Status i Norge
Hva gjelder nå, og hva er fortsatt uavklart?
Forbehold/status: AI Act er vedtatt i EU og trådte i kraft der 1. august 2024. For Norge må KI-forordningen innlemmes i EØS-avtalen og gjennomføres i norsk rett. Regjeringen har sendt forslag til KI-lov på høring og sikter mot norsk ikrafttredelse rundt hoveddelen av EUs tidslinje, men endelig status avhenger av EØS-prosessen. I tillegg er enkelte EU-frister påvirket av forenklingsforslag hvor endelig tekst ikke var publisert per 26. mai 2026.
Det betyr ikke at norske virksomheter bør vente. Kunder, konsern, offentlige anskaffelser og europeiske leverandører kommer til å etterspørre dokumentasjon før alle norske detaljer er landet. Den lavrisiko måten å forberede seg på er å gjøre jobben som uansett trengs: oversikt, klassifisering, policy, opplæring og leverandørkontroll.
Risikomodell
De fire risikonivåene i AI Act
01
Uakseptabel risiko
Praksiser som manipulerer, utnytter sårbarhet eller på andre måter er forbudt. Dette skal normalt stoppes eller avgrenses før videre bruk.
02
Høyrisiko
Bruk som kan påvirke rettigheter, sikkerhet eller tilgang til viktige tjenester, for eksempel HR, utdanning, kreditt, helse eller kritisk infrastruktur.
03
Begrenset risiko
Typisk chatboter, AI-generert innhold og systemer der mennesker må informeres tydelig om at de møter eller påvirkes av KI.
04
Minimal risiko
Vanlig intern støttebruk, for eksempel tekstutkast og oppsummeringer, men fortsatt med behov for intern policy, datakontroll og kompetanse.
Hvem påvirkes
AI Act treffer roller, ikke bare bransjer
En norsk bedrift kan være bruker av ferdige KI-verktøy, leverandør av et KI-system, importør, distributør eller en virksomhet som bygger inn KI i egne tjenester. Rollen avgjør hvilke plikter som følger med. Mange SMBer er primært brukere, men kan få tyngre ansvar hvis de tilpasser, videreutvikler eller markedsfører løsningen som sin egen.
| Situasjon | Typisk rolle | Hva bør dokumenteres |
|---|---|---|
| Ansatte bruker Copilot, ChatGPT eller tilsvarende til intern støtte | Bruker/deployer | AI-inventar, dataregler, opplæring, personvernvurdering ved behov |
| Nettsiden har chatbot mot kunder | Bruker, noen ganger leverandøransvar gjennom integrasjon | Transparens, logging, kvalitetssikring, leverandøravtale, databehandling |
| AI brukes til screening av søkere eller vurdering av ansatte | Ofte høyrisiko-bruker, avhengig av systemet | Risikoklassifisering, menneskelig tilsyn, dokumentasjon og rettighetsvurdering |
| Virksomheten bygger et AI-produkt for kunder | Leverandør/provider | Teknisk dokumentasjon, instruksjoner, test, kvalitet, endringskontroll |
Praktisk rekkefølge
Hva bør dere gjøre først?
- Lag et AI-inventar. Skriv ned hvilke verktøy som brukes, av hvem, til hvilket formål, og hvilke data som kan havne i verktøyet.
- Klassifiser brukstilfellene. Vurder hvert konkret brukstilfelle mot risikoklassene, ikke bare verktøynavnet.
- Avklar roller. Skiller dere mellom å bruke et ferdig verktøy og å tilby, tilpasse eller selge et KI-system videre?
- Sett en intern AI-policy. Forklar hva ansatte kan bruke, hva de ikke kan dele, hvem som godkjenner nye verktøy, og når personvern/sikkerhet skal inn.
- Gi AI-kompetanse. Ansatte som bruker KI må forstå risiko, begrensninger, datadeling, hallusinasjoner og menneskelig kontroll.
Les videre
AI Act-klyngen
AI Act egenvurdering
Fem spørsmål som gir foreløpig risikoklasse og PDF-rapport.
GuideRisikoklassifisering
Minimal, begrenset, høy og uakseptabel risiko med norske eksempler.
GuideArtikkel 4
Hva kravet til AI-kompetanse betyr i praksis.
MalAI-policy
Hva en intern policy bør dekke før bruken løper fra kontrollen.
ArtikkelAI-verktøy i liten bedrift
Nytte, personvern, shadow AI og praktisk styring.
TjenesteAI-rådgivning
Få hjelp med klassifisering, policy, leverandører og AI governance.
Kilder
Offisielle statuskilder
Usikker på risikoklassen?
Start med egenvurderingen. Resultatet vises direkte på skjerm, mens PDF-rapporten kan sendes på e-post hvis du ønsker dokumentasjonen.