Autonome AI-agenter — systemer som handler selvstendig, tar beslutninger og utfører oppgaver uten kontinuerlig menneskelig styring — er nå eksplisitt i søkelyset til EUs AI-forordning. Ifølge retningslinjer som EU-kommisjonen publiserte i februar 2026, er agenter som gjennomfører finansielle transaksjoner eller påvirker økonomiske avgjørelser, formelt klassifisert som høyrisiko-systemer under AI Act.
Hva loven faktisk sier om agenter
AI Act inneholder ingen eksplisitt definisjon av «agentisk AI» eller «autonome agenter» som begreper, men lovens brede definisjon av et «AI-system» — en maskinbasert enhet som opererer med varierende grad av autonomi for å generere resultater som påvirker fysiske eller virtuelle omgivelser — fanger dem opp uansett. Det er altså funksjonaliteten, ikke merkelappen, som avgjør hvilken risikokategori et system havner i, ifølge kildematerialet fra Devdiscourse.
Forordningen opererer med fire risikonivåer: uakseptabel, høy, begrenset og minimal. De strengeste reglene gjelder forbudte praksiser, der loven allerede er i kraft siden 2. februar 2025.
Høyrisiko-kravene som treffer autonome agenter
Det er særlig høyrisiko-kategorien som er relevant for virksomheter som utvikler eller tar i bruk autonome agenter. Bruksområder som kritisk infrastruktur, offentlige tjenester, finansielle tjenester, utdanning og rettsvesenets beslutningsstøtte er blant sektorene som eksplisitt nevnes i forordningen.
Kravene til utviklere og brukere av høyrisiko-autonome agenter er omfattende. De inkluderer blant annet:
Risikostyring: Et kontinuerlig og dokumentert risikostyringssystem gjennom hele systemets livssyklus er påkrevd. Systemet skal identifisere, estimere og redusere kjente og forutsigbare risikoer mot helse, sikkerhet og grunnleggende rettigheter.
Datakvalitet: Trenings-, validerings- og testdata skal være relevante, tilstrekkelig representative og så frie for feil som mulig, for å minimere risikoen for diskriminerende utfall.
Teknisk dokumentasjon og logging: Detaljert teknisk dokumentasjon er obligatorisk, i tillegg til automatisk loggføring av hendelser — noe kildematerialet påpeker er spesielt utfordrende for autonome systemer som handler uten løpende menneskelig oversikt.
Samsvarsvurdering: Høyrisiko-systemer må gjennomgå en formell samsvarsvurdering. For systemer integrert i produkter som allerede er dekket av EU-produktsikkerhetsdirektiver, kreves tredjeparts «notified bodies». For frittstående høyrisiko-AI er selvvurdering foreløpig tillatt, men eksperter har ifølge kilden argumentert for at dette bør strammes inn.
Norsk relevans: EØS og implementering
Norge er ikke EU-medlem, men er gjennom EØS-avtalen i praksis bundet av det meste av EUs digitale regelverk. AI Act ventes å bli tatt inn i EØS-avtalen, noe som betyr at norske selskaper som utvikler eller deployer AI-systemer — særlig autonome agenter — bør forberede seg på de samme kravene som gjelder i EU. Virksomheter som retter seg mot det europeiske markedet, rammes uansett av regelverket direkte.
For norske startups, teknologiselskaper og offentlige virksomheter som allerede er i gang med å bygge agentiske systemer, er det ikke lenger snakk om en fjern regulatorisk fremtid — fristen er nå bare måneder unna.
Hva bør norske aktører gjøre nå?
Kildematerialet peker på at det er særlig tre ting som haster:
For virksomheter som allerede har autonome agenter i produksjon, er tidsvinduet for tilpasning knapt.