Begreper i denne artikkelen
Aug 2024 — AI Act i kraft Feb 2025 — Forbudte praksiser gjelder Aug 2025 — GPAI-krav + AI-literacy Aug 2026 — Høyrisiko + transparens + hoveddelen av loven ← MARKERT SOM HOVEDPUNKT Aug 2027 — Høyrisiko i regulerte produkter (utvidet frist) Norges planlagte ikrafttredelse markert ved Aug 2026 med norsk flagg-ikon eller "NO"
EUs forordning om kunstig intelligens er den mest ambisiøse AI-reguleringen i verden. Den ble vedtatt i mai 2024. Den trådte i kraft i august 2024. Og den har blitt implementert trinnvis siden februar 2025. Men for de fleste selskaper er det én dato som betyr mer enn alle andre: 2. august 2026.
Det er da kravene til høyrisiko AI-systemer aktiveres — med bøter på opptil 35 millioner euro eller 7 % av global omsetning for de alvorligste bruddene.
Hva som allerede gjelder
Siden februar 2025 har det vært forbudt å bruke AI-systemer som utgjør uakseptabel risiko. Det inkluderer sosial scoring, manipulativ AI rettet mot sårbare grupper, biometrisk kategorisering basert på sensitive egenskaper som rase eller seksuell orientering, og emosjonell gjenkjenning på arbeidsplasser og i utdanningsinstitusjoner.
Siden august 2025 gjelder regler for generelle AI-modeller (GPAI) — LLM-er som GPT, Claude og Gemini. Leverandører av slike modeller må oppfylle transparenskrav, inkludert dokumentasjon av treningsdata og overholdelse av opphavsrettsregler. Finland ble i januar 2026 det første EU-landet med aktive håndhevingsmyndigheter under forordningen.
AI-literacy-kravet gjelder også allerede: organisasjoner som bruker AI-systemer skal sikre at ansatte har tilstrekkelig kompetanse til å forstå systemene de arbeider med. Det er et krav mange norske bedrifter ennå ikke har adressert systematisk.
Hva som kommer 2. august 2026
Topp (smalest, rød): Uakseptabel risiko — FORBUDT (sosial scoring, manipulativ AI) Nivå 3 (oransje): Høyrisiko — STRENGE KRAV (rekruttering, kreditt, helse, utdanning) Nivå 2 (gul): Begrenset risiko — TRANSPARENSKRAV (chatboter, deepfakes) Bunn (bredest, grønn): Minimal risiko — INGEN KRAV (de fleste AI-systemer)
På denne datoen aktiveres det meste av det som gjenstår — og det er omfattende.
Høyrisiko AI-systemer — definert i Annex III — må oppfylle en lang rekke krav: risikovurderingssystemer, teknisk dokumentasjon, samsvarsvurdering, menneskelig tilsyn, nøyaktighetskrav, robusthet, cybersikkerhet og registrering i EUs AI-database. Systemdesignet må tillate menneskelig oversikt, og oppnå et passende nivå av nøyaktighet, robusthet og cybersikkerhet.
Hvilke systemer kvalifiserer? AI brukt i rekruttering og ansettelse. AI brukt i kredittvurdering og forsikring. AI i utdanning. AI i rettshåndhevelse. AI i migrasjon og grensekontroll. AI i helsevesen. Og AI brukt i kritisk infrastruktur. For norske selskaper betyr det konkret: bruker du AI til å rangere jobbsøkere, vurdere lånekunder, eller styre energiinfrastruktur — da har du et høyrisiko-system.
Transparensforpliktelsene i Artikkel 50 blir håndhevbare: chatboter må opplyse at de er AI. Systemer for emosjonsgjenkjenning krever brukervarsel. Deepfake-innhold må ha maskinlesbare vannmerker. Biometrisk kategorisering krever informasjonsplikt.
Utplassere (deployers) av høyrisiko-systemer får egne forpliktelser: de må implementere tiltak for å sikre og overvåke at systemene brukes i henhold til instruksjonene, sikre menneskelig tilsyn av kompetent personell, og — avhengig av tiltenkt bruk — gi informasjon til berørte brukere og gjennomføre konsekvensutredninger.
EU-kommisjonen har også foreslått en «Digital Omnibus»-pakke som kan justere tidslinjene med opptil 16 måneder for høyrisiko-systemer hvis harmoniserte standarder ikke er tilgjengelige. Men klok planlegging behandler august 2026 som den bindende fristen.
Norges spesielle situasjon
Sentrum: Nkom (Koordinerende tilsyn) Piler ut til: → Datatilsynet (Personvern, rettshåndhevelse) → Sektortilsyn (Helse, finans, energi, utdanning) → KI Norge / Digdir (Veiledning, regulatorisk sandkasse) → Norsk Akkreditering (Samsvarsvurdering, CE-merking)
AI Act gjelder ikke automatisk i Norge. Som EØS-relevant lovgivning må den innlemmes gjennom norsk lov. Digitaliseringsdepartementet publiserte lovforslaget (KI-loven) 30. juni 2025 med høringsfrist 30. september 2025. Målet er ikrafttredelse sommeren 2026.
Nasjonal kommunikasjonsmyndighet (Nkom) er utpekt som koordinerende tilsynsmyndighet — en betydelig utvidelse av Nkoms tradisjonelle mandat, som historisk har fokusert på post- og elektronisk kommunikasjon. Datatilsynet beholder ansvaret for personvern og er blant tilsynsmyndighetene for visse bruksområder, som rettshåndhevelse. Digitaliseringsdirektoratet (Digdir) skal drifte «KI Norge» — en nasjonal arena for veiledning, kapasitetsbygging og en regulatorisk sandkasse for kontrollert testing. Norsk Akkreditering er utpekt som nasjonalt akkrediteringsorgan.
Men her er det kritiske poenget: uavhengig av om norsk lov er på plass til august, gjelder regelverket for norske selskaper som opererer i EU-markedet eller leverer AI-systemer til kunder som gjør det. Tilsynsmyndighetene i EU-land kan håndheve mot selskaper som markedsfører til EU-borgere. Det norske lovforslaget presiserer også at norske offentlige virksomheter kan ilegges bøter — en bestemmelse som skiller seg fra mange andre implementeringer.
Hva det koster å ikke gjøre noe
Bøtene er i tre nivåer. Opptil 35 millioner euro eller 7 % av global omsetning for brudd på forbudte praksiser. Opptil 15 millioner euro eller 3 % for andre brudd. Opptil 7,5 millioner euro eller 1 % for å gi feilaktig eller villedende informasjon til tilsynsmyndigheter.
Men bøtene er ikke den eneste risikoen. Feilklassifisering av AI-systemer kan føre til obligatorisk tilbaketrekking, suspensjon av deployment eller restriksjoner på markedsadgang. Sivile krav fra individer som er berørt — diskriminering, feilaktige AI-beslutninger, brudd på grunnleggende rettigheter — er en voksende risiko. DLA Piper advarer om at ansvar for brudd på AI-forpliktelser i visse jurisdiksjoner kan omfatte strafferettslig ansvar, ikke bare administrative sanksjoner.
Fire steg for norske selskaper nå
STEG 1 — START NÅ (april): Kartlegg alle AI-systemer, klassifiser risikonivå STEG 2 — INNEN JUNI: Dokumenter høyrisiko-systemer (risikovurdering, menneskelig tilsyn, kvalitetsstyring) STEG 3 — INNEN JUNI: Etabler intern AI-styringsstruktur med dedikert ansvarlig STEG 4 — INNEN AUGUST: Forbered samsvarsvurdering, teknisk dokumentasjon, EU-database-registrering
Første: kartlegg alle AI-systemer i bruk i organisasjonen og klassifiser dem etter risikonivå. Høyrisiko-systemer er de som brukes til beslutninger som påvirker mennesker vesentlig — ansettelse, kredittvurdering, forsikringsbehandling, medisinsk diagnostikk. Inkluder både egenutviklede og innkjøpte systemer. AI-assistenter som Claude eller ChatGPT brukt internt faller typisk under GPAI-reglene, ikke høyrisiko — men brukt i beslutningsprosesser kan klassifiseringen endre seg.
Andre: for hvert høyrisiko-system, vurder om du har dokumentasjonen, risikovurderingen, det menneskelige tilsynet og kvalitetsstyringssystemet som kreves. Sannsynligvis har du det ikke — og det tar tid å bygge opp.
Tredje: etabler en intern styringsstruktur for AI. Du trenger en person eller et team som eier AI-compliance på tvers av organisasjonen. Uten dette eierskapet — akkurat som i agentpiloter — forblir compliance-gap uadresserte.
Fjerde: forbered samsvarsvurderingen. For de fleste høyrisiko-systemer innebærer dette teknisk dokumentasjon, CE-merking og registrering i EUs AI-database. For GPAI-modeller du bruker, dokumenter din aktsomhetsvurdering i valg av leverandører med adekvate compliance-tiltak.
Fire måneder er kort tid. Selskapene som starter nå, vil være forberedt. De som venter til august, vil ikke — og bøtene gjelder fra dag én.
