AI Act (Artificial Intelligence Act) er vedtatt av EU for å sikre at kunstig intelligens utvikles og brukes på en måte som er trygg, etisk og med respekt for innbyggernes grunnleggende rettigheter. Forordningen er en del av EUs digitale strategi og har som mål å skape tillit til AI-teknologi, samtidig som den støtter innovasjon.
Lovverket innfører en risikobasert tilnærming til regulering og stiller særlig strenge krav til bruk av AI i områder hvor det foreligger høy risiko for skade på mennesker eller samfunnet. For virksomheter som utvikler eller anvender AI, betyr det nye forpliktelser, og potensielt store konsekvenser ved manglende compliance.
Hva er formålet med EUs AI Act?
Formålet med AI Act er todelt: For det første skal forordningen beskytte innbyggere mot uetisk eller skadelig bruk av kunstig intelligens – for eksempel diskriminering, overvåking eller automatiserte avgjørelser uten menneskelig innblanding. For det andre skal den legge til rette for en bærekraftig utvikling av AI ved å etablere felles regler på tvers av EU og støtte innovasjon blant virksomheter som jobber ansvarlig.
EUs tilnærming baserer seg på en kategorisering av AI-systemer i fire risikonivåer: minimal, begrenset, høy og uakseptabel risiko. Jo høyere risiko et system innebærer, desto strengere krav stilles det til dokumentasjon, kontroll og tilsyn.
Når trer forordningen i kraft?
AI Act ble offentliggjort 12. juli 2024 og trådte formelt i kraft 20 dager senere. Regelverket fases gradvis inn frem mot 2026, men flere sentrale krav gjelder allerede.
Fra starten av 2025 ble det forbudt å bruke AI-systemer som utgjør en uakseptabel risiko – for eksempel sosial scoring, manipulasjon gjennom atferdsdata og visse former for biometrisk overvåkning. I løpet av 2025 og inn i 2026 følger kravene til åpenhet og ansvarlig bruk, særlig for generativ AI og høyrisiko-systemer. Dersom virksomheten din utvikler eller benytter AI innenfor områder som rekruttering, kredittvurdering, helse eller kritisk infrastruktur, må dere allerede nå ha dokumentasjonen på plass.
Den fullstendige innføringen av høyrisiko-kravene forventes å gjelde fra sommeren 2026.
Hvem omfattes av forordningen?
EUs AI Act gjelder for alle som utvikler, leverer eller bruker AI-systemer innenfor EU, uavhengig av hvor virksomheten er etablert. Det betyr at også organisasjoner utenfor EU omfattes dersom AI-løsningene deres tas i bruk i Europa.
Forordningen gjelder særlig for:
- Utviklere og leverandører av AI-systemer, for eksempel programvareselskaper eller teknologileverandører.
- Brukere av AI, som banker, HR-avdelinger, helseinstitusjoner eller offentlige myndigheter som benytter AI i beslutningsprosesser.
- Distributører og importører som bringer AI-systemer på markedet i EU.
Mange norske virksomheter vil bli direkte eller indirekte berørt – spesielt de som bruker AI innen områder som rekruttering, kredittvurdering, saksbehandling eller overvåkning.
LES OGSÅ: Derfor bør du ikke styre GRC i Excel
Hva betyr AI-forordningen for din virksomhet?
Dersom virksomheten din utvikler eller bruker kunstig intelligens – eller samarbeider med leverandører som gjør det – stiller AI Act klare krav.
AI-forordningen innebærer at dere må:
- Få oversikt over AI-systemene deres: Kartlegg hvilke systemer dere bruker, og vurder om de faller inn under kategorien høyrisiko.
- Dokumentere compliance: Høyrisiko-AI skal oppfylle krav til datakvalitet, teknisk dokumentasjon, åpenhet, robusthet og menneskelig tilsyn.
- Informere brukerne: Dersom AI brukes i kontakt med kunder eller borgere – for eksempel gjennom chatboter eller automatiserte avgjørelser – skal de få tydelig informasjon.
- Ha styr på governance og kontrolltiltak: AI Act må integreres i virksomhetens eksisterende compliance-struktur, og det skal utpekes ansvarlige for oppfølging og tilsyn.
- Føre tilsyn med leverandører: Dersom AI-løsningene leveres av eksterne parter, må dere kunne dokumentere at leverandøren følger regelverket – både ved innkjøp, implementering og drift. AI-forordningen bør samtidig ses i sammenheng med andre regelverk som GDPR og NIS2, slik at risikostyring og datasikkerhet henger sammen på tvers av teknologi og forretning.
