KI-loven i Norge: Hva er det, og hvem gjelder det for?

Denne artikkelen gir deg den grundige gjennomgangen. Vil du raskt finne ut hva som gjelder akkurat din bedrift, bruk Lexolves KI-klassifiseringsverktøy direkte.

Bakgrunn: Hvorfor kommer KI-loven?

EU begynte arbeidet med KI-loven i 2021, da kunstig intelligens fortsatt var et nisjefenomen. Siden da har utviklingen gått langt raskere enn noen forutsatte. ChatGPT ble lansert i november 2022 og forandret hva «KI» betyr for folk flest – fra forskningsverktøy til hverdagsverktøy for millioner av bedrifter.

Formålet med loven er tredelt: Sikre at KI-systemer som brukes i Europa er trygge og etterprøvbare, hindre at KI brukes til overvåkning, manipulasjon eller diskriminering, og skape forutsigbare rammer slik at europeisk næringsliv kan investere i KI-utvikling med et klart lovverk i bunnen.

Loven regulerer ikke KI generelt, den regulerer bruken av KI i konkrete sammenhenger, og stiller strengere krav jo høyere risiko systemet utgjør.

Hva inneholder KI-loven? De viktigste elementene

KI-loven er strukturert rundt tre bærende prinsipper:

Risikobasert regulering. KI-systemer deles inn i fire risikoklasser – fra forbudt til minimal risiko. Jo høyere klasse, jo strengere krav. De fleste bedrifter vil bruke systemer med lav eller ingen særskilt risiko. Men dersom du bruker KI i HR, rekruttering, kredittscoring eller tilsvarende, kan du havne i høyrisiko-kategorien.

Transparens og menneskelig kontroll. Loven stiller krav om at mennesker alltid skal kunne overprøve beslutninger fra høyrisiko-KI-systemer. Ingen avgjørelse som påvirker en person vesentlig; om de får en jobb, et lån eller en tjeneste, skal overlates fullt ut til en algoritme.

Dokumentasjon og etterprøvbarhet. Virksomheter som bruker høyrisiko-KI må dokumentere hva systemet gjør, hvordan det er trent, hvilke risikoer det medfører og hvordan de håndteres. Dette gjelder enten du har bygget systemet selv eller kjøpt det fra en leverandør.

For en fullstendig gjennomgang av risikoklassene og hva de betyr konkret, se Lexolves KI-klassifiseringsverktøy.

Hvem gjelder KI-loven for?

KI-loven skiller mellom tre roller:

Leverandør er den som utvikler og bringer et KI-system til markedet. Leverandører har de strengeste pliktene – teknisk dokumentasjon, samsvarsvurdering, CE-merking og registrering i EU-databaser for høyrisiko-systemer.

Bruker (eller «deployer» på EU-språk) er virksomheten som tar i bruk et KI-system i sin egen drift. Det er her de aller fleste norske SMB-er befinner seg. Som bruker av høyrisiko-KI har du egne plikter, men de er mindre omfattende enn leverandørens.

Importør og distributør er mellomledd i distribusjonskjeden og har egne krav til å verifisere at systemene de formidler er i samsvar med loven.

De færreste norske SMB-er er leverandører. Men mange er brukere av KI som kan falle inn under høyrisiko-kategorien – uten å vite det.

Hva er forbudt etter KI-loven?

KI-loven forbyr en rekke bruksområder som anses som uforenlige med grunnleggende rettigheter. Dette er den kategorien som gjelder fra dag én – allerede fra februar 2025 i EU.

Sosial scoring av mennesker basert på atferd, for eksempel slik det praktiseres i noen land utenfor Europa, er forbudt.

Manipulasjonsteknikker som utnytter sårbarhet – for eksempel KI som bevisst påvirker atferd uten at personen er klar over det – er forbudt.

Biometrisk masseovervåkning i offentlige rom i sanntid er som utgangspunkt forbudt, med svært begrensede unntak for myndigheter.

Prediktiv politiarbeid basert utelukkende på KI-profiler er forbudt.

For de aller fleste norske bedrifter er ingen av disse bruksområdene aktuelle. Men det er nyttig å vite at disse grensene eksisterer og gjelder absolutt – det er ingen «lovlig grunn»-unntaksmuligheter her.

KI-loven og arbeidslivet : Det norske arbeidsgivere bør merke seg

Arbeidslivet er ett av de mest omtalte bruksområdene i KI-loven, og med god grunn. Mange virksomheter har allerede tatt i bruk KI-verktøy i HR-prosessene sine , noen bevisst, andre uten å tenke over det.

KI i rekruttering er klassifisert som høyrisiko. Det gjelder systemer som automatisk filtrerer søkere, rangerer kandidater eller vurderer egnethet for en stilling. Bruker du slike systemer, krever loven risikovurdering, dokumentasjon og at et menneske alltid kan overprøve beslutningen.

KI til prestasjonsvurdering og overvåkning av ansatte er også høyrisiko. Det inkluderer systemer som måler produktivitet, analyserer atferd eller brukes til å vurdere hvem som presterer godt nok.

Informasjons- og drøftingsplikten er et krav mange ikke kjenner til: Før du innfører et høyrisiko KI-system som påvirker ansatte, plikter du å informere og drøfte med ansattes representanter. Dette følger av KI-loven artikkel 26(7) og overlapper med pliktene du allerede har etter arbeidsmiljøloven.

Kompetansekravet gjelder alle virksomheter som bruker KI – ikke bare høyrisiko. Du og dine ansatte skal ha tilstrekkelig kunnskap om systemene dere bruker til å bruke dem forsvarlig. Dette er et aktivt krav, ikke en henstilling.

Tidslinje: Hvilke regler gjelder fra når?

AI Act trådte i kraft i EU i august 2024, men med en gradvis innfasing:

Februar 2025: Forbud mot visse KI-systemer gjelder i EU (sosial scoring, manipulerende systemer)

August 2025: Kompetansekrav gjelder i EU (Artikkel 4: Alle som bruker KI-systemer skal ha grunnleggende kunnskap)

August 2026 (forventet): KI-loven gjelder generelt i EU. Merkekrav for nye KI-systemer. Krav til generelle KI-modeller (som GPT-4, Claude, Gemini). Norsk KI-lov forventet vedtatt.

Desember 2027: Krav til høyrisiko-KI-systemer gjelder (biometri, rekruttering, kredittvurdering, utdanning, rettsvesen)

August 2028: Krav til KI i regulerte produkter (medisinsk utstyr, maskiner, biler)

Norske frister avhenger av endelig lovvedtak og EØS-innlemming, og kan bli forskjøvet.

EU endrer tidsplanen for AI-act– hva betyr det?

I november 2025 foreslo EU-kommisjonen en stor endringspakke kalt «Digital Omnibus». Pakken endrer tidsplanen for flere deler av KI-loven. I mars 2026 vedtok Europaparlamentet å gå inn for denne pakken med overveldende flertall (569 for, 45 mot, 23 blanke), og forhandlinger med EU-rådet pågår nå. Her er de viktigste endringene:

Høyrisiko-KI har fått utsatt frist

Bedrifter som bruker KI-systemer i rekruttering, kredittvurdering, utdanning eller rettspleie har fått mer tid. Den opprinnelige fristen var august 2026, men er nå utsatt til desember 2027. Grunnen er at de tekniske standardene ikke er klare.

Merkekrav for KI-innhold

Bruker bedriften KI til å lage tekst, bilder, lyd eller video? Slikt innhold må merkes med vannmerke og metadata. Nye systemer må oppfylle kravene fra august 2026. Eksisterende systemer (som allerede er i bruk) har fått en kort utsettelse – trolig til november 2026.

Les mer i vår guide til merkekravene

KI i regulerte produkter

KI-systemer som er en del av medisinsk utstyr, maskiner eller biler har fått frist til å oppfylle kravene til august 2028.

Enklere for små bedrifter

Noen registreringskrav er fjernet for systemer som kan vise at de ikke er høyrisiko. Alle bedrifter kan nå bruke sensitive data for å teste og korrigere skjevheter (bias) i KI-systemer.

Nytt forbud: Nakenbilder laget med K

Europaparlamentet har foreslått å forby KI-verktøy som lager nakenbilder av ekte personer uten samtykke. Forbudet er ikke endelig vedtatt, men det er bred støtte.

Les mer om opphavsrett, deepfakes og retten til eget bilde i vår guide til opphavsrett og KI

Forholdet til GDPR og andre regelverk

KI-loven erstatter ikke GDPR – den kommer i tillegg. De to regelverkene overlapper på flere punkter, og høyrisiko-KI som behandler personopplysninger vil typisk måtte oppfylle kravene i begge.

KI og GDPR henger tett sammen. Les 6 ting du bør vite om KI og GDPR, og sjekk ut GDPR-hubben om du vil ha et dypdykk og verktøy for å gjøre det rett.

Det viktigste overlappet er kravet til konsekvensanalyse. GDPR krever DPIA (Data Protection Impact Assessment) for behandling med høy risiko for personvern. KI-loven krever sin egen risikovurdering for høyrisiko-systemer. I praksis kan disse gjennomføres samlet.

GDPR artikkel 22 – som gir rett til ikke å bli gjenstand for rent automatiserte beslutninger – gjelder allerede i dag og er relevant for mange KI-bruksområder i HR.

KI-loven regulerer merking, men gir ingen nye rettigheter for de som rammes av deepfakes. Les mer om opphavsrett og KI.

Arbeidsmiljøloven § 9-1 setter rammer for kontroll og overvåkning av ansatte, og vil måtte vurderes parallelt med KI-loven for systemer som overvåker ansattatferd.

Norsk KI-lov – status per april 2026

Regjeringen sendte utkast til norsk KI-lov på høring i juni 2025, med frist 30. september 2025. Planen var å legge frem en proposisjon for Stortinget rundt påsken 2026, men dette er nå forsinket.

Hvorfor er KI-loven forsinket?

To ting bremser prosessen.

For det første tar EØS-forhandlingene lengre tid enn planlagt. KI-loven må innlemmes i EØS-avtalen før den kan gjennomføres i norsk rett.

For det andre endrer EU nå selve forordningen gjennom Digital Omnibus. Det gir liten mening å vedta en norsk lov basert på den opprinnelige EU-teksten hvis den er i ferd med å endres.
Regjeringen sikter fortsatt mot at loven skal tre i kraft sensommeren 2026, men den eksakte datoen er usikker.

Hva er på plass allerede?

Nasjonal kommunikasjonsmyndighet (Nkom) er utpekt som koordinerende KI-tilsynsmyndighet. Regjeringen har etablert «KI-Norge» som nasjonal arena for ansvarlig KI, og Digitaliseringsdirektoratet har fått en KI-sandkasse.

Hva bør norske bedriftsledere gjøre nå?

Du trenger ikke vente til august 2026. Her er det praktiske utgangspunktet:

Kartlegg all KI-bruk i bedriften. Mange bedrifter bruker mer KI enn de er bevisste på – det kan sitte i HR-systemet, rekrutteringsplattformen, CRM-et eller kundeserviceverktøyet. Start med en enkel liste over alle digitale systemer som inneholder KI-funksjoner.

Les deg også opp på plikten til å merke KI-generert innhold i vår guide til merkekravene

Klassifiser hvert system etter risikoklasse. Bruk Lexolves gratis verktøy for å finne ut hvilken kategori hvert system faller i. De fleste vil havne i minimal risiko – men systemer som brukes i HR og rekruttering kan være høyrisiko.

Lag en intern KI-policy. Alle ansatte som bruker KI trenger retningslinjer for hva som er tillatt og ikke. KI-loven stiller et aktivt kompetansekrav. En KI-policy er det enkleste stedet å starte. Lag KI-policy gratis her.

Gjennomfør DPIA for høyrisiko-systemer. Dersom du har systemer som faller i høyrisiko-kategorien, er en konsekvensanalyse neste steg. Lexolves DPIA-veileder guider deg gjennom prosessen.

Informer ansatte og tillitsvalgte. Dersom du innfører nye KI-systemer som påvirker ansatte, skal dette drøftes. Gjør det proaktivt – det er enklere å bygge tillit nå enn å rette opp etterpå.

Lag en KI-policy for bedriften din

Få en skreddersydd KI-policy som PDF. Tilpasset din bransje og dine KI-verktøy.

✓ Kvalitetssikret av jurister

✓ Klar til bruk

✓ Dekker KI-loven og GDPR

Lag KI-policy