– Norske selskaper kan allerede bryte AI Act-loven

– Det er ingen grunn til å vente på lovgiver, AI Act gjelder for norske selskaper allerede i dag, advarer Ove André Vanebo.

– AI Act har et virkeområde som innebærer at reglene vil kunne anvendes på norske virksomheter, forklarer Ove A. Vanebo. 📸: CMS Kluge
– AI Act har et virkeområde som innebærer at reglene vil kunne anvendes på norske virksomheter, forklarer Ove A. Vanebo. 📸: CMS Kluge Vis mer

Mange virksomheter venter på at EUs nye forordning for å regulere kunstig intelligens, «AI Act», skal gjelde for Norge.

Men det er ingen grunn til å vente på lovgiver – AI Act gjelder for norske selskaper allerede i dag.

Slik fungerer AI Act

Et av EU-regelverkene med mest «hype» bak seg, er den lenge ventede AI Act, som er verdens første regulering som eksplisitt gjelder kunstig intelligens. På mange måter er AI Act først og fremst et produktansvarsregelverk, som legger en rekke plikter på leverandører og profesjonelle brukere av kunstig intelligens.

AI Act skal sørge for både trygghet, innovasjon og mer samordnete regler i EU-området. Regelverket legger opp til en risikobasert regulering, med fire ulike nivåer av risiko: Desto større risiko for negative konsekvenser, desto strengere regler.

  • Systemer med uakseptabel risiko er forbudt, og omfatter bl.a. systemer som manipulerer oss, påvirker sårbare grupper negativt eller innebærer svært inngripende former for overvåking.
  • Høyrisikosystemer er et risikonivå som pålegger dem som leverer og bruker slike systemer å sørge for tiltak som sikrer forsvarlig kunstig intelligens. Blant annet vil dette gjelde i forbindelse med AI-systemer for kredittscore og ulike systemer for å evaluere elever og arbeidstakere. Det stilles krav til kvalitets- og risikostyringssystemer, i tillegg til dokumentasjon og kontroll.
  • Systemer som innebærer en mer begrenset risiko, har først og fremst plikter knyttet til åpenhet, f.eks. at du snakker med en chatbot, og at AI-generert innhold (f.eks. tekst og bilde) må merkes. Utgjør den kunstige intelligensen liten eller ingen risiko, er det i utgangspunktet ingen plikter knyttet til dem.
  • Det er også krav for leverandører av såkalte «grunnmodeller» med generelle formål, eller «General Purpose AI-models». Leverandører av slike modeller må sørge for å dokumentere teknisk informasjon og ha på plass retningslinjer for å respektere blant annet opphavsrettigheter.

Krav til kompetanse

I EU ble AI Act gjeldende allerede fra 2. august i fjor, men de fleste pliktene i forordningen vil først tre i kraft samme dato i 2026. Mange har imidlertid oversett at en rekke plikter vil tre i kraft allerede i disse dager.

Fra og med 2. februar i år vil det være forbudt med bruk og utplassering av systemer med kunstig intelligens som utgjør en såkalt «uakseptabel risiko».

Dette vil omfatte blant annet målrettet manipulerende eller villedende påvirkning, og utnyttelse av spesiell sårbarhet eller behov for beskyttelse. Også en rekke former for evaluering av personer og inngripende overvåking vil forbys.

I tillegg vil det også fra 2. februar stilles krav om at leverandører og brukere av AI-systemer skal iverksette tiltak for å sikre et tilstrekkelig nivå av «AI-kompetanse» hos ansatte og andre personer som arbeider med drift og bruk av AI-systemer på deres vegne.

Kompetansebyggingen må ta hensyn til hva slags kunnskap de ansatte og andre har, samt hvilke personer eller persongrupper som berøres av AI-systemene.

AI Act i Norge

Men hva så – dette er vel uansett ikke aktuelt for norske bedrifter ennå? Mange tech-virksomheter har satt seg på gjerdet, for å vente på at Stortinget skal banke gjennom en lov som gjør AI Act gjeldende i Norge.

Så enkelt er det dessverre ikke: AI Act har et virkeområde som innebærer at reglene vil kunne anvendes på norske virksomheter, selv om de ikke har fysisk etablering eller lokalisering i EU.

AI Act gjelder nemlig allerede leverandører som plasserer eller setter i bruk AI-systemer på EU-markedet. Slike aktiviteter vil omfatte en rekke måter å tilby kunstig intelligens på.

I praksis vil det aller meste av distribusjon eller bruk på EU-markedet kunne omfattes. For eksempel kan tilgang til systemet og dets tjeneste gjennom et API, eller via sky eller direkte nedlastinger, være nok til å plassere systemer på markedet. Leverandører og brukere utenfor EU omfattes også av AI Act hvis deres AI-systemers utdata brukes innenfor EU.

Dermed kan norske AI-selskaper fort allerede bryte loven.

Dyrt å bryte

Det er likevel kanskje tid til en viss pause, siden reglene om overvåkingsorganene og gebyrene etter AI Act først begynner å gjelde i august i år.

Men det er ingen tid å miste, og det blir dyrt å vente. AI Act har høyere gebyrer enn de beryktede gebyrene etter EUs personvernforordning, GDPR:

35 millioner euro eller 7 prosent av fjorårets globale omsetning svir for de fleste.