EU AI Act: Hva vekstselskaper må vite, gjøre og ta ansvar for før fristene treffer

EU AI Act kommer ikke — den er her. Den trådte i kraft i august 2024, og kravene rulles ut i faser som allerede er i gang. Hvis selskapet ditt utvikler AI-systemer, bruker AI-verktøy i produkter, eller selger i europeiske markeder, er dere sannsynligvis allerede omfattet av deler av regelverket.

Mange guider gjør dette mer komplisert enn nødvendig. Her er den korte versjonen av hva finans- og compliance-ledere i vekstselskaper faktisk må forstå.

Tidslinjen — hva som allerede gjelder

‍

Dette er området hvor mange selskaper undervurderer sin eksponering. EU AI Act er ikke en fremtidig forpliktelse — det er en faseinndelt regulering med aktive frister:

• August 2024 — Forordningen trer i kraft. Generelle krav starter.  

• Februar 2025 — Forbudte AI-praksiser blir ulovlige. Krav til AI-kompetanse for alle selskaper som bruker AI trer i kraft. Hvis dere bruker AI i virksomheten, må ansatte forstå hvordan den brukes forsvarlig.  

• August 2025 — Regler for generelle AI-modeller (GPAI) trer i kraft. Hvis produktet deres bygger på modeller fra f.eks. OpenAI, Anthropic eller Google, påvirker dette hvordan dere dokumenterer og styrer disse avhengighetene.  

• August 2026 — Krav til høyrisiko AI-systemer blir fullt gjeldende. Dette er fristen de fleste vekstselskaper bør planlegge mot nå.  

• August 2027 — Endelige krav for enkelte eldre systemer  

‍

Hvis dere venter til 2026 med å starte, ligger dere allerede bak.

Hvem EU AI Act gjelder for

Regelverket gjelder alle selskaper som utvikler, tar i bruk eller tilbyr AI-systemer i EU — uavhengig av hvor selskapet er basert.

Dette inkluderer:

• Tilbydere (providers) — utvikler AI-systemer eller tilbyr dem i EU  

• Brukere (deployers) — bruker AI i drift eller produkter (f.eks. OpenAI, Microsoft Copilot, Google Gemini)  

• Importører og distributører — del av verdikjeden  

EØS-dimensjonen: Norge, Island og Liechtenstein omfattes gjennom EØS-avtalen. Norske selskaper vil derfor få de samme forpliktelsene og bør ikke vente på formell implementering før de starter.

Risikoklassifisering — hvor dere ligger

EU AI Act deler AI-systemer i fire kategorier:

Uakseptabel risiko — forbudt

AI som manipulerer mennesker, utnytter sårbarhet, sosial scoring eller sanntids biometrisk overvåking.
Forbudt fra februar 2025.

Høy risiko — strengest krav

AI brukt i:

• Ansettelser  

• Kredittvurdering  

• Utdanning  

• Kritisk infrastruktur  

• Rettssystem og grensekontroll  

Hvis deres AI berører disse områdene, gjelder de strengeste kravene.

Begrenset risiko — transparenskrav

Chatbots, AI-generert innhold, deepfakes
→ Brukere må informeres om at de interagerer med AI

Minimal risiko — ingen spesifikke krav

Spamfiltre, spill, anbefalingssystemer

For de fleste vekstselskaper er nøkkelspørsmålet:
Berører noen del av AI-bruken deres høyrisiko — selv indirekte?

Hva EU AI Act krever fra ledelsen

Som NIS2 plasserer EU AI Act ansvaret på toppnivå.

Artikkel 26 krever at selskaper:

• Sikrer menneskelig kontroll over AI  

• Har tilstrekkelig AI-kompetanse  

• Gjennomfører konsekvensvurderinger for høyrisiko AI  

Styringslaget består av tre hovedområder:

Godkjenninger (sign-offs)

• AI-policy godkjent av ledelsen  

• Risikoklassifisering for hvert system  

• Konsekvensvurderinger  

• Policy for menneskelig kontroll  

Alt må være dokumentert og sporbar.

Dokumentasjon (disclosures)

• Teknisk dokumentasjon  

• Samsvarsvurderinger  

• Transparensinformasjon  

• Hendelsesrapporter  

Må være oppdatert og tilgjengelig.

Informasjonsforespørsler

• Dokumentasjon til myndigheter  

• Kundespørreskjemaer  

• Intern datainnsamling  

Rask respons påvirker både compliance og salg.

Hva bøtene kan bli

For startups og SMB-er skal bøtene være proporsjonale — men prosentene gjelder fortsatt.
Et selskap med €5M i omsetning kan risikere €350 000 i bot.

Hvor lang tid compliance tar

Hva det koster

• Med automatiseringsverktøy: €6 000–15 000 første år  

• Tradisjonell konsulentmodell: €20 000–60 000  

• Årlig oppfølging: €6 000–12 000  

‍

EU AI Act er en kontinuerlig forpliktelse — systemer må overvåkes og dokumentasjon oppdateres løpende.

For selskaper som også jobber med ISO 42001, overlapper styringsarbeidet nesten helt.
Det gjør compliance betydelig billigere når det gjøres samlet.

Vil du ha EU AI Act-sjekklisten, guide for risikoklassifisering og komplett styringsrammeverk for ledelsen?

Last ned: EU AI Act for vekstselskaper — hva ledelsen må vite →

‍