Klokken tikker for norske virksomheter. Om knapt to måneder — nærmere bestemt 2. august 2026 — trer de første fullvirkende kravene i EUs forordning om kunstig intelligens (EU AI Act) i kraft, og norske selskaper er ikke unntatt. Gjennom EØS-avtalen er Norge forpliktet til å implementere regelverket, og forberedelsestiden er i ferd med å renne ut.

Hva loven faktisk krever

EU AI Act bygger på en risikobasert modell der AI-systemer deles inn i fire kategorier: uakseptabel, høy, begrenset og minimal risiko. Jo høyere risiko, jo strengere krav. For systemer i høyrisikokategorien — som brukes innen blant annet helse, finans og transport — kreves omfattende teknisk dokumentasjon, risikovurderinger, intern kontroll og sporbarhet.

Norske virksomheter må dessuten skaffe seg full oversikt over alle AI-løsninger de benytter, leverandørene bak disse og hvilke data systemene er avhengige av. Det er ikke lenger tilstrekkelig å kjøpe en tjeneste og ta den i bruk uten videre.

Sju uker til AI-loven smeller: Norske bedrifter risikerer 35 millioner euro - Bilde 1

Kostnadene bekymrer særlig SMB-er

For store konserner er byrden betydelig, men håndterbar. For små og mellomstore bedrifter kan den bli knusende. Ifølge tilgjengelig forskning kan årlige etterlevingskostnader for SMB-er ligge mellom 50 000 og 500 000 euro. Oppstartsbedrifter som utvikler høyrisiko-AI-systemer kan måtte bruke én til to heltidsansatte utelukkende på regelverksetterlevelse.

De initiale juridiske vurderingene for en oppstartsbedrift med ett høyrisikosystem kan alene koste mellom 15 000 og 50 000 euro — og totale førstårskostnader kan nå 250 000 euro. For større organisasjoner snakkes det om programmer som fort overstiger én million dollar årlig.

€35 mill.
Maks. bot per brudd
7 %
Maks. andel av global omsetning

Norske tilsynsmyndigheter er på plass

Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) er utpekt som Norges primære tilsynsorganer under det nye regelverket. Nkom har rollen som nasjonal koordinerende myndighet for AI Act, mens Datatilsynet tar seg av grenseflaten mot personvernregelverket — en grenseflate som er stor, ettersom svært mange AI-systemer behandler personopplysninger.

Norsk Akkreditering vil fungere som nasjonalt akkrediteringsorgan for AI-systemer som krever ekstern revisjon. Slike revisjoner kan i seg selv koste mellom 20 000 og 80 000 euro per system, ifølge tilgjengelige anslag.

Mange norske virksomheter har ikke full oversikt over hvilke AI-systemer de faktisk bruker — og det er akkurat der loven begynner.

KI-Norge og Digdir tilbyr veiledning

På myndighetssiden er det etablert støttestrukturer. KI-Norge, som er organisert under Digitaliseringsdirektoratet (Digdir), fungerer som et nasjonalt knutepunkt for ansvarlig AI-utvikling og tilbyr blant annet en AI-sandkasse der bedrifter kan teste og utvikle systemer i et kontrollert miljø uten å risikere umiddelbare sanksjoner.

Bransjeorganisasjoner som Abelia og Tek Norge støtter innføringen av regelverket og understreker viktigheten av at norsk lovgivning harmoniseres med EU-reglene — blant annet for å sikre markedsadgang. Begge organisasjoner har imidlertid vært tydelige på at tilsynsmyndighetene må prioritere veiledning fremfor straff i en tidlig fase.

Overlapping med GDPR kompliserer bildet

En ekstra kompliserende faktor for norske virksomheter er at AI Act ikke opererer i et vakuum. Personopplysningsloven, som gjennomfører GDPR i norsk rett, legger allerede strenge bånd på behandling av persondata. Når AI-systemer — som de fleste gjør — bruker personopplysninger, oppstår det et dobbelt regelverk som begge sett av tilsynsmyndigheter kan håndheve.

For selskaper som bruker skyinfrastruktur utenfor EØS, kommer i tillegg dataoverføringsreglene inn i bildet, noe som kan medføre betydelige arkitektur- og etterlevingskostnader.

Med sju uker igjen er det ikke lenger tid til å «avvente og se» — det er tid for å kartlegge, prioritere og handle.

Hva bør norske virksomheter gjøre nå?

Eksperter anbefaler at norske virksomheter starter med en systematisk kartlegging av alle AI-systemer i bruk — inkludert systemer kjøpt fra tredjepartsleverandører. Deretter må systemene risikoklassifiseres etter AI Act-modellen, og tiltak prioriteres ut fra risikoprofil.

For de som allerede har kommet i gang, handler den gjenstående tiden om å fullføre dokumentasjon og etablere internkontrollrutiner. For de som ikke har begynt, er rådet å søke ekstern juridisk og teknisk bistand umiddelbart — og ta kontakt med Datatilsynet eller Nkom for veiledning.