KI-regulatorisk oppdatering for Norge - oktober 2025

Kunstig Intelligens (KI) fortsetter å være et viktig tema i både media og organisasjoner. Den raske utviklingen gir betydelige muligheter til å endre hvordan vi lever og jobber. EUs AI Act, verdens første KI-forordning, fastsetter risikobaserte regler for aktører i KI-verdikjeden, basert på spesifikke brukstilfeller. Samtaler med kunder i Norge og resten av Norden viser at den vedvarende usikkerheten rundt regelverket er en sentral barriere for å starte implementeringen av kravene.

Denne artikkelen har som mål å besvare sentrale spørsmål om KI-forordningen, presentere relevante fakta og gi en oversikt over vår forståelse av den nåværende statusen i EU og Norge.  

Kort oppsummert

• Nasjonal kommunikasjonsmyndighet (Nkom) har anbefalt at virksomheter begynner å forberede seg så snart som mulig.
• Reguleringen kan bli forenklet som del av EUs «Digital Omnibus»-pakke, særlig med hensyn til krav knyttet til personvern og skjevhetstesting.
• EUs AI Act vil bli gjennomført i norsk rett gjennom «KI-loven».

Hva er EUs KI-forordning?

Som verdens første omfattende KI-regelverk, har EUs AI Act som mål å sikre etisk bruk av KI, beskyttelse av menneskers grunnleggende rettigheter, helse og sikkerhet, samt legge opp til åpenhet ved bruk av KI.

• Regulerer distribusjon og bruk av KI i EU.
• Jo større samfunnsmessig risiko et KI-system utgjør, desto strengere krav stilles til systemet.
• Forbyr bruk av KI som anses som uetisk eller skadelig.
• Krav til åpenhet rundt brukstilfeller hvor kunstig intelligens har potensiale til å villede.

For en mer omfattende veiledning om detaljene i denne forordningen, vennligst les vår EU Artificial Intelligence Act Deep Dive.

Hvem skal føre tilsyn med forordningen i Norge?

Regjeringen har besluttet at Nasjonal kommunikasjonsmyndighet (Nkom) skal fungere som EUs nasjonale kontaktpunkt og som nasjonal koordinerende markedstilsynsmyndighet. I tillegg vil ansvaret for å føre tilsyn på forskjellige områder fordeles mellom ulike sektormyndigheter.

Når trer forordningen i kraft?

AI Act trådte i kraft i EU i august 2024. Implementeringen er trinnvis, med ulike deler som blir gjeldende til forskjellige tider, slik at virksomheter kan tilpasse seg og etterleve de nye kravene. EU-forordninger gjelder direkte i EUs medlemsstater uten behov for nasjonal implementering.

I Norge må forordningen gjennomføres via EØS-avtalen og tilpasses norsk rett, og et utkast til ny lov om kunstig intelligens var på høring frem til 30. september 2025. Selv om loven enda ikke er vedtatt, vil regelverket sannsynligvis tre i kraft i løpet av 2026. Samtidig er det et etterslep på innlemmelsen av EU-rettsakter i norsk rett. Politiske prosesser og nødvendige saksbehandlingsskritt kan ha betydning for hvor raskt KI-forordningen blir implementert i Norge. Nkom anbefaler at organisasjoner begynner å forberede seg å etterleve kravene i KI-loven «så snart som mulig».

Ikrafttredelse av regelverket:  

Hva er status for tekniske retningslinjer under EUs AI Act, spesielt for høyrisikosystemer?

Som med andre EU-reguleringer, utvikles tekniske retningslinjer for å hjelpe virksomheter med å implementere de regulatoriske kravene i praksis. Senest i slutten av september 2025 publiserte EU et utkast til en retningslinje og rapporteringsmal for alvorlige AI-hendelser. Retningslinjer for klassifisering av høyrisikosystemer — som er underlagt de strengeste regulatoriske kravene — er imidlertid fortsatt under utvikling. Tidslinjen for publisering er usikker, og de forventes muligens senere i 2026.

Siden kravene for høyrisikosystemer trer i kraft fra august 2026, er det begrenset tid til å integrere den kommende tekniske veiledningen. I mellomtiden oppfordrer vi virksomheter til å begynne arbeidet med å implementere de bredere regulatoriske forpliktelsene så snart som mulig.  

Vil EUs KI-forordning bli forenklet og/eller forsinket?

Det korte svaret er at vi ikke vet, men det er mye spekulasjon og ulike faktorer som påvirker. I juli signerte en gruppe på mer enn 50 administrerende direktører et åpent brev som oppfordret EU til å utsette ikrafttredelsesdatoen med to år. En talsperson for EU svarte og uttalte imidlertid at: «There is no stop the clock. There is no grace period. There is no pause.» I mai 2025 utelukket Kilian Gross, leder for kommisjonens AI Policy Unit, også grunnleggende reform av reglene, men var åpen for «målrettede endringer».

Siden den gang har EU åpnet en høring som del av den kommende «Digital Omnibus» (som avsluttes 14. oktober) for å samle inn tilbakemeldinger for å forenkle reglene for data, cybersikkerhet og kunstig intelligens. Dette kan ha ringvirkninger for regelverket, men detaljene er fortsatt ukjente. Dersom det imidlertid utgjør noen endringer, vil de sannsynligvis gjelde direkte i Norge når KI-loven trer i kraft.

Selv om vi ikke vet hva som vil skje, er vår antakelse at det kan komme oppdateringer for å forenkle og hjelpe virksomheter med å overholde noen av de mer komplekse kravene til skjevhetstesting, som også for tiden krever nøye vurdering av behandling av personopplysninger under GDPR.

Hva er det geografiske omfanget?

Når loven er innført, vil de samme reglene gjelde i hele EØS-området. Loven har ekstraterritoriell virkning, og gjelder dermed aktører i verdikjeden for KI-systemer som tilbyr produkter eller tjenester på EØS-markedet – uavhengig av hvor i verden de er etablert.

Hva er sanksjonene for manglende etterlevelse?

EUs KI-forordning foreslår betydelige bøter for brudd, potensielt opptil 7 % av virksomhetens globale årlige omsetning for alvorlige overtredelser. KI-loven vil ha samme håndhevingsmekanismer.

Hva bør jeg gjøre nå for å forberede meg?

• Identifiser og kartlegg KI-systemer i bruk: Det første trinnet er å kartlegge hvilke KI-systemer din virksomhet har eller planlegger å bruke, og vurdere hvilken risikokategori systemene faller inn i, og på hvilken måte din virksomhet har plikter etter forordningen. EUs definisjon av KI er svært bred, noe som betyr at noen former for tradisjonelle maskinlæringsmodeller også kan falle inn under forordningens virkeområde.
• Gjennomgå risikostyringsprosesser, inkludert åpenhetstiltak og datastyring.
• Involver juridiske og compliance-team tidlig for å forstå kravene og planlegge for etterlevelsesvurderinger.
• Hold deg informert om de siste forordningsoppdateringene.