Hjem

EU Artificial Intelligence Act

Hans Audun Sørensen
Hans Audun Sørensen

AI er i ferd med å gå fra konkurransefortrinn til kritisk, regulert infrastruktur – på linje med data, finans og personvern.

EU AI Act er verdens første omfattende lovverk for kunstig intelligens – og det vil påvirke alle selskaper som bruker AI i Europa, uavhengig av hvor teknologien er utviklet.

For virksomheter betyr det én ting:
Du går fra “eksperimentering med AI” til operasjonell risiko, governance og compliance.

De fleste undervurderer konsekvensene.

Kort forklart: Hvordan EU AI Act fungerer

Regelverket er bygget rundt én enkel idé:

AI reguleres basert på risiko.

Det deles inn i fire nivåer:

  • Uakseptabel risiko (forbudt)
  • Høy risiko (strengt regulert)
  • Begrenset risiko (transparenskrav)
  • Minimal risiko (nesten uregulert)

Dette høres enkelt ut.

Det er det ikke i praksis.

Klassifiseringen avgjør:

  • Hvilke krav du må oppfylle
  • Hvilken dokumentasjon du må ha
  • Hvor mye kontroll og tilsyn som kreves

Hvem blir påvirket?

Mange tror AI Act primært gjelder “tech-selskaper”.

Det er feil.

Loven gjelder alle som utvikler, tilbyr eller bruker AI i en kommersiell eller offentlig kontekst.

Den skiller også tydelig mellom roller:

  • Providers (de som utvikler eller tilbyr AI-systemer)
  • Deployers (de som bruker AI i egen virksomhet)
  • Importører og distributører

De fleste virksomheter er deployers – og har fortsatt betydelig ansvar.

Hva regnes som høy-risiko AI?

Dette er kjernen i regelverket.

AI regnes som høy-risiko hvis den påvirker:

  • Menneskers rettigheter
  • Tilgang til tjenester
  • Økonomiske eller juridiske utfall

Eksempler:

  • Kredittvurdering og finansielle beslutninger
  • Rekruttering og kandidatvurdering
  • Offentlige beslutningssystemer
  • Kritisk infrastruktur og sikkerhet

For disse systemene kreves blant annet:

  • Risikostyringssystem
  • Datakvalitet og governance
  • Teknisk dokumentasjon
  • Logging og sporbarhet
  • Human oversight

Dette er i praksis en ny operasjonell disiplin.

Generativ AI og foundation models

EU AI Act introduserer også krav til generelle AI-modeller (GPAI / foundation models).

Dette gjelder blant annet:

  • Store språkmodeller
  • Bilde- og videomodeller

Krav inkluderer:

  • Transparens rundt treningsdata
  • Dokumentasjon av kapabiliteter og begrensninger
  • Risikovurderinger

Hvis du bygger tjenester oppå disse modellene – arver du deler av ansvaret.

Det som faktisk endrer seg (og koster penger)

Transparens blir obligatorisk

Du må kunne forklare:

  • Når brukere interagerer med AI
  • Hvordan AI påvirker beslutninger
  • Hvilke data som brukes

Dette gjelder spesielt for generativ AI, chatbots og beslutningsstøtte.

Dokumentasjon blir en ny kostnadsdriver

For høy-risiko systemer må du:

  • Dokumentere datagrunnlag
  • Forklare modellens logikk og begrensninger
  • Sikre sporbarhet, testing og kontroll

Dette er ikke en “nice to have”.

Det er et krav.

Forbud mot visse typer bruk

Noen anvendelser blir ulovlige:

  • Skjult manipulasjon av brukeratferd
  • Utnyttelse av sårbare grupper
  • Bruk av sensitive biometriske data utenfor strenge rammer

Dette treffer særlig virksomheter som jobber aggressivt med påvirkning, optimalisering og automatiserte beslutninger.

Reelle bøter

Brudd kan koste:

  • Opptil €35 millioner
  • Eller opptil 7 % av global omsetning

Dette er på nivå med GDPR – eller strengere.

Tidslinje: Når må du faktisk gjøre noe?

  • 2025: Første forbud og krav trer i kraft
  • 2025–2026: Governance, transparens og struktur bygges
  • 2026: Full compliance for high-risk systemer

Dette er ikke et “fremtidig problem”.

Det er et nå-problem med forsinket effekt.

Hva dette betyr i praksis

Dette er ikke bare et juridisk lag.

Det påvirker hvordan du:

  • Velger teknologi og leverandører
  • Strukturerer data og eierskap
  • Designer brukeropplevelser
  • Automatiserer beslutninger

Eksempel:

En personaliseringsmotor i ecommerce kan være lav risiko.

En algoritme som påvirker kreditt eller tilgang til tjenester kan være høy risiko.

Forskjellen avgjør hele kravbildet.

Den strategiske feilen de fleste gjør

De fleste selskaper ser dette som:

“Et juridisk compliance-prosjekt”

Det er for snevert.

Dette er egentlig et forretningsdesign- og teknologiprosjekt.

Hvorfor?

Fordi AI Act påvirker:

  • Hvordan du samler og bruker data
  • Hvordan du automatiserer beslutninger
  • Hvordan du designer kundereiser og brukeropplevelser
  • Hvordan du bygger tillit i markedet

Dette treffer kjernen av hvordan moderne virksomheter opererer.

Hva de beste selskapene gjør nå

De venter ikke på juristene.

De gjør tre ting:

Kartlegger AI-bruken strategisk

Ikke bare “hva bruker vi AI til”

Men:

  • Hvilke initiativer driver faktisk verdi?
  • Hvilke beslutninger påvirkes av AI?
  • Hvor ligger regulatorisk risiko?

Prioriterer AI med høy verdi og lav risiko

Ikke all AI er like verdifull.

Fokuser på:

  • Transparente og forklarbare løsninger
  • Førstepartsdata og kontroll over egne modeller
  • AI som forbedrer opplevelse og effektivitet – ikke manipulerer

Bygger “compliance by design”

Ikke legg compliance på toppen.

Bygg det inn i:

  • Teknologivalg og arkitektur
  • Datamodeller og datakvalitet
  • Prosesser og governance

En praktisk tilnærming: Hvor starter du?

  • Kartlegg alle AI-initiativer i virksomheten
  • Klassifiser dem etter risikonivå
  • Identifiser gap mot kravene i AI Act
  • Etabler eierskap og governance
  • Prioriter tiltak basert på forretningsverdi og risiko

Dette er ikke et engangsprosjekt.

Det er en kontinuerlig kapasitet.

Den reelle muligheten (som få ser)

Dette er ikke bare en kostnad.

Det er en mulighet til å:

  • Differensiere på tillit og transparens
  • Bygge bedre og mer robuste datagrunnlag
  • Redusere avhengighet av tredjepartsplattformer
  • Øke kontroll over egen teknologi og vekst

De som gjør dette riktig, vil vinne.

Hvordan Frontkom jobber med dette

Vi ser AI Act som et kommersielt og teknologisk problem – ikke bare et juridisk.

Vi hjelper selskaper med å:

  • Kartlegge og klassifisere AI-bruk
  • Identifisere hvilke initiativer som faktisk skaper verdi
  • Redusere regulatorisk risiko uten å bremse innovasjon
  • Designe digitale løsninger som er både skalerbare og compliant

AI Act readiness assessment

For de fleste virksomheter er det største problemet ikke mangel på vilje – men mangel på oversikt.

Derfor har vi utviklet en strukturert AI Act readiness assessment.

Den gir deg:

  • Full oversikt over hvor AI brukes i virksomheten
  • Klassifisering av risiko på tvers av use cases
  • Identifisering av regulatoriske gap
  • Prioritert tiltaksplan basert på risiko og forretningsverdi
  • Anbefalinger for teknologi, governance og organisering

Dette er typisk det første steget før du kan ta informerte beslutninger.

Klar for å ta kontroll før dette treffer bunnlinjen?

De fleste selskaper vil reagere for sent.

Spørsmålet er ikke om du blir påvirket – men hvor godt forberedt du er.

Vi tilbyr en konkret AI Act workshop / audit hvor vi:

  • Kartlegger AI-bruken i virksomheten din
  • Vurderer risiko og compliance-nivå
  • Identifiserer kritiske gap
  • Prioriterer tiltak med tydelig business impact

Dette gir deg et tydelig beslutningsgrunnlag – ikke bare en compliance-rapport.

Ta kontakt for å booke en workshop eller få tilsendt vår AI Act readiness assessment.

Kilder
Forfatter

Director & Head of ecommerce

Få oppdateringer fra våre blogger