APREX · EST. 2026Direkte svar
Et KI-system regnes som høyrisiko etter EUs KI-forordning dersom det enten er en sikkerhetskomponent i et allerede regulert produkt (vedlegg I), eller brukes på ett av de bestemte områdene i vedlegg III — som rekruttering, utdanning, kredittvurdering, kritisk infrastruktur, rettshåndhevelse og migrasjon. Høyrisiko-systemer må ha risikostyring, datakvalitet, dokumentasjon, logging, menneskelig tilsyn og sikkerhet, og må gjennom samsvarsvurdering og CE-merking før de tas i bruk.
Hva regnes som høyrisiko-AI?
Forordningen bruker en risikobasert modell med fire nivåer: forbudt, høy risiko, begrenset risiko og minimal risiko. Høyrisiko peker ut to hovedveier. Den første gjelder KI som er sikkerhetskomponent i produkter som allerede er regulert (vedlegg I), for eksempel medisinsk utstyr og maskiner. Den andre gjelder frittstående systemer i bruksområdene under (vedlegg III):
Biometri
Biometrisk fjernidentifisering, biometrisk kategorisering og følelsesgjenkjenning, i den grad slik bruk er tillatt etter forordningen.
Kritisk infrastruktur
KI brukt som sikkerhetskomponent i drift av kritisk digital infrastruktur, veitrafikk, vann, gass, varme og strøm.
Utdanning og yrkesopplæring
Systemer som styrer opptak, vurderer læringsutbytte eller overvåker prøver og eksamen.
Sysselsetting og arbeidsliv
Verktøy for rekruttering, utvelgelse, forfremmelse, oppsigelse og oppgavefordeling, samt overvåking av ytelse.
Viktige private og offentlige tjenester
Kredittvurdering og kredittscoring, risikovurdering og prising i liv- og helseforsikring, prioritering i nødetater og vurdering av rett til velferdsytelser.
Rettshåndhevelse
KI som vurderer risiko, troverdighet eller bevis i politiarbeid og strafferettspleie, der bruken er tillatt.
Migrasjon, asyl og grensekontroll
Systemer som vurderer søknader, risiko eller dokumentasjon i innvandrings-, asyl- og grensekontrollprosesser.
Rettspleie og demokratiske prosesser
KI som bistår domstoler i å tolke fakta og rett, eller som kan påvirke valg og velgeratferd.
Et system i vedlegg III regnes likevel ikke automatisk som høyrisiko dersom det bare utfører en snever, forberedende oppgave og ikke påvirker en beslutning vesentlig. Vurderingen må gjøres konkret for hvert system.
Krav til høyrisiko-systemer
Leverandøren av et høyrisiko-system har hovedansvaret for at kravene er oppfylt. De viktigste pliktene er:
- Risikostyringssystem gjennom hele systemets livsløp.
- Datakvalitet og datastyring for trenings-, validerings- og testdata.
- Teknisk dokumentasjon som viser at kravene er oppfylt.
- Automatisk logging av hendelser for sporbarhet.
- Åpenhet og tydelig informasjon til den som tar systemet i bruk.
- Menneskelig tilsyn som gjør det mulig å forstå, overstyre og stoppe systemet.
- Tilstrekkelig nøyaktighet, robusthet og cybersikkerhet.
- Samsvarsvurdering, CE-merking og registrering i EUs database før systemet tas i bruk.
Roller: leverandør og bruker
Forordningen skiller mellom leverandøren (provider), som utvikler eller markedsfører systemet, og brukeren (deployer), som tar det i bruk i egen virksomhet. Leverandøren bærer de tyngste kravene, mens brukeren blant annet må følge bruksanvisningen, sørge for menneskelig tilsyn og overvåke driften. Norske virksomheter som tar i bruk et høyrisiko-system fra en ekstern leverandør er typisk brukere.
Status i Norge
KI-forordningen er EØS-relevant, men er foreløpig ikke innlemmet i EØS-avtalen, og gjelder derfor ikke direkte som norsk lov ennå. Regjeringen har sendt forslag til norsk lov om kunstig intelligens på høring, og Nkom er utpekt som samordnende tilsynsmyndighet. Datatilsynet har ansvar for personvernregelverket, som gjelder uavhengig av AI Act. Virksomheter bør følge status hos regjeringen og Nkom før de gjør bindende vurderinger.
Offisielle kilder
Kildene under er offisielle eller myndighetsnære primærkilder for selve forordningsteksten, EU-kommisjonens veiledning og norsk gjennomføring.
- EUR-Lex: Regulation (EU) 2024/1689 (AI Act) — artikkel 6 og vedlegg III
- EU-kommisjonen: Regulatory framework on AI
- EU-kommisjonen: High-level summary of the AI Act
- Regjeringen: Lov om kunstig intelligens i Norge sendes på høring
- Nkom: KI-forordningen og norsk rett
- Datatilsynet: Kunstig intelligens
FAQ
Hva er høyrisiko-AI?
Høyrisiko-AI er KI-systemer som etter EUs KI-forordning kan ha vesentlig betydning for personers helse, sikkerhet eller grunnleggende rettigheter. Forordningen peker ut to hovedveier: systemer som er sikkerhetskomponenter i allerede regulerte produkter (vedlegg I), og frittstående systemer i bestemte bruksområder (vedlegg III), som rekruttering, utdanning, kredittvurdering og rettshåndhevelse.
Hvilke krav gjelder for høyrisiko-systemer?
Leverandører må blant annet ha et risikostyringssystem, god datakvalitet og datastyring, teknisk dokumentasjon, logging, menneskelig tilsyn, og tilstrekkelig nøyaktighet, robusthet og cybersikkerhet. Systemet må gjennom en samsvarsvurdering, CE-merkes og registreres i EUs database før det tas i bruk.
Er ikke alt KI da høyrisiko?
Nei. De fleste alminnelige KI-verktøy er minimal eller begrenset risiko. Høyrisiko er en avgrenset kategori knyttet til bestemte bruksområder og konsekvenser. Et system i vedlegg III regnes likevel ikke alltid som høyrisiko dersom det kun utfører en snever forberedende oppgave uten å påvirke beslutninger vesentlig.
Gjelder reglene om høyrisiko-AI i Norge nå?
KI-forordningen er EØS-relevant, men er foreløpig ikke innlemmet i EØS-avtalen og gjelder derfor ikke direkte som norsk lov ennå. Regjeringen har sendt forslag til norsk lov om kunstig intelligens på høring, og Nkom er utpekt som samordnende tilsynsmyndighet. GDPR gjelder uansett allerede.