Spørsmål og svar om KI-forordningen

KI-forordningen (Regulation (EU) 2024/1689, også kalt AI Act) er EUs felles regelverk for kunstig intelligens, vedtatt 13. juni 2024. Forordningen etablerer et risikobasert rammeverk med krav til alle som utvikler, selger eller benytter KI-systemer i EU/EØS. Den er EØS-relevant og vil tre i kraft i Norge gjennom en ny lov om kunstig intelligens, som forventes vedtatt av Stortinget sensommeren 2026.

KI-forordningen har fire overordnede mål: (1) sikre et velfungerende indre marked for KI-systemer, (2) fremme utvikling og bruk av menneskesentrisk og tillitvekkende KI, (3) beskytte helse, sikkerhet og grunnleggende rettigheter mot skadelige virkninger av KI, og (4) legge til rette for innovasjon. Målene fremgår av forordningens artikkel 1 og fortalepunktene 1–8.

Ja. KI-forordningen er EØS-relevant og vil bli innlemmet i norsk rett gjennom en ny lov om kunstig intelligens (KI-loven). Digitaliserings- og forvaltningsdepartementet (DFD) sendte forslag til KI-lov på høring sommeren 2025. Regjeringen tar sikte på at norsk KI-lov vedtas av Stortinget sensommeren 2026, parallelt med at hoveddelen av forordningen begynner å gjelde i EU-landene.

Et KI-system er etter KI-forordningens artikkel 3 nr. 1 «et maskinbasert system som er konstruert for å operere med varierende grad av autonomi, og som kan vise tilpasningsdyktighet etter utplassering, og som, for eksplisitte eller implisitte mål, ut fra inndataene det mottar, utleder hvordan man genererer utdata som prediksjoner, innhold, anbefalinger eller beslutninger som kan påvirke fysiske eller virtuelle miljøer». I praksis er verktøy som Microsoft Copilot, ChatGPT, GitHub Copilot og Google Gemini KI-systemer etter denne definisjonen.

KI-forordningen regulerer utvikling og bruk av KI-systemer, mens GDPR regulerer behandling av personopplysninger. De to regelverkene overlapper der KI-systemer håndterer personopplysninger — da gjelder begge parallelt. Mye av det GDPR-arbeidet bedriften allerede har gjort er et godt utgangspunkt for KI-etterlevelse: personvernkonsekvensvurderingen (DPIA) etter GDPR er nært beslektet med konsekvensanalysen for grunnleggende rettigheter (FRIA) etter KI-forordningen.

KI-loven er den norske loven som skal innlemme KI-forordningen i norsk rett. Digitaliserings- og forvaltningsdepartementet (DFD) har sendt utkast til KI-lov på høring. Loven vil inkorporere KI-forordningen og inneholde bestemmelser om tilsynsmyndighet, sanksjoner og nasjonalt handlingsrom der forordningen åpner for det. Norsk KI-lov forventes vedtatt av Stortinget sensommeren 2026.

KI-forordningen gjelder for alle virksomheter og personer som utvikler, selger, distribuerer eller benytter KI-systemer i EU/EØS, uavhengig av om de er norske, europeiske eller utenlandske. De fire hovedkategoriene er: leverandører (de som lager KI-systemer), idriftsettere (de som bruker KI-systemer profesjonelt), importører og distributører. De fleste norske bedrifter er idriftsettere. Over halvparten av norske bedrifter bruker allerede KI i en eller annen form.

En idriftsetter (deployer) er etter KI-forordningens artikkel 3 nr. 4 «enhver fysisk eller juridisk person, herunder offentlig myndighet, byrå eller annet organ, som bruker et KI-system under sin myndighet, bortsett fra i personlig ikke-yrkesmessig bruk». En norsk bedrift som benytter Microsoft Copilot, ChatGPT Enterprise eller andre KI-verktøy i sin drift er idriftsetter. Det stilles ingen krav til virksomhetens størrelse eller bransje.

En leverandør (provider) er etter KI-forordningens artikkel 3 nr. 3 en fysisk eller juridisk person som utvikler et KI-system eller en KI-modell for allmenne formål og bringer det på markedet eller tar det i bruk under eget navn eller varemerke, mot eller uten vederlag. Eksempler på leverandører er Microsoft (Copilot), OpenAI (ChatGPT) og Google (Gemini). Norske programvarebedrifter som lager og selger KI-løsninger regnes også som leverandører.

Ja. En idriftsetter regnes som leverandør (og overtar leverandørens plikter) dersom de setter eget navn eller varemerke på et KI-system, gjør vesentlige endringer i et KI-system, eller endrer den opprinnelig tiltenkte bruken på en måte som medfører høy risiko. Dette er en viktig fallgruve for bedrifter som tilpasser eller videreutvikler eksisterende KI-løsninger.

Ja. KI-forordningen skiller ikke mellom virksomheter basert på størrelse. Et enkeltpersonforetak som bruker Copilot profesjonelt er idriftsetter med de samme grunnleggende forpliktelsene som et konsern. Proporsjonalitetsprinsippet innebærer at kravenes praktiske omfang skaleres med virksomhetens størrelse og risikonivå, men plikten til KI-opplæring (Artikkel 4) gjelder alle.

Ja. KI-forordningen gjelder for alle som tilbyr KI-systemer til brukere i EU/EØS, uavhengig av hvor leverandøren er lokalisert. Et amerikansk teknologiselskap som selger KI-tjenester til norske bedrifter er underlagt forordningen. Leverandører utenfor EU/EØS er dessuten pålagt å ha en autorisert representant i EU.

KI-forordningen unntar følgende bruk: KI til militære formål, forsvarsformål eller nasjonal sikkerhet; rent privat og personlig bruk som ikke er yrkesmessig; forskning og utvikling av KI-systemer i FoU-fasen (men ikke den ferdige løsningen); og KI-systemer utgitt under fri lisens med åpen kildekode, med unntak for høyrisikosystemer og systemer som faller under artikkel 5 eller 50.

Artikkel 4 i KI-forordningen pålegger alle leverandører og idriftsettere av KI-systemer å sørge for at ansatte og andre som håndterer KI-systemer på deres vegne har et tilstrekkelig nivå av KI-kompetanse (AI literacy). Kravet gjelder uavhengig av risikoklasse — også for bedrifter som kun bruker KI-systemer med minimal risiko. Artikkel 4 trådte i kraft i EU 2. august 2025.

Ja. Artikkel 4 i KI-forordningen, som stiller krav om KI-kompetanse for ansatte, trådte i kraft i EU 2. august 2025. Det gjelder dermed allerede for norske virksomheter som opererer i europeisk marked. For norske bedrifter som utelukkende opererer i Norge gjelder kravet formelt fra norsk KI-lov trer i kraft, forventet sensommeren 2026.

KI-kompetanse etter KI-forordningens artikkel 4 og fortalepunkt 20 innebærer: (1) teknisk forståelse av hva KI-systemer er og hvordan de virker, (2) kunnskap om begrensninger som hallusinering og bias, (3) evne til å tolke og kvalitetssikre KI-utdata, (4) kunnskap om personvern og datasikkerhet ved bruk av KI, (5) forståelse av menneskelig tilsyn og ansvar, og (6) kjennskap til relevant regelverk. Kravet skal tilpasses den ansattes rolle og hvilke KI-verktøy bedriften benytter.

Alle ansatte og andre som håndterer KI-systemer på vegne av virksomheten må ha KI-opplæring etter Artikkel 4. Dette inkluderer alle som bruker KI-verktøy som Microsoft Copilot, ChatGPT, GitHub Copilot eller tilsvarende i arbeidshverdagen, uavhengig av stilling, avdeling eller nivå. Også ledere som godkjenner beslutninger basert på KI-anbefalinger er omfattet.

Forordningen benytter begrepet «tilstrekkelig» uten å gi en presis definisjon — det er en skjønnsmessig standard. Proporsjonalitetsprinsippet gjelder: en ansatt som bruker Copilot til å skrive e-poster har lavere krav enn en rekrutterer som bruker KI til å rangere søkere. EU-kommisjonen har publisert en eksempelsamling (Repository of AI literacy practices) med konkrete eksempler på godkjente tiltak. Tilsynsmyndigheten (Nkom i Norge) vil fastsette retningslinjer for hva som anses tilstrekkelig.

Et KI-kompetansekurs som oppfyller Artikkel 4 bør dekke: hva KI er og hvordan det fungerer, KI-forordningens krav og virksomhetens rolle, risikoklassifisering av KI-verktøy bedriften bruker, hallusinering og bias — hva det er og hvordan det oppdages, personvern og hva som ikke bør legges inn i KI-verktøy, menneskelig tilsyn og ansvar, og bedriftens interne KI-policy. Kurset bør avsluttes med dokumentert bekreftelse på gjennomføring.

Dokumentasjon for Artikkel 4-etterlevelse bør inneholde: oversikt over hvem som gjennomførte opplæringen (navn og rolle), dato for gjennomføring, innholdet i opplæringen (læringsmål og temaer), og bekreftelse på fullføring (for eksempel quiz-resultat eller signatur). Tilsynsmyndigheten kan be om å se denne dokumentasjonen. Det anbefales å oppbevare den i minimum 6 måneder, gjerne lenger.

KI-forordningen kategoriserer KI-systemer i fire risikonivåer basert på bruksområde: (1) Uakseptabel risiko — forbudt, gjelder blant annet sosial scoring og manipulerende KI; (2) Høy risiko — strengt regulert, gjelder KI brukt i rekruttering, kreditt, helse og utdanning; (3) Begrenset risiko — transparenskrav, gjelder chatboter og KI-generert innhold; (4) Minimal risiko — ingen spesifikke lovkrav, men etiske retningslinjer anbefales.

KI-forordningens artikkel 5 forbyr følgende KI-praksiser: KI som manipulerer folks atferd via subliminale teknikker; KI som utnytter sårbarhetene til enkeltpersoner eller grupper på en skadelig måte; sosial rangering/scoring av borgere av offentlige myndigheter; KI som vurderer risikoen for at en person vil begå straffbare handlinger basert kun på profilering; bygging av ansiktsgjenkjenningsdatabaser via masseinnsamling fra internett; KI som tolker følelser på arbeidsplasser og i utdanningsinstitusjoner; og sanntids biometrisk fjernidentifikasjon i offentlige rom for rettshåndhevelse (med snevre unntak). Forbudene gjelder fra februar 2025.

Høyrisiko-KI er KI-systemer som benyttes i bestemte kritiske bruksområder listet i KI-forordningens vedlegg III: biometri, kritisk infrastruktur, utdanning og yrkesrettet opplæring, sysselsetting og rekruttering, tilgang til offentlige og private tjenester (bank, forsikring, trygd, helse), rettshåndhevelse, migrasjon og grensekontroll, og rettspleie. Disse systemene er underlagt strenge krav til dokumentasjon, risikovurdering, menneskelig tilsyn og samsvarsvurdering. Kravene gjelder fra desember 2027 (utsatt via Digital Omnibus).

Microsoft Copilot er i utgangspunktet ikke et høyrisikosystem når det benyttes til generelle oppgaver som tekstproduksjon, sammendrag og e-post. Det kan imidlertid klassifiseres som høyrisiko dersom det brukes til oppgaver som faller under vedlegg III — for eksempel til å støtte rekrutteringsprosesser, screene CV-er eller vurdere jobbkandidater. I slike tilfeller gjelder strengere krav fra desember 2027.

En KI-modell for allmenne formål (GPAI, General Purpose AI) er etter KI-forordningens artikkel 3 nr. 63 en KI-modell som er trent på store datamengder, har bred anvendbarhet og kan løse et bredt spekter av oppgaver. Eksempler er ChatGPT (OpenAI), Claude (Anthropic), Gemini (Google), Llama (Meta) og Microsoft Copilot. GPAI-modeller er særskilt regulert i KI-forordningens kapittel 5, med krav som gjelder fra august 2025.

Norsk KI-lov forventes vedtatt av Stortinget sensommeren 2026 og vil tre i kraft samtidig med hoveddelen av KI-forordningen i EU. Forutsetningen er at Stortinget godkjenner innlemmelse av forordningen i EØS-avtalen (det kreves et såkalt art. 103-forbehold). Enkelte krav gjelder allerede — særlig kompetansekravet i Artikkel 4, som trådte i kraft i EU i august 2025.

KI-forordningens krav innføres i etapper: Forbud mot uakseptabel risiko-KI gjelder fra februar 2025. KI-kompetansekrav (Artikkel 4) og krav til GPAI-modeller gjelder fra august 2025. Full ikrafttredelse i EU skjer i august 2026, og norsk KI-lov forventes vedtatt sensommeren 2026. Merkekrav for KI-generert innhold gjelder fra høsten 2026 (eksisterende systemer fra november 2026). Krav til høyrisiko-KI gjelder fra desember 2027 (utsatt via Digital Omnibus fra opprinnelig august 2026).

Digital Omnibus er en EU-endringspakke vedtatt av Europaparlamentet i mars 2026 med 569 stemmer for. De viktigste endringene for KI-forordningen er: (1) krav til høyrisiko-KI er utsatt fra august 2026 til desember 2027 (16 måneder), (2) merkekrav for KI-generert innhold gjelder fra høsten 2026, og (3) norsk proposisjon til Stortinget er utsatt, forventet sensommeren 2026. KI-kompetansekravet (Artikkel 4) ble ikke utsatt.

Ja, den norske proposisjonen til Stortinget om KI-loven ble utsatt som følge av Digital Omnibus-pakken og behovet for å koordinere med EØS-prosessen. Regjeringen sikter mot at norsk KI-lov vedtas av Stortinget sensommeren 2026. Kravet om KI-kompetanse (Artikkel 4) gjelder allerede i EU fra august 2025 og er ikke utsatt.

KI-forordningens artikkel 99 angir tre sanksjonsnivåer: Brudd på forbudet mot uakseptabel risiko-KI (artikkel 5) kan gi bøter på inntil 35 millioner euro eller 7 prosent av virksomhetens globale årsomsetning. Brudd på krav til høyrisikosystemer og idriftsetter-forpliktelser kan gi inntil 15 millioner euro eller 3 prosent av global omsetning. Feilaktig informasjon til tilsynsmyndigheter kan gi inntil 7,5 millioner euro eller 1,5 prosent av omsetning. Det høyeste beløpet legges alltid til grunn.

Nasjonal kommunikasjonsmyndighet (Nkom) er utpekt som nasjonal koordinerende markedstilsynsmyndighet for KI-forordningen i Norge og nasjonalt kontaktpunkt mot EU. Datatilsynet fører tilsyn der KI-systemer behandler personopplysninger (GDPR-grensesnittet). Digitaliseringsdirektoratet har en støttefunksjon for veiledning og implementering.

Ja. KI-forordningens artikkel 26 forplikter idriftsettere til å informere ansattes representanter og berørte arbeidstakere når KI-systemer tas i bruk på arbeidsplassen. Der KI benyttes til beslutningsstøtte eller til å treffe helautomatiserte avgjørelser som berører ansatte, skal de involverte få informasjon. Brudd på informasjonsplikten kan inngå i en bredere klagesak til tilsynsmyndigheten.

Ja. Bedrifter som benytter Microsoft Copilot er idriftsettere etter KI-forordningen og er dermed underlagt Artikkel 4 om KI-kompetanse for ansatte. Microsoft er leverandøren av Copilot og har leverandørforpliktelsene. Bedriften din har idriftsetter-forpliktelsene, herunder å sørge for at ansatte som bruker Copilot har tilstrekkelig KI-opplæring. Kravet gjelder fra august 2025.

Ja. ChatGPT er en KI-modell for allmenne formål (GPAI) og er et KI-system etter KI-forordningens definisjon. Bedrifter som benytter ChatGPT (gratis eller enterprise) profesjonelt er idriftsettere med plikt til KI-opplæring for ansatte etter Artikkel 4. OpenAI er leverandøren med egne leverandørforpliktelser.

Skygge-KI er KI-verktøy som ansatte tar i bruk uten at ledelsen eller IT-avdelingen har godkjent eller registrert bruken — typisk gratis ChatGPT, Claude.ai eller Gemini via private kontoer til arbeidsoppgaver. Bedriften er idriftsetter for all slik bruk, uavhengig av om ledelsen er kjent med den. Skygge-KI utgjør en GDPR-risiko (sensitiv data kan havne i tredjepartsmodeller) og gjør det umulig å overholde merkekravet for KI-innhold fra høsten 2026. Løsningen er å kartlegge faktisk KI-bruk og etablere en KI-policy.

En formell KI-policy er ikke eksplisitt påkrevd av KI-forordningen, men anbefales sterkt av to årsaker. For det første er den et sentralt virkemiddel for å oppfylle Artikkel 4 — ansatte skal kjenne bedriftens KI-retningslinjer som del av opplæringen. For det andre er den nødvendig for å overholde merkekravet for KI-innhold fra høsten 2026, håndtere skygge-KI-risikoen og dokumentere systematisk etterlevelse overfor tilsynsmyndigheten.

De tre viktigste tiltakene for norske bedrifter nå er: (1) Kartlegg hvilke KI-verktøy som brukes i virksomheten og av hvem — inkludert «skygge-KI» ansatte benytter uoffisielt. (2) Gjennomfør KI-opplæring for alle ansatte som bruker KI-systemer, og dokumenter gjennomføringen — dette er et lovkrav som allerede gjelder. (3) Utarbeid en KI-policy med oversikt over godkjente verktøy, forbud mot deling av sensitiv informasjon, og rutiner for merking av KI-innhold fra høsten 2026.

En FRIA (Fundamental Rights Impact Assessment, konsekvensanalyse for grunnleggende rettigheter) er en vurdering idriftsettere av høyrisiko-KI-systemer skal utføre for å kartlegge mulige negative konsekvenser KI-systemet kan ha for grunnleggende rettigheter som helse, sikkerhet og ikke-diskriminering. FRIA har likhetstrekk med personvernkonsekvensvurderingen (DPIA) etter GDPR, og funn fra en DPIA kan gjenbrukes i en FRIA. EU-kommisjonen vil utarbeide veiledning for slike vurderinger.

Ja. KI-forordningen overlapper med personvernforordningen (GDPR) der KI behandler personopplysninger, med produktsikkerhetsdirektiver der KI inngår i et produkt, med sektorspesifikt regelverk i helse, finans og utdanning, og med ny forvaltningslov om automatisering (vedtatt i Norge 16. juni 2025). Bedrifter i regulerte sektorer bør vurdere KI-etterlevelse i lys av det samlede regelverket — ikke KI-forordningen isolert.

For de fleste norske bedrifter som bruker KI til generelle oppgaver (Copilot, ChatGPT til tekstproduksjon) tar full initial etterlevelse typisk 2–4 uker: én uke til kartlegging og klassifisering, én til to uker til gjennomføring av KI-opplæring for alle ansatte, og én uke til å ferdigstille KI-policy og dokumentasjon. Bedrifter der KI benyttes i høyrisiko-bruksområder (rekruttering, kreditt, helse) trenger mer tid og bør starte nå fremfor å vente til fristen i desember 2027.

Konsekvensene av manglende etterlevelse inkluderer: administrative bøter på inntil 15 millioner euro eller 3 % av global omsetning for brudd på idriftsetter-forpliktelser; erstatningsansvar overfor tredjeparter som lider skade som følge av manglende opplæring; omdømmeskade ved offentliggjøring av tilsynssaker; og konkurranseulempe overfor virksomheter som er tidlig ute med etterlevelse. Kostnaden ved å oppfylle kravene er i de aller fleste tilfeller langt lavere enn kostnaden ved å la være.