Till förstasidan
Kontakta oss

Secure Edge AI under EU AI Act: vad produktteam måste göra redan nu 

European Union AI Act och Cyber Resilience Act (CRA) bildar tillsammans ramen för den nya eran av AI‑reglering. Tillsammans bestämmer de hur AI ska utvecklas, användas och skyddas, särskilt när tekniken finns ute i edge‑enheter som arbetar i verkliga miljöer, långt från traditionellt skyddade IT‑system. AI‑förordningen betonar etiska principer som transparens, ansvar och säkerhet. Eftersom

European Union AI Act och Cyber Resilience Act (CRA) bildar tillsammans ramen för den nya eran av AI‑reglering. Tillsammans bestämmer de hur AI ska utvecklas, användas och skyddas, särskilt när tekniken finns ute i edge‑enheter som arbetar i verkliga miljöer, långt från traditionellt skyddade IT‑system.

AI‑förordningen betonar etiska principer som transparens, ansvar och säkerhet. Eftersom många edge‑enheter är säkerhetskritiska (som industriell automation, autonoma fordon och medicinteknik) omfattas de direkt av regelverket. Här kan AI‑beslut få verkliga konsekvenser för användare och människors trygghet, vilket gör tydliga regler nödvändiga.

Edge AI väljs ofta för att skydda integritet genom lokal databehandling. Men även då måste systemen följa AI‑förordningen, eftersom de påverkar människor och kan innebära säkerhetsrisker. Därför gäller samma krav på efterlevnad för Edge AI som för AI i molnet.

”Edge AI innebär att algoritmer körs i enheter som fysiskt befinner sig i användarens händer. Inte i ett skyddat datacenter.”

Jaakko Ala-Paavola

Technology Director, Etteplan

Edge AI minskar beroendet av uppkoppling och möjliggör realtids­prestanda i offline‑ eller kritiska miljöer. Men det innebär också att enheter måste vara designade för att fungera säkert, spårbart och etiskt genom hela sin livscykel.

Läs om hur krav på efterlevnad översätts till praktiska konstruktionsbeslut i artikeln Building Trusted and Compliant AI Devices with Secure Edge AI

Förstå det regulatoriska landskapet

Mellan 2024 och 2027 träder flera centrala EU‑regelverk i kraft: NIS2‑direktivet (EU 2022/2555) om cybersäkerhet, Cyber Resilience Act (CRA), Artificial Intelligence Act (AI Act, Regulation EU 2024/1689) och Data Act (Regulation EU 2023/2854)EU 2023/2854). Dessa regelverk formar tillsammans en ny grund för hur AI och uppkopplade produkter ska byggas, användas och säkras.

Tillsammans etablerar dessa secure‑by‑design som ett obligatoriskt principkrav för både organisationer och produkter inom EU. Det innebär att uppkopplade och AI‑drivna enheter måste kunna visa spårbar dokumentation, stark datastyrning och full kontroll över mjukvarans livscykel innan de får lanseras på EU‑marknaden.

För organisationer som behöver förstå hur dessa krav påverkar produktutvecklingen rekommenderar vi artikeln AI-Empowered Products – Turning Intelligence into Value

  1. EU AI Act 

EU AI Act är det första heltäckande AI‑regelverket i världen. Det delar in AI‑lösningar efter risknivå och kopplar varje kategori till specifika krav – från förbud mot system som anses oacceptabelt riskfyllda till full dokumentation, spårbarhet och regelbundna granskningar för högrisk‑system. Målet är tydligt: att all AI i Europa ska vara säker, transparent och respektera mänskliga rättigheter.

  1. Cyber Resilience Act (CRA) 

Samtidigt ställer CRA nya krav på cybersäkerhet för digitala och uppkopplade produkter. Reglerna innebär att tillverkare måste bygga in säkerhet från början, arbeta enligt security‑by‑default, rapportera sårbarheter och leverera säkerhetsuppdateringar under hela produktens livstid.

För Edge AI möts regelverken på flera punkter:

  • AI Act reglerar hur AI‑logiken ska bete sig – etik, riskhantering och datakvalitet.
  • CRA reglerar hur själva enheten ska hållas säker – programvaruintegritet, patchning och skydd mot manipulation.

Efterlevnad av båda är avgörande för alla företag som vill sälja AI‑drivna produkter på EU‑marknaden.

Upptäck hur valet av rätt hårdvaruplattform kan säkerställa efterlevnad från start i vår artikel Choosing the Right Hardware for Edge AI

EU:s nya regler: vad som börjar gälla och när det händer

FasCentrala bestämmelserGäller från
Fas 1Förbud mot otillåtna
AI‑metoder + krav på
AI‑kunskap för
organisationer		Feb 2025
Fas 2Krav för General‑Purpose
AI (GPA)‑modeller		Aug 2025
Fas 3Full efterlevnad för
högrisk‑AI‑system		Aug 2027

Undantag gäller bland annat nationell säkerhet, försvarsverksamhet, forskning och hobbybruk. Lagen ställer också krav på att alla som arbetar med AI – i utveckling, implementation eller användning – har kunskap om teknikens styrkor, risker och begränsningar. Därför behöver HR och Learning & Development börja stärka denna kompetens idag.

AI Act – riskkategorier

  • Oacceptabel risk – förbjudet
    Manipulation av mänskligt beteende, social poängsättning, realtidsbaserad biometrisk fjärridentifiering, känsloigenkänning i offentliga miljöer eller system som försöker förutsäga brottsliga avsikter.
  • High Hög risk
    Produktsäkerhets‑ eller styrsystem, kritisk infrastruktur samt alla system som utvärderar människor — till exempel inom utbildning, sjukvård, rekrytering, kreditbedömning, migration och rättsväsende.
  • Begränsad risk
    AI som genererar eller förändrar innehåll där transparens krävs — exempelvis chatbots eller AI‑modifierade medier som måste tydliggöra att AI har använts.
  • Minimal risk
    Underhållning och verktyg med liten påverkan, såsom spel eller spamfilter.

Ett exempel kan vara “mood recognition” i ett forskningsprojekt som analyserar passagerares känslotillstånd i spårvagnar. Det kan verka harmlöst, men enligt AI‑förordningen kan det klassas som förbjudet (beteendepåverkan) eller som högrisk (känsloigenkänning). Kontexten avgör regelkraven.

What “High Risk” Actually Requires

A | System- eller produktkrav

  • End-to-end-riskhantering 
  • Datastyrning och kontroller för datakvalitet
  • Teknisk dokumentation och händelseloggning
  • Transparens och mänsklig övervakning
  • Robusthet, precision och cybersäkerhet

B | Organisatoriska eller processrelaterade krav 

  • Kvalitetsledningssystem (QMS) för AI
  • Journalföring och loggar för korrigerande åtgärder
  • Samarbete med myndigheter och anmälda organ
  • Auktoriserad representant (där det krävs)
  • Bedömning av grundläggande rättigheter (FRIA) – utvärdera hur systemet påverkar mänskliga, sociala och ekonomiska rättigheter.

10‑stegschecklista för AI Act‑beredskap

  • Definiera ert AI‑användningsfall och riskklass.
  • Kartlägg datakällor och ansvar för datastyrning.
  • Skapa en hotmodell som omfattar enhet, modell och data.
  • Säkerställ full spårbarhet för modellversioner och träningsdata.
  • Upprätta en plan för verifiering och validering.
  • Tillhandahåll human‑in‑the‑loop eller möjlighet till manuell överskrivning.
  • Implementera heltäckande loggning och granskningsspår.
  • Dokumentera en Bedömning av grundläggande rättigheter (FRIA).
  • Planera för övervakning efter marknadslansering och incidentrapportering.
  • Verifiera leverantörers och tredjepartskomponenters efterlevnad.

Redo att minska riskerna i er Edge‑AI‑roadmap?

Vårt tvärfunktionella team med AI‑ingenjörer, säkerhetsarkitekter och regulatoriska specialister hjälper er att göra compliance till en konkurrensfördel i stället för ett hinder.

Våra experter kartlägger ert användningsfall, definierar en säkerhetsarkitektur och förbereder den dokumentation som krävs inför certifiering. Boka en AI Act Readiness-genomgång med Etteplan. Kontakta oss!

"Vi hjälper er att uppfylla kraven."

Jaakko Ala-Paavola