EU har gjort betydelige endringer i sin kunstige intelligens-forordning, kjent som AI Act. Gjennom det som kalles «Digital Omnibus on AI» ble det 7. mai 2026 nådd en foreløpig politisk enighet om en pakke med justeringer som utsetter frister, tydeliggjør definisjoner og innfører nye bestemmelser rundt bruk av sensitive data. For norske selskaper som leverer til eller opererer i EU-markedet, er endringene høyst relevante.

To kategorier, to nye frister

AI-forordningen opererer med to hovedkategorier av høyrisiko-KI-systemer. Den første, kalt Anneks III, dekker bruksbasert høyrisiko — altså KI brukt i rekruttering, kredittscoring, biometrisk identifikasjon, rettshåndhevelse og utdanningsopptak. Fristen for å oppfylle forpliktelsene her er nå utsatt fra 2. august 2026 til 2. desember 2027, ifølge research basert på avtalen.

Den andre kategorien, Anneks I, gjelder KI-systemer som er innebygd i regulerte produkter — som medisinsk utstyr, maskiner, leketøy og radioutstyr. Her flyttes fristen fra august 2027 til august 2028, en utsettelse på ett år.

Et viktig unntak: Systemer som allerede er plassert på EU-markedet før de respektive fristdatoene, slipper kravene — med mindre de gjennomgår vesentlige endringer i ettertid.

16 mnd
Utsettelse for Anneks III-systemer
12 mnd
Utsettelse for Anneks I-systemer

Kjerneforpliktelsene består

Til tross for fristutsettelsene er det viktig å understreke at de grunnleggende kravene til leverandører av høyrisiko-KI-systemer ikke er fjernet. Selskaper som faller inn under regelverket må fremdeles etablere systemer for risikostyring, sikre høy datakvalitet i treningsdatasett, utarbeide teknisk dokumentasjon og sørge for at det finnes mekanismer for menneskelig tilsyn. I tillegg kreves det CE-merking, registrering i EUs database og et kvalitetsstyringssystem.

Lettelsene handler om tid, ikke om å slippe unna kravene

Nye veiledere og presiseringer

EU-kommisjonen publiserte 19. mai 2026 utkast til veiledere som skal gjøre det enklere for selskaper å avgjøre om deres KI-systemer faktisk kvalifiserer som høyrisiko. Veilederen inneholder konkrete eksempler på systemer som faller innenfor og utenfor definisjonene, noe som har vært etterspurt siden det opprinnelige regelverket ble vedtatt.

Bland de mer spesifikke endringene er en omklassifisering av maskindirektivet ((EU) 2023/1230), som flyttes fra Anneks I seksjon A til seksjon B. Det innebærer at KI-aktiverte maskiner i større grad reguleres av sektortilpasset lovgivning, fremfor et parallelt dobbelt krav fra både AI-forordningen og eksisterende sikkerhetsregelverk.

For norske teknologibedrifter som selger inn i EU er dette ikke et fritak — det er et vindu som bør brukes til faktisk forberedelse

Utvidet adgang til sensitive data

En ny artikkel 4a åpner for at sensitive personopplysninger — i AI-forordningens terminologi kalt «spesialkategorier» — kan benyttes til å oppdage og korrigere skjevheter i KI-modeller. Adgangen er imidlertid snever: den gjelder kun unntaksvis, og bare når det er strengt nødvendig og ikke mulig å oppnå samme resultat med alternative data. Strenge sikkerhetskrav følger med.

Hva betyr dette for norske virksomheter?

Norge er gjennom EØS-avtalen tilknyttet EUs indre marked og er ventet å implementere AI-forordningen i norsk rett. Det betyr at norske virksomheter som tilbyr KI-løsninger i EU — eller bruker slike systemer i høyrisikokontekster — vil måtte forholde seg til det reviderte regelverket.

Fristutsettelsen gir mer tid, men compliance-eksperter advarer mot å tolke det som et signal om at arbeidet kan utsettes. De grunnleggende kravene til dokumentasjon, risikostyring og menneskelig tilsyn er krevende å implementere, og selskaper som venter til fristen nærmer seg risikerer å havne i tidsnød.

Kilden til denne artikkelen er Let's Data Science sin omtale av den reviderte AI-forordningen, supplert med mer detaljert research om de konkrete regelendringene som fulgte av Digital Omnibus-avtalen fra mai 2026.