KI-loven forklart for norske virksomheter
Denne siden er for deg som skal få virksomheten i mål i praksis – ikke for deg som vil lese lovtekst paragraf for paragraf.
Hva må virksomheter gjøre? Kartlegg hvor KI brukes, vurder risiko, fordel ansvar, sørg for dokumentasjon og gjør dere klare til tilsyn og kundespørsmål.
Hva er KI-loven?
KI-loven brukes ofte som kortnavn på regelverket som gjennomfører og håndhever EU KI-forordningen (AI Act) i Norge. For virksomheter betyr det i praksis krav til oversikt, risikostyring, transparens og dokumentasjon – særlig når KI brukes i høyrisiko-områder.
Hvordan henger KI-loven og KI-forordningen sammen?
KI-forordningen er selve EU-regelverket. KI-loven er den norske rammen for implementering og håndheving (inkludert tilsyn og sanksjoner), gjennom EØS. Du jobber derfor i praksis med kravene i KI-forordningen, men må også følge med på norsk implementering.
Finn riktig del av veilederen
E-E-A-T (kort):
- Basert på EU AI Act + norsk implementering
- Praktisk veiledning for virksomheter (ikke lovtekst)
- Oppdateres fortløpende når håndheving og praksis utvikler seg
Denne veilederen gir deg en praktisk fremgangsmåte for å jobbe med etterlevelse av EU KI-forordningen (AI Act). Den er skrevet for norske virksomheter – primært små og mellomstore bedrifter – som bruker KI-baserte verktøy i hverdagen og trenger en operasjonell plan for å komme i gang.
Veilederen følger syv steg som tar deg fra kartlegging av KI-bruk til tilsynsberedskap. Hvert steg peker videre til dypdykk-artikler for dem som trenger mer detalj.
Merk: Innholdet er veiledende og erstatter ikke juridisk rådgivning. Forordningen er ny, og tolkningen vil utvikle seg over tid.
Hvem er veilederen for?
Veilederen er laget for deg som har en operasjonell rolle i virksomheten:
- Ledere som trenger å forstå hva etterlevelse krever og hvem som bør gjøre hva.
- HR-ansvarlige som bruker KI i rekruttering, personalforvaltning eller prestasjonsvurdering.
- IT-ansvarlige som velger, drifter og vedlikeholder systemer med KI-funksjonalitet.
- Innkjøpsansvarlige som skal stille riktige krav til leverandører.
- Juridisk og compliance som skal sikre at virksomheten opptrer i samsvar med regelverket.
Hvorfor etterlevelse er drift – ikke teori
KI-forordningen handler ikke om å skrive et dokument én gang og legge det i en skuff. Etterlevelse er et løpende arbeid som krever rutiner, ansvar og oppfølging over tid. De virksomhetene som lykkes, behandler det som en del av ordinær drift – ikke som et prosjekt med sluttdato.
Det betyr at du trenger:
- En oversikt over hva dere bruker.
- Noen som er ansvarlig.
- Dokumentasjon som holdes oppdatert.
- Rutiner for når ting endrer seg.
Når KI-forordningen treffer virksomheten din
KI-forordningen gjelder for alle som utvikler, tilbyr eller bruker KI-systemer innenfor EØS. For norske virksomheter skjer innlemmelsen gjennom EØS-avtalen, men mange virksomheter er allerede truffet gjennom kunder, leverandører og samarbeidspartnere i EU.
Forordningen trer i kraft trinnvis – forbudte praksiser gjelder allerede, mens hovedtyngden av kravene for høyrisiko-systemer trer i kraft i august 2026.
Videre lesning:
Steg 1: Identifiser hvor KI brukes
Det første steget er å få oversikt over hvilke KI-systemer som er i bruk i virksomheten. Dette høres enkelt ut, men erfaringen viser at mange virksomheter undervurderer omfanget.
Interne systemer
Gå gjennom systemer som er anskaffet eller utviklet spesifikt for virksomheten. Eksempler: rekrutteringssystemer med KI-screening, chatboter for kundeservice, prediktive analyseverktøy.
SaaS-verktøy
Mange SaaS-produkter har KI-funksjonalitet innebygd – ofte uten at det er tydelig merket. Eksempler: Microsoft 365 Copilot, HubSpot med prediktiv scoring, Slack med automatiske oppsummeringer. Spør leverandørene direkte.
Skjult KI
Den vanskeligste kategorien er KI som er innebygd i verktøy uten at brukerne er klar over det. Automatiske anbefalinger, smarte filtre og prediktive forslag kan alle inneholde KI. En systematisk gjennomgang av alle verktøy i bruk er nødvendig.
Videre lesning:
Steg 2: Klassifiser risiko
Når du har oversikten, er neste steg å vurdere risikonivået for hvert system. Forordningen deler KI-systemer inn i fire kategorier: forbudt, høy risiko, begrenset risiko og minimal risiko. Kategorien avgjør hvilke krav som gjelder.
Når det typisk blir høy risiko
Systemer som påvirker enkeltpersoners tilgang til arbeid, utdanning, helse eller offentlige tjenester er ofte høyrisiko. For mange norske virksomheter betyr dette at HR-systemer er det første som bør vurderes grundig.
Praktisk triage
Du trenger ikke gjøre en perfekt vurdering første gang. Start med de systemene som mest sannsynlig er høyrisiko, og jobb deg nedover. En systematisk triage hjelper deg med å prioritere innsatsen.
Videre lesning:
Steg 3: Fordel ansvar og eierskap
Etterlevelse krever at noen eier oppgavene. Uten tydelig ansvar skjer det ingenting – eller det gjøres dobbeltarbeid mens viktige ting faller mellom stoler.
Deployer og provider
Forordningen skiller mellom provider (leverandør som utvikler KI-systemet) og deployer (virksomhet som tar det i bruk). De fleste norske SMB-er er deployers, og det er deployeren som er ansvarlig for at systemet brukes i tråd med regelverket.
Intern eier
Hver KI-systemfil bør ha en navngitt eier – typisk den fagpersonen som eier prosessen der systemet brukes. I tillegg bør virksomheten utpeke én person som koordinerer KI-etterlevelse på tvers.
Videre lesning:
Steg 4: Dokumentasjon og evidens
Dokumentasjon er kjernen i etterlevelse. Tilsynsmyndigheter og revisorer forventer at du kan vise hva du har gjort, hvilke vurderinger som er gjort, og hvem som tok beslutningene.
Hva som forventes
Dokumentasjonskravene avhenger av risikonivået:
- Minimal risiko: Ingen formelle krav, men god praksis tilsier at du dokumenterer bruken.
- Begrenset risiko: Du må informere brukerne om at de interagerer med KI.
- Høy risiko: Full dokumentasjon – systemfil, konsekvensvurdering, tilsynsrutiner, logger og informasjon til berørte.
Evidens for tilsyn og kunder
Det er ikke bare tilsynsmyndigheter som spør. Stadig flere kunder og samarbeidspartnere stiller krav om dokumentasjon av KI-bruk. Ha dokumentasjonen klar slik at du kan svare raskt.
Videre lesning:
Steg 5: HR-spesifikke plikter
HR er et av områdene der forordningen har størst praktisk betydning for norske virksomheter. Systemer for rekruttering, ytelsesovervåkning og kompetansevurdering kan alle falle inn under høyrisiko-kategorien.
Rekruttering
KI-basert CV-screening, kandidatrangering og automatisert filtrering av søkere er typiske høyrisiko-systemer. Du må sikre menneskelig tilsyn, dokumentere bruken og gjennomføre konsekvensvurdering.
Overvåkning og ytelse
Systemer som samler data om ansattes produktivitet eller prestasjon kan være høyrisiko – og kan i tillegg utløse krav etter norsk arbeidsmiljølov om drøfting med tillitsvalgte.
Transparens til ansatte og søkere
Både forordningen og norsk arbeidsrett krever at berørte personer informeres når KI brukes i beslutninger som angår dem. Informasjonen skal være forståelig og tilgjengelig.
Videre lesning:
Steg 6: Leverandører og anskaffelser
Når du kjøper KI-funksjonalitet fra en leverandør, overtar du ikke leverandørens ansvar – men du får ditt eget. Du må vite hva systemet gjør, og du trenger dokumentasjon fra leverandøren for å oppfylle dine egne forpliktelser.
Hva du bør kreve
Be leverandøren om:
- Teknisk dokumentasjon og bruksanvisning.
- Informasjon om treningsdata og kjente begrensninger.
- Leverandørens egen samsvarserklæring eller risikovurdering.
- Tidsplan for etterlevelse av forordningen.
Når leverandøren ikke svarer
Hvis en leverandør ikke kan eller vil gi deg nødvendig dokumentasjon, bør du vurdere om det er forsvarlig å bruke systemet. Dokumenter forespørslene og svarene – dette er i seg selv viktig evidens.
Videre lesning:
Steg 7: Forbered deg på tilsyn og spørsmål
Etterlevelse handler ikke bare om å gjøre ting riktig – det handler også om å kunne vise at du har gjort ting riktig. Forbered deg på at noen vil spørre.
Hvem kan spørre?
- Tilsynsmyndigheter – det nasjonale tilsynet som får ansvar for KI-forordningen i Norge.
- Kunder – spesielt kunder i EU som allerede er underlagt forordningen.
- Revisorer – som del av internrevisjon eller eksternrevisjon.
- Ansatte og tillitsvalgte – som har rett til informasjon om KI-bruk på arbeidsplassen.
Etterlevelse som løpende arbeid
Sett opp en fast rytme for gjennomgang av KI-dokumentasjonen – for eksempel årlig, eller når systemer endres vesentlig. Etterlevelse er ikke et engangsprosjekt. Dokumentasjon som er utdatert er nesten like ille som ingen dokumentasjon.
Videre lesning:
Dette dekker ikke veilederen
Denne veilederen dekker det praktiske – hva du bør gjøre, i hvilken rekkefølge, og hvor du finner mer informasjon. Den dekker ikke:
- Utvikling av KI-systemer. Veilederen er skrevet for virksomheter som bruker KI, ikke for dem som utvikler det.
- Juridisk rådgivning. Ved usikkerhet om tolkning, søk profesjonell bistand.
- Sektorspesifikt regelverk. Helse, utdanning og offentlig sektor har tilleggskrav utover KI-forordningen.
Oversikt over stegene
| Steg | Hva du gjør | Nøkkelresultat |
|---|---|---|
| 1 | Identifiser KI-bruk | Liste over systemer med KI |
| 2 | Klassifiser risiko | Risikoklasse per system |
| 3 | Fordel ansvar | Navngitte eiere og roller |
| 4 | Dokumenter | Systemfiler og vurderinger |
| 5 | HR-plikter | Transparens, tilsyn, drøfting |
| 6 | Leverandører | Dokumentasjon fra leverandør |
| 7 | Tilsynsberedskap | Klar for spørsmål |
Videre lesning
- EU KI-forordningen
- Norge og KI-forordningen
- KI i HR
- Leverandørvurdering av KI
- Klassifisering og regler
- Praktisk triage: er det høy risiko?
- Skjult KI i SaaS
- Styring og ansvar
- Hvem er ansvarlig i en norsk SMB?
- Tilsyn, revisjon og bevis
- Sikkerhet og evidens
Sist oppdatert
2026-02-05