KI-forordningen kommer til Norge: hva du gjør før den trer i kraft
18 May 2026 · Skarpix
EUs KI-forordning er den første helhetlige reguleringen av kunstig intelligens i verden. I Norge gjennomføres den i norsk rett gjennom KI-loven, en egen norsk lov som tar inn forordningen via EØS-avtalen. Nasjonal kommunikasjonsmyndighet (Nkom) er utpekt som koordinerende tilsynsmyndighet. Konsultasjonen om lovforslaget ble avsluttet 30. september 2025.
Den opprinnelige ambisjonen var at KI-loven skulle tre i kraft sensommeren 2026, omtrent samtidig som hoveddelen av KI-forordningen blir gjeldende i EU 2. august 2026. EØS-forhandlingene har imidlertid blitt forsinket, og en kort forsinkelse i forhold til EU-fristen er sannsynlig. Det betyr at norske virksomheter har et litt lengre vindu enn EU-virksomheter, men ikke mye lengre.
Nkoms anbefaling er enkel: begynn forberedelsene så snart som mulig.
Hvem omfattes
KI-forordningen gjelder for leverandører og brukere av KI-systemer som settes i bruk eller får virkning i EU/EØS. Det vil i praksis omfatte de fleste norske virksomheter som utvikler, importerer, distribuerer eller bruker KI-systemer. Det er bredere enn mange tror.
Forordningen klassifiserer KI-systemer etter risiko. Klassifiseringen bestemmer hva slags forpliktelser dere får:
Forbudte praksiser (artikkel 5). Sosial scoring, manipulasjon, ulovlig biometrisk identifikasjon i sanntid på offentlige steder, og en håndfull andre. Disse er fullstendig forbudt i EU og har vært håndhevbare på EU-nivå siden 2. februar 2025.
Høyrisikosystemer (vedlegg III). KI i rekruttering, kredittvurdering, utdanning, rettshåndhevelse, kritisk infrastruktur, og en rekke andre områder. Disse har de strengeste forpliktelsene: risikostyringssystem, datastyring, teknisk dokumentasjon, logging, menneskelig tilsyn og samsvarsvurdering. Kravene blir gjeldende fra 2. august 2026 på EU-nivå.
Begrenset risiko. Hovedsakelig transparenskrav. KI-chatboter må informere brukerne om at de snakker med en KI. Generert innhold må merkes.
Minimal risiko. Ingen særlige forpliktelser. Spam-filtre, KI i spill, og lignende.
I tillegg er det egne regler for KI-modeller med generell formål (GPAI), inkludert såkalte "modeller med systemisk risiko". Disse reglene har vært gjeldende på EU-nivå siden 2. august 2025.
Hva dere må gjøre, etter rolle
Det første dere må avklare er om dere er leverandør, bruker, eller begge deler. Forpliktelsene er forskjellige.
Som leverandør (dere utvikler eller importerer KI-systemer for bruk under eget navn): risikostyringssystem, datastyring og dataspor, teknisk dokumentasjon, logging, transparens overfor brukerne, menneskelig tilsyn på systemnivå, samsvarsvurdering, CE-merking for høyrisikosystemer, og kontinuerlig overvåkning av systemet i markedet.
Som bruker (dere setter et KI-system i drift i egen virksomhet): bruk systemet i samsvar med leverandørens anvisninger, gjennomfør grunnleggende rettighetsvurdering (FRIA) der det kreves, sørg for menneskelig tilsyn i driften, oppbevar logger, og informer berørte personer der det er nødvendig.
Som begge deler: begge settene gjelder. Mange virksomheter er begge: dere kjøper et KI-verktøy og finjusterer det på egne data, eller setter eget grensesnitt på en tredjeparts modell.
Bøter
Bøtene i KI-forordningen er blant de strengeste i EU-retten. For forbudte praksiser kan overtredelsesgebyret bli inntil 35 millioner euro eller 7 % av global omsetning, det høyeste av de to. For brudd på de fleste andre forpliktelsene er taket 15 millioner euro eller 3 %. For uriktig informasjon til tilsynsmyndighetene, 7,5 millioner euro eller 1 %.
Til sammenligning er GDPR-taket 20 millioner euro eller 4 % av global omsetning. KI-forordningen går altså høyere for de mest alvorlige bruddene.
KI-kompetanse blant ansatte (artikkel 4)
Et krav som ofte glemmes: artikkel 4 krever at virksomheter sørger for at ansatte som bruker KI-systemer har tilstrekkelig KI-kompetanse til å bruke dem trygt. Dette er en grunnplikt som gjelder uavhengig av risikonivå. Det betyr ikke at alle skal bli dataforskere. Det betyr at brukerne av et KI-system skal forstå hva systemet gjør, hva det ikke gjør, hvordan det kan feile, og hvordan de skal håndtere utdata kritisk.
I praksis betyr det opplæring av ansatte som bruker KI-verktøy i jobbsammenheng, dokumentert. Datatilsynet har varslet at de forventer at norske virksomheter har en plan for dette. Datatilsynet har KI som prioritert tilsynsområde.
Hva dere bør gjøre nå
Kartlegg KI-systemene dere har. Det første steget. List opp alle KI-systemer dere utvikler, importerer, distribuerer eller bruker. Inkluder skygge-KI: ChatGPT-bruk på avdelingsnivå, AI-funksjoner som har dukket opp i eksisterende SaaS-verktøy, og lignende. Du kan ikke etterleve det du ikke vet om.
Klassifiser hvert system. Forbudt, høyrisiko, begrenset risiko, eller minimal risiko? For hvert system: er dere leverandør, bruker, eller begge deler?
Begynn der forpliktelsen er størst. Har dere et høyrisikosystem som leverandør? Det er der det meste av arbeidet ligger, og det er der dere må starte. Risikostyringssystem og teknisk dokumentasjon tar tid å bygge ordentlig.
Plan for artikkel 4-opplæring. Hva slags KI-kompetanse trenger hvem? Hvordan dokumenterer dere det? Dette er den enkleste forpliktelsen å starte med, og en av de første tilsynet vil se etter.
Oppdater leverandøravtaler. Hvis dere bruker et KI-system fra en tredjepart, må kontrakten plassere ansvar mellom leverandør og bruker tydelig. Det er ingen grunn til å vente med dette.
Skarpix gir dere en gratis AI Act-kartlegging som tar 5–10 minutter og produserer en konkret rapport om hvor dere står, både som leverandør og som bruker. Den er bygget rundt det norske bildet, inkludert Nkoms koordinerende rolle og KI-loven slik den nå er foreslått.