Klassifisering og dokumentasjon under AI Act, automatisert.
Gratis, ingen registrering kreves for kartleggingen.
- 01Tilbydere som plasserer et AI-system på EU-markedet, uansett hvor tilbyderen selv er etablert.
- 02Brukere som benytter AI-systemer i EU, inkludert generelle AI-verktøy som ChatGPT, Claude eller Gemini i meningsfull operasjonell skala.
- 03Importører og distributører av AI-systemer beregnet på EU-markedet.
- 04Selskaper utenfor EU der AI-resultatene påvirker personer i EU. Den ekstraterritoriale rekkevidden speiler GDPR-mønsteret.
- 05Selskaper som bygger AI inn i sikkerhetskomponenter i regulerte produkter (medisinsk utstyr, maskiner, leker, kjøretøy, heiser).
Hva kreves
Klart språk, ikke juridisk sjargong. Kildehenvisninger lenker til selve regelverket.
Risikoklassifisering
Kategoriser hvert AI-system som forbudt, høyrisiko, begrenset risiko eller minimal risiko. Ulike plikter knyttes til hvert nivå. Forbudte praksiser er absolutte.
Artikkel 5–6, AI Act (EU) 2024/1689 →Teknisk dokumentasjon
Høyrisikosystemer krever Annex IV-dokumentasjon som dekker treningsdata, designvalg, ytelsesmål, tiltak for risikostyring og planer for tilsyn etter markedsføring. Vedlikeholdes løpende.
Artikkel 11 + Annex IV, AI Act →Menneskelig tilsyn
Høyrisikosystemer må utformes slik at fysiske personer effektivt kan føre tilsyn: tolke resultater, gripe inn, overstyre eller slå av. Dokumenter tilsynstiltakene og hvilke kompetanser som kreves.
Artikkel 14, AI Act →Åpenhetsplikter
Opplys om AI-generert innhold (deepfakes, syntetiske medier), informer brukere når de samhandler med et AI-system, og merk resultater som kan villede fysiske personer.
Artikkel 50, AI Act →Samsvarsvurdering og CE-merking
Høyrisiko AI-systemer krever en samsvarsvurderingsprosedyre (intern eller tredjepart, avhengig av type) og CE-merking før de plasseres på markedet eller tas i bruk.
Artikkel 43, AI Act →Tilsyn etter markedsføring og rapportering av alvorlige hendelser
Drift aktiv overvåking av høyrisikosystemer i reell bruk og varsle nasjonale myndigheter om alvorlige hendelser innen strenge frister (15 dager; 2 dager for utbredte brudd).
Artikkel 72–73, AI Act →Viktige datoer
- 1. august 2024AI Act trådte i kraft
- 2. februar 2025Forbudte praksiser gjelder i hele EU
- 2. august 2025Styringsregler, GPAI-plikter og sanksjonsregimet gjelder
- 2. august 2026Full anvendelse. Høyrisikosystemer (Annex III) omfattet.
- 2. august 2027Eksisterende høyrisikoprodukter listet i Annex I tas inn i omfanget
Sanksjoner
Inntil 35 millioner euro eller 7 % av global omsetning for forbudte praksiser, det høyeste av de to.
Utover sanksjoner kan manglende etterlevelse blokkere enterprise-salgsavtaler, eksponere ledelsen personlig og utløse rapporteringspliktige hendelser under tilgrensende regelverk.
Slik hjelper Skarpix
AI-oversikt
Kataloger hvert AI-system du bygger, lisensierer eller bygger inn, med risikoklassifisering per system og de tilhørende pliktene.
Kartlegging av risikonivåer
Automatisert klassifisering mot AI Acts risikotaksonomi med begrunnelsesspor du kan forsvare.
Annex IV-dokumentasjon
Maler for den tekniske dokumentasjonen høyrisikosystemer krever, oppdatert etter hvert som systemet utvikler seg.
Sporing av åpenhet
Bekreft at åpenhetspliktene oppfylles på tvers av kundevendte AI-funksjoner (chatbots, syntetiske medier, generert innhold).
Hendelsesrapportering
Arbeidsflyt og maler for varselrekken om alvorlige hendelser etter artikkel 73.
Klar for å se hvor du står på EU AI Act?
Ofte stilte spørsmål
Vi bruker bare ChatGPT til produktivitet. Gjelder AI Act for oss?+
Bruk av general-purpose AI medfører lettere åpenhetsplikter, og tilbyderen din (OpenAI, Anthropic, Google) bærer mesteparten av den strukturelle etterlevelsesbyrden. Du må fortsatt informere ansatte og kunder når AI tar vesentlige beslutninger, og du kan ikke bruke general-purpose AI til forbudte praksiser uansett hvem som har bygget modellen.
Hva er et høyrisiko AI-system?+
Annex III lister kategorier som biometrisk identifikasjon, kritisk infrastruktur, utdanningsvurdering, HR/rekruttering, kredittskåring, politi og rettshåndhevelse, migrasjon og rettsforvaltning. I tillegg AI brukt som sikkerhetskomponent i produkter under eksisterende EU-regelverk (medisinsk utstyr, maskiner, leker, kjøretøy).
Når starter sanksjonene?+
Forbudte praksiser: februar 2025. GPAI og styring: august 2025. Sanksjoner for høyrisikosystemer: august 2026. Maksimumet på €35M / 7 % gjelder brudd på forbudte praksiser, manglende etterlevelse for høyrisikosystemer er begrenset til €15M / 3 %, og å gi feilaktig informasjon er begrenset til €7,5M / 1 %.
Hvordan spiller AI Act sammen med GDPR?+
GDPR fortsetter å gjelde for alle personopplysninger AI-systemer behandler. AI Act legger strukturelle plikter (dokumentasjon, tilsyn, samsvar, åpenhet) på toppen av personvernkravene i GDPR. Skarpix kartlegger overlappende dokumentasjon på tvers av begge rammeverkene, slik at du ikke dobbeltarbeider.
Hva med general-purpose AI-modeller som GPT-4 og Claude?+
GPAI-tilbydere møter konkrete plikter etter artikkel 53–55: teknisk dokumentasjon, opphavsrettslig etterlevelse, sammendrag av treningsdata, og (for modeller med systemisk risiko) ytterligere modellevalueringer, adversarial testing og hendelsesrapportering. Som bruker arver du nedstrømsplikter avhengig av hvordan du bruker modellen.
Vi er et selskap utenfor EU. Gjelder AI Act fortsatt?+
Ja, hvis du plasserer et AI-system på EU-markedet, tar det i bruk i EU, eller AI-resultatene dine brukes i EU, uansett hvor du er etablert. Den ekstraterritoriale rekkevidden speiler GDPR. Tilbydere utenfor EU må utpeke en autorisert representant i EU.
Hvilken myndighet har ansvaret for AI Act i Norge?+
KI-forordningen gjelder i EU og innføres i faser. Den er ennå ikke norsk lov: Norge innfører den gjennom den kommende KI-loven, som ventes i løpet av 2026 etter innlemmelse i EØS-avtalen. Nkom (Nasjonal kommunikasjonsmyndighet) er utpekt som koordinerende tilsynsmyndighet i Norge.