En introduktion till EU:s AI-förordning

Uppdatering från 11 juli 2025: Efter publiceringen av slutversionen av förfarandekoden för AI för allmänna ändamål publicerar vi en översikt över hur vi arbetar med ikraftträdandet av bestämmelser som är tillämpliga för AI-modeller för allmänna ändamål den 2 augusti 2025. 

Förra året publicerade vi den här introduktionen till EU:s AI-förordning i syfte att ge preliminära insikter i hur vi förbereder oss för implementeringen av dessa nya lagkrav. 

Sedan dess har vi varit aktivt delaktiga i implementeringen av texten genom att delta i framtagandet av förfarandekoden för AI för allmänna ändamål, ett ramverk som gör det möjligt för AI-leverantörer att uppfylla kraven i EU:s AI-förordning. En flera månader lång arbetsinsats tillsammans med experter, civilsamhället och branschen har lett fram till att en slutversion av koden har publicerats. Idag offentliggör vi vårt beslut att underteckna förfarandekoden och använda den för att visa att vi lever upp till alla relevanta skyldigheter inom ramen för EU:s AI-förordning.  

Genom att underteckna koden tar vi ett konkret steg i vår övergripande plan för att uppfylla kraven i EU:s AI-förordning. Detta visar på vårt åtagande för att säkerställa kontinuitet, tillförlitlighet och förtroende när regleringarna träder ikraft samtidigt som vi fortsätter att samarbeta med företag och medborgare inom EU för att kunna erbjuda dem allt mer funktionella, säkra och trygga AI-modeller. På så sätt kan de gynnas av AI-revolutionens alla fördelar.

Genom att underteckna koden förstärker vi många av de branschledande säkerhets- och insynsåtgärder som vi gått i bräschen för under de senaste åren. Vi var ett av de första företag som publicerade ett omfattande säkerhets- och trygghetsprotokoll – vårt förberedelseramverk (2023) – som beskriver vårt sätt att implementera banbrytande AI-modeller på ett säkert sätt. 

I enlighet med vårt åtagande om att kontinuerligt granska och förbättra det interna ansvaret och de interna styrningsramverken publicerade⁠ vi ett uppdaterat förberedelseramverk i april 2025. 

I takt med att vi fortsätter att utveckla och implementera funktionell teknik övervakar och åtgärdar vi aktivt ett stort antal nya risker och konkreta säkerhetsproblem så att våra modeller förblir tillförlitliga och säkra. Och vi finjusterar och förbättrar hela tiden de här processerna. 

• Vi har under en längre tid publicerat detaljerade systemkort och teknisk dokumentation i anslutning till våra större lanseringar. Där beskrivs vad våra modeller kan och inte kan göra, vilka risker vi har testat för och på vilka områden vi fortfarande håller på att lära oss mer. 
• Safety Hub ger öppen tillgång till resultatet av säkerhetsutvärderingar för våra modeller.
• Vårt Red Teaming Network tar in externa experter som trycktestar våra modeller
• Modellspecifikationen erbjuder en inblick i hur vi formar modellens beteende så att det återspeglar mänskliga värden och demokratiska normer.

Sammantaget har det här arbetet varit avgörande för att kunna införa säkerhets- och trygghetsstandarder inom branschen och det utgör en grund för utvecklingen av en praktisk förfarandekod som bygger på bästa praxis i branschen. Arbetet med att bygga en säker och ansvarsfull AI pågår hela tiden. Vi kommer att fortsätta att stegvis förbättra vårt sätt att arbeta med säkerhet för att bidra till att säkerställa att vår teknik används för att gynna alla på ett ansvarsfullt sätt, oavsett var i världen de befinner sig.

Vi kommer att ha ett nära samarbete med Europeiska AI-byrån, relevanta myndigheter och våra kunder när AI-förordningen införs under de kommande månaderna och åren så att vi tillsammans kan skydda fördelarna med AI för Europas samhällen och ekonomi. 

Uppdatering: Den 25 september 2024 registrerade vi oss för de tre huvudåtagandena i EU:s AI-förordning.

1. Införa en styrningsstrategi för AI i syfte att främja användningen av AI i organisationen och arbeta för att uppfylla kraven i AI-förordningen i framtiden
2. i den utsträckning det är möjligt genomföra en kartläggning av AI-system som tillhandahålls eller implementeras i områden som betraktas som högriskområden enligt AI-förordningen
3. främja medvetenhet och AI-kompetens hos personalen och andra personer som arbetar med AI-system för deras räkning, med hänsyn tagen till deras tekniska kunskaper, erfarenhet, utbildning och träning och i vilket sammanhang AI-systemen ska användas. Hänsyn ska också tas till de personer eller grupper av personer som påverkas av användningen av AI-systemen.

Vi anser att AI-förordningens huvudfokus på AI-kompetens, användning och styrning är rätt prioriteringar utifrån syftet att säkerställa att fördelarna med AI får brett genomslag. Dessutom överensstämmer de med vårt uppdrag att erbjuda säker och banbrytande teknik som är till nytta för alla.

EU:s AI-förordning⁠(öppnas i ett nytt fönster) är ett viktigt regelverk som är utformat för att hantera utvecklingen, implementeringen och användningen av AI i hela Europa. Förordningen lägger stor vikt vid att främja tillförlitlig AI-användning i Europa samtidigt som hälsa, säkerhet och grundläggande rättigheter skyddas. Förordningen inför nya krav baserat på de risker som är förknippade med AI-system, med särskilt fokus på användningsfall med hög risk och användningsfall med oacceptabel risk samt särskilda skyldigheter vad gäller AI-modeller och AI-system för allmänna ändamål (GPAI). 

Lagstiftningsprocessen är avslutad och lagen trädde ikraft i augusti 2024, men ytterligare vägledning och implementering av lagstiftning kommer att krävas för att fastställa lagens tillämpningsområde. Detta gäller framför allt för GPAI som OpenAI:s modeller. 

OpenAI:s mål är att uppfylla kraven i förordningen och då inte bara för att detta är en lagstadgad skyldighet, utan också för att lagens mål överensstämmer med vårt uppdrag att utveckla och implementera säker AI som gynnar hela mänskligheten. Vi är stolta över att kunna lansera modeller som är branschledande både vad avser funktioner och säkerhet. Vi tror på ett balanserat, vetenskapligt tillvägagångssätt där säkerhetsåtgärder⁠ är integrerade i utvecklingsprocessen redan från början. Våra team arbetar med tekniska insatser i bred omfattning för att hantera säkerhetsutmaningar kopplade till AI, däribland utvärderingar av modeller inom ramen för vårt förberedelseramverk⁠ innan de implementeras, intern och extern red-teaming⁠, övervakning ⁠ av missbruk efter implementering samt Bug Bounty-⁠ och Cybersecurity Grant⁠-programmen. Vi bidrar också till autencitetsstandarder⁠. 

Vi kommer att ha ett nära samarbete med Europeiska AI-byrån och andra relevanta myndigheter när den nya lagen införs under de kommande månaderna och vi hoppas att den expertis vi har byggt upp kommer att bidra till att utveckla förordningens mål vad avser att implementera säker och gynnsam AI.  

I det här inlägget ger vi en översikt över några viktiga delar av AI-förordningen, med särskilt fokus på förbjudna användningsfall och användningsfall med hög risk.

AI-förordningen trädde i kraft den 1 augusti 2024, 20 dagar efter publiceringen i Europeiska unionens officiella tidning. Även om merparten av bestämmelserna i förordningen inte kommer att börja gälla förrän 24 månader efter ikraftträdandet finns det ändå flera viktiga tidsfrister att hålla koll på: 

• Bestämmelser om förbjudna användningsområden kommer att tillämpas 6 månader efter ikraftträdandet (februari 2025) 
• Förfarandekoder, som kommer att innehålla många av de implementeringsdetaljer som krävs för att uppfylla kraven i förordningen, måste vara färdigställda inom nio månader efter ikraftträdandet (maj 2025) 
• De flesta skyldigheter avseende AI för allmänna ändamål kommer att vara tillämpliga 12 månader efter ikraftträdandet (augusti 2025). 
• Skyldigheter för de flesta AI-system med hög risk tillämpas 24 månader efter ikraftträdandet (augusti 2026). 

Befintliga GPAI-system som inte genomgått omfattande ändringar och vissa AI-system som är komponenter i stora IT-system som identifieras i AI-förordningens bilaga X, kommer att ha en utökad tidsfrist för implementering på 36 månader (augusti 2027).

AI-förordningen omfattar i princip alla ”AI-system”, som i förordningen definieras som ”ett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi, som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från de indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer.”  Den här definitionen stämmer i stora drag överens med OECD:s definition av ”AI-system” som utfärdades 2023 och med den definition som används i Biden-administrationens Executive Order 14110 on Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence.  

I AI-förordningen görs åtskillnad mellan leverantörer och tillhandahållare av AI-system. Leverantörer är enheter som OpenAI, som utvecklar ett AI-system eller en AI-modell för allmänna ändamål. Här ingår också enheter som utvecklat ett AI-system eller en AI-modell för allmänna ändamål som man marknadsför eller som tar AI-systemet i bruk under sitt eget namn eller varumärke, oavsett om det sker mot betalning eller utan kostnad. 

Tillhandahållare är kunder eller partner som använder dessa system eller modeller i sina egna tillämpningar, som att integrera GPT‑4o i ett specifikt användningsfall. Även om merparten av alla skyldigheter inom ramen för AI-förordningen åligger leverantörerna och inte tillhandahållarna är det ändå viktigt att notera att en tillhandahållare som integrerar en AI-modell i sitt eget AI-system kan bli en leverantör enligt förordningen, exempelvis genom att använda sitt eget varumärke på ett AI-system eller ändra AI-systemet på olika sätt som inte leverantören avsett.

Organisationer utanför EU måste också uppfylla kraven i AI-förordningen i ett antal situationer som kan vara relativt långtgående.  AI-förordningen gäller exempelvis om: 

• En leverantör marknadsför ett AI-system eller en GPAI-modell inom EU, oberoende av om företaget är etablerat inom EU eller i ett annat land 
• Tillhandahållare av ett AI-system har sin etableringsort eller befinner sig inom EU; 
• Leverantörer och tillhandahållare av AI-system som har sin etableringsort eller befinner sig i ett tredjeland, om de utdata som produceras av AI-systemet används inom EU.

AI-förordningens extraterritoriella räckvidd innebär att företag utanför Europa måste uppfylla kraven i förordningen för att kunna betjäna kunder inom EU, oberoende av om de har sin bas inom EU eller inte.

AI-förordningen bygger på ett riskbaserat ramverk, med specifika krav för AI-system med hög risk och oacceptabel risk. Förordningen ställer krav på att företag klassificerar risknivån hos sina AI-system i syfte att fastställa motsvarande lagstadgade skyldigheter. Här beskrivs också olika kategorier eller nivåer av AI-system som alla omfattas av olika skyldigheter.

Vissa användningsområden för AI som bedöms utgöra en oacceptabel risk för individens rättigheter är helt förbjudna. Dessa användningsområden är bland annat:   

• Använda subliminala, manipulativa eller vilseledande tekniker i syfte att påverka människors beteende och försämra deras förmåga att fatta ett välgrundat beslut, vilket orsakar betydande skada. 
• Utnyttja sårbarheter kopplade till ålder, funktionsnedsättning eller socioekonomiska omständigheter för att förändra beteenden, vilket orsakar betydande skada. 
• System för biometrisk kategorisering som drar slutsatser om en persons ras, politiska åsikter, medlemskap i fackförening, religiösa eller filosofiska övertygelse, sexliv eller sexuella läggning (med begränsade undantag för laglig märkning eller filtrering av förvärvade dataset och för brottsbekämpande ändamål) 
• System för social poängsättning, som system som utvärderar eller klassificerar individer eller grupper baserat på socialt beteende eller personlighetsdrag, på ett sätt som är till skada för dem. 
• Göra en bedömning av risken för att en individ kan begå brott enbart baserat på profilering eller personlighetsdrag (med begränsade undantag) 
• Sammanställa databaser för ansiktsigenkänning genom oriktad skrapning av ansiktsbilder från internet eller övervakningskameror
• Antyda känslor på arbetsplatser eller utbildningsinstitutioner 
• Biometrisk fjärridentifiering i realtid för brottsbekämpande ändamål (med vissa undantag).

Förordningen ålägger strikta skyldigheter på system som fastställts utgöra ett betydande hot mot hälsa, säkerhet eller individens rättigheter. Dessa kategoriseras som AI-system med hög risk (HRAI). Här ingår: a) system som är säkerhetskomponenter i en produkt som omfattas av annan EU-lagstiftning och b) specifika användningsfall, som för system avsedda för att bland annat fastställa tillgång eller antagning till utbildningsinstitutioner, för att rekrytera eller göra ett urval av arbetstagare eller övervaka arbetstagarnas prestationer, för att fastställa behörighet för offentligt bistånd, kreditvärdighet och bedöma behörighet och prissättning för sjukförsäkringar.  

HRAI-system måste uppfylla strikta rättsliga skyldigheter, som att införa ett system för riskhantering för att kontinuerligt utvärdera risker och begränsningsstrategier under HRAI-systemets hela livscykel, införa omfattande åtgärder för dataförvaltning för att testa för och utvärdera risker för bias, ta fram detaljerad teknisk dokumentation innan systemet lanseras på marknaden samt löpande övervakningsskyldigheter. 

Övriga AI-system som inte utgör oacceptabla eller höga risker omfattas endast av begränsade krav, som transparensskyldigheter. I förordningen anges exempelvis att individer ska informeras när de interagerar med ett AI-system som en chattbot, och att artificiellt manipulerat bild-, ljud- eller videoinnehåll måste vara tydligt märkt. De flesta AI-system på marknaden hamnar sannolikt i denna kategori.

Särskilda krav gäller för leverantörer av AI-modeller och AI-system för allmänna ändamål, som OpenAI, och dessa måste: 

• Ta fram detaljerad teknisk dokumentation för modellen och tillhandahålla den för AI-byrån på begäran
• Skapa dokumentation för tillhandahållare som använder GPAI-modellen för att utveckla sina egna AI-system
• Implementera policyer som syftar till att kraven i EU:s upphovsrätt kan uppfyllas
• Tillhandahålla en sammanfattning av det innehåll som används för att träna GPAI-modellen 

Dessutom måste leverantörer av GPAI-modeller med kapacitet med hög påverkansgrad som bedöms utgöra ”systemrisker” (t.ex. modeller tränade på stora mängder beräkningar, tekniskt definierade som 10^25 FLOPs): 

• Genomföra modellutvärderingar för att identifiera och åtgärda systemrisker och kontinuerligt utvärdera och åtgärda de risker som framkommer
• Informera EU-kommissionen om modeller som uppfyller kriterierna i den här kategorin
• Övervaka och rapportera allvarliga incidenter 
• Implementera lämpliga åtgärder för cybersäkerhet för modellen och dess fysiska infrastruktur

Leverantörer av GPAI-modeller kommer att kunna använda sig av en förfarandekod för att visa att de uppfyller kraven i AI-förordningen. Dessa förfarandekoder kommer sannolikt att utgöra grunden för specifika detaljer kopplade till implementeringen av dessa skyldigheter och vi ser fram emot att arbeta med Europeiska AI-byrån allt eftersom de utvecklas under de kommande nio månaderna. 

OpenAI har som mål att uppfylla kraven i EU:s AI-förordning och vi kommer att ha ett nära samarbete med den nya Europeiska AI-byrån i arbetet med att implementera lagen. Under de kommande månaderna kommer vi att fortsätta att ta fram teknisk dokumentation och annan vägledning för leverantörer och tillhandahållare av våra GPAI-modeller i senare led samtidigt som vi utvecklar säkerheten och tryggheten hos de modeller vi tillhandahåller på den europeiska marknaden och på andra marknader.   

Om din organisation försöker fastställa hur ni ska kunna uppfylla kraven i AI-förordningen bör ni först försöka klassificera vilka AI-system som omfattas. Identifiera vilka GPAI och andra AI-system ni använder, fastställ hur de klassificeras och undersök vilka skyldigheter era användningsfall medför. Ni måste också fastställa om ni är en leverantör eller en tillhandahållare när det gäller de aktuella AI-systemen. Detta kan vara komplicerat och ni bör därför vända er till en juridisk rådgivare om ni har frågor.