Uppkopplade och självlärande produkter förändrar vårt sätt att se på risk och ansvar. När en AI-driven produkt fortsätter att utvecklas efter leverans till användaren är frågan vem som bär ansvaret vid en eventuell cybersäkerhetsincident? I det här blogginlägget diskuteras hur AI-drivna, uppkopplade och självlärande produkter förändrar synen på risk, ansvar och juridik i takt med att tekniken utvecklas.
Förändringen som utgångspunkt
“Den enda konstanten i livet är förändring.”
– Herakleitos, ca 500 f.Kr.
För över två tusen år sedan beskrev Herakleitos världen som en flod, den är alltid i rörelse, aldrig densamma två gånger. Samma insikt präglar vår tid. Våra produkter, algoritmer och system förändras ständigt. De lär sig, uppdateras och justeras långt efter att produkten lämnat tillverkaren och fabriken.
Det innebär att sättet att se på ansvar för eventuell skada som produkten orsakar förändras. I och med nya lagar såsom Förordningen om Cyberresiliens (Cyber Resilience Act eller ”CRA”) grundar sig ansvaret i en dynamisk process som följer cybersäkerheten över hela produktens livscykel.
EU har genom strategin EU:s Digital Decade satt en gemensam plan för hur EU ska bli digitalt hållbart, säkert och konkurrenskraftigt till 2030. Ur denna strategi har flera centrala regelverk vuxit fram som är relevanta för området inom produktsäkerhet såsom:
Dessa regelverk formar en juridisk arkitektur speciellt för uppkopplade produkter och sätter grunden för hur ansvarsfrågan avseende uppkopplande produkter ska lösas i praktiken.
I traditionell produktansvarsrätt är rollerna klara. Tillverkaren ansvar för defekter, importören för regelefterlevnad och användaren för korrekt hantering.
Men när produkter blir uppkopplade, adaptiva och självlärande, löses dessa gränser upp.
En produkt är inte längre ett slutet objekt utan ett system i ständig utveckling. När beteendet styrs av data och algoritmer, uppstår nya frågor såsom:
EU-domstolen har hittills inte prövat en cybersäkerhetsincident orsakad av en självlärande produkt och således finns det inget relevant rättsfall på området att få vägledning kring. Den gamla Produktansvarslagen (som gäller tills att den nya träder i kraft 2026) är skriven för den analoga eran, inte den autonoma. Regeringen har tillsatt en AI-utredning (dir. 2024:127), och myndigheter som MSB och RISE har lyft behovet av att klargöra ansvarsfördelningen för digitala produkter. Sverige befinner sig, liksom EU, i den rättsliga gryningen av den digitala eran. Det kommer krävas tydliga praxisavgöranden av EU för att kunna besvara frågorna ovan med mer säkerhet.
“We shape our tools, and thereafter our tools shape us.”
– Marshall McLuhan
När McLuhan skrev detta år 1964 talade han om teknikens sociala påverkan. Men i dag beskriver orden något som gått ännu längre: våra verktyg lär sig själva, och därmed formar de även våra lagar, vår etik och vår förståelse av ansvar och risk.
Herakleitos såg förändring som livets kärna. McLuhan såg den som teknikens väsen. För att inte skapa en värld där vi leker Gud där AI genom uppkopplade produkter blir egna individer och där ansvaret inte går att härleda någonvart så krävs det att ansvarsfrågan tas på allvar.
EU’s Digital Decade visar vägen. Ny lagstiftning som CRA, AI-förordningen, RED och det nya produktansvarsdirektivet bygger vägen framåt mot mer klarhet vid användning av uppkopplade och självlärande produkter.
Men det är först när verkliga fall prövas som vi kommer att förstå var gränserna faktiskt går, var ansvaret slutar och en annan tar vid.
Vill du hålla dig uppdaterad inom produktsäkerhet?
Vi bjuder in till seminarieserien Future Insights on Connected Products – AI, Law and Secure Development, där vi utforskar allt från tekniska utmaningar till juridiska och säkerhetsmässiga perspektiv.
👉 Anmäl dig här.