Hopp til hovedinnhold

KI-loven: Dette bør du vite

EU har vedtatt et felles regelverk for kunstig intelligens (AI Act) som skal sikre at KI-systemene som brukes i EU skal være trygge. På norsk kalles dette regelverket KI-forordningen. Formålet er å legge til rette for innovasjon og teknologisk utvikling, samtidig som grunnleggende samfunnsverdier ivaretas.

Norge er ikke medlem av EU, men gjennom EØS-avtalen er vi forpliktet til å innføre relevant EU-regelverk. KI-forordningen er ansett å være EØS-relevant, noe som betyr at den også skal innføres i Norge. Dette gjøres gjennom en egen norsk lov som har fått navnet «loven om kunstig intelligens (KI-loven)».

KI-forordningen er EUs første helhetlige regelverk for kunstig intelligens. Den gjelder allerede i EU og gir felles regler for hvordan KI-systemer og KI-modeller skal utvikles, omsettes og brukes.

KI-loven er den norske loven som innfører KI-forordningen i Norge. Loven inneholder både en paragraf som sier at KI-forordningen skal gjelde i Norge, og i tillegg noen paragrafer som regulerer norske forhold det regelverket åpner for nasjonale tilpasninger.

Loven er ikke vedtatt i Norge

Deler av KI-forordningen har allerede tredd i kraft i EU. I Norge er arbeidet med å innføre regelverket i norsk rett noe forsinket fordi EØS-forhandlingene tar lenger tid enn ventet, og regjeringen arbeider fortsatt med lovforslaget.

Det er ikke fastsatt når KI-loven skal gjelde i Norge. Nkom anbefaler likevel at virksomheter begynner å forberede seg nå. Det kan gjøres ved å vurdere hvilken risikokategori KI-bruken innebærer, og hvilke forpliktelser de har til å iverksette tiltak for å oppfylle kravene.

Hvem vil loven gjelde for?

KI-loven vil gjelde i Norge. Konkrete plikter etter regelverket vil bare gjelde for aktører som omfattes av KI-forordningen, og pliktene avhenger av hvilken rolle aktøren har og hvordan KI-systemet brukes. Det kan være virksomheter som utvikler egne KI-systemer, selger KI-løsninger eller tar i bruk KI-verktøy i arbeidet sitt.

KI-forordningen gjelder i utgangspunktet ikke når privatpersoner bruker KI til rent personlige eller ikke-kommersielle formål. Brukes KI i en yrkesmessig eller forretningsmessig sammenheng, vil det normalt være virksomheten – i rollen som idriftsetter av KI-systemet – som har ansvar for at regelverket overholdes.

Loven skiller mellom flere ulike roller:

  • Leverandører lager, utvikler eller tilbyr KI-systemer eller KI-modeller til allmenne formål, under eget navn eller varemerke, og må sørge for at systemene oppfyller kravene før de selges eller gis bort.

  • Idriftsettere er fysiske eller juridiske personer, offentlige myndigheter, etater eller andre organer som tar i bruk et KI-system under sin myndighet – forutsatt at bruken ikke er personlig og ikke-profesjonell. De har ansvar for at KI-systemene brukes trygt og følger kravene. De fleste norske virksomheter som benytter KI i sin drift, vil falle inn under denne kategorien.

  • Importører og distributører har egne forpliktelser og er ansvarlige for at høyrisiko-KI-systemer de bringer inn fra tredjeland oppfyller kravene før de gjøres tilgjengelig i EU/EØS-markedet. Distributører skal sikre at systemene de videreformidler følger regelverket når de gjøres tilgjengelig for markedet.

Hva betyr loven i praksis?


KI-forordningen gir felles regler for kunstig intelligens i EU/EØS og stiller krav til produktsikkerhet for enkelte KI-systemer. Forordningen bygger på et risikobasert system der kravene som stilles øker i takt med hvilken risiko et system kan utgjøre for menneskers helse, grunnleggende rettigheter eller sikkerhet.

Noen former for KI vil bli forbudt. KI-systemer med høy risiko - for eksempel systemer brukt i rekruttering, kredittgivning eller kritisk infrastruktur – vil få strengere krav til blant annet testing, dokumentasjon, logging og menneskelig tilsyn. Visse KI-systemer med såkalt begrenset risiko, som enkle chatboter i kundeservice og anbefalingssystemer, vil få krav om åpenhet overfor brukerne slik at det er tydelig at man kommuniserer med eller påvirkes av et KI-system. KI med lav risiko, som stavekontroll og bildefiltre, får i utgangspunktet ingen krav.

De strengeste kravene i KI-forordningen gjelder for KI-systemer som klassifiseres som høyrisiko.

Denne kategorien er avgrenset til to tilfeller:

1. KI-systemer som er integrert i bestemte produkter regulert av eksisterende EU-regelverk. Det kan være medisinsk utstyr, kjøretøy og leketøy.

2. KI-systemer som brukes på særlig kritiske områder, som rekruttering, utdanning og drift av kritisk infrastruktur.

Virksomheter som verken utvikler, videreformidler eller tar i bruk slike KI-systemer vil ikke være underlagt de strengeste kravene i KI-forordningen.

KI-sandkassen

KI-sandkassen er et tilbud til virksomheter som vil ha hjelp til å forstå hvilke krav som vil gjelde for dem. Sandkassen er et samarbeid mellom KI Norge, Datatilsynet og Nkom. Den åpner når KI-loven trer i kraft i Norge.

Les mer om KI-sandkassen

Nasjonal kommunikasjonsmyndighet (Nkom) er utpekt som nasjonal koordinerende myndighet for KI-forordningen i Norge. Som koordinerende myndighet har Nkom ansvar for å samordne håndhevingen av forordningen på nasjonalt nivå og veilede virksomheter om regelverket. På Nkoms nettsider finner du mer informasjon om KI-forordningen og den kommende KI-loven.

Gå til Nkom sine nettsider for mer informasjon om KI-loven

Hva leter du etter?