EU AI Act: Hva norske bedrifter må vite før 2026

Jeg har jobbet med teknologi i over 15 år, og de siste tre årene har jeg sett AI gå fra noe futuristisk til noe alle bedrifter må forholde seg til. Nå kommer EU AI Act — verdens første omfattende lov for kunstig intelligens — og den påvirker deg og meg, enten vi liker det eller ikke.

I denne artikkelen deler jeg det jeg har lært om AI Act, hva det betyr for norske bedrifter som våre, og hva du konkret bør gjøre. Ikke juridisk språk. Bare praktisk, forståelig informasjon fra én bedriftseier til en annen.

Hva er EU AI Act, egentlig?

AI Act er EUs regulering for kunstig intelligens. Den trådte i kraft 2. august 2024, og innføres gradvis fram mot 2027. Loven gjelder for alle som bruker, selger, eller tilbyr AI-systemer i EU og EØS — og ja, det inkluderer Norge via EØS-avtalen.

Det viktigste å forstå er at AI Act ikke forbyr AI. Den regulerer AI basert på risiko. Jo høyere risiko AI-systemet ditt utgjør for menneskers rettigheter, helse eller sikkerhet, jo strengere regler gjelder.

Tenk på det som trafikkregler. En sykkel har andre regler enn en lastebil. AI Act fungerer på samme måte — AI i et videospill har andre regler enn AI som vurderer om du får lån.

De fire risikonivåene — forklart med eksempler

Nivå 1: Uakseptabel risiko — FORBUDT

Dette er AI som EU har sagt klart nei til. Fra 2. februar 2025 er det ulovlig å bruke følgende — med noen snevre unntak:

Forbudt praksis| Kort forklaring

• Sosial scoring - Å gi borgere poeng basert på atferd, som i Kina
• Manipulering av sårbare grupper - Barn, eldre eller personer i utsatte situasjoner
• Profilering som forutsier kriminalitet - Basert på profilering uten konkret mistanke
• Samle ansiktsbilder fra internett uten målrettet samtykke - «Untargeted scraping» for å bygge biometriske databaser
• Biometrisk identifisering i sanntid i offentlige rom - Med unntak for politi i spesifikke sikkerhetssituasjoner

Hva betyr dette for deg? Hvis du ikke driver med overvåking, manipulasjon eller massebiometri, er du nok trygg. Men det er viktig å vite at disse reglene allerede gjelder nå.

Nivå 2: Høy risiko — STRENGT REGULERT

Her kommer vi til AI som påvirker viktige deler av folks liv.

Tidslinje:

• August 2026: High-risk AI i Annex III (rekruttering, kreditt, utdanning, kritisk infrastruktur)
• August 2027: High-risk AI innebygd i regulerte produkter (medisinsk utstyr, transportutstyr)

Eksempler på high-risk AI:

• AI som vurderer jobbsøknader eller CV-er (rekruttering)
• AI som sier ja eller nei til banklån (kredittscoring)
• AI i utdanningsopptak eller eksamensvurdering
• AI i kritisk infrastruktur — strømnett, vannforsyning, transport
• AI i rettssystemet som hjelper til med dommer eller bevisvurdering
• AI som brukes i visum- eller asylsøknader

For disse systemene gjelder strenge krav: du må dokumentere risiko, ha menneskelig kontroll, CE-merke systemet, og registrere det i EU-databasen.

Som SMB er dette nok noe du bør unngå å bygge selv — kjøp heller fra leverandører som allerede har gjort dette arbeidet.

Nivå 3: Begrenset risiko — ÅPENHETSKRAV

Her er vi! Dette er nivået de aller fleste norske bedrifter faller under. Transparenskravene (Article 50) trer i kraft 2. august 2026.

Begrenset risiko betyr at du må være åpen og ærlig om at du bruker AI. Brukerne skal vite når de interagerer med en maskin, ikke et menneske.

Eksempler fra Kronvegas hverdag:

• Chatboten på nettsiden din — brukerne må vite at det er AI
• AI-genererte blogginnlegg eller bilder — bør merkes tydelig (god praksis)
• AI-skrevet markedsføringsmateriell — bør merkes
• Deepfakes eller AI-generert video — må merkes

Dette er ikke vanskelig. Det handler om å være ærlig. En liten merking. En kort setning. Det er det hele. Men det må gjøres.

Nivå 4: Minimal risiko — INGEN NYE REGLER

Her er alt som ikke påvirker rettigheter eller sikkerhet: spamfiltre, AI i videospill, anbefalinger i nettbutikker, automatisk tekstkorrektur, smarte søkefunksjoner.

For disse systemene er det ingen nye krav. Fortsett som før.

Hva betyr dette for DIN bedrift?

La meg være helt ærlig: mange norske SMB-er vil primært møte transparenskrav — men ikke alle. Noen kan havne i high-risk hvis dere bruker AI til rekruttering, kredittvurdering eller lignende.

Her er sjekklisten jeg bruker selv for Kronvega:

spørsmål | Hva du bør gjøre

• Har vi en chatbot på nettsiden? - Legg til: «Du snakker med vår AI-assistent. Jeg er her for å hjelpe deg!»
• Publiserer vi innhold skrevet eller generert av AI? - Merk det: «Denne artikkelen er skrevet med assistanse fra AI, og faglig kvalitetssikret av meg.» |
• Bruker vi AI til å lage bilder, video eller annet visuelt materiell? - Merk det: «Bilde generert med AI.»
• Sender vi AI-genererte e-poster til kunder? - Vurder å være åpen om det, spesielt hvis e-posten ser ut som personlig kommunikasjon
• Har vi en intern oversikt over hvilke AI-verktøy vi bruker? - Lag en enkel liste. Den er nyttig både for compliance og for å ha kontroll.

Min erfaring som teknologibedriftseier

Jeg startet Kronvega fordi jeg så at norske bedrifter trengte hjelp til å forstå og bruke AI på en trygg måte. Og én ting har jeg lært: de bedriftene som lykkes med AI er ikke de som bruker mest AI. De er de som bruker AI mest bevisst.

AI Act handler egentlig om det samme. Det er ikke et forbud. Det er en oppfordring til å tenke seg om: Hvilken AI bruker vi? Hvorfor? Hvilken risiko utgjør den? Og er vi åpne om det med dem det påvirker?

For Kronvega betyr dette at vi alltid merker AI-generert innhold. Vi er åpne med kundene våre om hvordan vi bruker AI i prosjektene. Og vi tilbyr lokal AI — AI Team — til bedrifter som vil ha full kontroll over dataene sine og unngå avhengighet av store skyplattformer.

For meg personlig er dette en selvfølge. Jeg vil ikke at kundene mine skal lure på om de snakker med meg eller en maskin. Ærlighet bygger tillit. Og tillit bygger forretning.

Forenklinger på vei — Digital Omnibus

Det er også gode nyheter. EU inngikk 7. mai 2026 en foreløpig avtale om å forenkle AI Act for små og mellomstore bedrifter:

• Utsettelse for high-risk AI: Desember 2027 istedenfor august 2026 for Annex III-systemer (rekruttering, utdanning, helseforsikring)
• AI i fysiske produkter: Utsettelse til august 2028
• Forenklet dokumentasjon for SMB-er (under 250 ansatte)
• Mulighet til å teste AI i regulatoriske sandkasser
• Klarere regler for hvordan AI Act fungerer sammen med eksisterende produktsikkerhetslover

Så selv om det kan virke overveldende, er det designet for å være håndterbart for bedrifter som våre.

5 konkrete tips fra Kronvega

1. Start nå, ikke i juli 2026. August 2026 kommer raskere enn du tror. Lag en intern oversikt over AI-verktøy i dag.
2. Vær åpen, ikke hemmelighetsfull. Kundene setter pris på ærlighet. «Vi bruker AI for å gjøre dette bedre» er ikke skummelt — det er profesjonelt.
3. Velg trygg AI. Hvis du kan, velg løsninger der du beholder kontrollen over dataene. Hos Kronvega tilbyr vi AI Team — en lokal AI-løsning som kjører på dine maskiner, ikke i en ukjent sky.
4. Dokumenter. Ikke lag en 50-siders rapport. En enkel liste: «Vi bruker ChatGPT til tekst, Midjourney til bilder, og en chatbot fra Kronvega på nettsiden.» Det er nok.
5. Spør om hjelp. Dette er nytt for alle. Hos Kronvega hjelper vi bedrifter med å vurdere hvilket risikonivå deres AI-bruk faller under, og hva de konkret må gjøre. Det er bedre å spørre én gang enn å gjøre feil.

Oppsummering: Tre ting å huske

Punkt | Hva du skal vite

1. Risikonivå - De fleste norske bedrifter faller under begrenset risiko — merk AI-innhold og chatbots

2. Frist - Transparenskrav gjelder fra 2. august 2026. High-risk for Annex III gjelder også fra august 2026 (med mulig utsettelse til desember 2027 pga Omnibus)

3. Hensikt - Dette handler om åpenhet, ikke om å slutte med AI. Bruk AI. Men fortell folk at du gjør det.

Har du spørsmål om AI Act og hva det betyr for din bedrift? Ta kontakt med oss i Kronvega. Vi hjelper deg å finne ut hvilket risikonivå du faller under, og hva du konkret må gjøre.

Kilder: European Commission AI Act-portal, EUR-Lex (CELEX:32024R1689), AI Act Service Desk, Datatilsynet.no