De kraftigste KI-modellene – hvilke regler gjelder?
KI-forordningen inneholder et eget regelsett for «KI‑modeller for allmenne formål» (General‑Purpose AI eller GPAI). Disse store KI-modellene fungerer ofte som «råvaren» i ulike KI-systemer, fordi de er trent på bredt datagrunnlag og kan brukes til mange ulike oppgaver.
KI-modell vs. KI-system
KI‑forordningen regulerer i hovedsak KI‑systemer basert på risiko ved bruken. I tillegg kommer imidlertid egne regler for de kraftigste KI-modellene kalt «KI‑modeller for allmenne formål» i kapittel V. Disse reglene ble lagt til i KI-forordningen underveis i lovprosessen på EU-nivå, da lanseringen av ChatGPT i november 2022 bidro til at EU så et behov for å ha egne regler for de kraftigste KI-modellene. Disse reglene begynte å gjelde i EU fra 2. august 2025, jf. artikkel 113.
«KI-modeller for allmenne formål» kan utføre et bredt spekter av ulike oppgaver og som er trent med en stor mengde data ved hjelp av selvovervåking i stor skala (artikkel 3 nr. 63). Modellene kan integreres i en rekke systemer eller applikasjoner, og det er ikke relevant hvordan KI-modellen bringes i omsetning. Det gjøres unntak for KI-modeller som bare brukes til forskning, utvikling eller prototyping før de begynner å omsettes.
Et «KI-system for allmenne formål» bygger på en KI-modell for allmenne formål som dermed som kan brukes til mange ulike oppgaver, enten direkte av sluttbrukere eller integrert i andre KI‑systemer (artikkel 3 nr. 66).
Reglenes relevans for virksomheter i Norge
For norske virksomheter er det viktig å være klar over at selv om forpliktelsene i kapittel V i KI-forordningen retter seg mot leverandører av KI-modeller for allmenne formål (GPAI) kan også bruken av slike modeller utløse omfattende plikter.
Dette gjelder blant annet dersom en virksomhet tar i bruk en KI-modell for allmenne formål og bygger denne inn i en egen løsning (artikkel 25 nr. 1 bokstav c). Dersom virksomheten endrer KI-systemets tiltenkte formål på en slik måte at det klassifiseres som et høyrisiko KI-system anses virksomheten/aktøren som «leverandør av et KI-system».
Dette innebærer at en virksomhet som i utgangspunktet kun er en bruker eller integrator av en KI-modell, likevel kan få fulle leverandørforpliktelser etter KI-forordningen. Norske virksomheter må derfor vurdere ikke bare hvilken KI-modell de bruker, men også hvordan og i hvilken kontekst den brukes. Det er særlig viktig å være oppmerksom på om løsningen kan falle inn under høyrisikokategoriene i vedlegg III, eller om bruken innebærer en endring av formålet som utløser strengere krav.
Selv der virksomheten ikke blir å anse som leverandør av et høyrisiko KI-system, kan bruken av KI-modeller for allmenne formål utløse andre plikter etter KI-forordningen. For leverandører av KI-systemer som genererer syntetisk tekst, bilde, lyd eller video, skal uttaket merkes slik at det kan identifisere som KI-generert eller manipulert (artikkel 50 nr. 2). I tillegg må idriftsettere opplyse om bruk av såkalte «deepfakes», med mindre det foreligger unntak, for eksempel av hensyn til ytringsfrihet eller kunstnerisk uttrykk (art. 50 nr. 4). Disse kravene vil i mange tilfeller være direkte relevante for norske virksomheter som tar i bruk generative KI-løsninger i sine tjenester, markedsføring, kundedialog eller beslutningsstøtte.
Les mer om krav til åpenhet og merking her: Risikokategoriene – hvilken risiko har ditt KI-system?
Samspillet mellom reglene for KI-modeller og KI-systemer
Reglene i kapittel V om KI-modeller for allmenne formål erstatter ikke pliktene som gjelder for KI-systemer. Når en slik modell integreres i en konkret anvendelse eller tjeneste, vil den inngå som en del av et KI-system i forordningens forstand. En virksomhet som bygger en tjeneste på en slik modell, vil da opptre som leverandør av et KI-system overfor sluttbrukere, og må forholde seg til regelverket basert på hvordan KI-systemet klassifiseres og brukes. Dette innebærer at virksomheten må vurdere om:
- bruken er forbudt etter artikkel 5
- KI-systemet klassifiseres som høyrisiko etter artikkel 6, jf. vedlegg III
- det gjelder krav til åpenhet og merking etter artikkel 50
For norske virksomheter vil det derfor ofte være regelverket for KI-systemer, snarere enn kapittel V isolert sett, som får størst praktisk betydning.
Pliktene til GPAI-leverandørene (artikkel 53)
Teknisk dokumentasjon til myndighetene
Dokumentasjonen skal kunne gis på forespørsel til KI-kontoret (AI Office) og nasjonale kompetente myndigheter.
Les mer om EUs håndheving av KI-forordningen her: EUs håndheving av KI-forordningen
Informasjon til andre KI-aktører
Leverandøren av KI-modellen skal utarbeide, oppdatere og gjøre tilgjengelig informasjon til andre aktører som vil integrere KI-modellen i sine egne KI-systemer. Disse aktørene kalles for «nedstrømsleverandører» i KI-forordningen, jf. artikkel 3 nr. 68:
«nedstrømsleverandør» en leverandør av et KI-system, herunder et KI-system for allmenne formål, som integrerer en KI-modell, uansett om KI-modellen leveres av leverandøren selv og integreres vertikalt, eller leveres av en annen enhet på grunnlag av kontraktsforhold.»
Informasjonen skal gi god forståelse av KI-modellens evner og begrensninger, og sette nedstrømsleverandøren i stand til å overholde sine forpliktelser etter KI-forordningen, for eksempel knyttet til merking av KI-generert innhold etter artikkel 50 nr. 2. Minstekravet til innholdet i denne dokumentasjonen står i vedlegg XII til KI-forordningen.
Policy for etterlevelse av opphavsrett
Leverandøren skal utvikle retningslinjer som sikrer etterlevelse av regler om opphavsrett, blant annet håndtering av såkalte «reservasjon av rettigheter» etter DSM‑direktivet artikkel 4 nr. 3. Dette er en samtykke‑forpliktelse og påvirker hvordan treningsdata innhentes og hvilke kilder som brukes.
Offentlig sammendrag av treningsinnhold
Leverandøren skal utarbeide og publisere et detaljert sammendrag av innholdet/treningsdata som er brukt til trening av KI-modellen. KI-kontoret (AI Office) skal utarbeide en felles mal som skal brukes til dette.
Dette er ikke en plikt til å publisere hele treningsdatasettet, men en transparensforpliktelse som blant annet skal gi samfunnet og de som ønsker å integrere KI-modellen i sine egne KI-systemer bedre innsikt i treningsdataene.
Regler for god praksis og harmoniserte standarder
Leverandører kan bruke regler for god praksis (codes of practice) etter artikkel 56 til å dokumentere at de overholder forpliktelsene i artikkel 53 nr. 1, inntil det offentliggjøres en harmonisert standard som dekker disse kravene.
Ordningen med harmoniserte standarder i EU/EØS har den fordelen at dersom leverandørene bruker en slik standard gir dette en presumsjon for samsvar med kravene som standarden dekker. Dersom leverandøren velger å ikke følge regler for god praksis eller harmonisert standarder må man kunne dokumentere etterlevelse på andre måter.
Les mer om harmoniserte standarder, retningslinjer og frivillige atferdsregler her: Harmoniserte standarder, retningslinjer og frivillige atferdsregler
Åpen kildekode: hva er unntatt – og hva er ikke unntatt?
KI‑forordningen gjør et unntak for KI-modeller som publiseres under en lisens med fri og åpen kildekode som tillater tilgang til og bruk, endring og distribusjon av KI-modellen. Unntaket forutsetter at både parametere, informasjonen om modellarkitekturen og informasjonen om modellbruken gjøres offentlig tilgjengelige, jf. artikkel 53 nr. 2. Dersom disse vilkårene er oppfylt, gjelder ikke forpliktelsene knyttet til dokumentasjon i artikkel 53 nr. 1 bokstav a og b. Unntaket gjelder derimot ikke for KI-modeller for allmenne formål med såkalt «systemisk risiko» etter artikkel 51 (se under).
Fri og åpen kildekode fritar imidlertid ikke fra alle forpliktelsene i artikkel 53. Det stilles fortsatt krav om retningslinjer for etterlevelse av opphavsrett og sammendrag av innholdet som er brukt til trening av KI-modellen for allmenne formål, jf. artikkel 53 nr. 1 bokstav c og d.
Krav om autorisert representant for leverandører utenfor EU (artikkel 54)
Leverandører etablert i et land utenfor EU/EØS må utpeke en autorisert representant etablert i EU/EØS før de plasserer en KI-modell for allmenne formål på EU/EØS-markedet, jf. artikkel 54 nr. 1.
Representanten skal blant annet kunne bekrefte at teknisk dokumentasjon er utarbeidet og at forpliktelsene etter artikkel 53, og artikkel 55 der det er relevant, er oppfylt. Videre skal vedkommende oppbevare kopi av tekniske dokumentasjonen i 10 år, gi informasjon til KI-kontoret (AI Office) ved forespørsel, og samarbeide med myndighetene jf. artikkel 54 nr. 3. Representanten skal også kunne avslutte mandatet dersom leverandøren opptrer i strid med forpliktelsene, jf. artikkel 54 nr. 5.
Det gjøres unntak på visse vilkår for leverandører av KI-modeller for allmenne formål som utgis under en lisens med fri og åpen kildekode, jf. artikkel 54 nr. 6. Unntaket gjelder ikke for dersom KI-modellen utgjør «systemisk risiko» etter artikkel 51.
Regler for god praksis (artikkel 56)
KI-forordningen legger opp til at det skal utvikles «regler for god praksis» (codes of practice) på EU-nivå, for å støtte gjennomføringen av reglene for KI-modeller for allmenne formål. Slike regler for god praksis er et frivillig etterlevelsesverktøy som gir praktisk veiledning om hvordan GPAI-leverandører kan oppfylle forpliktelsene i KI-forordningen. Disse utarbeides av uavhengige eksperter der myndigheter, næringsliv, akademia og sivilsamfunn kan delta i prosessen. Tanken bak slike beste-praksis-regler er at disse skal gjøre lovkravene om til mer konkrete tekniske og organisatoriske tiltak som virksomheter kan følge.
Etter artikkel 56 skal KI-kontoret (AI Office) legge til rette for utviklingen av slike regler for KI-modeller for allmenne formål. Reglene for god praksis skal minimum dekke forpliktelsene som gjelder for KI-modeller for allmenne formål både med og uten systemisk risiko (artikkel 56 nr. 2, jf. artikkel 53 og 55).
Den 10. juli 2025 publiserte KI-kontoret regler for god praksis som gjelder for KI-modeller for allmenne formål.
Les mer om reglene her: The General-Purpose AI Code of Practice | Shaping Europe’s digital future
Disse reglene for god praksis suppleres av Kommisjonens retningslinjer som klargjør sentrale begreper knyttet til KI-modeller for allmenne formål.
Les mer om retningslinjene her: Guidelines on the scope of obligations for providers of general-purpose AI models under the AI Act | Shaping Europe’s digital future
For virksomhetene som utvikler disse kraftige KI-modellene er det frivillig å følge slike regler for god praksis, men leverandører som signerer og følger disse kan bruke dette som en måte å vise at de etterlever KI-forordningen. Dette kan redusere administrative byrder og gi større rettslig forutsigbarhet enn om virksomhetene må dokumentere sin etterlevelse gjennom egne løsninger.
KI-modeller med systemisk risiko: terskler, prosess og skjerpede krav
Hva betyr «systemisk risiko»?
Risikoen øker gjerne i takt med KI-modellens kapasitet, utbredelse og bruksområder. Risikoen kan oppstå på grunn av utilsiktede feil eller bevisst misbruk. Eksempler på dette kan være KI-modeller som kan senke terskelen for utvikling av kjemiske eller biologiske våpen, bidra til avanserte cyberangrep, manipulere informasjon i stor skala eller forsterke diskriminering og skjevheter i beslutningsprosesser. I ytterste konsekvens kan en enkelt hendelse utløse en kjedereaksjon med omfattende negative virkninger for en by, en sektor eller et helt samfunn.
Når har en KI-modell «systemisk risiko»?
For det første dersom KI-modellen anses å ha kapabiliteter med såkalt «høy påvirkningsgrad» når dette vurderes ved hjelp av tekniske målemetoder, indikatorer og referanseverdier. Dette handler om KI-modellens tekniske styrke og potensielle gjennomslagskraft, for eksempel hvor avanserte oppgaver den kan løse, hvor bredt den kan anvendes, og hvor stor påvirkning den kan ha på ulike sektorer. «Kapabiliteter med høy påvirkningsgrad» er definert i artikkel 3 nr. 64:
"kapabiliteter som svarer til eller overgår de kapabilitetene som er registrert i de mest avanserte KI-modellene for allmenne formål"
For det andre kan Kommisjonen bestemme at en KI-modell skal anses å innebære systemisk risiko, enten på eget initiativ eller etter melding fra vitenskapspanelet med KI-eksperter. I sin vurdering skal Kommisjonen blant annet legge vekt på kriteriene i vedlegg XIII, som omfatter faktorer som KI-modellens kapasitet, utbredelse, potensielle risikoer og samfunnsmessige påvirkning.
For å gjøre vurderingen mer forutsigbar inneholder KI-forordningen også en teknisk terskelverdi som knytter seg til regnekraft. En KI-modell antas å ha «kapabiliteter med høy påvirkningsgrad» dersom den er trent med en samlet beregningskraft på mer enn 10²⁵ flyttallsoperasjoner (FLOPs). Dette er et mål på hvor mye datakraft som har blitt brukt i treningen av KI-modellen, og fungerer som en indikator på modellens størrelse og potensielle kapasitet.
Samtidig legger KI-forordningen opp til at disse tersklene skal kunne justeres over tid. Teknologien utvikler seg raskt, blant annet gjennom mer effektive algoritmer og kraftigere maskinvare. Derfor kan Kommisjonen endre tersklene og supplere indikatorene gjennom delegerte rettsakter, slik at klassifiseringsreglene i artikkel 51 til enhver tid gjenspeiler det faktiske teknologiske nivået i samfunnet. Dette skal bidra til at regelverket fortsatt treffer de KI-modellene som kan innebære størst risiko.
Strengere plikter for KI-modeller med systemisk risiko etter artikkel 55
For det første må leverandørene gjennomføre grundige modellevalueringer. Dette innebærer testing av KI-modellen etter standardiserte metoder og verktøy som gjenspeiler det aktuelle teknologiske nivået. Evalueringene skal blant annet omfatte testing av hvordan modellen kan misbrukes eller utnyttes til skadelige formål, slik at slike risikoer kan identifiseres og begrenses før modellen tas i bruk.
Videre pålegges leverandørene en plikt til å overvåke og rapportere alvorlige hendelser. Dersom det oppstår hendelser eller problemer som kan ha betydning for sikkerhet eller samfunnsrisiko, skal relevante opplysninger dokumenteres og meldes til KI-kontoret (AI Office) hos Kommisjonen, og nasjonale markedstilsynsmyndigheter. I Norge er dette Nasjonal kommunikasjonsmyndighet (Nkom). Dette skal bidra til at myndighetene raskt kan få oversikt over risikoer og iverksette tiltak.
Til slutt må leverandørene sørge for tilstrekkelig cybersikkerhet rundt både selve KI-modellen og infrastrukturen den kjører på. Hensikten er å beskytte modellene mot uautorisert tilgang, manipulering eller andre sikkerhetsbrudd som kan føre til misbruk eller økt risiko.
Hvem håndhever reglene for KI-modellene, og hva betyr dette for Norge?
Håndhevingen av reglene for KI-modellene er i stor grad sentralisert til EU‑organene. Kommisjonen har såkalte «enekompetanse» til å føre tilsyn med og håndheve reglene i kapittel V, og det er KI-kontoret (AI Office) hos Kommisjonen som skal utføre oppgavene, jf. artikkel 88 nr. 1.
Kommisjonen kan kreve dokumentasjon og informasjon fra leverandører av KI-modeller for allmenne formål. KI-kontoret kan også gjennomføre evalueringer av modellen for å vurdere etterlevelse eller undersøke systemrisiko. Kommisjonen kan kreve tilgang til modellen gjennom API‑er eller andre tekniske midler, inkludert kildekode, jf. artikkel 92 nr. 1 og 3.
Siden Norge ikke er EU-medlem må det tas stilling til hvordan reglene som gjelder for de kraftigste KI-modellene skal håndheves i Norge. Dette må avklares i den pågående EØS-prosessen.