Hva er KI-loven og hva vil gjelde i Norge?

Blogg

EU AI Act (KI‑forordningen) kommer til Norge som KI-loven, sannsynligvis i 2027. Vi gir deg en oversikt over regelverket som kommer, og hvem som er omfattet av det.

EU AI Act ble endelig vedtatt i EU i juni 2024 og publisert i EUs Official Journal sommeren samme år. Regelverket gjelder allerede i EU, med trinnvis ikrafttredelse, der enkelte plikter – som krav til KI‑kompetanse (AI literacy) – gjelder nå, mens de strengeste kravene til høyrisiko‑systemer får virkning de neste årene. 

For Norge er forordningen vurdert som EØS‑relevant, og arbeidet med innlemmelse i EØS‑avtalen og norsk rett pågår. KI-loven var planlagt å tre i kraft i Norge i august 2026, men har blitt noe utsatt grunnet EUs arbeid med den digital omnibus-pakken. Slik det ser ut nå trer KI-loven antageligvis i kraft i august 2027. 

Det betyr at norske virksomheter får noe tid – men ikke mye – til å kartlegge egen bruk av KI og etablere nødvendig styring før regelverket faktisk får virkning i Norge. 


En risikobasert regulering – strengere krav der risikoen er størst 

AI Act bygger på en tydelig risikobasert tilnærming. KI‑systemer deles inn i ulike kategorier, fra uakseptabel risiko (forbudt bruk) til lav og høy risiko. Jo større risiko et system innebærer for grunnleggende rettigheter, helse, sikkerhet eller rettssikkerhet, desto strengere krav stilles til blant annet: 

  • dokumentasjon og risikovurdering 

  • datasett og datakvalitet 

  • transparens og forklarbarhet 

  • menneskelig kontroll 

  • overvåkning og rapportering av hendelser 

De fleste KI‑løsninger i næringslivet vil falle utenfor høyrisikokategorien, men mange vanlige bruksområder – som rekruttering, kreditt, forsikring, offentlig saksbehandling og biometriske løsninger – kan likevel utløse skjerpede plikter. Det samme gjelder dersom KI-systemet vil inngå som en del av kritisk infrastruktur.  


Hvilke norske virksomheter berøres? 

Når KI‑loven innføres i norsk rett, vil flere aktørroller omfattes – også virksomheter som ikke utvikler AI selv: 

  1. Tilbydere av AI‑systemer og general‑purpose AI‑modeller 

    AI Act gjelder for virksomheter som utvikler eller gjør AI-systemer tilgjengelige i EU, enten ved å selge, distribuere eller ta dem i bruk under eget navn og varemerke – uavhengig av om de er etablert i EU eller i tredjeland. Dette inkluderer alt fra store teknologigiganter til mindre programvareselskaper som utvikler spesifikke AI-løsninger og språkmodeller. Hvis virksomheten din utvikler eller trener maskinlæringsmodeller, omfattes den mest sannsynlig av kravene i AI Act. 

  1. Brukere av AI‑systemer (deployers) 

    Dette er virksomheter som benytter AI-systemer i egen drift og er etablert eller befinner seg i EU/EØS. Selv om de ikke har utviklet teknologien selv, omfattes de av regelverket når de tar den i bruk. Dette gjelder eksempelvis arbeidsgivere som bruker AI-verktøy til å sortere og vurdere jobbsøknader eller nettbutikker som benytter AI for personaliserte produktanbefalinger og annen markedsføring. Disse virksomhetene må sikre at deres produkter samsvarer med regelverket før de lanseres. 

  1. Virksomheter utenfor EU/EØS – når output fra AI-systemet brukes i EU 

    AI Act har et såkalt ekstra-territoriell virkning. Det betyr at også aktørene utenfor EU må følge regelverket dersom resultatene av AI-systemene deres brukes i EU og påvirker personer eller virksomheter der. Dette gjelder for eksempel et canadisk selskap som tilbyr en AI-basert kredittscoretjeneste til banker i Italia.  

  1. Importører og distributører av AI‑løsninger 

    Dette er virksomheter som importerer eller selger AI-systemer inn på det europeiske markedet, uten nødvendigvis å ha utviklet teknologien selv. De har ansvar for å sikre at systemene de omsetter er i samsvar med regelverket. Dette kan for eksempel gjelde en distributør i Spania som bringer et AI-basert overvåkningskamera fra Sør-Korea til EU-markedet.  

  1. Produsenter som integrerer AI i produkter 

    Når en produsent kombinerer et AI-system med et fysisk produkt og markedsfører det under sitt eget navn eller varemerke, må både produktet og AI-systemet følge regelverket. Dette kan for eksempel treffe bilprodusenter som inkluderer et AI-basert førerstøttesystem i bilene sine eller en produsent av medisinsk utstyr til Østerrike som bruker AI i et kreftdiagnoseverktøy.  

  1. Autoriserte representanter i EU/EØS 

    Hvis en AI-leverandør utenfor EU ønsker å tilby sine løsninger i EU, men ikke har en egen etablering her, må det utpekes en representant i EU. Denne representanten har plikter etter AI Act og fungerer som kontaktpunkt for myndighetene.  

I tillegg skal KI‑loven styrke rettighetene til berørte personer – altså de som faktisk blir vurdert, analysert eller påvirket av KI‑systemer i praksis. 


Hva bør norske virksomheter gjøre nå? 

Selv om regelverket ennå ikke gjelder fullt ut i Norge, er budskapet tydelig: 
Virksomheter som allerede bruker AI, bør starte forberedelsene nå. 

De som kommer tidlig i gang, vil stå bedre rustet både regulatorisk og strategisk når KI‑loven får virkning i norsk rett. 

 

Les også: 

> KI-loven i praksis – hvordan kan du forberede deg? 6 tips til hva din virksomhet bør gjøre nå for å bli klar for KI-loven 
 
> 5 fakta du bør vite om KI-loven


Ønsker du råd eller bistand? Se hvordan BDO kan hjelpe.

Slate background box
Ki-loven seminar

Webinar: AI‑startpakke for ledere

Kom i gang med AI og bli klar for KI‑loven

Hvordan kommer du i gang med AI på en måte som faktisk gir verdi, og samtidig er i tråd med kravene i KI-loven? I dette webinaret får du en startpakke som svarer på det ledere flest lurer på:

Hva er første steg? Hvordan får du AI ut i organisasjonen? Og hvordan sikrer du kontroll på risiko, leverandører og regelverk, uten å bremse innovasjonen?


LES MER OG MELD DEG PÅ HER