Hvem skal håndheve KI-forordningen i Norge?
Hvert land i EU/EØS må bestemme hvilke nasjonale myndigheter som skal koordinere, føre tilsyn med og håndheve KI-forordningen. I Norge har Regjeringen bestemt at Nasjonal kommunikasjonsmyndighet (Nkom) skal være koordinerende markedstilsynsmyndighet og nasjonalt kontaktpunkt for KI-forordningen.
KI-forordningen ligner på andre produktsikkerhetsregler
For å forstå hvordan håndhevingen av KI-forordningen er organisert kan det være nyttig å starte med et praktisk eksempel som omhandler leketøy.
Vi har produktsikkerhetsregler for leker for å sikre at de skal være trygge å bruke. En leke skal for eksempel ikke inneholde farlige kjemikalier eller være konstruert slik at barn kan skade seg. Regelverket for leketøy stiller krav til produsenter, importører og distributører før leketøyet kan selges, og myndighetene fører tilsyn med produktene som finnes på markedet. På denne måten skal det ikke være overlatt til den enkelte forbruker å vurdere om leken er trygg å bruke.
Den samme grunnideen går igjen i annet produktsikkerhetsregelverk i EU/EØS. Felles regler gjør det enklere for virksomheter å tilby produkter i flere land, samtidig som brukerne får det samme beskyttelsesnivået. Dette gjelder ikke bare hverdagsprodukter som leker, men også mer tekniske produkter som for eksempel radioutstyr og medisinsk utstyr.
KI-forordningen er i stor grad bygget opp etter den samme systematikken, bortsett fra at dette er et horisontalt regelverk som gjelder på tvers av ulike sektorer.
Før og etter at KI-systemer tas i bruk
KI-forordningen er tett koblet til EUs harmoniserte vareregelverk («New Legislative Framework») og markedstilsynsforordningen (EU) 2019/1020. Som i annet tradisjonelt produktsikkerhetsregelverk skiller KI-forordningen mellom fasen før og etter at et produkt / KI-system gjøres tilgjengelig på markedet.
Før et KI-system eller et produkt med integrert KI skal omsettes eller tas i bruk, handler det om å sikre og dokumentere at kravene i KI-forordningen er oppfylt.
Etter at KI-systemet eller produktet er kommet på markedet eller tatt i bruk, er det markedstilsynsmyndighetene som følger opp og fører tilsyn. KI-forordningen slår fast at markedstilsynsforordningen (EU) 2019/1020 skal gjelde for KI-systemer som omfattes av forordningen. Begrepene «økonomisk aktør» og «produkt» i dette regelverket skal da forstås slik at de også omfatter aktørene og KI-systemene etter KI-forordningen.
Hva betyr dette i Norge?
Norge har allerede en etablert tilsynsstruktur på produktsikkerhetsområdet basert på sektorprinsippet. Det innebærer at ulike sektormyndigheter fører tilsyn innenfor sine fagområder. Fordi KI-forordningen følger samme grunnleggende systematikk som annet produktsikkerhetsregelverk, vil mye av håndhevingen kunne bygge videre på eksisterende tilsynsstrukturer. Denne strukturen danner derfor et viktig grunnlag for organisering av KI-forordningen i Norge, men det vil også være et stort behov for koordinering på tvers av sektorene.
For tradisjonelt markedstilsyn med produkter har Norge allerede etablert et nasjonalt samordningspunkt («Single Liaison Office», SLO) hos Direktoratet for samfunnssikkerhet og beredskap (DSB). Dette skal bidra til koordinering mellom tilsynsmyndighetene for produkter og tollmyndigheter.
Hva KI-forordningen krever av nasjonal organisering
KI-forordningen bruker begrepet «nasjonale vedkommende myndigheter» (national competent authorities) som en samlebetegnelse for to typer myndighetsroller:
- markedstilsynsmyndigheter (market surveillance authorities)
- meldermyndigheter (notifying authorities)
Artikkel 70 i KI-forordningen pålegger medlemsstatene å etablere eller utpeke minst én meldermyndighet og minst én markedstilsynsmyndighet. Myndighetene skal utøve sine oppgaver uavhengig, upartisk og uten skjevhet, for å sikre objektivitet og effektiv gjennomføring av regelverket.
I tillegg stiller artikkel 70 et særskilt krav om et nasjonalt kontaktpunkt. Hver stat skal utpeke én markedstilsynsmyndighet som såkalt «single point of contact» (SPOC) for KI-forordningen.
KI-forordningen stiller også tydelige krav til at de nasjonale vedkommende myndighetene har kapasitet til å gjøre jobben. Hvert land skal sørge for tilstrekkelige tekniske, finansielle og menneskelige ressurser, og for at myndighetene har fagpersoner med god kompetanse på blant annet KI-teknologier, data og databehandling, personvern, cybersikkerhet, samt relevante standarder og regelverk.
Regjeringens beslutninger så langt
Selv om den nasjonale organiseringen i sin helhet ikke er bestemt enda, har Regjeringen tatt flere prinsipielle beslutninger som gir en tydelig retning for den norske tilsynsstrukturen for KI-forordningen.
Regjeringen har besluttet at Nasjonal kommunikasjonsmyndighet (Nkom) skal være koordinerende markedstilsynsmyndighet og nasjonalt kontaktpunkt for KI-forordningen i Norge. Nkom skal sørge for at KI-reglene følges opp på en enhetlig måte, og sammen med sektortilsynene som eventuelt blir utpekt skal Nkom kontrollere at KI-systemer på det norske markedet er trygge å bruke.Nkom som koordinerende KI-tilsyn og nasjonalt kontaktpunkt
KI-forordningens artikkel 28 åpner for at vurdering og overvåking av samsvarsvurderingsorganer kan utføres av et nasjonalt akkrediteringsorgan etter akkrediteringsforordningen (EF) 765/2008. Regjeringen har besluttet at Norsk Akkreditering skal utføre disse oppgavene etter KI-forordningen.Norsk akkreditering som nasjonalt akkrediteringsorgan
Regjeringen har styrket den nasjonale KI-innsatsen ved å opprette «KI Norge» som en nasjonal arena for innovativ og ansvarlig KI i Digitaliseringsdirektoratet (Digdir). KI Norge skal ha en pådriver- og veilederrolle og være bindeledd mellom offentlig sektor, næringsliv og akademia.KI Norge – et samarbeid mellom Digdir, Datatilsynet og Nkom
Les mer om KI Norge og den regulatoriske KI-sandkassen her: Regulatorisk sandkasse for KI
Hvem er mulige markedstilsynsmyndigheter i Norge
Utgangspunktet er at KI-forordningen bygger på en tilsynsstruktur som avhenger av hva slags KI-system det er snakk om og på hvilket bruksområde KI-systemet skal brukes på.
Der KI er en sikkerhetskomponent i et produkt som er listet i vedlegg I avsnitt A i KI-forordningen er utgangspunktet i KI-forordningen at den sektormyndigheten som allerede er ansvarlig for markedstilsynet for produktet også blir ansvarlig for KI-tilsynet.
Der KI-systemet er et «frittstående» KI-system som er ment for å brukes innenfor et av de samfunnskritiske bruksområdene i vedlegg III, må tilsynsansvaret fastsettes mer eksplisitt. Hvilken myndighet som skal ha tilsynsansvaret er styrt av KI-forordningen innenfor noen av bruksområdene, mens for andre er det opp til hvert enkelt land å bestemme organiseringen.