AI Act-ordliste

KI-forordningen er verdens første brede regelverk for kunstig intelligens. Den deler KI-systemer inn etter risiko og stiller strengere krav jo høyere risikoen er. I EU trådte den i kraft 1. august 2024 og fases inn gradvis frem mot 2027.

I Norge er forordningen ennå ikke i kraft. Den er EØS-relevant og skal gjennomføres gjennom en egen norsk KI-lov ved inkorporasjon. Loven er ventet å tre i kraft sensommeren 2026. Inntil da viser vi til selve forordningen og til norsk veiledning.

Definisjonen er bevisst teknologinøytral og bred. Et KI-system kjennetegnes ved at det utleder (inferens) fra inndata hvordan det skal produsere utdata som prediksjoner, innhold, anbefalinger eller beslutninger – med en viss autonomi og mulig tilpasningsevne.

Definisjonen avgjør om noe i det hele tatt omfattes av forordningen. Enkel, regelstyrt programvare uten læring eller inferens faller normalt utenfor.

Forordningen sorterer KI i fire nivåer: uakseptabel risiko (forbudt), høy risiko (strenge krav), begrenset risiko (transparensplikt) og minimal risiko (ingen særkrav). Jo større fare for helse, sikkerhet og grunnleggende rettigheter, desto strengere regler.

Tilnærmingen gjør at de fleste hverdagslige KI-systemer treffes lite, mens de mest inngripende reguleres hardt eller forbys.

Som forordning gjelder AI Act direkte i EU, men ikke automatisk i Norge. Den må først tas inn i EØS-avtalen og gjennomføres i norsk rett. Regjeringen har valgt gjennomføring ved inkorporasjon – en henvisning som gjør forordningen til norsk lov.

Et lovutkast var på høring med frist 30. september 2025, og målet er ikrafttredelse sensommeren 2026. Nkom er utpekt som nasjonal koordinerende tilsynsmyndighet, og «KI-Norge» etableres som nasjonal arena.

GPAI-modeller (general-purpose AI) er grunnmodellene bak mange tjenester – for eksempel store språkmodeller. Forordningen stiller egne krav til leverandører av slike modeller, blant annet teknisk dokumentasjon, informasjon til de som bygger videre på modellen, og etterlevelse av opphavsrett i treningsdata.

Modeller som utgjør «systemisk risiko» får strengere krav. GPAI-reglene gjelder i EU fra august 2025.

Øverst i risikopyramiden ligger praksis som er helt forbudt fordi den truer menneskers rettigheter og verdighet. Dette omfatter blant annet sosial skåring, visse former for biometrisk overvåking og manipulerende systemer.

Forbudene er den delen av forordningen som gjelder først – i EU fra 2. februar 2025.

Høyrisiko-systemer er tillatt, men underlagt strenge krav. To hovedgrupper: KI som er en sikkerhetskomponent i et regulert produkt, og KI brukt på utpekte områder i vedlegg III – blant annet ansettelse, utdanning, kredittvurdering, kritisk infrastruktur og rettshåndhevelse.

Disse systemene må blant annet ha risikostyring, datakvalitet, teknisk dokumentasjon, menneskelig tilsyn og samsvarsvurdering før de tas i bruk. Kravene gjelder i EU hovedsakelig fra august 2026.

For systemer med begrenset risiko er hovedkravet åpenhet. Folk skal vite at de snakker med en chatbot, og KI-generert eller -manipulert innhold skal merkes. Hensikten er å hindre villedning.

Utover transparenskravene stilles det ikke de samme tunge pliktene som for høyrisiko.

Mesteparten av KI i bruk i dag – spamfiltre, anbefalingsmotorer for underholdning, KI i dataspill – regnes som minimal risiko. Her stiller forordningen i utgangspunktet ingen særskilte plikter.

Virksomheter oppfordres likevel til frivillig å følge god praksis og etiske retningslinjer.

Leverandøren bærer hovedtyngden av pliktene i forordningen. Det er leverandøren som må sørge for at et høyrisiko-system oppfyller kravene, gjennomføre samsvarsvurdering, utarbeide dokumentasjon og CE-merke systemet.

Merk: også den som vesentlig endrer eller setter sitt eget navn på et eksisterende system, kan bli regnet som leverandør.

Ibruktakeren – tidligere ofte kalt «bruker» i forordningssammenheng – er virksomheten som anvender systemet. For høyrisiko-systemer har ibruktaker egne plikter: følge bruksanvisningen, sikre menneskelig tilsyn, overvåke driften og oppbevare logger.

I noen tilfeller må ibruktaker også gjennomføre en vurdering av konsekvenser for grunnleggende rettigheter.

En importør bringer et KI-system fra en leverandør utenfor EØS inn på markedet, mens en distributør gjør et system tilgjengelig videre i kjeden. Begge må kontrollere at systemet er CE-merket og har nødvendig dokumentasjon.

De fungerer som et kontrolledd: oppdager de at et system ikke er i samsvar, må de avstå fra å gjøre det tilgjengelig og varsle videre.

Forordningen verner ikke bare markedet, men menneskene som rammes av KI. Berørte personer har blant annet rett til informasjon når de er underlagt et høyrisiko-system, og rett til en forklaring på avgjørelser som påvirker dem vesentlig.

Dette henger tett sammen med rettighetene i personvernregelverket (GDPR), særlig ved automatiserte avgjørelser.

Forordningen forbyr at offentlige eller private aktører gir personer en sosial «skår» basert på atferd eller personlige egenskaper, når dette fører til ufordelaktig behandling i sammenhenger uten saklig forbindelse, eller til uforholdsmessig straff.

Forbudet retter seg mot den typen altomfattende borgerskåring som undergraver likebehandling og verdighet.

Sanntids biometrisk fjernidentifikasjon (typisk ansiktsgjenkjenning) i offentlig tilgjengelige rom for rettshåndhevelse er som hovedregel forbudt, med svært snevre unntak (for eksempel søk etter ofre for alvorlig kriminalitet) underlagt strenge vilkår og forhåndsgodkjenning.

Etterfølgende (ikke-sanntids) biometrisk identifikasjon og annen biometrisk bruk er ofte høyrisiko snarere enn forbudt.

Forordningen forbyr KI-systemer som benytter subliminale, manipulerende eller villedende teknikker for å vesentlig forvrenge folks atferd på en måte som påfører dem, eller andre, betydelig skade.

Det avgjørende er at teknikken undergraver evnen til å ta informerte valg og fører til skade.

Det er forbudt å bruke KI som utnytter sårbarheter hos bestemte grupper – for eksempel barn, eldre eller personer i en vanskelig økonomisk situasjon – for å vesentlig vri atferden deres på en skadelig måte.

Bestemmelsen verner særlig de som lettest lar seg påvirke.

Bruk av KI for å gjenkjenne følelser på arbeidsplassen og i utdanningsinstitusjoner er som hovedregel forbudt, med unntak for medisinske eller sikkerhetsmessige formål. Slike systemer regnes som inngripende og lite pålitelige.

Utenfor disse arenaene kan emosjonsgjenkjenning være tillatt, men er da ofte underlagt transparens- eller høyrisikokrav.

Forordningen forbyr KI-systemer som vurderer eller forutsier risikoen for at en person vil begå en straffbar handling, når dette utelukkende bygger på profilering eller personlighetstrekk.

Forbudet skal hindre at folk mistenkeliggjøres på grunnlag av hvem de er, ikke hva de har gjort.

Før et høyrisiko-system bringes på markedet, må det gjennom en samsvarsvurdering som viser at alle kravene er oppfylt. For noen systemer kan leverandøren vurdere selv (intern kontroll); for andre kreves et utpekt teknisk kontrollorgan.

Resultatet er en samsvarserklæring og grunnlaget for CE-merking. Vesentlige endringer kan utløse ny vurdering.

Høyrisiko-systemer må ha et dokumentert risikostyringssystem som løper gjennom hele livsløpet – ikke en engangsøvelse. Det skal kartlegge kjente og forutsigbare risikoer, vurdere dem og iverksette tiltak, og testes opp mot fastsatte formål.

Systemet ligner på risikostyring etter ISO-rammeverk, men er spisset mot helse, sikkerhet og grunnleggende rettigheter.

Trenings-, validerings- og testdata for høyrisiko-systemer må være relevante, representative og så langt som mulig feilfrie og fullstendige. Leverandøren må vurdere mulige skjevheter (bias) som kan føre til diskriminering.

God datastyring er ofte avgjørende for både rettssikkerhet og ytelse, og henger tett sammen med personvernreglene når dataene er personopplysninger.

Leverandøren må utarbeide og holde oppdatert teknisk dokumentasjon som beskriver systemets formål, design, data, ytelse og risikohåndtering. Dokumentasjonen skal være detaljert nok til at myndighetene kan vurdere samsvar.

Den er en forutsetning for samsvarsvurderingen og må kunne fremlegges ved tilsyn.

Høyrisiko-systemer skal utformes slik at mennesker kan forstå, overvåke og om nødvendig overstyre dem. Det inkluderer mulighet til å gripe inn, stanse systemet og unngå blind tillit til resultatene (automatiseringsskjevhet).

Menneskelig tilsyn er et av de viktigste vernene mot at automatiserte avgjørelser får uforholdsmessige konsekvenser.

Når samsvarsvurderingen er bestått, påfører leverandøren CE-merket. Det signaliserer til marked og myndigheter at systemet oppfyller kravene og lovlig kan gjøres tilgjengelig i EØS.

CE-merking kjenner mange fra produktsikkerhet; for KI er det det synlige beviset på gjennomført samsvarsvurdering.

Forordningen oppretter en EU-database hvor leverandører (og enkelte ibruktakere) registrerer høyrisiko-systemer. Registeret skal gi åpenhet og gjøre det mulig for myndigheter og publikum å se hvilke systemer som er i bruk.

Registreringen skjer som hovedregel før systemet bringes på markedet eller tas i bruk.

Leverandører av generativ KI må sørge for at utdata er maskinlesbart merket som kunstig generert. Den som publiserer KI-generert eller -manipulert innhold må også informere om det, særlig når innholdet kan villede.

Formålet er å motvirke desinformasjon og bevare tilliten til informasjon.

En deepfake er realistisk innhold som er kunstig laget eller endret. Den som sprer slikt innhold må som hovedregel opplyse tydelig om at det er kunstig, med visse unntak for åpenbar kunst, satire og lignende.

Merkeplikten er et sentralt transparenskrav rettet mot manipulert media.

Når en person interagerer med et KI-system som en chatbot, skal det være tydelig at motparten er kunstig – med mindre det er åpenbart ut fra sammenhengen. Dette gir folk mulighet til å tilpasse tilliten sin.

Kravet gjelder uavhengig av om systemet ellers er lav- eller høyrisiko.

De mest kapable GPAI-modellene kan utgjøre «systemisk risiko» – for eksempel gjennom storskala påvirkning, misbrukspotensial eller uforutsette evner. Slike modeller får skjerpede krav, blant annet modellvurdering, risikoreduksjon, hendelsesrapportering og cybersikkerhet.

Terskelen knyttes blant annet til modellens beregningskraft og kapabilitet.

AI Office i EU-kommisjonen har en sentral rolle, særlig for GPAI-modeller, og bidrar til ensartet anvendelse av forordningen i hele EU. Det utvikler veiledning, praksiskodekser og koordinerer med nasjonale myndigheter.

For norske virksomheter er AI Office relevant fordi det former hvordan reglene tolkes, selv om den daglige håndhevingen i Norge ligger hos nasjonale myndigheter.

Regjeringen har besluttet at Nasjonal kommunikasjonsmyndighet (Nkom) skal være nasjonal koordinerende tilsynsmyndighet for KI. Sektormyndigheter (som Datatilsynet og Helsedirektoratet) vil ha roller på sine områder.

I tillegg etableres «KI-Norge» som en nasjonal arena for ansvarlig og innovativ KI-bruk. Strukturen trer i kraft sammen med den norske KI-loven.

Forordningen pålegger statene å opprette regulatoriske sandkasser der KI kan utvikles og testes under tilsyn før lansering. Det senker risikoen og terskelen for ansvarlig innovasjon, særlig for mindre aktører.

Norge har allerede erfaring her: Datatilsynets sandkasse for kunstig intelligens har siden 2020 gitt veiledning om personvern i KI-prosjekter.

Forordningen har et trappet gebyrsystem. Brudd på forbudene (uakseptabel risiko) kan gi gebyr på inntil 35 millioner euro eller 7 % av global årsomsetning. Andre brudd har lavere, men fortsatt betydelige, tak.

Nivået understreker at etterlevelse ikke er valgfritt. For norske virksomheter aktiveres gebyrene når den norske KI-loven trer i kraft.