Sju uker igjen: EUs KI-lov rammer norske virksomheter fra 2. august

Norske virksomheter som selger inn i EU-markedet eller bruker kunstig intelligens i kundevendt drift, har under sju uker på seg til å oppfylle det nye regelverket. KI-forordningen, internasjonalt kjent som AI Act, ble vedtatt i 2024, men de fleste pliktene begynner først å gjelde 2. august 2026.

Pliktene rammer bredt. Alt fra automatiserte avgjørelser i banker og forsikringsselskaper til chatboter, ansiktsgjenkjenning og generative modeller faller inn under regelverket. Loven gjelder uavhengig av bedriftens størrelse, og det er den faktiske bruken av KI som avgjør hvilke krav som utløses.

Bøter opp til 35 millioner euro

For de strengeste bruddene, knyttet til forbudte praksiser som sosial scoring eller manipulasjon, er rammen 35 millioner euro eller sju prosent av samlet global omsetning, avhengig av hvilket beløp som er høyest. For andre brudd, som manglende dokumentasjon eller risikovurdering, kan boten nå 15 millioner euro eller tre prosent av omsetningen. Små og mellomstore virksomheter får i utgangspunktet det laveste av beløpet eller prosentandelen.

Et sentralt krav er at innhold generert med kunstig intelligens skal merkes tydelig. Plikten omfatter både tekst beregnet på allmennheten og såkalte deepfakes. Europakommisjonen publiserte 10. juli 2025 en frivillig praksiscode for leverandører av generelle KI-modeller, med kapitler om åpenhet, opphavsrett og sikkerhet. Tilslutning til koden gir en presumsjon for at forordningen er fulgt.

Nkom blir norsk vaktbikkje

Norge er bundet av reglene gjennom EØS-avtalen, og regjeringen har utpekt Nasjonal kommunikasjonsmyndighet til tilsynsmyndighet under den kommende norske KI-loven. Den nasjonale loven er ventet å tre i kraft sensommeren 2026, men selve EU-forordningen får direkte virkning på fellesmarkedet fra 2. august, og bedrifter med kunder eller brukere i EU må forholde seg til den datoen.

Nkom skriver i sin innføring at regelverket skal tas inn gjennom EØS-avtalen og tilpasses norsk rett, og at det kan være lurt å starte arbeidet så snart som mulig. Datatilsynet driver allerede en regulatorisk sandkasse for KI-prosjekter som behandler personopplysninger, og denne kan brukes til å teste løsninger før de settes i drift.

Slik forbereder en SMB seg

For en typisk norsk småbedrift er det fire steg som peker seg ut:

- Kartlegg. Gå gjennom hvor i virksomheten KI faktisk er i bruk, fra rekruttering og kundeservice til prising og markedsføring. - Klassifiser. Vurder hvert system mot forordningens risikokategorier. Høyrisiko utløser plikter til dokumentasjon, logging og menneskelig oversyn. - Merk og kontroller. Bygg inn synlig merking av KI-generert innhold, og sørg for at avgjørelser med betydning for enkeltpersoner kan overprøves av en saksbehandler. - Forankre internt. Utnevn en ansvarlig, etabler rutiner for klager og hendelser, og sørg for at ledelsen kjenner regelverket.

Tidsvinduet er kort, men kravene er detaljerte, og avstanden mellom et raskt opprigget compliance-program og en realistisk gjennomgang av alle KI-prosesser er stor. For mange bedrifter blir sommeren 2026 den første reelle testen på om de har oversikt over hva som faktisk skjer inne i egne systemer.