La oss puste litt ut. Jeg har brukt et par kvelder på å lese gjennom hva som faktisk står der, og jeg tror det er greit å skille det viktige fra støyen — særlig for oss som lager Laravel-apper på et hjemmekontor i Bergen, eller driver en liten butikk med en chatbot på nettsiden.
Ja. Selv om vi ikke er i EU, kommer KI-forordningen til Norge gjennom EØS-avtalen. Regjeringen sendte et forslag til norsk implementeringslov — kalt KI-loven — på høring sommeren 2025, og den er ventet å tre i kraft sensommeren 2026. Stort sett samme regler som ellers i Europa, og det er fornuftig: vi vil ikke ha et eget lite regelverk som gjør at norske utviklere må forholde seg til to sett krav.
Det praktiske oppsettet i Norge ser slik ut:
Nkom blir den koordinerende tilsynsmyndigheten på nasjonalt nivå
Datatilsynet fortsetter å håndtere alt som overlapper med personvern (og det er en del)
KI Norge, som ligger hos Digdir, blir en arena for veiledning og en regulatorisk sandkasse
Med andre ord: kjente fjes. Ikke et nytt direktorat fra ingenting.
Loven trer ikke i kraft som ett stort smell. Den kommer i bølger over tre år:
2. februar 2025 (allerede skjedd): Forbud mot AI-systemer med uakseptabel risiko — og kravet om KI-kompetanse, kjent som artikkel 4. Mer om det om litt.
2. august 2025 (også passert): Reglene for generelle KI-modeller — altså OpenAI, Anthropic, Google og Meta. Disse retter seg mot utviklerne av modellene, ikke mot oss som bruker dem.
2. august 2026 (her kommer hovedstøyen): De fleste resterende krav, inkludert reglene for høyrisiko-systemer og transparenskravene for chatboter og KI-generert innhold.
2. august 2027: Høyrisiko-KI som er innebygd i allerede regulerte produkter — for eksempel medisinsk utstyr.
Det er hovedrytmen. Det meste av det folk maser om, gjelder den tredje datoen.
Her er det jeg mener er den ærlige listen — det jeg ville sagt til en kompis som driver et lite konsulentselskap eller en nettbutikk:
Artikkel 4 sier at hvis du leverer eller bruker KI-systemer, skal du sørge for at du selv og folkene rundt deg har "tilstrekkelig KI-kompetanse". Den har vært gjeldende siden februar 2025.
Før du får panikk: dette betyr ikke at du må sende alle på et 40-timers kurs. Tiltakene skal stå i forhold til hva slags systemer dere bruker og i hvilken rolle. Hvis du selv bruker Claude Code til daglig og kanskje har én ansatt som bruker ChatGPT til e-poster, så holder det langt med å skrive ned hva dere bruker, hva fallgruvene er (hallusinasjoner, datalekkasje, bias), og at folk vet hvordan de skal håndtere dem. Et kort dokument — én A4 — er et fullt gyldig utgangspunkt.
Det viktige er at du har tenkt gjennom det og kan vise fram at du har tenkt gjennom det. Ikke at det er mye papir.
Fra august 2026 må KI-systemer som snakker direkte med folk, gjøre det åpenbart at det er en KI de møter. Det betyr i praksis: en liten linje øverst i chatten, eller en tydelig tekst i hilsemeldingen.
Det samme gjelder hvis du publiserer KI-generert tekst, bilder, lyd eller video som er ment å informere offentligheten — da skal det merkes. Ikke alle blogginnlegg trenger en fotnote, men hvis du for eksempel kjører helsidesannonser eller pressemeldinger generert med KI, gjelder kravet.
For de aller fleste av oss er dette en éndags-jobb i sommer 2026. Ikke noe mer.
Dette er nøkkelen til hele forordningen, og den enkleste måten å ikke kaste bort tid på regler som ikke gjelder deg. Høyrisiko betyr KI brukt til ting som:
Rekrutteringsverktøy som filtrerer søkere. Kredittvurdering. Helsediagnostikk. Beslutninger om utdanning eller offentlige ytelser. KI som er sikkerhetskomponent i kritisk infrastruktur. Risikovurdering og prising i livs- og helseforsikring.
Hvis du lager en SaaS for restauranter, en lagerstyringsapp eller et CMS for små foreninger — du er sannsynligvis i lav- eller minimalrisiko. Da er kravene minimale, og artikkel 4 og transparenskravene er det vesentlige du må forholde deg til.
Hvis du derimot lager et automatisk CV-screening-verktøy — ja, da må du sette deg ned og lese forordningen, og du bør sannsynligvis snakke med en advokat.
Dette er det jusprofessor Tobias Bendiksen i et godt intervju i Digital Norway sier ganske greit: hvis du lurer på om du følger AI Act, så er det stor sannsynlighet for at det allerede finnes en annen lov som er mer relevant — GDPR, kontraktsrett, arbeidsmiljøloven, produktansvar.
Behandler appen din personopplysninger? Da er GDPR fortsatt det første du må ha orden på. Datatilsynet har sagt at KI er prioritert tilsynsområde, men det de faktisk håndhever, er stort sett de gamle GDPR-pliktene anvendt på nye systemer.
Og så har vi ting jeg synes blir oppblåst i diskusjonen:
Bøter på 35 millioner euro. Ja, dette er det maksimale taket — og det gjelder for forbudte praksiser eller grove brudd på høyrisiko-reglene. For en liten Bergens-bedrift som har glemt å skrive "denne assistenten er drevet av KI" på chatboten, er dette ikke en realistisk konsekvens. Tilsynsmyndighetene har tradisjonelt prioritert veiledning før straff, særlig for små aktører.
"Du må sertifisere alle KI-systemene dine." Nei. Konformitetsvurdering, CE-merking og registrering i EU-database gjelder høyrisiko. Hvis du ikke driver med rekruttering, kredittvurdering eller kritisk infrastruktur — slipper du dette helt.
"Reglene for foundation models gjelder deg." Nei, de gjelder OpenAI, Anthropic, Google og lignende. Du er kunde av modellene, ikke leverandør. Du har visse plikter når du bruker dem (særlig artikkel 4 og transparens), men ikke leverandørpliktene.
"Du må ha en KI-ansvarlig." Det står ikke i forordningen for små virksomheter. Det er en god idé hvis dere bruker mye KI, men det er ikke et lovkrav for de fleste.
"Norge er late til å implementere." Det stemmer ikke helt. Forslaget kom på høring sommeren 2025, og loven er ventet å tre i kraft i tråd med EU-tidslinjen. Vi blir ikke en bakevje her.
Hvis du har lest så langt og lurer på hva du faktisk skal gjøre denne uken, så er dette utgangspunktet jeg ville brukt:
Skriv ned hvilke KI-verktøy du og eventuelle kolleger bruker. Bare en liste. ChatGPT, Claude, Copilot, Midjourney, Whisper — alt som teller.
For hvert verktøy, noter hva det brukes til og hva som kan gå galt (feilinformasjon, datalekkasje, opphavsrett).
Lag et kort dokument som beskriver dette og hvordan dere håndterer det. Det dokumentet er KI-kompetanse-tiltaket ditt.
Hvis du har en chatbot eller publiserer KI-generert innhold, planlegg merking før august 2026.
Spør deg selv ærlig: brukes KI-en min til noe som havner i høyrisiko-listen? Hvis nei — pust ut. Hvis usikker — les Annex III i forordningen, eller spør noen som kan dette.
Det er det. Den listen tar deg gjennom det meste, gratis, på et par timer.
Jeg skal ikke late som om EU AI Act er en perfekt lov. Den er kompleks, den har mange definisjoner som er litt vage, og det kommer til å komme presiseringer i form av retningslinjer fra Kommisjonen i hele 2026 og videre. Det er rom for å være kritisk.
Men for den jevne norske utvikler eller småbedriftseier er hovedbudskapet ganske enkelt: kartlegg det du bruker, ha kompetansen i orden, vær åpen om at det er KI når det er det, og ikke driv med ting som er forbudt. De fleste av oss gjør allerede det meste av dette intuitivt.
Det er først når du begynner å filtrere CV-er automatisk, score kreditter eller bygge inn KI i medisinsk utstyr at det virkelig stormer. Og hvis du gjør slike ting, da fortjener du uansett en god advokat — uavhengig av hva EU finner på.