De fleste norske bedrifter er ikke klar over det: fra 2. august 2025 stiller KI-forordningens Artikkel 4 krav til at alle ansatte som bruker KI-systemer har tilstrekkelig kompetanse. Kravet gjelder allerede i EU. I Norge gjelder det formelt fra sensommeren 2026, men for virksomheter som opererer i europeisk marked gjelder det nå.
Her forklarer vi hva Artikkel 4 faktisk sier, hvem som er forpliktet, hva «tilstrekkelig kompetanse» betyr i praksis, og hva du må gjøre for å oppfylle kravet.
Hva sier Artikkel 4, ordrett?
Artikkel 4 i forordning (EU) 2024/1689 lyder i uoffisiell norsk oversettelse:
«Leverandører og idriftsettere av KI-systemer skal treffe tiltak for å sikre, i størst mulig grad, et tilstrekkelig nivå av KI-kompetanse blant sitt personell og andre personer som håndterer drift og bruk av KI-systemer på deres vegne, med hensyn til deres tekniske kunnskap, erfaring, utdannelse og opplæring og konteksten KI-systemene er ment å brukes i, og med hensyn til de personene eller gruppene av personer som KI-systemene er ment å brukes på.»
Tre ting er viktig å merke seg i ordlyden:
«Leverandører og idriftsettere»: kravet gjelder begge. Du trenger ikke å ha laget KI-systemet. Det holder at du bruker det profesjonelt.
«I størst mulig grad»: dette er en innsatsforpliktelse, ikke et absolutt krav om perfekt kompetanse hos alle. Men plikten til å treffe tiltak er reell, og myndighetene vil vurdere hva som er rimelig å forvente av virksomheten.
«Med hensyn til kontekst og brukergruppe»: opplæringen skal tilpasses. En regnskapsfører som bruker KI til bokføring trenger annen kunnskap enn en lege som bruker KI til diagnostikk.
Hvem er forpliktet, og er din bedrift det?
En idriftsetter er etter forordningens artikkel 3 nr. 4 «enhver fysisk eller juridisk person, herunder offentlig myndighet, byrå eller annet organ, som bruker et KI-system under sin myndighet, bortsett fra i personlig ikke-yrkesmessig bruk».
Med andre ord: bruker bedriften KI til profesjonelle formål? Da er dere idriftsetter. Det er ingen krav til størrelse, bransje eller teknisk kompetanse.
Eksempler på KI-systemer som gjør din bedrift til idriftsetter
| KI-verktøy | Eksempel på bruk | Idriftsetter? |
|---|---|---|
| Microsoft Copilot | Skrive e-poster, sammendrag i Teams | Ja |
| ChatGPT / ChatGPT Enterprise | Tekstproduksjon, analyse | Ja |
| GitHub Copilot | Kodegenerering | Ja |
| Google Gemini | Søk, teksthjelp i Workspace | Ja |
| Grammarly Business | Korrektur og skrivestøtte | Ja |
| HubSpot AI / Salesforce Einstein | CRM-prediksjoner, e-postautomatisering | Ja |
| Claude (Anthropic) | Analyse, tekstarbeid | Ja |
| KI-funksjoner i HR-systemer | Kandidatscreening, vurderinger | Ja (potensielt høyrisiko) |
Dersom ansatte bruker gratis verktøy som ChatGPT uten at ledelsen vet om det, såkalt «skygge-KI», er bedriften likevel idriftsetter for den bruken. Kartlegging av faktisk KI-bruk er derfor første steg.
Hva betyr «tilstrekkelig KI-kompetanse»?
Forordningens fortalepunkt 20 utdyper hva KI-kompetanse (AI literacy) innebærer. Det dreier seg ikke bare om å vite at KI finnes. Det er en konkret kompetanseprofil med seks kjerneområder:
1. Teknisk grunnkunnskap
Ansatte skal forstå hva et KI-system er: at det er maskinbasert, at det opererer med en grad av autonomi, at det kan tilpasse seg etter bruk, og at det genererer utdata basert på inndata.
De trenger ikke forstå koden bak, men de bør forstå at et KI-system ikke er et søkeverktøy med faste svar, men et system som genererer svar basert på mønstre i treningsdata.
2. Riktig tolkning av KI-utdata
KI-systemer kan produsere overbevisende, men feil informasjon. Det kalles «hallusinering». Ansatte skal vite at utdata ikke er fakta inntil det er verifisert. De skal forstå at KI kan presentere usant innhold med like stor selvtillit som sant innhold.
3. Kunnskap om begrensninger og risikoer
KI-systemer kan ha skjevhet (bias) i treningsdata som gir diskriminerende utdata. De kan ha foreldede kunnskaper (KPT-øyeblikk). De kan misforstå kontekst og instruksjoner. Ansatte skal kjenne til disse svakhetene slik at de kan oppdage dem i praksis.
4. Personvern og datasikkerhet (GDPR-kobling)
Mange KI-tjenester er skytjenester der data lastes opp til ekstern server. Ansatte skal forstå at sensitive personopplysninger, forretningshemmeligheter og konfidensielle kundedata ikke bør legges inn i offentlige KI-tjenester uten at det er kontrollert opp mot bedriftens databehandleravtaler og GDPR-forpliktelser.
5. Menneskelig tilsyn og kontroll
Ansatte skal ikke blindt følge KI-utdata. De skal vite at de har ansvar for det endelige resultatet, at KI er et hjelpeverktøy og ikke en beslutningstaker. Dette gjelder særlig i situasjoner der KI brukes til å støtte beslutninger som påvirker andre mennesker.
6. Kunnskap om regelverket
Ansatte bør ha grunnleggende kjennskap til at KI-forordningen finnes, hva den krever av bedriften, og hva de selv er ansvarlige for.
Er kravet det samme for alle ansatte?
Nei. Forordningen er eksplisitt på at opplæringen skal tilpasses den ansattes rolle, bakgrunn og hvilke KI-systemer som brukes:
- En sekretær som bruker Copilot til å skrive møtereferater trenger grunnleggende AI literacy
- En rekrutterer som bruker KI til å rangere jobbsøkere har høyere risiko og trenger mer inngående opplæring, særlig om bias og diskriminering
- En leder som godkjenner beslutninger basert på KI-anbefalinger trenger kunnskap om menneskelig tilsyn og ansvarsplassering
- En IT-ansvarlig som forvalter KI-verktøy trenger teknisk og juridisk dybdekunnskap
Et godt kurs dekker kjernen for alle ansatte og gir mulighet for fordypning for de med høyrisiko-bruk.
Hvem beslutter hva som er «tilstrekkelig»?
I Norge er Nkom (Nasjonal kommunikasjonsmyndighet) utpekt som koordinerende markedstilsynsmyndighet. Det er de som i praksis vil vurdere om en virksomhet har gjort nok.
EU-kommisjonen har publisert en eksempelsamling (Repository of AI literacy practices) med konkrete eksempler på hva som anses som gode kompetansehevingstiltak for ulike typer virksomheter. Eksempelsamlingen er tilgjengelig på EU-kommisjonens nettsted.
Forordningen åpner for at tilsynsmyndigheten utøver skjønn og tar hensyn til virksomhetens størrelse og ressurser. En liten bedrift med ti ansatte som alle bruker Copilot til intern tekstproduksjon vil ikke bli vurdert etter samme standard som en stor bank som bruker KI i kredittvurdering.
Det proporsjonalitetsprinsippet betyr likevel ikke at kravet kan ignoreres. Det betyr at kravets omfang og dybde skaleres med risikoen og virksomhetens størrelse.
Hva skjer om vi ikke oppfyller kravet?
Brudd på krav til idriftsettere av KI-systemer kan gi bøter på inntil 15 millioner euro eller 3 % av virksomhetens globale årsomsetning, avhengig av hva som gir høyest beløp.
I tillegg kommer potensielle omdømmemessige konsekvenser: dersom en ansatt tar en beslutning basert på feil KI-utdata og dette fører til skade på en tredjepart, vil dokumentert mangel på opplæring svekke virksomhetens forsvar. Det er langt vanskeligere å argumentere for at «vi visste ikke bedre» dersom det finnes et eksplisitt lovkrav om opplæring.
Hva betyr dette for norske bedrifter nå?
Selv om norsk KI-lov formelt trer i kraft sensommeren 2026, har kravet vært gjeldende i EU siden august 2025. Norske virksomheter som opererer i europeisk marked, som samarbeider med europeiske partnere, eller som benytter KI-systemer fra europeiske leverandører, bør allerede nå:
- Kartlegge hvilke KI-verktøy som brukes i virksomheten
- Identifisere hvem som bruker KI og til hvilke formål
- Gjennomføre KI-opplæring for alle berørte ansatte
- Dokumentere at opplæring er gjennomført, hvem, hva og når
- Oppdatere rutinene når nye KI-verktøy tas i bruk
Hva bør et godkjent KI-kompetansekurs inneholde?
Basert på forordningens fortalepunkt 20 og EU-kommisjonens eksempelsamling bør et minimumskurs for ansatte dekke:
- Hva er KI? Definisjon, kjennetegn, ulike typer KI-systemer
- KI-forordningen. Hva er den, hvem gjelder den for, hva krever den
- Risikoklassifisering. Hva slags KI-systemer bruker vår bedrift, og hvilken risikokategori tilhører de?
- Riktig bruk. Hva er KI godt for, og hva bør man ikke bruke det til?
- Hallusinering og bias. Hva er det, og hvordan oppdager du det?
- Personvern og datasikkerhet. Hva skal og bør ikke legges inn i KI-verktøy?
- Menneskelig tilsyn. Hvem har det siste ansvaret, og hvordan utøves det?
- Bedriftens KI-policy. Hvilke verktøy er godkjent, og hva er reglene?
Kurset bør avsluttes med en enkel test eller bekreftelse på gjennomføring, og dette bør dokumenteres.
Oppsummering
Artikkel 4 i KI-forordningen er den viktigste bestemmelsen for de fleste norske bedrifter:
- Kravet gjelder alle idriftsettere, altså alle virksomheter som bruker KI profesjonelt
- Det trådte i kraft i EU 2. august 2025
- Kompetansen skal tilpasses den ansattes rolle og bruken av KI
- Virksomheten må kunne dokumentere at kravet er oppfylt
- Manglende etterlevelse kan gi bøter på inntil 3 % av global omsetning
Komplai er bygget spesifikt for å løse Artikkel 4-kravet: ett ferdig kurs, enkel utrulling til alle ansatte per e-post, og automatisk dokumentasjon du kan vise til tilsynsmyndighetene.
→ Se hva som kreves steg for steg → Bruker dere Microsoft Copilot? Les dette → Tilbake til full KI-forordnings-guide
Kildegrunnlag: Forordning (EU) 2024/1689, artikkel 4 og fortalepunkt 20; Uoffisiell norsk oversettelse av KI-forordningen (Regjeringen.no); Høringsnotat fra DFD (2025); HK-dir rapport nr. 04/2026, KI-forordningen kort fortalt.