BEACON Guide

EUs KI-forordning (AI Act), forklart.

EUs KI-forordning (AI Act, forordning (EU) 2024/1689) er verdens første helhetlige KI-lov. Den trådte i kraft 1. august 2024 og gjelder i faser — noen KI-praksiser forbys helt, «høyrisiko»-systemer får strenge plikter, og åpenhet kreves når mennesker samhandler med KI eller ser KI-generert innhold. I 2026 flyttet «Digital Omnibus on AI» flere frister, så her er det oppdaterte bildet: hva forordningen dekker, hvem som må etterleve den og innen når, bøtene, og hva den betyr for et vanlig nettsted.

Start gratis Kjør en gratis sjekk
Risikobasert, ikke altomfattendeFire nivåer: forbudte praksiser, høyrisikosystemer, begrenset risiko (åpenhetsplikter) og minimal risiko — det meste av KI havner i det siste nivået uten nye plikter.
Trinnvis tidslinjeForbud og KI-kompetanseplikter siden februar 2025; regler for generell KI (GPAI) siden august 2025; åpenhetsplikter fra august 2026; høyrisikoplikter nå utsatt til desember 2027 / august 2028.
Ekstraterritoriell rekkeviddeDen gjelder tilbydere og brukervirksomheter utenfor EU når KI-systemets resultater brukes i EU — som med GDPR trenger du ikke et EU-kontor for å være omfattet.
Harde forbudSosial poengsetting, manipulerende teknikker, uselektiv skraping av ansiktsbilder, følelsesgjenkjenning på jobb og skole (med snevre unntak) — forbudt siden februar 2025.
Åpenhet for nettstederChatboter må opplyse at de er KI; KI-generert og manipulert innhold (deepfakes) må merkes, med maskinlesbar merking for syntetiske medier.
Bøter på GDPR-nivåInntil 35 millioner euro eller 7 % av global omsetning for forbudte praksiser; inntil 15 millioner euro eller 3 % for de fleste andre brudd; inntil 7,5 millioner euro eller 1 % for villedende opplysninger.
De fire risikonivåene i korte trekk
Uakseptabel risiko
Forbudt
Høy risiko
Strenge plikter + registrering
Begrenset risiko
Åpenhetsplikter
Minimal risiko
Ingen nye plikter
Maksimale bøter
Forbudte praksiser€35M / 7%
De fleste andre brudd€15M / 3%
Villedende informasjon€7.5M / 1%
av global årsomsetning (det høyeste beløpet)
Tidslinjen — oppdatert etter Digital Omnibus 2026
1.8.2024Trer i kraft
2.2.2025Forbud + KI-kompetanse
2.8.2025Regler for GPAI-modeller
2.8.2026Åpenhet + bøterI dag
2.12.2026Nye innholdsforbud
2.12.2027Høy risiko — vedlegg III
2.8.2028Høy risiko — vedlegg I

Hva KI-forordningen er (og ikke er)

KI-forordningen er en produktsikkerhetslignende regulering for KI-systemer som plasseres på EU-markedet, eller hvis resultater brukes i EU. Den regulerer ikke «KI» som teknologi — den regulerer konkrete bruksområder etter risiko. Jo høyere risiko for helse, sikkerhet eller grunnleggende rettigheter, desto tyngre plikter. Det meste av hverdags-KI (spamfiltre, anbefalingswidgets, stavekontroller, KI-funksjoner i produktivitetsverktøy) er minimal risiko og får ingen nye plikter i det hele tatt.

De fire risikonivåene

Alt i forordningen henger på denne klassifiseringen:

  • Uakseptabel risiko — helt forbudt siden 2. februar 2025: sosial poengsetting, utnyttende eller manipulerende teknikker, uselektiv skraping av ansiktsbilder, følelsesgjenkjenning på arbeidsplasser og skoler (snevre sikkerhetsunntak), biometrisk kategorisering for å utlede sensitive egenskaper, og sanntids biometrisk fjernidentifikasjon i offentlige rom for politiformål (begrensede unntak). Fra 2. desember 2026 forbyr 2026-endringen også eksplisitt KI-systemer for å generere ikke-samtykkebasert intimt bildemateriale eller CSAM.
  • Høy risiko — tillatt, men strengt regulert: KI brukt som sikkerhetskomponent i regulerte produkter (vedlegg I — maskiner, medisinsk utstyr, heiser…) eller i sensitive bruksområder (vedlegg III — rekruttering og personalstyring, vurdering i utdanning, kredittscoring, essensielle tjenester, politi, migrasjon, rettsvesen). Pliktene omfatter risikostyring, datastyring, teknisk dokumentasjon, logging, menneskelig tilsyn, testing av nøyaktighet/robusthet og registrering i en EU-database.
  • Begrenset risiko — åpenhetsplikter (artikkel 50): fortell folk når de samhandler med et KI-system (chatboter), merk KI-generert eller manipulert bilde-/lyd-/videoinnhold (deepfakes), merk syntetisk innhold på en maskinlesbar måte, og opplys om KI-generert tekst som publiseres for å informere allmennheten om saker av allmenn interesse.
  • Minimal risiko — alt annet: ingen nye plikter; frivillige atferdsnormer oppmuntres.

Tidslinjen i 2026 — oppdatert etter Digital Omnibus

Forordningen trådte i kraft 1. august 2024 og skulle etter planen gjelde nesten fullt ut fra 2. august 2026. I november 2025 foreslo Kommisjonen «Digital Omnibus on AI» for å forenkle og fase dette; Parlamentet ga sin tilslutning 16. juni 2026, og Rådet ga endelig godkjenning 29. juni 2026. De viktigste datoene nå:

  • 2. februar 2025 — forbudene mot praksiser med uakseptabel risiko og KI-kompetansepliktene begynte å gjelde.
  • 2. august 2025 — plikter for tilbydere av generelle KI-modeller (GPAI) (teknisk dokumentasjon, opphavsrettspolicy, sammendrag av treningsdata; ekstra plikter for modeller med systemisk risiko) samt EUs KI-kontor og styringsstrukturer.
  • 2. august 2026 — forordningen blir generelt gjeldende: åpenhetsplikter (artikkel 50), sanksjoner og de fleste gjenværende bestemmelser. Maskinlesbar merking av syntetisk innhold får en overgangsperiode til 2. desember 2026 for systemer som allerede var på markedet før 2. august 2026.
  • 2. desember 2026 — nye forbud mot KI som genererer ikke-samtykkebasert intimt bildemateriale og CSAM begynner å gjelde.
  • 2. desember 2027 — høyrisikoplikter for bruksområdene i vedlegg III (rekruttering, kredittscoring, utdanning…) — utsatt 16 måneder fra den opprinnelige datoen i august 2026.
  • 2. august 2028 — høyrisikoplikter for produktinnebygd KI i vedlegg I (medisinsk utstyr, maskiner…) — utsatt ett år fra august 2027. Nasjonale regulatoriske sandkasser skal være på plass innen 2. august 2027.

Hvem som må etterleve

Pliktene knytter seg til roller i verdikjeden: tilbydere (som utvikler eller plasserer et KI-system på EU-markedet under eget navn), virksomheter som bruker et KI-system profesjonelt, samt importører og distributører. Rekkevidden er ekstraterritoriell — en amerikansk eller britisk SaaS hvis KI-resultater brukes i EU, er omfattet. SMB-er får noen lettelser: forenklet dokumentasjon, prioritert tilgang til sandkasser, og bøter begrenset til det laveste av de to beløpene i stedet for det høyeste.

Hva KI-forordningen betyr for nettstedet ditt

For de fleste selskaper er de første reelle berøringspunktene åpenhetsreglene som gjelder fra august 2026 — de handler om hva besøkende ser på nettstedet ditt:

  • KI-chatboter og -assistenter på nettstedet ditt må gjøre det klart at den besøkende snakker med en maskin (med mindre det er åpenbart fra konteksten).
  • KI-genererte eller KI-manipulerte bilder, lyd og video (deepfakes) som du publiserer, må merkes synlig som kunstig generert eller manipulert.
  • Syntetiske medier bør ha maskinlesbar merking (f.eks. metadata/vannmerking) — merkeplikten for systemer fra før august 2026 gjelder fra 2. desember 2026.
  • KI-skrevet tekst som publiseres for å informere allmennheten om saker av allmenn interesse, må opplyses som KI-generert med mindre den har gjennomgått menneskelig redaksjonell kontroll med ansvar.
  • Bruker du KI i rekruttering, kreditt eller andre bruksområder i vedlegg III, bør du planlegge for høyrisikoregimet som gjelder fra 2. desember 2027.
  • KI-kompetanse: organisasjoner som bruker KI profesjonelt, bør sørge for at ansatte forstår systemene de betjener.

Bøter

Bøtestrukturen er bevisst GDPR-lik: inntil 35 millioner euro eller 7 % av global årsomsetning (det høyeste av de to) for forbudte praksiser; inntil 15 millioner euro eller 3 % for de fleste andre brudd, inkludert høyrisiko- og GPAI-plikter; inntil 7,5 millioner euro eller 1 % for å gi uriktige eller villedende opplysninger til myndighetene. For SMB-er er hvert tak det laveste av de to beløpene. Håndhevingen deles mellom nasjonale markedstilsynsmyndigheter og, for GPAI-modeller, EUs KI-kontor.

Hvordan Beacon passer inn

Beacon skanner allerede hva søkemotorer og KI-crawlere faktisk ser på nettstedet ditt — robots.txt-policyer, gjengitt innhold, strukturerte data og opplysninger. Vi bygger videre på det fundamentet med en AI Act-beredskapsskanning: en automatisk sjekk av nettstedets besøksrettede åpenhetssignaler (chatbot-opplysning, merking av KI-innhold, maskinlesbar merking og tilhørende metadata) med en prioritert fikseliste. Det blir ikke juridisk rådgivning — men det vil vise deg, konkret, hva nettstedet ditt eksponerer i dag og hva du bør fikse først.

FAQ

Gjelder EUs KI-forordning selskaper utenfor EU?

Ja. Som GDPR har den ekstraterritoriell rekkevidde: hvis du plasserer et KI-system på EU-markedet, eller systemets resultater brukes i EU, er du omfattet uansett hvor selskapet ditt er etablert.

Når gjelder de viktigste pliktene egentlig?

Forbud og KI-kompetanse siden 2. februar 2025; plikter for GPAI-modeller siden 2. august 2025; åpenhetsplikter og sanksjoner fra 2. august 2026. Etter Digital Omnibus i 2026 ble høyrisikopliktene utsatt til 2. desember 2027 (bruksområder i vedlegg III) og 2. august 2028 (produktinnebygd KI i vedlegg I).

Må jeg merke KI-generert innhold på nettstedet mitt?

Hvis du publiserer KI-genererte eller KI-manipulerte bilder, lyd eller video (deepfakes), ja — de må merkes, og syntetiske medier bør ha maskinlesbar merking. KI-chatboter må opplyse at de er KI. KI-skrevet tekst om saker av allmenn interesse må opplyses med mindre en menneskelig redaktør tar ansvar.

Er ChatGPT eller KI-leverandøren min ansvarlig i stedet for meg?

Ansvaret er delt etter rolle. Modelltilbyderen (f.eks. OpenAI) bærer GPAI-tilbyderpliktene; du, som tar en chatbot i bruk på nettstedet ditt eller publiserer KI-innhold, bærer åpenhetspliktene overfor dine besøkende.

Er det forbudt å bruke KI til SEO eller innholdsmarkedsføring?

Nei. Å generere markedsføringstekst med KI er minimal/begrenset risiko — helt lovlig. Forordningen krever bare åpenhet i bestemte tilfeller (deepfakes, tekst av allmenn interesse, chatboter) og forbyr en kort liste skadelige praksiser som ikke har noe med normal markedsføring å gjøre.

Hva bør en nettstedseier gjøre akkurat nå?

Kartlegg hvor KI berører nettstedet ditt (chatbot, genererte bilder/tekster), legg til tydelige KI-opplysninger og merking, sjekk merkingen av syntetiske medier, og informer teamet ditt. Hold deretter øye med 2. desember 2027 hvis du bruker KI i rekruttering eller andre områder i vedlegg III.

Rask egensjekk: hvor står dere?

Seks påstander — svar ærlig. Svarene blir i nettleseren din.

Besøkende vet når de chatter med en KI (eller vi har ingen KI-chat).
KI-genererte bilder, lyd eller video er synlig merket (eller vi publiserer ingen).
KI-skrevne artikler av offentlig interesse opplyses eller gjennomgås av mennesker.
Vi har sjekket at ingen KI-bruk er en forbudt praksis (art. 5).
Vi vet om noen KI-bruk faller under vedlegg III (høy risiko).
Teamet vårt har fått grunnleggende KI-opplæring.
0/6 besvartFå din gratis beredskapsskanningGratiskontoen i Beacon inkluderer signalskanningen og den interaktive sjekklisten — uten kort.

Sjekk hva nettstedet ditt eksponerer i dag — gratis

Kjør Beacons gratis synlighetsskanning nå. AI Act-beredskapssjekker kommer snart til Beacon.

Start gratis Kjør en gratis sjekk