AI Act / KI-forordningen

AI Act i Norge: hva bedrifter må forstå først

Sist oppdatert: juni 2026 · 9 min lesetid

AI Act er ikke et generelt forbud mot kunstig intelligens. Det er et risikobasert regelverk som skiller mellom forbudt praksis, høyrisiko, begrenset risiko og minimal risiko. For norske virksomheter er den praktiske jobben å vite hvilke KI-systemer som brukes, hvilken rolle virksomheten har, og hvor hvert brukstilfelle havner.

Status i Norge

Hva gjelder nå, og hva er fortsatt uavklart?

Forbehold/status: AI Act er vedtatt i EU og trådte i kraft der 1. august 2024. For Norge må KI-forordningen innlemmes i EØS-avtalen og gjennomføres i norsk rett. Regjeringen har sendt forslag til KI-lov på høring og sikter mot norsk ikrafttredelse rundt hoveddelen av EUs tidslinje, men endelig status avhenger av EØS-prosessen. I tillegg er enkelte EU-frister påvirket av forenklingsforslag hvor endelig tekst ikke var publisert per 26. mai 2026.

Det betyr ikke at norske virksomheter bør vente. Kunder, konsern, offentlige anskaffelser og europeiske leverandører kommer til å etterspørre dokumentasjon før alle norske detaljer er landet. Den lavrisiko måten å forberede seg på er å gjøre jobben som uansett trengs: oversikt, klassifisering, policy, opplæring og leverandørkontroll.

Risikomodell

De fire risikonivåene i AI Act

01

Uakseptabel risiko

Praksiser som manipulerer, utnytter sårbarhet eller på andre måter er forbudt. Dette skal normalt stoppes eller avgrenses før videre bruk.

02

Høyrisiko

Bruk som kan påvirke rettigheter, sikkerhet eller tilgang til viktige tjenester, for eksempel HR, utdanning, kreditt, helse eller kritisk infrastruktur.

03

Begrenset risiko

Typisk chatboter, AI-generert innhold og systemer der mennesker må informeres tydelig om at de møter eller påvirkes av KI.

04

Minimal risiko

Vanlig intern støttebruk, for eksempel tekstutkast og oppsummeringer, men fortsatt med behov for intern policy, datakontroll og kompetanse.

Hvem påvirkes

AI Act treffer roller, ikke bare bransjer

En norsk bedrift kan være bruker av ferdige KI-verktøy, leverandør av et KI-system, importør, distributør eller en virksomhet som bygger inn KI i egne tjenester. Rollen avgjør hvilke plikter som følger med. Mange SMBer er primært brukere, men kan få tyngre ansvar hvis de tilpasser, videreutvikler eller markedsfører løsningen som sin egen.

Situasjon Typisk rolle Hva bør dokumenteres
Ansatte bruker Copilot, ChatGPT eller tilsvarende til intern støtte Bruker/deployer AI-inventar, dataregler, opplæring, personvernvurdering ved behov
Nettsiden har chatbot mot kunder Bruker, noen ganger leverandøransvar gjennom integrasjon Transparens, logging, kvalitetssikring, leverandøravtale, databehandling
AI brukes til screening av søkere eller vurdering av ansatte Ofte høyrisiko-bruker, avhengig av systemet Risikoklassifisering, menneskelig tilsyn, dokumentasjon og rettighetsvurdering
Virksomheten bygger et AI-produkt for kunder Leverandør/provider Teknisk dokumentasjon, instruksjoner, test, kvalitet, endringskontroll

Praktisk rekkefølge

Hva bør dere gjøre først?

  1. Lag et AI-inventar. Skriv ned hvilke verktøy som brukes, av hvem, til hvilket formål, og hvilke data som kan havne i verktøyet.
  2. Klassifiser brukstilfellene. Vurder hvert konkret brukstilfelle mot risikoklassene, ikke bare verktøynavnet.
  3. Avklar roller. Skiller dere mellom å bruke et ferdig verktøy og å tilby, tilpasse eller selge et KI-system videre?
  4. Sett en intern AI-policy. Forklar hva ansatte kan bruke, hva de ikke kan dele, hvem som godkjenner nye verktøy, og når personvern/sikkerhet skal inn.
  5. Gi AI-kompetanse. Ansatte som bruker KI må forstå risiko, begrensninger, datadeling, hallusinasjoner og menneskelig kontroll.

Les videre

AI Act-klyngen

Kilder

Offisielle statuskilder

Usikker på risikoklassen?

Start med egenvurderingen. Resultatet vises direkte på skjerm, mens PDF-rapporten kan sendes på e-post hvis du ønsker dokumentasjonen.

Ta egenvurderingen