PÅ FARTEN? LYTT ELLER SE
Oppsummering
EU’s AI Act (forordning (EU) 2024/1689) er verdens første helhetlige KI-regelverk. Den regulerer KI etter risiko og innfører krav til styring, dokumentasjon, åpenhet og kontroll. For norske virksomheter betyr dette at ansvarlig KI blir et etterlevelseskrav – samtidig som Norge skal innlemme regelverket gjennom EØS og en ny KI-lov.
GDPR forsvinner ikke: AI Act kommer i tillegg og skaper et nytt «to-spors» compliance-bilde der både data og modeller må håndteres riktig.
1. Hva er AI Act – og hva regulerer den?
AI Act fastsetter harmoniserte regler for kunstig intelligens i EU/EØS. Den bygger på en risikobasert tilnærming: enkelte KI-praksiser blir forbudt, mens KI som påvirker helse, sikkerhet eller grunnleggende rettigheter kan bli klassifisert som høyrisiko og underlagt strenge krav til styring og dokumentasjon [1].Forordningen er vedtatt som (EU) 2024/1689 og er publisert og omtalt gjennom autoritative EU/EØS-kilder [1].
2. Tidslinje: ikrafttredelse, innfasing og Norge
AI Act trådte i kraft i EU 1. august 2024 og innføres trinnvis [2]. EU-kommisjonen beskriver at reglene for general-purpose AI (GPAI) skal gjelde 12 måneder etter ikrafttredelse [3]. Det øvrige regimet fases inn videre fram mot 2026/2027, avhengig av systemtype og plikter [4].I Norge er gjennomføring under arbeid. Regjeringen har sendt forslag til ny KI-lov på høring for å innlemme AI Act i norsk rett [5].
3. Roller og ansvar: provider, deployer, importør og distributør
AI Act skiller tydelig mellom aktører i verdikjeden. Dette er avgjørende for norske virksomheter som “bare kjøper et verktøy”:- Provider: utvikler/leverandør av KI-systemet.
- Deployer: virksomheten som tar KI i bruk (idriftssetter i egen kontekst).
- Importør/distributør: mellomledd som omsetter systemer i markedet.
Poenget i praksis: også deployer (brukeren) har plikter. Compliance kan ikke outsources fullstendig til leverandøren – spesielt ikke når KI brukes i prosesser som påvirker mennesker (HR, kreditt, helse, offentlig tjeneste).
4. Risikomodellen: hva du må forstå (kort)
AI Act deler KI inn i fire risikonivåer: uakseptabel risiko (forbudt), høyrisiko (tillatt med strenge krav), begrenset risiko (åpenhetskrav), og minimal risiko (få særkrav) [4]. For dypere gjennomgang av hva som typisk havner i høyrisiko, se artikkelen om risikonivå.5. GPAI og generativ KI: hvorfor dette angår innkjøp og styring
AI Act innfører egne regler for general-purpose AI (GPAI) – modeller som kan brukes på tvers av formål og ofte utgjør kjernen i generativ KI. EU-kommisjonen peker på at GPAI-bestemmelser skal gjelde 12 måneder etter ikrafttredelse, og knytter dette til oppfølging fra AI Office og en Code of Practice [3].Dette påvirker særlig:
- Innkjøp og leverandørstyring: krav om bedre oversikt over hvilke modeller som brukes og hvilke forpliktelser som følger.
- Intern bruk: generativ KI må inn i policy, opplæring og risikostyring – særlig der den brukes i kundedialog, beslutningsstøtte eller dokumentproduksjon.
6. AI Act og GDPR: hva reguleres hvor?
AI Act erstatter ikke GDPR. GDPR regulerer behandling av personopplysninger. AI Act regulerer KI-systemer og deres risiko, styring og kontroll. I praksis møter virksomheter et to-spors regime:- GDPR (data): rettslig grunnlag, dataminimering, informasjonssikkerhet, databehandleravtaler, og ved behov DPIA (personvernkonsekvensvurdering).
- AI Act (system): risikoklassifisering, krav til dokumentasjon, kontrollspor, menneskelig kontroll, og ved høyrisiko: systematiske krav til styringssystem og kontroller.
Datatilsynet har i sin høringsuttalelse understreket behovet for tydelig og helhetlig gjennomføring, og peker på viktige avklaringer knyttet til myndighetsroller og håndheving [6].
7. Norge/EØS: lovprosess og mulig tilsynsmodell
Norge må innlemme AI Act gjennom EØS og nasjonal lov. DFØ har vurdert organisering av håndheving og anbefaler at Nkom blir nasjonalt kontaktpunkt og koordinerende tilsynsorgan, med samarbeid mellom Nkom, Digdir og Datatilsynet, inkludert arbeid med sandkasse/veiledning [7].8. Ledergrep som gir kontroll og skalerbar verdi
Hvis du vil lykkes med ansvarlig KI og samtidig hente målbar verdi, er disse grepene de mest effektive:- 1) Etabler KI-register: hvilke verktøy/modeller brukes, til hvilke formål, med hvilke data og leverandører.
- 2) Klassifiser risiko tidlig: start konservativt der mennesker påvirkes, og avklar høyrisiko-kandidater.
- 3) Sett governance før skalering: eierskap, policy, opplæring, leverandørkrav og kontrollspor.
Dette er også en svært effektiv workshop-struktur: oversikt → risikologikk → beslutninger og styring → målbar gevinstplan.
Referanser
- Europalov. KI-forordningen om europeisk regelverk for kunstig intelligens (EU) 2024/1689. europalov.no
- European Commission. AI Act enters into force (1 August 2024). commission.europa.eu
- European Commission. Ikrafttredelse og omtale av GPAI-bestemmelser (12 måneder etter ikrafttredelse). commission.europa.eu
- Future of Life Institute. AI Act Explorer / oversikt over struktur og innfasing. artificialintelligenceact.eu
- Regjeringen.no. Høring: utkast til ny lov om kunstig intelligens (KI-loven). regjeringen.no
- Datatilsynet. Høringsuttalelse – forslag til ny lov om kunstig intelligens (KI-loven) (PDF). datatilsynet.no
- DFØ. Nkom anbefales som nasjonalt kontaktpunkt og koordinerende tilsynsorgan. dfo.no