EUs ministerråd ga nylig sin endelige godkjenning til Digital Omnibus-pakken, som blant annet inneholder justeringer av EU AI Act — verdens første helhetlige juridisk bindende rammeverk for kunstig intelligens. Det melder advokatfirmaet JD Supra i en klientvarsel. For norske teknologiselskaper, startups og forskningsinstitusjoner som opererer i eller mot det europeiske markedet, er dette regelverket langt fra en fjern EU-affære.

Hva er EU AI Act?

EU AI Act trådte i kraft 1. august 2024 og klassifiserer AI-systemer i fire risikonivåer: uakseptabel, høy, begrenset og minimal risiko. Jo høyere risiko, desto strengere krav til dokumentasjon, menneskelig tilsyn og sikkerhet.

Det som gjør loven særlig relevant for norske aktører, er dens territorielle rekkevidde: regelverket gjelder ikke bare selskaper etablert i EU, men også leverandører og brukere utenfor EU dersom AI-systemets output benyttes innenfor det europeiske markedet. Norge, som EØS-medlem, er tett integrert i dette markedet.

EU-loven som kan bøtelegge norske AI-selskaper 35 millioner euro - Bilde 1

Tidslinje for ikrafttredelse

1. august 2024
EU AI Act trer i kraft
2. februar 2025
Forbud mot uakseptable AI-praksiser og krav om AI-kompetanse gjelder fra denne dato
2. august 2025
Regler for generelle AI-modeller (GPAI) og styringsstrukturer aktiveres
2. august 2026
Hoveddelen av forpliktelsene for høyrisiko-systemer (Annex III) trer i kraft
2. august 2028
Utvidet overgangsperiode for høyrisiko-AI innebygd i regulerte produkter utløper

Store bøter og et nytt EU AI Office

Håndhevingen skjer gjennom et nyopprette EU AI Office under Europakommisjonen, i samarbeid med nasjonale markedsovervåkingsmyndigheter i medlemslandene — en hybrid modell som ifølge JD Supras klientvarsel skal sikre konsistent praktisering på tvers av grenser.

€35 mill. / 7%
Maks bot for brudd på AI-forbud
€15 mill. / 3%
Maks bot for høyrisiko-brudd

For norske selskaper med virksomhet rettet mot EU-markedet betyr dette at compliance ikke er valgfritt. Et norsk helsetech-selskap som leverer et AI-drevet diagnose­verktøy til tyske sykehus, vil for eksempel måtte oppfylle høyrisiko-kravene om robust risikohåndtering, teknisk dokumentasjon og obligatorisk menneskelig tilsyn.

Norsk innovasjon i skvis — eller mulighet?

Loven inneholder også bestemmelser om regulatoriske sandkasser, der bedrifter — særlig SMB-er og oppstartsbedrifter — kan teste AI-systemer i kontrollerte omgivelser før full kommersiell lansering. Dette kan åpne muligheter for norske aktører til å utvikle og validere produkter innenfor regelverkets rammer uten å risikere umiddelbare sanksjoner.

Norske selskaper som selger AI-tjenester til EU-kunder, har ikke råd til å overse loven som allerede er i kraft.

Amerikanske myndigheter har valgt en annen vei: der EU har valgt bindende lovgivning med strenge bøter, lener USA seg på frivillige rammeverk, bransjeledede initiativ og presidentordre. Denne divergensen skaper et krevende landskap for internasjonale aktører som må forholde seg til begge regimer.

Hva bør norske aktører gjøre nå?

Med de viktigste forpliktelsene for høyrisiko-systemer som trer i kraft allerede 2. august 2026 — om knappe uker — er tidsvinduet for forberedelse svært begrenset. Norske virksomheter bør kartlegge hvilke AI-systemer de tilbyr i EU-markedet, klassifisere dem etter loven, og begynne arbeidet med nødvendig dokumentasjon og governance-strukturer.

Digital Omnibus-godkjenningen bekrefter at EU ikke trekker seg tilbake fra ambisjonene i AI Act — snarere tvert imot.