AI-förordningen kommer till Norge: vad ni gör innan den träder i kraft
18 May 2026 · Skarpix
EU:s AI-förordning är världens första heltäckande reglering av artificiell intelligens. I Norge genomförs den i norsk rätt genom KI-loven, en egen norsk lag som tar in förordningen via EES-avtalet. Nasjonal kommunikasjonsmyndighet (Nkom) är utpekad som koordinerande tillsynsmyndighet. Konsultationen om lagförslaget avslutades 30 september 2025.
Den ursprungliga ambitionen var att KI-loven skulle träda i kraft sensommaren 2026, ungefär samtidigt som huvuddelen av AI-förordningen blir tillämplig i EU den 2 augusti 2026. EES-förhandlingarna har dock blivit försenade, och en kort försening jämfört med EU-fristen är sannolik. Det betyder att norska företag har ett något längre fönster än EU-företag, men inte mycket längre.
Nkoms rekommendation är enkel: börja förberedelserna så snart som möjligt.
Vem omfattas
AI-förordningen gäller leverantörer och användare av AI-system som släpps på marknaden eller tas i bruk i EU/EES, eller vars utdata används där. I praktiken omfattar det de flesta norska företag som utvecklar, importerar, distribuerar eller använder AI-system. Det är bredare än många antar.
Förordningen klassificerar AI-system efter risk. Klassificeringen avgör vilka skyldigheter som gäller:
Förbjudna metoder (artikel 5). Social poängsättning, manipulation, otillåten biometrisk identifiering i realtid på offentlig plats, och en handfull andra. Dessa är helt förbjudna i EU och har varit verkställbara på EU-nivå sedan 2 februari 2025.
Högrisksystem (bilaga III). AI inom rekrytering, kreditbedömning, utbildning, brottsbekämpning, kritisk infrastruktur, och flera andra områden. Dessa har de strängaste skyldigheterna: riskhanteringssystem, datastyrning, teknisk dokumentation, loggning, mänsklig tillsyn och bedömning av överensstämmelse. Kraven gäller från 2 augusti 2026 på EU-nivå.
Begränsad risk. Främst transparenskrav. Chattbottar måste upplysa om att de är AI. Genererat innehåll måste märkas.
Minimal risk. Inga särskilda skyldigheter. Skräppostfilter, AI i spel, och liknande.
Det finns också separata regler för AI-modeller med generell användning (GPAI), inklusive så kallade "modeller med systemisk risk". Dessa regler har gällt på EU-nivå sedan 2 augusti 2025.
Vad ni behöver göra, beroende på roll
Det första ni måste klargöra är om ni är leverantör, användare, eller båda. Skyldigheterna skiljer sig åt.
Som leverantör (ni utvecklar eller importerar AI-system för användning under eget namn): riskhanteringssystem, datastyrning och dataspår, teknisk dokumentation, loggning, transparens mot användare, mänsklig tillsyn på systemnivå, bedömning av överensstämmelse, CE-märkning för högrisksystem, och löpande övervakning av systemet på marknaden.
Som användare (ni tar ett AI-system i drift i egen verksamhet): använd systemet i enlighet med leverantörens anvisningar, genomför en grundrättighetsbedömning (FRIA) där det krävs, säkerställ mänsklig tillsyn i driften, spara loggar och informera berörda personer där det behövs.
Som båda: båda uppsättningarna gäller. Många verksamheter är båda: ni köper ett AI-verktyg och finjusterar det på egna data, eller bygger eget gränssnitt på en tredjepartsmodell.
Böter
Böterna i AI-förordningen är bland de strängaste i EU-rätten. För förbjudna metoder kan överträdelseavgiften bli upp till 35 miljoner euro eller 7 % av global omsättning, det högsta av de två. För brott mot de flesta andra skyldigheter är taket 15 miljoner euro eller 3 %. För felaktig information till tillsynsmyndigheter, 7,5 miljoner euro eller 1 %.
Som jämförelse är GDPR-taket 20 miljoner euro eller 4 % av global omsättning. AI-förordningen går alltså högre för de allvarligaste överträdelserna.
AI-kompetens hos personalen (artikel 4)
Ett krav som ofta förbises: artikel 4 kräver att verksamheter säkerställer att personal som använder AI-system har tillräcklig AI-kompetens för att använda dem säkert. Detta är en grundläggande skyldighet som gäller oavsett risknivå. Det betyder inte att alla ska bli dataforskare. Det betyder att användarna av ett AI-system ska förstå vad systemet gör, vad det inte gör, hur det kan fela, och hur de kritiskt ska hantera utdata.
I praktiken betyder det utbildning av anställda som använder AI-verktyg i tjänsten, dokumenterad. Datatilsynet har signalerat att de förväntar sig att norska verksamheter har en plan för detta. Datatilsynet har AI som prioriterat tillsynsområde.
Vad ni bör göra nu
Kartlägg era AI-system. Första steget. Lista alla AI-system ni utvecklar, importerar, distribuerar eller använder. Inkludera skugg-AI: ChatGPT-användning på avdelningsnivå, AI-funktioner som har dykt upp i befintliga SaaS-verktyg, och liknande. Ni kan inte efterleva det ni inte känner till.
Klassificera varje system. Förbjudet, högrisk, begränsad risk eller minimal risk? För varje system: är ni leverantör, användare, eller båda?
Börja där skyldigheten är störst. Har ni ett högrisksystem som leverantör? Det är där det mesta av arbetet ligger, och där ni måste börja. Riskhanteringssystem och teknisk dokumentation tar tid att bygga ordentligt.
Planera för artikel 4-utbildning. Vilken AI-kompetens behöver vem? Hur dokumenterar ni det? Det är den enklaste skyldigheten att börja med, och en av de första som tillsynen kommer att leta efter.
Uppdatera leverantörsavtal. Om ni använder ett AI-system från tredje part måste avtalet placera ansvar mellan leverantör och användare tydligt. Det finns ingen anledning att vänta med detta.
Skarpix erbjuder en gratis AI Act-kartläggning som tar 5–10 minuter och producerar en konkret rapport över var ni står, både som leverantör och som användare. Den är byggd kring den norska bilden, inklusive Nkoms koordinerande roll och KI-loven så som den nu föreslagits.