AI-loven får sin første store justering

EUs kunstig intelligens-forordning, kjent som AI Act, har gjennomgått det som beskrives som sin første reelle revisjon. Ifølge PPC Land har EU-institusjonene inngått en foreløpig avtale – kalt «AI Omnibus» – som skyver de mest krevende pliktene for høyrisiko-AI-systemer godt ut i tid.

Selvstendige høyrisiko-AI-systemer skulle opprinnelig følge de nye reglene fra august 2026. Fristen er nå utsatt til desember 2027. For høyrisiko-AI innebygd i regulerte produkter, som medisinsk utstyr, flyttes grensen fra august 2027 til august 2028.

Des. 2027
Ny frist, selvstendige høyrisiko-systemer
Aug. 2028
Ny frist, innebygd høyrisiko-AI

Hvorfor utsettelsen?

Hoveddriveren bak forsinkelsen er at EU ennå ikke har ferdigstilt de tekniske standardene og retningslinjene som bedrifter skal etterleve. Nasjonale tilsynsmyndigheter er heller ikke fullt operative, og akkrediterte samsvarsvurderingsorganer er ikke etablert i tilstrekkelig omfang.

Forsinkelsen rammer altså ikke bare regelverket i seg selv – hele infrastrukturen rundt håndhevelse er fortsatt under oppbygging.

Industrien: Lettet, men ikke tilfreds

Næringsliv og bransjeforeninger har i stor grad tatt godt imot utsettelsen. Guido Lobrano, direktør for Europa i den globale teknologibransjeforeningen ITI, uttaler ifølge forskningsgrunnlaget at forsinkelsen og forenklingene er «velkomne og nødvendige steg». Holger Lösch fra Forbundet av tyske industrier peker på at lengre overgangsperioder er avgjørende for at selskaper skal kunne planlegge investeringer og implementering.

Likevel mener ITI at AI Omnibus ikke fullt ut løser kompleksiteten i EUs samlede regulatoriske landskap for AI. Særlig pekes det på overlapp mellom AI-loven og annet sektorregelverk. Bransjeorganisasjonene ZVEI og Bitkom kritiserer at høyt regulerte sektorer som medisin ikke har fått tilsvarende lettelser.

Et ansettelsessystem satt på markedet før desember 2027 kan forbli utenfor AI-loven på ubestemt tid.

Advarselen om smutthullet

Den mest alvorlige innvendingen handler om et potensielt smutthull. Loven er i utgangspunktet ikke tilbakevirkende: systemer som er satt på markedet før de nye fristene, er i hovedsak unntatt – med mindre de endres vesentlig.

Michael McNamara, medrapportør for Digital Omnibus on AI, advarer om at dette kan gi selskaper incentiver til å haste høyrisiko-AI-systemer ut på markedet før fristene løper ut, nettopp for å unngå strengere krav. Laura Caroli, tidligere forhandler av AI-loven, presiserer det konkret: et ansettelsessystem lansert før desember 2027 kan i praksis forbli uregulert av AI-loven på ubestemt tid, dersom det ikke gjøres vesentlige endringer i ettertid.

Kappløpet mot fristen kan bli en ny regulatorisk hodepine for EU.

Hva klassifiseres som høyrisiko?

Hva betyr dette for norske aktører?

Norge er ikke EU-medlem, men er gjennom EØS-avtalen tett knyttet til det europeiske regelverket. Norske selskaper og forskningsmiljøer som tilbyr AI-produkter eller -tjenester i EU-markedet, vil være direkte underlagt AI Act. Det gjelder alt fra norske helseteknologi-startups til etablerte selskaper innen maritim overvåking og finans.

Fristforlengelsen gir norske aktører mer tid til å forberede seg, men smutthull-problematikken gjelder like fullt. Selskaper som velger å sette høyrisiko-systemer på markedet raskt, kan riktignok unngå de tyngste pliktene – men risikerer å bli stående med eldre, uregulerte systemer dersom markedet og kundene etterhvert etterspør AI Act-sertifiserte løsninger.

Bøtenivåene er uendret: brudd kan medføre bøter på opptil 7 prosent av global omsetning eller 35 millioner euro, avhengig av hva som er høyest.

Viktige datoer å merke seg

1. august 2024
AI Act trådte i kraft
2. februar 2025
Forbud mot visse AI-praksiser og krav om AI-kompetanse ble gjeldende
2. august 2025
Regler for generelle AI-modeller (GPAI) ble gjeldende
2. desember 2027
Ny frist for selvstendige høyrisiko-AI-systemer
2. august 2028
Ny frist for høyrisiko-AI innebygd i regulerte produkter