KI-forordningen — på engelsk «AI Act» — er EUs regelverk som skal sikre at kunstig intelligens i EU og EØS er trygg, åpen og respekterer grunnleggende rettigheter. Regelverket er risikobasert: jo større risiko et KI-system utgjør, jo strengere krav stilles. De fleste systemer havner i den laveste kategorien og berøres i liten grad.

Forordningen retter seg mot både utviklere (leverandører) og virksomheter som tar i bruk KI. Den gjelder også aktører utenfor EU dersom systemene deres brukes i EU-markedet.

De fire risikokategoriene

Forordningen er bygd rundt prinsippet om proporsjonalitet: forbudte systemer fjernes fra markedet, høyrisiko-systemer må gjennomgå samsvarsvurdering og registreres i en EU-database, mens systemer med begrenset risiko kun er underlagt transparenskrav. Det store flertallet av KI-systemer faller i kategorien minimal risiko og berøres knapt av nye krav.

Tidslinje i EU

Forordningen innføres trinnvis. Datoene under gjelder anvendelse i EU.

1. august 2024
KI-forordningen trådte i kraft i EU.
2. februar 2025
Forbud mot uakseptabel risiko og krav til KI-kompetanse begynte å gjelde.
2. august 2025
Regler for generelle KI-modeller (GPAI) og styringsstruktur begynte å gjelde.
2. august 2026
Hoveddelen av forordningen blir anvendelig i EU.
2026–2028
Forpliktelser for høyrisiko-systemer fases inn gradvis. Enkelte frister ble forskjøvet av en forenklingspakke vedtatt i EU våren 2026.
Forordningen er EØS-relevant, men er foreløpig ikke innlemmet i EØS-avtalen. Regelverket gjelder derfor ikke direkte som norsk lov i dag.

Status i Norge og EØS

KI-forordningen er merket som EØS-relevant, men er foreløpig ikke innlemmet i EØS-avtalen. Innlemmelsen krever forhandlinger om EØS-tilpasninger mellom Norge, Island, Liechtenstein og EU, og disse er ennå ikke sluttført. Regelverket gjelder derfor ikke direkte som norsk lov i dag.

Regjeringen har sendt forslag til en norsk lov om kunstig intelligens på høring, med ambisjon om ikrafttredelse seinsommeren 2026 — omtrent samtidig som hoveddelen av forordningen begynner å gjelde i EU. Det endelige tidspunktet er ikke fastsatt og kan bli forsinket. Nasjonal kommunikasjonsmyndighet (Nkom) er utpekt som samordnende tilsynsmyndighet for kunstig intelligens i Norge.

For den til enhver tid gjeldende statusen er regjeringen.no, Nkom og Datatilsynet de autoritative kildene.

Forholdet til personvern (GDPR)

KI-forordningen kommer i tillegg til — ikke i stedet for — personvernforordningen (GDPR). Når et KI-system behandler personopplysninger, gjelder GDPR fullt ut uavhengig av KI-forordningens status i Norge. Det betyr krav til behandlingsgrunnlag, databehandleravtaler og, ved høy risiko, vurdering av personvernkonsekvenser (DPIA).

Datatilsynet veileder om personvern i KI og driver en regulatorisk sandkasse der virksomheter kan få konkret hjelp til å utvikle ansvarlige KI-løsninger.

KI-forordningen gjelder i tillegg til GDPR — ikke i stedet for. Norske virksomheter som behandler personopplysninger i KI-systemer, må oppfylle GDPR uavhengig av KI-forordningens EØS-status.