EUs KI-forordning er det mest omfattende regelverket for kunstig intelligens i verden. Det gjelder alle som bruker KI i en profesjonell sammenheng, og det inkluderer de fleste norske bedrifter. Allerede fra august 2025 stilles det krav til at ansatte har tilstrekkelig KI-kompetanse. Fra sensommeren 2026 er norsk KI-lov forventet vedtatt.
Denne guiden forklarer hva forordningen er, hvem den gjelder for, hvilke krav som stilles, og hva du konkret må gjøre.
Hva er KI-forordningen?
KI-forordningen, formelt kalt Regulation (EU) 2024/1689 eller AI Act på engelsk, er EUs harmoniserte regelverk for kunstig intelligens. Den ble vedtatt av Europaparlamentet og Rådet 13. juni 2024 og publisert i EUs lovbok 12. juli 2024.
Forordningen trådte i kraft i EU 1. august 2024, men ikrafttredelsen av de ulike delene skjer gradvis. Forordningen er EØS-relevant og skal gjennomføres i norsk rett gjennom en ny lov om kunstig intelligens (KI-loven). Digitaliserings- og forvaltningsdepartementet (DFD) sendte forslaget på høring sommeren 2025, og norsk KI-lov er forventet vedtatt av Stortinget sensommeren 2026.
Hva er formålet?
KI-forordningen har fire overordnede mål:
- Forbedre det indre markedet. Et felles regelverk hindrer at EU-landene lager 27 ulike nasjonale regelverk som fragmenterer markedet.
- Fremme menneskesentrert og pålitelig KI. KI skal respektere individers selvbestemmelse, personvern og ikke diskriminere.
- Beskytte mot skadelige effekter. Helse, sikkerhet, grunnleggende rettigheter, demokrati og miljø skal beskyttes mot KI-relaterte risikoer.
- Støtte innovasjon gjennom regulatoriske sandkasser og unntak for forskning og utvikling.
Hva er et KI-system etter forordningen?
Forordningen definerer et KI-system som et maskinbasert system som er konstruert for å operere med varierende grad av autonomi, og som kan generere utdata som prediksjoner, innhold, anbefalinger eller beslutninger som påvirker fysiske eller virtuelle miljøer (artikkel 3 nr. 1).
I praksis betyr dette at verktøy som Microsoft Copilot, ChatGPT, GitHub Copilot, Google Gemini og tilsvarende er KI-systemer etter forordningens definisjon.
Hvem gjelder KI-forordningen for?
KI-forordningen retter seg mot hele verdikjeden, alle aktørene som er involvert i å lage, selge, distribuere og bruke KI-systemer. Samlebetegnelsen for disse i forordningen er operatører.
De viktigste aktørene
Leverandører (providers) er virksomheter som utvikler og/eller selger et KI-system. Eksempler: Microsoft, OpenAI, Google og norske programvarebedrifter som lager KI-løsninger.
Idriftsettere (deployers) er virksomheter eller personer som bruker et KI-system i en profesjonell sammenheng. Dette er den rollen de aller fleste norske bedrifter har. En norsk bedrift som bruker Microsoft Copilot er idriftsetter. Microsoft er leverandøren.
Importører og distributører av KI-systemer har også forpliktelser. De må påse at systemene de videreformidler er i samsvar med regelverket.
Gjelder det bedrifter utenfor EU?
Ja. Forordningen gjelder alle som tilbyr KI-systemer til brukere i EU/EØS, uavhengig av hvor leverandøren holder til. Et amerikansk selskap som tilbyr KI til norske bedrifter er underlagt forordningen. Og norske bedrifter som bruker KI fra amerikanske leverandører er idriftsettere med konkrete plikter.
Kan en idriftsetter bli leverandør?
Ja, og dette er en viktig fallgruve. En idriftsetter regnes som leverandør dersom de:
- Setter eget navn eller varemerke på et KI-system
- Gjør vesentlige endringer i et KI-system
- Endrer den opprinnelig tiltenkte bruken av systemet slik at systemet får høy risiko
I slike tilfeller overtar idriftsetter leverandørens plikter, noe som er langt mer krevende.
Unntak fra forordningen
Følgende bruk er unntatt:
- KI til militære formål, forsvarsformål eller nasjonal sikkerhet
- Rent privat og personlig bruk (ikke profesjonelt)
- Forskning og utvikling av KI-systemer (selve FoU-fasen, ikke den ferdige løsningen)
- KI-systemer utgitt under fri lisens med åpen kildekode, med unntak for høyrisiko og visse forbudte systemer
De fire risikoklassene
KI-forordningen bygger på en risikobasert tilnærming. Det betyr at kravene skaleres med risikoen KI-systemet utgjør. Europakommisjonen illustrerer dette som en pyramide med fire nivåer.
Uakseptabel risiko, forbudt (gjelder fra februar 2025)
Visse bruksområder for KI er forbudt fordi risikoen anses uakseptabel i et demokratisk samfunn. Dette gjelder blant annet:
- KI som bruker subliminale teknikker eller manipulasjon for å endre folks atferd på skadelig vis
- KI som utnytter sårbarheter hos enkeltpersoner eller grupper på grunn av alder, funksjonsnedsettelse eller sosioøkonomiske forhold
- Sosial rangering (social scoring) av borgere av offentlige myndigheter
- KI som vurderer risikoen for at en person vil begå en straffbar handling, basert utelukkende på profilering eller personlighetstrekk
- KI-systemer som bygger opp databaser for ansiktsgjenkjenning ved ikke-målrettet skraping fra internett eller overvåkingskameraer
- KI som tolker følelser på arbeidsplasser og i utdanningsinstitusjoner (med unntak for sikkerhetsmessige eller medisinske formål)
- Sanntids biometrisk fjernidentifikasjon i offentlige rom for rettshåndhevelse (med svært snevre unntak)
Høy risiko, strenge krav (gjelder fra desember 2027)
KI-systemer med høy risiko er tillatt, men underlagt strenge krav. Et system er høyrisiko dersom det brukes innenfor disse områdene (Vedlegg III):
- Biometri (ansiktsgjenkjenning, følelsesgjenkjenning)
- Kritisk infrastruktur (energi, vann, transport)
- Utdanning og yrkesrettet opplæring (opptak, karaktersetting, eksamensovervåking)
- Sysselsetting og rekruttering (screening, rangering av søkere, HR-beslutninger)
- Tilgang til offentlige og private tjenester (bank, forsikring, kreditt, trygd, helsevurdering)
- Rettshåndhevelse
- Migrasjon, asyl og grensekontroll
- Rettspleie og demokratiske prosesser
Krav til høyrisikosystemer inkluderer: risikostyringssystem, datakvalitetskrav, teknisk dokumentasjon (oppbevares i 10 år), automatiske hendelseslogger (minimum 6 måneder), menneskelig tilsyn, robusthet og cybersikkerhet, samsvarsvurdering og CE-merking.
Merk: Disse kravene ble utsatt fra august 2026 til desember 2027 gjennom EUs Digital Omnibus-pakke, vedtatt mars 2026.
Begrenset risiko, transparenskrav (merkekrav fra høst 2026)
KI-systemer med begrenset risiko er tillatt, men brukere skal informeres om at de interagerer med KI:
- Chatboter må gjøre det klart at de er KI-drevne
- KI-generert innhold (tekst, bilder, lyd, video) skal merkes med vannmerke eller metadata fra høsten 2026
- Systemer som bruker biometrisk kategorisering eller følelsesgjenkjenning skal informere berørte om dette
Minimal risiko, ingen spesifikke krav
De fleste KI-verktøy brukt til intern tekstproduksjon, analyse, dokumentsøk eller lignende faller i kategorien minimal risiko. Her er det ingen lovpålagte krav, men det anbefales å ha en intern KI-policy.
Tidslinjen, hva gjelder når?
Artikkel 4: KI-kompetansekravet, gjelder allerede
Det viktigste kravet for de fleste norske bedrifter er Artikkel 4, som stiller krav til KI-kompetanse (AI literacy) hos alle ansatte som bruker KI-systemer profesjonelt.
Artikkel 4 trådte i kraft i EU 2. august 2025. Kravet gjelder uavhengig av om KI-systemet er høyrisiko eller ikke. Det gjelder for alle virksomheter som er idriftsettere av KI-systemer.
I praksis betyr dette at bedrifter som bruker Microsoft Copilot, ChatGPT, GitHub Copilot, eller andre KI-verktøy må sørge for at de ansatte som bruker disse verktøyene har tilstrekkelig kunnskap om:
- Hva KI er og hvordan det fungerer
- Begrensninger og risikoer ved KI, inkludert hallusinering og bias
- Hvordan tolke KI-utdata riktig
- GDPR og personvern ved bruk av KI
- Menneskelig tilsyn og ansvarlig bruk
→ Les mer om Artikkel 4 og hva kompetansekravet konkret innebærer
Hva må din bedrift gjøre?
Her er en praktisk sjekkliste for norske bedrifter:
1. Kartlegg KI-bruken. Finn ut hvilke KI-verktøy som brukes i bedriften, av hvem og til hva. Mange bedrifter oppdager at ansatte bruker KI-verktøy uten at ledelsen vet om det («skygge-KI»).
2. Finn risikoklassen. Bruk listen over høyrisikosystemer (Vedlegg III) til å vurdere om noen av KI-verktøyene dere bruker er høyrisiko. De fleste bedrifter bruker KI til oppgaver med minimal eller begrenset risiko.
3. Gjennomfør KI-opplæring for ansatte (gjelder nå). Artikkel 4 krever at alle ansatte som bruker KI-systemer har tilstrekkelig KI-kompetanse. Opplæringen må dokumenteres.
4. Lag en KI-policy. Interne retningslinjer for hva KI kan brukes til, hvilke verktøy som er godkjent, og hva som ikke er tillatt (for eksempel å legge sensitive data inn i offentlige KI-tjenester).
5. Merk KI-generert innhold. Fra høsten 2026 skal innhold laget av KI merkes. Forbered rutiner for dette nå.
6. Dokumenter alt. Myndighetene kan be om dokumentasjon. Oppbevar opplæringsbevis, KI-policyer og risikovurderinger.
→ Komplett steg-for-steg-guide til KI-compliance
Sanksjoner og bøter
Brudd på KI-forordningen kan gi store bøter. Beløpene avhenger av hvilke regler som er brutt:
| Overtredelse | Maksimalt gebyr |
|---|---|
| Bruk av forbudt KI (art. 5) | 35 mill. euro eller 7 % av global årsomsetning |
| Brudd på krav til høyrisikosystemer | 15 mill. euro eller 3 % av global årsomsetning |
| Feilinformasjon til tilsynsmyndigheter | 7,5 mill. euro eller 1,5 % av global årsomsetning |
Det høyeste beløpet legges til grunn. I tillegg kan det ilegges løpende tvangsmulkt for vedvarende brudd.
I Norge er Nkom (Nasjonal kommunikasjonsmyndighet) utpekt som koordinerende markedstilsynsmyndighet. Datatilsynet fører tilsyn der KI-systemer behandler personopplysninger.
KI-forordningen og GDPR
KI-forordningen og personvernforordningen (GDPR) overlapper på viktige områder. KI-systemer som behandler personopplysninger er underlagt begge regelverk parallelt.
Det gode er at mye av GDPR-arbeidet bedriften allerede har gjort er direkte relevant for KI-compliance. Personvernkonsekvensvurderingen (DPIA) etter GDPR er nært beslektet med konsekvensanalysen for grunnleggende rettigheter (FRIA) etter KI-forordningen. I mange tilfeller kan samme vurdering gjenbrukes.
Hva er Digital Omnibus?
I mars 2026 vedtok EU en endringspakke kalt Digital Omnibus som justerte tidsplanen i KI-forordningen. Det viktigste for norske bedrifter er at krav til høyrisiko-KI ble utsatt fra august 2026 til desember 2027. KI-kompetansekravet (Artikkel 4) ble ikke utsatt.
→ Les mer om hva Digital Omnibus betyr for din bedrift
Oppsummering
KI-forordningen gjelder alle norske bedrifter som bruker KI-systemer profesjonelt. De viktigste punktene å huske:
- Artikkel 4 (KI-kompetanse) gjelder allerede, fra august 2025
- Alle med Microsoft Copilot, ChatGPT eller tilsvarende er idriftsettere og har forpliktelser
- Norsk KI-lov forventes sensommeren 2026, forbered dere nå
- Krav til høyrisiko-KI er utsatt til desember 2027 via Digital Omnibus
- Merkekrav for KI-innhold kommer fra høsten 2026
Komplai hjelper norske bedrifter med å oppfylle KI-kompetansekravet i Artikkel 4, med et ferdig kurs, enkel utrulling til alle ansatte, og automatisk dokumentasjon.
Kildegrunnlag: Forordning (EU) 2024/1689; Høringsnotat fra Digitaliserings- og forvaltningsdepartementet (2025); Nkom.no; Helsedirektoratets KI-faktaark; EØS-notat fra regjeringen.no (02.12.2024); HK-dir rapport nr. 04/2026.