Kort oppsummert

  • Hvis du utvikler, selger eller bruker KI-systemer som innebærer høy eller en viss risiko må du passe på å følge kravene i KI-forordningen. 
  • Jo høyere risiko KI-løsningen har for individer eller samfunnet, jo strengere krav gjelder. 
  • Åpenhet, sikkerhet og menneskerettigheter står sentralt.

Alle som utvikler, tilbyr eller bruker visse typer KI-systemer i EU/EØS – uansett om de holder til i Europa eller ikke. Det gjelder: 

  • Utviklere og leverandører av KI-systemer (f.eks. programvarebedrifter) 
  • Offentlige og private virksomheter som tar i bruk KI-løsninger i tjenestene eller produktene sine 

Det betyr at selv bedrifter utenfor EU, for eksempel i USA, må følge regelverket dersom KI-systemene deres skal brukes i EU/EØS.

Hva avgjør hvilke krav som gjelder? 

Den nye loven om kunstig intelligens (KI-loven) deler systemer inn i risikokategorier – og det er risikoen som avgjør hvor strenge kravene blir: 

  • Uakseptabel risiko – Forbudt KI  
    KI-systemer som utgjør en alvorlig trussel mot grunnleggende rettigheter – f.eks. sosial poengsetting, skadelig påvirkning av underbevisstheten eller sanntids overvåking ved bruk av ansiktsgjenkjenning i de fleste tilfeller – blir forbudt. 
  • Høyrisiko-KI  
    KI-systemer som brukes innenfor visse kritiske bruksområder utgjør såkalt høyrisiko KI. For eksempel ved drift av kritisk infrastruktur, arbeidsliv/rekruttering, utdanning eller i rettssystemet. Her stilles det strenge krav til: 
    • Risikovurdering 
    • Datakvalitet 
    • Dokumentasjon og sporbarhet 
    • Menneskelig kontroll 
    • Informasjon til brukere 
  • KI med begrenset risiko  
    Systemer som f.eks. chatboter eller bildegeneratorer. Disse må merkes tydelig, slik at brukeren vet at den samhandler med KI. 
  • Minimal eller ingen risiko  
    Bruk av KI i spill, anbefalingsalgoritmer eller spamfiltre. Her kreves det ingen spesifikke tiltak. 

Hvem har ansvaret for å følge reglene? 

Det avhenger av hvilken rolle du har: 

  • Utviklere og leverandører må sørge for at systemene deres oppfyller kravene før de slippes på markedet 
  • Brukere (f.eks. arbeidsgivere eller offentlige aktører) har ansvar for å bruke KI på en trygg og lovlig måte 
  • Distributører og importører har også ansvar for at produktene de videreformidler er i tråd med reglene 

Når trer KI-loven i kraft? 

I EU trer KI-forordningen i kraft trinnvis fra og med 2025. Dette betyr at ikke alle reglene innføres samtidig, men i en faseinndelt prosess: 

  • Reglene om forbudte KI-systemer vil være blant de første som trer i kraft i februar 2025. Dette omfatter systemer som anses å utgjøre en uakseptabel risiko. 
  • Krav til høyrisiko KI-systemer vil tre i kraft sammen med lov om kunstig intelligens i Norge fra sensommeren 2026. Disse systemene krever omfattende vurderinger og samsvar med regelverk, og det gis derfor mer tid til tilpasning. 

Denne trinnvise innføringen gir bedrifter og offentlige myndigheter tid til å forberede seg. Det er likevel viktig å begynne arbeidet allerede nå med å gjennomgå og vurdere egne KI-systemer for å sikre samsvar med de kommende reglene.