KI-loven: Dette bør du vite
EU har vedtatt et felles regelverk for kunstig intelligens (AI Act) som skal sikre at KI-systemene som brukes i EU skal være trygge. På norsk kalles dette regelverket KI-forordningen. Formålet er å legge til rette for innovasjon og teknologisk utvikling, samtidig som grunnleggende samfunnsverdier ivaretas.
Norge er ikke medlem av EU, men gjennom EØS-avtalen er vi forpliktet til å innføre relevant EU-regelverk. KI-forordningen er ansett å være EØS-relevant, noe som betyr at den også skal innføres i Norge. Dette gjøres gjennom en egen norsk lov som har fått navnet «loven om kunstig intelligens (KI-loven)».
KI-forordningen er EUs første helhetlige regelverk for kunstig intelligens. Den gjelder allerede i EU og gir felles regler for hvordan KI-systemer og KI-modeller skal utvikles, omsettes og brukes.
KI-loven er den norske loven som innfører KI-forordningen i Norge. Loven inneholder både en paragraf som sier at KI-forordningen skal gjelde i Norge, og i tillegg noen paragrafer som regulerer norske forhold det regelverket åpner for nasjonale tilpasninger.
Loven er ikke vedtatt i Norge
Deler av KI-forordningen har allerede tredd i kraft i EU. I Norge er arbeidet med å innføre regelverket i norsk rett noe forsinket fordi EØS-forhandlingene tar lenger tid enn ventet, og regjeringen arbeider fortsatt med lovforslaget.
Det er ikke fastsatt når KI-loven skal gjelde i Norge. Nkom anbefaler likevel at virksomheter begynner å forberede seg nå. Det kan gjøres ved å vurdere hvilken risikokategori KI-bruken innebærer, og hvilke forpliktelser de har til å iverksette tiltak for å oppfylle kravene.
Hvem vil loven gjelde for?
KI-loven vil gjelde i Norge. Konkrete plikter etter regelverket vil bare gjelde for aktører som omfattes av KI-forordningen, og pliktene avhenger av hvilken rolle aktøren har og hvordan KI-systemet brukes. Det kan være virksomheter som utvikler egne KI-systemer, selger KI-løsninger eller tar i bruk KI-verktøy i arbeidet sitt.
KI-forordningen gjelder i utgangspunktet ikke når privatpersoner bruker KI til rent personlige eller ikke-kommersielle formål. Brukes KI i en yrkesmessig eller forretningsmessig sammenheng, vil det normalt være virksomheten – i rollen som idriftsetter av KI-systemet – som har ansvar for at regelverket overholdes.
Loven skiller mellom flere ulike roller:
Leverandører lager, utvikler eller tilbyr KI-systemer eller KI-modeller til allmenne formål, under eget navn eller varemerke, og må sørge for at systemene oppfyller kravene før de selges eller gis bort.
Idriftsettere er fysiske eller juridiske personer, offentlige myndigheter, etater eller andre organer som tar i bruk et KI-system under sin myndighet – forutsatt at bruken ikke er personlig og ikke-profesjonell. De har ansvar for at KI-systemene brukes trygt og følger kravene. De fleste norske virksomheter som benytter KI i sin drift, vil falle inn under denne kategorien.
Importører og distributører har egne forpliktelser og er ansvarlige for at høyrisiko-KI-systemer de bringer inn fra tredjeland oppfyller kravene før de gjøres tilgjengelig i EU/EØS-markedet. Distributører skal sikre at systemene de videreformidler følger regelverket når de gjøres tilgjengelig for markedet.
Hva betyr loven i praksis?
KI-forordningen gir felles regler for kunstig intelligens i EU/EØS og stiller krav til produktsikkerhet for enkelte KI-systemer. Forordningen bygger på et risikobasert system der kravene som stilles øker i takt med hvilken risiko et system kan utgjøre for menneskers helse, grunnleggende rettigheter eller sikkerhet.
Noen former for KI vil bli forbudt. KI-systemer med høy risiko - for eksempel systemer brukt i rekruttering, kredittgivning eller kritisk infrastruktur – vil få strengere krav til blant annet testing, dokumentasjon, logging og menneskelig tilsyn. Visse KI-systemer med såkalt begrenset risiko, som enkle chatboter i kundeservice og anbefalingssystemer, vil få krav om åpenhet overfor brukerne slik at det er tydelig at man kommuniserer med eller påvirkes av et KI-system. KI med lav risiko, som stavekontroll og bildefiltre, får i utgangspunktet ingen krav.
De strengeste kravene i KI-forordningen gjelder for KI-systemer som klassifiseres som høyrisiko.
Denne kategorien er avgrenset til to tilfeller:
1. KI-systemer som er integrert i bestemte produkter regulert av eksisterende EU-regelverk. Det kan være medisinsk utstyr, kjøretøy og leketøy.
2. KI-systemer som brukes på særlig kritiske områder, som rekruttering, utdanning og drift av kritisk infrastruktur.
Virksomheter som verken utvikler, videreformidler eller tar i bruk slike KI-systemer vil ikke være underlagt de strengeste kravene i KI-forordningen.
KI-sandkassen
KI-sandkassen er et tilbud til virksomheter som vil ha hjelp til å forstå hvilke krav som vil gjelde for dem. Sandkassen er et samarbeid mellom KI Norge, Datatilsynet og Nkom. Den åpner når KI-loven trer i kraft i Norge.
Les mer om KI-sandkassen
Nasjonal kommunikasjonsmyndighet (Nkom) er utpekt som nasjonal koordinerende myndighet for KI-forordningen i Norge. Som koordinerende myndighet har Nkom ansvar for å samordne håndhevingen av forordningen på nasjonalt nivå og veilede virksomheter om regelverket. På Nkoms nettsider finner du mer informasjon om KI-forordningen og den kommende KI-loven.