KI-loven (EU AI Act) – Hva norske bedrifter må vite i 2026

KI-loven, offisielt kjent som EU AI Act, er verdens første helhetlige regulering av kunstig intelligens. Loven ble vedtatt av EU i mars 2024 og trer gradvis i kraft fra februar 2025, med full virkning fra august 2027. Fordi Norge er del av EØS-avtalen, vil KI-loven gjelde her på lik linje med EU-landene.

Formålet med loven er å sikre at AI-systemer som brukes i Europa er trygge, transparente og respekterer grunnleggende rettigheter. Loven innfører en risikobasert tilnærming der ulike AI-systemer får ulike krav avhengig av hvor stor risiko de utgjør. Det betyr at ikke alle bedrifter rammes likt – men alle som bruker AI trenger å forstå hvilken kategori deres bruk faller inn under.

KI-loven gjelder ikke bare de som lager AI – den gjelder alle som bruker AI-systemer i virksomheten sin.

For norske bedrifter er dette viktig fordi mange allerede bruker AI uten å ha tenkt over regulatoriske konsekvenser. ChatGPT for kundeservice, AI-basert rekrutteringsverktøy, automatisert kredittvurdering eller chatboter på nettsiden – alt dette kan falle inn under KI-loven avhengig av bruksområdet og risikokategorien.

KI-loven deler AI-systemer inn i fire risikokategorier: uakseptabel risiko, høy risiko, begrenset risiko og minimal risiko. Kravene bedriften din må oppfylle avhenger helt av hvilken kategori din AI-bruk faller inn under.

Uakseptabel risiko omfatter AI-systemer som er forbudt. Dette inkluderer sosial scoring av borgere, manipulasjon som utnytter sårbare grupper, sanntids biometrisk masseovervåking og systemer som kategoriserer mennesker basert på biometriske data for å utlede rase, politisk overbevisning eller seksuell orientering. De fleste norske bedrifter vil aldri komme i nærheten av denne kategorien.

Høy risiko er kategorien som treffer flest bedrifter. Den omfatter AI brukt i rekruttering og HR-beslutninger, kredittvurdering, tilgang til utdanning, forsikringsberegning og kritisk infrastruktur. Hvis bedriften din bruker AI til å screene jobbsøknader, vurdere kredittverdighet eller ta beslutninger som påvirker folks tilgang til tjenester, er du sannsynligvis i denne kategorien. Kravene inkluderer risikovurdering, dokumentasjon, menneskelig oversikt og teknisk testing.

Begrenset risiko gjelder AI-systemer som interagerer direkte med mennesker, for eksempel chatboter og AI-generert innhold. Her er hovedkravet transparens: brukerne må informeres om at de kommuniserer med en AI. Minimal risiko omfatter de fleste andre AI-brukstilfeller, som spamfiltre og AI-assistert tekstbehandling. Her stiller loven ingen spesifikke krav, men anbefaler frivillige retningslinjer.

KI-loven trer i kraft stegvis. Fra februar 2025 gjelder forbudet mot AI-systemer med uakseptabel risiko. Fra august 2025 gjelder reglene for generelle AI-modeller (foundation models) som GPT-4 og Claude. Disse kravene retter seg primært mot utviklerne av modellene, ikke bedriftene som bruker dem.

Fra august 2026 trer hovedkravene for høyrisiko-AI i kraft. Dette er den viktigste milepælen for norske bedrifter, fordi det er her kravene til risikovurdering, dokumentasjon og menneskelig oversikt begynner å gjelde. Bedrifter som bruker AI i rekruttering, kredittvurdering eller andre høyrisiko-områder må ha systemer på plass innen denne datoen.

Full håndhevelse starter fra august 2027. Etter denne datoen kan brudd på KI-loven føre til bøter på opptil 35 millioner euro eller 7 prosent av global omsetning, avhengig av hvilken bestemmelse som er brutt. For de fleste norske bedrifter er august 2026 den datoen de bør planlegge mot.

For de fleste norske bedrifter som bruker AI til generelle oppgaver som tekstbehandling, innholdsproduksjon og kundeservice via chatbot, er kravene overkommelige. Du trenger transparens – informer brukerne om at de snakker med en AI – og grunnleggende dokumentasjon over hvilke AI-verktøy bedriften bruker og til hva.

For bedrifter som bruker AI i mer sensitive prosesser som rekruttering og HR, kreves det mer. Du må gjennomføre en risikovurdering av AI-systemet, dokumentere hvordan det fungerer og hvilke data det bruker, sikre at et menneske har oversikt over beslutningene AI-systemet tar, og gjennomføre jevnlige tester for å avdekke skjevheter og feil.

Et konkret eksempel: Hvis bedriften din bruker et AI-verktøy til å rangere CV-er i en ansettelsesprosess, må du dokumentere hvilke kriterier verktøyet bruker, teste om det diskriminerer basert på kjønn, alder eller etnisitet, og sørge for at en person alltid tar den endelige avgjørelsen. Selve verktøyleverandøren har også plikter, men ansvaret for å bruke det forsvarlig ligger hos bedriften.

Det første steget er å kartlegge all AI-bruk i bedriften. Mange ansatte bruker AI-verktøy uten at ledelsen vet om det. Lag en oversikt over hvilke AI-systemer som brukes, hvem som bruker dem og til hvilke formål. Dette gir deg grunnlaget for å vurdere hvilke risikokategorier som gjelder.

Deretter bør du klassifisere bruken etter risikokategori. For hvert AI-system, vurder om det brukes til beslutninger som påvirker enkeltpersoner vesentlig. Hvis ja, faller det sannsynligvis i høyrisiko-kategorien og krever mer omfattende tiltak. Hvis det brukes til generelle oppgaver uten direkte påvirkning på enkeltpersoner, er kravene enklere.

Etabler interne retningslinjer for AI-bruk. Disse bør dekke hvilke verktøy som er godkjent, hva slags data som kan deles med AI-systemer, hvem som har ansvar for å følge opp compliance, og hvordan dere håndterer situasjoner der AI-systemet gir feil eller problematiske resultater.

For de fleste små og mellomstore bedrifter trenger ikke dette å være komplisert. Et enkelt dokument som beskriver AI-bruken, risikovurderingene og retningslinjene er et godt utgangspunkt. Oppdater det jevnlig etter hvert som ny AI-teknologi tas i bruk og regelverket utvikler seg.