Hopp til hovedinnhold

Informasjonskapsler på hkdir.no

Vi deler aldri opplysningene dine med andre. Les mer om hvordan vi bruker informasjonskapsler.

Godta alle: Gir oss innsikt i anonym bruk av nettsiden, slik at vi kan gjøre tjenesten bedre.

Bare nødvendige: For at nettsiden skal virke og fungere trygt. Disse må være på.

Gå til forsiden
Søk i dokumentet
  1. arrowInnledning
    1. arrowFormål og avgrensninger
    2. arrowMålgrupper
    3. arrowOppdateringer
    4. arrowKapitlene i rapporten
  2. arrow1. Formål og virkeområde
    1. arrow1.1 Formålene med forordningen
    2. arrow1.2 Skadevirkninger av KI – noen eksempler
    3. arrow1.3 Virkeområde – KI-systemer og -modeller for allmenne formål
    4. arrow1.4 Vitenskapelig forskning og FoU
    5. arrow1.5 Privat bruk
    6. arrow1.6 Leverandører og idriftsettere
    7. arrow1.7 KI-kompetanse
    8. arrow1.8 Risikobasert regulering
  3. arrow2. Uakseptabel risiko
    1. arrow2.1 Uakseptabel risiko
    2. arrow2.2 Følelsesgjenkjenning i utdanning og på arbeidsplassen
    3. arrow2.3 Biometriske data
    4. arrow2.4 Medisinske eller sikkerhetsmessige formål
  4. arrow3. Høy risiko
    1. arrow3.1 Bruksområder med høy risiko
    2. arrow3.2 Utdanning og yrkesfaglig opplæring
    3. arrow3.3 Sysselsetting og arbeidsledelse
    4. arrow3.4 Unntak for visse typer KI-systemer
    5. arrow3.5 Krav til høyrisikosystemer
    6. arrow3.6 Leverandører og idriftsettere
    7. arrow3.7 Plikter for leverandører
    8. arrow3.8 Plikter for idriftsettere
    9. arrow3.9 Registrering av høyrisikosystemer
  5. arrow4. Begrenset og minimal risiko
    1. arrow4.1 Begrenset risiko
    2. arrow4.2 Minimal risiko
  6. arrow5. Nedstrøms leverandører, sandkasse og håndheving
    1. arrow5.1 KI-modeller og nedstrøms leverandører
    2. arrow5.2 Regulatorisk sandkasse
    3. arrow5.3 Koordinerende tilsynsmyndighet
    4. arrow5.4 Sanksjoner for regelbrudd
    5. arrow5.5 KI-organer på EU-nivå
    6. arrow5.6 KI-kontoret
    7. arrow5.7 Det europeiske KI-rådet
    8. arrow5.8 Rådgiverforum og vitenskapspanel
  7. arrowReferanser
    1. arrowVedlegg I: Milepæler for KI-forordningen
    2. arrowVedlegg II: Noen informasjonsressurser

KI-forordningen kort fortalt

Betydningen av nytt EU-regelverk om kunstig intelligens for høyere utdanning og forskning

5. Nedstrøms leverandører, sandkasse og håndheving

I dette kapitlet gir vi en oppsummering av enkelte andre regler i KI-forordningen som det er viktig eller nyttig å kjenne til. Dette omfatter regler som leverandører av KI-systemer i høyere utdanning og forskning bør være særlig oppmerksomme på, og reglene som gjelder for opprettelse og drift av en regulatorisk sandkasse for kunstig intelligens i Norge.

Avslutningsvis vil vi si litt om tilsyn med og sanksjoner for brudd på regelverket. Vi vil også si litt om organer på EU-nivå som er opprettet med hjemmel i forordningen.

5.1 KI-modeller og nedstrøms leverandører

I kapittel 1 har vi sett at KI-forordningen stiller krav til leverandører av KI-modeller for allmenne formål. Vi har også sett at slike KI-modeller skiller seg fra KI-systemer ved at de har svært stor regnekraft, de er trent på store mengder data og de kan brukes til å utføre en rekke forskjellige oppgaver.

De aller fleste av kravene som forordningen stiller til leverandører av denne typen kunstig intelligens, har trolig begrenset relevans i høyere utdanning og forskning. Det skyldes at kravene primært gjelder for KI-tjenester som tilbys av store internasjonale selskaper (OpenAI, Anthropic, Google, Meta, osv.), se KI-forordningen artikkel 51-56.

Det som likevel er av særlig interesse i vår sektor, er at universiteter, høyskoler og andre forvaltningsorganer kan benytte KI-modeller for allmenne formål til å utvikle sine egne KI-systemer. KI-modeller for allmenne formål kan altså benyttes som underliggende teknologi i egenutviklede KI-systemer. Eksempler på dette kan være KI-assistenter eller samtaleroboter i undervisning og læring som er laget med utgangspunkt i store språkmodeller (ChatGPT, Claude, osv.). Virksomheter som integrerer KI-modeller i egenutviklede KI-systemer, inkludert KI-assistenter eller samtaleroboter, betegnes i forordningen som nedstrøms leverandører.

Flere virksomheter i høyere utdanning og forskning er allerede nedstrøms leverandører, mens andre har konkrete ambisjoner om å bli det. De driver derfor med utvikling av KI-systemer hvor KI-modeller for allmenne formål er underliggende teknologi – eller planlegger å gjøre det. For disse virksomhetene er det viktig å merke seg at leverandører av de store KI-modellene, for eksempel OpenAI eller Google, har plikt til å utarbeide, oppdatere og gjøre tilgjengelig dokumentasjon som setter dem i stand til å

  • forstå modellenes kapabiliteter, styrker og begrensninger,
  • oppfylle sine plikter dersom de utvikler KI-systemer med høy eller begrenset risiko.

Det innebærer altså at leverandører av KI-modeller for allmenne formål skal gi relevant, oppdatert og kvalitetssikret informasjon til alle virksomheter som benytter modellene i sine egne KI-systemer. Mer konkret betyr dette at dersom en av de store språkmodellene – la oss si ChatGPT – brukes av et universitet (nedstrøms leverandør) til å utvikle et KI-system med høy risiko, for eksempel til å styre studentenes læring, skal informasjonen fra modell-leverandøren (OpenAI) hjelpe universitetet til å overholde de plikter som gjelder for leverandører av høyrisikosystemer. Informasjon fra modell-leverandøren kan for eksempel inkludere risikovurderingen av KI-modellen eller i modell-/systemkortet. Universitetet kan deretter legge denne informasjonen til grunn for arbeidet med å utvikle sitt eget høyrisikosystem.

Skulle universitetet tilby sitt egenutviklede høyrisikosystemet til andre virksomheter i eller utenfor høyere utdannings- og forskningssektoren, blir disse virksomhetene idriftsettere. De må derfor overholde de plikter som gjelder for idriftsettere av høyrisikosystemer. Også idriftsettere er avhengig av informasjon, inkludert risikovurderinger og systemkort, fra aktører høyere i verdikjeden (modell- og systemleverandører). Informasjonen vil blant annet kunne brukes i vurderinger av hvordan kunstig intelligens påvirker enkeltpersoners grunnleggende rettigheter (FRIA).

KI-modeller med systemisk risiko

Forordningen har egne krav til leverandører av KI-modeller for allmenne formål med systemisk risiko.[90] Dette er KI-modeller som på grunn av sin ytelse og rekkevidde kan medføre særlig store skadevirkninger, for eksempel på tvers av sektorer eller land. Her kan det dreie seg om skade med hensyn til folkehelsen, offentlig sikkerhet, grunnleggende rettigheter eller samfunnet som sådan. Samtidig kan skadevirkningene spre seg til nedstrøms systemer, det vil si KI-systemer som benytter modellene som underliggende teknologi.

Om KI-modeller innebærer systemisk risiko eller ikke, avgjøres av regnekraften som brukes til trening av modellene (antallet flyttallsoperasjoner). I tillegg kan EU-kommisjonen bestemmer at KI-modeller for allmenne formål innebærer systemisk risiko.

Også leverandører av KI-modeller med systemisk risiko har plikt til å utarbeide, oppdatere og tilgjengeliggjøre dokumentasjon for nedstrøms leverandører, som nevnt ovenfor.

EU-kommisjonen skal offentliggjøre en liste over KI-modeller for allmenne formål med systemisk risiko.

EU-kommisjonen skal dessuten føre tilsyn med og håndheve reglene som gjelder for leverandører av KI-modeller for allmenne formål.

5.2 Regulatorisk sandkasse

Hvert land skal opprette en regulatorisk sandkasse for kunstig intelligens. Nærmere regler om nasjonale regulatoriske sandkasser finner i KI-forordningen artikkel 57-63.

I Norge har Digitaliseringsdirektoratet fått i oppdrag å opprette og drive en slik sandkasse. Det skal skje i samarbeid med Datatilsynet og Nasjonal kommunikasjonsmyndighet, og planen er at den regulatoriske sandkassen skal være operativ i løpet av 2026. Sandkassen kan benyttes av leverandører av KI-systemer i høyere utdanning og forskning.

Den nye regulatoriske sandkassen vil tilby rådgiving og veiledning for leverandører som utvikler KI-systemer, slik at systemene er i samsvar med kravene i KI-forordningen. Det innebærer blant annet at sandkassen skal bidra til å identifisere og håndtere risiko for skadevirkninger. Sandkassen skal også bidra til å bygge kompetanse om hvordan regelverket kan anvendes og til utvikling av beste praksis.

Forordningen inneholder i tillegg regler om andre forhold knyttet til den regulatoriske sandkassen. Det dreier seg for eksempel om behandling av personopplysninger i forbindelse med utvikling av visse typer KI-systemer og om testing av høyrisikosystemer utenfor den regulatoriske sandkassen.

5.3 Koordinerende tilsynsmyndighet

KI-forordningen artikkel 70 og 74-84 har bestemmelser om tilsyn med og håndheving av krav og plikter i regelverket. Det som er særlig verdt å merke seg her, er at Nasjonal kommunikasjonsmyndighet (Nkom) er utpekt som koordinerende markedstilsynsmyndighet i Norge.

Rollen som koordinerende markedstilsynsmyndighet innebærer blant annet at Nkom vil være nasjonalt kontaktpunkt for forordningen og skal sikre enhetlig tilsyn med forordningen på tvers av sektorer. Nkom skal dessuten føre tilsyn med KI-systemer som reguleres i forordningen, inkludert høyrisikosystemer innen utdanning og yrkesfaglig opplæring, sysselsetting og arbeidsledelse.

Nkom kan be om tilgang til dokumentasjon fra leverandører og idriftsettere av KI-systemer. Det samme kan myndigheter som håndhever eller fører tilsyn med EU-regler om beskyttelse av grunnleggende rettigheter, for eksempel Datatilsynet.

Enhver person eller virksomhet som mener at en leverandør eller idriftsetter ikke overholder bestemmelsene i forordningen, kan klage dette inn til tilsynsmyndigheten.

5.4 Sanksjoner for regelbrudd

KI-forordningen artikkel 99-101 regulerer sanksjoner og overtredelsesgebyr ved brudd på visse krav og plikter i regelverket. Her fremgår det at hvert land kan avgjøre at offentlige virksomheter skal unntas fra forordningens gebyrbestemmelser.

I den norske KI-loven som var på høring i 2025, foreslår Digitaliserings- og forvaltningsdepartementet at disse bestemmelsene likevel skal gjelde også for offentlige virksomheter. Dersom forslaget vedtas av Stortinget, betyr det at statlige universiteter, høyskoler og andre forvaltningsorganer i høyere utdanning og forskning kan ilegges gebyr for regelbrudd.

Digitaliserings- og forvaltningsdepartementet foreslår også at forordningens beløpsgrenser for overtredelsesgebyr skal gjelde for offentlige virksomheter. Følgende beløpsgrenser vil dermed kunne gjelde i offentlig sektor, inkludert utdannings- og forskningssektoren, dersom departementets forslag vedtas:

  • Brudd på forbudet mot omsetning og bruk av KI-systemer med uakseptabel risiko, kan føre til bøter på opptil 35 mill. euro (omkring 395 mill. norske kroner pr. februar 2026).
  • Brudd på en rekke andre bestemmelser i forordningen, inkludert plikter som leverandører og idriftsettere har med hensyn til KI-systemer med høy og begrenset risiko, kan føre til bøter på opptil 15 mill. euro (omkring 169 mill. norske kroner pr. februar 2026).
  • Å gi feilaktig, ufullstendig eller villedende informasjon til blant annet tilsynsmyndigheter, kan føre til bøter på opptil 7,5 mill. euro (omkring 85 mill. norske kroner pr. februar 2026).

Beløpsgrensene for overtredelsesgebyr i forordningen er maksimalgrenser. De angir derfor det høyeste overtredelsesgebyret som det er mulig å ilegges for brudd på de aktuelle bestemmelsene.

Digitaliserings- og forvaltningsdepartementet foreslår i tillegg at det kan ilegges tvangsmulkt dersom pålegg om lukking av regelavvik ikke følges opp av de ansvarlige for avviket. Også virksomheter i høyere utdanning og forskning kan ilegges tvangsmulkt. Dette er ment å styrke håndhevingen både av den norske KI-loven og KI-forordningen.

5.5 KI-organer på EU-nivå

KI-forordningen oppretter en rekke organer på EU-nivå, jf. spesielt KI-forordningen artikkel 64-68. EU-organene skal blant annet sørge for at gjennomføringen av regelverket skjer på en harmonisert og samordnet måte på tvers av land. De har også ansvar for veiledning om hvordan regelverket skal forstås og praktiseres.

De viktigste organene er KI-kontor og Det europeiske KI-rådet. I tillegg opprettes et rådgivende forum og et vitenskapspanel.

5.6 KI-kontoret

Forordningen oppretter et KI-kontor («the AI Office») under EU-kommisjonen. KI-kontorets ansvar og oppgaver inkluderer blant annet å

  • koordinere politikk på KI-området og bidra til samarbeid mellom EU-organer, eksperter og akademia,
  • utarbeide og anbefale standard kontraktsvilkår i avtaler mellom leverandører av høyrisikosystemer og underleverandører,
  • utarbeide og kontrollere etterlevelsen av atferdsregler,
  • føre tilsyn med leverandører av KI-modeller for allmenne formål, kreve retting av regelbrudd og ilegge sanksjoner ved manglende regeletterlevelse,
  • undersøke/evaluere KI-modeller for allmenne formål med systemisk risiko på EU-nivå,
  • bistå nasjonale tilsynsmyndigheter.

5.7 Det europeiske KI-rådet

I KI-rådet («European Artificial Intelligence Board») deltar hvert EU-land med én representant hver. EFTA-landene har status som observatører i rådet (med talerett, men uten stemmerett). Nasjonal kommunikasjonsmyndighet representerer Norge i KI-rådet.

KI-rådets ansvar og oppgaver inkluderer blant annet å

  • gi støtte og råd til EU-kommisjonen (KI-kontoret), medlemslandene og nasjonale organer, for eksempel tilsynsmyndigheter, slik at regelverket blir praktisert på en effektiv og konsistent måte,
  • utarbeide og publisere råd, anbefalinger og veiledninger,
  • bidra til utarbeidelse av retningslinjer, spesifikasjoner og standarder for etterlevelse av regelverket.

KI-rådet kan opprette permanente undergrupper, blant annet for nasjonale tilsynsmyndigheter.

5.8 Rådgiverforum og vitenskapspanel

Ut over KI-kontoret og KI-rådet, oppretter forordningen to andre KI-organer på EU-nivå. Det første av dem er rådgiverforumet («Advisory Forum»). Forumet skal rådgi og bidra med teknisk ekspertise inn mot KI-rådet og KI-kontoret.

Rådgiverforumet skal bestå av tekniske eksperter som representanter ulike «stakeholders», for eksempel industrien, oppstartsbedrifter, sivilsamfunnet og akademia. Medlemmene i rådgiverforumet utnevnes av EU-kommisjonen.

Det andre organet er vitenskapspanelet, som vil ha omkring 60 medlemmer. Vitenskapspanelets ansvar og oppgaver inkluderer blant annet å

  • gi råd til KI-kontoret, spesielt når det gjelder reglene om KI-modeller (og systemer) for allmenne formål,
  • gi råd om kategorisering av KI-modeller for allmenne formål som kan innebære systemisk risiko og varsle KI-kontoret om slike modeller,
  • bidra til utvikling av verktøy og metoder for vurdering av kapasiteten til KI-modeller (og systemer) for allmenne formål,
  • bistå nasjonale tilsynsmyndigheter dersom de ber om assistanse.

EU-kommisjonen utnevner medlemmene i vitenskapspanelet basert på deres tekniske ekspertise. Norge kan delta med tekniske eksperter i vitenskapspanelet på lik linje med eksperter fra EU-land.

[82]

EU-kommisjonen har publisert en veileder om hvilke plikter leverandører av KI-modeller for allmenne formål har (Guidelines on the scope of obligations for providers of general-purpose AI models under the AI Act | Shaping Europe’s digital future). Den har også publisert anbefalinger («Code of Practice») om hvordan krav til sikkerhet, åpenhet og opphavsrett kan etterleves (The General-Purpose AI Code of Practice | Shaping Europe’s digital future).

[83]

For mer informasjon om KI-assistenter i høyere utdanning og forskning, se Sikt KI-assistent (KI-assistent). I veilederen Kvalitet i fleksibel opplæring og utdanning, laget av Fleksibel utdanning Norge, finnes andre eksempler på undervisningsrelaterte KI-assistenter og samtaleroboter (Fordypning: Å tilpasse samtaleroboter - Fleksibel utdanning Norge). For oversikt over og kategorisering av ulike typer KI-assistenter, se tidligere omtalt veileder fra ekspertgruppen for ansvarlig innføring og bruk av KI-assistenter i arbeidslivet, kapittel 2.5 (KI-assistenter i arbeidslivet– en praktisk guide - regjeringen.no).

[84]

KI-forordningen artikkel 2 nr. 68.

[85]

Et eksempel på dette er chatboten Nora, utviklet av Nord universitet for å forbedre søkefunksjonaliteten på universitets hjemmesider. Nora er laget med ChatGPT som underliggende teknologi, det vil si at chatboten baserer seg på en KI-modell for allmenne formål. Nord universitet blir dermed en nedstrøms leverandør. Se Nora | Nord universitet.

[86]

Se KI-forordningen artikkel 53 nr. 1, bokstav b. Informasjonsplikten gjelder ikke for leverandører av KI-modeller som tilbys under lisenser med fri og åpen kildekode. Forutsetningen er at KI-modellene ikke medfører systemisk risiko. For omtale av KI-modeller med systemisk risiko, se tekstboks nedenfor.

[87]

Modellkort («model card») eller systemkort («system card») er et dokument som forklarer viktige kjennetegn ved KI-modellen eller -systemet. Det dreier seg typisk om modellen eller systemets styrker og svakheter, hvordan modellen eller systemet er bygget opp, hvilke data og treningsmetoder som er brukt, hvilke sikkerhetstester som er gjennomført, og hvilke risikoer som finnes. Se for eksempel OpenAI 2025 eller Anthropic 2025.

[88]

I enkelte tilfeller kan et KI-system som er integrert med en KI-modell for allmenne formål, være et KI-system for allmenne formål (KI-forordningen fortalepunkt 97 og 100 og artikkel 3 nr. 66). Vi går ikke nærmere inn på denne problemstillingen her, men se EU-kommisjonens veileder om plikter for leverandører av KI-modeller for allmenne formål, kapittel 3.1.3 (Guidelines on the scope of obligations for providers of general-purpose AI models under the AI Act | Shaping Europe’s digital future).

[89]

Se for eksempel Oueslati og Staes-Polet 2025 for analyser av fordelingen av ansvar og oppgaver i denne typen verdikjeder.

[95]

Den nye regulatoriske sandkassen kommer i tillegg til et tilsvarende tilbud his Datatilsynet. I Datatilsynets sandkasse har blant annet NTNU deltatt med et prosjekt om Microsoft 365 Copilot. Se Sandkassesiden | Datatilsynet.

[96]

Den regulatoriske sandkassen vil inngå som en del av Digitaliseringsdirektoratets nye KI-senter («KI-Norge»). Se Digdir etablerer KI Norge | Digdir.

[97]

Digitaliserings- og forvaltningsdepartementets forslag til lov om kunstig intelligens inneholder hjemmel for at regjeringen kan gi forskrift om innretning og drift av den regulatoriske sandkassen, jf. § 7 i lovforslaget (horingsnotat-utkast-til-ki-lov131652.pdf).

[98]

Se § 3 i Digitaliserings- og forvaltningsdepartementets forslag til lov om kunstig intelligens (horingsnotat-utkast-til-ki-lov131652.pdf).

[99]

Se § 5 i Digitaliserings- og forvaltningsdepartementets forslag til lov om kunstig intelligens (horingsnotat-utkast-til-ki-lov131652.pdf).

[100]

KI-forordningen artikkel 99 nr. 3.

[101]

KI-forordningen artikkel 99 nr. 4.

[102]

KI-forordningen artikkel 99 nr. 5.

[103]

EU-kommisjonen kan ilegge leverandører av de mest avanserte og kraftigste grunnmodellene – KI-modeller for allmenne formål – overtredelsesgebyr på opptil 15 mill. euro, eller 3 % av den samlede omsetningen i det foregående regnskapsåret. Jf. KI-forordningen artikkel 101 nr. 1.

[104]

Se § 6 i Digitaliserings- og forvaltningsdepartementets forslag til lov om kunstig intelligens (horingsnotat-utkast-til-ki-lov131652.pdf).

[105]

Artikkel 69 regulerer nasjonale tilsynsmyndigheters muligheter til å søke råd fra vitenskapspanelet i forbindelse med deres håndheving av regelverket.

[106]
[107]

Spesielt dersom tilsyn med et høyrisikosystem vanskeliggjøres av at leverandøren av KI-modellen for allmenne formål som KI-systemet bygger på ikke etterkommer forespørsel om tilgang til dokumentasjon om modellens oppbygning og virkemåte.

[108]
[109]

Status i november 2025, er at medlemmene av rådgiverforumet ikke er oppnevnt. Se European Commission launches call for applications to join AI Act Advisory Forum | Shaping Europe’s digital future.

[110]

Hvert EU- og EFTA-land kan være representert i vitenskapspanelet med én ekspert. 20 prosent av ekspertene i panelet kan komme fra land utenfor EU og EFTA. Status i november 2025, er at medlemmene av vitenskapspanelet ikke oppnevnt. Se Commission seeks experts for AI Scientific Panel | Shaping Europe’s digital future. Det er imidlertid vedtatt en gjennomføringslov som blant annet gir regler om vitenskapspanelets sammensetning, organisering og oppgaver. Se Commission adopts implementing act to establish a scientific panel under the AI Act | Shaping Europe’s digital future.

ForrigeForrige kapittel
Innhold
NesteNeste kapittel