COMPLIANCE

AI-loven for bedrifter

Norske virksomheter som bruker kunstig intelligens står overfor et nytt regelverk: EUs KI-forordning (AI Act) og en kommende norsk KI-lov. Regelverket er risikobasert, og når det trer i kraft vil de fleste bedrifter måtte dokumentere systemer, vurdere risiko og bygge internkontroll — uavhengig av om de utvikler eller bare tar i bruk KI.

Editorial illustrasjon av AI-loven og compliance for norske bedrifter — ILLUSTRASJON GENERERT AV 24AI

Kort oppsummert

EUs AI Act er ikke direkte gjeldende norsk lov ennå, men en norsk KI-lov forventes seinsommeren 2026 — bedrifter bør forberede seg nå.
Regelverket deler KI-systemer inn i fire risikoklasser: forbudt, høy risiko, begrenset risiko og minimal risiko — de fleste bedrifter berøres av de tre siste.
Høyrisiko-systemer krever samsvarsvurdering, risikostyring, logging, menneskelig kontroll og registrering i en EU-database.
GDPR gjelder allerede fullt ut når KI behandler personopplysninger, uavhengig av AI Act sin EØS-status.

EUs KI-forordning — AI Act — er verdens første omfattende regelverk for kunstig intelligens. Den er risikobasert: jo større risiko et system utgjør for sikkerhet, helse eller grunnleggende rettigheter, jo strengere krav stilles. Forordningen retter seg mot både utviklere (leverandører) og virksomheter som tar i bruk KI, inkludert norske bedrifter dersom systemene brukes i EU-markedet.

I Norge er forordningen ennå ikke innlemmet i EØS-avtalen. Regjeringen har likevel sendt forslag til en egen lov om kunstig intelligens på høring, med ambisjon om ikrafttredelse seinsommeren 2026. Inntil videre gjelder eksisterende regelverk — særlig GDPR, likestillings- og diskrimineringsloven og sektorlover — fullt ut.

Hva er AI-loven og KI-forordningen?

AI Act (offisielt Regulation (EU) 2024/1689) er EUs horisontale regelverk for KI. Formålet er å sikre at KI-systemer som slippes på markedet er trygge, åpne og respekterer grunnleggende rettigheter. Regelverket definerer et sett med forbudte praksiser, strenge krav til høyrisiko-systemer, transparenskrav for begrenset risiko, og frihet for minimal risiko.

Den pågående norske KI-loven skal gjennomføre AI Act i norsk rett og kan inneholde nasjonale tilpasninger. Nkom er utpekt som samordnende tilsynsmyndighet. Lovforslaget bygger på samme risikobaserte tilnærming som EU, men detaljene vil avhenge av endelig vedtak og EØS-prosessen.

Risikoklasser etter EU AI Act

Forordningen opererer med fire risikonivåer. For bedrifter er det avgjørende å forstå hvilken kategori egne systemer havner i, siden dette bestemmer hvilke krav som gjelder.

Forbudt risiko

Systemer som anses som en uakseptabel trussel mot grunnleggende rettigheter er forbudt. Dette inkluderer sosial scoring av privatpersoner av offentlige myndigheter, KI som utnytter sårbarheter hos spesifikke grupper, og visse former for manipulerende KI. Biometrisk identifisering i sanntid i offentlige rom er i praksis forbudt med svært begrensede unntak. Bedrifter må sørge for at verken egne systemer eller leverandører bryter disse forbudene.

Høy risiko

Systemer som kan påvirke helse, sikkerhet eller grunnleggende rettigheter vesentlig, faller i kategorien høy risiko. Eksempler er KI i rekruttering, utdanning, kritisk infrastruktur, rettshåndhevelse og tilgang til offentlige tjenester. Slike systemer skal gjennom samsvarsvurdering, registreres i en EU-database, ha risikostyringssystem, loggføring, menneskelig kontroll og tilstrekkelig dokumentasjon.

Begrenset risiko

Systemer med begrenset risiko er underlagt transparenskrav. Brukere skal vite at de samhandler med KI — for eksempel chatboter — og KI-generert innhold som dypforfalskninger skal merkes tydelig. For bedrifter betyr dette at man må informere kunder og brukere når KI er involvert i kommunikasjon eller innholdsproduksjon.

Minimal risiko

De aller fleste KI-systemer i vanlig bruk — som spamfiltre, anbefalingssystemer og enkle verktøy — faller i denne kategorien. Ingen særskilte krav utover gjeldende regelverk gjelder. Bedrifter bør likevel dokumentere bruken internt, siden et system kan flytte seg til en høyere kategori hvis bruksmønsteret endres.

De fleste KI-systemer i norske bedrifter faller i kategorien minimal risiko. Likevel bør virksomheten ha en oversikt over alle systemer, fordi en endring i bruksområde kan endre risikoklassifiseringen.

Hva gjelder i Norge nå?

KI-forordningen er merket som EØS-relevant, men er foreløpig ikke innlemmet i EØS-avtalen. Innlemmelsen krever forhandlinger om EØS-tilpasninger, og disse er ennå ikke sluttført. Regelverket gjelder derfor ikke direkte som norsk lov i dag.

Samtidig har regjeringen sendt forslag til norsk KI-lov på høring med ambisjon om ikrafttredelse seinsommeren 2026. Det endelige tidspunktet er ikke fastsatt og kan bli forsinket. Inntil videre gjelder eksisterende lover fullt ut: personopplysningsloven (GDPR), likestillings- og diskrimineringsloven, arbeidsmiljøloven, finanslovgivning og sektorvise regler.

Krav til høyrisiko-systemer

For bedrifter som bruker eller utvikler høyrisiko-KI, er kravene de mest omfattende i AI Act. Leverandøren har primæransvaret for samsvarsvurderingen, men bruksstedet må kontrollere at systemet er CE-merket og brukes i samsvar med bruksanvisningen.

Samsvarsvurdering: Systemet skal testes og dokumenteres før det slippes på markedet.
Risikostyring: En kontinuerlig prosess for å identifisere, vurdere og redusere risiko gjennom hele livssyklusen.
Datakvalitet: Treningsdata skal være relevante, representative og frie for kjente skjevheter i den grad det er mulig.
Loggføring: Automatisk logging av hendelser under drift for å muliggjøre tilsyn og etterforskning.
Menneskelig kontroll: Naturpersoner skal ha mulighet til å overstyre eller avvise systemets anbefalinger.
Nøyaktighet og robusthet: Systemet skal oppnå tilstrekkelig nøyaktighet og være robust mot feil og angrep.
Registrering: Leverandøren skal registrere systemet i en EU-database før det plasseres på markedet.

Dokumentasjon og internkontroll

God dokumentasjon er avgjørende både for compliance og for praktisk styring av KI. Norske virksomheter bør bygge opp følgende før lovendringen trer i kraft:

Oversikt over alle KI-systemer, leverandører, interne eiere og formål.
Beskrivelse av dataflyt, inkludert om personopplysninger inngår og hvor data lagres.
Risikovurdering per system, med oppdateringsrutiner ved endringer i bruksmønster.
Intern policy for hva ansatte kan og ikke kan legge inn i KI-verktøy.
Godkjenningsløp for nye KI-systemer og rutiner for menneskelig kontroll.
Avvikshåndtering og opplæringsplan for ansatte.

Virksomheter som allerede har arbeidet med GDPR, har et godt utgangspunkt. DPIA-er (vurdering av personvernkonsekvenser), databehandleravtaler og behandlingsgrunnlag kan ofte utvides til å dekke KI-aspekter.

Tilsynsmyndigheter i Norge

Når norsk KI-lov trer i kraft, vil tilsynet være fordelt på flere aktører:

Nkom (Nasjonal kommunikasjonsmyndighet) er utpekt som samordnende tilsynsmyndighet for kunstig intelligens i Norge. Nkom vil koordinere tilsynet, gi veiledning og følge opp EØS-innlemmelsen.
Datatilsynet har ansvar for personvernregelverket og driver en regulatorisk sandkasse der virksomheter kan få hjelp til ansvarlig KI-utvikling.
Digdir (Digitaliseringsdirektoratet) gir veiledning om digitalisering i offentlig sektor, inkludert anskaffelse og bruk av KI.

I tillegg vil sektorvise tilsynsmyndigheter ha ansvar innen sine domener — for eksempel Finanstilsynet for KI i finans, og Arbeidstilsynet for KI i arbeidsmiljøsammenheng.

Nkom er utpekt som samordnende tilsynsmyndighet for KI i Norge, men Datatilsynet, Digdir og sektorvise myndigheter vil alle ha roller når norsk KI-lov trer i kraft.

Praktisk sjekkliste for bedrifter

24AI har laget en detaljert sjekkliste for norske virksomheter som vil systematisere forberedelsene:

AI compliance-sjekkliste for norske virksomheter →

Sjekklisten dekker seks områder: KI-oversikt, personvern, risikokartlegging, leverandørkrav, internkontroll og merking. Den er praktisk orientert og basert på offisielle kilder.

Maler og ressurser

For å komme i gang med interne retningslinjer og risikovurderinger raskt, finnes følgende maler:

AI-policy-mal — en mal for interne retningslinjer for ansattes bruk av KI-verktøy.
AI-risikovurdering-mal — en mal for å vurdere risiko ved innføring av nye KI-systemer.

Ofte stilte spørsmål.

Gjelder EUs AI Act for norske bedrifter nå?

Nei, ikke direkte. KI-forordningen er EØS-relevant, men er foreløpig ikke innlemmet i EØS-avtalen. Regjeringen har sendt forslag til norsk lov om kunstig intelligens på høring, og Norge forbereder nasjonal gjennomføring. Inntil videre gjelder eksisterende regelverk som GDPR, likestillings- og diskrimineringsloven og sektorlover fullt ut.

Hvilke KI-systemer er forbudt etter AI Act?

Forbudte systemer inkluderer sosial scoring av privatpersoner av offentlige myndigheter, KI som utnytter sårbarheter hos spesifikke grupper, og visse former for manipulerende KI. Bruk av biometrisk identifisering i sanntid i offentlige rom er i praksis forbudt med få unntak.

Hva må en bedrift gjøre hvis den bruker høyrisiko-KI?

Høyrisiko-systemer skal gjennom samsvarsvurdering, registreres i en EU-database, ha risikostyringssystem, loggføring, menneskelig kontroll, nøyaktighetskrav og tilstrekkelig dokumentasjon. Leverandøren har hovedansvaret for samsvarsvurderingen, men bruksstedet må kontrollere at systemet er CE-merket og brukes i samsvar med bruksanvisningen.

Hvem fører tilsyn med KI i Norge?

Nasjonal kommunikasjonsmyndighet (Nkom) er utpekt som samordnende tilsynsmyndighet for kunstig intelligens i Norge. Datatilsynet har ansvar for personvern. Digdir gir veiledning for offentlig sektor. Sektorvise tilsynsmyndigheter vil ha ansvar innen sine domener når norsk KI-lov trer i kraft.

Når må norske bedrifter være klare?

Regjeringen har ambisjon om ikrafttredelse av norsk KI-lov seinsommeren 2026, omtrent samtidig med at hoveddelen av EU AI Act blir anvendelig i EU. Bedrifter bør allerede nå kartlegge KI-bruk, vurdere risiko og bygge internkontroll, siden eksisterende regelverk som GDPR allerede gjelder.