EU KI-forordningen

EU KI-forordningen (AI Act) er det første omfattende regelverket for kunstig intelligens i Europa. Forordningen gjelder for EØS-området og blir dermed relevant for norske virksomheter som utvikler, importerer eller tar i bruk KI-systemer.

Regelverket bygger på en risikobasert tilnærming. Kravene varierer med hvor stor risiko et KI-system kan utgjøre for helse, sikkerhet og grunnleggende rettigheter.

Sist oppdatert: 2026-02-05

Finn riktig del av veilederen

• Klassifisering og risikonivå
• KI i HR
• Leverandørvurdering
• Tilsyn og dokumentasjon
• Styring og ansvar

E-E-A-T (kort):

• Basert på EU AI Act + norsk implementering
• Praktisk veiledning for virksomheter
• Oppdateres fortløpende når håndheving og praksis utvikler seg

Forholdet til norsk rett og implementering

KI-forordningen blir relevant i Norge gjennom EØS. Det betyr at kravene i forordningen i stor grad blir de samme for norske virksomheter, men at norsk implementering avklarer blant annet tilsynsmyndighet, håndheving og sanksjoner.

Hvis du trenger den praktiske siden av “hva gjør vi nå?”, start i veilederen til KI-loven og se også Norge og KI-forordningen for implementeringsløp og tilsyn.

Hvem gjelder forordningen for?

Forordningen retter seg mot flere aktører:

• Tilbydere (providers) som utvikler eller setter KI-systemer på markedet
• Distributører som gjør KI-systemer tilgjengelig uten å endre dem
• Importører som bringer KI-systemer fra land utenfor EØS inn i markedet
• Brukere (deployers) som tar i bruk KI-systemer i egen virksomhet

For mange norske virksomheter vil rollen som deployer være mest aktuell. Det innebærer plikter selv om du bare kjøper programvare fra andre.

Risikonivåer og klassifisering

Forordningen deler KI-systemer inn i kategorier:

• Uakseptabel risiko – Enkelte bruksområder er forbudt, som sosial scoring og visse former for biometrisk overvåkning.
• Høy risiko – Systemer som påvirker viktige beslutninger om mennesker må oppfylle strenge krav.
• Begrenset risiko – Systemer som chatboter har primært transparenskrav.
• Minimal risiko – De fleste KI-systemer faller her og har få særskilte krav.

Hva må dokumenteres?

Dokumentasjonskravene varierer med risikonivå. For høyrisikosystemer er kravene omfattende:

• Teknisk dokumentasjon av systemets funksjon og begrensninger
• Risikovurderinger og tiltak for å håndtere identifiserte risikoer
• Logging og sporbarhet for beslutninger systemet bidrar til
• Rutiner for menneskelig tilsyn og kontroll

Overlapp med annet regelverk

KI-forordningen kommer i tillegg til eksisterende regelverk. For norske virksomheter er det relevant å se sammenhengen med GDPR, arbeidsmiljøloven og sektorspesifikke regler.

Vanlige misforståelser

Mange tror forordningen bare gjelder de som utvikler KI selv. I praksis kan også virksomheter som kjøper standardprogramvare få plikter, særlig hvis programvaren brukes til beslutninger som påvirker enkeltpersoner.

En annen vanlig feil er å anta at leverandøren tar alt ansvar. Forordningen fordeler ansvar mellom ulike aktører.

Videre lesning

• KI-veileder for virksomheter
• Hva betyr den for norske virksomheter
• Tidslinje og hva du må dokumentere
• Risikonivåer: enkel oversikt
• Gjelder den hvis du bare kjøper programvare?
• Hvem er deployer, og hvorfor det betyr noe
• KI, GDPR og arbeidsmiljøloven: overlapp
• GPAI og grunnmodeller for brukere