Når må du etterleve? Tidslinje og hva du bør dokumentere i år vs neste

KI-forordningen trer i kraft gradvis. Ulike krav har ulike ikrafttredelsesdatoer, noe som gir virksomheter tid til å forberede seg. Denne artikkelen gir deg en praktisk plan for hva du bør prioritere når.

Forordningens tidslinje

KI-forordningen innføres trinnvis. Det betyr at noen plikter gjelder tidlig, mens de mest omfattende kravene kommer senere. I praksis er det nyttig å tenke i faser:

Fase 1: Unngå forbudte praksiser

Sørg for at dere ikke bruker KI-funksjoner som kan falle inn under forbudte praksiser (for eksempel skjult manipulering, utnyttelse av sårbarheter eller sosial scoring).

Fase 2: Transparens og generelle KI-modeller (GPAI)

For enkelte systemtyper utløses transparenskrav (for eksempel chatboter og generert innhold). Dersom dere bruker tjenester bygget på generelle KI-modeller, kan det også være relevant å følge med på leverandørens dokumentasjon og endringsvarsler.

Fase 3: Høyrisiko-krav (Annex III)

De mest omfattende kravene gjelder høyrisikosystemer, som ofte er relevante i arbeidslivet (HR), utdanning og andre områder i Annex III. Dette er typisk der dere må være mest strukturerte på systemfiler, tilsyn, logging og evidens.

Fase 4: Overgang for eksisterende løsninger

Eldre eller eksisterende løsninger kan være omfattet av overgangsordninger. Praktisk konsekvens er at dere bør planlegge oppgradering av dokumentasjon og rutiner over tid, ikke bare “én gang”.

Hva du bør dokumentere først

Prioritet 1: Systemoversikt

Uavhengig av tidslinje bør du ha oversikt over KI-systemer virksomheten bruker. Dette er grunnlaget for alt annet arbeid.

Dokumenter nå:

• Liste over alle systemer med KI-funksjonalitet
• Leverandør og kontaktinformasjon
• Formål og bruksområde
• Hvem som bruker systemet internt

Prioritet 2: Høyrisikosystemer

Hvis du bruker systemer til rekruttering, ansattovervåkning eller andre høyrisiko-formål, bør disse prioriteres.

Dokumenter nå:

• Klassifiseringsvurdering med begrunnelse
• Leverandørdokumentasjon
• Rutiner for menneskelig tilsyn
• Informasjon til berørte

Prioritet 3: Sjekk mot forbudte praksiser

Verifiser at ingen av systemene dine har funksjonalitet som kan være forbudt.

Dokumenter nå:

• Vurdering av hvert system mot listen over forbudte praksiser
• Konklusjon og begrunnelse

Prioritet 4: Transparenskrav

Hvis du bruker chatboter, genererer syntetisk innhold, eller har andre systemer som utløser transparenskrav.

Dokumenter nå:

• Oversikt over systemer som krever transparensinformasjon
• Hvordan informasjonen gis
• Skjermbilder eller eksempler

Lag en enkel compliance-backlog

En compliance-backlog er en prioritert liste over oppgaver som gjenstår. Organiser den slik:

Struktur

Backlog for KI-etterlevelse
===========================

KRITISK (gjør umiddelbart)
- Verifiser ingen forbudte praksiser
- Kartlegg høyrisikosystemer

HØY PRIORITET (dette kvartalet)
- Fullfør systemoversikt
- Innhent leverandørdokumentasjon for høyrisikosystemer
- Etabler rutine for menneskelig tilsyn

MEDIUM PRIORITET (neste kvartal)
- Dokumenter transparenstiltak
- Lag rutine for nye anskaffelser
- Opplæring av nøkkelpersoner

LAVERE PRIORITET (når kapasitet)
- Detaljert dokumentasjon for alle systemer
- Formalisere alle rutiner
- Etablere årlig gjennomgang

Hold den oppdatert

Gå gjennom backlogen regelmessig, for eksempel månedlig. Flytt oppgaver mellom kategorier etter hvert som situasjonen endres.

Triggere som krever oppdatering

Vurderinger og dokumentasjon må holdes oppdatert. Her er hendelser som typisk utløser behov for gjennomgang:

Endringer i egen bruk

• Nytt bruksområde for eksisterende system
• Nye brukergrupper
• Endring i hvem som berøres av systemet
• Utvidelse til nye avdelinger eller prosesser

Leverandørendringer

• Vesentlige oppdateringer av systemet
• Ny funksjonalitet som aktiveres
• Endring i hvordan KI-komponenten fungerer
• Ny versjon eller modell

Organisatoriske endringer

• Ny ansvarlig person
• Endring i interne rutiner
• Oppkjøp eller fusjon
• Nye forretningsområder

Eksterne faktorer

• Ny veiledning fra tilsynsmyndigheter
• Relevante avgjørelser eller saker
• Endringer i forordningen eller tolkningen

Praktisk årshjul

Q1

• Årlig gjennomgang av systemoversikt
• Oppdater klassifiseringer ved behov
• Sjekk status på leverandørdokumentasjon

Q2

• Gjennomgang av høyrisikosystemer
• Oppdater risikovurderinger
• Evaluering av menneskelig tilsyn

Q3

• Sjekk nye systemer tatt i bruk
• Oppdater rutiner og retningslinjer
• Opplæring av nye medarbeidere

Q4

• Forbered neste års plan
• Oppsummer årets endringer
• Identifiser hull og prioriter tiltak

Dokumentasjonsminimum per system

For hvert KI-system bør du minimum ha:

1. Systeminformasjon (navn, leverandør, formål)
2. Klassifiseringsvurdering med dato
3. Relevant leverandørdokumentasjon
4. Beskrivelse av hvordan systemet brukes
5. Ansvarlig person internt

For høyrisikosystemer tilkommer:

6. Detaljert risikovurdering
7. Rutine for menneskelig tilsyn
8. Dokumentasjon av informasjon til berørte
9. Logger eller loggbeskrivelse
10. Samsvarserklæring fra leverandør

Videre lesning

• EU KI-forordningen
• Hva betyr den for norske virksomheter
• Risikonivåer: enkel oversikt
• Gjelder den hvis du bare kjøper programvare?
• Hvem er deployer, og hvorfor det betyr noe
• KI, GDPR og arbeidsmiljøloven: overlapp
• GPAI og grunnmodeller for brukere

Sist oppdatert

2026-02-02