Vanlige spørsmål om KI-forordningen

KI-forordningen (Regulation (EU) 2024/1689, også kalt AI Act) er EUs harmoniserte regelverk for kunstig intelligens, vedtatt 13. juni 2024. Forordningen etablerer et risikobasert rammeverk med krav til alle som utvikler, selger eller bruker KI-systemer i EU/EØS. Den er EØS-relevant og vil gjelde i Norge gjennom en ny lov om kunstig intelligens, forventet vedtatt av Stortinget sensommeren 2026.

KI-forordningen har fire overordnede formål: (1) sikre et velfungerende indre marked for KI-systemer, (2) fremme utvikling og bruk av menneskesentrert og pålitelig KI, (3) beskytte helse, sikkerhet og grunnleggende rettigheter mot skadelige effekter av KI, og (4) stimulere til innovasjon. Formålene fremgår av forordningens artikkel 1 og fortalepunktene 1–8.

Ja. KI-forordningen er EØS-relevant og vil bli gjennomført i norsk rett gjennom en ny lov om kunstig intelligens (KI-loven). Digitaliserings- og forvaltningsdepartementet (DFD) sendte forslag til KI-lov på høring sommeren 2025. Regjeringen sikter mot at norsk KI-lov vedtas av Stortinget sensommeren 2026, samtidig med at hoveddelen av forordningen begynner å gjelde i EU-landene.

Et KI-system er etter KI-forordningens artikkel 3 nr. 1 «et maskinbasert system som er konstruert for å operere med varierende grad av autonomi, og som kan vise tilpasningsdyktighet etter utplassering, og som, for eksplisitte eller implisitte mål, ut fra inndataene det mottar, utleder hvordan man genererer utdata som prediksjoner, innhold, anbefalinger eller beslutninger som kan påvirke fysiske eller virtuelle miljøer». I praksis er verktøy som Microsoft Copilot, ChatGPT, GitHub Copilot og Google Gemini KI-systemer etter denne definisjonen.

KI-forordningen regulerer utvikling og bruk av KI-systemer, mens GDPR regulerer behandling av personopplysninger. De to regelverkene overlapper der KI-systemer behandler personopplysninger, da gjelder begge parallelt. Mye av GDPR-arbeidet bedriften allerede har gjort er et godt utgangspunkt for KI-compliance: personvernkonsekvensvurderingen (DPIA) etter GDPR er nært beslektet med konsekvensanalysen for grunnleggende rettigheter (FRIA) etter KI-forordningen.

KI-loven er den norske loven som skal gjennomføre KI-forordningen i norsk rett. Digitaliserings- og forvaltningsdepartementet (DFD) har sendt utkast til KI-lov på høring. Loven vil inkorporere KI-forordningen i norsk rett og inneholde bestemmelser om tilsynsmyndighet, sanksjoner og nasjonalt handlingsrom der forordningen åpner for det. Norsk KI-lov forventes vedtatt av Stortinget sensommeren 2026.

KI-forordningen gjelder for alle virksomheter og personer som utvikler, selger, distribuerer eller bruker KI-systemer i EU/EØS, uavhengig av om de er norske, europeiske eller utenlandske. De fire hovedgruppene er: leverandører (de som lager KI-systemer), idriftsettere (de som bruker KI-systemer profesjonelt), importører og distributører. De fleste norske bedrifter er idriftsettere. Over halvparten av norske bedrifter bruker allerede KI i en eller annen form.

En idriftsetter (deployer) er etter KI-forordningens artikkel 3 nr. 4 «enhver fysisk eller juridisk person, herunder offentlig myndighet, byrå eller annet organ, som bruker et KI-system under sin myndighet, bortsett fra i personlig ikke-yrkesmessig bruk». En norsk bedrift som bruker Microsoft Copilot, ChatGPT Enterprise eller andre KI-verktøy i sin virksomhet er idriftsetter. Det er ingen krav til størrelse eller bransje.

En leverandør (provider) er etter KI-forordningens artikkel 3 nr. 3 en fysisk eller juridisk person som utvikler et KI-system eller en KI-modell for allmenne formål og bringer det på markedet eller tar det i bruk under eget navn eller varemerke, mot vederlag eller vederlagsfritt. Eksempler på leverandører er Microsoft (Copilot), OpenAI (ChatGPT) og Google (Gemini). Norske programvarebedrifter som lager og selger KI-løsninger er også leverandører.

Ja. En idriftsetter regnes som leverandør (og overtar leverandørens plikter) dersom de setter eget navn eller varemerke på et KI-system, gjør vesentlige endringer i et KI-system, eller endrer den opprinnelig tiltenkte bruken av systemet slik at det medfører høy risiko. Dette er en viktig fallgruve for bedrifter som tilpasser eller videreutvikler eksisterende KI-løsninger.

Ja. KI-forordningen skiller ikke mellom bedrifter basert på størrelse. En enkeltpersonforetak som bruker Copilot profesjonelt er idriftsetter med de samme grunnleggende forpliktelsene som et konsern. Det finnes et proporsjonalitetsprinsipp som betyr at kravenes praktiske omfang skaleres med virksomhetens størrelse og risikonivå, men plikten til KI-opplæring (Artikkel 4) gjelder alle.

Ja. KI-forordningen gjelder for alle som tilbyr KI-systemer til brukere i EU/EØS, uavhengig av hvor leverandøren er lokalisert. Et amerikansk teknologiselskap som selger KI-tjenester til norske bedrifter er underlagt forordningen. Leverandører utenfor EU/EØS er pålagt å ha en autorisert representant i EU.

KI-forordningen unntar følgende bruk: KI til militære formål, forsvarsformål eller nasjonal sikkerhet; rent privat og personlig bruk som ikke er yrkesmessig; forskning og utvikling av KI-systemer i FoU-fasen (men ikke den ferdige løsningen); og KI-systemer utgitt under fri lisens med åpen kildekode, med unntak for høyrisikosystemer og systemer som faller under artikkel 5 eller 50.

Artikkel 4 i KI-forordningen pålegger alle leverandører og idriftsettere av KI-systemer å sørge for at ansatte og andre som håndterer KI-systemer på deres vegne har et tilstrekkelig nivå av KI-kompetanse (AI literacy). Kravet gjelder uavhengig av risikoklasse, altså også for bedrifter som kun bruker KI-systemer med minimal risiko. Artikkel 4 trådte i kraft i EU 2. august 2025.

Ja. Artikkel 4 i KI-forordningen, kravet om KI-kompetanse for ansatte, trådte i kraft i EU 2. august 2025. Det gjelder dermed allerede for norske virksomheter som opererer i europeisk marked. For norske bedrifter som kun opererer i Norge gjelder kravet formelt fra norsk KI-lov trer i kraft, forventet sensommeren 2026.

KI-kompetanse etter KI-forordningens artikkel 4 og fortalepunkt 20 innebærer: (1) teknisk forståelse av hva KI-systemer er og hvordan de fungerer, (2) kunnskap om begrensninger som hallusinering og bias, (3) evne til å tolke og kvalitetssikre KI-utdata, (4) kunnskap om personvern og datasikkerhet ved bruk av KI, (5) forståelse av menneskelig tilsyn og ansvar, og (6) kjennskap til relevant regelverk. Kravet skal tilpasses den ansattes rolle og hvilke KI-verktøy bedriften bruker.

Alle ansatte og andre som håndterer KI-systemer på vegne av virksomheten må ha KI-opplæring etter Artikkel 4. Det inkluderer alle ansatte som bruker KI-verktøy som Microsoft Copilot, ChatGPT, GitHub Copilot eller tilsvarende i arbeidshverdagen, uavhengig av stilling, avdeling eller stillingsnivå. Også ledere som godkjenner beslutninger basert på KI-anbefalinger er omfattet.

Forordningen bruker begrepet «tilstrekkelig» uten å definere det eksakt, det er en skjønnsmessig standard. Proporsjonalitetsprinsippet gjelder: en ansatt som bruker Copilot til å skrive e-poster har lavere krav enn en rekrutterer som bruker KI til å rangere søkere. EU-kommisjonen har publisert en eksempelsamling (Repository of AI literacy practices) med konkrete eksempler på godkjente tiltak. Tilsynsmyndigheten (Nkom i Norge) vil legge retningslinjer for hva som anses tilstrekkelig.

Et KI-kompetansekurs som oppfyller Artikkel 4 bør dekke: hva KI er og hvordan det fungerer, KI-forordningens krav og hvilken rolle bedriften har, risikoklassifisering av KI-verktøy bedriften bruker, hallusinering og bias, hva det er og hvordan oppdage det, personvern og hva som ikke bør legges inn i KI-verktøy, menneskelig tilsyn og ansvar, og bedriftens interne KI-policy. Kurset bør avsluttes med dokumentert bekreftelse på gjennomføring.

Dokumentasjon for Artikkel 4-etterlevelse bør inneholde: oversikt over hvem som gjennomførte opplæring (navn og rolle), dato for gjennomføring, innholdet i opplæringen (læringsmål og temaer), og bekreftelse på gjennomføring (for eksempel quiz-resultat eller signatur). Tilsynsmyndigheten kan etterspørre denne dokumentasjonen. Det anbefales å lagre dokumentasjonen i minimum 6 måneder, og helst lenger.

KI-forordningen deler inn KI-systemer i fire risikokategorier basert på bruksområde: (1) Uakseptabel risiko, forbudt, gjelder for eksempel sosial scoring og manipulerende KI; (2) Høy risiko, strengt regulert, gjelder KI brukt i rekruttering, kreditt, helse og utdanning; (3) Begrenset risiko, transparenskrav, gjelder chatboter og KI-generert innhold; (4) Minimal risiko, ingen spesifikke lovkrav, men etiske retningslinjer anbefales.

KI-forordningens artikkel 5 forbyr følgende KI-praksiser: KI som manipulerer folks atferd via subliminale teknikker; KI som utnytter sårbarhetene til enkeltpersoner eller grupper på en skadelig måte; sosial rangering/scoring av borgere av offentlige myndigheter; KI som vurderer risikoen for at en person vil begå straffbare handlinger basert kun på profilering; bygging av ansiktsgjenkjenningsdatabaser via masseinnsamling fra internett; KI som tolker følelser på arbeidsplasser og i utdanningsinstitusjoner; og sanntids biometrisk fjernidentifikasjon i offentlige rom for rettshåndhevelse (med snevre unntak). Forbudene gjelder fra februar 2025.

Høyrisiko-KI er KI-systemer som brukes innenfor bestemte kritiske bruksområder listet i KI-forordningens vedlegg III: biometri, kritisk infrastruktur, utdanning og yrkesrettet opplæring, sysselsetting og rekruttering, tilgang til offentlige og private tjenester (bank, forsikring, trygd, helse), rettshåndhevelse, migrasjon og grensekontroll, og rettspleie. Disse systemene er underlagt strenge krav til dokumentasjon, risikovurdering, menneskelig tilsyn og samsvarsvurdering. Kravene gjelder fra desember 2027 (utsatt via Digital Omnibus).

Microsoft Copilot er i utgangspunktet ikke et høyrisikosystem når det brukes til generelle oppgaver som tekstproduksjon, sammendrag og e-poster. Det kan imidlertid bli et høyrisikosystem dersom det brukes til oppgaver som faller inn under vedlegg III, for eksempel til å støtte rekrutteringsprosesser, screene CV-er, eller vurdere kandidater til jobber. I slike tilfeller gjelder strengere krav fra desember 2027.

En KI-modell for allmenne formål (GPAI, General Purpose AI) er etter KI-forordningens artikkel 3 nr. 63 en KI-modell som er trent på store datamengder, har bred anvendbarhet og kan utføre et bredt spekter av oppgaver. Eksempler er ChatGPT (OpenAI), Claude (Anthropic), Gemini (Google), Llama (Meta) og Microsoft Copilot. GPAI-modeller er særskilt regulert i KI-forordningens kapittel 5, med krav som gjelder fra august 2025.

Norsk KI-lov forventes vedtatt av Stortinget sensommeren 2026, og vil tre i kraft samtidig med hoveddelen av KI-forordningen i EU. Forutsetningen er at Stortinget godkjenner innlemmelse av forordningen i EØS-avtalen (det kreves et såkalt art. 103-forbehold). Noen krav gjelder allerede, særlig kompetansekravet i Artikkel 4, som trådte i kraft i EU august 2025.

KI-forordningens krav innføres gradvis: Forbud mot uakseptabel risiko-KI gjelder fra februar 2025. KI-kompetansekrav (Artikkel 4) og krav til GPAI-modeller gjelder fra august 2025. Full ikrafttredelse i EU skjer i august 2026, og norsk KI-lov forventes vedtatt sensommeren 2026. Merkekrav for KI-generert innhold gjelder fra høsten 2026 (eksisterende systemer fra november 2026). Krav til høyrisiko-KI gjelder fra desember 2027 (utsatt via Digital Omnibus fra opprinnelig august 2026).

Digital Omnibus er en EU-endringspakke vedtatt av Europaparlamentet i mars 2026 med 569 stemmer for. De viktigste endringene for KI-forordningen er: (1) krav til høyrisiko-KI er utsatt fra august 2026 til desember 2027 (16 måneder), (2) merkekrav for KI-generert innhold gjelder fra høsten 2026, og (3) norsk proposisjon til Stortinget er utsatt, forventet sensommeren 2026. KI-kompetansekravet (Artikkel 4) ble ikke utsatt.

Ja, den norske proposisjonen til Stortinget om KI-loven ble utsatt som følge av Digital Omnibus-pakken og behovet for å koordinere med EØS-prosessen. Regjeringen sikter mot at norsk KI-lov vedtas av Stortinget sensommeren 2026. Kravet om KI-kompetanse (Artikkel 4) gjelder allerede i EU fra august 2025 og er ikke utsatt.

KI-forordningens artikkel 99 angir tre nivåer av sanksjoner: Brudd på forbudet mot uakseptabel risiko-KI (artikkel 5) kan gi bøter på inntil 35 millioner euro eller 7 prosent av virksomhetens globale årsomsetning. Brudd på krav til høyrisikosystemer og idriftsetter-forpliktelser kan gi inntil 15 millioner euro eller 3 prosent av global omsetning. Feilinformasjon til tilsynsmyndigheter kan gi inntil 7,5 millioner euro eller 1,5 prosent av omsetning. Det høyeste beløpet legges alltid til grunn.

Nasjonal kommunikasjonsmyndighet (Nkom) er utpekt som nasjonal koordinerende markedstilsynsmyndighet for KI-forordningen i Norge og nasjonalt kontaktpunkt mot EU. Datatilsynet fører tilsyn der KI-systemer behandler personopplysninger (GDPR-grensesnittet). Digitaliseringsdirektoratet har en støttefunksjon for veiledning og implementering.

Ja. KI-forordningens artikkel 26 pålegger idriftsettere å informere ansattes representanter og berørte arbeidstakere når KI-systemer tas i bruk på arbeidsplassen. Der KI brukes til beslutningsstøtte eller til å treffe helautomatiserte avgjørelser som påvirker ansatte, skal de berørte få informasjon. Brudd på informasjonsplikten kan inngå i en bredere klagesak til tilsynsmyndigheten.

Ja. Bedrifter som bruker Microsoft Copilot er idriftsettere etter KI-forordningen, og er dermed underlagt Artikkel 4 om KI-kompetanse for ansatte. Microsoft er leverandøren av Copilot og har leverandørforpliktelsene. Bedriften din har idriftsetter-forpliktelsene, inkludert å sørge for at ansatte som bruker Copilot har tilstrekkelig KI-opplæring. Kravet gjelder fra august 2025.

Ja. ChatGPT er en KI-modell for allmenne formål (GPAI) og er et KI-system etter KI-forordningens definisjon. Bedrifter som bruker ChatGPT (gratis eller enterprise) profesjonelt er idriftsettere med plikt til KI-opplæring for ansatte etter Artikkel 4. OpenAI er leverandøren med egne leverandørforpliktelser.

Skygge-KI er KI-verktøy som ansatte bruker uten at ledelsen eller IT-avdelingen har godkjent eller registrert bruken, typisk gratis ChatGPT, Claude.ai eller Gemini fra private kontoer til arbeidsoppgaver. Bedriften er idriftsetter for all slik bruk, uavhengig av om ledelsen vet om den. Skygge-KI utgjør en GDPR-risiko (sensitiv data kan havne i tredjepartsmodeller) og gjør det umulig å overholde merkekravet for KI-innhold fra høsten 2026. Løsningen er å kartlegge faktisk KI-bruk og etablere en KI-policy.

En formell KI-policy er ikke eksplisitt påkrevd av KI-forordningen, men anbefales sterkt av to grunner. For det første er den et sentralt verktøy for å oppfylle Artikkel 4 (de ansatte skal kjenne bedriftens KI-retningslinjer som del av opplæringen). For det andre er den nødvendig for å overholde merkekravet for KI-innhold fra høsten 2026, for å styre skygge-KI-risikoen, og for å dokumentere systematisk compliance overfor tilsynsmyndigheten.

De tre viktigste tiltakene for norske bedrifter nå er: (1) Kartlegg hvilke KI-verktøy som brukes i bedriften og av hvem, inkludert «skygge-KI» ansatte bruker uoffisielt. (2) Gjennomfør KI-opplæring for alle ansatte som bruker KI-systemer, og dokumenter gjennomføringen, dette er et lovkrav som allerede gjelder. (3) Lag en KI-policy med godkjente verktøy, forbud mot sensitiv datadeling, og rutiner for merking av KI-innhold fra høsten 2026.

En FRIA (Fundamental Rights Impact Assessment, konsekvensanalyse for grunnleggende rettigheter) er en vurdering idriftsettere av høyrisiko-KI-systemer skal gjennomføre for å kartlegge hvilke negative konsekvenser KI-systemet kan ha for grunnleggende rettigheter som helse, sikkerhet og ikke-diskriminering. FRIA har likhetstrekk med personvernkonsekvensvurderingen (DPIA) etter GDPR, og vurderinger fra en DPIA kan gjenbrukes i en FRIA. EU-kommisjonen skal utvikle veiledning for slike vurderinger.

Ja. KI-forordningen overlapper med personvernforordningen (GDPR) der KI behandler personopplysninger, med produktsikkerhetsdirektiver der KI er del av et produkt, med sektorspesifikt regelverk i helse, finans og utdanning, og med ny forvaltningslov om automatisering (vedtatt i Norge 16. juni 2025). Bedrifter i regulerte sektorer bør vurdere KI-compliance i lys av hele regelverkspakken, ikke bare KI-forordningen isolert.

For de fleste norske bedrifter som bruker KI til generelle oppgaver (Copilot, ChatGPT til tekstproduksjon) tar full initial compliance typisk 2–4 uker: én uke til kartlegging og klassifisering, én til to uker til gjennomføring av KI-opplæring for alle ansatte, og én uke til å ferdigstille KI-policy og dokumentasjon. Bedrifter med KI brukt i høyrisiko-bruksområder (rekruttering, kreditt, helse) trenger mer tid, og bør starte nå fremfor å vente til fristen i desember 2027.

Kostnaden ved manglende etterlevelse inkluderer: administrative bøter på inntil 15 millioner euro eller 3 % av global omsetning for brudd på idriftsetter-forpliktelser; erstatningsansvar overfor tredjeparter som lider skade som følge av manglende opplæring; omdømmeskade ved offentliggjøring av tilsynssaker; og konkurranseulempe overfor bedrifter som er tidlig ute med compliance. Kostnaden ved å oppfylle kravet er i de fleste tilfeller langt lavere enn kostnaden ved ikke å gjøre det.