Harmoniserte standarder, retningslinjer og atferdsregler

KI-forordningen skal støttes av harmoniserte standarder, retningslinjer (guidelines) og frivillige adferdsregler (codes of conduct) som skal gjøre regelverket tydeligere og enklere å etterleve. Samlet sett gir disse dokumentene praktisk veiledning til aktørene, konkretisering av tekniske krav og uttrykk for beste bransjepraksis for ansvarlig KI.

24.03.2026

Harmoniserte standarder

En harmonisert standard er et teknisk regelsett som utarbeides av de europeiske standardiseringsorganisasjonene CEN og CENELEC på oppdrag fra Kommisjonen. Hensikten er å gi praktisk veiledning om hvordan rettslige krav i EU-regelverk kan oppfylles.

Bruken av de harmoniserte standardene er frivillig, men de får likevel en viktig rolle fordi etterlevelse innebærer en presumsjon for at de underliggende kravene i regelverket er oppfylt. Dette gir fleksibilitet ved at tekniske løsninger kan videreutvikles og tilpasses den teknologiske utviklingen gjennom standardiseringsarbeidet, uten at selve KI-forordningen må endres. Samtidig fremmer ordningen like konkurransevilkår ved å etablere felles tekniske forventninger på tvers av EU/EØS.

Denne reguleringsmetoden er velkjent fra annen europeisk produktsikkerhetslovgivning. Også der fastsetter regelverket overordnede krav, mens de harmoniserte standardene beskriver hvordan kravene kan etterleves i praksis. Selv om bruk av harmoniserte standarder gir en presumsjon om at reglene er oppfylt, kan alternative løsninger benyttes dersom virksomheten kan dokumentere at beskyttelsesnivået er like godt.

På KI-feltet har en slik tilnærmingen noen klare fordeler. Teknologien er kompleks og utvikler seg raskt, og standardene bidrar til å operasjonalisere de nokså generelle kravene som følger av KI-forordningen. Noen gode eksempler er hva som skal anses som tilstrekkelig datakvalitet eller hva som er forsvarlig grad av menneskelig involvering.

Når det gjelder harmoniserte standarder etter KI-forordningen har Kommisjonen for en stund siden sendt formelle standardiseringsforespørsler til CEN og CENELEC.
I mai 2023 ble forespørselen vedtatt.[1] Gjennom den felles tekniske komiteen CEN-CENELEC JTC 21 ble standardiseringsorganisasjonene bedt om å utvikle standarder som kan støtte etterlevelsen av kravene til høyrisiko KI-systemer. Arbeidet omfatter blant annet standarder knyttet til risikostyring, styring og kvalitet på datasett, logging, transparens, menneskelig kontroll, krav til nøyaktighet og robusthet, cybersikkerhet, kvalitetsstyringssystemer og forhold knyttet til samsvarsvurdering.

Nkom deltar i Standard Norge sin komité for kunstig intelligens (SN/K 586). Nkom har etablert en egen side hvor vi løpende publiserer oppdatert informasjon om fremdriften i det europeiske standardiseringsarbeidet .

Retningslinjer (guidelines)

Retningslinjer etter KI-forordningen skal bidra til lik tolkning og praktisk anvendelse av regelverket på tvers av sektorer og ulike medlemsland. Retningslinjene gir nærmere veiledning om hvordan reglene i KI-forordningen skal forstås.

Formålet er å redusere rettslig usikkerhet for virksomheter og myndigheter, og samtidig støtte en harmonisert håndheving i hele EU/EØS. Retningslinjene utarbeides vanligvis av Kommisjonen eller relevante EU-organer. De er som hovedregel ikke rettslig bindende, men vil ha stor praktisk betydning for hvordan regelverket skal forstås.

Nkom deltar i flere arbeidsgrupper under KI-rådet (AI Board subgroups) som arbeider med utarbeidelse av retningslinjer. Til nå har Kommisjonen publisert tre retningslinjer:

Retningslinjer om definisjonen av et «KI-system»: The Commission publishes guidelines on AI system definition to facilitate the first AI Act’s rules application | Shaping Europe’s digital future

Retningslinjer om forbudt KI-praksis etter artikkel 5: Commission publishes the Guidelines on prohibited artificial intelligence (AI) practices, as defined by the AI Act. | Shaping Europe’s digital future

Retningslinjer om forpliktelsene for leverandører av KI-modeller for allmenne formål: Guidelines on the scope of obligations for providers of general-purpose AI models under the AI Act | Shaping Europe’s digital future

Kommisjonen / KI-kontoret jobber kontinuerlig med å utarbeide retningslinjer knyttet til flere bestemmelser i KI-forordningen. I løpet av 2026 forventes disse retningslinjene:

Retningslinjer for praktisk anvendelse av klassifisering av høyrisiko KI-systemer

Retningslinjer for praktisk anvendelse av kravene til åpenhet og merking etter artikkel 50

Retningslinjer om rapportering av alvorlige hendelser fra leverandører av høyrisiko KI-systemer

Retningslinjer for praktisk anvendelse av kravene til høyrisiko KI-systemer

Retningslinjer for praktisk anvendelse av forpliktelsene for leverandører og idriftsettere av høyrisiko KI-systemer

Retningslinjer med en mal for vurdering av konsekvenser for grunnleggende rettigheter (FRIA)

Retningslinjer for praktisk anvendelse av reglene om ansvar i KI-verdikjeden

Retningslinjer for praktisk anvendelse av bestemmelsene om vesentlige endringer (substantial modification)

Retningslinjer med en frivillig mal for markedsovervåking (post-market monitoring) av høyrisiko KI-systemer

Retningslinjer om elementene i kvalitetsstyringssystemer som SMB-er og små virksomheter (SMCs) kan oppfylle på en forenklet måte

Retningslinjer om samspillet mellom KI-forordningen og annet EU-regelverk, for eksempel felles retningslinjer fra Kommisjonen og Personvernrådet (EDPB) om forholdet til personvernregelverket

Følg utvikling rundt retningslinjene på Kommisjonens nettsider: Supporting the implementation of the AI Act with clear guidelines | Shaping Europe’s digital future

Frivillige atferdsregler som viser beste bransjepraksis

I tillegg legger KI-forordningen opp til bruk av såkalte frivillige atferdsregler (codes of conduct). Artikkel 95 pålegger KI-kontoret (AI Office) og medlemsstatene å fremme utvikling av slike atferdsregler med beste KI-praksis. Bakgrunnen er den risikobaserte tilnærming som medfører at mange KI-systemer ikke er underlagt rettslig bindende krav i KI-forordningen.

Frivillige atferdsregler er ment å fungere som et praktisk styringsverktøy som kan bidra til å formalisere anbefalinger og fremme beste KI-praksis, uavhengig av om KI-systemet er underlagt rettslige krav i KI-forordningen.

Frivillige atferdsregler kan utvikles av leverandører, brukere eller organisasjoner, gjerne i samarbeid med sivilsamfunn og akademia. Det skal tas særlig hensyn til mindre virksomheter og oppstartsbedrifter. Det er ingen tidsfrist for dette arbeidet i KI-forordningen, men arbeidet med å utvikle slike atferdsregler er allerede påbegynt.

Ved å slutte seg til slike atferdsregel vil virksomheter kunne synliggjøre at de arbeider systematisk med ansvarlighet, sikkerhet og grunnleggende rettigheter ved utvikling og bruk av sine KI-løsninger.

I 2023 støttet også EU fremforhandlingen av frivillige prinsipper og en bransjekode for generativ KI gjennom G7-samarbeidet (Hiroshima-prosessen).[2] Dette var ikke knyttet til KI-forordningen, men illustrerer hvordan frivillige regler («soft law») brukes internasjonalt for å etablere felles forventninger til ansvarlig utvikling og bruk av KI.