Kort oppsummert

  • Hvis du utvikler, selger eller bruker KI-systemer som innebærer høy eller en viss risiko må du passe på å følge kravene i KI-forordningen. 
  • Jo høyere risiko KI-løsningen har for individer eller samfunnet, jo strengere krav gjelder. 
  • Åpenhet, sikkerhet og menneskerettigheter står sentralt.

Alle som utvikler, tilbyr eller bruker visse typer KI-systemer i EU/EØS – uansett om de holder til i Europa eller ikke. Det gjelder: 

  • Utviklere og leverandører av KI-systemer (f.eks. programvarebedrifter) 
  • Offentlige og private virksomheter som tar i bruk KI-løsninger i tjenestene eller produktene sine 

Det betyr at selv bedrifter utenfor EU, for eksempel i USA, må følge regelverket dersom KI-systemene deres skal brukes i EU/EØS.

Hva avgjør hvilke krav som gjelder? 

Den nye loven om kunstig intelligens (KI-loven) deler systemer inn i risikokategorier – og det er risikoen som avgjør hvor strenge kravene blir: 

  • Uakseptabel risiko – Forbudt KI  
    KI-systemer som utgjør en alvorlig trussel mot grunnleggende rettigheter – f.eks. sosial poengsetting, skadelig påvirkning av underbevisstheten eller sanntids overvåking ved bruk av ansiktsgjenkjenning i de fleste tilfeller – blir forbudt. 
  • Høyrisiko-KI  
    KI-systemer som brukes innenfor visse kritiske bruksområder utgjør såkalt høyrisiko KI. For eksempel ved drift av kritisk infrastruktur, arbeidsliv/rekruttering, utdanning eller i rettssystemet. Her stilles det strenge krav til: 
    • Risikovurdering 
    • Datakvalitet 
    • Dokumentasjon og sporbarhet 
    • Menneskelig kontroll 
    • Informasjon til brukere 
  • KI med begrenset risiko  
    Systemer som f.eks. chatboter eller bildegeneratorer. Disse må merkes tydelig, slik at brukeren vet at den samhandler med KI. 
  • Minimal eller ingen risiko  
    Bruk av KI i spill, anbefalingsalgoritmer eller spamfiltre. Her kreves det ingen spesifikke tiltak. 

Hvem har ansvaret for å følge reglene? 

Det avhenger av hvilken rolle du har: 

  • Utviklere og leverandører må sørge for at systemene deres oppfyller kravene før de slippes på markedet 
  • Brukere (f.eks. arbeidsgivere eller offentlige aktører) har ansvar for å bruke KI på en trygg og lovlig måte 
  • Distributører og importører har også ansvar for at produktene de videreformidler er i tråd med reglene 

Når trer KI-loven i kraft? 

I EU trer KI-forordningen i kraft trinnvis fra og med 2025. Dette betyr at ikke alle reglene innføres samtidig, men i en faseinndelt prosess. 

  • Reglene om forbudte KI-systemer vil være blant de første som trer i kraft i februar 2025. Dette omfatter systemer som anses å utgjøre en uakseptabel risiko. 
  • I Norge jobbes det med å innføre regelverket i norsk rett. 

Denne trinnvise innføringen gir bedrifter og offentlige myndigheter tid til å forberede seg. Det er likevel viktig å begynne arbeidet allerede nå med å gjennomgå og vurdere egne KI-systemer for å sikre samsvar med de kommende reglene.