Quick Answer
Denne etterlevelssjekklisten for EU AI Act hjelper virksomheten å komme i gang. Du avklarer først om du er leverandør eller idriftsetter, klassifiserer risikoen til hvert AI-system, og bygger deretter samsvarsvurdering, dokumentasjon og styring. Listen er praktisk og passer for både EU- og EØS-aktører, inkludert norske virksomheter. Merk: Dette er generell informasjon og ikke juridisk rådgivning. Tidslinjen for høyrisiko-plikter er under endring i 2026; bekreft alltid mot offisielle kilder. Er du leverandør eller idriftsetter? Første steg er å avklare rollen din, fordi pliktene avhenger av den. En leverandør utvikler et AI-system eller en GPAI-modell, eller får det utviklet, og markedsfører det under eget navn eller varemerke. En idriftsetter tar et AI-system i bruk i egen virksomhet, for eksempel ved å bruke et innkjøpt verktøy til rekruttering. Du kan ha begge roller for ulike systemer, og du kan også bli regnet som leverandør dersom du vesentlig endrer et eksisterende system eller setter ditt eget navn på det.
Denne etterlevelssjekklisten for EU AI Act hjelper virksomheten å komme i gang. Du avklarer først om du er leverandør eller idriftsetter, klassifiserer risikoen til hvert AI-system, og bygger deretter samsvarsvurdering, dokumentasjon og styring. Listen er praktisk og passer for både EU- og EØS-aktører, inkludert norske virksomheter.
Merk: Dette er generell informasjon og ikke juridisk rådgivning. Tidslinjen for høyrisiko-plikter er under endring i 2026; bekreft alltid mot offisielle kilder.
Er du leverandør eller idriftsetter?
Første steg er å avklare rollen din, fordi pliktene avhenger av den. En leverandør utvikler et AI-system eller en GPAI-modell, eller får det utviklet, og markedsfører det under eget navn eller varemerke. En idriftsetter tar et AI-system i bruk i egen virksomhet, for eksempel ved å bruke et innkjøpt verktøy til rekruttering. Du kan ha begge roller for ulike systemer, og du kan også bli regnet som leverandør dersom du vesentlig endrer et eksisterende system eller setter ditt eget navn på det.
Hvilke plikter følger av rollen?
Leverandører bærer hovedtyngden av kravene for høyrisiko-systemer, blant annet risikostyring, teknisk dokumentasjon, samsvarsvurdering og registrering. Idriftsettere har mer avgrensede plikter, som å bruke systemet i tråd med bruksanvisningen, sikre menneskelig tilsyn, overvåke driften og i visse tilfeller gjennomføre en konsekvensvurdering for grunnleggende rettigheter. Importører og distributører har egne kontrollplikter og skal blant annet påse at systemet er CE-merket og ledsaget av nødvendig dokumentasjon før det gjøres tilgjengelig på markedet.
Vær oppmerksom på at rollen kan endre seg over tid. Tar dere et innkjøpt AI-system og tilpasser det vesentlig, integrerer det i et eget produkt eller markedsfører det under eget varemerke, kan dere gå fra å være idriftsetter til å bli leverandør, med de mer omfattende pliktene det innebærer. Det lønner seg derfor å dokumentere rollen per system og revurdere den ved større endringer.
Hvordan klassifiserer du risikoen?
Neste steg er å plassere hvert system i ett av forordningens fire risikonivåer. Gå systematisk gjennom porteføljen og still spørsmålet: hva brukes systemet til, og hvem påvirkes?
- Uakseptabel risiko (forbudt): Er bruken forbudt etter artikkel 5, for eksempel sosial skåring eller manipulativ utnyttelse? Da må den opphøre.
- Høy risiko: Brukes systemet på et område som rekruttering, kreditt, kritisk infrastruktur eller som sikkerhetskomponent i et regulert produkt? Da gjelder de strengeste kravene.
- Begrenset risiko: Samhandler systemet direkte med mennesker eller genererer innhold? Da gjelder åpenhetsplikter, som merking av chatboter og AI-generert innhold.
- Minimal risiko: De fleste øvrige systemer; her er det få bindende krav, men frivillige tiltak anbefales.
Trenger dere hjelp med cloud?
Book et gratis 30-minutters møte med en av våre spesialister innen cloud. Vi analyserer behovet ditt og gir konkrete anbefalinger — helt uten forpliktelse.
Hva er den trinnvise sjekklisten?
Bruk tabellen under som en praktisk arbeidsliste. Den følger en naturlig rekkefølge fra kartlegging til løpende oppfølging.
| Trinn | Oppgave | Ansvar (typisk) |
|---|---|---|
| 1 | Kartlegg alle AI-systemer dere leverer eller bruker i et register | Idriftsetter / leverandør |
| 2 | Avklar rollen (leverandør, idriftsetter, importør, distributør) | Begge |
| 3 | Klassifiser risikonivå per system | Begge |
| 4 | Avvikle eller endre forbudt bruk | Begge |
| 5 | Etabler risikostyring og datakvalitet for høyrisiko | Leverandør |
| 6 | Gjennomfør samsvarsvurdering og CE-merking der det kreves | Leverandør |
| 7 | Innfri åpenhetsplikter (merking av chatbot og AI-innhold) | Begge |
| 8 | Sikre menneskelig tilsyn og bruk etter anvisning | Idriftsetter |
| 9 | Etabler dokumentasjon, styring og hendelseshåndtering | Begge |
| 10 | Overvåk drift og oppdater løpende | Begge |
Hva innebærer samsvarsvurdering og CE-merking for høyrisiko?
For høyrisiko-systemer må leverandøren gjennomføre en samsvarsvurdering før systemet settes på markedet eller tas i bruk. Vurderingen skal vise at systemet oppfyller kravene til blant annet risikostyring, datakvalitet, teknisk dokumentasjon, logging, åpenhet, menneskelig tilsyn samt nøyaktighet, robusthet og sikkerhet. For mange systemer kan leverandøren gjøre dette gjennom egenkontroll, mens enkelte kategorier krever medvirkning fra et meldt organ. Når kravene er oppfylt, utarbeides en EU-samsvarserklæring, systemet CE-merkes, og det registreres i den relevante EU-databasen før det tas i bruk.
Hvilken dokumentasjon og styring kreves?
Solid dokumentasjon og styring er kjernen i etterlevelse og bør på plass uavhengig av risikonivå. Bygg minst følgende:
- Et oppdatert register over AI-systemer med rolle, risikoklassifisering og status.
- Teknisk dokumentasjon og bruksanvisning for høyrisiko-systemer.
- Risikostyringssystem og rutiner for datakvalitet og dataforvaltning.
- Logging og sporbarhet, samt rutiner for hendelses- og avviksrapportering.
- Tydelig ansvarsfordeling, intern opplæring og rutiner for menneskelig tilsyn.
- Samordning med GDPR-dokumentasjon, slik som personvernkonsekvensvurderinger (DPIA).
Et internt styringsrammeverk for AI gjør at ansvar, beslutninger og kontroller henger sammen, og at dokumentasjonen kan fremlegges på forespørsel fra tilsynsmyndighet.
Hva er tidslinjen å planlegge etter?
Forordningen trådte i kraft 1. august 2024 og anvendes trinnvis. Forbudene gjelder fra 2. februar 2025, og plikter for generell AI (GPAI) fra 2. august 2025. Den opprinnelige datoen for høyrisiko-plikter etter Annex III var 2. august 2026. I 2026 forhandler EU om en forenklingspakke (Digital Omnibus), og det ble oppnådd en foreløpig politisk enighet 7. mai 2026 som blant annet foreslår å utsette disse pliktene til 2. desember 2027, og høyrisiko-AI innebygd i regulerte produkter under Annex I til 2. august 2028. Per juni 2026 er pakken ennå ikke formelt vedtatt og publisert i Den europeiske unions tidende, og den opprinnelige datoen står formelt ved lag inntil videre. Planlegg derfor for etterlevelse i god tid, men bekreft den endelige tidsplanen mot offisielle kilder før dere låser frister.
Hvordan kommer du i gang?
Start i det små og bygg ut. En praktisk rekkefølge er å først kartlegge porteføljen og klassifisere risiko, deretter prioritere forbudte og høyrisiko-systemer, og til slutt etablere dokumentasjon og løpende styring. Utpek tidlig en ansvarlig for AI-etterlevelse, og involver fagmiljøene som eier dataene, juridisk og sikkerhet, slik at arbeidet forankres bredt. Bygg gjerne videre på styringen dere allerede har fra GDPR og informasjonssikkerhet, for eksempel et ISO 27001-rammeverk, slik at AI-kontrollene blir en utvidelse av eksisterende rutiner fremfor et helt nytt spor. Sett konkrete milepæler, og oppdater AI-registeret jevnlig etter hvert som nye systemer tas i bruk. Vil du forstå selve regelverket bedre, gir vår forklaring av AI-forordningen (EU AI Act) bakgrunnen du trenger. For å koble etterlevelse til konkrete veivalg og målbilde, kan strategi for AI-løsninger fra Opsio hjelpe deg å prioritere tiltak og ressurser.
Ofte stilte spørsmål
Når gjelder kravene i EU AI Act?
Forordningen anvendes trinnvis. Forbudene gjelder fra 2. februar 2025 og GPAI-plikter fra 2. august 2025. Datoen for høyrisiko-plikter er under endring gjennom EUs forenklingspakke i 2026; bekreft endelig tidsplan mot offisielle kilder før dere fastsetter frister.
Gjelder sjekklisten mitt selskap, også utenfor EU og for Norge via EØS?
Ja, sannsynligvis. AI Act har ekstraterritoriell rekkevidde og omfatter leverandører og idriftsettere utenfor EU som retter AI-systemer mot EU-markedet. Forordningen er EØS-relevant, så norske virksomheter omfattes på linje med aktører i EU.
Hva er forskjellen på EU AI Act og GDPR i sjekklistearbeidet?
GDPR regulerer personopplysninger, mens AI Act regulerer AI-systemet og dets livssyklus. De gjelder samtidig. Samordne derfor AI-dokumentasjon med GDPR-tiltak som personvernkonsekvensvurderinger (DPIA) når systemet behandler personopplysninger.
Hvilke sanksjoner risikerer vi ved manglende etterlevelse?
De alvorligste bruddene, som bruk av forbudt AI, kan straffes med bøter på inntil 35 millioner euro eller 7 % av samlet global årsomsetning, avhengig av hvilket beløp som er høyest. Andre brudd har lavere, men fortsatt vesentlige bøtetak.
Written By
Country Manager, India
Praveena leder Opsios virksomhet i India og bringer med seg over 17 års tverrindustriell erfaring innen AI, produksjon, DevOps og managed services.
Editorial standards: Denne artikkelen er skrevet av skypraktikere og fagfellevurdert av vårt ingeniørteam. Vi oppdaterer innhold kvartalsvis. Opsio opprettholder redaksjonell uavhengighet.