säkerställa överensstämmelse med bestämmelserna om testning under verkliga förhållanden enligt denna förordning och enligt annan tillämplig unionsrätt och nationell rätt. i) Försökspersonerna i testningen under verkliga förhållanden har gett sitt informerade samtycke i enlighet med artikel 61, eller, när det gäller brottsbekämpning, om en begäran om informerat samtycke skulle hindra AI-systemet att testas, får själva testningen och resultatet av testningen under verkliga förhållanden inte ha någon negativ inverkan på försökspersonerna, och deras personuppgifter ska raderas när testningen har utförts. j) Testningen under verkliga förhållanden övervakas effektivt av leverantören eller den potentiella leverantören och av tillhandahållare eller potentiella tillhandahållare genom personer som har lämpliga kvalifikationer inom det berörda området och som har nödvändig kapacitet, utbildning och auktoritet för att utföra sina uppgifter. k) AI-systemets förutsägelser, rekommendationer eller beslut kan effektivt upphävas eller ignoreras. 5. Försökspersoner inom testningen under verkliga förhållanden, eller deras lagligen utsedda företrädare, beroende på vad som är lämpligt, får, utan att detta medför nackdelar och utan att behöva lämna någon motivering, när som helst avsluta sitt deltagande i testningen genom att dra tillbaka sitt informerade samtycke och får begära omedelbar och permanent radering av sina personuppgifter. Tillbakadragandet av det informerade samtycket påverkar inte den verksamhet som redan utförts. 6. I enlighet med artikel 75 ska medlemsstaterna ge sina marknadskontrollmyndigheter befogenhet att kräva att leverantörer och potentiella leverantörer tillhandahåller information, att utföra oanmälda inspektioner på distans eller på plats och att utföra kontroller av utförandet av testningen under verkliga förhållanden och tillhörande AI-system med hög risk. Marknadskontrollmyndigheterna ska använda dessa befogenheter för att säkerställa en säker utveckling av testning under verkliga förhållanden. 7. Alla allvarliga incidenter som identifieras under testningen under verkliga förhållanden ska rapporteras till den nationella marknadskontrollmyndigheten i enlighet med artikel 73. Leverantören eller den potentiella leverantören ska vidta omedelbara riskbegränsningsåtgärder eller, om så inte sker, tillfälligt avbryta testningen under verkliga förhållanden tills sådan riskreducering äger rum eller i annat fall avsluta den. Leverantören eller den potentiella leverantören ska fastställa ett förfarande för snabb återkallelse av AI-systemet när testningen under verkliga förhållanden avslutas på detta sätt. 8. Leverantörer eller potentiella leverantörer ska underrätta den nationella marknadskontrollmyndigheten i den medlemsstat där testningen under verkliga förhållanden ska utföras om det tillfälliga avbrottet i eller avslutandet av testningen under verkliga förhållanden och om de slutliga resultaten. 9. Leverantören och den potentiella leverantören ska vara ansvariga enligt tillämplig unionsrätt och nationell rätt om ansvar för eventuella skador som orsakas under deras deltagande i testningen under verkliga förhållanden. 924 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 Artikel 61 Informerat samtycke till deltagande i testning under verkliga förhållanden utanför regulatoriska sandlådor för AI 1. För testning under verkliga förhållanden enligt artikel 60 ska frivilligt lämnat informerat samtycke erhållas från försökspersonerna innan de deltar i sådan testning och efter att de vederbörligen har informerats med koncis, tydlig, relevant och begriplig information om a) vilken karaktär och vilka mål som testningen under verkliga förhållanden har och de eventuella olägenheter som kan vara förknippade med att delta, b) de förhållanden under vilka testningen under verkliga förhållanden ska utföras, inbegripet den förväntade varaktigheten för försökspersonens eller försökspersonernas deltagande, c) sina rättigheter och garantierna avseende sitt deltagande, särskilt sin rätt att vägra att delta och att när som helst avsluta sitt deltagande i testningen under verkliga förhållanden utan negativa följder och utan att behöva motivera sitt beslut, d) formerna för begäran om upphävande eller ignorerande av AI-systemets förutsägelser, rekommendationer eller beslut, e) det unika unionsomfattande identifieringsnumret för testningen under verkliga förhållanden i enlighet med artikel 60.4 c och kontaktuppgifter för leverantören eller dennes juridiska ombud från vilka ytterligare information kan erhållas. 2. Det informerade samtycket ska dateras och dokumenteras och en kopia ska ges till försökspersonerna i testningen eller till deras juridiska ombud. Artikel 62 Åtgärder för leverantörer och tillhandahållare, särskilt små och medelstora företag, inbegripet uppstartsföretag 1. Medlemsstaterna ska vidta följande åtgärder: a) Ge små och medelstora företag, inbegripet uppstartsföretag, som har ett säte eller en filial i unionen prioriterad tillgång till de regulatoriska sandlådorna för AI, i den mån de uppfyller behörighetskraven och urvalskriterierna. Den prioriterade tillgången hindrar inte andra små och medelstora företag, inbegripet uppstartsföretag, än dem som avses i denna punkt, att ha tillgång till den regulatoriska sandlådan för AI, förutsatt att de också uppfyller behörighetskraven och urvalskriterierna. b) Anordna särskilda medvetandehöjande åtgärder och utbildning om tillämpningen av denna förordning anpassat till behoven hos små och medelstora företag, inbegripet uppstartsföretag, tillhandahållare och, när så är lämpligt, lokala offentliga myndigheter. c) Använda befintliga särskilda kanaler och, när så är lämpligt, upprätta nya sådana för kommunikation med små och medelstora företag, inbegripet uppstartsföretag, tillhandahållare, andra innovatörer och, om lämpligt, lokala offentliga myndigheter, för att ge råd och svara på frågor om genomförandet av denna förordning, inbegripet när det gäller deltagande i regulatoriska sandlådor för AI. d) Underlätta små och medelstora företags och andra berörda parters deltagande i processen för standardiseringsutveckling. 2. De särskilda intressen och behov som små och medelstora företag, inbegripet uppstartsföretag, har som leverantörer ska beaktas när avgifterna för bedömning av överensstämmelse enligt artikel 43 fastställs, och avgifterna ska minskas i proportion till deras storlek, marknadsstorlek och andra relevanta indikatorer. 3. AI-byrån ska vidta följande åtgärder: a) Tillhandahålla standardiserade mallar för områden som omfattas av denna förordning, i enlighet med styrelsens anvisningar i dess begäran. b) Utveckla och upprätthålla en enda informationsplattform som ger information som är lätt att använda om denna förordning till alla operatörer i hela unionen. 925 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 c) Anordna lämpliga kommunikationskampanjer för att öka medvetenheten om de skyldigheter som följer av denna förordning, d) Utvärdera och främja konvergens av bästa praxis i förfaranden för offentlig upphandling när det gäller AI-system. Artikel 63 Undantag för särskilda operatörer 1. Mikroföretag i den mening som avses i rekommendation 2003/361/EG får på ett förenklat sätt efterleva vissa delar av det kvalitetsstyrningssystem som krävs enligt artikel 17 i denna förordning, förutsatt att de inte har partnerföretag eller anknutna företag i den mening som avses i den rekommendationen. För detta ändamål ska kommissionen utarbeta riktlinjer för de delar av kvalitetsstyrningssystemet som får efterlevas på ett förenklat sätt med beaktande av mikroföretags behov, utan att det påverkar skyddsnivån eller behovet av efterlevnad av kraven med avseende på AI-system med hög risk. 2. Punkt 1 i denna artikel ska inte tolkas som att dessa operatörer undantas från att uppfylla andra krav eller fullgöra andra skyldigheter som fastställs i denna förordning, inbegripet dem som fastställs i artiklarna 9, 10, 11, 12, 13, 14, 15, 72 och 73. KAPITEL VII STYRNING AVSNITT 1 Styrning på unionsnivå Artikel 64 AI-byrån 1. Kommissionen ska utveckla unionens sakkunskap och kapacitet på AI-området genom AI-byrån. 2. Medlemsstaterna ska underlätta de uppgifter som anförtros AI-byrån, i enlighet med vad som återspeglas i denna förordning. Artikel 65 Inrättande av och strukturen för den europeiska styrelsen för artificiell intelligens 1. En europeisk styrelse för artificiell intelligens (styrelsen) inrättas härmed. 2. Styrelsen ska bestå av en företrädare per medlemsstat. Europeiska datatillsynsmannen ska delta som observatör. Även AI-byrån ska närvara vid styrelsens möten, utan att delta i omröstningarna. Andra myndigheter, organ eller experter på nationell nivå och unionsnivå får bjudas in till mötena av styrelsen från fall till fall, om de frågor som diskuteras är relevanta för dem. 3. Varje företrädare ska utses av sin medlemsstat för en period på tre år som får förnyas en gång. 4. Medlemsstaterna ska säkerställa att deras företrädare i styrelsen a) har relevant behörighet och relevanta befogenheter i sin medlemsstat för att aktivt bidra till fullgörandet av styrelsens uppgifter enligt artikel 66, b) utses till gemensam kontaktpunkt gentemot styrelsen och när så är lämpligt, med beaktande av medlemsstaternas behov, till gemensam kontaktpunkt för de berörda parterna, 926 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 c) har befogenhet att underlätta enhetlighet och samordning mellan nationella behöriga myndigheter i sina medlemsstater när det gäller genomförandet av denna förordning, bland annat genom insamling av relevanta uppgifter och relevant information för att de ska kunna fullgöra sina uppgifter i styrelsen. 5. Medlemsstaternas utsedda företrädare ska anta styrelsens arbetsordning med två tredjedels majoritet. Arbetsordningen ska särskilt föreskriva förfaranden för urvalsprocessen, mandatets varaktighet och specifikationer för ordförandens uppgifter, närmare omröstningsregler och organisationen av styrelsens och dess undergruppers verksamhet. 6. Styrelsen ska inrätta två ständiga undergrupper som ska tillhandahålla en plattform för samarbete och utbyte mellan marknadskontrollmyndigheter och anmälande myndigheter i frågor som rör marknadskontroll respektive anmälda organ. Den ständiga undergruppen för marknadskontroll bör fungera som grupp för administrativt samarbete (Adco-grupp) för denna förordning i den mening som avses i artikel 30 i förordning (EU) 2019/1020. Styrelsen får inrätta andra ständiga eller tillfälliga undergrupper när så är lämpligt i syfte att granska specifika frågor. När så är lämpligt får företrädare för det rådgivande forum som avses i artikel 67 bjudas in till sådana undergrupper eller till särskilda möten i dessa arbetsgrupper som observatörer. 7. Styrelsen ska vara organiserad och fungera på ett sådant sätt att objektiviteten och opartiskheten i dess verksamhet skyddas. 8. En av företrädarna för medlemsstaterna ska vara ordförande i styrelsen. AI-byrån ska bistå styrelsen med ett sekretariat, sammankalla till möten på begäran av ordföranden och förbereda dagordningen i enlighet med styrelsens uppdrag enligt denna förordning och dess arbetsordning. Artikel 66 Styrelsens uppgifter Styrelsen ska ge råd till och bistå kommissionen och medlemsstaterna för att underlätta en konsekvent och effektiv tillämpning av denna förordning. För detta ändamål får styrelsen särskilt a) bidra till samordningen mellan de nationella behöriga myndigheter som ansvarar för tillämpningen av denna förordning och, i samarbete med de berörda marknadskontrollmyndigheterna och med dessas samtycke, stödja marknadskontrollmyndigheternas gemensamma aktiviteter, som avses i artikel 74.11, b) samla in och utbyta teknisk och regleringsmässig sakkunskap och bästa praxis bland medlemsstaterna, c) ge råd om genomförandet av denna förordning, särskilt när det gäller kontroll av efterlevnaden av reglerna om AI-modeller för allmänna ändamål, d) bidra till harmoniseringen av administrativ praxis i medlemsstaterna, inbegripet när det gäller det undantag från de förfaranden för bedömning av överensstämmelse som avses i artikel 46, funktionen hos de regulatoriska sandlådorna för AI och testning under verkliga förhållanden som avses i artiklarna 57, 59 och 60, e) på begäran av kommissionen eller på eget initiativ utfärda rekommendationer och skriftliga yttranden om alla relevanta frågor som rör genomförandet av denna förordning och dess konsekventa och effektiva tillämpning, inbegripet i) om utarbetande och tillämpning av uppförandekoder och förfarandekoder enligt denna förordning samt av kommissionens riktlinjer, ii) utvärderingen och översynen av denna förordning enligt artikel 112, inbegripet när det gäller de rapporter om allvarliga incidenter som avses i artikel 73, och funktionen för den EU-databas som avses i artikel 71, utarbetandet av delegerade akter eller genomförandeakter, och vad gäller eventuella anpassningar av denna förordning till unionens harmoniseringslagstiftning som förtecknas i bilaga I, iii) om tekniska specifikationer eller befintliga standarder avseende de krav som anges i kapitel III avsnitt 2, 927 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 iv) om användning av harmoniserade standarder eller gemensamma specifikationer som avses i artiklarna 40 och 41, v) trender, såsom europeisk global konkurrenskraft inom AI, användningen av AI i unionen och utvecklingen av digitala färdigheter, vi) trender för AI-värdekedjors föränderliga typologi, särskilt när det gäller de därav följande konsekvenserna vad gäller ansvarsskyldighet, vii) om det potentiella behovet av att ändra bilaga III i enlighet med artikel 7 och om det potentiella behovet av en eventuell översyn av artikel 5 enligt artikel 112, med beaktande av relevanta tillgängliga evidens och den senaste teknikutvecklingen, f) stödja kommissionen med att främja AI-kunnighet, allmänhetens medvetenhet om och förståelsen av fördelar, risker, skyddsåtgärder och rättigheter och skyldigheter i samband med användningen av AI-system, g) underlätta utvecklingen av gemensamma kriterier och en gemensam förståelse bland marknadsaktörer och behöriga myndigheter om de relevanta begrepp som anges i denna förordning, inbegripet genom att bidra till utvecklingen av riktmärken, h) vid behov samarbeta med andra av unionens institutioner, organ, och byråer och med unionens relevanta expertgrupper och nätverk, särskilt på områdena produktsäkerhet, cybersäkerhet, konkurrenskraft, digitala tjänster och medietjänster, finansiella tjänster, konsumentskydd, dataskydd och skydd av grundläggande rättigheter, i) bidra till ett effektivt samarbete med behöriga myndigheter i tredjeländer och med internationella organisationer, j) bistå nationella behöriga myndigheter och kommissionen i utvecklingen av den organisatoriska och tekniska expertis som krävs för genomförandet av denna förordning, bland annat genom att bidra till bedömningen av utbildnings- behoven för den personal från medlemsstater som deltar i genomförandet av denna förordning. k) bistå AI-byrån i stödet till nationella behöriga myndigheter vid inrättandet och utvecklingen av regulatoriska sandlådor för AI, och underlätta samarbete och informationsutbyte mellan regulatoriska sandlådor för AI, l) bidra till och ge relevanta råd om utarbetandet av vägledande dokument, m) ge kommissionen råd i internationella AI-frågor, n) avge yttranden till kommissionen om kvalificerade varningar avseende AI-modeller för allmänna ändamål, o) ta emot yttranden från medlemsstaterna om kvalificerade varningar om AI-modeller för allmänna ändamål och om nationella erfarenheter och nationell praxis när det gäller övervakning och kontroll av efterlevnad avseende AI-system, särskilt system som integrerar AI-modellerna för allmänna ändamål. Artikel 67 Rådgivande forum 1. Ett rådgivande forum ska inrättas för att tillhandahålla teknisk expertis och ge råd till styrelsen och kommissionen och bidra till deras uppgifter enligt denna förordning. 2. Medlemmarna i det rådgivande forumet ska representera ett balanserat urval av berörda parter, däribland branschen, uppstartsföretag, små och medelstora företag, det civila samhället, och den akademiska världen. Sammansättningen av det rådgivande forumet ska vara balanserad med avseende på kommersiella och icke-kommersiella intressen samt, inom kategorin kommersiella intressen, med avseende på små och medelstora företag och andra företag. 3. Kommissionen ska utse medlemmarna i det rådgivande forumet i enlighet med kriterierna i punkt 2 bland berörda parter med erkänd sakkunskap på AI-området. 928 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 4. Mandatperioden för medlemmarna i det rådgivande forumet ska vara två år, som får förlängas med högst fyra år. 5. Europeiska unionens byrå för grundläggande rättigheter, Europeiska unionens cybersäkerhetsbyrå (Enisa), Europeiska standardiseringskommittén (CEN), Europeiska kommittén för elektroteknisk standardisering (Cenelec) och Europeiska institutet för telekommunikationsstandarder (Etsi) ska vara ständiga medlemmar i det rådgivande forumet. 6. Det rådgivande forumet ska själv utarbeta sin arbetsordning. Den ska välja två medordförande bland sina medlemmar i enlighet med kriterierna i punkt 2. Medordförandenas mandatperiod ska vara två år och får förlängas en gång. 7. Det rådgivande forumet ska hålla möten minst två gånger per år. Det rådgivande forumet får bjuda in experter och andra berörda parter till sina möten. 8. Det rådgivande forumet får utarbeta yttranden, rekommendationer och skriftliga bidrag på begäran av styrelsen eller kommissionen. 9. Det rådgivande forumet får inrätta permanenta eller tillfälliga undergrupper enligt vad som är lämpligt för att utreda specifika frågor med avseende på målen för denna förordning. 10. Det rådgivande forumet ska utarbeta en årsrapport om sin verksamhet. Den rapporten ska göras allmänt tillgänglig. Artikel 68 Vetenskaplig panel av oberoende experter 1. Kommissionen ska genom en genomförandeakt fastställa bestämmelser om inrättandet av en vetenskaplig panel av oberoende experter (den vetenskapliga panelen) som ska stödja verksamheten för efterlevnadskontroll enligt denna förordning. Genomförandeakten ska antas i enlighet med det granskningsförfarande som avses i artikel 98.2. 2. Den vetenskapliga panelen ska bestå av experter som valts ut av kommissionen på grundval av aktuell vetenskaplig eller teknisk expertis på AI-området och som är nödvändiga för de uppgifter som anges i punkt 3, och de ska kunna visa att de uppfyller samtliga följande villkor: a) Särskild sakkunskap och kompetens samt vetenskaplig eller teknisk expertis på AI-området. b) Oberoende ställning i förhållande till leverantörer av AI-system eller AI-modeller för allmänna ändamål. c) Förmåga att bedriva verksamhet aktsamt, korrekt och objektivt. Kommissionen ska i samråd med styrelsen fastställa antalet experter i panelen i enlighet med vad som krävs och säkerställa en rättvis könsfördelning och geografisk representation. 3. Den vetenskapliga panelen ska ge råd till och stödja AI-byrån, särskilt när det gäller följande uppgifter: a) Stödja genomförandet och kontrollen av efterlevnaden av denna förordning vad gäller AI-modeller och AI-system för allmänna ändamål, särskilt genom att i) varna AI-byrån för eventuella systemrisker på unionsnivå för AI-modeller för allmänna ändamål, i enlighet med artikel 90, ii) bidra till utvecklingen av verktyg och metoder för utvärdering av kapaciteten hos AI-modeller och AI-system för allmänna ändamål, bland annat genom riktmärken, iii) ge råd om klassificeringen av AI-modeller för allmänna ändamål med systemrisk, iv) ge råd om klassificeringen av olika AI-modeller för allmänna ändamål och AI-system för allmänna ändamål, 929 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 v) bidra till utvecklingen av verktyg och mallar. b) På begäran av marknadskontrollmyndigheterna stödja deras arbete. c) Stödja gränsöverskridande marknadskontrollsverksamhet enligt artikel 74.11, utan att det påverkar marknadskontrol- lmyndigheternas befogenheter. d) Stödja AI-byrån när den utför sina uppgifter inom ramen för unionsförfarandet för skyddsåtgärder enligt artikel 81. 4. Experterna i den vetenskapliga panelen ska utföra sina uppgifter opartiskt och objektivt och säkerställa att den information och de uppgifter som de erhåller vid utförandet av sina uppgifter och sin verksamhet behandlas konfidentiellt. De får varken begära eller ta emot instruktioner från någon när de utövar sina uppgifter enligt punkt 3. Varje expert ska avge en intresseförklaring, som ska göras allmänt tillgänglig. AI-byrån ska fastställa system och förfaranden för att aktivt hantera och förebygga potentiella intressekonflikter. 5. Den genomförandeakt som avses i punkt 1 ska innehålla bestämmelser om villkor, förfaranden och närmare arrangemang för att den vetenskapliga panelen och dess medlemmar ska utfärda varningar och begära bistånd från AI-byrån för utförandet av den vetenskapliga panelens uppgifter. Artikel 69 Medlemsstaternas tillgång till poolen av experter 1. Medlemsstaterna får anlita experter i den vetenskapliga panelen för att stödja deras verksamhet för efterlevnads- kontroll enligt denna förordning. 2. Medlemsstaterna får åläggas att betala avgifter för experternas rådgivning och stöd. Avgifternas struktur och nivå samt de ersättningsgilla kostnadernas omfattning och struktur ska anges i den genomförandeakt som avses i artikel 68.1, med beaktande av målen att få till stånd ett korrekt genomförande av denna förordning, kostnadseffektivitet och behovet av att säkerställa att alla medlemsstater har faktisk tillgång till experter. 3. Kommissionen ska vid behov underlätta för medlemsstaterna att i tid få tillgång till experterna och ska säkerställa att kombinationen av den stödverksamhet som utförs av unionens stödstrukturer för AI-testning enligt artikel 84 och experter enligt denna artikel organiseras effektivt och tillför bästa möjliga mervärde. AVSNITT 2 Nationella behöriga myndigheter Artikel 70 Utseende av nationella behöriga myndigheter och gemensamma kontaktpunkter 1. Varje medlemsstat ska vid tillämpning av denna förordning som nationella behöriga myndigheter inrätta eller utse minst en anmälande myndighet och minst en marknadskontrollmyndighet. Dessa nationella behöriga myndigheter ska utöva sina befogenheter på ett oberoende, objektivt och opartiskt sätt för att säkerställa objektiviteten i sina aktiviteter och uppgifter och för att säkerställa tillämpningen och genomförandet av denna förordning. Personalen vid dessa myndigheter ska avhålla sig från varje handling som är oförenlig med deras uppdrag. Förutsatt att dessa principer respekteras får sådana aktiviteter och uppgifter utföras av en eller flera utsedda myndigheter, i enlighet med medlemsstatens organisatoriska behov. 2. Medlemsstaterna ska meddela kommissionen identiteten på de anmälande myndigheterna och marknadskontrol- lmyndigheterna och dessa myndigheters uppgifter samt eventuella senare ändringar av dessa. Medlemsstaterna ska göra information om hur behöriga myndigheter och gemensamma kontaktpunkter kan kontaktas genom elektroniska kommunikationsmedel allmänt tillgänglig senast 2 augusti 2025. Medlemsstaterna ska utse en marknadskontrollmyndighet som ska fungera som gemensam kontaktpunkt för denna förordning och underrätta kommissionen om den gemensamma kontaktpunktens identitet. Kommissionen ska göra en förteckning över gemensamma kontaktpunkter allmänt tillgänglig. 930 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 3. Medlemsstaterna ska säkerställa att deras nationella behöriga myndigheter har tillräckliga tekniska och ekonomiska resurser samt personalresurser, och infrastruktur för att kunna fullgöra sina uppgifter på ett ändamålsenligt sätt enligt denna förordning. I synnerhet ska de nationella behöriga myndigheterna ha ett tillräckligt antal anställda till ständigt förfogande, vars kompetens och sakkunskap ska inbegripa en ingående förståelse av AI-teknik, data och databehandling, skydd av personuppgifter, cybersäkerhet, grundläggande rättigheter, hälso- och säkerhetsrisker och kunskap om befintliga standarder och rättsliga krav. Medlemsstaterna ska varje år bedöma och, vid behov, uppdatera de kompetens- och resurskrav som avses i denna punkt. 4. De nationella behöriga myndigheterna ska vidta lämpliga åtgärder för att säkerställa en lämplig nivå av cybersäkerhet. 5. De nationella behöriga myndigheterna ska när de utför sina uppgifter agera i enlighet med de konfidentialitetskrav som anges i artikel 78. 6. Senast den 2 augusti 2025 och därefter vartannat år ska medlemsstaterna rapportera till kommissionen om statusen för de nationella behöriga myndigheternas ekonomiska resurser och personalresurser, med en bedömning av deras tillräcklighet. Kommissionen ska översända denna information till styrelsen för diskussion och eventuella rekommenda- tioner. 7. Kommissionen ska underlätta erfarenhetsutbytet mellan nationella behöriga myndigheter. 8. Nationella behöriga myndigheter får ge vägledning och råd om genomförandet av denna förordning, i synnerhet till små och medelstora företag, inbegripet uppstartsföretag, med beaktande av styrelsens och kommissionens vägledning och rådgivning beroende på vad som är lämpligt. När de nationella behöriga myndigheterna avser att ge vägledning och rådgivning om ett AI-system på områden som omfattas av annan unionsrätt, ska samråd ske med de nationella behöriga myndigheterna enligt den unionsrätten, när så är lämpligt. 9. Om unionens institutioner, organ och byråer omfattas av denna förordning ska Europeiska datatillsynsmannen fungera som behörig tillsynsmyndighet för dessa. KAPITEL VIII EU-DATABAS FÖR AI-SYSTEM MED HÖG RISK Artikel 71 EU-databas för AI-system med hög risk som förtecknas i Bilaga III 1. Kommissionen ska i samarbete med medlemsstaterna inrätta och upprätthålla en EU-databas som innehåller den information som avses i punkterna 2 och 3 i denna artikel om AI-system med hög risk som avses i artikel 6.2 och som är registrerade i enlighet med artiklarna 49 och 60 och AI-system som inte betraktas som AI-system med hög risk enligt artikel 6.3 och som är registrerade i enlighet med artiklarna 6.4 och 49. När kommissionen fastställer de funktionella specifikationerna för en sådan databas ska den samråda med relevanta experter och när den uppdaterar de funktionella specifikationerna för en sådan databas ska den samråda med styrelsen. 2. De uppgifter som förtecknas i bilaga VIII avsnitten A och B ska föras in i EU-databasen av leverantören eller, i tillämpliga fall, av ombudet. 3. De uppgifter som förtecknas i avsnitt C i bilaga VIII ska föras in i EU-databasen av den tillhandahållare som är, eller agerar på uppdrag av, en offentlig myndighet eller byrå eller ett offentligt organ, i enlighet med artikel 49.3 och 49.4. 4. Med undantag för det avsnitt som avses i artiklarna 49.4 och 60.4 c ska informationen i den EU-databas som registrerats i enlighet med artikel 49 vara åtkomlig och allmänt tillgänglig på ett användarvänligt sätt. Det ska vara lätt att navigera i informationen, som ska vara maskinläsbar. Den information som registreras i enlighet med artikel 60 ska vara tillgänglig endast för marknadskontrollmyndigheter och kommissionen, såvida inte den potentiella leverantören eller leverantören har gett sitt samtycke till att denna information också görs tillgänglig för allmänheten. 5. EU-databasen ska innehålla personuppgifter endast i den mån det är nödvändigt för insamling och behandling av information i enlighet med denna förordning. Denna information ska omfatta namnen på och kontaktuppgifter för fysiska personer som ansvarar för att registrera systemet och som har rättslig behörighet att företräda leverantören eller tillhandahållaren, beroende på vad som är tillämpligt. 931 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 6. Kommissionen ska vara personuppgiftsansvarig för EU-databasen. Den ska göra tillräckligt tekniskt och administrativt stöd tillgängligt för leverantörer, potentiella leverantörer och tillhandahållare. EU-databasen ska uppfylla de tillämpliga tillgänglighetskraven. KAPITEL IX ÖVERVAKNING EFTER UTSLÄPPANDE PÅ MARKNADEN, INFORMATIONSDELNING OCH MARKNADSKONTROLL AVSNITT 1 Övervakning efter utsläppande på marknaden Artikel 72 Leverantörers övervakning efter utsläppande på marknaden och planen för övervakning efter utsläppande på marknaden när det gäller AI-system med hög risk 1. Leverantörer ska inrätta och dokumentera ett system för övervakning efter utsläppande på marknaden på ett sätt som står i proportion till AI-teknikens beskaffenhet och riskerna med AI-systemet med hög risk. 2. Systemet för övervakning efter utsläppande på marknaden ska aktivt och systematiskt samla in, dokumentera och analysera relevanta uppgifter som kan tillhandahållas av tillhandahållare eller som kan samlas in via andra källor om prestandan för AI-systemen med hög risk under hela deras livstid, och som gör det möjligt för leverantören att utvärdera AI-systemens fortlöpande överensstämmelse med kraven i kapitel III avsnitt 2. I förekommande fall ska övervakningen efter utsläppande på marknaden omfatta en analys av interaktionen med andra AI-system. Denna skyldighet omfattar inte känsliga operativa uppgifter om tillhandahållare som är brottsbekämpande myndigheter. 3. Systemet för övervakning efter utsläppande på marknaden ska baseras på en plan för övervakning efter utsläppande på marknaden. Planen för övervakning efter utsläppande på marknaden ska vara en del av den tekniska dokumentation som avses i bilaga IV. Kommissionen ska anta en genomförandeakt med detaljerade bestämmelser som fastställer en mall för planen för övervakning efter utsläppande på marknaden och en förteckning över de element som ska ingå i planen senast den 2 februari 2026. Den genomförandeakten ska antas i enlighet med det granskningsförfarande som avses i artikel 98.2. 4. För AI-system med hög risk som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I ska leverantörer, om ett system och en plan för övervakning efter utsläppande på marknaden redan har inrättats enligt den lagstiftningen, för att säkerställa samstämmighet, undvika dubbelarbete och minimera ytterligare bördor, ha möjlighet att, beroende på vad som är lämpligt, integrera de nödvändiga delar som beskrivs i punkterna 1, 2 och 3 med hjälp av den mall som avses i punkt 3 i system och planer som redan finns enligt den lagstiftningen, förutsatt att den uppnår en likvärdig skyddsnivå. Första stycket i denna punkt ska också tillämpas på AI-system med hög risk som avses i punkt 5 i bilaga III och som släpps ut på marknaden eller tas i bruk av finansiella institut som omfattas av krav avseende sina interna styrelseformer, arrangemang eller processer enligt unionsrätten om finansiella tjänster. AVSNITT 2 Informationsdelning om allvarliga incidenter Artikel 73 Rapportering av allvarliga incidenter 1. Leverantörer av AI-system med hög risk som släpps ut på unionsmarknaden ska rapportera alla allvarliga incidenter till marknadskontrollmyndigheterna i de medlemsstater där incidenten inträffade. 932 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 2. Den rapport som avses i punkt 1 ska göras omedelbart efter det att leverantören har fastställt ett orsakssamband mellan AI-systemet och den allvarliga incidenten eller den rimliga sannolikheten för att det finns ett sådant samband och, under alla omständigheter, senast 15 dagar efter det att leverantören eller, i tillämpliga fall, tillhandahållaren fått kännedom om den allvarliga incidenten. Den rapporteringsperiod som avses i första stycket ska ta hänsyn till hur allvarligt den allvarliga incidenten är. 3. Trots vad som sägs i punkt 2 i denna artikel ska, i händelse av en utbredd överträdelse eller en allvarlig incident enligt definitionen i artikel 3.49 b, den rapport som avses i punkt 1 i den här artikeln tillhandahållas omedelbart och senast två dagar efter det att leverantören eller, i tillämpliga fall, tillhandahållaren fått kännedom om incidenten. 4. Trots vad som sägs i punkt 2 ska rapporten, om en person avlider, tillhandahållas omedelbart efter det att leverantören eller tillhandahållaren har fastställt, eller så snart den misstänker, ett orsakssamband mellan AI-systemet med hög risk och den allvarliga incidenten, dock senast tio dagar efter den dag då leverantören eller, i tillämpliga fall, tillhandahållaren fått kännedom om den allvarliga incidenten. 5. Om det är nödvändigt för att säkerställa snabb rapportering får leverantören eller, i tillämpliga fall, tillhandahållaren, lämna in en inledande rapport som är ofullständig, följd av en fullständig rapport. 6. Efter rapporteringen av en allvarlig incident enligt punkt 1 ska leverantören utan dröjsmål utföra de nödvändiga utredningarna med avseende på den allvarliga incidenten och det berörda AI-systemet. Detta ska inbegripa en riskbedömning av incidenten och korrigerande åtgärder. Leverantören ska samarbeta med de behöriga myndigheterna, och i förekommande fall med det berörda anmälda organet, under de utredningar som avses i första stycket, och får inte utföra någon utredning som inbegriper att ändra det berörda AI-systemet på ett sätt som kan påverka eventuella efterföljande utvärderingar av orsakerna till incidenten, innan den underrättar de behöriga myndigheterna om en sådan åtgärd. 7. Efter att ha mottagit en underrättelse om en allvarlig incident enligt artikel 3.49 c ska den berörda marknadskontrollmyndigheten informera de nationella offentliga myndigheter eller organ som avses i artikel 77.1. Kommissionen ska utarbeta särskilda vägledning för att underlätta fullgörandet av de skyldigheter som anges i punkt 1 i den här artikeln. Dessa riktlinjer ska utfärdas senast den 2 augusti 2025 och ska bedömas regelbundet. 8. Marknadskontrollmyndigheten ska vidta lämpliga åtgärder i enlighet med vad som föreskrivs i artikel 19 i förordning (EU) 2019/1020 inom sju dagar från den dag som den mottog den underrättelse som avses i punkt 1 i den här artikeln och ska följa de underrättelseförfaranden som föreskrivs i den förordningen. 9. För AI-system med hög risk som avses i bilaga III och som släpps ut på marknaden eller tas i bruk av leverantörer som omfattas av unionslagstiftningsinstrument som föreskriver rapporteringsskyldigheter som är likvärdiga med dem som anges i denna förordning ska anmälan av allvarliga incidenter vara begränsade till dem som avses i artikel 3.49 c. 10. För AI-system med hög risk som utgör säkerhetskomponenter i enheter, eller som själva är enheter, vilka omfattas av förordningarna (EU) 2017/745 och (EU) 2017/746, ska anmälan av allvarliga incidenter begränsas till sådana som avses i artikel 3.49 c i den här förordningen och göras till den nationella behöriga myndighet som utsetts för detta ändamål av de medlemsstater där incidenten inträffade. 11. Nationella behöriga myndigheter ska omedelbart underrätta kommissionen om alla allvarliga incidenter, oavsett om de har vidtagit åtgärder med anledning av dessa, i enlighet med artikel 20 i förordning (EU) 2019/1020. AVSNITT 3 Kontroll av efterlevnad Artikel 74 Marknadskontroll och kontroll av AI-system på unionsmarkanden 1. Förordning (EU) 2019/1020 ska tillämpas på AI-system som omfattas av den här förordningen. För att effektivt kunna kontrollera efterlevnaden av den här förordningen gäller följande: 933 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 a) Alla hänvisningar till en ekonomisk aktör enligt förordning (EU) 2019/1020 ska förstås som hänvisningar som omfattar alla operatörer som identifieras artikel 2.1 i den här förordningen. b) Alla hänvisningar till en produkt enligt förordning (EU) 2019/1020 ska förstås som hänvisningar som omfattar alla AI-system som omfattas av den här förordningen. 2. Som en del av sina rapporteringsskyldigheter enligt artikel 34.4 i förordning (EU) 2019/1020 ska marknadskon- trollmyndigheterna årligen rapportera till kommissionen och berörda nationella konkurrensmyndigheter all information som framkommit i samband med marknadskontrollen och som kan vara av potentiellt intresse för tillämpningen av unionens konkurrenslagstiftning. De ska också årligen rapportera till kommissionen om användning inom förbjudna användningsområden som ägt rum det året och om de åtgärder som vidtagits. 3. För AI-system med hög risk som är relaterade till produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I ska marknadskontrollmyndigheten vid tillämpning av denna förordning vara den myndighet ansvarig för marknadskontroll som utsetts enligt de rättsakterna. Genom undantag från första stycket och under lämpliga omständigheter får medlemsstaterna utse en annan berörd myndighet att fungera som marknadskontrollmyndighet under förutsättning att de säkerställer samordning med de berörda sektorsspecifika marknadskontrollmyndigheter som är ansvariga för kontroll av efterlevnaden av unionens harmoniser- ingslagstiftning som förtecknas i bilaga I. 4. De förfaranden som avses i artiklarna 79–83 i denna förordning är inte tillämplig på AI-system som är relaterade till produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I om sådana rättsakter redan föreskriver förfaranden som säkerställer en likvärdig skyddsnivå och har samma syfte. I sådana fall ska dessa relevanta sektorsspecifika förfaranden tillämpas i stället. 5. Utan att det påverkar marknadskontrollmyndigheternas befogenheter enligt artikel 14 i förordning (EU) 2019/1020 får marknadskontrollmyndigheterna i syfte att säkerställa en effektiv kontroll av efterlevnaden av den här förordningen på distans och när så är lämpligt utöva de befogenheter som avses i artikel 14.4 d och j i den förordningen. 6. För AI-system med hög risk som släpps ut på marknaden, tas i bruk eller används av finansinstitut som regleras av unionsrätten om finansiella tjänster ska marknadskontrollmyndigheten vid tillämpning av denna förordning vara den berörda nationella myndighet som enligt den lagstiftningen ansvarar för den finansiella tillsynen över dessa institut, i den mån utsläppandet på marknaden, ibruktagandet eller användningen av AI-systemet står i direkt samband med tillhandahållandet av dessa finansiella tjänster. 7. Genom undantag från punkt 6 får en annan berörd myndighet, under lämpliga omständigheter och under förutsättning att samordning säkerställs, av medlemsstaten identifieras som marknadskontrollmyndighet vid tillämpning av denna förordning. Nationella marknadskontrollmyndigheter som utövar tillsyn över reglerade kreditinstitut reglerade enligt direkt- iv 2013/36/EU och som deltar i den gemensamma tillsynsmekanism som inrättats genom förordning (EU) nr 1024/2013, ska utan dröjsmål till Europeiska centralbanken rapportera all information som identifierats i samband med deras marknadskontroll och som kan vara av potentiellt intresse för Europeiska centralbankens tillsynsuppgifter enligt den förordningen. 8. För AI-system med hög risk som förtecknas i punkt 1 i bilaga III till denna förordning ska medlemsstaterna, i den mån systemen används för brottsbekämpande ändamål, gränsförvaltning och rättvisa och demokrati, och för AI-system med hög risk som förtecknas i punkterna 6, 7 och 8 i bilaga III till denna förordning, till marknadskontrollmyndigheter för tillämpning av denna förordning utse antingen de behöriga tillsynsmyndigheterna för dataskydd enligt förordning (EU) 2016/679 eller direktiv (EU) 2016/680, eller någon annan myndighet som utsetts enligt de villkor som fastställs i artiklarna 41–44 i direktiv (EU) 2016/680. Marknadskontrollen påverkar inte på något sätt rättsliga myndigheters oberoende eller på annat sätt inkräkta på deras verksamhet när de agerar inom ramen för sin dömande verksamhet. 9. När unionens institutioner, byråer eller organ omfattas av denna förordning ska Europeiska datatillsynsmannen fungera som marknadskontrollmyndighet för dessa, med undantag av när Europeiska unionens domstol agerar i dess rättskipande funktion. 10. Medlemsstaterna ska underlätta samordningen mellan marknadskontrollmyndigheter som utses enligt denna förordning och andra relevanta nationella myndigheter eller organ som utövar tillsyn över tillämpningen av unionens harmoniseringslagstiftning som förtecknas i bilaga I eller annan unionsrätt som kan vara relevant för de AI-system med hög risk som avses i bilaga III. 934 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 11. Marknadskontrollmyndigheter och kommissionen ska kunna föreslå gemensamma aktiviteter, inbegripet gemensamma undersökningar, som ska genomföras antingen av marknadskontrollmyndigheterna själva eller av marknadskontrollmyndigheter tillsammans med kommissionen, och som syftar till att främja överensstämmelse, identifiera bristande överensstämmelse, öka medvetenheten och ge vägledning om denna förordning med avseende på specifika kategorier av AI-system med hög risk som befinns utgöra en allvarlig risk i två eller flera medlemsstater i enlighet med artikel 9 i förordning (EU) 2019/1020. AI-byrån ska tillhandahålla samordningsstöd för gemensamma utredningar. 12. Utan att det påverkar de befogenheter som föreskrivs enligt förordning (EU) 2019/1020, och när så är relevant och begränsat till vad som är nödvändigt för att marknadskontrollmyndigheterna ska kunna fullgöra sina uppgifter, ska leverantörer bevilja dessa fullständig åtkomst till den dokumentation och de tränings-, validerings- och testdataset som används för utvecklingen av AI-system med hög risk, inbegripet, när så är lämpligt och med förbehåll för säkerhetsgarantier, genom applikationsprogrammeringsgränssnitt (API) eller andra relevanta tekniska medel och verktyg som möjliggör fjärråtkomst. 13. Marknadskontrollmyndigheterna ska beviljas tillgång till källkoden för AI-systemet med hög risk på motiverad begäran och endast om båda följande villkor är uppfyllda: a) Tillgång till källkod är nödvändig för att bedöma om ett AI-system med hög risk uppfyller kraven i kapitel III avsnitt 2. b) Testnings- eller revisionsförfaranden och kontroller som grundas på uppgifter och dokumentation från leverantören har uttömts eller visat sig vara otillräckliga. 14. All information eller dokumentation som har erhållits av marknadskontrollmyndigheter ska behandlas i enlighet med de konfidentialitetskrav som anges i artikel 78. Artikel 75 Ömsesidigt bistånd, marknadskontroll och kontroll av AI-system för allmänna ändamål 1. Om ett AI-system bygger på en AI-modell för allmänna ändamål och modellen och systemet har utvecklats av samma leverantör ska AI-byrån ha befogenhet att övervaka och utöva tillsyn över AI-systemets efterlevnad av skyldigheter enligt denna förordning. För att utföra sina övervaknings- och tillsynsuppgifter ska AI-byrån ha alla befogenheter som en marknadskontrollmyndighet har enligt detta avsnitt och förordning (EU) 2019/1020. 2. Om de relevanta marknadskontrollmyndigheterna har tillräckliga skäl att anse att AI-system för allmänna ändamål som kan användas direkt av tillhandahållare för minst ett ändamål som klassificeras som AI-system med hög risk enligt denna förordning inte uppfyller de krav som fastställs i denna förordning, ska de samarbeta med AI-byrån för att utföra bedömningar av överensstämmelse och informera styrelsen och andra marknadskontrollmyndigheter om detta. 3. Om en marknadskontrollmyndighet inte kan slutföra sina utredningar av AI-system med hög risk på grund av att den inte fått tillgång till viss information avseende AI-modellen för allmänna ändamål, trots att den har vidtagit alla lämpliga åtgärder för att inhämta den informationen, får den lämna en motiverad begäran till AI-byrån, genom vilken tillgång till denna information ska verkställas. I detta fall ska AI-byrån utan dröjsmål, och under alla omständigheter inom 30 dagar, förse den begärande myndigheten med all information som AI-byrån anser vara relevant för att fastställa om ett AI-system med hög risk inte uppfyller kraven. Marknadskontrollmyndigheter ska säkerställa att den information som de erhåller i enlighet med artikel 78 i denna förordning behandlas konfidentiellt. Det förfarande som föreskrivs i kapitel VI i förordning (EU) 2019/1020 ska gälla i tillämpliga delar. Artikel 76 Marknadskontrollmyndigheters tillsyn av testning under verkliga förhållanden 1. Marknadskontrollmyndigheterna ska ha behörigheter och befogenheter att säkerställa att testning under verkliga förhållanden sker i enlighet med denna förordning. 935 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 2. Om testning under verkliga förhållanden utförs för AI-system som står under tillsyn inom ramen för en regulatorisk sandlåda för AI enligt artikel 58, ska marknadskontrollmyndigheterna kontrollera efterlevnaden av artikel 60 som en del av sin tillsynsroll för den regulatoriska sandlådan för AI. Dessa myndigheter får, beroende på vad som är lämpligt, tillåta att testning under verkliga förhållanden utförs av leverantören eller den potentiella leverantören med avvikelse från de villkor som anges i artikel 60.4 f och g. 3. Om en marknadskontrollmyndighet har informerats av den potentiella leverantören, leverantören eller någon tredje part om en allvarlig incident eller har andra skäl att anse att villkoren i artiklarna 60 och 61 inte är uppfyllda, får den, beroende på vad som är lämpligt, fatta något av följande beslut på sitt territorium: a) Tillfälligt avbryta eller avsluta testningen under verkliga förhållanden. b) Kräva att leverantören eller den potentiella leverantören och tillhandahållaren eller den potentiella tillhandahållaren ändrar någon aspekt av testningen under verkliga förhållanden. 4. Om en marknadskontrollmyndighet har fattat ett beslut som avses i punkt 3 i denna artikel eller har gjort en invändning i den mening som avses i artikel 60.4 b, ska skälen till beslutet eller invändningen anges i beslutet eller invändningen liksom information om hur leverantören eller den potentiella leverantören kan bestrida beslutet eller invändningen. 5. I tillämpliga fall ska en marknadskontrollmyndighet, om den har fattat ett beslut som avses i punkt 3, meddela skälen till detta till marknadskontrollmyndigheterna i andra medlemsstater där AI-systemet har testats i enlighet med planen för testning. Artikel 77 Myndigheters befogenheter att skydda grundläggande rättigheter 1. Nationella offentliga myndigheter eller organ som utövar tillsyn över eller kontrollerar efterlevnaden av skyldigheter enligt unionsrätt om skydd av grundläggande rättigheter, inbegripet rätten till icke-diskriminering, i samband med användningen av AI-system med hög risk som avses i bilaga III, ska ha befogenhet att begära och få åtkomst till all dokumentation som skapas eller upprätthålls enligt denna förordning på ett språk och i ett format som är lättillgängligt när åtkomst till sådan dokumentation är nödvändig för att effektivt fullgöra sina mandat inom ramen för deras jurisdiktion. Den berörda offentliga myndigheten eller det berörda offentliga organet ska informera marknadskontrollmyndigheten i den berörda medlemsstaten om en sådan begäran. 2. Senast den 2 november 2024 ska varje medlemsstat identifiera de offentliga myndigheter eller organ som avses i punkt 1 och offentliggöra en förteckning över dem. Medlemsstaterna ska anmäla förteckningen till kommissionen och de andra medlemsstaterna och hålla förteckningen uppdaterad. 3. Om den dokumentation som avses i punkt 1 är otillräcklig för att fastställa huruvida ett åsidosättande av skyldigheter enligt unionsrätt om skydd av grundläggande rättigheter har ägt rum, får den offentliga myndighet eller det offentliga organ som avses i punkt 1 lämna en motiverad begäran till marknadskontrollmyndigheten om organisering av testning av AI-systemet med hög risk genom tekniska medel. Marknadskontrollmyndigheten ska organisera testningen i nära samarbete med den begärande offentliga myndigheten eller det begärande offentliga organet inom rimlig tid efter begäran. 4. All information eller dokumentation som de nationella offentliga myndigheter eller organ som avses i punkt 1 i denna artikel erhåller enligt denna artikel ska behandlas i enlighet med de konfidentialitetskrav som fastställs i artikel 78. Artikel 78 Konfidentiell behandling 1. Kommissionen, marknadskontrollmyndigheterna och anmälda organ och alla andra fysiska eller juridiska personer som deltar i tillämpningen av denna förordning ska, i enlighet med unionsrätten eller nationell rätt, respektera konfidentialiteten för den information och de data som de erhåller när de utför sina uppgifter och sin verksamhet på ett sådant sätt att de särskilt skyddar följande: 936 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 a) Immateriella rättigheter och en fysisk eller juridisk persons konfidentiella affärsinformation eller företagshemligheter, inklusive källkod, utom i de fall som avses i artikel 5 i Europaparlamentets och rådets direktiv (EU) 2016/943 (57). b) Ett effektivt genomförande av denna förordning, särskilt med avseende på inspektioner, utredningar eller revisioner. c) Offentliga och nationella säkerhetsintressen. d) Genomförandet av straffrättsliga eller administrativa förfaranden. e) Uppgifter som säkerhetsskyddsklassificerats enligt unionsrätten eller nationell rätt. 2. De myndigheter som deltar i tillämpningen av denna förordning enligt punkt 1 ska endast begära sådana data som är strikt nödvändiga för bedömningen av den risk som AI-system utgör och för utövandet av deras befogenheter i enlighet med denna förordning och med förordning (EU) 2019/1020. De ska vidta tillräckliga och effektiva cybersäkerhetsåtgärder för att skydda säkerheten och konfidentialiteten för den information och de data som inhämtats, och ska radera inhämtade data så snart dessa inte längre behövs för det ändamål för vilket de inhämtats, i enlighet med tillämplig unionsrätt eller nationell rätt. 3. Utan att det påverkar tillämpningen av punkterna 1 och 2 får information som på konfidentiell basis utbyts mellan de nationella behöriga myndigheterna eller mellan nationella behöriga myndigheter och kommissionen inte lämnas ut utan föregående samråd med den nationella behöriga myndighet som lämnat informationen och med tillhandahållaren när sådana AI-system med hög risk som avses i punkt 1, 6 eller 7 i bilaga III används av brottsbekämpande myndigheter, gränskontrollmyndigheter, migrationsmyndigheter eller asylmyndigheter, om ett sådant röjande skulle äventyra allmänna och nationella säkerhetsintressen. Detta informationsutbyte får inte omfatta känsliga operativa uppgifter som rör brottsbekämpande myndigheters, gränskontrollmyndigheters, migrationsmyndigheters eller asylmyndigheters verksamhet. Om brottsbekämpande myndigheter, migrationsmyndigheter eller asylmyndigheter är leverantörer av sådana AI-system med hög risk som avses i punkt 1, 6 eller 7 i bilaga III ska den tekniska dokumentation som avses i bilaga IV finnas kvar i dessa myndigheters lokaler. Dessa myndigheter ska säkerställa att de marknadskontrollmyndigheter som avses i artikel 74.8 och 74.9, beroende på vad som är tillämpligt, på begäran omedelbart kan få åtkomst till eller få en kopia av dokumentationen. Endast personal vid marknadskontrollmyndigheten som innehar säkerhetsgodkännande på tillräckligt hög nivå ska ha åtkomst till denna dokumentation eller kopior av denna. 4. Punkterna 1, 2 och 3 påverkar inte kommissionens, medlemsstaternas och deras relevanta myndigheters samt anmälda organs rättigheter eller skyldigheter när det gäller att utbyta information och utfärda varningar, inbegripet i samband med gränsöverskridande samarbete, och inte heller påverkas de berörda parternas straffrättsliga skyldighet att lämna information enligt medlemsstaternas straffrätt. 5. Kommissionen och medlemsstaterna får, om det är nödvändigt och förenligt med relevanta bestämmelser i internationella avtal och handelsavtal, utbyta konfidentiell information med de tillsynsmyndigheter i tredjeländer med vilka de har slutit bilaterala eller multilaterala avtal om konfidentialitet som garanterar en tillräcklig nivå av konfidentialitet. Artikel 79 Förfaranden för att hantera AI-system som utgör en risk på nationell nivå 1. AI-system som utgör en risk ska förstås som en produkt som utgör en risk enligt definitionen i artikel 3.19 i förordning (EU) 2019/1020 i den mån de utgör risker för personers hälsa eller säkerhet eller grundläggande rättigheter. 2. Om en medlemsstats marknadskontrollmyndighet har tillräckliga skäl att anse att ett AI-system utgör en sådan risk som avses i punkt 1 i denna artikel, ska den utvärdera om det berörda AI-systemet är förenligt med alla krav och skyldigheter som fastställs i denna förordning. Särskild uppmärksamhet ska ägnas åt AI-system som utgör en risk för sårbara grupper. Om risker för grundläggande rättigheter identifieras ska marknadskontrollsmyndigheten även omedelbart informera och till fullo samarbeta med de berörda nationella offentliga myndigheter eller organ som avses i artikel 77.1. De berörda operatörerna ska vid behov samarbeta med marknadskontrollmyndigheten och andra nationella offentliga myndigheter eller organ som avses i artikel 77.1. (57) Europaparlamentets och rådets direktiv (EU) 2016/943 av den 8 juni 2016 om skydd mot att icke röjd know-how och företagsinformation (företagshemligheter) olagligen anskaffas, utnyttjas och röjs (EUT L 157, 15.6.2016, s. 1). 937 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 Om marknadskontrollsmyndigheten eller, när så är lämpligt, marknadskontrollsmyndigheten i samarbete med den nationella offentliga myndighet som avses i artikel 77.1, vid utvärderingen konstaterar att AI-systemet inte uppfyller kraven och skyldigheterna i denna förordning ska den utan oskäligt dröjsmål kräva att berörda operatörer vidtar alla lämpliga korrigerande åtgärder för att AI-systemet ska uppfylla dessa krav, dra tillbaka AI-systemet från marknaden eller återkalla det inom en period som marknadskontrollsmyndigheten får fastställa, och under alla omständigheter senast inom 15 arbetsdagar eller såsom fastställts i relevant unionsharmoniseringslagstiftning. Marknadskontrollmyndigheten ska informera det berörda anmälda organet om detta. Artikel 18 i förordning (EU) 2019/1020 ska tillämpas på de åtgärder som avses i andra stycket i denna punkt. 3. Om marknadskontrollmyndigheten anser att den bristande överensstämmelsen inte bara gäller det nationella territoriet, ska den utan oskäligt dröjsmål informera kommissionen och de andra medlemsstaterna om utvärdering- sresultaten och om de åtgärder som den har ålagt operatören att vidta. 4. Operatören ska säkerställa att alla lämpliga korrigerande åtgärder vidtas i fråga om alla berörda AI-system som den har tillhandahållit på unionsmarknaden. 5. Om operatören av ett AI-system inte vidtar lämpliga korrigerande åtgärder inom den tid som avses i punkt 2, ska marknadskontrollmyndigheten vidta alla lämpliga provisoriska åtgärder för att förbjuda eller begränsa tillhandahållandet eller ibruktagandet av AI-systemet på sin nationella marknad, dra tillbaka produkten eller det fristående AI-systemet från den marknaden eller återkalla det. Myndigheten ska utan oskäligt dröjsmål anmäla dessa åtgärder till kommissionen och de andra medlemsstaterna. 6. I den anmälan som avses i punkt 5 ska alla tillgängliga data ingå, särskilt den information som krävs för att kunna identifiera det AI-system som inte uppfyller kraven, dess ursprung och leveranskedjan, vilken typ av bristande överensstämmelse som görs gällande och den risk systemet utgör, vilken typ av nationell åtgärd som vidtagits och dess varaktighet samt den berörda operatörens synpunkter. Marknadskontrollmyndigheterna ska särskilt ange om den bristande överensstämmelsen beror på en eller flera av följande orsaker: a) Bristande efterlevnad av förbudet mot de AI-användningsområden som avses i artikel 5. b) AI-systemet med hög risk uppfyller inte kraven i kapitel III avsnitt 2. c) Brister i de harmoniserade standarder eller gemensamma specifikationer som avses i artiklarna 40 och 41 och som ger presumtion om överensstämmelse. d) Bristande efterlevnad av artikel 50. 7. Andra marknadskontrollmyndigheter än marknadskontrollmyndigheten i den medlemsstat som inledde förfarandet ska utan oskäligt dröjsmål informera kommissionen och de andra medlemsstaterna om alla vidtagna åtgärder och eventuella kompletterande uppgifter som de har tillgång till med avseende på AI-systemets bristande överensstämmelse och, vid oenighet om den anmälda nationella åtgärden, om sina invändningar. 8. Åtgärden ska anses vara berättigad om ingen marknadskontrollmyndighet i en medlemsstat eller kommissionen har gjort invändningar inom tre månader efter mottagandet av den anmälan som avses i punkt 5 mot en provisorisk åtgärd som vidtagits av en marknadskontrollmyndighet i en annan medlemsstat. Detta påverkar inte den berörda operatörens processuella rättigheter i enlighet med artikel 18 i förordning (EU) 2019/1020. Den tremånadersperiod som avses i detta stycke ska minskas till 30 dagar vid bristande efterlevnad av förbudet mot de AI-användningsområden som avses i artikel 5 i den här förordningen. 9. Marknadskontrollmyndigheterna ska säkerställa att lämpliga begränsande åtgärder, till exempel att produkten eller AI-systemet dras tillbaka från marknaden, vidtas i fråga om den berörda produkten eller det berörda AI-systemet utan oskäligt dröjsmål. Artikel 80 Förfarande för hantering av AI-system som av leverantören klassificeras som AI-system utan hög risk vid tillämpning av BILAGA III 1. Om en marknadskontrollmyndighet har tillräckliga skäl att anse att ett AI-system som av leverantören klassificeras som AI-system utan hög risk enligt artikel 6.3 faktiskt är ett AI-system med hög risk, ska marknadskontrollmyndigheten genomföra en utvärdering av det berörda AI-systemet med avseende på dess klassificering som AI-system med hög risk på grundval av de villkor som anges i artikel 6.3 och kommissionens riktlinjer. 938 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 2. Om marknadskontrollmyndigheten vid utvärderingen konstaterar att det berörda AI-systemet är ett system med hög risk ska den utan oskäligt dröjsmål ålägga den berörda leverantören att vidta alla nödvändiga åtgärder för att AI-systemet ska uppfylla de krav och skyldigheter som fastställs i denna förordning samt vidta lämpliga korrigerande åtgärder inom en period som marknadskontrollmyndigheten får föreskriva. 3. Om marknadskontrollmyndigheten anser att användningen av det berörda AI-systemet inte är begränsad till det nationella territoriet, ska den utan oskäligt dröjsmål informera kommissionen och de andra medlemsstaterna om utvärderingsresultaten och om de åtgärder som den har ålagt operatören att vidta. 4. Leverantören ska säkerställa att alla nödvändiga åtgärder vidtas för att AI-systemet ska uppfylla de krav och skyldigheter som fastställs i denna förordning. Om leverantören av ett berört AI-system inte bringar AI-systemet i överensstämmelse med dessa krav och skyldigheter inom den period som avses i punkt 2 i denna artikel ska leverantören bli föremål för sanktionsavgifter i enlighet med artikel 99. 5. Leverantören ska säkerställa att alla lämpliga korrigerande åtgärder vidtas i fråga om alla berörda AI-system som den har tillhandahållit på unionsmarknaden. 6. Om leverantören av det berörda AI-systemet inte vidtar lämpliga korrigerande åtgärder inom den period som avses i punkt 2 i denna artikel ska artikel 79.5–79.9 tillämpas. 7. Om marknadskontrollmyndigheten vid utvärderingen enligt punkt 1 i denna artikel fastställer att AI-systemet av leverantören felaktigt klassificerats som ett system utan hög risk i syfte att kringgå tillämpningen av kraven i kapitel III avsnitt 2, ska leverantören bli föremål för sanktionsavgifter i enlighet med artikel 99. 8. När marknadskontrollmyndigheterna utövar sina befogenheter att övervaka tillämpningen av denna artikel, och i enlighet med artikel 11 i förordning (EU) 2019/1020, får de utföra lämpliga kontroller, med särskilt beaktande av information som lagras i den EU-databas som avses i artikel 71 i den här förordningen. Artikel 81 Unionsförfarande för skyddsåtgärder 1. Om marknadskontrollmyndigheten i en medlemsstat inom tre månader efter mottagandet av den anmälan som avses i artikel 79.5, eller inom 30 dagar vid bristande efterlevnad av förbudet mot de AI-användningsområden som avses i artikel 5, har gjort invändningar mot en åtgärd som vidtagits av marknadskontrollmyndigheten i en annan medlemsstat, eller om kommissionen anser att åtgärden strider mot unionsrätten, ska kommissionen utan oskäligt dröjsmål inleda samråd med den berörda medlemsstatens marknadskontrollmyndighet och operatören eller operatörerna och ska utvärdera den nationella åtgärden. På grundval av utvärderingsresultaten ska kommissionen besluta om den nationella åtgärden är berättigad eller inte inom sex månader, eller inom 60 dagar vid bristande efterlevnad av förbudet mot de AI-användningsområden som avses i artikel 5, från och med den anmälan som avses i artikel 79.5 och meddela beslutet till marknadskontrollmyndigheten i den berörda medlemsstaten. Kommissionen ska också underrätta alla de övriga marknadskontrollmyndigheterna om ett sådant beslut. 2. Om kommissionen anser att den åtgärd som vidtagits av den berörda medlemsstaten är motiverad ska samtliga medlemsstater säkerställa att de vidtar lämpliga restriktiva åtgärder med avseende på det berörda AI-systemet, såsom att kräva att AI-systemet dras tillbaka från deras marknad utan oskäligt dröjsmål, och underrätta kommissionen om detta. Om kommissionen anser att den nationella åtgärden är omotiverad ska den berörda medlemsstaten dra tillbaka åtgärden och underrätta kommissionen om detta. 3. Om den nationella åtgärden anses vara berättigad och AI-systemets bristande överensstämmelse kan tillskrivas brister i de harmoniserade standarder eller gemensamma specifikationer som avses i artiklarna 40 och 41 i denna förordning, ska kommissionen tillämpa det förfarande som föreskrivs i artikel 11 i förordning (EU) nr 1025/2012. Artikel 82 AI-system som uppfyller kraven och som utgör en risk 1. Om en marknadskontrollmyndighet i en medlemsstat har gjort en utvärdering enligt artikel 79 och, efter samråd med den nationella offentliga myndighet som avses i artikel 77.1, konstaterar att ett AI-system med hög risk uppfyller kraven i denna förordning men ändå utgör en risk för personers hälsa och säkerhet, för grundläggande rättigheter eller för andra aspekter av skyddet av allmänintresset, ska den ålägga den berörda operatören att, utan oskäligt dröjsmål och inom en period som den får fastställa, vidta alla lämpliga åtgärder för att säkerställa att det berörda AI-systemet när det släpps ut på marknaden eller tas i bruk inte längre utgör en sådan risk. 939 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 2. Leverantören eller en annan berörd operatör ska säkerställa att korrigerande åtgärder vidtas i fråga om alla berörda AI-system som den har tillhandahållit på marknaden i unionen inom den tidsplan som föreskrivs av marknadskontrol- lmyndigheten i den medlemsstat som avses i punkt 1. 3. Medlemsstaterna ska omedelbart informera kommissionen och de andra medlemsstaterna om ett konstaterande enligt punkt 1. Den informationen ska innehålla alla tillgängliga närmare uppgifter, särskilt de data som krävs för att kunna identifiera det berörda AI-systemet, dess ursprung och leveranskedja, den risk som AI-systemet utgör samt vilken typ av nationella åtgärder som vidtagits och deras varaktighet. 4. Kommissionen ska utan oskäligt dröjsmål inleda samråd med de berörda medlemsstaterna och de berörda operatörerna samt utvärdera de nationella åtgärderna. På grundval av utvärderingsresultaten ska kommissionen besluta om åtgärden är berättigad, och vid behov föreslå andra lämpliga åtgärder. 5. Kommissionen ska omedelbart meddela sitt beslut till de berörda medlemsstaterna och till de berörda operatörerna. Den ska också informera övriga medlemsstater. Artikel 83 Formell bristande överensstämmelse 1. Om marknadskontrollmyndigheten i en medlemsstat konstaterar något av följande ska den ålägga den berörda leverantören att åtgärda den bristande överensstämmelsen inom en tid som den får föreskriva: a) CE-märkningen har anbringats i strid med artikel 48. b) CE-märkningen saknas. c) Den EU-försäkran om överensstämmelse som avses i artikel 47 har inte upprättats. d) Den EU-försäkran om överensstämmelse som avses i artikel 47 har inte upprättats på ett korrekt sätt. e) Den registrering i EU-databasen som avses i artikel 71 har inte genomförts. f) I tillämpliga fall, ett ombud har inte utsetts. g) Teknisk dokumentation är inte tillgänglig. 2. Om den bristande överensstämmelse som avses i punkt 1 kvarstår ska marknadskontrollmyndigheten i den berörda medlemsstaten vidta lämpliga och proportionella åtgärder för att begränsa eller förbjuda tillhandahållandet av AI-systemet med hög risk på marknaden eller säkerställa att det utan dröjsmål återkallas eller dras tillbaka från marknaden. Artikel 84 Unionsstödstrukturer för testning av AI 1. Kommissionen ska utse en eller flera unionsstödstrukturer för testning av AI enligt artikel 21.6 i förordning (EU) 2019/1020 på AI-området. 2. Utan att det påverkar de uppgifter som avses i punkt 1 ska unionsstödstrukturerna för testning av AI även tillhandahålla oberoende teknisk eller vetenskaplig rådgivning på begäran av styrelsen, kommissionen eller marknadskon- trollmyndigheterna. 940 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 AVSNITT 4 Rättsmedel Artikel 85 Rätt att lämna in klagomål till en marknadskontrollmyndighet Utan att det påverkar andra administrativa eller rättsliga rättsmedel får varje fysisk eller juridisk person som har skäl att anse att bestämmelserna i denna förordning har överträtts lämna klagomål till den berörda marknadskontrollmyndigheten. I enlighet med förordning (EU) 2019/1020 ska sådana klagomål beaktas vid genomförandet av marknadskontrollen och hanteras i enlighet med de särskilda förfaranden som fastställts för detta av marknadskontrollmyndigheterna. Artikel 86 Rätt till förklaring av individuellt beslutsfattande 1. Varje berörd person som är föremål för ett beslut som fattas av tillhandahållaren på grundval av utdata från ett AI-system med hög risk som förtecknas i bilaga III, med undantag för system som förtecknas i punkt 2 i den bilagan, och som har rättslig verkan eller på liknande sätt i betydande grad påverkar den personen på ett sätt som de anser ha en negativ inverkan på deras hälsa, säkerhet eller grundläggande rättigheter, ska ha rätt att erhålla tydliga och meningsfulla förklaringar av AI-systemets roll i beslutsförfarandet och de viktigaste delarna av det beslut som fattats. 2. Punkt 1 är inte tillämplig på användning av AI-system för vilka undantag från eller begränsningar av skyldigheten enligt den punkten följer av unionsrätten eller nationell rätt i överensstämmelse med unionsrätten. 3. Denna artikel är endast tillämplig i den utsträckning som den rättighet som avses i punkt 1 inte på annat sätt föreskrivs i unionsrätten. Artikel 87 Rapportering av överträdelser och skydd av personer som rapporterar överträdelser Direktiv (EU) 2019/1937 ska tillämpas på rapportering av överträdelser av denna förordning och skydd för personer som rapporterar sådana överträdelser. AVSNITT 5 Tillsyn, utredning, efterlevnadskontroll och övervakning av leverantörer av AI-modeller för allmänna ändamål Artikel 88 Kontroll av efterlevnaden av skyldigheterna för leverantörer av AI-modeller för allmänna ändamål 1. Kommissionen ska ha exklusiv befogenhet att utöva tillsyn avseende och kontrollera efterlevnaden av kapitel V, med beaktande av rättssäkerhetsgarantierna enligt artikel 94. Kommissionen ska anförtro genomförandet av dessa uppgifter till AI-byrån, utan att det påverkar kommissionens organisationsbefogenheter och befogenhetsfördelningen mellan medlemsstaterna och unionen på grundval av fördragen. 2. Utan att det påverkar tillämpningen av artikel 75.3 får marknadskontrollmyndigheterna begära att kommissionen utövar de befogenheter som fastställs i detta avsnitt, om detta är nödvändigt och proportionellt för att hjälpa dem att fullgöra sina uppgifter enligt denna förordning. 941 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 Artikel 89 Övervakningsåtgärder 1. För att utföra de uppgifter som tilldelas den enligt detta avsnitt får AI-byrån vidta nödvändiga åtgärder för att övervaka att leverantörer av AI-modeller för allmänna ändamål genomför och efterlever denna förordning på ett effektivt sätt, inbegripet deras efterlevnad av godkända uppförandekoder. 2. Leverantörer i efterföljande led ska ha rätt att lämna in ett klagomål om överträdelse av denna förordning. Ett klagomål ska vara vederbörligen motiverat och innehålla åtminstone följande uppgifter: a) Kontaktpunkten för leverantören av den berörda AI-modellen för allmänna ändamål. b) En beskrivning av relevanta fakta, de berörda bestämmelserna i denna förordning och skälet till att leverantören i efterföljande led anser att leverantören av den berörda AI-modellen för allmänna ändamål har överträtt denna förordning. c) All övrig information som den leverantör i efterföljande led som skickade begäran anser vara relevant, inbegripet, i förekommande fall, information som samlats in på eget initiativ. Artikel 90 Varningar från den vetenskapliga panelen om systemrisker 1. Den vetenskapliga panelen får lämna en kvalificerad varning till AI-byrån om den har anledning att misstänka att a) en AI-modell för allmänna ändamål utgör en konkret identifierbar risk på unionsnivå, eller b) en AI-modell för allmänna ändamål uppfyller de villkor som anges i artikel 51. 2. Efter en sådan kvalificerad varning får kommissionen, genom AI-byrån och efter att ha informerat styrelsen, utöva de befogenheter som fastställs i detta avsnitt i syfte att bedöma ärendet. AI-byrån ska informera styrelsen om alla åtgärder enligt artiklarna 91–94. 3. En kvalificerad varning ska vara vederbörligen motiverad och innehålla åtminstone följande uppgifter: a) Kontaktpunkten för leverantören av den berörda AI-modellen för allmänna ändamål med systemrisk. b) En beskrivning av relevanta fakta och skälen till den vetenskapliga panelens varning. c) All övrig information som den vetenskapliga panelen anser vara relevant, inbegripet, i förekommande fall, information som samlats in på eget initiativ. Artikel 91 Befogenhet att begära dokumentation och information 1. Kommissionen får begära att leverantören av den berörda AI-modellen för allmänna ändamål tillhandahåller den dokumentation som utarbetats av leverantören i enlighet med artiklarna 53 och 55, eller all ytterligare information som är nödvändig för att bedöma leverantörens efterlevnad av denna förordning. 2. Innan begäran om information skickas får AI-byrån inleda en strukturerad dialog med leverantören av AI-modellen för allmänna ändamål. 3. På en vederbörligen motiverad begäran från den vetenskapliga panelen får kommissionen utfärda en begäran om information till en leverantör av en AI-modell för allmänna ändamål, om tillgången till information är nödvändig och proportionell för fullgörandet av den vetenskapliga panelens uppgifter enligt artikel 68.2. 942 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 4. Begäran om information ska innehålla uppgifter om den rättsliga grunden för och syftet med begäran, en specifikation av vilken information som begärs, en tidsfrist inom vilken informationen ska tillhandahållas samt de sanktionsavgifter som föreskrivs i artikel 101 för tillhandahållande av oriktig, ofullständig eller vilseledande information. 5. Leverantören av den berörda AI-modellen för allmänna ändamål, eller dennes företrädare, ska tillhandahålla den begärda informationen. När det gäller juridiska personer, företag eller firmor, eller om leverantören inte är en juridisk person, ska de personer som är behöriga att företräda dem enligt lag eller deras stadgar tillhandahålla den begärda informationen på uppdrag av leverantören av den berörda AI-modellen för allmänna ändamål. I behörig ordning befullmäktigade jurister får lämna information på sina huvudmäns vägnar. Huvudmännen förblir dock fullt ut ansvariga om den tillhandahållna informationen är ofullständig, oriktig eller vilseledande. Artikel 92 Befogenhet att genomföra utvärderingar 1. AI-byrån får, efter samråd med styrelsen, genomföra utvärderingar av den berörda AI-modellen för allmänna ändamål i syfte att a) bedöma leverantörens efterlevnad av skyldigheterna enligt denna förordning, om den information som samlats in enligt artikel 91 är otillräcklig, eller b) undersöka systemrisker på unionsnivå för AI-modeller för allmänna ändamål med systemrisk, särskilt efter en kvalificerad varning från den vetenskapliga panelen i enlighet med artikel 90.1 a. 2. Kommissionen får besluta att utse oberoende experter som ska utföra utvärderingar på dess vägnar, inbegripet från den vetenskapliga panel som inrättats enligt artikel 68. Oberoende experter som utses för denna uppgift ska uppfylla de kriterier som anges i artikel 68.2. 3. Vid tillämpningen av punkt 1 får kommissionen begära åtkomst till den berörda AI-modellen för allmänna ändamål genom applikationsprogrammeringsgränssnitt (API) eller ytterligare lämpliga tekniska medel och verktyg, inbegripet källkod. 4. I begäran om åtkomst ska anges den rättsliga grunden, syftet med och skälen till begäran, den tidsfrist inom vilken åtkomsten ska tillhandahållas samt de sanktionsavgifter som föreskrivs i artikel 101 för underlåtenhet att ge åtkomst. 5. Leverantörerna av den berörda AI-modellen för allmänna ändamål eller deras ombud ska lämna den information som krävs. När det gäller juridiska personer, företag eller firmor, eller om leverantören inte är en juridisk person, ska de personer som är behöriga att företräda dem enligt lag eller stadgar tillhandahålla den begärda åtkomsten på uppdrag av leverantören av den berörda AI-modellen för allmänna ändamål. 6. Kommissionen ska anta genomförandeakter som fastställer närmare arrangemang och villkor för utvärderingarna, inbegripet närmare bestämmelser för deltagande av oberoende experter, och förfarandet för att välja ut dem. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 98.2. 7. Innan AI-byrån begär åtkomst till den berörda AI-modellen för allmänna ändamål får den inleda en strukturerad dialog med leverantören av AI-modellen för allmänna ändamål för att samla in mer information om den interna testningen av modellen, interna skyddsåtgärder för att förebygga systemrisker och andra interna förfaranden och åtgärder som leverantören har vidtagit för att minska sådana risker. Artikel 93 Befogenhet att begära åtgärder 1. När det är nödvändigt och lämpligt får kommissionen begära att leverantörer a) vidtar lämpliga åtgärder för att fullgöra de skyldigheter som föreskrivs i artiklarna 53 och 54, 943 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 b) genomför riskreducerande åtgärder, om den utvärdering som utförts i enlighet med artikel 92 har gett upphov till allvarliga och väl underbyggda farhågor om en systemrisk på unionsnivå, c) begränsa tillhandahållandet på marknaden, dra tillbaka eller återkalla modellen. 2. Innan en åtgärd begärs får AI-byrån inleda en strukturerad dialog med leverantören av AI-modellen för allmänna ändamål. 3. Om leverantören av AI-modellen för allmänna ändamål med systemrisk under den strukturerade dialog som avses i punkt 2 erbjuder att åta sig att genomföra riskreducerande åtgärder för att hantera en systemrisk på unionsnivå, får kommissionen genom beslut göra dessa åtaganden bindande och förklara att det inte finns några ytterligare skäl till åtgärder. Artikel 94 Processuella rättigheter för ekonomiska operatörer av AI-modellen med allmänna ändamål Artikel 18 i förordning (EU) 2019/1020 ska i tillämpliga delar gälla för leverantörer av AI-modellen för allmänna ändamål, utan att det påverkar de mer specifika processuella rättigheter som föreskrivs i den här förordningen. KAPITEL X UPPFÖRANDEKODER OCH RIKTLINJER Artikel 95 Uppförandekod för frivillig tillämpning av specifika krav 1. AI-byrån och medlemsstaterna ska uppmuntra och underlätta utarbetandet av uppförandekoder, inbegripet tillhörande styrningsmekanismer, som är avsedda att främja frivillig tillämpning på AI-system, utom AI-system med hög risk, av vissa eller alla av de krav som anges i kapitel III avsnitt 2, med beaktande av tillgängliga tekniska lösningar och bästa branschpraxis som möjliggör tillämpning av sådana krav. 2. AI-byrån och medlemsstaterna ska underlätta utarbetandet av uppförandekoder för frivillig tillämpning, inbegripet av tillhandahållare, av särskilda krav på alla AI-system, på grundval av tydliga mål och centrala resultatindikatorer för att mäta uppnåendet av dessa mål, inbegripet men inte begränsat till, sådana inslag som a) tillämpliga inslag som föreskrivs i unionens etiska riktlinjer för tillförlitlig AI, b) bedöma och minimera AI-systemens inverkan på miljömässig hållbarhet, inbegripet när det gäller energieffektiv programmering och teknik för effektiv utformning, träning och användning av AI, c) främja AI-kunnighet, särskilt hos personer som arbetar med utveckling, drift och användning av AI, d) underlätta en inkluderande och diversifierad utformning av AI-system, bland annat genom att inrätta inkluderande och diversifierade utvecklingsteam och främja berörda parters deltagande i den processen, e) bedöma och förebygga AI-systemens negativa inverkan på sårbara personer eller grupper av sårbara personer, inbegripet när det gäller tillgänglighet för personer med funktionsnedsättning, samt på jämställdheten. 3. Uppförandekoder får utarbetas av enskilda leverantörer eller tillhandahållare av AI-system eller av organisationer som företräder dem eller av båda dessa, inbegripet genom att eventuella berörda parter och deras representativa organisationer involveras, inbegripet organisationer i civilsamhället och den akademiska världen. Uppförandekoder får omfatta ett eller flera AI-system med beaktande av likheten mellan de berörda systemens avsedda ändamål. 4. När AI-byrån och medlemsstaterna uppmuntrar och underlättar utarbetandet av uppförandekoder ska de ta hänsyn till de särskilda intressen och behov som små och medelstora företag, inbegripet uppstartsföretag, har. 944 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 Artikel 96 Riktlinjer från kommissionen om genomförandet av denna förordning 1. Kommissionen ska utarbeta riktlinjer för det praktiska genomförandet av denna förordning, särskilt avseende a) tillämpningen av de krav och skyldigheter som avses i artiklarna 8–15 och i artikel 25, b) de förbjudna användningsområden som avses i artikel 5, c) det praktiska genomförandet av bestämmelserna om väsentliga ändringar, d) det praktiska genomförandet av de transparensskyldigheter som fastställs i artikel 50, e) detaljerad information om denna förordnings förhållande till unionens harmoniseringslagstiftning som förtecknas i bilaga I samt med annan relevant unionsrätt, inbegripet när det gäller enhetlighet i efterlevnaden av den, f) tillämpningen av definitionen av ett AI-system enligt artikel 3.1. När kommissionen utfärdar sådana riktlinjer ska den ägna särskild uppmärksamhet åt behoven hos små och medelstora företag, inbegripet uppstartsföretag, lokala offentliga myndigheter och sektorer som mest sannolikt kommer att beröras av denna förordning. De riktlinjer som avses i första stycket i denna punkt ska ta vederbörlig hänsyn till den allmänt erkända senaste utvecklingen när det gäller AI samt till relevanta harmoniserade standarder och gemensamma specifikationer som avses i artiklarna 40 och 41, eller till de harmoniserade standarder eller tekniska specifikationer som fastställs enligt unionens harmoniser- ingslagstiftning. 2. På begäran av medlemsstaterna eller AI-byrån, eller på eget initiativ, ska kommissionen uppdatera redan antagna riktlinjer när det anses nödvändigt. KAPITEL XI DELEGERING AV BEFOGENHETER OCH KOMMITTÉFÖRFARANDE Artikel 97 Utövande av delegeringen 1. Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel. 2. Den befogenhet att anta delegerade akter som avses i artiklarna 6.6, 6.7, 7.1, 7.3, 11.3, 43.5, 43.6, 47.5, 51.3, 52.4, 53.5 och 53.6 ska ges till kommissionen för en period på fem år från och med den 1 AUGUSTI 2024. Kommissionen ska utarbeta en rapport om delegeringen av befogenhet senast nio månader före utgången av perioden på fem år. Delegeringen av befogenhet ska genom tyst medgivande förlängas med perioder av samma längd, såvida inte Europaparlamentet eller rådet motsätter sig en sådan förlängning senast tre månader före utgången av perioden i fråga. 3. Den delegering av befogenhet som avses i artiklarna 6.6, 6.7, 7.1, 7.3, 11.3, 43.5, 43.6, 47.5, 51.3, 52.4, 53.5 och 53.6 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft. 4. Innan kommissionen antar en delegerad akt ska den samråda med experter som utsetts av varje medlemsstat i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning. 945 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 5. Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna. 6. En delegerad akt som antas enligt artikel 6.6 eller 6.7, artikel 7.1 eller 7.3, artikel 11.3, artikel 43.5 eller 43.6, artikel 47.5, 51.3, 52.4 eller 53.5 eller artikel 53.6 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av tre månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med tre månader på Europaparlamentets eller rådets initiativ. Artikel 98 Kommittéförfarande 1. Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011. 2. När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas. KAPITEL XII SANKTIONER Artikel 99 Sanktioner 1. Medlemsstaterna ska i enlighet med de villkor som fastställs i denna förordning fastställa bestämmelser om sanktioner och andra efterlevnadsåtgärder som också kan innefatta varningar och icke-monetära åtgärder som ska tillämpas vid operatörers överträdelser av bestämmelserna i denna förordning och vidta alla nödvändiga åtgärder för att se till att de tillämpas korrekt och effektivt, varvid hänsyn ska tas till de riktlinjer som kommissionen utfärdat enligt artikel 96. Sanktionerna ska vara effektiva, proportionella och avskräckande. De ska ta hänsyn till små och medelstora företags, inbegripet uppstartsföretags, intressen och deras ekonomiska bärkraft. 2. Medlemsstaterna ska utan dröjsmål och senast den dag då denna förordning börjar tillämpas underrätta kommissionen om de regler om sanktioner och andra efterlevnadsåtgärder som avses i punkt 1 och utan dröjsmål underrätta den om eventuella senare ändringar av dem. 3. Bristande efterlevnad av förbudet mot de AI-användningsområden som avses i artikel 5 ska vara föremål för administrativa sanktionsavgifter på upp till 35 000 000 EUR eller, om överträdelsen begås av ett företag, upp till 7 % av dess totala globala årsomsättning för det föregående räkenskapsåret, beroende på vilket som är högst. 4. Bristande efterlevnad av någon av följande bestämmelser som hör samman med operatörer eller anmälda organ utöver de bestämmelser som fastställs i artikel 5 ska medföra administrativa sanktionsavgifter på upp till 15 000 000 EUR eller, om överträdelsen begås av ett företag, upp till 3 % av dess totala globala årsomsättning under det föregående räkenskapsåret, beroende på vilket som är högst: a) Leverantörers skyldigheter enligt artikel 16. b) Ombuds skyldigheter enligt artikel 22. c) Importörers skyldigheter enligt artikel 23. d) Distributörers skyldigheter enligt artikel 24. e) Tillhandahållares skyldigheter enligt artikel 26. f) Kraven och skyldigheterna för anmälda organ enligt artikel 31, 33.1, 33.3, 33.4 eller 34. g) Transparensskyldigheterna för leverantörer och tillhandahållare enligt artikel 50. 946 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 5. Tillhandahållande av oriktig, ofullständig eller vilseledande information till anmälda organ eller nationella behöriga myndigheter som svar på en begäran ska medföra administrativa sanktionsavgifter på upp till 7 500 000 EUR eller, om överträdelsen begås av ett företag, upp till 1 % av dess totala globala årsomsättning för det föregående räkenskapsåret, beroende på vilket som är högst. 6. När det gäller små och medelstora företag, inbegripet uppstartsföretag, ska varje sanktionsavgift som avses i denna artikel uppgå till högst de procentsatser eller belopp som avses i punkterna 3, 4 och 5, beroende på vilket belopp som är lägre. 7. Vid beslut om huruvida administrativa sanktionsavgifter ska åläggas och beslut om storleken på den administrativa sanktionsavgiften i varje enskilt fall ska alla relevanta omständigheter i den specifika situationen beaktas och vederbörlig hänsyn, i förekommande fall, tas till a) överträdelsens art, svårighetsgrad och varaktighet samt dess konsekvenser med beaktande av det berörda AI-systemets syfte samt, när så är lämpligt, antalet berörda personer och omfattningen av den skada som de har lidit, b) huruvida administrativa sanktionsavgifter redan har tillämpats av andra marknadskontrollmyndigheter på samma operatör för samma överträdelse, c) huruvida administrativa sanktionsavgifter redan har tillämpats av andra myndigheter på samma operatör för överträdelser av annan unionsrätt eller nationell rätt, när sådana överträdelser beror på samma verksamhet eller underlåtenhet som utgör en relevant överträdelse av denna förordning, d) storleken på, årsomsättningen och marknadsandelen för den operatör som begått överträdelsen, e) eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen, f) graden av samarbete med nationella behöriga myndigheter för att komma till rätta med överträdelsen och minska dess potentiella negativa effekter, g) operatörens grad av ansvar med beaktande av de tekniska och organisatoriska åtgärder som genomförts av denne, h) det sätt på vilket överträdelsen kom till den nationella behöriga myndighetens kännedom, särskilt huruvida, och i sådana fall i vilken mån, operatören anmälde överträdelsen, i) om överträdelsen skett med uppsåt eller genom oaktsamhet, j) alla åtgärder som vidtagits av operatören för att minska den skada som de berörda personerna lidit. 8. Varje medlemsstat ska fastställa regler om i vilken utsträckning administrativa sanktionsavgifter får påföras offentliga myndigheter och organ som är inrättade i medlemsstaten. 9. Beroende på medlemsstatens rättssystem får reglerna om administrativa sanktionsavgifter tillämpas på ett sådant sätt att sanktionsavgifterna utdöms av behöriga nationella domstolar eller andra organ, beroende på vad som är tillämpligt i dessa medlemsstater. Tillämpningen av sådana regler i dessa medlemsstater ska ha motsvarande verkan. 10. Utövandet av befogenheter enligt denna artikel ska omfattas av lämpliga rättssäkerhetsgarantier i enlighet med unionsrätten och nationell rätt, inbegripet effektiva rättsmedel och rättssäkerhet. 11. Medlemsstaterna ska årligen underrätta kommissionen om de administrativa sanktionsavgifter som de har utfärdat under det året, i enlighet med denna artikel, och om eventuella relaterade rättstvister eller rättsliga förfaranden. Artikel 100 Administrativa sanktionsavgifter för unionens institutioner, organ och byråer 1. Europeiska datatillsynsmannen får ålägga administrativa sanktionsavgifter för de av unionens institutioner, organ och byråer som omfattas av denna förordning. Vid beslut om huruvida administrativa sanktionsavgifter ska åläggas och beslut om storleken på den administrativa sanktionsavgiften i varje enskilt fall ska alla relevanta omständigheter i den specifika situationen beaktas och vederbörlig hänsyn ska tas till följande: 947 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 a) Överträdelsens art, svårighetsgrad och varaktighet samt dess konsekvenser, med beaktande av det berörda AI-systemets syfte samt, när så är lämpligt, antalet berörda personer och omfattningen av den skada som de har lidit. b) Graden av unionsinstitutionens, unionsorganets eller unionsbyråns ansvar, med beaktande av de tekniska och organisatoriska åtgärder som de har genomfört. c) Alla åtgärder som unionsinstitutionen, unionsorganet eller unionsbyrån vidtar för att mildra den skada som de berörda personerna lidit. d) Graden av samarbete med Europeiska datatillsynsmannen för att åtgärda överträdelsen och minska dess potentiella negativa effekter, inbegripet efterlevnad av någon av de åtgärder som tidigare förordnats av Europeiska datatill- synsmannen mot unionens berörda institution, organ eller byrå med avseende på samma fråga. e) Eventuella liknande tidigare överträdelser som begåtts av unionens institution, organ eller byrå. f) Det sätt på vilket överträdelsen kom till Europeiska datatillsynsmannens kännedom, särskilt huruvida och i så fall i vilken omfattning unionsinstitutionen, unionsorganet eller unionsbyrån anmälde överträdelsen. g) Den årliga budgeten för unionsinstitutionen, unionsbyrån eller unionsorganet. 2. Bristande efterlevnad av det förbud mot AI-användningsområden som avses i artikel 5 ska medföra administrativa sanktionsavgifter på upp till 1 500 000 EUR. 3. AI-systemets bristande efterlevnad av andra krav eller skyldigheter enligt denna förordning än de som fastställs i artikel 5 ska medföra administrativa sanktionsavgifter på upp till 750 000 EUR. 4. Innan ett beslut fattas enligt denna artikel ska Europeiska datatillsynsmannen ge den eller det av unionens institutioner, organ eller byråer som är föremål för förfarandet som genomförs av Europeiska datatillsynsmannen möjlighet att höras om den möjliga överträdelsen. Europeiska datatillsynsmannen ska grunda sina beslut endast på inslag och omständigheter som de berörda parterna har getts möjlighet att yttra sig om. Eventuella klagande ska vara nära knutna till förfarandet. 5. De berörda parternas rätt till försvar ska iakttas fullständigt i förfarandena. De ska ha rätt att få tillgång till Europeiska datatillsynsmannens akt, med förbehåll för enskildas eller företags berättigade intresse av skydd av sina personuppgifter eller affärshemligheter. 6. De medel som samlats in genom åläggande av sanktionsavgifter i denna artikel ska bidra till unionens allmänna budget. Sanktionsavgifterna får inte påverka den ändamålsenliga funktionen för den unionsinstitution, det unionsorgan eller unionsbyrå som ålagts sanktionsavgiften. 7. Europeiska datatillsynsmannen ska årligen underrätta kommissionen om de administrativa sanktionsavgifter som den ålagt enligt denna artikel och om eventuella rättstvister eller rättsliga förfaranden den inlett. Artikel 101 Sanktionsavgifter för leverantörer av AI-modeller för allmänna ändamål 1. Kommissionen får ålägga leverantörer av AI-modeller för allmänna ändamål sanktionsavgifter på upp till 3 % av deras totala globala årsomsättning under det föregående räkenskapsåret eller 15 000 000 EUR, beroende på vilket som är högst, om kommissionen konstaterar att leverantören uppsåtligen eller av oaktsamhet har a) överträtt de relevanta bestämmelserna i denna förordning, b) underlåtit att tillmötesgå en begäran om en handling eller om information enligt artikel 91, eller lämnat oriktiga, ofullständiga eller vilseledande uppgifter, c) underlåtit att följa en åtgärd som begärts enligt artikel 93, 948 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 d) underlåtit att ge kommissionen tillgång till AI-modellen för allmänna ändamål eller AI-modellen för allmänna ändamål med systemrisk i syfte att genomföra en utvärdering enligt artikel 92. Vid fastställandet av sanktionsavgiften eller det löpande vitesbeloppet ska hänsyn tas till överträdelsens art, allvarlighet och varaktighet, varvid vederbörlig hänsyn ska tas till principerna om proportionalitet och lämplighet. Kommissionen ska också beakta åtaganden som gjorts i enlighet med artikel 93.3 eller som gjorts i relevanta uppförandekoder i enlighet med artikel 56. 2. Innan kommissionen antar beslutet enligt punkt 1 ska den meddela sina preliminära iakttagelser till leverantören av AI-modellen för allmänna ändamål och ge denne möjlighet att höras. 3. Sanktionsavgifter som åläggs i enlighet med denna artikel ska vara effektiva, proportionella och avskräckande. 4. Information om sanktionsavgifter som ålagts enligt denna artikel ska också lämnas till styrelsen när så är lämpligt. 5. Europeiska unionens domstol ska ha obegränsad behörighet att pröva kommissionens beslut om fastställande av sanktionsavgifter enligt denna artikel. Den får upphäva, sänka eller höja ålagda sanktionsavgifter. 6. Kommissionen ska anta genomförandeakter med närmare bestämmelser och rättssäkerhetsgarantier för förfaranden inför ett eventuellt antagande av beslut enligt punkt 1 i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 98.2. KAPITEL XIII SLUTBESTÄMMELSER Artikel 102 Ändring av förordning (EG) nr 300/2008 I artikel 4.3 i förordning (EG) nr 300/2008 ska följande stycke läggas till: ”Vid antagandet av detaljerade bestämmelser avseende tekniska specifikationer och förfaranden för godkännande och användning av säkerhetsutrustning som rör system för artificiell intelligens i den mening som avses i Europaparlamentets och rådets förordning (EU) 2024/1689 (*), ska kraven i kapitel III avsnitt 2 i den förordningen beaktas. (*) Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/ 2024/1689/oj).” Artikel 103 Ändring av förordning (EU) nr 167/2013 I artikel 17.5 i förordning (EU) nr 167/2013 ska följande stycke läggas till: ”Vid antagandet av delegerade akter enligt första stycket rörande system för artificiell intelligens som är säkerhets- komponenter i den mening som avses i Europaparlamentets och rådets förordning (EU) 2024/1689 (*) ska kraven i kapitel III avsnitt 2 i den förordningen beaktas. (*) Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/ 2024/1689/oj).” 949 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 Artikel 104 Ändring av förordning (EU) nr 168/2013 I artikel 22.5 i förordning (EU) nr 168/2013 ska följande stycke läggas till: ”Vid antagandet av delegerade akter enligt första stycket rörande system för artificiell intelligens som är säkerhets- komponenter i den mening som avses i Europaparlamentets och rådets förordning (EU) 2024/1689 (*) ska kraven i kapitel III avsnitt 2 i den förordningen beaktas. (*) Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/ 2024/1689/oj).” Artikel 105 Ändring av direktiv 2014/90/EU I artikel 8 i direktiv 2014/90/EU ska följande punkt läggas till: ”5. För system för artificiell intelligens som är säkerhetskomponenter i den mening som avses i Europaparlamentets och rådets förordning (EU) 2024/1689 (*) ska kommissionen, när den utför sin verksamhet enligt punkt 1 och när den antar tekniska specifikationer och provningsstandarder i enlighet med punkterna 2 och 3, beakta de krav som anges i kapitel III avsnitt 2 i den förordningen. (*) Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens) (EUT L, ELI: 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/ reg/2024/1689/oj).” Artikel 106 Ändring av direktiv (EU) 2016/797 I artikel 5 i direktiv (EU) 2016/797 ska följande punkt läggas till: ”12. Vid antagandet av delegerade akter enligt punkt 1 och genomförandeakter enligt punkt 11 rörande system för artificiell intelligens som är säkerhetskomponenter i den mening som avses i Europaparlamentets och rådets förordning (EU) 2024/1689 (*) ska kraven i kapitel III avsnitt 2 i den förordningen beaktas. (*) Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens) (EUT L, ELI: 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/ reg/2024/1689/oj).” 950 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 Artikel 107 Ändring av förordning (EU) 2018/858 I artikel 5 i förordning (EU) 2018/858 ska följande punkt läggas till: ”4. Vid antagandet av delegerade akter enligt punkt 3 rörande system för artificiell intelligens som är säkerhets- komponenter i den mening som avses i Europaparlamentets och rådets förordning (EU) 2024/1689 (*) ska kraven i kapitel III avsnitt 2 i den förordningen beaktas. (*) Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens) (EUT L, ELI: 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/ reg/2024/1689/oj).” Artikel 108 Ändringar av förordning (EU) 2018/1139 Förordning (EU) 2018/1139 ska ändras på följande sätt: 1. I artikel 17 ska följande punkt läggas till: ”3. Utan att det påverkar tillämpningen av punkt 2 ska vid antagandet av genomförandeakter enligt punkt 1 rörande system för artificiell intelligens som är säkerhetskomponenter i den mening som avses i Europaparlamentets och rådets förordning (EU) 2024/ 1689 (*) kraven i kapitel III avsnitt 2 i den förordningen beaktas. (*) Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens) (EUT L, ELI: 2024/1689, 12.7.2024, ELI: http://data.europa. eu/eli/ reg/2024/1689/oj).” 2. I artikel 19 ska följande punkt läggas till: ”4. Vid antagandet av delegerade akter enligt punkterna 1 och 2 rörande system för artificiell intelligens som är säkerhetskomponenter i den mening som avses i förordning (EU) 2024/ 1689 ska kraven i kapitel III avsnitt 2 i den förordningen beaktas.” 3. I artikel 43 ska följande punkt läggas till: ”4. Vid antagandet av genomförandeakter enligt punkt 1 rörande system för artificiell intelligens som är säkerhetskomponenter i den mening som avses i förordning (EU) 2024/1689 ska kraven i kapitel III avsnitt 2 i den förordningen beaktas.” 4. I artikel 47 ska följande punkt läggas till: ”3. Vid antagandet av delegerade akter enligt punkterna 1 och 2 rörande system för artificiell intelligens som är säkerhetskomponenter i den mening som avses i förordning (EU) 2024/1689 ska kraven i kapitel III avsnitt 2 i den förordningen beaktas.” 5. I artikel 57 ska följande punkt läggas till: ”Vid antagandet av dessa genomförandeakter rörande system för artificiell intelligens som är säkerhetskomponenter i den mening som avses i förordning (EU) 2024/1689 ska kraven i kapitel III avsnitt 2 i den förordningen beaktas.” 951 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 6. I artikel 58 ska följande punkt läggas till: ”3. Vid antagandet av delegerade akter enligt punkterna 1 och 2 rörande system för artificiell intelligens som är säkerhetskomponenter i den mening som avses i förordning (EU) 2024/1689 ska kraven i kapitel III avsnitt 2 i den förordningen beaktas.” Artikel 109 Ändring av förordning (EU) 2019/2144 I artikel 11 i förordning (EU) 2019/2144 ska följande punkt läggas till: ”3. Vid antagandet av genomförandeakter enligt punkt 2 rörande system för artificiell intelligens som är säkerhetskomponenter i den mening som avses i Europaparlamentets och rådets förordning (EU) 2024/1689 (*) ska kraven i kapitel III avsnitt 2 i den förordningen beaktas. (*) Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens) (EUT L, ELI: 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/ reg/2024/1689/oj).” Artikel 110 Ändring av direktiv (EU) 2020/1828 I bilaga I till Europaparlamentets och rådets direktiv (EU) 2020/1828 (58) ska följande punkt läggas till: ”68. Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens och om ändring av förordningarna (EG) nr 300/2008, (EU) nr 167/2013, (EU) nr 168/2013, (EU) 2018/858, (EU) 2018/1139 och (EU) 2019/2144 samt direktiven 2014/90/EU, (EU) 2016/797 och (EU) 2020/1828 (förordning om artificiell intelligens) (EUT L, ELI: 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/ reg/2024/1689/oj).” Artikel 111 AI-system som redan släppts ut på marknaden eller tagits i bruk och AI-modeller för allmänna ändamål som redan släppts ut på marknaden 1. Utan att det påverkar tillämpningen av artikel 5 enligt artikel 113.3 a ska AI-system som är komponenter i de stora it-system som inrättats genom de rättsakter som förtecknas i bilaga X och som har släppts ut på marknaden eller tagits i bruk före den 2 augusti 2027 bringas i överensstämmelse med denna förordning senast den 31 december 2030. De krav som fastställs i denna förordning ska beaktas vid den utvärdering av varje stort it-system inrättat genom de rättsakter förtecknade i bilaga X som ska utföras i enlighet med de rättsakterna och i de fall dessa rättsakter ersätts eller ändras. 2. Utan att det påverkar tillämpningen av artikel 5 enligt artikel 113.3 a ska denna förordning tillämpas på andra operatörer av AI-system med hög risk än de system som avses i punkt 1 i den här artikeln och som har släppts ut på marknaden eller tagits i bruk före den 2 augusti 2026, endast om dessa system från och med den dagen förändras betydligt när det gäller sin utformning. Under alla omständigheter ska leverantörer och tillhandahållare av AI-system med hög risk som är avsedda att användas av offentliga myndigheter vidta nödvändiga åtgärder för att uppfylla kraven och skyldigheterna i denna förordning senast den 2 augusti 2030. 3. Leverantörer av AI-modeller för allmänna ändamål som har släppts ut på marknaden före den 2 augusti 2025 ska vidta nödvändiga åtgärder för att uppfylla de skyldigheter som fastställs i denna förordning senast den 2 augusti 2027. (58) Europaparlamentets och rådets direktiv (EU) 2020/1828 av den 25 november 2020 om grupptalan för att skydda konsumenters kollektiva intressen och om upphävande av direktiv 2009/22/EG (EUT L 409, 4.12.2020, s. 1). 952 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 Artikel 112 Utvärdering och översyn 1. Kommissionen ska bedöma behovet av att ändra förteckningen i bilaga III och av förteckningen i artikel 5 över förbjudna AI-användningsområden en gång om året efter det att denna förordning har trätt i kraft och fram till utgången av perioden för delegering av befogenhet i artikel 97. Kommissionen ska lägga fram resultaten av denna bedömning för Europaparlamentet och rådet. 2. Senast den 2 augusti 2028 och därefter vart fjärde år ska kommissionen utvärdera och rapportera till Europaparlamentet och rådet om följande: a) Behovet av ändringar som utvidgar befintliga områdesrubriker eller lägger till nya områdesrubriker i bilaga III. b) Ändringar av förteckningen över AI-system som kräver ytterligare transparensåtgärder i enlighet med artikel 50. c) Ändringar som ökar tillsyns- och styrningssystemets effektivitet. 3. Kommissionen ska senast den 2 augusti 2029 och därefter vart fjärde år överlämna en rapport om utvärderingen och översynen av denna förordning till Europaparlamentet och rådet. Rapporten ska innehålla en bedömning av efterlevnadskontrollens struktur och det eventuella behovet av att en unionsbyrå kommer till rätta med eventuella konstaterade brister. På grundval av resultaten ska denna rapport vid behov åtföljas av ett förslag till ändring av denna förordning. Rapporten ska offentliggöras. 4. I de rapporter som avses i punkt 2 ska särskild uppmärksamhet ägnas åt a) statusen för de nationella behöriga myndigheternas ekonomiska resurser, tekniska utrustning och personal för att effektivt kunna utföra de uppgifter som de tilldelas enligt denna förordning, b) tillståndet för sanktionerna, särskilt de administrativa sanktionsavgifter som avses i artikel 99.1 och som tillämpas av medlemsstaterna på överträdelser av bestämmelserna i denna förordning, c) antagna harmoniserade standarder och gemensamma specifikationer som utarbetats till stöd för denna förordning, d) antalet företag som kommer in på marknaden efter det att denna förordning har börjat tillämpas och hur många av dem som är små och medelstora företag. 5. Senast den 2 augusti 2028 ska kommissionen utvärdera AI-byråns funktion, huruvida AI-byrån har fått tillräckliga befogenheter och tillräcklig behörighet för att fullgöra sina uppgifter och huruvida det skulle vara relevant och nödvändigt för ett korrekt genomförande och en korrekt kontroll av efterlevnaden av denna förordning att uppgradera byrån och dess befogenheter när det gäller efterlevnadskontroll och öka dess resurser. Kommissionen ska överlämna en rapport om sin utvärdering till Europaparlamentet och rådet. 6. Senast den 2 augusti 2028 och därefter vart fjärde år ska kommissionen lägga fram en rapport om översynen av framstegen med utvecklingen av standardiseringsprodukter för energieffektiv utveckling av AI-modeller för allmänna ändamål, och utvärdera behovet av ytterligare åtgärder eller insatser, inbegripet bindande åtgärder eller insatser. Rapporten ska överlämnas till Europaparlamentet och rådet, och den ska offentliggöras. 7. Senast den 2 augusti 2028 och därefter vart tredje år ska kommissionen utvärdera de frivilliga uppförandekodernas inverkan och effektivitet för att främja tillämpningen av kraven i kapitel III avsnitt 2 för andra AI-system än AI-system med hög risk och eventuellt andra ytterligare krav för AI-system andra än AI-system med hög risk, inbegripet vad gäller miljömässig hållbarhet. 8. Vid tillämpning av punkterna 1–7 ska styrelsen, medlemsstaterna och de nationella behöriga myndigheterna vid begäran tillhandahålla information till kommissionen utan oskäligt dröjsmål. 9. Kommissionen ska när den utför de utvärderingar och översyner som avses i punkterna 1 till 7 ta hänsyn till ståndpunkter och slutsatser från styrelsen, Europaparlamentet, rådet och andra relevanta organ eller källor. 953 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 10. Kommissionen ska om nödvändigt överlämna lämpliga förslag om ändring av denna förordning, med särskild hänsyn till teknikens utveckling och AI-systems inverkan på hälsa och säkerhet och grundläggande rättigheter och mot bakgrund av tendenserna inom informationssamhället. 11. För att vägleda de utvärderingar och översyner som avses i punkterna 1–7 ska AI-byrån åta sig att ta fram en objektiv och deltagandebaserad metod för utvärdering av risknivåerna på grundval av de kriterier som anges i de relevanta artiklarna och införandet av nya system i a) förteckningen i bilaga III, inbegripet utvidgning av befintliga områdesrubriker eller tillägg av nya områdesrubriker i denna bilaga, b) förteckningen över de förbjudna användningsområden som fastställs i artikel 5, och c) förteckningen över AI-system som kräver ytterligare transparensåtgärder enligt artikel 50. 12. Varje ändring av denna förordning enligt punkt 10, eller relevanta delegerade akter eller genomförandeakter, som rör unionens sektorsspecifika harmoniseringslagstiftning som förtecknas i bilaga I avsnitt B, ska ta hänsyn till särdragen i lagstiftningen inom varje sektor och befintliga mekanismer för styrning, bedömning av överensstämmelse och efterlevnadskontroll samt myndigheter som inrättats inom denna. 13. Senast den 2 augusti 2031 ska kommissionen göra en bedömning av efterlevnadskontrollen av denna förordning och lämna en rapport om detta till Europaparlamentet, rådet samt Europeiska ekonomiska och sociala kommittén med beaktande av de första åren av tillämpningen av denna förordning. På grundval av resultaten ska denna rapport vid behov åtföljas av ett förslag till ändring av denna förordning med avseende på efterlevnadskontrollens struktur och behovet av att en EU-byrå kommer till rätta med eventuella konstaterade brister. Artikel 113 Ikraftträdande och tillämpning Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning. Den ska tillämpas från och med den 2 augusti 2026. Emellertid gäller att a) kapitlen I och II ska tillämpas från och med den 2 februari 2025, att b) kapitel III avsnitt 4, kapitlen V, VII och XII samt artikel 78 ska tillämpas från och med den 2 augusti 2025, med undantag för artikel 101, och att c) artikel 6.1 och motsvarande skyldigheter i denna förordning ska tillämpas från och med den 2 augusti 2027. Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater. Utfärdad i Bryssel den 13 juni 2024. På Europaparlamentets vägnar På rådets vägnar Ordförande Ordförande R. METSOLA M. MICHEL 954 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 BILAGA I Förteckning över unionens harmoniseringslagstiftning Avsnitt A – Förteckning över unionens harmoniseringslagstiftning som bygger på den nya lagstiftningsramen 1. Europaparlamentets och rådets direktiv 2006/42/EG av den 17 maj 2006 om maskiner och om ändring av direktiv 95/16/EG (EUT L 157, 9.6.2006, s. 24). 2. Europaparlamentets och rådets direktiv 2009/48/EG av den 18 juni 2009 om leksakers säkerhet (EUT L 170, 30.6.2009, s. 1). 3. Europaparlamentets och rådets direktiv 2013/53/EU av den 20 november 2013 om fritidsbåtar och vattenskotrar och om upphävande av direktiv 94/25/EG (EUT L 354, 28.12.2013, s. 90). 4. Europaparlamentets och rådets direktiv 2014/33/EU av den 26 februari 2014 om harmonisering av medlemsstaternas lagstiftning om hissar och säkerhetskomponenter till hissar (EUT L 96, 29.3.2014, s. 251). 5. Europaparlamentets och rådets direktiv 2014/34/EU av den 26 februari 2014 om harmonisering av medlemsstaternas lagstiftning om utrustning och skyddssystem som är avsedda för användning i potentiellt explosiva atmosfärer (EUT L 96, 29.3.2014, s. 309). 6. Europaparlamentets och rådets direktiv 2014/53/EU av den 16 april 2014 om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av radioutrustning och om upphävande av direktiv 1999/5/EG (EUT L 153, 22.5.2014, s. 62). 7. Europaparlamentets och rådets direktiv 2014/68/EU av den 15 maj 2014 om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av tryckbärande anordningar (EUT L 189, 27.6.2014, s. 164). 8. Europaparlamentets och rådets förordning (EU) 2016/424 av den 9 mars 2016 om linbaneanläggningar och om upphävande av direktiv 2000/9/EG (EUT L 81, 31.3.2016, s. 1). 9. Europaparlamentets och rådets förordning (EU) 2016/425 av den 9 mars 2016 om personlig skyddsutrustning och om upphävande av rådets direktiv 89/686/EEG (EUT L 81, 31.3.2016, s. 51). 10. Europaparlamentets och rådets förordning (EU) 2016/426 av den 9 mars 2016 om anordningar för förbränning av gasformiga bränslen och om upphävande av direktiv 2009/142/EG (EUT L 81, 31.3.2016, s. 99). 11. Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG (EUT L 117, 5.5.2017, s. 1). 12. Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitro-diagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU (EUT L 117, 5.5.2017, s. 176). Avsnitt B. Förteckning över annan unionsharmoniseringslagstiftning 13. Europaparlamentets och rådets förordning (EG) nr 300/2008 av den 11 mars 2008 om gemensamma skyddsregler för den civila luftfarten och om upphävande av förordning (EG) nr 2320/2002 (EUT L 97, 9.4.2008, s. 72). 14. Europaparlamentets och rådets förordning (EU) nr 168/2013 av den 15 januari 2013 om godkännande av och marknadstillsyn för två- och trehjuliga fordon och fyrhjulingar (EUT L 60, 2.3.2013, s. 52). 15. Europaparlamentets och rådets förordning (EU) nr 167/2013 av den 5 februari 2013 om godkännande och marknadstillsyn av jordbruks- och skogsbruksfordon (EUT L 60, 2.3.2013, s. 1). 955 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 16. Europaparlamentets och rådets direktiv 2014/90/EU av den 23 juli 2014 om marin utrustning och om upphävande av rådets direktiv 96/98/EG (EUT L 257, 28.8.2014, s. 146). 17. Europaparlamentets och rådets direktiv (EU) 2016/797 av den 11 maj 2016 om driftskompatibiliteten hos järnvägssystemet inom Europeiska unionen (EUT L 138, 26.5.2016, s. 44). 18. Europaparlamentets och rådets förordning (EU) 2018/858 av den 30 maj 2018 om godkännande av och marknadskontroll över motorfordon och släpfordon till dessa fordon samt av system, komponenter och separata tekniska enheter som är avsedda för sådana fordon, om ändring av förordningarna (EG) nr 715/2007 och (EG) nr 595/2009 samt om upphävande av direktiv 2007/46/EG (EUT L 151, 14.6.2018, s. 1). 19. Europaparlamentets och rådets förordning (EU) 2019/2144 av den 27 november 2019 om krav för typgodkännande av motorfordon och deras släpvagnar samt de system, komponenter och separata tekniska enheter som är avsedda för sådana fordon, med avseende på deras allmänna säkerhet och skydd för personer i fordonet och oskyddade trafikanter, om ändring av Europaparlamentets och rådets förordning (EU) 2018/858 och om upphävande av Europaparlamentets och rådets förordningar (EG) nr 78/2009, (EG) nr 79/2009 och (EG) nr 661/2009 samt kommissionens förordningar (EG) nr 631/2009, (EU) nr 406/2010, (EU) nr 672/2010, (EU) nr 1003/2010, (EU) nr 1005/2010, (EU) nr 1008/2010, (EU) nr 1009/2010, (EU) nr 19/2011, (EU) nr 109/2011, (EU) nr 458/2011, (EU) nr 65/2012, (EU) nr 130/2012, (EU) nr 347/2012, (EU) nr 351/2012, (EU) nr 1230/2012 och (EU) 2015/166 (EUT L 325, 16.12.2019, s. 1). 20. Europaparlamentets och rådets förordning (EU) nr 2018/1139 av den 4 juli 2018 om fastställande av gemensamma bestämmelser på det civila luftfartsområdet och inrättande av Europeiska unionens byrå för luftfartssäkerhet, och om ändring av Europaparlamentets och rådets förordningar (EG) nr 2111/2005, (EG) nr 1008/2008, (EU) nr 996/2010, (EU) nr 376/2014 och direktiv 2014/30/EU och 2014/53/EU, samt om upphävande av Europaparlamentets och rådets förordningar (EG) nr 552/2004 och (EG) nr 216/2008 och rådets förordning (EEG) nr 3922/91 (EUT L 212, 22.8.2018, s. 1), i den mån det rör sig om konstruktion, produktion och utsläppande på marknaden av luftfartyg som avses i artikel 2.1 a och b i den förordningen, när det gäller obemannade luftfartyg och deras motorer, propellrar, delar och utrustning för att kontrollera dem på distans 956 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 BILAGA II Förteckning över de brott som avses i artikel 5.1 första stycket h iii Brott som avses i artikel 5.1 första stycket h iii: — Terrorism. — Människohandel. — Sexuell exploatering av barn och barnpornografi. — Olaglig handel med narkotika och psykotropa ämnen. — Olaglig handel med vapen, ammunition och sprängämnen. — Mord och grov misshandel. — Olaglig handel med mänskliga organ eller vävnader. — Olaglig handel med nukleära och radioaktiva ämnen. — Människorov, olaga frihetsberövande och tagande av gisslan. — Brott som omfattas av Internationella brottmålsdomstolens behörighet. — Kapning av flygplan eller fartyg. — Våldtäkt. — Miljöbrott. — Organiserad stöld eller väpnat rån. — Sabotage. — Deltagande i en kriminell organisation inblandad i ett eller flera av de brott som förtecknas ovan. 957 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 BILAGA III AI-system med hög risk som avses i artikel 6.2 AI-system med hög risk enligt artikel 6.2 är de AI-system som används inom något av följande områden: 1. Biometri, i den mån användningen är tillåten enligt relevant unionsrätt eller nationell rätt: a) System för biometrisk fjärridentifiering. Detta omfattar inte de AI-system som är avsedda att användas för biometrisk verifiering och vars enda syfte är att bekräfta att en viss fysisk person är den person som han eller hon påstår sig vara. b) AI-system som är avsedda att användas för biometrisk kategorisering enligt känsliga eller skyddade attribut eller egenskaper som grundar sig på inferens av dessa attribut eller egenskaper. c) AI-system som är avsedda att användas för känsloigenkänning. 2. Kritisk infrastruktur: AI-system som är avsedda att användas som säkerhetskomponenter i samband med förvaltning och drift av kritisk digital infrastruktur, vägtrafik eller i samband med tillhandahållande av vatten, gas, värme och el. 3. Utbildning och yrkesutbildning: a) AI-system som är avsedda att användas för att fastställa tillgång eller antagning eller för att anvisa fysiska personer till institutioner för yrkesutbildning eller annan utbildning på alla nivåer. b) AI-system som är avsedda att användas för att utvärdera läranderesultat, även när dessa resultat används för att styra fysiska personers lärandeprocess vid institutioner för yrkesutbildning eller annan utbildning på alla nivåer. c) AI-system som är avsedda att användas för att bedöma den lämpliga utbildningsnivå som en person kommer att erhålla eller kommer att kunna få tillgång till, inom ramen för eller vid institutioner för yrkesutbildning eller annan utbildning på alla nivåer. d) AI-system som är avsedda att användas för att övervaka och upptäcka förbjudet beteende bland studerande under provtillfällen inom ramen för eller vid institutioner för yrkesutbildning eller annan utbildning på alla nivåer. 4. Anställning, arbetsledning och tillgång till egenföretagande: a) AI-system som är avsedda att användas för rekrytering eller urval av fysiska personer, särskilt för att publicera riktade platsannonser, analysera och filtrera platsansökningar och utvärdera kandidater. b) AI-system som är avsedd att användas för att fatta beslut som påverkar villkoren för arbetsrelaterade förhållanden, befordringar och uppsägningar av arbetsrelaterade avtalsförhållanden, för uppgiftsfördelning på grundval av individuellt beteende eller personlighetsdrag eller egenskaper eller för att övervaka och utvärdera personers prestationer och beteende inom ramen för sådana förhållanden. 5. Tillgång till och åtnjutande av väsentliga privata tjänster och väsentliga offentliga tjänster och förmåner: a) AI-system som är avsedda att användas av offentliga myndigheter eller för offentliga myndigheters räkning för att utvärdera fysiska personers rätt till väsentliga förmåner och tjänster i form av offentligt stöd, inbegripet hälso- och sjukvårdstjänster, samt för att bevilja, minska, upphäva eller återkalla sådana förmåner och tjänster. b) AI-system som är avsedda att användas för att utvärdera fysiska personers kreditvärdighet eller fastställa deras kreditbetyg, med undantag för AI-system som används i syfte att upptäcka ekonomiska bedrägerier. c) AI-system som är avsedda att användas för riskbedömning och prissättning i förhållande till fysiska personer när det gäller livförsäkring och sjukförsäkring. 958 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 d) AI-system som är avsedda att utvärdera och klassificera nödsamtal från fysiska personer eller användas för att sända ut eller för att fastställa prioriteringsordningen för utsändning av larmtjänster, inbegripet polis, brandkår och ambulans, samt av patientsorteringssystem för akutsjukvård. 6. Brottsbekämpning, i den mån användningen är tillåten enligt relevant unionsrätt eller nationell rätt: a) AI-system som är avsedda att användas av brottsbekämpande myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer till stöd för brottsbekämpande myndigheter eller för deras räkning för att bedöma risken för att en fysisk person ska falla offer för brott. b) AI-system som är avsedda att användas som lögndetektorer eller liknande verktyg av brottsbekämpande myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer till stöd för brottsbekämpande myndigheter. c) AI-system som är avsedda att användas av brottsbekämpande myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer till stöd för brottsbekämpande myndigheter för att bedöma hur pass tillförlitlig bevisningen är i samband med utredning eller lagföring av brott. d) AI-system som är avsedda att användas av brottsbekämpande myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer till stöd för brottsbekämpande myndigheter för att bedöma risken för att en fysisk person begår eller på nytt begår ett brott, inte enbart på grundval av profilering av fysiska personer i enlighet med artikel 3.4 i direktiv (EU) 2016/680 eller för att bedöma fysiska personers eller gruppers personlighetsdrag och egenskaper eller tidigare brottsliga beteende. e) AI-system som är avsedda att användas av brottsbekämpande myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer till stöd för brottsbekämpande myndigheter för profilering av fysiska personer enligt artikel 3.4 i direktiv (EU) 2016/680 vid upptäckt, utredning eller lagföring av brott. 7. Migration, asyl och gränskontrollförvaltning, i den mån användningen är tillåten enligt relevant unionsrätt eller nationell rätt: a) AI-system som är avsedda att användas som lögndetektorer eller liknande verktyg av behöriga offentliga myndigheter eller för deras räkning, eller av unionens institutioner, organ och byråer. b) AI-system som är avsedda att användas av behöriga offentliga myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer för att bedöma en risk, inbegripet en säkerhetsrisk, en risk för irreguljär migration eller en hälsorisk som utgörs av en fysisk person som avser resa in på eller har rest in på en medlemsstats territorium. c) AI-system som är avsedda att användas av behöriga offentliga myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer för att bistå behöriga offentliga myndigheter vid prövningen av ansökningar om asyl, visering eller uppehållstillstånd och för därmed sammanhängande klagomål om huruvida de fysiska personer som ansöker om status uppfyller kraven, inbegripet relaterade bedömningar av bevisens tillförlitlighet. d) AI-system som är avsedda att användas av behöriga offentliga myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer, i samband med migrations-, asyl- eller gränskontrollförvaltning, i syfte att upptäcka, känna igen eller identifiera fysiska personer, med undantag för verifiering av resehandlingar. 8. Rättskipning och demokratiska processer: a) AI-system som är avsedda att användas av en rättslig myndighet eller på dess vägnar för att hjälpa en rättslig myndighet att undersöka och tolka fakta och lagstiftning och att tillämpa lagen på konkreta fakta, eller som är avsedda att användas på ett likande sätt i alternativa tvistlösningar. 959 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 b) AI-system som är avsedda att användas för att påverka resultatet av ett val eller en folkomröstning eller fysiska personers röstningsbeteende när dessa utövar sin rätt att rösta i val eller folkomröstningar. Detta omfattar inte AI-system vars utdata fysiska personer inte är direkt exponerade för, såsom verktyg som används för att organisera, optimera eller strukturera politiska kampanjer ur administrativ eller logistisk synvinkel. 960 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 BILAGA IV Teknisk dokumentation som avses i artikel 11.1 Den tekniska dokumentation som avses i artikel 11.1 ska minst innehålla följande information, beroende på vad som är tillämpligt för det relevanta AI-systemet: 1. En allmän beskrivning av AI-systemet, inklusive a) det avsedda syftet, namnet på leverantören och version av systemet, som återspeglar dess samband med tidigare versioner, b) hur AI-systemet interagerar eller kan användas för att interagera med maskinvara eller programvara, inbegripet med andra AI-system som inte ingår i själva AI-systemet, i tillämpliga fall, c) versioner av relevant programvara eller fast programvara och eventuella krav med koppling till uppdatering av versioner, d) en beskrivning av alla format i vilka AI-systemet släpps ut på marknaden eller tas i bruk, såsom programvarupaket inbäddat i maskinvara, nedladdningar eller API, e) en beskrivning av den maskinvara som AI-systemet är avsett att köras på, f) om AI-systemet är en produktkomponent, fotografier eller illustrationer där de yttre egenskaperna framgår, samt dessa produkters märkning och interna utformning, g) en grundläggande beskrivning av det användargränssnitt som tillhandahålls tillhandahållaren, h) bruksanvisningar för tillhandahållaren och, i tillämpliga fall, en grundläggande beskrivning av det användargränssnitt som tillhandahålls tillhandahållaren. 2. En utförlig beskrivning av komponenterna i AI-systemet och av processen för utveckling av detta, inklusive a) de metoder och åtgärder som vidtas för att utveckla AI-systemet, inbegripet, i relevanta fall, användningen av förtränade system eller verktyg som tillhandahålls av tredje parter och hur dessa har använts, integrerats eller ändrats av leverantören, b) systemets designspecifikationer, dvs. AI-systemets och algoritmernas allmänna logik, de viktigaste valen vid utformningen, bl.a. motiveringen och de antaganden som gjorts, inbegripet med avseende på de personer eller grupper av personer som systemet är avsett att användas för, de viktigaste klassificeringsvalen, vad systemet har utformats för att optimera och de olika parametrarnas relevans, beskrivningen av systemets förväntade utdata och utdatakvalitet, de beslut om eventuella avvägningar mellan de tekniska lösningarna som valts för att uppfylla kraven i kapitel III avsnitt 2, c) en beskrivning av systemarkitekturen som förklarar hur programvarukomponenter bygger på eller påverkar varandra och integreras i den övergripande behandlingen, de dataresurser som används för att utveckla, träna, testa och validera AI-systemet, d) i relevanta fall uppgiftskraven i form av datablad som beskriver de träningsmetoder och träningstekniker och de träningsdataset som används, inbegripet en allmän beskrivning av dessa dataset, information om var dessa kommer från, deras omfattning och huvudsakliga egenskaper, hur uppgifterna inhämtades och valdes ut, märkningsförfaranden (t.ex. för övervakad inlärning), datarensningsmetoder (t.ex. upptäckt av avvikande värden), e) en bedömning av de åtgärder för mänsklig kontroll som krävs i enlighet med artikel 14, inbegripet en bedömning av de tekniska åtgärder som krävs för att underlätta tillhandahållarnas tolkning av AI-systemens resultat, i enlighet med artikel 13.3 d, f) i tillämpliga fall, en utförlig beskrivning av sådana ändringar av AI-systemet och dess prestanda som fastställts på förhand, tillsammans med all relevant information om de tekniska lösningar som har valts för att säkerställa att AI-systemet kontinuerligt uppfyller de relevanta kraven i kapitel III avsnitt 2, g) de validerings- och testningsförfaranden som används, inklusive information om de validerings- och testdata som har använts och deras huvudsakliga egenskaper, mått som används för att mäta riktighet, robusthet och överensstämmelse med andra relevanta krav som anges i kapitel III avsnitt 2 samt potentiellt diskriminerande effekter; testloggar och alla testrapporter, daterade och undertecknade av de ansvariga personerna, även med avseende på de på förhand fastställda ändringar som avses i led f. 961 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 h) de cybersäkerhetsåtgärder som vidtagits. 3. Detaljerade uppgifter om övervakning, drift och kontroll av AI-systemet, särskilt med avseende på dess kapacitet och prestandabegränsningar, inbegripet graden av riktighet för specifika personer eller grupper av personer som systemet är avsett att användas för och den övergripande förväntade riktighetsnivån i förhållande till det avsedda ändamålet, de förutsebara oavsiktliga resultaten och källorna till risker för hälsa och säkerhet, grundläggande rättigheter och diskriminering med tanke på AI-systemets avsedda ändamål, de åtgärder för mänsklig kontroll som krävs i enlighet med artikel 14, inbegripet de tekniska åtgärder som har vidtagits för att underlätta tillhandahållarnas tolkning av AI-systemens resultat, specifikationerna av indata, beroende på vad som är lämpligt. 4. En beskrivning av lämpligheten hos resultatmåtten för det specifika AI-systemet. 5. En utförlig beskrivning av riskhanteringssystemet i enlighet med artikel 9. 6. En beskrivning av relevanta ändringar av systemet som görs av leverantören under dess livscykel. 7. En förteckning över de harmoniserade standarder som helt eller delvis tillämpas och som det hänvisas till i Europeiska unionens officiella tidning. Om inga sådana harmoniserade standarder har tillämpats, en utförlig beskrivning av de lösningar som har valts för att uppfylla kraven i kapitel III avsnitt 2, inklusive en förteckning över andra relevanta standarder och tekniska specifikationer som har tillämpats. 8. En kopia av den EU-försäkran om överensstämmelse som avses i artikel 47. 9. En utförlig beskrivning av det system som har inrättats för att utvärdera AI-systemets prestanda efter det att systemet har släppts ut på marknaden i enlighet med artikel 72, inklusive den plan för övervakning efter utsläppande på marknaden som avses i artikel 72.3. 962 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 BILAGA V EU-försäkran om överensstämmelse Den EU-försäkran om överensstämmelse som avses i artikel 47 ska innehålla samtliga följande uppgifter: 1. AI-systemets namn och typ och eventuella ytterligare entydiga hänvisningar som gör det möjligt att identifiera och spåra AI-systemet. 2. Namn på och adress till leverantören eller, i förekommande fall, dennes ombud. 3. En uppgift om att den EU-försäkran om överensstämmelse som avses i artikel 47 utfärdas på leverantörens eget ansvar. 4. En uppgift om att AI-systemet överensstämmer med denna förordning och, i tillämpliga fall, med annan relevant unionsrätt som föreskriver att den EU-försäkran om överensstämmelse som avses i artikel 47 ska utfärdas. 5. Om ett AI-system inbegriper behandling av personuppgifter, en förklaring om att AI-systemet uppfyller kraven i förordningarna (EU) 2016/679 och (EU) 2018/1725 och direktiv (EU) 2016/680. 6. Hänvisningar till relevanta harmoniserade standarder som används eller till andra gemensamma specifikationer för vilka överensstämmelse deklareras. 7. I tillämpliga fall, det anmälda organets namn och identifikationsnummer, en beskrivning av det förfarande för bedömning av överensstämmelse som har genomförts och uppgifter om det utfärdade intyget. 8. Ort och datum för utfärdande av försäkran, namn på och befattning för den person som undertecknade den, uppgift om på vems vägnar personen undertecknade försäkran samt namnteckning. 963 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 BILAGA VI Förfarande för bedömning av överensstämmelse som grundar sig på intern kontroll 1. Med förfarande för bedömning av överensstämmelse som grundar sig på intern kontroll avses det förfarande för bedömning av överensstämmelse som grundar sig på punkterna 2, 3 och 4. 2. Leverantören ska kontrollera att det inrättade kvalitetsstyrningssystemet uppfyller kraven i artikel 17. 3. Leverantören ska granska uppgifterna i den tekniska dokumentationen för att bedöma om AI-systemet uppfyller de relevanta grundläggande kraven i kapitel III avsnitt 2. 4. Leverantören ska också kontrollera att utformnings- och utvecklingsprocessen för AI-systemet och övervakningen av detta efter utsläppande på marknaden enligt artikel 72 överensstämmer med den tekniska dokumentationen. 964 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 BILAGA VII Bedömning av överensstämmelse grundad på en bedömning av kvalitetsstyrningssystemet och en bedömning av den tekniska dokumentationen 1. Inledning Med överensstämmelse som grundar sig på en bedömning av kvalitetsstyrningssystem och en bedömning av den tekniska dokumentationen avses det förfarande för bedömning av överensstämmelse som grundar sig på punkterna 2–5. 2. Översikt Det godkända kvalitetsstyrningssystemet för utformning, utveckling och testning av AI-system enligt artikel 17 ska granskas i enlighet med punkt 3 och övervakas i enlighet med punkt 5. Den tekniska dokumentationen för AI-systemet ska granskas i enlighet med punkt 4. 3. Kvalitetsstyrningssystem 3.1 Leverantörens ansökan ska innehålla a) leverantörens namn och adress och, om ansökan lämnas in av ett ombud, även dennes namn och adress, b) en förteckning över de AI-system som omfattas av samma kvalitetsstyrningssystem, c) den tekniska dokumentationen för varje AI-system som omfattas av samma kvalitetsstyrningssystem, d) dokumentationen om kvalitetsstyrningssystemet, som ska omfatta samtliga aspekter som anges i artikel 17, e) en beskrivning av de förfaranden som har införts för att säkerställa att kvalitetsstyrningssystemet förblir lämpligt och effektivt, f) en skriftlig försäkran om att samma ansökan inte har lämnats till något annat anmält organ. 3.2 Kvalitetsstyrningssystemet ska bedömas av det anmälda organet, som ska fastställa om det uppfyller kraven i artikel 17. Beslutet ska meddelas leverantören eller dennes ombud. Meddelandet ska innehålla slutsatserna från bedömningen av kvalitetsstyrningssystemet och det motiverade bedömningsbeslutet. 3.3 Det godkända kvalitetsstyrningssystemet ska fortsätta att användas och underhållas av leverantören så att det förblir lämpligt och effektivt. 3.4 Leverantören ska underrätta det anmälda organet om alla planerade ändringar av det godkända kvalitetsstyrnings- systemet eller förteckningen över de AI-system som omfattas av detta. De föreslagna ändringarna ska granskas av det anmälda organet, som ska besluta om huruvida det ändrade kvalitetsstyrningssystemet fortfarande uppfyller kraven i punkt 3.2 eller om en ny bedömning är nödvändig. Det anmälda organet ska meddela leverantören sitt beslut. Meddelandet ska innehålla slutsatserna från granskningen av ändringarna och det motiverade bedömningsbeslutet. 4. Kontroll av den tekniska dokumentationen. 4.1 Utöver den ansökan som avses i punkt 3 ska leverantören lämna in en ansökan till ett valfritt anmält organ för bedömning av den tekniska dokumentationen för det AI-system som leverantören avser att släppa ut på marknaden eller ta i bruk och som omfattas av det kvalitetsstyrningssystem som avses i punkt 3. 4.2 Ansökan ska innehålla a) leverantörens namn och adress, b) en skriftlig försäkran om att samma ansökan inte har lämnats in till något annat anmält organ, c) den tekniska dokumentation som avses i bilaga IV, 965 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 4.3 Den tekniska dokumentationen ska granskas av det anmälda organet. När så är relevant och begränsat till vad som är nödvändigt för att det anmälda organet ska kunna fullgöra sina uppgifter ska det beviljas fullständig åtkomst till de tränings-, validerings- och testdataset som används, inbegripet, när så är lämpligt och med förbehåll för säkerhetsgarantier, genom API eller andra relevanta tekniska medel och verktyg som möjliggör fjärråtkomst. 4.4 Vid granskningen av den tekniska dokumentationen får det anmälda organet kräva att leverantören lämnar ytterligare bevis eller utför ytterligare tester för att möjliggöra en korrekt bedömning av om AI-systemet uppfyller kraven i kapitel III avsnitt 2. Om det anmälda organet inte nöjer sig med de tester som leverantören har utfört ska det anmälda organet självt direkt utföra lämpliga tester på lämpligt sätt. 4.5 Om det är nödvändigt för att bedöma om AI-systemet med hög risk uppfyller kraven i kapitel III avsnitt 2 ska det anmälda organet, efter det att alla andra rimliga sätt att kontrollera överensstämmelse har uttömts och har visat sig vara sig vara otillräckliga, och på motiverad begäran också beviljas tillgång till AI-systemets träningsmodeller och intränade modeller, inbegripet dess relevanta parametrar. Sådan åtkomst ska omfattas av befintlig unionslagstiftning om skyddet av immateriella rättigheter och företagshemligheter. 4.6 Det anmälda organets beslut ska meddelas leverantören eller dennes ombud. Anmälan ska innehålla slutsatserna från bedömningen av den tekniska dokumentationen och det motiverade bedömningsbeslutet. Om AI-systemet uppfyller kraven i kapitel III avsnitt 2 ska ett unionsintyg om bedömning av teknisk dokumentation utfärdas av det anmälda organet. Intyget ska innehålla leverantörens namn och adress, slutsatserna från undersökningen, eventuella giltighetsvillkor och de uppgifter som krävs för att identifiera AI-systemet. Intyget och dess bilagor ska innehålla alla relevanta uppgifter för att AI-systemets överensstämmelse ska kunna utvärderas och för att AI-systemet ska kunna kontrolleras under användning, i tillämpliga fall. Om AI-systemet inte uppfyller kraven i kapitel III avsnitt 2 ska det anmälda organet vägra att utfärda ett unionsintyg om bedömning av teknisk dokumentation, underrätta sökanden om detta och utförligt motivera avslaget. Om AI-systemet inte uppfyller kraven för de data som används för att träna det måste AI-systemet tränas på nytt innan ansökan om en ny bedömning av överensstämmelse lämnas in. I detta fall ska det motiverade bedömningsbeslutet från det anmälda organ som vägrar att utfärda unionsintyget om bedömning av teknisk dokumentation innehålla särskilda överväganden om de kvalitativa data som används för att träna AI-systemet, särskilt om skälen till att kraven inte uppfylls. 4.7 Varje ändring av AI-systemet som kan påverka AI-systemets överensstämmelse med kraven eller dess avsedda ändamål ska bedömas av det anmälda organ som utfärdade unionsintyget om bedömning av teknisk dokumentation. Leverantören ska underrätta det anmälda organet om sin avsikt att utföra någon av de ovannämnda ändringarna eller om den på annat sätt blir medveten om att sådana ändringar har skett. De avsedda ändringarna ska bedömas av det anmälda organet, som ska besluta om dessa ändringar kräver en ny bedömning av överensstämmelse i enlighet med artikel 43.4 eller om de kan åtgärdas genom ett tillägg till unionsintyget om bedömning av teknisk dokumentation. I det senare fallet ska det anmälda organet bedöma ändringarna, underrätta leverantören om sitt beslut och, om ändringarna godkänns, utfärda ett tillägg till unionsintyget om bedömning av teknisk dokumentation, som ska överlämnas till leverantören. 5. Övervakning av det godkända kvalitetsstyrningssystemet. 5.1 Syftet med övervakningen som utförs av det anmälda organ som avses i punkt 3 är att säkerställa att leverantören vederbörligen uppfyller villkoren för det godkända kvalitetsstyrningssystemet. 5.2 För bedömningsändamål ska leverantören ge det anmälda organet tillträde till de lokaler där utformningen, utvecklingen och testningen av AI-systemen äger rum. Leverantören ska vidarebefordra alla nödvändiga uppgifter till det anmälda organet. 5.3 Det anmälda organet ska genomföra periodiskt återkommande revisioner för att försäkra sig om att leverantören upprätthåller och tillämpar kvalitetsstyrningssystemet, samt lämna en revisionsrapport till leverantören. I samband med dessa revisioner får det anmälda organet utföra ytterligare tester av de AI-system för vilka ett unionsintyg om bedömning av teknisk dokumentation har utfärdats. 966 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 BILAGA VIII Uppgifter som ska lämnas in i samband med registreringen av AI-system med hög risk i enlighet med artikel 49 Avsnitt A – Uppgifter som ska lämnas av leverantörer av AI-system med hög risk i enlighet med artikel 49.1 Följande uppgifter ska lämnas och därefter hållas uppdaterade för de AI-system med hög risk som ska registreras i enlighet med artikel 49.1. 1. Leverantörens namn, adress och kontaktuppgifter. 2. Om uppgifterna lämnas av en annan person för leverantörens räkning, dennes namn, adress och kontaktuppgifter. 3. Ombudets namn, adress och kontaktuppgifter, i förekommande fall. 4. AI-systemets handelsnamn och eventuella ytterligare entydiga hänvisningar som gör det möjligt att identifiera och spåra AI-systemet. 5. En beskrivning av AI-systemets avsedda ändamål och av de komponenter och funktioner som stöds av detta AI-system. 6. En grundläggande och kortfattad beskrivning av den information som används av systemet (data, indata) och dess operativa logik. 7. AI-systemets status (på marknaden, eller i bruk; finns inte längre på marknaden/i bruk, har återkallats). 8. Typ, nummer och sista giltighetsdag för det intyg som utfärdats av det anmälda organet samt det anmälda organets namn eller identifikationsnummer, i tillämpliga fall. 9. En skannad kopia av det intyg som avses i punkt 8, i tillämpliga fall. 10. Medlemsstater där AI-systemet har släppts ut på marknaden, tagits i bruk eller tillhandahållits i unionen. 11. En kopia av den EU-försäkran om överensstämmelse som avses i artikel 47. 12. Elektroniska bruksanvisningar. Dessa uppgifter får inte lämnas för AI-system med hög risk inom områdena brottsbekämpning eller migration, asyl och gränskontrollförvaltning enligt punkterna 1, 6 och 7 i bilaga III. 13. En webbadress för ytterligare information (valfritt). Avsnitt B – Uppgifter som ska lämnas av leverantörer av AI-system med hög risk i enlighet med artikel 49.2 Följande uppgifter ska lämnas och därefter hållas uppdaterade för de AI-system som ska registreras i enlighet med artikel 49.2. 1. Leverantörens namn, adress och kontaktuppgifter. 2. Om uppgifterna lämnas av en annan person för leverantörens räkning, dennes namn, adress och kontaktuppgifter. 3. Ombudets namn, adress och kontaktuppgifter, i förekommande fall. 4. AI-systemets handelsnamn och eventuella ytterligare entydiga hänvisningar som gör det möjligt att identifiera och spåra AI-systemet. 5. En beskrivning av AI-systemets avsedda ändamål. 6. Det eller de villkor enligt artikel 6.3 som ligger till grund för bedömningen att AI-systemet anses vara utan hög risk. 7. En kort sammanfattning av de grunder på vilka AI-systemet anses vara utan hög risk vid tillämpning av förfarandet i artikel 6.3. 8. AI-systemets status (på marknaden, eller i bruk; finns inte längre på marknaden/i bruk, har återkallats). 9. Medlemsstater där AI-systemet har släppts ut på marknaden, tagits i bruk eller tillhandahållits i unionen. 967 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 Avsnitt C – Uppgifter som ska lämnas in av tillhandahållare av AI-system med hög risk i enlighet med artikel 49.3 Följande uppgifter ska lämnas och därefter hållas uppdaterade för de AI-system med hög risk som ska registreras i enlighet med artikel 49.3. 1. Tillhandahållarens namn, adress och kontaktuppgifter. 2. Namn, adress och kontaktuppgifter för den person som lämnar uppgifter på tillhandahållarens vägnar. 3. Webbadressen för införandet av AI-systemet i EU-databasen av dess leverantör. 4. En sammanfattning av resultaten av den konsekvensbedömning avseende grundläggande rättigheter som genomförts i enlighet med artikel 27. 5. En sammanfattning av den konsekvensbedömning avseende dataskydd som genomförts i enlighet med artikel 35 i förordning (EU) 2016/679 eller artikel 27 i direktiv (EU) 2016/680, såsom anges i artikel 26.8 i den här förordningen, i tillämpliga fall. 968 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 BILAGA IX Uppgifter som ska lämnas vid registrering av AI-system med hög risk som förtecknas i bilaga III i samband med testning under verkliga förhållanden i enlighet med artikel 60 Följande uppgifter ska lämnas och därefter hållas uppdaterade när det gäller testning under verkliga förhållanden som ska registreras i enlighet med artikel 60: 1. Ett unikt unionsomfattande identifieringsnumret för testningen under verkliga förhållanden. 2. Namn och kontaktuppgifter för den leverantör eller potentiella leverantör och de tillhandahållare som deltar i testningen under verkliga förhållanden. 3. En kort beskrivning av AI-systemet, dess avsedda ändamål och annan information som krävs för att identifiera systemet. 4. En sammanfattning av de viktigaste särdragen i planen för testning under verkliga förhållanden. 5. Information om tillfälligt avbrott eller avslutande av testningen under verkliga förhållanden. 969 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 BILAGA X Unionslagstiftningsakter om stora it-system på området med frihet, säkerhet och rättvisa 1. Schengens informationssystem a) Europaparlamentets och rådets förordning (EU) 2018/1860 av den 28 november 2018 om användning av Schengens informationssystem för återvändande av tredjelandsmedborgare som vistas olagligt i medlemsstaterna (EUT L 312, 7.12.2018, s. 1). b) Europaparlamentets och rådets förordning (EU) 2018/1861 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området in- och utresekontroller, om ändring av konventionen om tillämpning av Schengenavtalet och om ändring och upphävande av förordning (EG) nr 1987/2006 (EUT L 312, 7.12.2018, s. 14). c) Europaparlamentets och rådets förordning (EU) 2018/1862 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området polissamarbete och straffrättsligt samarbete, om ändring och upphävande av rådets beslut 2007/533/RIF och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1986/2006 och kommissionens beslut 2010/261/EU (EUT L 312, 7.12.2018, s. 56). 2. Informationssystemet för viseringar a) Europaparlamentets och rådets förordning (EU) 2021/1133 av den 7 juli 2021 om ändring av förordningarna (EU) nr 603/2013, (EU) 2016/794, (EU) 2018/1862, (EU) 2019/816 och (EU) 2019/818 vad gäller fastställandet av villkoren för åtkomst till andra EU-informationssystem för ändamål som gäller Informationssystemet för viseringar (EUT L 248, 13.7.2021, s. 1). b) Europaparlamentets och rådets förordning (EU) 2021/1134 av den 7 juli 2021 om ändring av Europa- parlamentets och rådets förordningar (EG) nr 767/2008, (EG) nr 810/2009, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1860, (EU) 2018/1861, (EU) 2019/817 och (EU) 2019/1896 och om upphävande av rådets beslut 2004/512/EG och 2008/633/RIF, i syfte att reformera Informationssystemet för viseringar (EUT L 248, 13.7.2021, s. 11). 3. Eurodac Europaparlamentets och rådets förordning (EU) 2024/1358 av den 14 maj 2024 om inrättande av Eurodac för jämförelse av biometriska uppgifter för att effektivt tillämpa Europaparlamentets och rådets förordningar (EU) 2024/1315 och (EU) 2024/1350 och rådets direktiv 2001/55/EG, och identifiera tredjelandsmedborgare och statslösa personer som vistas olagligt och om framställningar från medlemsstaternas brottsbekämpande myndigheter och Europol om jämförelse med Eurodacuppgifter för brottsbekämpande ändamål, om ändring av förordningarna (EU) 2018/1240 och (EU) 2019/818 och om upphävande av Europaparlamentets och rådets förordning (EU) nr 603/2013 (EUT L, 2024/1358, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1358/oj). 4. In- och utresesystemet Europaparlamentets och rådets förordning (EU) 2017/2226 av den 30 november 2017 om inrättande av ett in- och utresesystem för registrering av in- och utreseuppgifter och av uppgifter om nekad inresa för tredjelandsmedborgare som passerar medlemsstaternas yttre gränser, om fastställande av villkoren för åtkomst till in- och utresesystemet för brottsbekämpande ändamål och om ändring av konventionen om tillämpning av Schengenavtalet och förordningarna (EG) nr 767/2008 och (EU) 1077/2011 (EUT L 327, 9.12.2017, s. 20). 5. EU-systemet för reseuppgifter och resetillstånd a) Europaparlamentets och rådets förordning (EU) 2018/1240 av den 12 september 2018 om inrättande av ett EU-system för reseuppgifter och resetillstånd (Etias) och om ändring av förordningarna (EU) nr 1077/2011, (EU) nr 515/2014, (EU) 2016/399, (EU) 2016/1624 och (EU) 2017/2226 (EUT L 236, 19.9.2018, s. 1). b) Europaparlamentets och rådets förordning (EU) 2018/1241 av den 12 september 2018 om ändring av förordning (EU) 2016/794 i syfte att inrätta ett EU-system för reseuppgifter och resetillstånd (Etias) (EUT L 236, 19.9.2018, s. 72). 970 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 6. Det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister avseende tredjelandsmedborgare och statslösa personer Europaparlamentets och rådets förordning (EU) 2019/816 av den 17 april 2019 om inrättande av ett centraliserat system för identifiering av medlemsstater som innehar uppgifter om fällande domar mot tredjelandsmedborgare och statslösa personer (Ecris-TCN) för att komplettera det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister och om ändring av förordning (EU) 2018/1726 (EUT L 135, 22.5.2019, s. 1). 7. Interoperabilitet a) Europaparlamentets och rådets förordning (EU) 2019/817 av den 20 maj 2019 om inrättande av en ram för interoperabilitet mellan EU-informationssystem på området gränser och viseringar, och om ändring av Europaparlamentets och rådets förordningar (EG) nr 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 och (EU) 2018/1861 samt rådets beslut 2004/512/EG och 2008/633/RIF (EUT L 135, 22.5.2019, s. 27). b) Europaparlamentets och rådets förordning (EU) 2019/818 av den 20 maj 2019 om inrättande av en ram för interoperabilitet mellan EU-informationssystem på området polissamarbete och straffrättsligt samarbete, asyl och migration och om ändring av förordningarna (EU) 2018/1726, (EU) 2018/1862 och (EU) 2019/816 (EUT L 135, 22.5.2019, s. 85). 971 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 BILAGA XI Teknisk dokumentation som avses i artikel 53.1 a – teknisk dokumentation för leverantörer av AI-modeller för allmänna ändamål Avsnitt 1 Information som ska tillhandahållas av samtliga leverantörer av AI-modeller för allmänna ändamål Den tekniska dokumentation som avses i artikel 53.1 a ska minst innehålla följande information, beroende på vad som är lämpligt med avseende på modellens storlek och riskprofil: 1. En allmän beskrivning av AI-systemet för allmänna ändamål, inklusive a) de uppgifter som modellen är avsedd att utföra och typen och arten av AI-system i vilka den kan integreras, b) tillämpliga riktlinjer för godtagbar användning, c) datum för frisläppande och distributionsmetoder, d) parametrarnas struktur och antal, e) metod (t.ex. text, bild) och format för in- och utdata, f) licensen. 2. En utförlig beskrivning av delarna i den modell som avses i punkt 1 och relevant information om utvecklingsprocessen, inbegripet följande: a) De tekniska medel (t.ex. bruksanvisningar, infrastruktur, verktyg) som krävs för att AI-modellen för allmänna ändamål ska integreras i AI-system. b) Modellens och träningsprocessens designspecifikationer, inbegripet metoder och teknik för träningen, de viktigaste designvalen, inklusive motiveringen och de antaganden som gjorts, vad modellen har utformats för att optimera och de olika parametrarnas relevans, i förekommande fall. c) Information om de data som används för träning, testning och validering, i tillämpliga fall, inbegripet datatyp och härkomst för data och kurateringsmetoder (t.ex. rensning, filtrering osv.), antal datapunkter, deras omfattning och huvudsakliga egenskaper, hur data inhämtades och valdes ut samt alla andra åtgärder för att upptäcka datakällor och metoder för att upptäcka identifierbara biaser, i tillämpliga fall. d) De dataresurser som används för att träna modellen (t.ex. antal flyttalsberäkningar), träningstid och andra relevanta uppgifter som rör träningen. e) Känd eller uppskattad energiförbrukning för modellen. När det gäller led e, om modellens energiförbrukning är okänd, får uppgiften om energiförbrukningen baseras på information om de dataresurser som används. Avsnitt 2 Ytterligare information som ska tillhandahållas av samtliga leverantörer av AI-modeller för allmänna ändamål med systemrisk 1. En utförlig beskrivning av utvärderingsstrategierna, inklusive utvärderingsresultaten, på grundval av tillgängliga offentliga utvärderingsprotokoll och utvärderingsverktyg eller annars av andra utvärderingsmetoder. Utvärdering- sstrategierna ska omfatta utvärderingskriterier, mått och metoder för identifiering av begränsningar. 2. I tillämpliga fall, en utförlig beskrivning av de åtgärder som vidtagits för att genomföra intern och/eller extern antagonistisk testning (t.ex. red teaming), modellanpassningar, inklusive harmonisering och finjustering. 972 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 3. I tillämpliga fall en utförlig beskrivning av systemarkitekturen som förklarar hur programvarukomponenter bygger på eller påverkar varandra och integreras i den övergripande behandlingen. 973 Bilaga 2 SOU 2025:101 SV EUT L, 12.7.2024 BILAGA XII Transparensinformation som avses i artikel 53.1 b – teknisk dokumentation för leverantörer av AI-modeller för allmänna ändamål till leverantörer i efterföljande led som integrerar modellen i sina AI-system Den information som avses i artikel 53.1 b ska minst innehålla följande: 1. En allmän beskrivning av AI-systemet för allmänna ändamål, inklusive a) de uppgifter som modellen är avsedd att utföra och typen och arten av AI-system i vilka den kan integreras, b) tillämpliga riktlinjer för godtagbar användning, c) datum för frisläppande och distributionsmetoder, d) hur modellen interagerar eller kan användas för att interagera med maskinvara eller programvara som inte ingår i själva modellen, i tillämpliga fall, e) versionerna av relevant programvara som rör användningen av AI-modellen för allmänna ändamål, i tillämpliga fall, f) parametrarnas struktur och antal, g) metod (t.ex. text, bild) och format för in- och utdata, h) licensen för modellen. 2. En beskrivning av modellens komponenter och dess utvecklingsprocess, inklusive a) de tekniska medel (t.ex. bruksanvisningar, infrastruktur, verktyg) som krävs för att AI-modellen för allmänna ändamål ska integreras i AI-system, b) metod (t.ex. text, bild osv.) och format för in- och utdata och deras maximala storlek (t.ex. kontextfönstrets längd osv.), c) information om de data som används för träning, testning och validering, i tillämpliga fall, inbegripet datatyp, varifrån dessa data kommer och kurateringsmetoder. 974 SOU 2025:101 Bilaga 2 SV EUT L, 12.7.2024 BILAGA XIII Kriterier för utseende av AI-modeller för allmänna ändamål med systemrisk som avses i artikel 51 Vid fastställandet av att en AI-modell för allmänna ändamål har kapacitet eller effekter som motsvarar dem som anges i artikel 51.1 a ska kommissionen beakta följande kriterier: a) Antalet parametrar i modellen. b) Datasetets kvalitet eller storlek, till exempel mätt genom token. c) Den beräkningsmängd som används för att träna modellen, mätt i flyttalsberäkningar eller angiven med en kombination av andra variabler, såsom beräknad träningskostnad, uppskattad tid som krävs för träningen eller uppskattad energiförbrukning för träningen. d) Modellens in- och utmatningsmetoder, såsom text till text (stora språkmodeller), text till bild, multimodalitet och tröskelvärden som motsvarar den senaste utvecklingen för att fastställa kapacitet med hög påverkansgrad för varje metod, och den specifika typen av in- och utdata (t.ex. biologiska sekvenser). e) Riktmärken för och utvärderingar av modellens kapacitet, inbegripet med beaktande av antalet uppgifter utan ytterligare träning, anpassningsförmåga att lära sig nya, distinkta uppgifter, dess grad av autonomi och skalbarhet samt de verktyg som den har tillgång till. f) Huruvida modellen har stor inverkan på den inre marknaden på grund av sin räckvidd, vilket ska förutsättas om den har gjorts tillgänglig för minst 10 000 registrerade företagsanvändare som är etablerade i unionen. g) Antalet registrerade slutanvändare. 975 Bilaga 3 PM: Myndighetens roll i en regulatorisk sandlåda 977 Bilaga 3 SOU 2025:101 Myndighetens roll i en regulatorisk sandlåda för AI Håkan Burden & Susanne Stenberg 7 augusti 2025, Göteborg Uppdraget I april 2025 bad utredningen om AI-förordningen (Fi 2024:05) Håkan Burden och Susanne Stenberg (seniora forskare på RISE Research Institutes of Sweden) att analysera om det krävs en teknisk infrastruktur hos den myndighet som inrättar en regulatorisk sandlåda för AI, i relation till artiklarna 57-59 i AI-förordningen. Sedan dess har vi träffat utredningens kansli vid ytterligare tre tillfällen, där varje möte gett tillfälle att diskutera den pågående analysen samt nya frågeställningar utredningen önskat få analyserade. Parallellt har utredningens arbete löpt på, bland annat med möten med utredningens expertgrupp som fått tillfälle att läsa och diskutera utkast till PM. Den återkoppling vi fått från utredningen har vi använt för att bedöma vad som är relevant att ta med i vår PM. Uppdragets frågor, i den ordning de analyseras i vår text, lyder: 1. Hur ska man tolka begreppet tillsyn i kontexten av regulatoriska sandlådor för AI (artikel 57-59)? 2. Vad betyder det att en myndighet är involverad i driften av en regulatorisk sandlåda för AI (artikel 57.10)? 3. Krävs det en teknisk infrastruktur hos den myndighet som inrättar en regulatorisk sandlåda för AI (artikel 57-59)? Frågorna besvaras utifrån rollen som expert. Ansvaret för analysen faller helt på oss och ingen annan kan ställas till svars för innehållet. Arbetet är finansierat av forskningsprojektet Forsa1. Vår PM är färgad av uppdragsgivarens uppdrag, eftersom vi har bidragit där utredningen har behövt en djupare analys. Det är därmed myndigheters roll i en regulatorisk sandlåda för AI som har stått i fokus för vårt arbete som redovisas här. Vår analys utgår från att regulatoriska sandlådor introduceras (i svensk rätt och svensk myndighetsstruktur) som en åtgärd till stöd för innovation. Artiklarna 57-59 har just den rubriken i AI-förordningen. Referens till artiklar är till AI-förordningen om inget annat anges. När den svenska versionen av AI-förordningen öppnar för flera 1 Förstudie om regulatoriska sandlådors roll för AI-baserad innovation (Vinnova dnr. 2024-01668) 978 SOU 2025:101 Bilaga 3 tolkningar har vi använt den engelska versionen för att se om den kan bidra till disambiguering.2 Vår analys utgår också från rättsläget nu, det finns exempelvis ännu ingen genomförandeakt för AI-förordningen gällande regulatoriska sandlådor. Vi har inte själva haft tillgång till utredningen, expertgruppen eller sett de förslag som utredningen avser att lämna. Vi har också haft tillfälle att presentera och diskutera vår analys av regulatoriska sandlådor vid två andra tillfällen. Det första tillfället var ett seminarium den 23e maj 2025 som ordnades inom projektet Forsa med 20 representanter från 15 svenska myndigheter. Det andra tillfället var ett seminarium3 anordnat av UNESCO den 28e maj 2025 med över 50 deltagare representerande både privat och offentlig sektor, huvudsakligen från Europa. Texten börjar med våra övergripande slutsatser angående vad det innebär att inrätta en regulatorisk sandlåda för AI, behovet av teknisk infrastruktur, vad som menas med tillsyn samt hur myndigheternas resurssättning ska prioriteras. Sedan följer en kort sammanfattning av AI-förordningen med fokus på myndighetens ansvar för marknadskontroll och främjande av andras innovation. Vi tar sedan upp begreppet tillsyn i kontexten av regulatorisk sandlåda för AI och gör en bedömning i relation till begreppet marknadskontroll. Den analysen följs av en bedömning om vilka myndigheter som berörs och hur det kan hanteras. Eftersom att involveras i tillsynen ligger nära driften av den regulatoriska sandlådan för AI finns ett visst överlapp mellan analyserna. Vår analys om behovet av teknisk infrastruktur och kontrollerad miljö följer därefter. Vi avslutar med en diskussion om hur myndighetens innovationsfrämjande verksamhet kan utvärderas och anpassas i linje med de strukturer som redan finns på plats för marknadskontroll innan vi ställer frågan om vilket ansvar myndigheten vill ta för andras innovation. Övergripande bedömningar Vår slutsats är att myndighets ansvar att inrätta en regulatorisk sandlåda innebär att se till att den blir av. Det betyder att en sandlådeplan ska finnas och följas, att andra relevanta myndigheter är informerade och en rapport upprättas. Det är inte nödvändigt att den inrättande myndigheten står för alla delar av verksamheten som bedrivs inom den regulatoriska sandlådan. Nationell behörig myndighet behöver inte ha en teknisk infrastruktur för att inrätta en regulatorisk sandlåda. Det utesluter inte att tekniska resurser kan behövas för att bedriva marknadskontroll av AI-system. De tekniska resurserna borde då vara ackrediterade för marknadskontroll. Behovet av resurser ska utvärderas årligen, med 2 Båda versionerna finns tillgängliga på EUR-lex, EUs hemsida för rättskällor, https://eur- lex.europa.eu/eli/reg/2024/1689/oj/ 3 UNESCO, Expert Roundtable: Capacity Building for Competent Authorities on AI, May 28th 2025, https://indico.un.org/event/1017939/ 979 Bilaga 3 SOU 2025:101 särskilt fokus på hur budget och personal motsvarar uppdragets omfattning. I den bedömningen kan även tekniska resurser tas med. Om så krävs kan myndigheten utöka sin förmåga, vilket kan påverka budget och uppdragsbeskrivning. Myndigheternas verksamhet i relation till regulatoriska sandlådor för AI är att se som handledning av andras verksamheter, så att de förväntningar och krav som följer av regleringen ska kunna uppfyllas av denna andra verksamhet, och inte som marknadskontroll. Därmed kan de berörda myndigheterna utforma sina aktiviteter, inklusive delning av information, så de överensstämmer med syftet med inrättandet av regulatoriska sandlådor för AI, istället för att tillgodose behoven vid marknadskontroll. Säkerställ först att det finns anställd personal med rätt kompetens inom de berörda myndigheterna. Därefter kan man få konkreta erfarenheter av befintlig teknisk infrastruktur genom samarbeten i en eller flera regulatoriska sandlådor. När behov av teknisk infrastruktur inte möts av befintliga resurser, kravställ och utveckla respektive upphandla sådan. Bakgrund AI-förordningen innebär att myndighet ska både utföra marknadskontroll och innovationsfrämjande insatser. Regleringen karaktäriseras av att vara en produktlagstiftning och ska säkerställa ett starkt skydd för hälsa, säkerhet och grundläggande rättigheter. EUs ramverk för marknadskontroll4 (New Legislative Framework, NLF), definierar marknadskontroll och reglerar myndigheters ansvar för det. De tre grundstenarna är förordning EU 2019/10205, förordning EC 765/20086 och beslut EC 768/20087. Marknadskontroll är behöriga myndigheters verksamhet för att säkerställa 1) att produkter överensstämmer med de krav som finns i relevant harmoniserad unionslagstiftning samt 2) skydd av det allmänintresse som omfattas av den lagstiftningen (artikel 3.3 i förordning 2019/1020 om marknadskontroll). Förordningen introducerar alltså ett initiativ för att främja innovation genom att varje medlemsstat ska ha (minst) en nationell regulatorisk sandlåda (artikel 57). Den 4 Ett ramverk som kompletteras med produktspecifika regler, såsom för hissar och radioutrustning. 5 Europaparlamentets och rådets förordning (EU) 2019/1020 av den 20 juni 2019 om marknadskontroll och överensstämmelse för produkter, http://data.europa.eu/eli/reg/2019/1020/2024- 05-23 6 Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering, https://eur-lex.europa.eu/eli/reg/2008/765/2021-07-16 7 Europaparlamentets och rådets beslut nr 768/2008/EG av den 9 juli 2008 om en gemensam ram för saluföring av produkter, http://data.europa.eu/eli/dec/2008/768(1)/oj 980 SOU 2025:101 Bilaga 3 myndighet som kan inrätta en nationell regulatorisk sandlåda ska vara en anmälande myndighet eller en marknadskontrollmyndighet.8 En sandlådeplan är en överenskommelse mellan den deltagande leverantören och den inrättande myndigheten som beskriver målen, villkoren, tidsplanen, metoden och kraven för den verksamhet som ska bedrivas i sandlådan (artikel 3.54). Det är frivilligt för leverantörer av AI-system att delta i en regulatorisk sandlåda för AI. Här är det enligt oss värt att notera att det är två verksamheter: marknadskontroll och främjande av innovation, även om båda verksamheterna kan kopplas till marknadskontrollmyndigheten. Det är något vi återkommer till i relation till begreppen tillsyn och teknisk infrastruktur. Tillsyn - vägleda eller marknadskontroll? Bedömning: Med ordet tillsyn avses inte marknadskontroll inom den regulatoriska sandlådan för AI. Eftersom AI-systemen som ingår i den regulatoriska sandlådan för AI inte tagits i bruk eller satts på marknaden än är det inte aktuellt att en myndighet bedriver tillsyn i bemärkelsen marknadskontroll. Vi bedömer att med begreppet tillsyn inom den regulatoriska sandlådan för AI avses att verksamheten utförs enligt sandlådeplanen och att vägledning ges där det råder osäkerhet om hur AI- förordningen ska tillämpas vid experimenterande och utveckling av AI-system. Tillsyn inom en regulatorisk sandlåda för AI En regulatorisk sandlåda för AI ska erbjuda leverantörer av AI-system möjlighet att utveckla och testa ett innovativt AI-system under regulatorisk tillsyn (se art 3.55). I den regulatoriska sandlådan ska myndigheter kunna ge vägledning, tillsyn och stöd i förhållande till rättsliga krav (artikel 57.6) och hur de kan uppfyllas (artikel 57.7). Artikel 57.10 nämner vidare att relevanta myndigheter ska involveras i tillsynen inom den regulatoriska sandlådan för AI. Vad betyder tillsyn i detta sammanhang? Begreppet tillsyn är här tvetydigt då det leder tankarna till marknadskontroll, men artikel 2.8 klargör att AI- förordningen inte är “tillämplig på forsknings-, testnings- eller utvecklingsverksamhet för AI-system eller AI-modeller innan de släpps ut på marknaden eller tas i bruk […] Testning under verkliga förhållanden omfattas inte av detta undantag”. Tillsyn inom den regulatoriska sandlådan för AI kan därför inte avse marknadskontroll. Eftersom AI-systemen som ingår i ett sandlådeprojekt ännu inte satts på marknaden, kan inte marknadskontroll utövas.9 Myndighetens roll är istället att vägleda om hur 8 Artikel 3.48 definierar nationell behörig myndighet som “en anmälande myndighet eller en marknadskontrollmyndighet”. 9 Ett AI-system som behöver omcertifiering kan i och för sig också komma ifråga, om den väsentliga ändringen kan anses som innovativ eller utgöra grund för regulatoriskt lärande. Avgränsningen om 981 Bilaga 3 SOU 2025:101 utveckling, träning, testning och validering kan utföras så att regulatorisk efterlevnad kan uppnås. Bedömningen rimmar med att den regulatoriska sandlådan för AI ska “inriktas på problem som skapar rättsosäkerhet för leverantörer och potentiella leverantörer när de ska vara innovativa, experimentera med AI i unionen och bidra till evidensbaserat regulatoriskt lärande. Tillsynen av AI-systemen i den regulatoriska sandlådan för AI bör därför omfatta deras utveckling, träning, testning och validering innan systemen släpps ut på marknaden eller tas i bruk, samt begreppet och förekomsten av väsentlig ändring som kan kräva ett nytt förfarande för bedömning av överensstämmelse.” (skäl 139). Analysen stöds av artikel 57.7 som slår fast att “behöriga myndigheterna ska ge leverantörer och potentiella leverantörer som deltar i den regulatoriska sandlådan för AI vägledning om rättsliga förväntningar och hur de krav och skyldigheter som fastställs i denna förordning ska uppfyllas”. Vidare, artikel 57.11 säger att den behöriga myndighetens tillsynsuppdrag inte ska påverkas av deltagandet i sandlådan. Här skiljer engelskan på supervisory powers (tillsyn i svenska översättningen) och supervising the sandbox (drift av sandlådan i svenska översättningen). Hälsa, säkerhet och grundläggande rättigheter Däremot har den behöriga myndigheten ett ansvar för den verksamhet som utförs inom den regulatoriska sandlådan för AI då alla “betydande risker för hälsa och säkerhet och grundläggande rättigheter som upptäcks under utvecklingen och testningen av sådana AI-system ska leda till adekvata begränsningsåtgärder” (artikel 57.11). Om det inte är möjligt att begränsa riskerna ska den inrättande myndigheten ha mandat att avbryta verksamheten. Myndigheters involvering i driften av regulatoriska sandlådor för AI Bedömning: Om leverantörens system, som sandlådan undersöker, rör en annan myndighets ansvarsområde (än den inrättande myndighetens), ska den myndigheten involveras för vägledningen av de aspekterna. Den myndighet som har ansvar för ett visst område under ordinarie omständigheter, har det också under utvecklingen av ett system inom en regulatorisk sandlåda för AI. I en svensk kontext rimmar detta med ansvarsprincipen, och att myndigheter ska samverka med varandra vid behov. Andra myndigheter än den inrättande myndigheten blir involverade i och med att de informeras av den senare om verksamheten i den regulatoriska sandlådan för AI. vilka delar av AI-systemet om undersöks i den regulatoriska sandlådan för AI bör då framgå av sandlådeplanen. Inte heller då blir det dock fråga om marknadskontroll inom sandlådan. 982 SOU 2025:101 Bilaga 3 Det är upp till varje myndighet att själv bedöma deltagande och omfattning utifrån uppgifter och tillgängliga resurser. Den inrättande myndigheten kan begränsa vilka myndigheter som berörs av sandlådans verksamhet genom sandlådeplanen. Involverade myndigheter Vilka myndigheter berörs av aktiviteterna i en regulatorisk sandlåda för AI? Enligt artikel 57.10 berörs: • den inrättande myndigheten, • dataskyddsmyndigheten (IMY i svensk kontext), • nationella myndigheter vars tillsynsområde omfattar AI-systemet, och • behöriga myndigheter som tillhandahåller data eller stöder tillgång till data. Och enligt artikel 57.2: • kommunala myndigheter, då regionala och lokala sandlådor också får inrättas. Kommunala myndigheter kan också beröras för att de möjliggör tillgång till data som behövs för utvecklingen av AI-systemen. Involverade i tillsynen Vad betyder det att vara involverad i den tillsyn som bedrivs inom en regulatorisk sandlåda för AI? Vår bedömning är dels att delta med ansvar för vägledningen av vissa aspekter i ett sandlådeprojekt, dels att myndigheten som inrättar den regulatoriska sandlådan för AI ska säkerställa att rätt myndigheter är informerade om det planerade projektet, dess innehåll och eventuella ändringar. Myndigheternas medverkan kommer påverka vilka regler som är möjliga att vägleda om och det borde beskrivas i sandlådeplanen, både i planeringsskedet men också om den behöver revideras utifrån förändrade omständigheter eller nya insikter. Även om de medverkande myndigheterna involveras utifrån sitt ansvarsområde10, består deras medverkan i att ge vägledning. Slutsatsen följer av artikel 57, se t.ex. “Om andra behöriga myndigheter med ansvar för annan unionsrätt och nationell rätt aktivt deltog i tillsynen av AI-systemet i sandlådan och tillhandahöll vägledning för efterlevnad ska inga administrativa sanktionsavgifter åläggas avseende den rätten” (artikel 57.12) och “De nationella behöriga myndigheterna ska utöva sina tillsynsbefogenheter inom ramen för relevant rätt, med användning av sitt utrymme för skönsmässig bedömning när de genomför rättsliga bestämmelser för ett specifikt regulatoriskt sandlådeprojekt för AI, i syfte att stödja innovation inom AI i unionen” (artikel 57.11). Ytterligare stöd finns i artiklarna 57.16 och 58.2. Detta stöder även 10 AI-förordningen använder tillsynsområde för engelskans supervisory remit. Myndigheternas uppgifter och befogenheter sträcker sig emellertid längre än vad den svenska översättningen indikerar. 983 Bilaga 3 SOU 2025:101 bedömningen att tillsyn inom den regulatoriska sandlådan för AI inte ska ses som marknadskontroll. Vi menar att det faller på den inrättande myndigheten att se till att bjuda in andra, berörda myndigheter så att de är involverade i tillsynen i relation till deras respektive uppgifter och befogenheter. De informerade myndigheterna får själva bedöma i vilken utsträckning de kan och vill delta i tillsynen utifrån uppgifter och befogenheter, resurser, planerade och prioriterade aktiviteter etc (myndighetsförordningen, 2007:515). Deras bidrag kan falla under serviceskyldigheten, explicita uppdrag med tillhörande budget, utgå från regleringsbrev o.s.v., med syfte att vägleda kring regler eller främja innovation. De skriftliga bevis, slutrapporter och årliga rapporter som är ett resultat av verksamheten i den regulatoriska sandlådan kommer därmed också vara styrda innehållsmässigt utifrån de medverkande myndigheternas bidrag, både till vilka regler som sandlådan handleder tillämpning i och till vilken detaljnivå. Det får i sin tur effekt på respektive dokumentations betydelse vid senare bedömning av anmälda organ, myndigheter och domstolar m.m. Det är viktigt att hantera deltagarnas förväntningar innan arbetet påbörjas så att bevis och rapporter inte ses som ett löfte om utfall vid framtida bedömning. Involverade i driften Vad betyder uttrycket ”involverade i driften av den regulatoriska sandlådan för AI”? Ordformen driften används genomgående i AI-förordningens artiklar och skäl i bemärkelsen att något används för sitt ändamål – driften av AI-system (skäl 75 samt artikel 12-14 och 26), driften av kritisk infrastruktur (skäl 55 och 155 samt artikel 3) och driften av regulatoriska sandlådor (artikel 57). Det rimmar med den engelska motsvarigheten i artikel 57.10, ”associated with the operation of the AI regulatory sandbox”. Hur kan man vara involverad i driften av AI-system, kritisk infrastruktur och innovationsfrämjande insatser? Naturligtvis kan man själv utföra och driva aktiviteter. Det är också möjligt att inte göra det. Vi ger tre exempel på det senare. Avsikten är inte att vara uttömmande men att visa på möjligheten att vara involverad i driften utan att vara aktiv part i hur respektive område implementeras. Om det är önskvärt är en annan fråga, som vi inte tar ställning till. Artikel 26 beskriver skyldigheter för den som tillhandahåller ett AI-system, till skillnad från de skyldigheter som gäller för den som levererar systemen (artikel 16). Självklart kan samma organisation ha båda rollerna, men man måste inte. Det finns många svenska myndigheter som väljer att upphandla sina (AI-)system, speciellt om det redan finns en marknad som tillhandahåller (mer eller mindre) lämpliga system. Här kan alltså driften bestå av att kravställa, använda, övervaka och utvärdera system medan leverantören utvecklar dem. AI-förordningen skiljer också tydligt på rollerna 984 SOU 2025:101 Bilaga 3 att vara leverantör och tillhandahållare av AI-system och de ansvar respektive roll har i driften av de samma. När det gäller kritisk infrastruktur är det Svenska Kraftnät som ansvarar för det svenska kraftnätet. Det betyder att myndigheten styr, övervakar, kartlägger behov och bestämmer vilka aktörer som får koppla upp sig mot kraftnätet. Men myndigheten själv driver inga kraftverk. Det gör andra aktörer, så att det är skillnad på att stå för driften av kraftnätet och produktionen av el. På samma sätt driver Vinnova, Formas, Energimyndigheten med flera ett antal innovationsfrämjande program utan att nödvändigtvis delta i de projekt som finansieras inom programmen. Deras uppgift består istället av att planera och följa upp programmen, kartlägga behov och utifrån programmets förvaltningsmodell bestämma vilka projekt som ska beviljas finansiering. För att använda AI-förordningens terminologi, det går att vara involverad i driften av en regulatorisk sandlåda både som leverantör och tillhandahållare. Men man måste inte ta rollen som leverantör. För att kunna inrätta en regulatorisk sandlåda för AI måste en eller flera behöriga myndigheter ingå som part till överenskommelsen för respektive projekt, men vem som levererar stöd och vägledning kan variera. Myndighetssamverkan i relation till tredje parts innovation är inte nytt i sig.11 I sandlådeplanen “beskrivs kraven för den verksamhet som ska bedrivas i sandlådan”. Enligt oss kan den inrättande myndigheten med hjälp av planen styra innehållet och omfattningen av den regulatoriska sandlådan, alltså för projekten beskriva vilka frågeställningar som hanteras av projektets deltagare. Det kan vara till exempel genom att precisera vilken sorts användningsområden leverantörens system kan appliceras på och vilken data som kan användas för träning, testning och validering. På liknande sätt kan den inrättande myndigheten också begränsa vilka andra myndigheter som ska associeras till driften av sandlådan. Teknisk infrastruktur och kontrollerad miljö Bedömning: Det är inte ett krav att inrättande myndighet har teknisk infrastruktur hos sig. Med kontrollerad miljö avses förmåga att kontrollera riskerna vid utvecklingen av innovativa AI-system, särskilt i förhållande till hälsa, säkerhet och grundläggande rättigheter. Detta kan göras genom tekniska och organisatoriska åtgärder, eller en kombination av båda. Teknisk infrastruktur Teknisk infrastruktur finns inte som begrepp i AI-förordningen. Det närmaste är artikel 58.2.isom nämner att AI-byråns implementerande akter ska säkerställa att de 11 Se t.ex. Andersson, K., Burden, H., & Stenberg, S. (2021). Självcertifiering av autonoma bussar. https://urn.kb.se/resolve?urn=urn:nbn:se:ri:diva-52154 985 Bilaga 3 SOU 2025:101 regulatoriska sandlådorna “underlättar utvecklingen av verktyg och infrastruktur för testning, riktmärkning, bedömning och förklaring av de aspekter av AI-systemen som är relevanta för regulatoriskt lärande, såsom riktighet, robusthet och cybersäkerhet samt minimering av riskerna för grundläggande rättigheter och samhället i stort”. Det finns därmed ett stort tolkningsutrymme vad som menas med teknisk infrastruktur i relation till hur regulatoriska sandlådor för AI definieras. Det finns idag flera initiativ på EU-nivå för att säkerställa tillgång till teknisk infrastruktur och inrättandet av regulatoriska sandlådor för AI. Utan att vara uttömmande kan nämnas: ● Test- och experimentfaciliteter (TEF) särskilt framtagna för AI-utveckling och - testning inom områdena smarta städer och samhällen12, tillverkning13, hälsa14 samt livsmedel och jordbruk15. ● Forskning till stöd för etablerandet av Unionsprovningsanläggningar som marknadskontrollsmyndigheter ska kunna använda sig av vid marknadskontroller16. ● Ett forskningsprojekt som syftar till att främja etablerandet av regulatoriska sandlådor för AI17. Huruvida utkomsten från de initiativen är användbara för svenska myndigheter är en öppen fråga. Kontrollerad miljö Artikel 3.55 definierar regulatorisk sandlåda för AI som “en kontrollerad ram som inrättats av en behörig myndighet och som erbjuder leverantörer eller potentiella leverantörer av AI-system möjlighet att utveckla, träna, validera och testa, när så är lämpligt under verkliga förhållanden, ett innovativt AI-system, enligt en specifik sandlådeplan för en begränsad tid under regulatorisk tillsyn.” Den engelska versionen använder konceptet “controlled framework” istället för den svenska versionens “kontrollerad ram”. Ett ramverk (framework) är många gånger en grundläggande struktur, men kan också vara en metod eller ett mer implicit 12 CitCom.ai, Testing AI in Smart Cities and Communities, CitCom.ai 13 AI-MATTERS, AI in Manufacturing, Testing and Experimentation Facilities Network for European industries, AI-MATTERS project 14 TEF-Health, Technical and scientific support for Health AI providers and notified bodies, TEF-Health 15 agrifoodTEF, The European Testing and Experimentation Facilities for Agrifood Innovation, agrifoodTEF 16 NoLeFa Trustworthy AI, Preparing for the Implementation of the AI Act - A pilot project for Union Testing Facilities in AI, https://nolefa.eu/ 17 EUSAiR, Bridging innovation and compliance in AI, https://eusair-project.eu/ 986 SOU 2025:101 Bilaga 3 förhållande som till exempel en värdegrund. Ett ramverk behöver därför inte vara av teknisk natur. Artikel 57.5 säger att regulatoriska sandlådor för AI ska tillhandahålla en kontrollerad miljö (“provide for a controlled environment”, enligt den engelska versionen). Begreppet miljö kan ses på flera sätt ur ett ingenjörsperspektiv. Testmiljö för mjukvaruutveckling är tydligt kopplat till den mjuk- och hårdvara som används för att utföra tester av mjukvara.18 Att testmiljön ska användas i en organisation är underförstått. Samtidigt används miljö av kvalitetsingenjörer tillsammans med teknik och organisation.19 Här är miljön detsamma som kontexten där tekniken ska införas och det är uttalat att man också måste ta hänsyn till de organisatoriska aspekterna för att nå en rimlig säkerhet. En kontrollerad miljö är ett sammanhang där det går att kontrollera vilka variabler som påverkar utvariabeln. Det är en grundläggande förutsättning för experiment, så att dessa kan upprepas, och ger förutsättningar för att isolera en företeelse för noggrannare undersökning (“i vilken utsträckning påverkar rökning hälsa, givet att alla andra faktorer är lika”). Om utvariabeln innebär oönskade effekter finns också möjligheten att avsluta experimentet. I mjukvaruutveckling används begreppet sandlåda för en kontrollerad miljö där programkod kan isoleras från sin omgivning. Det möjliggör att man kan exekvera programkoden utan att riskera att servrar, inställningar, applikationer eller andra delar av systemet påverkas på ett oönskat sätt. Inom cybersäkerhet använder man sandlådor för att testa säkerheten och robustheten i ett system. Eftersom systemet är i en sandlåda gör det inget om systemet korrumperas eller stängs ned - det blir inga effekter på omkringliggande system och eventuella förluster av data o.s.v. är hanterbara. Det senare visar på den organisatoriska sidan av en kontrollerad miljö, i det att någon bestämmer vilka resurser som ska vara innanför sandlådan och därmed påverkas och hur riskerna med det ska värderas. Om något kontrolleras, finns också någon eller något som kontrollerar.20 Enligt NLF ska testanläggningar och lab som används för marknadskontroll vara ackrediterade (EU 2019/1020). Det finns svenska myndigheter som idag har teknisk 18 Se t.ex. Eickelmann, N.S. & Richardson, Debra. (1996). An evaluation of software test environment architectures. International Conference on Software Engineering. 353-364. 19 Se t.ex. Bishop, P. & Bloomfield, R. (2000). "A methodology for safety case development." Safety and Reliability. Vol. 20. No. 1. Taylor & Francis. 20 Vi vill tacka kollegorna Kabir Fahria och Nishat Mowla för att vi fick diskutera teknisk sandlåda med er. 987 Bilaga 3 SOU 2025:101 infrastruktur för test, bl.a. Nationellt forensiskt centrum21, Rättsmedicinalverket22 och Livsmedelsverket23. Alla är ackrediterade av Swedac. Om det anses nödvändigt att etablera teknisk infrastruktur för marknadskontroll av AI-system är det enligt vår bedömning rimligt att vidare undersöka huruvida: 1. Kan teknisk infrastruktur framtagen för marknadskontroll även användas inom regulatoriska sandlådor för AI?24 2. Ska den tekniska infrastrukturen ackrediteras utifrån att den används för innovationsfrämjande initiativ? 3. Ska den tekniska infrastrukturen upphandlas eller kan den utvecklas av en myndighet? Hur frågorna besvaras kommer påverka hur budget sätts och vilka resurser och aktiviteter som prioriteras i myndigheternas verksamhet. Myndighetens ansvar för andras innovation Rollen som marknadskontrollmyndighet har idag en praxis med ett definierat ansvar. Det ansvaret kompletteras av leverantörens produktansvar, tillhandahållarens ansvar (se särskilt artikel 26 och 27), användarens handhavandeansvar och det anmälda organets ansvar för test, granskning och certifikat. Det senare i sin tur under den anmälande myndighetens ansvar. Om myndigheten nu väljer att leverantören ska använda myndighetens utvecklingsmiljö för sitt AI-system, i vilken utsträckning kommer då myndigheten dela produktansvaret? För system som ska CE-märkas kommer myndighetens ansvar att detaljeras i leverantörens kvalitetsledningssystem (artikel 17, men det går att koppla fler artiklar till respektive rolls ansvar (förutom användarens)). Ett liknande resonemang kan föras kring hur ansvar (bör) fördelas vid hantering av personuppgifter. Artikel 59.1.d stöder att hanteringen av personuppgifter görs av leverantören och därmed har leverantören ansvar för var och hur hanteringen görs. Det står en myndighet fritt att ta på sig (delar av) ansvaret för personuppgiftshanteringen men det är inte ett krav. Man kan se artikel 59 som en 21 Polisen, Metoder och standardförfaranden, forensiska undersökningar, https://polisen.se/tjanster-tillstand/bestall-forensisk-undersokning/metoder-och- standardforfaranden-forensiska-undersokningar/ 22 Rättsmedicinalverket, Kvalitet, https://www.rmv.se/om-oss/var-verksamhet/kvalitet/ 23 Livsmedelsverket, Laboratorietjänster, https://www.livsmedelsverket.se/foretagande-regler- kontroll/laboratorieverksamhet-och-vetenskapligt-stod/labbtjanster 24 På EU-nivå kan Union Testing Facilities, testmiljöer som används för marknadskontroll, bara användas av marknadskontrollmyndigheter för marknadskontroll. De kan därmed inte användas för verksamhet inom en regulatorisk sandlåda för AI. 988 SOU 2025:101 Bilaga 3 beskrivning av en kontrollerad miljö, men också som en förtydligande av hur man ska förhålla sig till GDPR25 (särskilt artikel 5 och 32). För vilket syfte bör myndigheten ha en teknisk infrastruktur? Utifrån artiklarna i kapitel VI kan man bland annat tänka sig följande syften för en teknisk infrastruktur (artikelnummer i parentes): • underlätta utveckling, träning, testning och validering av innovativa AI-system (57.5) • identifiera risker och motåtgärdernas effektivitet (57.6) • förbättra rättssäkerheten, regulatorisk rådgivning och evidensbaserat regulatoriskt lärande (57.7 och 57.9) • för att kunna utfärda skriftliga bevis (57.7) • stödja utbyte av bästa praxis (57.9) • främja innovationskraft (57.9) • påskynda marknadstillträde (57.7 och 57.9). Beroende på vilket, eller vilka, mål man avser att den tekniska infrastrukturen ska användas för måste man väga kostnaden av att använda den mot nyttan av användningen. T.ex. kan det kosta relativt lite att skapa en teknisk infrastruktur för utfärdande av skriftliga bevis men nyttan kan potentiellt vara stor. Det omvända kan gälla för en teknisk infrastruktur som ska underlätta utveckling av innovativa AI- system. Till kostnaden att införskaffa och underhålla den tekniska infrastrukturen kommer då kostnaden för varje leverantör att anpassa sig till myndighetens utvecklingsmiljö och -process, en anpassning som i sig själv kan vara hämmande för innovation. Ska kostnaden för anpassningen tas av leverantören kan det visa sig att det går snabbare och är billigare att inte använda sig av den regulatoriska sandlådan för AI. En annan risk är att myndighetens lösning blir en de facto-standard för verktygskedjor vilket skulle kunna hämma marknaden för kommersiella aktörer som tillhandahåller utvecklingsmiljöer för AI-system (se t.ex. Eghed26 och Hopsworks27), oavsett om myndigheten väljer att upphandla en lösning eller utvecklar sin egen. Vår diskussion får stöd av den engelska lydelsen av artikel 57.5, nämligen att den regulatoriska sandlådan för AI “shall provide for a controlled environment”. Skillnaden mellan provide och provide for är att den förra syftar på att tillhandahålla medan den senare på att något tillhandahålls. Provide for öppnar därmed för att den kontrollerade miljön tillhandahålls av exempelvis leverantören men görs tillgänglig inom den regulatoriska sandlådan för AI (och att myndigheten kan utöva relevant 25 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, http://data.europa.eu/eli/reg/2016/679/oj 26 Eghed, Välkommen till Eghed, https://eghed.se/ 27 Hopsworks, The AI Factory - Build, Deploy and Scale AI systems, https://www.hopsworks.ai/ 989 Bilaga 3 SOU 2025:101 kontroll över den). Det vill säga att myndigheten ska se till att det finns en kontrollerad miljö, men inte nödvändigtvis tillhandahålla den själv. Myndigheten erbjuder en möjlighet att vara med i ett sandlådeprojekt, där olika aktörer bidrar med vad som kan anses behövas. Projekten syftar till att nå målen med en regulatorisk sandlåda för AI, till exempel evidensbaserat regulatoriskt lärande (se artikel 57.9). Utvärdera och anpassa Artikel 70.3 i AI-förordningen säger att behovet av resurser ska utvärderas varje år utifrån om de budgetära, tekniska och personella resurserna samt infrastruktur är tillräckliga i relation till uppdraget. Gällande personella resurser krävs det att myndigheterna har anställda till ständigt förfogande med ”en ingående förståelse av AI-teknik, data och databehandling, skydd av personuppgifter, cybersäkerhet, grundläggande rättigheter, hälso- och säkerhetsrisker och kunskap om befintliga standarder och rättsliga krav”. Vartannat år ska det rapporteras till EU-kommissionen om de budgetära och personella resurserna är tillräckliga, se artikel 70.6. Det finns motsvarande krav på utvärdering i bl.a. maskinförordningen (EU 2023/123028) och förordningen för medicinteknik (EU 2017/74529) samt i förordning EU 2019/1020. Arbetssättet är därför bekant för de myndigheter som idag har verksamhet omfattande marknadskontroll. Att bedriva marknadskontroll och främja innovation är två olika verksamheter. Det kan finnas synergier om de koordineras så att utvärderingen av resurser och behov för marknadskontroll görs tillsammans med utvärderingen rörande främjandet av innovation. Ett sätt att möjliggöra synergierna är att samordna den regulatoriska sandlådan för AI med de marknadskontrollplaner som marknadskontrollmyndigheterna drar upp. På så sätt kan marknadskontrollmyndigheternas insats inom sandlådan budgetsättas som en del av arbetet som ska genomföras utifrån marknadskontrollplanen (se EU-förordning 2019/1020 om marknadskontroll). Avslutande ord Om man lyfter blicken är syftet med de regulatoriska sandlådorna att gynna innovation genom deltagande från myndigheter i andra aktörers innovationsprocess.30 28 Europaparlamentets och rådets förordning (EU) 2023/1230 av den 14 juni 2023 om maskiner, http://data.europa.eu/eli/reg/2023/1230/2023-06-29 29 Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, http://data.europa.eu/eli/reg/2017/745/2025-01-10 30 Burden, H., & Stenberg, S. (2022). Regulating Trust – An Ongoing Analysis of the AI Act. RISE rapport 2022:138. 990 SOU 2025:101 Bilaga 3 Det ställer frågor om hur man gör det på ett sätt som gynnar marknaden men också vad den egna myndigheten behöver för resurser och hur olika aktiviteter ska prioriteras inom myndigheten. Som myndighet vill man inte ge enskilda leverantörer en konkurrensfördel gentemot konkurrenter.31 Det gäller både i vilken sorts verksamhet man bedriver men också med vilka resurser man väljer att genomföra verksamheten. Vår analys utifrån vår forskning är att det i den här fasen inte är viktigt att avgöra om det står rätt på rad 156 i källkoden, att garantera att användandet av alla datapunkter överensstämmer med relevanta licenser eller säkerställa att krypteringsnyckel X42 är cybersäker. Snarare är frågan om AI-funktionen är tillräckligt precis och hur det ska återspeglas i riskhanteringen, vilken sorts data behövs för utvärdering av ett försök eller vilka tester som är lämpliga för olika cybersäkerhetslösningar. Det handlar helt enkelt om att identifiera och beskriva de centrala frågor som leverantören behöver hantera i sin produktutveckling för att respektera hälsa, säkerhet och grundläggande rättigheter. Det centrala är att handleda och ge stöd till andras verksamheter, så att de förväntningar och krav som följer av regleringen ska kunna uppfyllas av denna andra verksamhet. De faktiska besluten om system som vägledningen utgår från ligger hos leverantören. Att främja innovation genom en regulatorisk sandlåda för AI är en annan verksamhet än att utöva marknadskontroll av AI-system. Genom att besvara frågor på ett övergripande plan och göra svaren offentliga gynnar man hela innovationssystemet istället för enskilda aktörer. Samtidigt ger det en möjlighet för myndigheten att hålla sig insatt i vad som händer inom ansvarsområdet, både tekniskt och regulatoriskt, och därmed ha en mer informerad grund för att planera och genomföra verksamhetsutveckling. 31 Norbäck, P-J. & Persson, L. (2023). Hur påverkar regulatoriska sandlådor konkurrensen? Uppdragforskningsrapport 2023:4, Konkurrensverket. 991 Statens offentliga utredningar 2025 Kronologisk förteckning 1. Skärpta krav för svenskt medborgar- 20. Kommunal anslutning till Utbetal- skap. Ju. ningsmyndighetens verksamhet. Fi. 2. Några frågor om grundläggande 21. Miljömålsberedningens förslag om en fri- och rättigheter. Ju. strategi för hur Sverige ska leva upp 3. Skatteincitament för forskning till EU:s åtaganden inom biologisk och utveckling. En översyn av mångfald respektive nettoupptag av FoU-avdraget och expertskatte- växthusgaser från markanvändnings- reglerna. Fi. sektorn (LULUCF). KN. 4. Moderna och enklare skatteregler 22. Förbättrad konkurrens i offentlig och för arbetslivet. Fi. privat verksamhet. KN. 5. Avgift för områdessamverkan 23. Ersättningsregler med brottsoffret – och andra åtgärder för trygghet i fokus. Ju. i byggd miljö. LI. 24. Publiken i fokus 6. Plikten kallar! En modern personal- – reformer för ett starkare filmland. Ku. försörjning av det civila försvaret. Fö. 25. Arbetslivskriminalitet – upplägg, 7. Ny kärnkraft i Sverige – effektivare verktyg och åtgärder, fortsatt arbete. A. tillståndsprövning och ändamålsenliga 26. Tid för undervisningsuppdraget – avgifter. KN. åtgärder för god undervisning och 8. Bättre förutsättningar för trygghet läraryrkenas attraktivitet. U. och studiero i skolan. U. 27. En socionomutbildning i tiden. U. 9. På språklig grund. U. 28. Frihet från våld, förtryck och utnytt- 10. En förändrad abortlag – för en god, jande. En jämställdhetspolitisk strategi säker och tillgänglig abortvård. S. mot våld och en stärkt styrning av centrala myndigheter. A. 11. Straffbarhetsåldern. Ju. 29. Ökad kvalitet hos Samhall 12. AI-kommissionens och fler vägar till skyddat arbete. A. Färdplan för Sverige. Fi. 30. Enklare mervärdesskatteregler vid 13. En effektivare organisering av mindre försäljning av begagnade varor och myndigheter – analys och förslag. Fi. donation av livsmedel. Fi. 14. En skärpt miljöstraffrätt och 31. Utmönstring av permanent uppehålls- ett effektivt sanktionssystem. KN. tillstånd och vissa anpassningar till 15. Stärkta drivkrafter och möjligheter för miniminivån enligt EU:s migrations- biståndsmottagare. Volym 1 och 2. S. och asylpakt. Ju. 16. Ett nytt regelverk för uppsikt och 32. Vissa förändringar av jaktlagstiftningen. förvar. Ju. LI. 17. Anpassning av svensk rätt till EU:s 33. Skärpta och tydligare krav på vandel avskogningsförordning. LI. för uppehållstillstånd. Ju. 18. Ett likvärdigt betygssystem. 34. Ett modernare konsumentskydd vid Volym 1 och 2. U. distansavtal. Ju. 19. Kunskap för alla – nya läroplaner med 35. Etableringsboendelagen fokus på undervisning och lärande. U. – ett nytt system för bosättning för vissa nyanlända. A. 36. Skydd för biologisk mångfald i havs- 60. En starkare fondmarknad. Fi. områden utanför nationell jurisdiktion. 61. Sveriges internationella adoptionsverk- UD. samhet − lärdomar och vägen framåt. 37. Skärpta villkor för friskolesektorn. U. Volym 1 och 2. S. 38. Att omhänderta barn och unga. S. 62. Ansvaret för hälso- och sjukvården. 39. Digital teknik på lika villkor. Volym 1 Bedömningar och förslag. En reglering för socialtjänsten och Volym 2 Underlagsrapporter. S. verksamhet enligt LSS. S. 63. Stärkt patientsäkerhet genom rätt 40. Säkrare tivoli. Ju. kompetens − utifrån hälso- och sjukvårdens och tandvårdens behov. S. 41. Pensionsnivåer och pensionsavgiften – analyser på hundra års sikt. S. 64. En ny kontrollorganisation i livs- medelskedjan – för ökad effektivitet, 42. Säkerhetsskyddslagen – ytterligare likvärdighet och konkurrenskraft. LI. kompletteringar. Ju. 65. En mer flexibel hyresmarknad. Ju. 43. Säkerställ tillgången till läkemedel – förordnande och utlämnande 66. En straffreform. Volym 1, 2, 3 och 4. Ju. i bristsituationer. S. 67. Arlanda – en viktig port för det svenska 44. Förbättrat stöd i skolan. U. välståndet. Åtgärder som stärker konkurrenskraften för Arlanda 45. Ökat informationsutbyte mellan flygplats. LI. myndigheter – några anslutande frågor. Ju. 68. Nya samverkansformer, modern bygg- nads- och reparationsberedskap – för 46. Tryggare idrottsarrangemang. Ju. ökad försörjningsberedskap. KN. 47. Spänning i tillvaron – hur säkrar vi vår 69. Effektivare samverkan för djur- och framtida elförsörjning? KN. folkhälsa. LI. 48. Stärkt pandemiberedskap. S. 70. Längre liv, längre arbetsliv – förlängd 49. Säkerhetspolisens behandling rätt att kvarstå i anställningen. A. av personuppgifter. Ju. 71. Fortsatt utveckling av en nationell 50. En ny nationell myndighet för läkemedelslista – en del i en ny nationell viltförvaltning. LI. infrastruktur för datadelning. 51. Bättre förutsättningar för Del 1 och 2. S. klimatanpassning. KN. 72. Verktyg för en mer likvärdig 52. Ökad insyn i politiska processer. Ju. resursfördelning till skolan. U. 53. Kvalificering till socialförsäkring 73. En arbetsmiljöstrategi för ett förändrat och ekonomiskt bistånd arbetsliv. A. för vissa grupper. S. 74. Ny reglering för den arbetsmarknads- 54. Ett skärpt regelverk om utvisning politiska verksamheten. A. på grund av brott. Ju. 75. Folkbokföringsverksamhet, biometri 55. En reformerad samhällsorientering och brottsbekämpning. Fi. för bättre integration. A. 76. Det handlar om oss 56. Stärkt skydd för domstolarnas – så bryter vi utanförskapet och domarnas oberoende. Ju. och bygger en starkare gemenskap. A. 57. Polisiär beredskap i fred, kris och krig. 77. En översyn av den statliga löne- Ju. garantin. A. 58. En stärkt hästnäring – för företagande, 78. En reformerad underrättelse- jämställdhet, jämlikhet och folkhälsa. verksamhet. Fö. LI. 79. Samlade förmågor för ökad 59. Stärkt lagstiftning mot hedersrelaterat cybersäkerhet. Fö. våld och förtryck. Ju. 80. Koordinatbestämda fastighetsgränser. Ju. 81. En ny organisation av ekobrotts- bekämpningen. Ju. 82. Sysselsättning och boende på lands- bygden – Juridiska personers förvärv av jordbruksmark och en effektiv tillämpning av glesbygdsbestämmel- serna. LI. 83. Ett nationellt förbud mot tiggeri. Ju. 84. Hem för barn och unga. För en trygg, säker och meningsfull vård. S. 85. Ökad tydlighet, stärkt samverkan – förutsättningar för framtidens utveck- lingspolitik. LI. 86. Redo! En utredning om personalför- sörjningen av det militära försvaret. Fö. 87. Straffrättsliga åtgärder mot korruption och tjänstefel. Ju. 88. Tidigt besked om lämplig användning av mark och vatten. KN. 89. En moderniserad fiskelagstiftning. Volym 1 och 2. LI. 90. Förmedling av post till personer med skydd i folkbokföringen. Fi. 91. Nya regler om arv och testamente – bland annat ett testamentsregister i offentlig regi och ett stärkt skydd för efterlevande sambor. Ju. 92. En kulturkanon för Sverige. Ku. 93. En robust skogspolitik för aktivt skogsbruk. Del 1 och 2. LI. 94. En säkrare utrikesförvaltning. UD. 95. Skärpta villkor för anhöriginvandring. Ju. 96. Fler möjligheter till ökat välstånd. Fi. 97. Krishantering och ändrade rörelseregler för försäkringsföretag. Volym I, II, III & IV. Fi. 98. En bättre organisering av fastighetsbildningsverksamheten. LI. 99. Ändring av permanent uppehålls- tillstånd för vissa utlänningar. Ju. 100. Åtgärder mot illegal ip-tv. Ku. 101. Anpassningar till AI-förordningen – säker användning, effektiv kontroll och stöd för innovation. Fi. Statens offentliga utredningar 2025 Systematisk förteckning Arbetsmarknadsdepartementet Folkbokföringsverksamhet, biometri och Arbetslivskriminalitet – upplägg, verktyg brottsbekämpning. [75] och åtgärder, fortsatt arbete. [25] Förmedling av post till personer med skydd Frihet från våld, förtryck och utnyttjande. i folkbokföringen. [90] En jämställdhetspolitisk strategi mot Fler möjligheter till ökat välstånd. [96] våld och en stärkt styrning av centrala Krishantering och ändrade myndigheter. [28] rörelseregler för försäkringsföretag. Ökad kvalitet hos Samhall och fler vägar Volym I, II, III & IV. [97] till skyddat arbete. [29] Anpassningar till AI-förordningen – säker Etableringsboendelagen – ett nytt system användning, effektiv kontroll och stöd för bosättning för vissa nyanlända. [35] för innovation. [101] En reformerad samhällsorientering för bättre integration. [55] Försvarsdepartementet Längre liv, längre arbetsliv – förlängd rätt Plikten kallar! En modern personal- att kvarstå i anställningen. [70] försörjning av det civila försvaret. [6] En arbetsmiljöstrategi för ett förändrat En reformerad underrättelse- arbetsliv. [73] verksamhet. [78] Ny reglering för den arbetsmarknads- Samlade förmågor för ökad politiska verksamheten. [74] cybersäkerhet. [79] Det handlar om oss Redo! En utredning om personal försörj- – så bryter vi utanförskapet ningen av det militära försvaret. [86] och bygger en starkare gemenskap. [76] En översyn av den statliga löne - Justitiedepartementet garantin. [77] Skärpta krav för svenskt medborgarskap. [1] Finansdepartementet Några frågor om grundläggande Skatteincitament för forskning fri- och rättigheter. [2] och utveckling. En översyn av Straffbarhetsåldern. [11] FoU-avdraget och expertskatte- Ett nytt regelverk för uppsikt och förvar. reglerna. [3] [16] Moderna och enklare skatteregler Ersättningsregler med brottsoffret i fokus. för arbetslivet. [4] [23] AI-kommissionens Färdplan för Sverige. [12] Utmönstring av permanent uppehålls- En effektivare organisering av mindre tillstånd och vissa anpassningar till myndigheter – analys och förslag. [13] miniminivån enligt EU:s migrations- Kommunal anslutning till Utbetalnings- och asylpakt. [31] myndighetens verksamhet. [20] Skärpta och tydligare krav på vandel Enklare mervärdesskatteregler vid för uppehållstillstånd. [33] försäljning av begagnade varor Ett modernare konsumentskydd och donation av livsmedel. [30] vid distansavtal. [34] En starkare fondmarknad. [60] Säkrare tivoli. [40] Spänning i tillvaron – hur säkrar vi vår Säkerhetsskyddslagen – ytterligare framtida elförsörjning? [47] kompletteringar. [42] Bättre förutsättningar för Ökat informationsutbyte mellan klimatanpassning. [51] myndigheter – några anslutande Nya samverkansformer, modern bygg- frågor. [45] nads- och reparationsberedskap – för Tryggare idrottsarrangemang. [46] ökad försörjningsberedskap. [68] Säkerhetspolisens behandling Tidigt besked om lämplig användning av av personuppgifter. [49] mark och vatten. [88] Ökad insyn i politiska processer. [52] Kulturdepartementet Ett skärpt regelverk om utvisning på grund av brott. [54] Publiken i fokus – reformer för ett star- Stärkt skydd för domstolarnas kare filmland. [24] och domarnas oberoende. [56] En kulturkanon för Sverige. [92] Polisiär beredskap i fred, kris och krig. Åtgärder mot illegal ip-tv. [100] [57] Stärkt lagstiftning mot hedersrelaterat Landsbygds- och våld och förtryck. [59] infrastrukturdepartementet En mer flexibel hyresmarknad. [65] Avgift för områdessamverkan En straffreform. Volym 1, 2, 3 och 4. [66] – och andra åtgärder för trygghet Koordinatbestämda fastighetsgränser. [80] i byggd miljö. [5] En ny organisation av ekobrotts- Anpassning av svensk rätt till EU:s bekämpningen. [81] avskogningsförordning. [17] Ett nationellt förbud mot tiggeri. [83] Vissa förändringar av jaktlagstiftningen. [32] Straffrättsliga åtgärder mot korruption och tjänstefel. [87] En ny nationell myndighet för viltförvaltning. [50] Nya regler om arv och testamente – bland annat ett testamentsregister En stärkt hästnäring – för företagande, i offentlig regi och ett stärkt skydd jämställdhet, jämlikhet och folkhälsa. för efterlevande sambor. [91] [58] Skärpta villkor för anhöriginvandring. [95] En ny kontrollorganisation i livsmedels- kedjan – för ökad effektivitet, lik- Ändring av permanent uppehållstillstånd för värdighet och konkurrenskraft. [64] vissa utlänningar. [99] Arlanda – en viktig port för det svenska välståndet. Åtgärder som stärker Klimat- och näringslivsdepartementet konkurrenskraften för Arlanda Ny kärnkraft i Sverige – effektivare flygplats. [67] tillståndsprövning och ändamålsenliga Effektivare samverkan för djur- och folk- avgifter. [7] hälsa. [69] En skärpt miljöstraffrätt och Sysselsättning och boende på landsbygden ett effektivt sanktionssystem. [14] – Juridiska personers förvärv av jord- Miljömålsberedningens förslag om en bruksmark och en effektiv tillämpning strategi för hur Sverige ska leva upp av glesbygdsbestämmelserna. [82] till EU:s åtaganden inom biologisk Ökad tydlighet, stärkt samverkan mångfald respektive nettoupptag av – förutsättningar för framtidens växthusgaser från markanvändnings- utvecklingspolitik. [85] sektorn (LULUCF). [21] En moderniserad fiskelagstiftning. Förbättrad konkurrens i offentlig och Volym 1 och 2. [89] privat verksamhet. [22] En robust skogspolitik för aktivt Kunskap för alla – nya läroplaner med skogsbruk. Del 1 och 2. [93] fokus på undervisning och lärande. [19] En bättre organisering av Tid för undervisningsuppdraget – åtgärder fastighetsbildningsverksamheten. [98] för god undervisning och läraryrkenas attraktivitet. [26] Socialdepartementet En socionomutbildning i tiden. [27] En förändrad abortlag Skärpta villkor för friskolesektorn. [37] – för en god, säker och tillgänglig Förbättrat stöd i skolan. [44] abortvård. [10] Verktyg för en mer likvärdig Stärkta drivkrafter och möjligheter för resursfördelning till skolan. [72] biståndsmottagare Volym 1 och 2. [15] Att omhänderta barn och unga. [38] Utrikesdepartementet Digital teknik på lika villkor. Skydd för biologisk mångfald i En reglering för socialtjänsten havsområden utanför nationell och verksamhet enligt LSS. [39] jurisdiktion. [36] Pensionsnivåer och pensionsavgiften En säkrare utrikesförvaltning. [94] – analyser på hundra års sikt. [41] Säkerställ tillgången till läkemedel – förordnande och utlämnande i bristsituationer. [43] Stärkt pandemiberedskap. [48] Kvalificering till socialförsäkring och ekonomiskt bistånd för vissa grupper. [53] Sveriges internationella adoptionsverk- samhet − lärdomar och vägen framåt. Volym 1 och 2. [61] Ansvaret för hälso- och sjukvården. Volym 1 Bedömningar och förslag. Volym 2 Underlagsrapporter. [62] Stärkt patientsäkerhet genom rätt kompetens − utifrån hälso- och sjukvårdens och tandvårdens behov. [63] Fortsatt utveckling av en nationell läke- medelslista – en del i en ny nationell infrastruktur för datadelning. Del 1 och 2. [71] Hem för barn och unga. För en trygg, säker och meningsfull vård. [84] Utbildningsdepartementet Bättre förutsättningar för trygghet och studiero i skolan. [8] På språklig grund. [9] Ett likvärdigt betygssystem Volym 1 och 2. [18]