EUs KI-forordning — kjent som AI Act — er verdens første brede horisontale regelverk for kunstig intelligens. Det trådte i kraft i EU 1. august 2024 og fases gradvis inn over fire år. Forordningen er teknologinøytral og risikobasert: jo større potensiell skade et KI-system kan forårsake, jo strengere krav stilles. For bedrifter er det avgjørende å forstå to ting: hvilken risikoklasse systemene dine tilhører, og om du er å anse som leverandør eller bruker.

7 %
Maks bot av global årsomsetning (forbudte praksiser)
2. des. 2027
Ny frist høyrisiko Vedlegg III (etter Omnibus)
8
Høyrisiko-kategorier i Vedlegg III

Risikoklassene — hva betyr de for din bedrift?

Forordningen opererer med fire risikonivåer. Plassering i riktig kategori er det første og mest kritiske skrittet i enhver etterlevelsesprosess.

Det store flertallet av KI-verktøy som brukes i norske bedrifter i dag — teksthjelp, oversettelse, bildegenerering for intern bruk, enkel automatisering — faller trolig i kategorien minimal risiko. Utfordringen er at det kreves en konkret vurdering per system: ett og samme verktøy kan havne i ulike kategorier avhengig av hva det brukes til.

Leverandør versus bruker — to sett med plikter

Forordningen skiller mellom to hovedroller. En leverandør (engelsk: provider) er den som utvikler et KI-system og gjør det tilgjengelig på markedet — enten som et kommersielt produkt, en tjeneste eller gratis. En bruker (engelsk: deployer) er en virksomhet eller person som tar et ferdig KI-system i bruk i sin drift, uten å ha utviklet det.

Mange norske bedrifter vil primært være brukere: de abonnerer på en KI-tjeneste og bruker den internt eller ovenfor kunder. Men virksomheter som bygger egne KI-baserte produkter — eller som tilpasser og videreselger andres modeller — kan fort bli klassifisert som leverandør, med langt mer omfattende plikter.

En bedrift som bare abonnerer på en KI-tjeneste, er typisk bruker. Men den som bygger, tilpasser og videreselger — er leverandør, med dertil hørende ansvar.

Leverandørens plikter (høyrisiko-systemer)

For leverandører av høyrisiko-KI er kravene svært omfattende. De skal blant annet:

  • Gjennomføre samsvarsvurdering (conformity assessment) før systemet slippes på markedet
  • Etablere et kvalitetsstyringssystem
  • Utarbeide teknisk dokumentasjon og registrere systemet i EUs offentlige database
  • Sørge for sporbarhet og loggføring av systemets handlinger
  • Rapportere alvorlige hendelser til tilsynsmyndigheter
  • Sørge for at systemet kan brukes med tilfredsstillende menneskelig tilsyn

Brukerens plikter (høyrisiko-systemer)

Brukere har færre, men viktige forpliktelser. De skal:

  • Bruke systemet i tråd med leverandørens instruksjoner
  • Utpeke kvalifisert personell for menneskelig tilsyn
  • Overvåke systemets funksjon og identifisere risikoer
  • Sikre at inndata er relevante og representative
  • Informere ansatte og berørte personer om bruken
  • Oppbevare systemer loggdata i minst seks måneder
  • Offentlige myndigheter og leverandører av offentlige tjenester: gjennomføre konsekvensanalyse for grunnleggende rettigheter (FRIA)
Uansett rolle gjelder GDPR fullt ut dersom KI-systemet behandler personopplysninger. Forordningens krav til risikovurdering og konsekvensanalyse for høyrisiko-systemer overlapper delvis med GDPRs krav til personvernkonsekvensvurdering (DPIA).

Tidslinje og gjeldende frister

Innfasingen skjer trinnvis. En provisorisk politisk avtale i EU fra 7. mai 2026 — kalt Digital Omnibus-pakken — endret sentrale frister og forenklingsregler. Avtalen er provisorisk og må formelt vedtas. Datoene under gjelder EU; norsk gjennomføring er ikke ferdigstilt.

1. august 2024
KI-forordningen trådte i kraft i EU.
2. februar 2025
Forbud mot uakseptabel-risiko-praksis begynte å gjelde. Krav til KI-kompetanse i virksomheter trådte i kraft.
2. august 2025
Regler for generelle KI-modeller (GPAI), styringsstruktur og sanksjoner begynte å gjelde.
7. mai 2026
Provisorisk Omnibus-avtale: hoveddelen av pliktene for frittstående høyrisiko-systemer (Vedlegg III) utsatt til 2. desember 2027.
2. august 2026
Hoveddelen av forordningen gjelder i EU, inkludert transparenskrav for chatboter og generativ KI. Høyrisiko-systemer med vesentlige designendringer skal etterkomme kravene.
2. desember 2027
Plikter for frittstående høyrisiko-systemer (Vedlegg III) gjelder fullt ut, etter Omnibus-utsettelse.
2. august 2028
Høyrisiko-KI innebygd i produkter regulert av sektorlovgivning (Vedlegg I) skal etterleve forordningen.

Krav til transparens — chatboter og generativ KI

Bedrifter som bruker chatboter eller generative KI-systemer i kontakt med kunder eller ansatte, er underlagt egne transparenskrav. Brukere skal alltid gjøres oppmerksom på at de kommuniserer med et KI-system — ikke et menneske. KI-generert innhold (tekst, bilder, lyd) skal merkes på maskinlesbart format, og dypforfalskninger av offentlig interesse skal merkes synlig. Disse kravene er planlagt å gjelde fra august 2026.

Omnibus-pakken forkortet fristen for implementering av visse tekniske merkingsløsninger til 2. desember 2026, slik at leverandørene får kortere tid til å tilpasse seg enn opprinnelig planlagt.

Hva bør bedriften gjøre nå?

Utsettelsene fra Omnibus-pakken gir noe mer tid til etterlevelse, men betyr ikke at arbeidet kan utsettes. Forordningens krav til KI-kompetanse gjaldt allerede fra februar 2025, og transparenskrav for interaktive systemer nærmer seg raskt. En strukturert tilnærming bør inneholde følgende steg:

  1. KI-inventar: kartlegg alle KI-systemer virksomheten bruker eller leverer, inkludert tredjepartsleverandører og innebygd funksjonalitet i eksisterende programvare.
  2. Risikoklassifisering: vurder hvert system mot forordningens kategorier. Bruk Kommisjonens klassifiseringsretningslinjer og Nkoms veiledning som støtte.
  3. Rolleklargjøring: fastslå om virksomheten opptrer som leverandør, bruker eller begge deler — og hvilket ansvar det medfører.
  4. Gap-analyse: for høyrisiko-systemer, sammenlign nåværende praksis med kravene til dokumentasjon, risikovurdering, menneskelig tilsyn og datakvalitet.
  5. Kompetanseheving: krav til «AI literacy» — at ansatte har tilstrekkelig forståelse til å bruke KI forsvarlig — gjelder allerede. Etabler nødvendig opplæring.
  6. Transparensimplementering: dersom virksomheten benytter chatboter eller generativ KI mot sluttbrukere, implementer informasjonsrutiner og merkingsmekanismer innen august 2026.
  7. Juridisk gjennomgang: vurder kontrakter med KI-leverandører i lys av forordningens krav om ansvarsfordeling, logger og hendelsesrapportering.