EUs KI-forordning (AI Act, forordning (EU) 2024/1689) er verdens første helhetlige KI-lov. Den trådte i kraft 1. august 2024 og gjelder i faser — noen KI-praksiser forbys helt, «høyrisiko»-systemer får strenge plikter, og åpenhet kreves når mennesker samhandler med KI eller ser KI-generert innhold. I 2026 flyttet «Digital Omnibus on AI» flere frister, så her er det oppdaterte bildet: hva forordningen dekker, hvem som må etterleve den og innen når, bøtene, og hva den betyr for et vanlig nettsted.
KI-forordningen er en produktsikkerhetslignende regulering for KI-systemer som plasseres på EU-markedet, eller hvis resultater brukes i EU. Den regulerer ikke «KI» som teknologi — den regulerer konkrete bruksområder etter risiko. Jo høyere risiko for helse, sikkerhet eller grunnleggende rettigheter, desto tyngre plikter. Det meste av hverdags-KI (spamfiltre, anbefalingswidgets, stavekontroller, KI-funksjoner i produktivitetsverktøy) er minimal risiko og får ingen nye plikter i det hele tatt.
Alt i forordningen henger på denne klassifiseringen:
Forordningen trådte i kraft 1. august 2024 og skulle etter planen gjelde nesten fullt ut fra 2. august 2026. I november 2025 foreslo Kommisjonen «Digital Omnibus on AI» for å forenkle og fase dette; Parlamentet ga sin tilslutning 16. juni 2026, og Rådet ga endelig godkjenning 29. juni 2026. De viktigste datoene nå:
Pliktene knytter seg til roller i verdikjeden: tilbydere (som utvikler eller plasserer et KI-system på EU-markedet under eget navn), virksomheter som bruker et KI-system profesjonelt, samt importører og distributører. Rekkevidden er ekstraterritoriell — en amerikansk eller britisk SaaS hvis KI-resultater brukes i EU, er omfattet. SMB-er får noen lettelser: forenklet dokumentasjon, prioritert tilgang til sandkasser, og bøter begrenset til det laveste av de to beløpene i stedet for det høyeste.
For de fleste selskaper er de første reelle berøringspunktene åpenhetsreglene som gjelder fra august 2026 — de handler om hva besøkende ser på nettstedet ditt:
Bøtestrukturen er bevisst GDPR-lik: inntil 35 millioner euro eller 7 % av global årsomsetning (det høyeste av de to) for forbudte praksiser; inntil 15 millioner euro eller 3 % for de fleste andre brudd, inkludert høyrisiko- og GPAI-plikter; inntil 7,5 millioner euro eller 1 % for å gi uriktige eller villedende opplysninger til myndighetene. For SMB-er er hvert tak det laveste av de to beløpene. Håndhevingen deles mellom nasjonale markedstilsynsmyndigheter og, for GPAI-modeller, EUs KI-kontor.
Beacon skanner allerede hva søkemotorer og KI-crawlere faktisk ser på nettstedet ditt — robots.txt-policyer, gjengitt innhold, strukturerte data og opplysninger. Vi bygger videre på det fundamentet med en AI Act-beredskapsskanning: en automatisk sjekk av nettstedets besøksrettede åpenhetssignaler (chatbot-opplysning, merking av KI-innhold, maskinlesbar merking og tilhørende metadata) med en prioritert fikseliste. Det blir ikke juridisk rådgivning — men det vil vise deg, konkret, hva nettstedet ditt eksponerer i dag og hva du bør fikse først.
Ja. Som GDPR har den ekstraterritoriell rekkevidde: hvis du plasserer et KI-system på EU-markedet, eller systemets resultater brukes i EU, er du omfattet uansett hvor selskapet ditt er etablert.
Forbud og KI-kompetanse siden 2. februar 2025; plikter for GPAI-modeller siden 2. august 2025; åpenhetsplikter og sanksjoner fra 2. august 2026. Etter Digital Omnibus i 2026 ble høyrisikopliktene utsatt til 2. desember 2027 (bruksområder i vedlegg III) og 2. august 2028 (produktinnebygd KI i vedlegg I).
Hvis du publiserer KI-genererte eller KI-manipulerte bilder, lyd eller video (deepfakes), ja — de må merkes, og syntetiske medier bør ha maskinlesbar merking. KI-chatboter må opplyse at de er KI. KI-skrevet tekst om saker av allmenn interesse må opplyses med mindre en menneskelig redaktør tar ansvar.
Ansvaret er delt etter rolle. Modelltilbyderen (f.eks. OpenAI) bærer GPAI-tilbyderpliktene; du, som tar en chatbot i bruk på nettstedet ditt eller publiserer KI-innhold, bærer åpenhetspliktene overfor dine besøkende.
Nei. Å generere markedsføringstekst med KI er minimal/begrenset risiko — helt lovlig. Forordningen krever bare åpenhet i bestemte tilfeller (deepfakes, tekst av allmenn interesse, chatboter) og forbyr en kort liste skadelige praksiser som ikke har noe med normal markedsføring å gjøre.
Kartlegg hvor KI berører nettstedet ditt (chatbot, genererte bilder/tekster), legg til tydelige KI-opplysninger og merking, sjekk merkingen av syntetiske medier, og informer teamet ditt. Hold deretter øye med 2. desember 2027 hvis du bruker KI i rekruttering eller andre områder i vedlegg III.
Seks påstander — svar ærlig. Svarene blir i nettleseren din.
Kjør Beacons gratis synlighetsskanning nå. AI Act-beredskapssjekker kommer snart til Beacon.