EU-kommisjonens nylig publiserte retningslinjer for åpenhet under EU AI Act setter standarden for hvordan kunstig intelligens skal dokumenteres, merkes og overvåkes i Europa. For norske selskaper og forskere, som gjennom EØS-avtalen er tett koblet til EU-regelverket, er dette ikke et fjernt Brussel-anliggende — det er praktisk hverdag allerede nå.

Retningslinjene er foreløpig i utkastform og er gjennomgått av Inside Global Tech, som har trukket frem ti sentrale punkter fra dokumentet.

Høye kostnader for høyrisiko-systemer

Det som kanskje treffer hardest for mindre aktører, er de estimerte etterlevelseskostnadene. Ifølge tilgjengelig forskningsdata kan et enkelt høyrisiko-AI-system koste mellom 200 000 og 500 000 euro bare å sette opp i henhold til regelverkets krav. Deretter løper årlige drifts- og overvåkingskostnader på mellom 80 000 og 150 000 euro.

200 000–500 000 €
Etableringskostnad per høyrisiko-AI-system
52 000 €
Estimert gjennomsnittlig årlig etterlevelseskostnad

Kravet om robusthet og nøyaktighet er den enkeltposten som spiser mest av det årlige budsjettet. For norske oppstartsselskaper og forskningsinstitusjoner som jobber med AI, kan dette representere en reell inngangsbarriere.

EU AI Act-krav kan koste 500 000 euro per AI-system - Bilde 1

Uklare regler skaper usikkerhet

En gjennomgående bekymring blant utviklere er mangelen på konkret veiledning. Retningslinjene er på mange punkter skjønnsmessige: Hvor detaljert må dokumentasjonen av treningsdata være? Hvilke måleparametere er tilstrekkelige? Og hva skal egentlig stå i bruksanvisningen for et AI-system?

Eksperter som er sitert i forskningsgjennomganger advarer om at uklare og uspesifikke regler kan hemme innovasjon, og at den skjønnsmessige tilnærmingen — der hvert system vurderes individuelt — skaper uforutsigbarhet for aktørene.

Uklare og uspesifikke regler risikerer å hemme innovasjon fremfor å fremme ansvarlig utvikling av kunstig intelligens.

Et særlig problematisk punkt er definisjonen av hva som faktisk er et «AI-system» etter loven. Mange AI-løsninger er innebygd i eksisterende analytiske plattformer og beslutningsstøtteverktøy, noe som gjør det vanskelig å vite om de faller inn under regelverkets virkeområde. EU-kommisjonen legger opp til en helhetlig, case-by-case-vurdering — noe som gir lite forutsigbarhet.

Dokumentasjon og sporbarhet er krevende

For høyrisiko-AI-systemer krever loven detaljert teknisk dokumentasjon som dekker design, treningsdata, evalueringsmetoder og risikoreduserende tiltak. Problemet er at mange AI-utviklingsmiljøer preges av rask eksperimentering og iterativ utvikling — noe som er vanskelig å forene med grundig løpende dokumentasjon.

Dokumentasjonsplikten treffer særlig hardt i miljøer der fart og eksperimentering er kulturelt forankret.

I tillegg krever loven at risikostyring skal integreres gjennom hele AI-systemets livssyklus — fra design til avvikling. I praksis skjer mye av dagens AI-styring primært i utviklingsfasen, og synligheten inn i systemets atferd etter utrulling er ofte begrenset.

Merking kan gi «etiketttretthet»

Et annet sentralt tema i retningslinjene er merking av AI-generert innhold. Her advarer eksperter mot det som kalles «labelling fatigue» — en situasjon der brukere overøses med AI-varsler for alt fra stavekontroll til bildefiltre, og dermed slutter å legge merke til merkingen.

For å unngå dette bør merking ifølge fagmiljøene reserveres for tilfeller der det faktisk utgjør en reell forskjell for brukeren, og stå i forhold til risikonivået.

Et teknisk uløst problem er dessuten vannmerking av AI-generert innhold. Per i dag finnes ingen enkelt løsning som er både robust nok til å motstå manipulasjon og enkel nok å detektere på tvers av systemer. Retningslinjene fraråder derfor å låse seg til spesifikke tekniske krav, da disse raskt kan bli utdatert.

Hva betyr dette for norske aktører?

Norge er, gjennom EØS-avtalen, forpliktet til å implementere EU AI Act i norsk rett. Det betyr at norske selskaper som utvikler eller tar i bruk AI-systemer som klassifiseres som høyrisiko — for eksempel innen helse, finans eller kritisk infrastruktur — må forholde seg til de samme kravene som europeiske konkurrenter.

Norske aktører bør allerede nå begynne å kartlegge hvilke av sine systemer som potensielt faller inn under regelverket, og vurdere om eksisterende rammeverk for datastyring og personvern kan utvides til også å dekke AI-styringsbehovene. Det er billigere å bygge inn samsvar fra starten enn å tilpasse etterpå.

Retningslinjene er fortsatt i utkastfasen, og endelig form kan avvike fra det som nå er kjent. Norske selskaper og forskningsmiljøer bør følge prosessen nøye.