APREX · EST. 2026
EU-kommisjonens utkast til retningslinjer for klassifisering av høyrisiko-AI-systemer setter nå tonen for et av de mest krevende regelverksløpene europeisk næringsliv har stått overfor på teknologifeltet. For norske selskaper som utvikler eller tar i bruk AI som faller inn under EUs AI-forordning, er dette stoff det haster å sette seg inn i.
Hva er «høyrisiko» — og hvorfor er det så vanskelig å fastslå?
Kjernen i retningslinjene handler om å avklare når et AI-system faktisk er høyrisiko. Ifølge gjennomgangen av høringsprosessen, referert av Arthur Cox LLP, er dette langt fra enkelt i praksis. Det «tiltenkte formålet» med systemet er sentralt i vurderingen, og dette avhenger tungt av den konkrete brukskonteksten.
Et særlig viktig punkt er at dersom flere AI-systemer inngår i en større samlet løsning, behandles hele konfigurasjonen som ett høyrisiko-system. Det betyr at en potensiell omgåelsesstrategi — å dele opp systemer for å unngå klassifisering — nå eksplisitt er lukket.
Andre uklarheter som bransjen peker på inkluderer hva som faktisk kvalifiserer som «tilstrekkelig menneskelig tilsyn», hva slags ytelsesterskler som gjelder, og om nøyaktighetskrav må oppfylles likt på tvers av ulike brukergrupper.
Hele konfigurasjonen behandles som ett høyrisiko-system — en potensiell omgåelsesstrategi er nå eksplisitt lukket.
Pilotkontroller: Syv av ti systemer stryker
Tallene fra tidlige pilotkontroller er alvorlige. Ifølge forskningskilden viste revisjoner under AI-forordningens pilotkontroller at 71 prosent av de evaluerte høyrisiko-AI-systemene manglet forsvarlig dokumentasjon eller risikokontroller. Det er et høyt tall som antyder at mange virksomheter ennå ikke er i nærheten av å være compliant.
Tidslinje: Frister norske selskaper må merke seg
Tungt implementeringsløft venter
Bransjen peker på at det å flytte fra juridisk forståelse til praktisk etterlevelse er en enorm operasjonell utfordring. Kravene om detaljert teknisk dokumentasjon og sporbarhet gjennom hele AI-systemets livssyklus — fra design til overvåking etter markedsintroduksjon — kolliderer med den raske og iterative måten AI typisk utvikles på.
Kompliansearbeidet forventes å drive opp driftskostnader, forlenge veien til markedet og potensielt øke prisene på lovlydige AI-løsninger. Bransjen har bedt om minst tolv måneder for å implementere tekniske standarder, men fristen ser ut til å gi langt kortere tid enn det.
Stort press fra europeisk industri
I juli 2025 gikk over 45 fremtredende europeiske selskaper — blant dem Airbus, ASML, Lufthansa, Mercedes-Benz og Siemens Energy — sammen om å oppfordre EU til å sette de strengeste kravene på pause i minst to år. Begrunnelsen var vedvarende usikkerhet, regulatorisk overbelastning og frykt for svekket konkurransekraft. EU-kommisjonen har så langt ikke innvilget noen generell utsettelse, ifølge Arthur Cox LLPs gjennomgang.
I tillegg advarer bransjen mot overlapp med eksisterende regelverk som GDPR og den digitale tjenesteloven (DSA), særlig knyttet til generativ AI. Innen helsesektoren frykter aktører at motstridende krav fra medisinsk utstyrsregulering kan forsinke innføringen av AI-baserte medisinske løsninger.
Hva norske selskaper bør gjøre nå
Med 2. august 2026 som første kritiske frist er handlingsrommet begrenset. Selskaper som utvikler eller anvender AI innen områder som biometri, ansettelse, kreditt, utdanning, kritisk infrastruktur eller helsevesen, bør umiddelbart vurdere om systemene deres kvalifiserer som høyrisiko under forordningen.
De konkrete tiltakene inkluderer å etablere risikoforvaltningssystemer for hele AI-livssyklusen, sikre teknisk dokumentasjon og sporbarhet, og sette opp rutiner for menneskelig tilsyn og hendelsesrapportering. Bøtene for manglende etterlevelse er betydelige — noe som gjør at kostnaden ved å vente kan bli langt høyere enn kostnaden ved å handle nå.