Høringsforslag til ny lov om kunstig intelligens – gjennomføring av EUs KI-forordning

Digitaliserings- og forvaltningsdepartementet har nylig sendt utkast til ny lov om kunstig intelligens (KI-loven) på høring. Forslaget bygger på EUs forordning om kunstig intelligens (AI Act). Det innebærer betydelige endringer i det regulatoriske rammeverket for utvikling og bruk av KI-systemer i Norge.

Høringsfristen er satt til 30. september 2025. Høringsnotatet kan leses her.

Bakgrunn og formål

KI-forordningen ble vedtatt i EU våren 2024 og er verdens første helhetlige regelverk for kunstig intelligens. Forordningen har til formål å fremme ansvarlig bruk av KI, samtidig som det tilrettelegges for innovasjon.

KI-loven vil, når den vedtas, innebære at forordningen innlemmes i EØS-avtalen og gjennomføres som særlov i norsk rett. Etter departementets vurdering finnes det ingen andre eksisterende lover som det er hensiktsmessig å endre for å gjennomføre KI-forordningen i norsk rett.

KI-forordningen medfører at EU/EØS-landene ikke kan innføre restriksjoner på utvikling, markedsføring eller bruk av KI-systemer, med mindre forordningen uttrykkelig åpner for slike begrensninger.

Hovedtrekk i lovforslaget

Regelverket bygger på en risikobasert tilnærming, hvor kravene skjerpes i takt med risikoen ved bruken av KI-systemene. Risikoklassifiseringen er inndelt i uakseptabel risiko, høyrisiko og transparensrisiko. Dessuten omfatter regelverket KI-modeller og -systemer for allmenne formål.

Det fremheves at en betydelig andel av alle KI-systemer faller i kategorien minimal risiko. For slike systemer, vil forslaget medføre begrensede forpliktelser. All bruk av AI-systemer underlegges imidlertid en plikt til å påse tilstrekkelig AI-kompetanse i virksomheten.

KI-forordningen inneholder strenge regler for såkalte “høyrisiko”-systemer, som KI-systemer brukt i helse, utdanning, kritisk infrastruktur eller rettspleie. Her gjelder blant annet krav til risikovurdering, dokumentasjon, internkontroll, transparens og overvåking.

Videre inneholder forordningen regler for visse KI-systemer som anses å ha en særlig transparensrisiko. Her innføres blant annet krav knyttet til informasjon til menneskene som samhandler eller eksponeres for systemet.

Noen former for KI anses å ha uakseptabel risiko, og disse forbys eksplisitt, eksempelvis KI-løsninger som manipulerer atferd på en skadelig måte.

Videre innføres omfattende regler for leverandører av KI-modeller for allmenne formål. Her gjelder blant annet krav til dokumentasjon, rutiner for å sikre overholdelse av opphavsrettslige regler og offentliggjøring av sammendrag av dataene KI-modellen er trent på.

En uoffisiell norsk oversettelse av KI-forordningen er vedlagt høringsnotatet. Oversettelsen blir offisiell etter kunngjøring i EØS-tillegget.

Ny regulatorisk sandkasse og tilsynsmyndigheter

I tråd med forordningen skal det etableres en regulatorisk sandkasse for KI i Norge, som skal gi virksomheter mulighet til å teste nye løsninger på en trygg og veiledet måte. Den regulatoriske sandkassen for KI skal være et samarbeid mellom Digitaliseringsdirektoratet (Digdir), Nkom og Datatilsynet. Sandkassen skal plasseres hos Digdir, som allerede har en nasjonal veiledningsrolle for KI. Den regulatoriske sandkassen skal inngå i et nytt KI-senter hos Digdir kalt «KI-Norge».

Nkom foreslås som nasjonal koordinerende markedstilsynsmyndighet, med ansvar for å sikre enhetlig tilsyn og fungere som kontaktpunkt overfor offentligheten, andre medlemsland og EU.

Det foreslås at klagebehandling skal ligge til et selvstendig klageorgan, og ikke departementet, for å ivareta kravene til uavhengighet. Departementet vurderer om dette organet skal være klagenemnda for elektronisk kommunikasjon.

Hva bør din virksomhet merke seg?

Samme regler over hele EØS: Når loven trer i kraft vil utviklere og brukere av KI-systemer måtte forholde seg til det samme regelverket på tvers av EØS-området.
Vurder risikokategori: For det store flertall av virksomheter med minimalrisiko-systemer, får loven liten betydning. For høyrisikosystemer bør det umiddelbart vurderes etablering eller revisjon av rutiner for blant annet risikovurdering, dokumentasjon, internkontroll, transparens og overvåking.
Etablering av sandkasse: Virksomheter som ønsker å utvikle eller teste nye løsninger, bør vurdere deltakelse i eller følge veiledning fra KI-Norges sandkasse, for å sikre at utvikling skjer i samsvar med lovens krav og bestepraksis.
Sektormyndigheter: Dersom virksomheten treffes av regler for produkter med eksisterende EU-harmonisert tilsyn, vær oppmerksom på at sektormyndigheten vil føre tilsyn med KI-elementene i slike produkter.

Det anbefales at berørte aktører – både innen privat næringsliv og offentlig sektor – benytter anledningen til å sette seg inn i forslaget og å vurdere behov for egne høringsinnspill.

***

Ta gjerne kontakt hvis du ønsker hjelp til å inngi et høringssvar. Vi kan også bistå hvis du har spørsmål om hvordan den kommende KI-loven kan påvirke din virksomhet, hvilket handlingsrom som finnes eller hvordan du kan forberede deg på det nye regelverket.