Gjelder EU AI Act for norske bedrifter?

Ja. AI Act er EU-rett, men treffer Norge gjennom EØS-avtalen og gjennomføres i en egen norsk lov, KI-loven. I tillegg gjelder kompetansekravet i Artikkel 4 alle som bruker AI i arbeidet, og det har vært i kraft siden februar 2025.

Hva er Artikkel 4 i AI Act?

Artikkel 4 pålegger alle som lar ansatte bruke AI, å sørge for at de har tilstrekkelig kompetanse til å bruke den forsvarlig. Det kreves ingen sertifisering; et internt notat på opplæringen holder. Kravet gjelder allerede, og håndheves fra august 2026.

Hvor store er bøtene under AI Act?

For forbudt bruk kan bøtene være opptil 35 millioner euro eller 7 % av global omsetning. For brudd på høyrisikokravene er taket 15 millioner euro eller 3 %. En bot blir mer sannsynlig når en hendelse skyldes at ansatte ikke var godt nok lært opp.

Er bedriften vår leverandør eller ibruktaker av AI?

De fleste SMB-er er ibruktakere: dere bruker AI andre har bygget, og lager den ikke for markedet. Da er pliktene mildere, men reelle — særlig kompetanse, åpenhet om at det er AI, og menneskelig kontroll der feil får konsekvenser.

EU AI Act: hva det betyr for norske SMB-er

Q: Når blir AI Act norsk lov?

Et lovutkast var på høring høsten 2025, og ambisjonen har vært ikrafttredelse sensommeren 2026, omtrent samtidig som hoveddelen av regelverket gjelder i EU. Tidsplanen kan skli, fordi EØS-tilpasningene tar lengre tid enn ventet.

EU AI Act (forordning (EU) 2024/1689) er EUs samlede regelverk for kunstig intelligens, og det første i verden av sitt slag. Det regulerer ikke teknologien, men hvordan den brukes, med krav gradert etter risiko — og det gjelder også norske bedrifter, gjennom EØS-avtalen.

Regelverket angår ikke bare store teknologiselskaper, men enhver bedrift som bruker AI i arbeidet, også en norsk SMB med ti ansatte. Ett av kravene binder dere allerede i dag, resten kommer trinnvis de neste par årene. Her er det du trenger å vite, uten jus-språk.

Hva AI Act egentlig er

AI Act regulerer ikke teknologien i seg selv, men hvordan den brukes. Kravene står i forhold til risikoen: jo større risiko en bruk innebærer, jo strengere krav. Formelt heter regelverket Regulation (EU) 2024/1689, og det deler bruk i fire nivåer.

Forbudt. AI som manipulerer folk eller rangerer mennesker på skadelige måter. Forbudt i EU siden februar 2025.
Høy risiko. Et avgrenset sett bruksområder, for eksempel AI som siler jobbsøkere eller styrer kritisk infrastruktur. Strenge krav til dokumentasjon, menneskelig tilsyn og logging.
Begrenset risiko. Her holder det å være åpen: brukeren skal vite at den snakker med en AI, ikke et menneske.
Minimal risiko. Det meste havner her. Ingen nye krav.

Bøtene er reelle: opptil 35 millioner euro eller 7 % av global omsetning for forbudt bruk, og 15 millioner euro eller 3 % for brudd på høyrisikokravene.

For de fleste norske SMB-er ligger bruken i de to nederste nivåene. Men ett krav gjelder uansett nivå, og det er allerede i kraft.

Kravet som gjelder allerede: AI-kompetanse

Siden februar 2025 har Artikkel 4 i AI Act pålagt alle som lar ansatte bruke AI, å sørge for at de har nok kompetanse til å bruke den forsvarlig. Det gjelder enten dere bygger AI selv eller bare bruker verktøy andre har laget.

Det kreves ingen sertifisering og ingen egen AI-ansvarlig. Det Kommisjonen ber om, er at dere forstår hva dere bruker, kjenner risikoene, og kan vise at de ansatte er lært opp. Et internt notat på opplæringen holder.

Hvorfor det er verdt å ta på alvor: en bot blir mer sannsynlig nettopp når noe går galt fordi en ansatt ikke var godt nok lært opp. Håndhevingen starter i august 2026.

Når blir det norsk lov?

AI Act er EU-rett, og treffer Norge gjennom EØS-avtalen. Det betyr at det kommer en egen norsk lov, KI-loven, som gjennomfører regelverket her. Et utkast var på høring høsten 2025.

Ambisjonen har vært at loven trer i kraft sensommeren 2026, omtrent samtidig som hoveddelen av regelverket gjelder i EU. Tidsplanen kan skli, fordi EØS-tilpasningene tar tid. Nasjonal kommunikasjonsmyndighet (Nkom) er pekt ut som koordinerende tilsyn, og Datatilsynet driver allerede en egen sandkasse for ansvarlig AI.

Hva betyr dette for en norsk SMB?

De fleste av dere er det regelverket kaller en ibruktaker: dere bruker AI andre har bygget, dere lager den ikke for markedet. Da er pliktene mildere, men reelle.

Bruker dere AI til vanlige kontoroppgaver, ligger dere som regel i de laveste risikonivåene, og det viktigste blir kompetansekravet og åpenhet om at det er AI som svarer. Driver dere med noe som faller i høy risiko, for eksempel et rekrutteringsbyrå som bruker AI til å vurdere kandidater, er kravene strengere, og da er det verdt å ha orden på det i god tid.

Hva dere bør gjøre nå

Fire steg, i prioritert rekkefølge:

Skaff oversikt over hvor dere faktisk bruker AI i dag, oppgave for oppgave.
Vurder hvilket risikonivå hver bruk faller i, og merk det som berører personopplysninger.
Sørg for at de ansatte som bruker AI, har fått opplæring, og skriv ned at de har det.
Bygg inn menneskelig kontroll der en feil får konsekvenser, og vær åpne om at det er en agent som gjør jobben.

Ingen av delene krever en jurist for å komme i gang. De krever at noen tar ansvar for å gjøre det.

Slik hjelper vi

Vi bygger AI-agenter for norske bedrifter, og bygger dem slik at de er på linje med regelverket fra start: et menneske godkjenner der det betyr noe, det er åpent at det er en agent, og alt logges. Når vi kartlegger arbeidet i AI Strategi, kartlegger vi samtidig hvor bruken møter regelverket og hvor de ansatte trenger kompetanse. Og når systemene endrer seg rundt agentene, holder vi tilsynet og loggene i gang (AI Drift).

Vi gir dere ikke en juridisk godkjenning, og lover ikke at dere unngår enhver bot. Det vi gjør, er å hjelpe dere å bruke AI lovlig og dokumentere at dere har tatt kravene på alvor. Trenger en sak en advokat, henter vi inn en.

Vil dere vite hvor dere står? Book en samtale, så går vi gjennom AI-bruken deres og hva som bør på plass.