Nye AI-regler kan gi gigantbøter
EUs nye AI-forordning kommer til Norge. Regelbrudd kan bli straffet med bøter på hele 7 prosent av bedriftens årlige omsetning, advarer Hallvard Müller i Crayon.

Gjestekommentar: Hallvard Müller, seniorrådgiver innen data governance og personvern i Crayon
EUs AI-forordning (EU AI Act), verdens første helhetlige lovgivning for kunstig intelligens, vil påvirke alle sektorer, og tvinge virksomheter til å forholde seg til nye og strengere krav. Forordningen vil trolig få virkning i Norge i løpet av første halvår 2026, men det er ingen grunn til å vente med å forberede seg.
AI-forordningen deler AI-systemer, eller egentlig anvendelser, inn i fire risikokategorier:
Risikoklassifiseringen avhenger av AI-systemets bruksområde og ikke av bedriftens bransje eller teknologi alene. Bedrifter som utvikler AI-systemer, vil få flere krav enn de som kun bruker dem. Jo høyere risiko, desto mer vil kreves av bedriftene for å forstå og styre risikoene innenfor bedriftens risikoevne og -vilje.
ChatGPT, for eksempel, representerer begrenset risiko i seg selv, men kan fort bli til høy risiko om tjenesten brukes i høyrisikoanvendelser som helsetjenester eller kritisk infrastruktur. Det er derfor avgjørende viktig å ha kontroll på den faktiske bruken og avklare hvem som har ansvar for hva – leverandøren eller bedriften.
For mange bedrifter vil AI-forordningen representere et nytt tankesett. Det er ikke nok å være innovativ; man må også være ansvarlig. Dette betyr å kunne vurdere ikke bare de tekniske risikoene, men også de etiske og samfunnsmessige implikasjonene av AI-systemer.
ISO 42001, verdens første standard for ledelsessystemer for kunstig intelligens, kan være et nyttig verktøy i denne sammenhengen. Standarden gir et rammeverk for hvordan bedrifter kan håndtere risikoen ved AI-systemer gjennom hele deres livssyklus, fra utvikling til implementering. Dette rammeverket kan integreres med andre ISO-standarder, som ISO 27001 for informasjonssikkerhet og ISO 9001 for kvalitet, og dermed bidra til å skape en helhetlig tilnærming til risikostyring.
Bedrifter som ikke etterlever AI-forordningen, vil kunne risikere bøter på opptil 7 prosent av årlig omsetning – vesentlig høyere enn sanksjonene for å ikke etterleve GDPR.
For bedrifter som ønsker å lykkes med kunstig intelligens, er det nå et tidsvindu for å ta grep. De som utvikler en robust risikostyring, sikrer transparens, og bygger etisk og ansvarlig AI, vil ikke bare kunne møte de regulatoriske kravene – de vil også være bedre rustet til å vinne tillit og skape bærekraftig innovasjon. Det er i dette landskapet, mellom teknologi og ansvar, at fremtidens vinnerbedrifter vil befinne seg.
Hallvard Müller
Seniorrådgiver innen data governance og personvern i Crayon